● 摘要
IPv6提供了比IPv4更好的安全性,IPv6 对报文头部的简化和改进提高了路由器处理分组的效率并且消除了一些安全隐患,使用扩展报头能实现选项功能,使得IPsec的采用更加方便。除报头格式的改进外,IPv6的安全性主要由 IPsec来保证,解决了网络层的安全问题。 IPv6中部分协议仅仅用基本的IPsec保护还不够或者很难实施,其中包括安全性不够完善但又是 IPv6的重要组成部分的邻居发现协议。而公钥基础设施(PKI)是具有通用性的安全基础设施,可以为用户建立起一个安全的网络运行环境,能提供认证、数据完整性、数据机密性、不可否认性等多种安全服务,在某些方面可以作为 IPsec的替代甚至更优的方案。安全邻居发现协议就是结合PKI而不是使用IPsec来解决邻居发现的安全问题的。 另一方面,当IPsec中的密钥交换协议IKE涉及身份验证时,在其扩展到一定规模之后,必须构建某种形式的 PKI才能避免大量手工配置。在IPsec协议中有一些有关使用X.509 证书的规定,但协议没有清晰地描述具体该如何应用。 本文以PKI在IPv6协议安全级别上的应用为研究方向,总结了目前 PKI的应用现状和应用模式;分别从IPv6报头格式的变化和IPsec的安全特性角度分析了 IPv6协议的安全性;从邻居发现协议的安全问题切入,提炼了PKI应用在IPv6 协议安全上的方法,并详细分析了安全邻居发现协议如何利用简化的PKI模型解决邻居发现协议的若干安全问题;从IPsec中应用PKI 的角度分析了对PKI尤其是认证中心的新需求,提出了PKI结合IPsec 的若干问题和可能方案。 在实践方面,我们在SEND for Infinity项目中基于OpenSSL 0.9.7e 版本在Nortel Infinity IPv6平台上完成了安全邻居发现的一种实现和一些必要的工具,并用中科院计算所的V6PTS协议测试系统进行了测试,验证了协议的一致性。 最后对论文的工作进行了总结,同时指出了今后的改进方向。
相关内容
相关标签