（计算机应用技术专业论文）基于ipv4ipv6双协议栈的联动防御系统研究与设计.pdf

基于i p v 4 i p v 6 双协议栈的联动防御系统研究与设计 摘要 基于ip v 4 ip v 6 双协议栈的联动防御系统研究与设计 中文摘要 当前i p v 4 网络正面临着越来越多的问题，特别是地址空间缺乏以及网络安全 缺陷等问题，在这种情况下新一代的i p v 6 网络成为了人们研究的重点。i p v 4 向i p v 6 的过渡不可能一蹴而就，在很长一段时间内两者会共存，不法分子很容易利用这种 共存环境下的安全漏洞进行入侵破坏。本文研究的重点就是解决i p v 4 向i p v 6 过渡 时期的网络安全防御问题。 本文工作的主要目标是设计并实现一种能够运行在i p v 6 i p v 4 并存网络环境下 的联动防御系统。本文所做的主要研究工作包括以下方面： ( 1 ) 研究分析了i p v 6 下的安全机制以及i p v 6 对传统网络安全所带来的冲击， 并对i p v 6 下特有的入侵的特点进行分析和总结，此外分析了防火墙与入侵检测系 统在实际应用中的不足，阐述了实现联动防御系统的必要性、互补性和安全性。 ( 2 ) 详细研究了i p v 4 与i p v 6 协议的特点，设计并实现了快速捕帧模块和双协 议栈的解析模块。在此基础上，设计了i p v 4 和i p v 6 入侵检测规则的语法，同时实 现了规则解析和规则匹配模块。 ( 3 ) 对i p v 6 下的数据包分片机制、t c p 流重组技术以及i p v 6 下的端口扫描原 理进行详细研究，并在此基础上设计实现了i p v 6 下的分片重组预处理器、端口扫 描预处理器和t c p 流重组预处理器。 ( 4 ) 针对当前常见的几种联动方式进行分析比较后，采用远程联动技术，并且 采用了x m l 标记语言作为联动防御系统与防火墙进行通信的联动控制消息的标记 语言，同时实现了联动防御系统端的查询报警日志模块、联动控制消息生成模块、 联动控制消息发送模块和防火墙端的过滤规则联动处理模块。 ( 5 ) 对本系统的功能模块进行了测试与分析。实验结果表明本系统具有可行性， 并且在扩展性、稳定性方面具有一定的优势。 关键词：i p v 6 ，双协议栈，联动防御系统，防火墙 作者：王源 指导老师：陆建德 a b s t r a c tt h er e s e a r c ha n dd e s i g no fi n t e r a c t i v ep r o t e c t i o ns y s t e mb a s e do ni p v 4 l p v 6d u a ls t a c k t h er e s e a r c ha n dd e s i g no fi n t e r a c t i v ep r o t e c t i o ns y s t e m b a s e do ni p v 4 i p v 6d u a ls t a c k a b s t r a c t n o w a d a y s ，t h ei p v 4n e t w o r ki ss u f f e r i n gm o r ea n dm o r ep r o b l e m s ，e s p e c i a l l yt h e l a c ko fa d d r e s ss p a c ea sw e l la st h en e t w o r ks e c u r i t yf l a w s ，s ot h en e x tg e n e r a t i o ni p v 6 n e t w o r kh a sb e c o m ep e o p l e sf o c u so ft h er e s e a r c h b u tt h et r a n s i t i o nf r o mi p v 4t oi p v 6 w i l ln o tb ec o m p l e t e di no n en i g h t ，a n dt w op r o t o c o l sw i l lc o e x i s ti nav e r yl o n gp e r i o d t h eh a c k e r sc a ni n t r u d ei n t e r n a ln e t w o r ke a s i l yi nt h ee n v i r o m e n to fi p v 4 i p v 6 c o e x i s t