2.3.4 安全機制
1. IPSec
IP層最初沒有考慮安全性方面,認證和保密都是由上層協定來完成的,很多黑客攻擊就是利用了 IP層這方面的不足。IPSec協定族就是為在 IP層實作安全性而設計的,IPv4和 IPv6都可以使用,不同的是,IPSec必須加以修改或改進才能應用在IPv4中,而 IPSec是 IPv6的重要組成部分,IPv6所有應用從一開始就具有這些安全特性。
2. AH和ESP
安全性一般有 3個要求:身份認證、保密性和完整性,IPSec的目标是實作前兩個要求。RFC1826定義了認證頭部(AuthenticationHeader,AH),RFC1827定義了加密安全載荷(EncryptedSecurityPayload,ESP)。前者提供認證機制,通過認證過程保證接收者得到的資料報來源是可靠的,而且在傳輸過程中沒有被偷換。後者使用密鑰技術,保證隻有合法的接收者才能讀取資料報的内容。IPv6使用擴充報頭實作 AH和 ESP。
3. 安全關聯
認證和加密要求發送者和接收者就密鑰、認證和加密算法以及一些附屬特性達成一緻。這套約定機制組成了發送者和接收者之間的一種安全關聯。接收者在接收
到資料報後,隻有在能将其與一種安全關聯的内容相關聯時,才能對其進行驗證和解密。所有的 IPv6驗證和加密資料報都帶有安全參數索引。
4. 增強服務品質
IPv4對不同的使用者和應用都不加區分,采取盡力而為的傳輸方式,服務品質(QualityofService,QoS)難以保證。而 IPv6通過設定優先級、資料流标簽等方式,對 QoS特别是 VoIP等實時資料流的傳輸提供了很好的支援。
(1) 優先級
IPv6報頭的通信流類型(TrafficClass)可了解為優先級辨別,數值越大,優先級越高。
IPv6将業務分為兩大類:阻塞控制業務和非阻塞控制業務,前者在網絡阻塞時流量會降低,而後者不會變化,用于聲音和視訊傳輸。IPv6為阻塞控制業務配置設定編号 0~7的優先級,推薦電子郵件為 2,大量資料傳輸(如 FTP)為 4,互動式(如 Telnet)為 6。對于非阻塞控制業務,IPv6根據媒體品質的不同配置設定編号 8~15的優先級。
(2) 流和資源預留
IPv6增加了資料流标簽,發送端将需要路由器特殊處理的資料報在資料流标簽字段加以辨別。資料流标簽是 20位的随機數,同一節點同一資料流所産生的資料報具有相同的資料流标簽。
資料流标簽還可以和路由選擇擴充報頭同時使用。為了更好地實作流傳輸,還開發了資源預留協定(RSVP)。RSVP是一個接收者驅動(Receiver-Driven)協定。接收者通過發送 RSVP封包選擇接收源以及準備預留的帶寬和費用等,達到最理想的效費比。
![【守網絡洪閘,還大運會一片安全】截止到8月5日,國家能源集團數智科技公司所屬大資料公司作為重點網絡安全服務保障機關,盛會[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)