1、IPV6網絡安全技術研究作者:日期:學位論文(設計)選題的目的和意義現有的互聯網協議是IPv4, IPv6是下一代的互聯網協議，它的提出最初是因為隨 著互聯網的迅速發展，IPv4定義的有限地址空間將被用盡，地址空間的不足必將嚴重 影響互聯網的進一步發展。為了擴大地址空間，解決這個問題，計劃通過IPv6重新定 義互聯網的地址空間.IPv4采用32位長度，只有大約43億個地址，而且在2010年 11月已經被分配殆盡，而IPv6采用128位長度.幾乎可以不受限制地提供地址.據估 算IPv6實際可分配的地址，相當于可以為地球每平方米分配1000多個地址.雖然網絡地址轉換(Nerwork Address

2、 Translation , NAT等技術的廣泛使用，大大減緩了 IP地址枯竭的速度，但是，這種技術破壞了 IP協議端到端(End-to-End )的基本原 則，在很大程度上破壞了 Internet的授權和鑒定機制，同時也無法從根本上徹底解決 IP地址枯竭的問題；止匕外，越來越多的商業機構和政府部門都希望自己在網絡上傳送 的敏感信息，不會被非授權者截獲，而 IPv4在設計之初，是基于可信任的內部網， 基本忽略了網絡本身的安全性，認為應把安全性的責任交給應用層考慮，由此導致了 在低層的網絡協議棧上不具備安全保障的弊病，而IPv6正是為了解決這些問題應運而 生的。但是新的網絡協議出現使得原有的安全

3、體系不得不作出重大調整，而且在面臨 錯綜復雜的網絡環境時，僅僅基于IPv6協議本身的網絡仍將存在巨大的安全問題，這些也成為制約IPv6網絡迅速普及的關鍵因素。因此我選擇研究IPv6網絡安全系統 關鍵技術研究作為我的學位論文選題，為IPv6真正進入大規模實用階段作好鋪墊。本選題研究領域歷史、現狀、發展趨勢分析隨著計算機網絡特別是Internet的廣泛應用，我們的生活和工作都出現了前所未有 的便利，Internet已經逐漸成為人們日常生活、工作、學習、娛樂中不可缺少的重要組 成部分.互聯網產業在經歷了 19992000年過熱的泡沫經濟和2001-2002年凄冷的寒冬 后，現階段已進入了一個相對平緩

4、的整理時期，經歷過了大喜大悲后的整個產業變得更 加理性，處在這樣一個時期的人們也就能夠保持一個較平和的心態認真地思考互聯網 的未來。當前的互聯網存在著諸多方面的缺陷，如果一味地通過引入與NAT類似的技術來維系互聯網眼前的利益將不利于互聯網未來更大的發展。這也是IPv6意義最為重大之處。認識到此意義的人也越來越多，全球IPv6的部署呈加速之勢。美國國防部(USADepartment of Defense)在2003年6月9日的一份IPv6提案中明確地表示將在美國個人收集整理勿做商業用途軍方正規劃實施的“全球信息網格(Global Information Grid, GIG)中全面部署IPv6。

5、美國國防部的目標是：到2008財政年，整個國防部的內部網絡和外部網絡將全面完成 向IPv6的過渡。歐洲發展IPv6的基本戰略是“先移動，后固定”，希望在 IPv6方面掌 握先機，通過3G標準的部署來實現在未來互聯網領域與美國并駕齊驅的目標.可E洲地區由于歷史遺留的IPv4地址不足問題，看待IPv6的態度比歐美還要積極，其中以日本 和韓國為行動的先鋒.日本政府把IPv6技術的確立、普及與國際貢獻作為政府的基本政 策，把現有網絡推進過渡到IPv6網絡作為“超高速網絡建設和競爭政策”的具體目標， 明確設定在2005年完成互聯網向IPv6的過渡。目前日本在IPv6的研發與應用方面走在 世界的前列。韓國

6、在戰略、政策、立法、項目資助、國際合作等方面也都采取了相應 才昔施。個人收集整理，勿做商業用途文檔為個人收集整理，來源于網絡IPv6在中國的發展并不平坦，在經歷了疑慮和觀望后積蓄的能量終于爆發了一一 IPv6在中國有了實質性的進展。在2003年11月26日召開的“中國IPv6應用服務研討會” 上，中國工程院鄒賀錠副院長首次正式披露了中國下一代互聯網示范工程(China NextGeneration Internet勺有關情況。他表示，我國將在200研底建設成世界上堆大的IPv6 網絡。中國的通信產業也很有可能由此實現跳躍式發展，步入網絡設施先進國家的行列.同時,IPv6網絡環境給網絡安全系統帶