i n g t h i st h e s i sf o c u s e so ns o l v i n gt h ed e f e n d i n gp r o b l e m so fn e t w o r ks e c u r i t y d u r i n gt h et r a n s i t i o nf r o mi p v 4t oi p v 6 t h em a i ng o a li st o d e s i g na n di m p l e m e n t a ni n t e r a c t i v ep r o t e c t i o ns y s t e m s u p p o r t i n gb o t hi p v 6a n di p v 4n e t w o r ke n v i r o n m e n t ，a n dt h em a i nw o r km a d eb yt h i s t h e s i si n c l u d e st h ef o l l o w i n g s ： ( 1 ) r e s e a r c ha n da n a l y z et h es e c u r i t ym e c h a n i s ma n dt h ei m p a c tt ot h et r a d i t i o n a l n e t w o r ki nt h ee n v i r o n m e n to fi p v 6 ；a n a l y z ea n ds u m m a r i z et h eu n i q u ef e a t u r e so ft h e i p v 6i n v a s i o n ；a n a l y z ea n dp o i n to u tt h ed r a w b a c k so ff i r e w a l la n di d si n s e p a r a t e a p p l i c a t i o na n di l l u s t r a t e st h en e c e s s i t y , c o m p l e m e n t a r i t ya n ds e c u r i t yf o rd e v e l o p i n g i n t e r a c t i v ep r o t e c t i o ns y s t e m ( 2 ) s t u d yt h ef e a t u r e so fi p v 6 i p v 4i nd e t a i l ；d e s i g na n dc o m p l e t et h er a p i dp a c k e t s c a p t u r em o d u l ea n dt h ed u a l - s t a c ka n a l y s i sm o d u l e ；o nt h i sb a s i s ，d e s i g nt h ei p v 4 i p v 6 i n t r u s i o nd e t e c t i o nr u l es y n t a xa n dd e s i g nt h er u l er e s o l v i n ga n dm a t c h i n gm o d u l e s ( 3 ) r e s e a r c ht h em e c h a n i s mo fp a c k e t sf r a g m e n t a t i o na n dt h et e c h n i q u eo ft c p f l o wr e a s s e m b l y , a sw e l la st h ep r i n c i p l e so fp o r ts c a n n i n gu n d e ri p v 6 o nt h i sb a s i s ， d e s i g nt h ef r a g m e n t a t i o na n df l o wr e a s s e m b l yp r e - p r o c e s s i n gm o d u l ea n dt h ep o r t s c a n n i n gp r e - p r o c e s s o ru n d e ri p v 6 ( 4 ) a n a l y z i n ga n dc o m p a r et h ec u r r e