基于IPv6的互联网络安全研究

所属栏目：信息安全论文
发布时间：2014-02-19 11:57:49  更新时间：2014-02-19 11:53:48

　　当前，IPv4仍是当前互联网的重要协议，IPv6协议是在IPv4的基础上进一步的完善和发展的，被称为下一代互联网协议。

　　【摘要】随着网络技术的不断发展，作为新一代网络协议IPv6近年来受到人们越来越多的关注。本文在IPv6协议的基础上，对网络的安全进行研究，首先分析IPv6的特点及IPv4与IPv6之间转换进的方法，其次对于IPv6中的安全隐患和解决方法进行了详细的论述，最后设计了基于IPv6的入侵检测系统，并给出关键模块的流程。本文对于网络安全工程人员有着积极的意义。

　　【关键词】IPv6,互联网,安全

　　1引言

　　自上个世纪末IPv6的提出至今，IPv6协议的框架已经成熟，逐步取代IPV4成为下一代Internet协议，与IPv4相比，IPv6具有几项新特点：寻址能力得到扩展、分组头的格式得到简化、进一步提高了扩展能力、完善认证和加密机制、提供移动服务。

　　2IPv4向IPv6的过渡策略

　　从IPv4到IPv6的过渡方法有三种：双协议栈技术、隧道技术及翻译机制。当前比较常用的技术是双协议栈技术和隧道技术，翻译机制由于效率比较低，应用的范围则较少。

　　（1）双协议栈技术该技术的工作原理是将一台主机同时安装IPv6和IPv4两种协议，由于两者建立在相同的物理平台之上，且传输层协议也没有任何的区别，那么，主机就可以同时支持两种协议的通信。该技术可操作性比较强，应用方便，但是却增加了路由设置，对于网络中IP地址的耗尽问题仍然无法有效解决。

　　（2）隧道技术该技术的方法是将IPv6的数据包封装在IPv4的数据包中，经过网络传输，到达目的主机后进行解封。这是当前最有效的过渡方法，该技术同样要求在主机上安装IPv4及IPv6两种协议。隧道技术的封装如图1所示。

　　（3）协议转换技术该技术是由NAT技术转换而来，其转换技术是IPv6与IPv4之间的中间件，对于安装两种不同协议的主机来说，不需要对自身做出任何配置工作，就可以保证两者之间的正常通信。

　　3IPv6的安全机制

　　IPv6协议的安全机制是IPSec，它内置于协议之中，IPSec主要有ESP（封装安全负载）、AH（认证报头）、SA（安全连接）和IKMP（网络密钥管理协议）四部分组成。其体系结构如图2所示。

　　IPv6协议的安全系数要远远好于IPv4协议，且安全的算法不再局限于特定的算法，可以有效保证IP数据包的安全。

　　4IPv6的安全问题及策略

　　4.1IPv6的安全隐患

　　IPv6协议要优于IPV4协议，但是网络共享的特点只要还存在，IPv6同样存在着来自不同方面的威胁，主要有几个方面。

　　（1）网络病毒及木马IPv6网络中的地址数目众多，但是网络数据的传输要通过关键的服务器及路由来进行，所以当这些关键的节点受到攻击时，同样可到致整个网络系统崩溃。而木马和病毒的传播，受影响最多的节点就是路由和服务器。

　　（2）Dos攻击该方式是通过消耗目的主机资源的方式展开攻击，在IPv6协议里，地址FF01：：1表示动态分配地址，如果向该地址进行攻击，会造成整个网络系统资源的大量损失。而通过IPv6协议的安全验证机制，一方面加大自身主机的资源损失，另一方面是对合法的数据可能在计算非法数据过程中丢失。

　　（3）TCP缺陷攻击利用TCP协议的三次握手，可以保证数据的安全准确到达，但是当大量的伪造TCP报文向目的主机发送时，会占用大量的缓存空间和连接空间，致使正确的数据无法得到正确的响应和接收。

　　（4）应用服务威胁当前，网络的应用功能越来越完善，应用的范围也越来越广，与此同时，在使用具体的应用功能时，攻击者可能将一些非法的数据或木马程序移植在应用程序之中，致使网络的安全受到威胁。

　　4.2安全策略

　　针对上述的问题，我们进行有针对性地防范，主要采取的措施有几项。

　　（1）建立安全的可信网络对网络中的节点进行有效的识别，将网络中可信的、安全的网络路由和服务器进行汇总，访问时采取优先访问的原则，而对于无法识别安全性能的网络节点，则对其数据进行重点防范和及时查杀病毒木马。（2）DOS攻击的防范由于攻击者隐藏在无数的网络节点之中，而且根本没有推测攻击发起的时间和具体攻击的对象，因此，对于DOS攻击只能采取积极的防范。当前针对该攻击主要采取的方法有报文过滤、资源共享、信任链路等有效措施。

