IPV6安全机制――IPSec的改进

1、IPV6 安全机制IPSec 的改进摘要：文章在对 IPSec 协议安全性进行深入分析的基 础上，提出了取消 AH的概念，改进ESP,使其在原有安全 服务的基础上提供对数据包的认证； 针对 IKE 在交换中容易 受到攻击的情况，深入分析了原因，分别提出了改进建议。关键词： IPSEC；AH ；ESP中图分类号： TP393 文献标识码： A 文章编号： 1009-3044(2011)30-7399-02IPv6 被称为下一代网际协议 , 它的出现标志着网络技术 史上的重要升级， 它将逐步取代 IPV4 成为网络的基础设施， 并将对网络技术产生积极的影响。它极大地增加了可用地址 空间，提供了即插

2、即用的自动配置机制，简化了网络报头格 式，增加了对身份验证和私密性的扩展，更好地支持移动 IP 功能。IPv6 协议在设计中增强了对安全的支持，使用 IPSec 协 议实现认证和加密的安全功能。 IPSec 协议是目前唯一一个 能够为任何 Internet 通信提供安全保障的协议，他可以为 IP 层以上或者以下的协议提供安全保护。IPSec 作为网络的安全协议在 IPv6 下是强制实施的。 IPSec 为 IP 及上层协议提供 了数据完整性、数据源身份认证、抗重播攻击、数据内容的 机密性等安全服务。1 IPSec 工作模式的分析与建议IPSec有两种模式：传输模式(transport)和隧道模

3、式(tunnel)。有两种协议：AH和ESP。AH提供完整性保护、抗 重播攻击和连接的访问控制；而ESP除提供AH提供的保护 外，还提供机密性和一定程度的流量保护。由此可见， AH 对网络流量提供的安全保护是 ESP 提供的保护的子集。 这对 于用户来说，似乎可以根据不同的情况做出不同的选择。然 而，在实际应用中并不是都需要这四种组合。实际应用中这 几种选择在认证功能上几乎没有什么差别，而且认证所花费 的代价差别不大。允许多种选择只会使系统更加复杂，在实 际应用中也会增加协商的开销，违背了越简单越安全的原 则。IPsec提供的传送模式适用于端主机的通信，而隧道模式主要用于网关之间或网关与主机之

4、间，也适用于主机之间的 通信。根据 RFC2401 的规定，这两种模式的区别是 ：传输模 式中仅对上层协议的报文提供安全服务， 而 IP 报头是不受保 护的；而隧道模式是对上层协议和 IP 报头都提供安全服务。 也就是说，两种模式的实质区别是对数据包保护的范围不 同。然而，在实际的应用中，是对上层数据还是对整个数据 包进行保护，其操作方式、执行效率和开销差别很小。再加 上传输模式所能达到的保护目的，隧道模式也完全可以达 到。虽然在使用隧道模式时因为要在数据包外层增加一个新1P 头而比传输模式多占用一定的带宽， 但我们可以使用一种 特殊的头部压缩技术（IPComP）来解决该问题。IPSec在VP

5、N 的应用中，由于路由器 （网关 ） 的存在，几乎都是使用隧道模 式来保护数据。基于以上分析，我们可以将传输模式和隧道模式进行统一，归并为隧道模式。这样一来，主机和路由器（网关）的概念在IPSec中得到了统一，为后面的IKE协商减少开销奠定 了基础。2 AH 和 ESP 协议的分析与建议ESP 与 AH 的最大区别是 ESP 不认证 IP 头，即它的认 证范围比AH的认证范围小。在实施 IPSec时，AH和ESP 可以单独使用，也可以结合使用。IPSec协议的制定者之所以对 AH 和 ESP 进行区分，主要是为了功能分配清晰，体现 一定的灵活性。 然而，这种区分在现实情况中完全没有必要。 因为

6、 ESP 除了在认证范围上与 AH 有一点区别外， 没有任何 资料显示它的认证安全性比 AH 差，它们所使用的认证算法 和认证步骤都完全一样。这种区分会使实际操作更加繁琐。 比如在IKE协商中需要SA双方协商是使用 AH还是使用 ESP，或者两者都使用，就必须分别为AH和ESP建立存储单元，记录对应的认证算法、使用的密钥和生存周期等等。基于此，我们建议取消 AH 的概念，对 ESP 作出一定修改，使它在原有安全服务的基础上提供对整个数据包的认 证。为了实施修改后的 IP 安全体系和 ESP 安全协议，我们 作如下规定。因为在 IPSec 协议中，无论认证还是加密，其 安全保护都是片面的。如果使

7、用没有加密的认证，或者在传 输时使用明文，那么对于第三者的截包和数据的泄露将无能 为力，这对于许多公司和企业来说无疑是灾难。如果使用没 有认证的加密，由于加解密将消耗大量的资源，对于数据包 接收方来说，当接收到来自第三方恶意修改后的数据包时， 不能辨别其真伪而进行解密，将消耗大量的系统资源，使系 统性能急剧下降，甚至导致网络系统崩溃而终止服务。由此 可见，单方面使用认证或加密都存在安全漏洞。所以，在 IPSeC 安全体系中，如果要使用安全服务，加密和认证必须 强制使用，而且，应该是先加密后认证。此外，为了使接收 方不遭受重播包的攻击，抗重播功能必须被强制使用，接收 方必须使用滑动窗口机制启用抗

