IPV6网络安全技术研究

1、IPV6网络安全技术研究作者:日期:学位论文(设计)选题的目的和意义现有的互联网协议是IPv4, IPv6是下一代的互联网协议，它的提出最初是因为随 着互联网的迅速发展，IPv4定义的有限地址空间将被用尽，地址空间的不足必将严重 影响互联网的进一步发展。为了扩大地址空间，解决这个问题，计划通过IPv6重新定 义互联网的地址空间.IPv4采用32位长度，只有大约43亿个地址，而且在2010年 11月已经被分配殆尽，而IPv6采用128位长度.几乎可以不受限制地提供地址.据估 算IPv6实际可分配的地址，相当于可以为地球每平方米分配1000多个地址.虽然网络地址转换(Nerwork Address

2、 Translation , NAT等技术的广泛使用，大大减缓了 IP地址枯竭的速度，但是，这种技术破坏了 IP协议端到端(End-to-End )的基本原 则，在很大程度上破坏了 Internet的授权和鉴定机制，同时也无法从根本上彻底解决 IP地址枯竭的问题；止匕外，越来越多的商业机构和政府部门都希望自己在网络上传送 的敏感信息，不会被非授权者截获，而 IPv4在设计之初，是基于可信任的内部网， 基本忽略了网络本身的安全性，认为应把安全性的责任交给应用层考虑，由此导致了 在低层的网络协议栈上不具备安全保障的弊病，而IPv6正是为了解决这些问题应运而 生的。但是新的网络协议出现使得原有的安全

3、体系不得不作出重大调整，而且在面临 错综复杂的网络环境时，仅仅基于IPv6协议本身的网络仍将存在巨大的安全问题，这些也成为制约IPv6网络迅速普及的关键因素。因此我选择研究IPv6网络安全系统 关键技术研究作为我的学位论文选题，为IPv6真正进入大规模实用阶段作好铺垫。本选题研究领域历史、现状、发展趋势分析随着计算机网络特别是Internet的广泛应用，我们的生活和工作都出现了前所未有 的便利，Internet已经逐渐成为人们日常生活、工作、学习、娱乐中不可缺少的重要组 成部分.互联网产业在经历了 19992000年过热的泡沫经济和2001-2002年凄冷的寒冬 后，现阶段已进入了一个相对平缓

4、的整理时期，经历过了大喜大悲后的整个产业变得更 加理性，处在这样一个时期的人们也就能够保持一个较平和的心态认真地思考互联网 的未来。当前的互联网存在着诸多方面的缺陷，如果一味地通过引入与NAT类似的技术来维系互联网眼前的利益将不利于互联网未来更大的发展。这也是IPv6意义最为重大之处。认识到此意义的人也越来越多，全球IPv6的部署呈加速之势。美国国防部(USADepartment of Defense)在2003年6月9日的一份IPv6提案中明确地表示将在美国个人收集整理勿做商业用途军方正规划实施的“全球信息网格(Global Information Grid, GIG)中全面部署IPv6。

5、美国国防部的目标是：到2008财政年，整个国防部的内部网络和外部网络将全面完成 向IPv6的过渡。欧洲发展IPv6的基本战略是“先移动，后固定”，希望在 IPv6方面掌 握先机，通过3G标准的部署来实现在未来互联网领域与美国并驾齐驱的目标.可E洲地区由于历史遗留的IPv4地址不足问题，看待IPv6的态度比欧美还要积极，其中以日本 和韩国为行动的先锋.日本政府把IPv6技术的确立、普及与国际贡献作为政府的基本政 策，把现有网络推进过渡到IPv6网络作为“超高速网络建设和竞争政策”的具体目标， 明确设定在2005年完成互联网向IPv6的过渡。目前日本在IPv6的研发与应用方面走在 世界的前列。韩国

6、在战略、政策、立法、项目资助、国际合作等方面也都采取了相应 才昔施。个人收集整理，勿做商业用途文档为个人收集整理，来源于网络IPv6在中国的发展并不平坦，在经历了疑虑和观望后积蓄的能量终于爆发了一一 IPv6在中国有了实质性的进展。在2003年11月26日召开的“中国IPv6应用服务研讨会” 上，中国工程院邹贺锭副院长首次正式披露了中国下一代互联网示范工程(China NextGeneration Internet勺有关情况。他表示，我国将在200研底建设成世界上堆大的IPv6 网络。中国的通信产业也很有可能由此实现跳跃式发展，步入网络设施先进国家的行列.同时,IPv6网络环境给网络安全系统带