n tc o m m o nm e t h o d so fi n t e r a c t i v et e c h n i q u e ； e m p l o yt h el o n g - r a n g ei n t e r a c t i v et e c h n i q u e ，a n dm a k et h ex m la st h em a r k u pl a n g u a g e f o rt h ei n t e r a c t i v ec o n t r o li n f o r m a t i o nw h i c hi su s e db yt h ei n t e r a c t i v ep r o t e c t i o ns y s t e m a n df i r e w a l lt oc o m m u n i c a t ew i t he a c ho t h e r m e a n w h i l e ，r e a l i z et h em o d u l e so fq u e r y a l a r ma n dl o g ，t h eg e n e r a t i n gm o d u l ef o ri n t e r a c t i v ec o n t r o li n f o r m a t i o n ，t h es e n d i n g 1 1 t h er e s e a r c ha n dd e s i g no fi n t e r a c t i v ep r o t e c t i o ns y s t e mb a s e do ni p v 4 i p v 6d u a ls t a c ka b s t r a c t m o d u l ef o ri n t e r a c t i v ec o n t r o li n f o r m a t i o no nt h ei n t e r a c t i v ep r o t e c t i o ns y s t e ms i d e ；a n d t h el i n k a g ep r o c e s s i n gm o d u l ef o r t h ef i l t e rr u l eo nt h ef i r e w a l ls i d e ( 5 ) t e s ta n da n a l y z et h ef u n c t i o n a lm o d u l e so f t h es y s t e m t h et e s tr e s u l t ss h o wt h a t t h es y s t e mi sf e a s i b l e ，a n dh a ss o m ec e r t a i na d v a n t a g e si nt h ea s p e c t so fe x t e n s i t ya n d s t a b i l i t y k e y w o r d s ：i p v 6 ，d u a ls t a c k ，i n t e r a c t i v ep r o t e c t i o ns y s t e m ，f i r e w a l i i i i w r i t t e nb yw a n gy u a n s u p e r v i s e db yl uj i a n d e 苏州大学学位论文独创性声明及使用授权的声明 学位论文独创性声明 本人郑重声明：所提交的学位论文是本人在导师的指导下，独立进 行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不含 其他个人或集体己经发表或撰写过的研究成果，也不含为获得苏州大学 或其它教育机构的学位证书而使用过的材料。对本文的研究作出重要贡 献的个人和集体，均已在文中以明确方式标明。本人承担本声明的法律 责任。 研究生签名：互源 日期：z o o c 6 牛 学位论文使用授权声明 苏少i 1 大学、中国科学技术信息研究所、国家图书馆、清华大学论文 合作部、中国社科院文献信息情报中心有权保留本人所送交学位论文的 复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本 人电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文 外，允许论文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分 内容。