IPV6网络安全技术研究.docx

1、IPV6网络安全技术研究IPV6网络安全技术研究 作者： 日期： 1学位论文（设计)选题的目的和意义现有的互联网协议是IPv4，IPv6是下一代的互联网协议,它的提出最初是因为随着互联网的迅速发展，IPv4定义的有限地址空间将被用尽，地址空间的不足必将严重影响互联网的进一步发展。为了扩大地址空间,解决这个问题,计划通过IPv6重新定义互联网的地址空间.IPv4采用32位长度，只有大约43亿个地址，而且在2010年11月已经被分配殆尽，而IPv6采用128位长度几乎可以不受限制地提供地址.据估算IPv6实际可分配的地址，相当于可以为地球每平方米分配1000多个地址.虽然网络地址转换（Nerwor

2、k Address Translation，NAT）等技术的广泛使用,大大减缓了IP地址枯竭的速度，但是，这种技术破坏了IP协议端到端（Endto-End）的基本原则,在很大程度上破坏了Internet的授权和鉴定机制，同时也无法从根本上彻底解决IP地址枯竭的问题；此外，越来越多的商业机构和政府部门都希望自己在网络上传送的敏感信息，不会被非授权者截获，而IPv4在设计之初，是基于可信任的内部网，基本忽略了网络本身的安全性，认为应把安全性的责任交给应用层考虑，由此导致了在低层的网络协议栈上不具备安全保障的弊病,而IPv6正是为了解决这些问题应运而生的。但是新的网络协议出现使得原有的安全体系不得不

3、作出重大调整，而且在面临错综复杂的网络环境时，仅仅基于IPv6协议本身的网络仍将存在巨大的安全问题，这些也成为制约IPv6网络迅速普及的关键因素。因此我选择研究IPv6网络安全系统关键技术研究作为我的学位论文选题，为IPv6真正进入大规模实用阶段作好铺垫。1.1本选题研究领域历史、现状、发展趋势分析随着计算机网络特别是Internet的广泛应用，我们的生活和工作都出现了前所未有的便利，Internet已经逐渐成为人们日常生活、工作、学习、娱乐中不可缺少的重要组成部分.互联网产业在经历了19992000年过热的泡沫经济和2001-2002年凄冷的寒冬后,现阶段已进入了一个相对平缓的整理时期，经历

4、过了大喜大悲后的整个产业变得更加理性，处在这样一个时期的人们也就能够保持一个较平和的心态认真地思考互联网的未来。当前的互联网存在着诸多方面的缺陷，如果一味地通过引入与NAT类似的技术来维系互联网眼前的利益将不利于互联网未来更大的发展。这也是IPv6意义最为重大之处。认识到此意义的人也越来越多，全球IPv6的部署呈加速之势。美国国防部(USADepartment of Defense）在2003年6月9日的一份IPv6提案中明确地表示将在美国军方正规划实施的“全球信息网格（Global Information Grid，GIG）中全面部署IPv6。美国国防部的目标是：到2008财政年，整个国防部

5、的内部网络和外部网络将全面完成向IPv6的过渡。欧洲发展IPv6的基本战略是“先移动，后固定”，希望在IPv6方面掌握先机,通过3G标准的部署来实现在未来互联网领域与美国并驾齐驱的目标.可E洲地区由于历史遗留的IPv4地址不足问题，看待IPv6的态度比欧美还要积极，其中以日本和韩国为行动的先锋.日本政府把IPv6技术的确立、普及与国际贡献作为政府的基本政策，把现有网络推进过渡到IPv6网络作为“超高速网络建设和竞争政策的具体目标，明确设定在2005年完成互联网向IPv6的过渡。目前日本在IPv6的研发与应用方面走在世界的前列。韩国在战略、政策、立法、项目资助、国际合作等方面也都采取了相应措施。

6、个人收集整理，勿做商业用途文档为个人收集整理，来源于网络IPv6在中国的发展并不平坦，在经历了疑虑和观望后积蓄的能量终于爆发了IPv6在中国有了实质性的进展。在2003年11月26日召开的“中国IPv6应用服务研讨会”上，中国工程院邬贺铨副院长首次正式披露了中国下一代互联网示范工程（China Next Generation Internet)的有关情况。他表示，我国将在2005年底建设成世界上堆大的IPv6网络。中国的通信产业也很有可能由此实现跳跃式发展,步入网络设施先进国家的行列.同时,IPv6网络环境给网络安全系统带来的挑战.1端对端的通信随着Internet技术的迅速发展，基于端到端通