7、来的挑战.端对端的通信随着Internet技术的迅速发展，基于端到端通信的网络应用越来越多。 但是，在IPv4 网络环境中很难开展真正的端到端通信，其根本原因是IP地址缺乏，NAT虽然暂时缓解了 IPv4中地址缺乏危机，但却破坏了端到端(endtoend)的通信,阻碍了对等网 络(P2P)的发展；IPv6继承了 IPv4中端到端和尽力而为的基本思想，IPv6拥有128位 的地址空间，可以很好地解决了现有IP协议中地址短缺的问题，确保了端到端连接的可 能性，IPv6虽然可以为上网的设备提供全球唯一的IP地址，但是这样就存在外网主机 访问到内网主机的可能性，为系统带来了安全隐患。在IPv4中，主动

8、攻击者常用的入侵手段和攻击的步骤是相似的：随机的搜索漏洞，发现漏洞并共计。搜索工具大多数是自动的不需要人工干预；他们的目标是建立IP地址库。然后为每个IP地址做漏洞的搜索，建立漏洞数据库.但是在IPv6当中，一个IPv6 地址段内可能会有成百上千万或更多的IP地址，所以通过上述方式搜索攻击目标是不 可行的.但攻击者可以刺探局域网向外发出的数据包，分析出确切的IP地址，从而对其进行漏洞扫描。所以我彳门认为，应该对IPv6子网内各个主机按安全级别的不同分类，对于安全级别较高的主机在对外通信过程中应尽可能的隐藏其真实的IP地址，从而防止黑客的漏洞扫描，预防主动攻击，例如分布式拒绝服务攻击（DD0S）

9、.移动性移动可以被视为IPv6的一项新的应用，也有人预言IPv6技术将首先被应用在移动 领域，所以MIPv6的安全问题也是IPv6网络安全系统重点考虑的.MIPv6建立了一种新 型的消息机制，叫绑定更新，它用于某设备移动到新地区时为其确定身份，这一机制可 以加速基于IPv6的无线通信。当“绑定更新”被识别后，与该设备的通信可以直接连 接转交地址（care-of address而无需通过本地地址中转（home address 。对于MIPv6环 境中的防火墙系统，要保护本地的“绑定更新”，也就是说防火墙要有“移动意识”。 本文论述的网络安全系统没有考虑 MIPv6的安全问题。. IPSe的议在I

10、Pv6协议体系中.IPSe的议集是强制实现的，安全协议是作为IPv6的扩展头部 出现的；IPSec已经在IPv4环境中得到了广泛地应用.安全协议是作为IPv4附加组件出 现的。IPSe的议集主要是作为虚拟专用网（VPN）的解决方案.由于IPv4中NAT的使 用，破坏了端到端的通信，也就无法应用IPSe冰保障端到端通信的安全，所以只是实现 了网关到网关的加密和认证。在IPv6网络环境中。IPSect可以很好地保障端到端通信 的安全。但是这也为我们带来了新的网络安全问题：防火墙将无法过滤应用IPSe成全协议（ESP）通信的数据流口，如果防火墙直接让IPSe嗷据包通过，这是很不安全的。 例如对内网中

11、的主机实施DoS攻击。为了解决上述问题，有两种解决方案可以考虑：IPv6防火墙拦截IPSecgC据流,建立两种加密通道：一种是从内网主机到防火 墙；另一种是从防火墙到远程主机。防火墙首先把来自远程主机的IPSe嗷据包解密，然后应用防火墙安全策略，如果允许其通过，则将该数据包打包 加密后再传送给内网主机。这种解决方案虽然可以解决问题，但是存在很大 的弊端：?破坏了端到端（endto-end）的安全通信；?需要一套复杂而完善的密钥管理协议，还需要进行多重的加密/解密、计算 ICV值的工作，极大耗费系统资源.所以从安全和效率角度考虑，此方案是不能接受的。对网络中应用IPSe的议的每一节点，实施集中式