论文的公布( 包括刊登) 授权苏州大学学位办办理。 研究生签名： 互溽 日期： 乃。c 牛 导师签名缇矬e t 基于i p v 4 i p v 6 双协议栈的联动防御系统研究与设计 第一章绪论 第一章绪论弟一早珀t 匕 i p v 6 取代i p v 4 已经成为一种弘须的趋势。在全面应用i p v 6 之前，必将存在一 个i p v 4 i p v 6 长期共存的时期。本课题的研究就是在这样的过渡时期背景下展开的。 1 1 研究背景 互联网的发展极大地改变了人们的工作和生活方式。i p v 4 协议是当今互联网中 最重要的协议，但是随着网络规模的爆炸式增长以及网络技术的突飞猛进，i p v 4 协 议中固有的一些缺陷f l 】正逐渐暴露出来，如地址枯竭、安全传输和服务质量等，这 些问题已经开始阻碍互联网的进步发展。为了解决i p v 4 协议所面临的问题，1 9 9 3 年i e t f 发布了第一份i p v 6 自皮书r f c l 5 5 0 1 2 1 ：“i pn e wg e n e r a t i o n ，并成立i p n g 工作组，19 9 8 年又发布了现在使用的i p v 6 标准草案r f c 2 4 6 0 t 3 1 ，至此关于i p v 6 基 本协议方面的标准草案制定工作已经大致完成。 当前，世界各国都在争相布署i p v 6 网络。i e t f 早在1 9 9 6 年8 月就组织创建了 6 b o n e 实验网【4 j 。日本、欧洲、北美等许多国家也己经开始大规模部署i p v 6 网络。 我国在2 0 0 4 年1 2 月开通了c e r n e t 2 网络，c e r n e t 2 网络是中国第二代教育与 科研计算机网络，是目前所知世界上规模最大的使用纯i p v 6 技术的下一代互联网 主干网。 i p v 6 大规模的应用使人们不得不审慎地考虑其带来的安全问题，例如：i p v 6 协议会产生何种新的安全隐患、应该采取何种措施应对、i p v 6 下的攻击方式与i p v 4 有何区别、如何检测i p v 6 下的攻击、i p v 6 对现有的安全设备有何影响等。由于现 在的网络规模非常庞大，网络设备非常多，并且大部分设备并不支持i p v 6 ，所以i p v 4 向i p v 6 的过渡不可能一蹴而就，要在充分利用现有i p v 4 的网络设备的基础上实现 平稳过渡，避免过多的投资浪费。i e t f 已经成立了专门的工作小组v 6 0 p s 5 】来研究 过渡的技术。过渡阶段，黑客可能会创造新的攻击方式，例如利用隧道技术1 6 】把攻 击数据包隐藏在一个合法的信息包内来躲避检测等。这就产生了新的安全问题，过 渡时期存在何种安全隐患、过渡技术存在何种漏洞、网络设备需要做出何种改变等。 可见解决i p v 6 i p v 4 共存环境下的安全问题任重而道远。 第一章绪论基于i p v 4 i p v 6 双协议栈的联动防御系统研究与设计 1 2 国内外研究现状和意义 当前，国内外对于i p v 4 下的入侵检测技术、防火墙技术以及两者的联动技术 做了大量研究，并取得了卓有成效的成果，一些成熟的技术己经实现了商业化。但 是这种研究还只停留在i p v 4 的阶段。虽然已经有不少机构开始研究i p v 6 下的安全 问题，但是研究的内容主要还是集中在i p v 6 协议本身的安全性以及对i p v 4 入侵检 测系统做适合i p v 6 的相关改进。 在i p v 4 下应用最广泛的安全设备包括防火墙与入侵检测系统。但是不管是防 火墙还是入侵检测系统，如果只是将两者单独或缺乏联系地应用于网络中会出现诸 多的不足( 相关不足之处将会在后续章节详细阐述) 。由此提出了让两者实现联动的 方案，很早以前人们就提出了i p v 4 下的防火墙与入侵检测系统联动1 7 j 的方案，并推 出了相关的产品，例如，一些厂家实现了各自的安全联动协议集，如c h e c k p o i n t 公司的o p s e c 、天融信公司的t o p s e c 等；还有一些厂家推出了各自的安全联动 产品，如i i s 公司的r e a l s e c u r e 系统、c y b e r s a f e 公司的c e n t r a x 系统、s y m a n t e c 公 司的i n t r u d e r a l e r t 系统、t r u s t e di n f o r m a t i o ns y s t e m 公司的s t a l k e r s 系统、北京安软 科技有限公司的e v e r l i n k 系统等。