7、信的网络应用越来越多。但是，在IPv4网络环境中很难开展真正的端到端通信，其根本原因是IP地址缺乏，NAT虽然暂时缓解了IPv4中地址缺乏危机，但却破坏了端到端（endtoend）的通信,阻碍了对等网络（P2P）的发展；IPv6继承了IPv4中端到端和尽力而为的基本思想，IPv6拥有128位的地址空间,可以很好地解决了现有IP协议中地址短缺的问题，确保了端到端连接的可能性，IPv6虽然可以为上网的设备提供全球唯一的IP地址，但是这样就存在外网主机访问到内网主机的可能性，为系统带来了安全隐患。在IPv4中,主动攻击者常用的入侵手段和攻击的步骤是相似的:随机的搜索漏洞，发现漏洞并共计。搜索工具大多

8、数是自动的不需要人工干预；他们的目标是建立IP地址库。然后为每个IP地址做漏洞的搜索，建立漏洞数据库.但是在IPv6当中，一个IPv6地址段内可能会有成百上千万或更多的IP地址,所以通过上述方式搜索攻击目标是不可行的.但攻击者可以刺探局域网向外发出的数据包，分析出确切的IP地址,从而对其进行漏洞扫描。所以我们认为,应该对IPv6子网内各个主机按安全级别的不同分类，对于安全级别较高的主机在对外通信过程中应尽可能的隐藏其真实的IP地址，从而防止黑客的漏洞扫描,预防主动攻击，例如分布式拒绝服务攻击(DD0S）.2移动性移动可以被视为IPv6的一项新的应用,也有人预言IPv6技术将首先被应用在移动领域

9、，所以MIPv6的安全问题也是IPv6网络安全系统重点考虑的.MIPv6建立了一种新型的消息机制，叫绑定更新,它用于某设备移动到新地区时为其确定身份,这一机制可以加速基于IPv6的无线通信。当“绑定更新”被识别后，与该设备的通信可以直接连接转交地址(care-of address)而无需通过本地地址中转（home address）。对于MIPv6环境中的防火墙系统,要保护本地的“绑定更新”,也就是说防火墙要有“移动意识”。本文论述的网络安全系统没有考虑MIPv6的安全问题。3IPSec协议在IPv6协议体系中IPSec协议集是强制实现的，安全协议是作为IPv6的扩展头部出现的；IPSec已经在

10、IPv4环境中得到了广泛地应用安全协议是作为IPv4附加组件出现的。IPSec协议集主要是作为虚拟专用网（VPN）的解决方案.由于IPv4中NAT的使用，破坏了端到端的通信,也就无法应用IPSec来保障端到端通信的安全,所以只是实现了网关到网关的加密和认证。在IPv6网络环境中。IPSec就可以很好地保障端到端通信的安全。但是这也为我们带来了新的网络安全问题:防火墙将无法过滤应用IPSec安全协议(ESP）通信的数据流口，如果防火墙直接让IPSec数据包通过，这是很不安全的。例如对内网中的主机实施DoS攻击。为了解决上述问题，有两种解决方案可以考虑：IPv6防火墙拦截IPSec数据流,建立两种

11、加密通道：一种是从内网主机到防火墙；另一种是从防火墙到远程主机。防火墙首先把来自远程主机的IPSec数据包解密，然后应用防火墙安全策略，如果允许其通过，则将该数据包打包加密后再传送给内网主机。这种解决方案虽然可以解决问题，但是存在很大的弊端: 破坏了端到端(endto-end)的安全通信；需要一套复杂而完善的密钥管理协议，还需要进行多重的加密解密、计算ICV值的工作,极大耗费系统资源.所以从安全和效率角度考虑,此方案是不能接受的。对网络中应用IPSec协议的每一节点，实施集中式管理，控制每一个节点的行为。4路径最大传输单元（PMTU）发现机制路径最大传输单元发现机制是IPv6的一个新特性.和I