　　5基于IPv6的入侵检测系统

　　对于IPv6协议的防范，可以通过入侵检测系统来完成，对于系统来说，主要分为三部分，分别是数据输入、处理和输出。

　　系统设计的硬件平台为：若干台可以连接互联网的PC机，配置为：CPUPentium42.8G、内存2G、硬盘160G，两块网卡Intel（R）PRO/100VENetworkConnection，一块作为IPv4网络的接口，一块作为IPv6网络的接口。

　　本文所设计的入侵检测系统的设计、开发软件环境为：使用WindowsXP操作系统，它是一个双协议栈主机，IPv4协议栈操作系统自带，IPv6协议栈在WindowsXP中已经集成，可以直接安装，开发工具使用MicrosoftVisualC++6.0，WindowsXPDeviceDriversKit（WindowsXPDDK）。

　　系统主要是数据的处理部分，该部分由七个模块组成，分别是存储模块、响应模块、分析检测模块、规则处理模块、协议解决模块、数据包捕捉模块和特征库组成。

　　核心代码如下所示：

　　u_charthis_xieyi；

　　this_xieyi=（u_char）bao_type；

　　structmap_jilu*faxian_elm=NULL；

　　//处理TCP/UDP/ICMP

　　if（this_xieyi==XIEYI_TCP）{

　　faxian_elm=maptb.FaxianFromOuter（*（（u_short*）

　　retrieve_kuanjia（huancun.WZ_DST_TCPPORT）），

　　retrieve_kuanjia（huancun.WZ_SRC_IP），

　　*（（u_short*）retrieve_kuanjia（huancun.WZ_SRC_TCPPORT）），

　　this_xieyi）；

　　}

　　Elseif（this_xieyi==XIEYI_UDP）{

　　faxian_elm=maptb.FaxianFromOuter（*（（u_short*）

　　retrieve_kuanjia（huancun.WZ_DST_UDPPORT）），

　　retrieve_kuanjia（huancun.WZ_SRC_IP），

　　*（（u_short*）retrieve_kuanjia（huancun.WZ_SRC_UDPPORT）），

　　this_xieyi）；

　　}

　　Elseif（（this_xieyi==XIEYI_ICMP）&&isicmpreply（huancun））{

　　faxian_elm=maptb.FaxianFromOuter（*（（u_short*）

　　retrieve_kuanjia（huancun.WZ_ICMP_ID）），

　　retrieve_kuanjia（huancun.WZ_SRC_IP），

　　*（（u_short*）retrieve_kuanjia（huancun.WZ_ICMP_ID）），

　　this_xieyi）；

　　}

　　if（faxian_elm==NULL）//如果没有找到

　　{

　　*pIPv6_address=in6addr；

　　*pIPv6_port=0；

　　ReturnNO_MAPPING；

　　}else{//找到合适的映射表条目

　　*pIPv6_address=faxian_elm->inner_ip；

　　*pIPv6_port=faxian_elm->inner_port；

　　对于IPv6和IPv4网络之间进行通信，以保证数据准确的、实时到达，通过Ping对其进行时延测试，测试结果如表1所示。

　　6结束语

　　目前，我国纯IPv6协议的网络只是在局部的范围内应用，在相当长的一段时间内，还需要IPv4与IPv6协议彼此共存，对于两种协议之间的转换，当前国际上并没有统一的标准，在不断深入研究的过程中，会不断地改进。纯IPv6协议的安全系数相对较高，但IPv4与IPv6两者进行通信，数据包的丢失现象还存在，需要进一步地研究。

　　参考文献

　　[1]熊英.IPv4/IPv6代沟协议转换技术的设计.通信世界，2003.9.

　　[2]苏金树，涂睿，王宝生，刘亚萍.互联网新型安全和管理体系结构研究展望.计算机应用研究，2009.10.

　　[3]黄晓榕.对新一代IP协议IPv6的分析.西南财经大学，2001.5.

　　[4]杨云江，高鸿峰.IPv6技术与应用[M].清华大学出版社，2010.2.

相关期刊推荐：《通信技术》

　　《通信技术》杂志由信息产业部主管、中国电子科技集团第三十研究所主办。16开本，每月10日出版，国内外公开发行的月刊。杂志1967年创刊，是国内创办时间长、影响大的计算机专业媒体，2004版中文核心期刊。主要报道信源处理、传输、业务与系统、网络、移动通信、信息安全等方面的先进技术、理论研究成果和最新动态。杂志一直以促进民族通信事业的发展为已任，专注于通信技术以及相关领域发展与趋势的学术交流，集学术性、知识性、信息性为一体。力争搭建好一个展示、交流、探讨通信技术发展的良好平台，同时，成为一个反映当代通信技术专业发展水平的面向世界的窗口。邮发代号：62-153。

　　《通信技术》栏目设置

　　传输、移动通信、网络、通信保密、信源处理等等。

　　《通信技术》收录情况/影响因子

　　中国学术期刊(光盘版)收录期刊、中国核心期刊数据库收录期刊、万方数据库-数字化期刊群全文收录期刊、中文科技期刊数据库收录期刊。

　　复合影响因子：0.821，综合影响因子：0.612。