但是上述产品都是基于i p v 4 的，不能用于i p v 6 环境，并且这些产品所使用的通信协议是不公开的，导致产品之间的兼容性比较差， 入侵信息的来源不够丰富。此外还有一些基于i p 】的联动方案q u e u e i p 6q u e u e l 8 是以集成方式实现的，缺点是防火墙性能受到限制。 综上所述，基于i p v 6 i p v 4 双协议栈的联动防御系统正好弥补了上述产品的缺 陷，它不仅支持双协议栈，而且采用了与防火墙远程联动的技术，使得防火墙能够 腾出更多的精力去处理外界的数据包，而把内部检测的任务交给联动防御系统去完 成，防火墙与联动防御系统是相互独立的系统，在性能上互不制约。当前对于该领 域的研究才刚刚起步，所以本课题的研究很有意义，为过渡时期的网络安全解决方 案带来了新的思考。 1 3 本文主要工作和贡献 本课题研究工作的主要目标是：设计并实现一种可以同时处理双协议栈数据包 的联动防御系统；设计并实现联动防御系统和防火墙的联动通信模块；设计并实现 防火墙端的联动控制消息解析与处理模块。 2 基于i p v 4 i p v 6 双协议栈的联动防御系统研究与设计第一章绪论 本论文的主要工作与贡献集中在以下几个方面： 1 ) 研究分析了i p v 6 协议的技术特点、安全机制以及i p v 6 对传统网络安全所带 来的冲击，并对i p v 6 下特有的入侵的特点进行分析和总结，此外分析了防火墙与 入侵检测系统在实际应用中的不足，阐述了实现联动防御系统的必要性、互补性和 安全性。 2 ) 研究了i p v 4 向i p v 6 过渡时期所使用的过渡技术以及过渡时期的安全问题。 3 ) 设计并实现了快速捕帧模块以及双协议栈解析模块，在此基础上设计了 i p v 4 i p v 6 入侵检测规则语法，并实现了规则解析和规则匹配模块。 4 ) 对i p v 6 下的数据包分片机制、t c p 流重组技术以及i p v 6 下的端口扫描原理 进行详细研究，并在此基础上设计实现了i p v 6 下的分片重组预处理器、端口扫描 预处理器和t c p 流重组预处理器。 5 ) 设计并实现了联动防御系统与防火墙之间的联动控制接口模块。并实现了联 动防御系统端的查询报警日志模块、联动控制消息生成模块、联动控制消息发送模 块以及防火墙端的过滤规则联动添加与删除模块。 本文除了上述的主要工作外，还在以下问题的处理上进行了创新思考并提出了 自己的解决方案： 1 ) 设计了防止非法分子利用隐蔽通道来穿透防火墙的解决方案。 2 ) 设计了针对i p s e c 加密数据包的处理方案。 3 ) 实现了远程联动方案。 4 ) 实现了针对流媒体数据包的快速检测方案。 1 4 论文组织结构 本文共分为七章，每章的主要内容如下： 第一章为绪论。介绍了论文的研究背景、国内外研究现状和意义，接着阐述了 论文的主要工作和贡献，最后给出了论文的组织结构。 第二章为i p v 6 协议与过渡方案及其安全性研究。本章首先分析了i p v 6 协议， 其次研究了i p v 6 在安全性方面的改进以及i p v 6 对传统网络所造成的影响，接着研 究了过渡阶段所采取的过渡技术以及过渡阶段的安全问题，最后重点分析了双协议 栈的实现原理、工作方式以及选路策略。 第一章绪论基于i p v 4 i p v 6 双协议栈的联动防御系统研究与设计 第三章为联动防御系统总体设计。首先对联动防御系统进行了功能模块划分， 接着设计了联动防御系统的部署方案与总体流程，然后设计了联动防御系统与防火 墙联动的体系结构，最后对联动技术进行了研究。 第四章为系统主要模块的设计与实现。本章分别设计了快速捕帧模块、 i p v 6 i p v 4 双协议栈解析模块，端口扫描预处理器、流重组预处理器、分片重组预处 理器、规则解析模块、规则匹配检测模块、输出模块，最后研究了联动防御系统对 i p v 6 下特有入侵和数据流的检测与处理。 第五章为联动相关模块的设计与实现。本章设计了报警日志查询模块、联动控 制消息生成模块、联动控制消息发送模块以及防火墙端的联动控制模块。 第六章为系统测试与结果分析。首先配置了系统的测试环境，再对系统的主要 功能和性能进行测试并且对测试结果进行了分析。 第七章为结论与展望。对全文所做的工作进行总结，并对未来的研究工作进行 展望。 