12、Pv4不同，在IPv6网络中，中间路由器不负责为数据包分片的任务，只有源节点才能为数据包分片，所以在源节点就应该知道由源节点到目的节点的路径最大传输单元（PMTU)，为了达到这一目标，1Pv6的设计者设计了一种新型的ICMPv6数据包，如果路由器收到的数据包的大小超出下一跳链路的MTU时,该路由器就会向源节点发送一个类型为2代码为0的ICMPv6数据包，数据包中的MTU字段指明了下一跳链路的最大传输单元。对实现PMTU机制的ICIVlPv6数据包，如果IPv6防火墙直接将其抛弃会带来很严重的后果，导致通信失败：如果防火墙不加任何判断直接让其通过，也会给黑客带来了可乘之机.所以IPv6防火墙要慎

13、重考虑是否让其通过,网络现有的连接状况是防火墙的主要依据。目前，FreeBSD、Linux、Windows等操作系统都已经实现了IPv6协议栈，FreeBSD中内嵌IPv6防火墙-IP6fw，它只是提供简单的IPv6包过滤功能，不能实现基于状态检测的包过滤;Linux 24内核中集成Netfilter状态包过滤系统框架，Netfilter支持IPv4、IPv6、IPX等等协议栈；Windows XP在SP1版本后，操作系统集成IPv6防火墙。国外主流的网络设备厂商和安全厂商对IPv6越来越重视，从2001年开始已纷纷推出了支持IPv6的正式或beta版本的产品，下面以下列厂商为代表略加概述：C

14、isco：IOS从版本12.1己开始支持IPv6，Cisco在IOS中创建访问控制表(Access Control Lists）用来实现其路由器产品对IPv6数据包的过滤。Cisco在北美IPv6高峰会议上演示了其OS防火墙的过滤功能，该防火墙可以进行IPv6通信量的全状态检测,这意味着它可以根据前面收到的信息包情况检商后面的每个信息包，有助于防范DoS攻击。CheckPoint: CheckPoint展示了支持IPv6技术、PeertoPeer等一系列新型网络应用的防火墙：Check Point FireWall1。NetScreen：2010年7月,NetScreen发布了支持IPv4v6

15、双栈的ScreenOS的beta版本(ScreenOS是用于NetScreen集成防火墙和VPN的软件平台）。最新版本的ScreenOS支持IPv6防火墙和加密数据通讯的功能,并能够提供对于DDOS的攻击的防范。该公司预计在2011年的下半年中将推出支持IPv6功能的正式产品.国内有许多大学和公司都在从事IPv6的研究与开发，努力在国际IPv6领域内争取属于自己的位置.对于一个成熟的IPv6网络安全系统来说，应具有以下特点:1） 高速性：新一代纯IPv6协议的网络的带宽将会很高，用户接入端的带宽将在1G以上。网络安全设备不应成为系统的瓶颈.2) 动态自适应性：新一代网络将同WLAN和Mobil

16、e IPv6融合得更加紧密,安全设备应能有一定动态变化和自适应的能力,为跨进服务区域的移动节点提供特定的安全防护。3) 保护节点间通信内容的机密性和完整性:新一代网络之所以被称为是一个更安全的网络就是因为其不仅能提供对网络中通信节点的保护也能通过IPsec提供对节点间通信内容的保护。4） 有区分服务的能力：服务质量的保障是通过端对端的控制来实现的，在数据包路径中所经过的每一点都应有保障服务质量的能力。安全系统通过使用IPv6报头中的flow label和priority应能在网络拥塞时为特定服务提供特定的服务质量。5) 分布式；在IPv6网络环境中，不能认为网络攻击只来自于外部网络，传统的边界

17、安全网关网络安全模型是不合适的，应该设计一种分布式的网络安全模型。分布式网络安全模型符合下列标准：分布式网络安全必须很容易地从一个地方集中管理,并且配合现有应用程序的管理框架；为了确保对信息系统提供足够保护，边缘安全网关必须能够应用详细的安全策略，并且在不需要与主机联系或重新开机的情况下，将安全策略分发到每个受保护的主机上；边缘安全网关能够接收由受保护主机发来的报警信息，并通过对报警信息的分析更新主机的安全策略。1.2前人在本选题研究领域中的工作成果简述虽然IPv6的防火墙市场跟IPv4的比起来是小的多（有一些显着的理由)，不过有些厂商正要或已经开始提供IPv6过滤的解决办法.IPv6过滤至少