7、來的挑戰.端對端的通信隨著Internet技術的迅速發展，基于端到端通信的網絡應用越來越多。 但是，在IPv4 網絡環境中很難開展真正的端到端通信，其根本原因是IP地址缺乏，NAT雖然暫時緩解了 IPv4中地址缺乏危機，但卻破壞了端到端(endtoend)的通信,阻礙了對等網 絡(P2P)的發展；IPv6繼承了 IPv4中端到端和盡力而為的基本思想，IPv6擁有128位 的地址空間，可以很好地解決了現有IP協議中地址短缺的問題，確保了端到端連接的可 能性，IPv6雖然可以為上網的設備提供全球唯一的IP地址，但是這樣就存在外網主機 訪問到內網主機的可能性，為系統帶來了安全隱患。在IPv4中，主動

8、攻擊者常用的入侵手段和攻擊的步驟是相似的：隨機的搜索漏洞，發現漏洞并共計。搜索工具大多數是自動的不需要人工干預；他們的目標是建立IP地址庫。然后為每個IP地址做漏洞的搜索，建立漏洞數據庫.但是在IPv6當中，一個IPv6 地址段內可能會有成百上千萬或更多的IP地址，所以通過上述方式搜索攻擊目標是不 可行的.但攻擊者可以刺探局域網向外發出的數據包，分析出確切的IP地址，從而對其進行漏洞掃描。所以我彳門認為，應該對IPv6子網內各個主機按安全級別的不同分類，對于安全級別較高的主機在對外通信過程中應盡可能的隱藏其真實的IP地址，從而防止黑客的漏洞掃描，預防主動攻擊，例如分布式拒絕服務攻擊（DD0S）

9、.移動性移動可以被視為IPv6的一項新的應用，也有人預言IPv6技術將首先被應用在移動 領域，所以MIPv6的安全問題也是IPv6網絡安全系統重點考慮的.MIPv6建立了一種新 型的消息機制，叫綁定更新，它用于某設備移動到新地區時為其確定身份，這一機制可 以加速基于IPv6的無線通信。當“綁定更新”被識別后，與該設備的通信可以直接連 接轉交地址（care-of address而無需通過本地地址中轉（home address 。對于MIPv6環 境中的防火墻系統，要保護本地的“綁定更新”，也就是說防火墻要有“移動意識”。 本文論述的網絡安全系統沒有考慮 MIPv6的安全問題。. IPSe的議在I

10、Pv6協議體系中.IPSe的議集是強制實現的，安全協議是作為IPv6的擴展頭部 出現的；IPSec已經在IPv4環境中得到了廣泛地應用.安全協議是作為IPv4附加組件出 現的。IPSe的議集主要是作為虛擬專用網（VPN）的解決方案.由于IPv4中NAT的使 用，破壞了端到端的通信，也就無法應用IPSe冰保障端到端通信的安全，所以只是實現 了網關到網關的加密和認證。在IPv6網絡環境中。IPSect可以很好地保障端到端通信 的安全。但是這也為我們帶來了新的網絡安全問題：防火墻將無法過濾應用IPSe成全協議（ESP）通信的數據流口，如果防火墻直接讓IPSe嗷據包通過，這是很不安全的。 例如對內網中

11、的主機實施DoS攻擊。為了解決上述問題，有兩種解決方案可以考慮：IPv6防火墻攔截IPSecgC據流,建立兩種加密通道：一種是從內網主機到防火 墻；另一種是從防火墻到遠程主機。防火墻首先把來自遠程主機的IPSe嗷據包解密，然后應用防火墻安全策略，如果允許其通過，則將該數據包打包 加密后再傳送給內網主機。這種解決方案雖然可以解決問題，但是存在很大 的弊端：?破壞了端到端（endto-end）的安全通信；?需要一套復雜而完善的密鑰管理協議，還需要進行多重的加密/解密、計算 ICV值的工作，極大耗費系統資源.所以從安全和效率角度考慮，此方案是不能接受的。對網絡中應用IPSe的議的每一節點，實施集中式