8、重播服务。3 针对 IKE 协议的改进建议IKE 协议的第一交换阶段是基于 Deffie 一 Hellman(DH) 密钥协商协议。由于 DH 协议自身无法抵御中间人攻击，因 此,KE协议通过提供身份认证来保护协议免受中间人攻击。 在 IKE 协议密钥交换过程中， 分别支持数字签名、 公钥加密、 改进的公钥加密和预共享密钥等四种身份认证方式。但这些 身份认证方式中，很大的一部分都是基于公钥密码体制的， 而公钥密码体制的实现通常包括大量的模指数运算。模指数 运算计算量大，需要占用大量的计算资源。 同时，在一次密钥交换中，作为响应方的目标服务器通 常还需要在内存中增加状态来保存一些与本次交换相关的

9、 参数。例如，与产生 Cookie 相关的时间参数和与 Deffie 一 Hellman 交换相关的参数。无论是数字签名认证方式还是公 钥加密认证方式，攻击者都可以通过发送大量的伪造的请求 来耗尽目标服务器的内存，使得目标服务器的内存无法再保 存新的交换的参数。 通过上述分析可以看出 IKE 协议中存在 拒绝服务攻击可以分为两类， 即 CPU 资源耗尽的拒绝服务攻 击和内存资源耗尽的拒绝服务攻击。要想有效抵御这两类拒 绝服务攻击，对原有协议的改进也应该相应地从两方面着 手，一方面抵御CPU资源耗尽，另一方面是抵御内存资源的 耗尽。3.1 抵御 CPU 资源耗尽改进抵御 CPU 资源耗尽改进方法

10、的基本思想 :设法控制协议 执行实体的计算量，一方面要尽量减少响应者一方的计算 量，另一方面要适当增加发起者一方的计算量。目的是使得 在双方计算能力可比的情况下，发起方的计算量大于或等于 响应方的计算量。这样，攻击者在试图对目标服务器进行 CPU 资源耗尽的拒绝服务攻击时， 将在目标服务器资源耗尽 前，先耗尽自己的计算资源，从而有效地抵御这种攻击。改进方案：使用计算机量控制参数法计算量控制参数是一个随即的，时新的参数，由响应者 一方产生，以密文的形式包含在响应者的响应消息中。在攻 击者一方需要重建这个参数，而且这个重建的参数需要包含 到响应者对攻击者的预验证机制中去，参数的产生和重建都 是依赖

11、于数字签名机制的。预验证机制是通过引入预验证 HASH 载荷实现的， 预验证 HASH 载荷是由攻击者发给响应 者的，其中包含了攻击者重建的计算量控制参数，也就是说 攻击者必须先重建这个控制参数，然后才能计算出预验证 HASH 载荷。而响应者一方在进行验证攻击者签名的公钥运 算前，先对这个预验证 HASH 载荷进行验证。下面使用计算量控制参数法对积极模式下数字签名认 证方式进行改进。 IKE 协议在阶段 1 密钥交换过程的基础是 Diffie 一 Hellman 密钥交换，积极模式需要在协议执行实体 之间交换三条消息，在数字签名认证方式和公钥加密认证方 式下， IKE 的积极交换可概括如下 :

12、1）必要的预计算2）发起者使用自己的私钥或响应者的公钥进行计算3）发起者将请求消息发给响应者4）响应者使用自己的私钥或发起者的公钥进行计算5）响应者将响应消息发给请求者6）发起者使用自己的私钥或响应者的公钥进行计算7）发起者将确认消息发给响应者8）响应者使用自己的私钥或发起者的公钥进行计算9）密钥交换完毕，共享密钥建立依据抵御 CPU 资源耗尽的拒绝服务攻击的基本思想， 在 IKE 的积极交换过程中通过引入计算量控制参数来控制计算 量，以提供协议交换过程中的抗攻击能力。具体改进如下：1）在上述步骤 4 中尽量避免进行大量消耗系统资源的 计算，例如模指数运算。2）在上述步骤 5 中的响应消息中，引入计算量控制参 数，并且在上述步骤 6 中，重建这个参数的操作要求具有较 大的运算量。3）计算量控制参数也包含到身份认证机制中去。4）在上述步骤 7 的确认消息中，包含从重建的计算量 控制参数中衍生出来的确认参数。5）在上述步骤 8 中，首先对确认参数进行验证，并且 验证确认参数的计算代价要小于上述步骤 6 中重建计算量控 制参数时的计算代价。3.2 抵御内存资源耗尽改进抵御内存资源耗尽改进方法的基本思想 :利用一种“无状 态连接”的概念，不在内存中增加新的状态来保存参数，而 是将这些可能在内存中增加状态的参数，使用一个本地的密 钥进行加密，然后在协议的发起者和响应者