1.6.4 IPSec
每當談到 IPv6的安全性,一定會提到 IPSec技術——網際網路安全協定(InternetProtocolSecurity,IPSec),它是一個協定包,通過對IP的分組進行加密和認證來保護IP的網絡傳輸協定族。IPSec主要由以下協定組成:第一,認證頭(AH),為 IP資料包提供無連接配接資料完整性、消息認證以及防重播攻擊保護;第二,封裝安全載荷(ESP),提供機密性、資料源認證、無連接配接完整性、防重放和有限的傳輸流(Traffic-Flow)機密性;第三,安全關聯(SA),提供算法、資料包,以及AH、ESP操作所需的參數。
IPv6是 IETF為 IP分組通信制定的新的網際網路标準,IPSec在 RFC6434以前是其中必選的内容,但在IPv4中則一直隻是可選的。這樣做的目的是,随着 IPv6的規模部署,IPSec可以得到更為廣泛的應用。在 IPv6中增加 IPSec協定就是為了保證資料安全連接配接。作為下一代網際網路開發的安全協定—IPSec是 TCP/IP協定族 IP層唯一的安全協定,同時适用于 IPv4和 IPv6,IPSec在 IP層提供了 IP封包的機密性、完整性、IP封包源位址認證以及有限的抗重播攻擊能力。
IPSec的安全特性主要有不可否認性、反重播性、資料完整性和資料可靠性。
1. 不可否認性
不可否認性可以證明消息發送方是唯一可能的發送者,發送者不能否認發送過消息。它是采用公鑰技術的一個特征,當使用公鑰技術時,發送方用私鑰産生一個數字簽名随消息一起發送,接收方用發送者的公鑰來驗證數字簽名。由于理論上隻有發送者才唯一擁有私鑰,也隻有發送者才可能産生該數字簽名,是以隻要數字簽名通過驗證,發送者就不能否認曾經發送過該消息。但不可否認性不是基于認證的共享密鑰技術的特征,因為在基于認證的共享密鑰技術中,發送方和接收方掌握相同的密鑰。
2. 反重播性
反重播性確定每個 IP資料包的唯一性,保證資訊萬一被截取複制後,不能再被重新利用、重新傳輸到目的位址。該特性可以防止攻擊者截取破譯資訊後,再利用相同的資訊包冒取非法通路權(即使這種冒取行為發生在數月之後)。
3. 資料完整性
資料完整性指傳輸過程中防止資料被篡改,確定發送資料和接收資料的一緻性。IPSec利用 Hash函數為每個資料包産生一個加密檢查摘要,接收方在打開資料包前先計算檢查和,若資料包遭篡改導緻檢查和不相符,資料包即被丢棄。
4. 資料可靠性
在傳輸前,對資料進行加密,可以保證在傳輸過程中,即使資料包遭到截取,資訊也無法被讀出。該特性在 IPSec中為可選項,與 IPSec政策的具體設定相關。
![查找算法之二分查找查找算法之二分查找[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)