12、管理，控制每一个节点的行 为。个人收集整理勿做商业用途.路径最大传输单元（PMTU）发现机制路径最大传输单元发现机制是IPv6的一个新特性.和IPv4不同，在IPv6网络中，中 问路由器不负责为数据包分片的任务，只有源节点才能为数据包分片，所以在源节点 就应该知道由源节点到目的节点的路径最大传输单元（PMTU）,为了达到这一目标，IPv6的设计者设计了一种新型的ICMPv6数据包，如果路由器收到的数据包的大小超 出下一跳链路的MTU时，该路由器就会向源节点发送一个类型为2代码为0的ICMPv6数据包，数据包中的MTU字段指明了下一跳链路的最大传输单元。对实现PMTU机制的ICIVlPv6数据包

13、，如果IPv6防火墙直接将其抛弃会带来很严 重的后果，导致通信失败：如果防火墙不加任何判断直接让其通过，也会给黑客带来 了可乘之机.所以IPv6防火墙要慎重考虑是否让其通过，网络现有的连接状况是防火墙 的主要依据。目前，FreeBSD、Linux、Windows等操作系统都已经实现了 IPv6协议栈，FreeBSD 中内嵌IPv6防火墙-IP6fW,它只是提供简单的IPv6包过滤功能，不能实现基于状态检 测的包过滤；Linux 2. 4内核中集成Nefilter状态包过滤系统框架，Nefilter支持IPv4、 IPv6、IPX等等协议栈；Windows XP在SP1版本后，操作系统集成IPv

14、6防火墙。国外主流的网络设备厂商和安全厂商对IPv6越来越重视，从2001年开始已纷纷推 出了支持IPv6的正式或beta本的产品，下面以下列厂商为代表略加概述：Cisco： IOS从版本12.1己开始支持IPv6, Cisco在IOS中创建访问控制表（Access Control Lists）用来实现其路由器产品对IPv6数据包白过滤。Cisco在北美IPv6高峰会议 上演示了其OS防火墙的过滤功能，该防火墙可以进行 IPv6通信量的全状态检测，这意 味着它可以根据前面收到的信息包情况检商后面的每个信息包， 有助于防范DoS攻击。CheckPoint: CheckPointM示了支持IPv6

15、技术、PeeLtoPee等一系列新型网络应 用的防火墙:Check Point FireWall-1。NetScreen： 2010年7月，NetScreen布了支持 IPv4/v6双栈的 ScreenOSbeta本 （ScreenOS!用于NetScreen成防火墙和VPN的软件平台）。最新版本的 ScreenOSi 持IPv6防火墙和加密数据通讯的功能，并能够提供对于DDOS的攻击的防范。该公司预 计在2011年的下半年中将推出支持IPv6功能的正式产品.国内有许多大学和公司都在从事IPv6的研究与开发，努力在国际IPv6领域内争 取属于自己的位置.对于一个成熟的IPv6网络安全系统来说，

16、应具有以下特点个人收集整理勿做商业用途1）高速性：新一代纯IPv6协议的网络的带宽将会很高，用户接入端的带宽将在 1G以上。网络安全设备不应成为系统的瓶颈.2）动态自适应性：新一代网络将同 WLAN和Mobile IPv6融合得更加紧密，安全设 备应能有一定动态变化和自适应的能力，为跨进服务区域的移动节点提供特定的安全 防护。3）保护节点间通信内容的机密性和完整性：新一代网络之所以被称为是一个更安 全的网络就是因为其不仅能提供对网络中通信节点的保护也能通过IPseCI供对节点问通信内容的保护。4）有区分服务的能力：服务质量的保障是通过端对端的控制来实现的，在数据 包路径中所经过的每一点都应有保