18、在思科的路由器中已经有提供，以及一些日本的厂商，例如日立（Hitachi）。Juniper Networks的路由器产品也支持IPv6过滤。Checkpoint在2007年九月也宣布他们准备要提供IPv6的防火墙。思科在这年的11月将会提供延伸的ACL在他们的IOS当中,且也将展开IPv6 CBAC（Context Base Access Control)与Cisco PIX防火墙的开发工作。6Wind公司提供了一个完整的防火墙与过渡到IPv6的解决方案。NetScreen也致力于把IPv6放进他的防火墙产品中。开放源码的防火墙也把IPv6过滤处理的很好。基于加州理工大学的Berby的研究成果

19、，Linux核心已经包含了能够过滤IPv6的Netfilter套件。不过这过滤器只有基本的过滤，并没有状态过滤。在BSD这边，OpenBSD操作系统的封包过滤器(称为pf, 见PF)已经相当完整（能做到状态过滤)，且只有处理IPv6延伸的工作还在进行中,相同的东西也被称为IP Filter。Unix系统下开发的IPv6过滤套件，用于Sun Solaris, FreeBSD与NetBSD，也能做IPv6的封包过滤，不过不能在这些封包上做状态过滤。2研究方案2.1本选题研究的主要内容和重点a) 主要内容1.介绍新一代网络协议IPv6,从其地址构成，优点等方面进行论述，对其头部进行分析，说明ICMP

20、v6的一些知识，对IPv6的网络安全进行了概述。2.分析研究网络安全技术，主要介绍防火墙技术、虚拟专用网和入侵检测技术，对IPv6网络安全系统进行论述。3.对Linux中IPv6协议栈进行分析研究，分析说明Linux内核中几个重要的结构，对Linux网络设备初始化和路由系统进行论述说明.4.基于对Linux中IPv6协议栈的分析设计实现一个IPv6 环境下的基于状态检测的包过滤防火墙.设计其整体架构,对其中重要模块实现流程进行了分析,进行仿真测试.b） 重点重点对IPv6网络安全技术现状进行分析和研究，在此基础上分析Linux系统IPv6协议栈，并根据分析研究成果实现一个基于状态检测的IPv6

21、包过滤防火墙。2.2技术方案的分析、选择本课题主要是分析Linux系统IPv6协议栈，并根据分析研究成果实现一个基于状态检测的IPv6包过滤防火墙.防火墙是位于一个或多个安全的内部网络和非安全的外部网络或Internet之间的进行网络访问控制的网络设备.防火墙的目的是防止不期望的或未授权的用户和主机访问内部网络，确保内部网正常安全运行。可以认为，在引入防火墙之后内部网和外部网的划分边界是由防火墙决定的，必须保证内部网和外部网之间的通信经过防火墙进行，同时还需保证防火墙自身的安全性;防火墙是实施内部网安全策略的一部分,保证内部网的正常运行不受外部干扰.而基于包过滤技术的防火墙，例如:IP地址、端

22、口号，来对包进行过滤.所以我准备重点学习IPv6 技术，分析其协议,同时学习掌握Linux平台下系统开发的相关知识。1。分析研究包过滤防火墙技术包过滤技术，历史上最早在路由器上实现，称之为包过滤路由器,根据用户定义的内容，例如：IP地址、端口号，来对包进行过滤。包过滤防火墙在网络层对数据包进行检查，并且与应用服务无关（Application independent），这使得包过滤防火墙具有良好的性能和易升级性。但是，包过滤防火墙是安全性最差的一类防火墙，因为包过滤不能根据应用层的信息对包进行过滤，这意味着，包过滤对应用层的攻击行为是无能为力的，这使得包过滤比较容易被攻击者攻破.所以现在的包过滤

23、防火墙一般采用基于状态检测的包过滤防火墙技术，这种防火墙技术基于包过滤,实现了状态包过滤而且不打破原有客户服务器模式,克服了纯粹防火墙的限制.在状态包过滤防火墙中，数据包被截获后，状态包过滤防火墙从数据包中提取连接状态信息(TCP的连接状态信息，如:源端口和目的端口、序列号和确认号、六个标志位；以及UDP和ICMP的模拟连接状态信息），并把这些信息放到动态连接表中动态维护。当后续数据包来时，将后续数据包及其状态信息和其前一时刻的数据包及其状态信息进行比较,防火墙系统就能做出决策:后续的数据包是否允许通过，从而达到保护网络安全的目的。由于状态包过滤是基于包过滤的，它保留了包过滤的高性能，速度快。

