2.3.4 安全机制
1. IPSec
IP层最初没有考虑安全性方面,认证和保密都是由上层协议来完成的,很多黑客攻击就是利用了 IP层这方面的不足。IPSec协议族就是为在 IP层实现安全性而设计的,IPv4和 IPv6都可以使用,不同的是,IPSec必须加以修改或改进才能应用在IPv4中,而 IPSec是 IPv6的重要组成部分,IPv6所有应用从一开始就具有这些安全特性。
2. AH和ESP
安全性一般有 3个要求:身份认证、保密性和完整性,IPSec的目标是实现前两个要求。RFC1826定义了认证头部(AuthenticationHeader,AH),RFC1827定义了加密安全载荷(EncryptedSecurityPayload,ESP)。前者提供认证机制,通过认证过程保证接收者得到的数据报来源是可靠的,而且在传输过程中没有被偷换。后者使用密钥技术,保证只有合法的接收者才能读取数据报的内容。IPv6使用扩展报头实现 AH和 ESP。
3. 安全关联
认证和加密要求发送者和接收者就密钥、认证和加密算法以及一些附属特性达成一致。这套约定机制组成了发送者和接收者之间的一种安全关联。接收者在接收
到数据报后,只有在能将其与一种安全关联的内容相关联时,才能对其进行验证和解密。所有的 IPv6验证和加密数据报都带有安全参数索引。
4. 增强服务质量
IPv4对不同的用户和应用都不加区分,采取尽力而为的传输方式,服务质量(QualityofService,QoS)难以保证。而 IPv6通过设置优先级、数据流标签等方式,对 QoS特别是 VoIP等实时数据流的传输提供了很好的支持。
(1) 优先级
IPv6报头的通信流类型(TrafficClass)可理解为优先级标识,数值越大,优先级越高。
IPv6将业务分为两大类:阻塞控制业务和非阻塞控制业务,前者在网络阻塞时流量会降低,而后者不会变化,用于声音和视频传输。IPv6为阻塞控制业务分配编号 0~7的优先级,推荐电子邮件为 2,大量数据传输(如 FTP)为 4,交互式(如 Telnet)为 6。对于非阻塞控制业务,IPv6根据媒体质量的不同分配编号 8~15的优先级。
(2) 流和资源预留
IPv6增加了数据流标签,发送端将需要路由器特殊处理的数据报在数据流标签字段加以标识。数据流标签是 20位的随机数,同一节点同一数据流所产生的数据报具有相同的数据流标签。
数据流标签还可以和路由选择扩展报头同时使用。为了更好地实现流传输,还开发了资源预留协议(RSVP)。RSVP是一个接收者驱动(Receiver-Driven)协议。接收者通过发送 RSVP报文选择接收源以及准备预留的带宽和费用等,达到最理想的效费比。