17、障服务质量的能力。安全系统通过使用IPv6报头中的flow label和priority应能在网络拥塞时为特定服务提供特定的服务质量。5）分布式；在IPv6网络环境中，不能认为网络攻击只来自于外部网络，传统的边界安全网关网络安全模型是不合适的，应该设计一种分布式的网络安全模型。分布式 网络安全模型符合下列标准：分布式网络安全必须很容易地从一个地方集中管理，并且配合现有应用程序的管理框架；为了确保对信息系统提供足够保护，边缘安全网关必须能够应用详细的安全 策略，并且在不需要与主机联系或重新开机的情况下，将安全策略分发到每个受保护的主机上；边缘安全网关能够接收由受保护主机发来的报警信息，并通过对报

18、警信息的分析更新主机的安全策略。前人在本选题研究领域中的工作成果简述虽然IPv6的防火墙市场跟IPv4的比起来是小的多（有一些显着的理由）,不过 有些厂商正要或已经开始提供IPv6过滤的解决办法.IPv6过滤至少在思科的路由器 中已经有提供，以及一些日本的厂商，例如日立（ Hitachi ） 。Juniper Networks 的路由器产品也支持IPv6过滤。Checkpoint在2007年九月也宣布他们准备要提供 IPv6的防火墙。思科在这年的11月将会提供延伸的ACL在他们的IOS当中，且也将展 开 IPv6 CBAC（Context Base Access Control）与 Cisco

19、 PIX 防火墙的开发工作。6Wind个人收集整理勿做商业用途公司提供了一个完整的防火墙与过渡到IPv6的解决方案。NetScreen也致力于把IPv6 放进他的防火墙产品中。开放源码的防火墙也把IPv6过滤处理的很好。基于加州理工大学的 Berby的研究成果，Linux核心已经包含了能够过滤IPv6 的Netfilter 套件。不过这过滤器只有基本的过滤，并没有状态过滤。在BSDS边，OpenBSDM乍系统的圭包过滤器（称为pf,见PF）已经相当完整（能做到状态过滤）， 且只有处理IPv6延伸的工作还在进行中，相同的东西也被称为IP Filter 。 Unix系统 下开发的IPv6过滤套件，

20、用于 Sun Solaris, FreeBSD 与NetBSD也能做IPv6的封 包过滤，不过不能在这些封包上做状态过滤。研究方案本选题研究的主要内容和重点主要内容.介绍新一代网络协议IPv6,从其地址构成，优点等方面进行论述， 对其头部进行分析，说明ICMPv6的一些知识，对IPv6的网络安全进行了 概述。.分析研究网络安全技术，主要介绍防火墙技术、虚拟专用网和入 侵检测技术，对IPv6网络安全系统进行论述。.对Linux中IPv6协议栈进行分析研究，分析说明Linux内核中几 个重要的结构，对Linux网络设备初始化和路由系统进行论述说明.基于对Linux中IPv6协议栈的分析设计实现一个

21、IPv6环境下的 基于状态检测的包过滤防火墙.设计其整体架构，对其中重要模块实现流程 进行了分析，进行仿真测试.重点重点对IPv6网络安全技术现状进行分析和研究，在此基础上分析Linux 系统IPv6协议栈，并根据分析研究成果实现一个基于状态检测的 IPv6包过 滤防火墙。技术方案的分析、选择本课题主要是分析Linux系统IPv6协议栈，并根据分析研究成果实现一个基于个人收集整理勿做商业用途状态检测的IPv6包过滤防火墙.防火墙是位于一个或多个安全的内部网络和非安全的 外部网络或Internet之间的进行网络访问控制的网络设备.防火墙的目的是防止不期 望的或未授权的用户和主机访问内部网络，确保

22、内部网正常安全运行。可以认为，在 引入防火墙之后内部网和外部网的划分边界是由防火墙决定的，必须保证内部网和外部网之间的通信经过防火墙进行，同时还需保证防火墙自身的安全性；防火墙是实施内部网安全策略的一部分，保证内部网的正常运行不受外部干扰.而基于包过滤技术的防火墙，例如:IP地址、端口号，来对包进行过滤.所以我准备重点学习IPv6技术, 分析其协议,同时学习掌握Linux平台下系统开发的相关知识。1。分析研究包过滤防火墙技术包过滤技术，历史上最早在路由器上实现，称之为包过滤路由器，根据用户定义的内容，例如：IP地址、端口号，来对包进行过滤。包过滤防火墙在网络层对数据包 进行检查，并且与应用服务