4 基于i p v 4 i p v 6 双协议栈的联动防御系统研究与设计 第二章i p v 6 协议与过渡方案及其安全性 第二章i p v 6 协议与过渡方案及其安全性研究 本章首先分析了i p v 6 协议，其次研究了i p v 6 在安全性方面的改进以及i p v 6 对 传统网络所造成的影响，接着研究了过渡阶段所采取的过渡技术以及过渡阶段的安 全问题，最后重点分析了双协议栈的实现原理、工作方式以及选路策略。 2 1i p v 6 协议的分析 2 1 1i p v 6 首部分析 i 讧c 2 4 6 0 中定义的i p v 6 首部结构如图2 1 所示。 版本号 流量类型( 8 位) 流标签( 2 0 位) 载荷长度( 1 6 位)下一个首部( 8 位)跳数限制( 8 位) 源地址( 1 2 8 位1 目的地址( 1 2 8 位) 图2 1i p v 6 的首部结构 下面对i p v 6 首部中的各个字段进行分析： 1 1 版本号：i p 的版本。i p v 6 首部中该字段的值固定为6 。 2 ) 流量类型：该字段类似于i p v 4 下的服务类型字段。它为数据包提供了区别 性服务，用于处理实时数据以及任何需要特别处理的数据。目前该字段的值及如何 使用尚未在任何r f c 中定义，该字段的值默认全为0 。 3 ) 流标签：用于标识属于同一业务流的包。一个节点可以同时作为多个业务流 的发送源。流标签和源节点地址唯一标识一个业务流。 4 ) 有效载荷长度：有效载荷长度字段表示i p v 6 首部以后的剩余部分的长度( 字 节) 。此字段占1 6 位，因而i p v 6 数据包大小应在6 5 5 3 5 字节之内。但如果使用h o p b yh o p 选项扩展首部的超大净荷选项时，就能传送更大的数据包，使用此选项时 有效载荷长度被置为o 。 5 ) 下一个首部：下一个首部字段标识i p v 6 首部后的下一个协议类型。表2 1 第二章i p v 6 协议与过渡方案及其安全性基于i p v 4 i p v 6 双协议栈的联动防御系统研究与设计 列出了主要的下一个首部的值。 表2 1i p v 6 首部中下一个首部的值表 数值( 1 6 进制) 表示下一个首部类型 o逐跳选项扩展首部 6t c p 首部 1 7u d p 首部 4 l 封装i p v 6 首部 4 3 路由扩展首部 4 4分片扩展首部 4 6 资源预留协议首部 5 0 安全载荷封装( e s p ) 首部 5 1 认证( a h ) 首部 5 8i c m p v 6 首部 6 0目的地址选项扩展首部 5 9 无其它上层协议 6 ) 跳数限制：跳数限制字段类似于i p v 4 中的t t l 字段，决定了数据包能够走 多远。数据包每经过一个路由器，这个字段就会被减1 。如果该字段的值为0 ，这 个数据包就会被丢弃。 7 ) 源地址：长度1 2 8 位，指出了i p v 6 数据包的发送方地址。 8 ) 目的地址：长度1 2 8 位，指出了i p v 6 数据包的接收方地址。这个地址可以 是一个单播、组播或任意点播地址。如果使用了选路扩展首部，其中定义了一组数 据包必须经过的路由地址列表，则其目的地址可以是路由地址列表中的第一个地址 而不必是首部中的目的地址。 2 1 2i p v 6 扩展首部分析 i p v 6 网络下路由器处理速度得到很大提高，其主要原因是i p v 6 首部中去掉了 i p v 4 中的选项字段，而用扩展首部来代替，这样i p v 6 首部的长度变为固定的4 0 字 节，从而使路由器处理数据包首部的速度加快。r f c 2 4 6 0 中定义了以下六个扩展首 部： 6 基于i p v 4 i p v 6 双协议栈的联动防御系统研究与设计第二章i p v 6 协议与过渡方案及其安全性 1 ) h o p b y h o po p t i o n s ( 逐跳选项扩展首部) ：此扩展首部必须紧随在i p v 6 首部 之后。它包含数据包所经路径上的每个节点都必须检查的选项数据。由于它需要每 个中间路由器进行处理，逐跳选项只有在绝对必要的时候才会出现。到目前为止， 已经定义了两个选项：巨型净荷选项和路由器提示选项。巨型净荷选项指明数据包 的净荷长度超过i p v 6 的1 6 位净荷长度字段。只要数据包的净荷超过6 5 5 3 5 字节( 其 中包括逐跳选项首部) ，就必须包含该选项。如果节点不能转发该包，则必须回送一 个i c m p v 6 出错报文。路由器提示选项用来通知路由器，希望能够得到中间路由器 的查看和处理，即使这个包是发给其他某个节点的，例如，包含带宽预留协议信息 的控制数据包。 