12、管理，控制每一個節點的行 為。個人收集整理勿做商業用途.路徑最大傳輸單元（PMTU）發現機制路徑最大傳輸單元發現機制是IPv6的一個新特性.和IPv4不同，在IPv6網絡中，中 問路由器不負責為數據包分片的任務，只有源節點才能為數據包分片，所以在源節點 就應該知道由源節點到目的節點的路徑最大傳輸單元（PMTU）,為了達到這一目標，IPv6的設計者設計了一種新型的ICMPv6數據包，如果路由器收到的數據包的大小超 出下一跳鏈路的MTU時，該路由器就會向源節點發送一個類型為2代碼為0的ICMPv6數據包，數據包中的MTU字段指明了下一跳鏈路的最大傳輸單元。對實現PMTU機制的ICIVlPv6數據包

13、，如果IPv6防火墻直接將其拋棄會帶來很嚴 重的后果，導致通信失敗：如果防火墻不加任何判斷直接讓其通過，也會給黑客帶來 了可乘之機.所以IPv6防火墻要慎重考慮是否讓其通過，網絡現有的連接狀況是防火墻 的主要依據。目前，FreeBSD、Linux、Windows等操作系統都已經實現了 IPv6協議棧，FreeBSD 中內嵌IPv6防火墻-IP6fW,它只是提供簡單的IPv6包過濾功能，不能實現基于狀態檢 測的包過濾；Linux 2. 4內核中集成Nefilter狀態包過濾系統框架，Nefilter支持IPv4、 IPv6、IPX等等協議棧；Windows XP在SP1版本后，操作系統集成IPv

14、6防火墻。國外主流的網絡設備廠商和安全廠商對IPv6越來越重視，從2001年開始已紛紛推 出了支持IPv6的正式或beta本的產品，下面以下列廠商為代表略加概述：Cisco： IOS從版本12.1己開始支持IPv6, Cisco在IOS中創建訪問控制表（Access Control Lists）用來實現其路由器產品對IPv6數據包白過濾。Cisco在北美IPv6高峰會議 上演示了其OS防火墻的過濾功能，該防火墻可以進行 IPv6通信量的全狀態檢測，這意 味著它可以根據前面收到的信息包情況檢商后面的每個信息包， 有助于防范DoS攻擊。CheckPoint: CheckPointM示了支持IPv6

15、技術、PeeLtoPee等一系列新型網絡應 用的防火墻:Check Point FireWall-1。NetScreen： 2010年7月，NetScreen布了支持 IPv4/v6雙棧的 ScreenOSbeta本 （ScreenOS!用于NetScreen成防火墻和VPN的軟件平臺）。最新版本的 ScreenOSi 持IPv6防火墻和加密數據通訊的功能，并能夠提供對于DDOS的攻擊的防范。該公司預 計在2011年的下半年中將推出支持IPv6功能的正式產品.國內有許多大學和公司都在從事IPv6的研究與開發，努力在國際IPv6領域內爭 取屬于自己的位置.對于一個成熟的IPv6網絡安全系統來說，

16、應具有以下特點個人收集整理勿做商業用途1）高速性：新一代純IPv6協議的網絡的帶寬將會很高，用戶接入端的帶寬將在 1G以上。網絡安全設備不應成為系統的瓶頸.2）動態自適應性：新一代網絡將同 WLAN和Mobile IPv6融合得更加緊密，安全設 備應能有一定動態變化和自適應的能力，為跨進服務區域的移動節點提供特定的安全 防護。3）保護節點間通信內容的機密性和完整性：新一代網絡之所以被稱為是一個更安 全的網絡就是因為其不僅能提供對網絡中通信節點的保護也能通過IPseCI供對節點問通信內容的保護。4）有區分服務的能力：服務質量的保障是通過端對端的控制來實現的，在數據 包路徑中所經過的每一點都應有保