23、无关(Application independent ),这使得包过滤防火 墙具有良好的性能和易升级性。但是，包过滤防火墙是安全性最差的一类防火墙，因 为包过滤不能根据应用层的信息对包进行过滤，这意味着，包过滤对应用层的攻击行 为是无能为力的，这使得包过滤比较容易被攻击者攻破.所以现在的包过滤防火墙一般采用基于状态检测的包过滤防火墙技术，这种防火墙技术基于包过滤，实现了状态包过滤而且不打破原有客户服务器模式，克服了纯粹防火墙的限制.在状态包过滤防火墙中，数据包被截获后，状态包过滤防火墙从数据 包中提取连接状态信息(TCP的连接状态信息，如：源端口和目的端口、序列号和确认 号、六个标志位；以及U

24、DPffi ICMP的模拟连接状态信息)，并把这些信息放到动态 连接表中动态维护。当后续数据包来时，将后续数据包及其状态信息和其前一时刻的 数据包及其状态信息进行比较，防火墙系统就能做出决策：后续的数据包是否允许通 过，从而达到保护网络安全的目的。由于状态包过滤是基于包过滤的，它保留了包过 滤的高性能，速度快。与应用级网关相比，状态包过滤防火墙使用用户定义的过滤规 则，而不依赖预先定义的应用信息，执行效率比应用级网关高，而且它不识别特定的 应用层信息，因此不用像应用级网关那样，为不同的应用代理服务提供不同的应用进 程，伸缩性好.简而言之，状态包过滤提供了一种高安全性、高性能的防火墙机制， 而且

25、容易升级和扩展，透明性好。2.Linux系统IPv6协议栈分析和其系统下的软件开发对Linux系统IPv6协议栈几个重要的数据结构进行分析，对Linux内核中sk_buff结构、net_device 结构、FIB、neighbour结构进行分析，对Linux网络系统个人收集整理勿做商业用途分层结构、Linux协议栈的接收发送过程进行说明，对网络系统初始化和路由系统进 行了研究。Linux操作系统是开放源码的操作系统，在很多系统的开发中，系统自身灵活性给 系统开发带来很大的便利和好处。在目标系统对性能要求很高的情况下，系统设计开 发过程中必将涉及到对内核的剪裁与修改，因此我们选用Linux作为目

26、标系统的开发和运行平台。实施技术方案所需的条件软件条件：LINUX操作系统（内核版本：2。4）硬件条件：交换机1台（支持IPv6协议）；PC机4台（用于开发和测试）服务器1台（用于测试环境）存在的主要问题和技术关键技术关键主要有两个方面的内容，一是对Linux系统IPv6接收和发送过程进行分 析研究，对IPv6包进行协议解析.二是防火墙的规则表的设计.预期能够达到的研究目标分析Linux系统IPv6协议栈，主要对相关的几个数据结构进行研究解析，在此 基础上设计实现一个IPv6网络环境中使用的基于状态检测的包过滤防火墙并进行仿 真测试。研究计划进度表选题和编写开题报告：1 2个月；课题研究和编写

27、论文：5-7个月；答辩准备：1-2个月经费预算无。5.参考文献1 Y. Rekhter. CIDR and Glassful Routing ” RFC817 S. IETF. 1995.Pete Ldshin. IPv6详解” M机械工业出版.2000.Sandeep Knmar. CLASSIFICATION AND DETECTION OF COMPUTER INTRUSIONS ” PhD thesis M . Purdue University . 2010.林曼药，钱华林.“入侵检测系统：原理、入侵隐藏与对策” Cf11 .微电子学与计算机.2002,S. Kent, R. Atk

28、inson. IP Authentication Headed ”RFC2402S . IETF. 1998.S. Kent, R. Atkinson . IP Encapsulating Security Payload ( ESP)RFC2406 S . IETF . 1997A . Coma. S. Deering,Internet Control Message Protocol(IPv6 ) for the InternetProtocol Version 6(IPv6) SpecificationRFC2463M , IETF, 1998.Cuppens F. Managing Alerts in a Multi intrusion Detection Environment C Appl ications Conference. 200112.Debar H , Wespi A . Aggregation and Correlation