24、与应用级网关相比，状态包过滤防火墙使用用户定义的过滤规则，而不依赖预先定义的应用信息，执行效率比应用级网关高，而且它不识别特定的应用层信息，因此不用像应用级网关那样，为不同的应用代理服务提供不同的应用进程，伸缩性好.简而言之，状态包过滤提供了一种高安全性、高性能的防火墙机制，而且容易升级和扩展,透明性好。2.Linux系统IPv6协议栈分析和其系统下的软件开发对Linux系统 IPv6协议栈几个重要的数据结构进行分析,对Linux内核中sk_buff结构、net_device结构、FIB、neighbour结构进行分析,对Linux网络系统分层结构、Linux协议栈的接收发送过程进行说明，对网

25、络系统初始化和路由系统进行了研究。Linux操作系统是开放源码的操作系统,在很多系统的开发中，系统自身灵活性给系统开发带来很大的便利和好处。在目标系统对性能要求很高的情况下，系统设计开发过程中必将涉及到对内核的剪裁与修改，因此我们选用Linux作为目标系统的开发和运行平台。2.3实施技术方案所需的条件软件条件:LINUX操作系统(内核版本：2。4）硬件条件：交换机1台(支持IPv6协议）； PC机4台（用于开发和测试） 服务器1台(用于测试环境)2.4存在的主要问题和技术关键技术关键主要有两个方面的内容,一是对Linux系统IPv6接收和发送过程进行分析研究，对IPv6包进行协议解析.二是防火

26、墙的规则表的设计.2.5预期能够达到的研究目标分析Linux系统IPv6协议栈，主要对相关的几个数据结构进行研究解析，在此基础上设计实现一个IPv6网络环境中使用的基于状态检测的包过滤防火墙并进行仿真测试。3研究计划进度表选题和编写开题报告：12个月;课题研究和编写论文：57个月；答辩准备:1-2个月4经费预算无。5参考文献1 YRekhter“CIDR and Glassful Routing”RFC817SIETF19952 Pete Ldshin“IPv6详解”M机械工业出版20003 Sandeep KnmarCLASSIFICATION AND DETECTION OF COMPUT

27、ER INTRUSIONS”PhD thesisMPurdue University20104 林曼药，钱华林“入侵检测系统：原理、入侵隐藏与对策”Cf11微电子学与计算机2002, 5 SKent，RAtkinson“IP Authentication Headed“RFC2402SIETF19986 SKent，RAtkinson“IP Encapsulating Security Payload（ESP）”RFC2406SIETF19977 AComaSDeering,Internet Control Message Protocol(IPv6）for the InternetProto

28、col Version 6(IPv6）SpecificationRFC2463M，IETF，19988 Cuppens FManaging Alerts in a Multiintrusion Detection EnvironmentC Appl ications Conference2001129 Debar H，Wespi AAggregation and Correlation of Intrusion detectionAlertsC Advances in Intrusion Detection2001：85-10310 Cuppens F,Miege AAlert Correla

29、tion in a Cooperative Intrusion Detection FrameworkC, Proceedings of the IEEE Symposium Security and Privacy200811 Porras P A，Fong M W,Valdes AA Mission-impact Based Approach to INFOSEC Alarm CorrelationC 2002：95-11412 贾培、曹斌、刘积，NAT与IPSec协议兼容性问题及解决方案的研究J,通信学报第32卷第2期2002年5月：148-15313 李晓峰、张玉清、李星,Linux

30、24 I山核防火墙底层结构分析J,计算机工程与应用，200214：138-140，14414 千宏建、邵佩英、张籍，基于Linux内核防火墙Neffilter的安全应用的设计方法J，小型微型计算机系统，第22卷第12期2001年12月：i516151815 庸青松，IPv6环境下的网络安全D,北京：北京邮电大学2001年3月16 李善平、刘文峰、李程远、王焕龙、王伟波，Linux内核24版源代码分析大全M,北京：机械T业出版社，2002年1月,43372517 Alessandro Rubini，Linux设备驱动程序（第二版)M,中国电力出版社2002年11月。18 伍海桑、陈茂科、陈名华等,IPv6原理与实践M，北京：人民邮电出版社，2000年7月，170-18019 宋国伟，GTK+20编程范例M,北京：清华大学出版社,2002年11月，13213820 李克洪、王大玲、董晓梅，实用密码学与计算机数据安全M，沈阳:东北大学出版社，2001年9月，529421 徐恪、吴建平、徐明伟，高等计算机网络-体系结构、协议机制、算法设计与路由器技术M，北京：机械工业山版社，2003年9月，442476