17、障服務質量的能力。安全系統通過使用IPv6報頭中的flow label和priority應能在網絡擁塞時為特定服務提供特定的服務質量。5）分布式；在IPv6網絡環境中，不能認為網絡攻擊只來自于外部網絡，傳統的邊界安全網關網絡安全模型是不合適的，應該設計一種分布式的網絡安全模型。分布式 網絡安全模型符合下列標準：分布式網絡安全必須很容易地從一個地方集中管理，并且配合現有應用程序的管理框架；為了確保對信息系統提供足夠保護，邊緣安全網關必須能夠應用詳細的安全 策略，并且在不需要與主機聯系或重新開機的情況下，將安全策略分發到每個受保護的主機上；邊緣安全網關能夠接收由受保護主機發來的報警信息，并通過對報

18、警信息的分析更新主機的安全策略。前人在本選題研究領域中的工作成果簡述雖然IPv6的防火墻市場跟IPv4的比起來是小的多（有一些顯著的理由）,不過 有些廠商正要或已經開始提供IPv6過濾的解決辦法.IPv6過濾至少在思科的路由器 中已經有提供，以及一些日本的廠商，例如日立（ Hitachi ） 。Juniper Networks 的路由器產品也支持IPv6過濾。Checkpoint在2007年九月也宣布他們準備要提供 IPv6的防火墻。思科在這年的11月將會提供延伸的ACL在他們的IOS當中，且也將展 開 IPv6 CBAC（Context Base Access Control）與 Cisco

19、 PIX 防火墻的開發工作。6Wind個人收集整理勿做商業用途公司提供了一個完整的防火墻與過渡到IPv6的解決方案。NetScreen也致力于把IPv6 放進他的防火墻產品中。開放源碼的防火墻也把IPv6過濾處理的很好。基于加州理工大學的 Berby的研究成果，Linux核心已經包含了能夠過濾IPv6 的Netfilter 套件。不過這過濾器只有基本的過濾，并沒有狀態過濾。在BSDS邊，OpenBSDM乍系統的圭包過濾器（稱為pf,見PF）已經相當完整（能做到狀態過濾）， 且只有處理IPv6延伸的工作還在進行中，相同的東西也被稱為IP Filter 。 Unix系統 下開發的IPv6過濾套件，

20、用于 Sun Solaris, FreeBSD 與NetBSD也能做IPv6的封 包過濾，不過不能在這些封包上做狀態過濾。研究方案本選題研究的主要內容和重點主要內容.介紹新一代網絡協議IPv6,從其地址構成，優點等方面進行論述， 對其頭部進行分析，說明ICMPv6的一些知識，對IPv6的網絡安全進行了 概述。.分析研究網絡安全技術，主要介紹防火墻技術、虛擬專用網和入 侵檢測技術，對IPv6網絡安全系統進行論述。.對Linux中IPv6協議棧進行分析研究，分析說明Linux內核中幾 個重要的結構，對Linux網絡設備初始化和路由系統進行論述說明.基于對Linux中IPv6協議棧的分析設計實現一個

21、IPv6環境下的 基于狀態檢測的包過濾防火墻.設計其整體架構，對其中重要模塊實現流程 進行了分析，進行仿真測試.重點重點對IPv6網絡安全技術現狀進行分析和研究，在此基礎上分析Linux 系統IPv6協議棧，并根據分析研究成果實現一個基于狀態檢測的 IPv6包過 濾防火墻。技術方案的分析、選擇本課題主要是分析Linux系統IPv6協議棧，并根據分析研究成果實現一個基于個人收集整理勿做商業用途狀態檢測的IPv6包過濾防火墻.防火墻是位于一個或多個安全的內部網絡和非安全的 外部網絡或Internet之間的進行網絡訪問控制的網絡設備.防火墻的目的是防止不期 望的或未授權的用戶和主機訪問內部網絡，確保

22、內部網正常安全運行。可以認為，在 引入防火墻之后內部網和外部網的劃分邊界是由防火墻決定的，必須保證內部網和外部網之間的通信經過防火墻進行，同時還需保證防火墻自身的安全性；防火墻是實施內部網安全策略的一部分，保證內部網的正常運行不受外部干擾.而基于包過濾技術的防火墻，例如:IP地址、端口號，來對包進行過濾.所以我準備重點學習IPv6技術, 分析其協議,同時學習掌握Linux平臺下系統開發的相關知識。1。分析研究包過濾防火墻技術包過濾技術，歷史上最早在路由器上實現，稱之為包過濾路由器，根據用戶定義的內容，例如：IP地址、端口號，來對包進行過濾。包過濾防火墻在網絡層對數據包 進行檢查，并且與應用服務

