返回
基于IPv6的IPsec安全体系结构的研究

基于IPv6的IPsec安全体系结构的研究

ID:38857050

大小:352.26 KB

页数:3页

时间:2019-06-20

基于IPv6的IPsec安全体系结构的研究_第1页
基于IPv6的IPsec安全体系结构的研究_第2页
基于IPv6的IPsec安全体系结构的研究_第3页
资源描述:

《基于IPv6的IPsec安全体系结构的研究》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网络安全基于IPv6的IPsec安全体系结构的研究王晓晔金义富石艳湛江师范学院信息科学与技术学院广东524048摘要:本文对IPv6引入的IP层安全机制———IPsec的体系结构、认证机制、加密机制以及密钥管理机制等关键技术进行研究。由此可以看出,新一代网络协议在实现安全性方面更具方便性和优越性。关键词:IPsec;IPv6;AH;ESP;验证;加密0引言——数据起源地验证—authenticity随着计算机网络和通信技术的不断进步和Internet日益深——数据的完整性验证—integrity入人们的生

2、活,对Internet的依赖越来越强。而Internet的高——抗重播保护—anti-replay度开放性,造成了网络的安全问题已严重阻碍了Internet的推对于这些安全服务的支持,IPv6是强制的,对于IPv4是广应用。为更加有效的解决这一问题,在新一代InternetIP协可选的。议IPv6引入了基于IP层的安全机制——IPsec。2技术IPsec的安全要素1IPsec概述2.1IPsec的安全关联IPSec(InternetProtocalSecurity)即Internet安全协议,是通信伙伴需

3、要对一组公共信息达成一致才能使用IPv6的IETF提供Internet安全通信的一系列的规范,它提供私有信安全要素,这组信息包括密钥、将要使用的验证和加密算法,息通过公用网的安全保障。IPSec适用于IP目前版本IPv4和以及所使用算法的专门的附加参数。对这组信息的协定在通下一代IPv6,它由安全协议(如AuthenticationHeader协议和信伙伴之间组成了一个安全关联(SecurityAssociation,SA),SAEncaptedSecurityPayload协议)、密钥管理协议(IKE)

4、以及认是单向的,每项安全服务都需要一个SA;因此,如果两个通证和加密算法组成。其组成部分之间的关系如图1所示。信伙伴希望对一个双向连接同时进行加密和验证的话,就需要4个SA。IPsec有两种不同类型的SA:传输模式和隧道模式。在传输模式下,SA是在两个端系统之间定义的,描述了和这个特定连接上所有的IP数据包所包含的有效载荷有关的加密或验证。在隧道模式下,SA是两个安全网关之间定义的,它用一个外部IP数据包作为“包装纸”,把IP数据包及其载荷包裹起来,从而可以对整个内部的数据包包括内部IP报头在内进行加密或

5、验证。基于这两种操作模式,单独的SA可以通过传输图1IPsec组成部分之间的关系邻接(ransportadjacency,即在同一个IP数据包内同时使用加密和验证服务)或迭代隧道(iteratedtunneling,即在同一个IP数据IPsec的设计目标是为使用IP协议的用户在IP层提供网包内嵌套使用加密和验证服务)进行绑定。这样就可以把更复络安全性。IPsec主要提供了两种网络安全机制:身份认证机制杂的安全环境映射为一种安全策略。和加密机制。通过认证头(AH)提供数据完整性保障和身份认所有定义好的SA都

6、保存在一个安全关联数据库(Security证;通过加密头(ESP)提供IP报文的数据加密。这两种安全机AssociationDatabase,SAD)中,通过一个由安全参数索引制既可分开使用,也可合在一起使用,从而为用户提供更高的(SecurityParameterIndex,SPI)、IP目的地址和安全协议(AH或安全性。ESP)标识符三部分组成的数值来惟一识别。IPSec可有效地保护IP数据包的安全,主要提供以下安全服务:2.2IPsec中的验证——数据内容的机密性—confidentialityIP

7、sec通过在AH中加入认证信息为IPv6用户提供安全本文由湛江师范学院自然科学研究青年项目(QL0707)资助。作者简介:王晓晔(1979-),女,硕士,助教,研究方向:计算机网络及应用。金义富(1969-),男,博士,副教授,研究方向:智能系统、数据挖掘。242008.7网络安全性,这些认证信息是利用认证算法计算IP报文而得到的。认IPv6标准包括着两种密码安全校验和算法:消息摘要第证机制提高了系统的安全性,但系统必须为此而付出花费额5号MD-5(MessageDigestNo.5)和安全哈希算法第1号

8、SHA-1外时间进行IP报文认证。因此,尽管IPv6要求每个支撑系统(SecureHashAlgorithmNo.1)。消息摘要MD-5将可变长度的必须支持IPsec,并未要求必须使用这些机制。用户可以在安全报文M作为单项散列函数的输入,然后得出一个固定长度的性与效率性方面进行自己的选择。标志H(M)通常作为消息摘要MD,MD-5以512位分组来处2.2.1验证头AH(AuthenticationHeader)理输入文本,每一

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。