23、無關(Application independent ),這使得包過濾防火 墻具有良好的性能和易升級性。但是，包過濾防火墻是安全性最差的一類防火墻，因 為包過濾不能根據應用層的信息對包進行過濾，這意味著，包過濾對應用層的攻擊行 為是無能為力的，這使得包過濾比較容易被攻擊者攻破.所以現在的包過濾防火墻一般采用基于狀態檢測的包過濾防火墻技術，這種防火墻技術基于包過濾，實現了狀態包過濾而且不打破原有客戶服務器模式，克服了純粹防火墻的限制.在狀態包過濾防火墻中，數據包被截獲后，狀態包過濾防火墻從數據 包中提取連接狀態信息(TCP的連接狀態信息，如：源端口和目的端口、序列號和確認 號、六個標志位；以及U

24、DPffi ICMP的模擬連接狀態信息)，并把這些信息放到動態 連接表中動態維護。當后續數據包來時，將后續數據包及其狀態信息和其前一時刻的 數據包及其狀態信息進行比較，防火墻系統就能做出決策：后續的數據包是否允許通 過，從而達到保護網絡安全的目的。由于狀態包過濾是基于包過濾的，它保留了包過 濾的高性能，速度快。與應用級網關相比，狀態包過濾防火墻使用用戶定義的過濾規 則，而不依賴預先定義的應用信息，執行效率比應用級網關高，而且它不識別特定的 應用層信息，因此不用像應用級網關那樣，為不同的應用代理服務提供不同的應用進 程，伸縮性好.簡而言之，狀態包過濾提供了一種高安全性、高性能的防火墻機制， 而且

25、容易升級和擴展，透明性好。2.Linux系統IPv6協議棧分析和其系統下的軟件開發對Linux系統IPv6協議棧幾個重要的數據結構進行分析，對Linux內核中sk_buff結構、net_device 結構、FIB、neighbour結構進行分析，對Linux網絡系統個人收集整理勿做商業用途分層結構、Linux協議棧的接收發送過程進行說明，對網絡系統初始化和路由系統進 行了研究。Linux操作系統是開放源碼的操作系統，在很多系統的開發中，系統自身靈活性給 系統開發帶來很大的便利和好處。在目標系統對性能要求很高的情況下，系統設計開 發過程中必將涉及到對內核的剪裁與修改，因此我們選用Linux作為目

26、標系統的開發和運行平臺。實施技術方案所需的條件軟件條件：LINUX操作系統（內核版本：2。4）硬件條件：交換機1臺（支持IPv6協議）；PC機4臺（用于開發和測試）服務器1臺（用于測試環境）存在的主要問題和技術關鍵技術關鍵主要有兩個方面的內容，一是對Linux系統IPv6接收和發送過程進行分 析研究，對IPv6包進行協議解析.二是防火墻的規則表的設計.預期能夠達到的研究目標分析Linux系統IPv6協議棧，主要對相關的幾個數據結構進行研究解析，在此 基礎上設計實現一個IPv6網絡環境中使用的基于狀態檢測的包過濾防火墻并進行仿 真測試。研究計劃進度表選題和編寫開題報告：1 2個月；課題研究和編寫

27、論文：5-7個月；答辯準備：1-2個月經費預算無。5.參考文獻1 Y. Rekhter. CIDR and Glassful Routing ” RFC817 S. IETF. 1995.Pete Ldshin. IPv6詳解” M機械工業出版.2000.Sandeep Knmar. CLASSIFICATION AND DETECTION OF COMPUTER INTRUSIONS ” PhD thesis M . Purdue University . 2010.林曼藥，錢華林.“入侵檢測系統：原理、入侵隱藏與對策” Cf11 .微電子學與計算機.2002,S. Kent, R. Atk

28、inson. IP Authentication Headed ”RFC2402S . IETF. 1998.S. Kent, R. Atkinson . IP Encapsulating Security Payload ( ESP)RFC2406 S . IETF . 1997A . Coma. S. Deering,Internet Control Message Protocol(IPv6 ) for the InternetProtocol Version 6(IPv6) SpecificationRFC2463M , IETF, 1998.Cuppens F. Managing Alerts in a Multi intrusion Detection Environment C Appl ications Conference. 200112.Debar H , Wespi A . Aggregation and Correlation