2 ) r o u t i n g ( 路由扩展首部) ：此扩展首部指明数据包在到达目的节点途中将经过 哪些节点。它包含数据包沿途经过的各个节点的地址列表。i p v 6 首部的目的地址是 路由扩展首部的地址列表中的第一个地址，而不是包的最终目的地址。此地址对应 的节点接收到该包之后，对i p v 6 首部和路由扩展首部进行处理，并把包发送到路 由扩展首部的地址列表中的第二个地址。如此继续，直到包到达其最终目的地。 3 ) f r a g m e n t ( 分片扩展首部) ：当数据包大于链路的最大传输单元( m t u ) 时，源 节点负责对数据包进行分片，并把分片信息存放在分片扩展首部中。 4 ) d e s t i n a t i o no p t i o n s ( 目的选项扩展首部) ：此扩展首部代替了i p v 4 选项字段。 当前唯一定义的目的选项扩展首部是在需要时把选项填充为6 4 位的整数倍。此扩 展首部可以用来携带由目的地节点检查的信息。 5 ) a u t h e n t i c a t i o n t 卅( 认证扩展首部) ：此扩展首部提供了一种机制，对i p v 6 首部、 扩展首部和净荷的某些部分进行加密的校验和的计算。 6 ) e n c r y p t e ds e c u r i t yp a y l o a d 1 0 - j - 装安全有效载荷扩展首部) ：这是最后一个扩 展首部，不进行加密。它指明剩余的净荷已经被加密，并为已获得授权的目的节点 提供足够的解密信息。 除了h o p - b y - h o po p t i o s 扩展首部必须被传输路径上的每个节点处理外，其余 扩展首部仅被数据包的目的节点处理。每个扩展首部的类型由前面的“n e x t h e a d e r 字段值标识。在i p v 6 首部和传输层协议首部之间可以有一个或多个扩展首部，也 可以一个没有。当使用了多个扩展首部时，它们的存放是有次序要求的，次序如下： 1 ) 逐跳选项包头 第二章i p v 6 协议与过渡方案及其安全性基于i p v 4 i p v 6 双协议栈的联动防御系统研究与设计 2 ) 目的选项包头 3 ) 路由选项包头 4 ) 分段包头 5 ) 认证包头 6 ) 封装有效载荷包头 2 1 3i p v 6 地址体系结构分析 有关i p v 6 地址的问题，它对是否能够成功配置i p v 6 网络环境起着至关重要的 作用，甚至对网络安全有着非常大的影响，譬如编写防火墙的过滤规则、设置联动 防御系统的检测规则等，都需要对i p v 6 的地址有很深入地了解。所以本节对于i p v 6 地址的有关技术将作较为详细的阐述。 2 1 3 1 单播地址 单播地址是一个单接口标识符，发送给该地址的数据包被传递到由该地址标识 的接口上。单播地址包括本地链路地址、本地站点地址、可聚合全球地址、回环地 址、i p v 4 兼容地址。 1 ) 本地链路地址 本地链路地址有范围限制，只能用于本地链路范围，不能通过路由器。当一个 节点启动i p v 6 时，节点的每个接口被自动配置一个本地链路地址。本地链路地址 的前缀为f e 8 0 ：1 0 ，比特1 1 到6 4 设置为o ，最后6 4 位为e u i 6 4 格式的接口标识 符【1 l 】。本地链路 全oe u i - 6 4 接口标识符 “比特 f e 8 0 ：1 0 5 4 比特 一 1 0 比特 一 图2 2 本地链路地址结构图 一个有可聚合全球单播地址的节点在本地链路上，使用默认i p v 6 路由器的本 地链路地址，而不使用路由器的可聚合全球单播地址。因为如果发生网络重新编址， 基于i p v 4 i p v 6 双协议栈的联动防御系统研究与设计第二章i p v 6 协议与过渡方案及其安全性 即单播可聚合全球前缀更改为一个新的单播可聚合全球前缀，那么总能使用本地链 路地址到达默认路由器。在网络重新编址过程中，节点和路由器的本地链路地址不 会发生变化。 2 ) 本地站点地址 本地站点地址只能用在同一个站点内，但可以通过站点内的路由器进行路由。 没有向供应商申请i p v 6 可聚合全球单播地址的组织机构可以分配使用本地站点地 址。本地站点地址不像本地链路地址被默认配置，必须手动指定。本地站点地址的 前缀为f e c o ：i o ，后面接着5 4 比特子网i d ，最后6 4 位为e u i 6 4 格式的接口标识 符i d 用于站点内的子网划分，该字段允许一个站点创建2 5 4 个子网。本地站点地 址的结构如图2 3 所示。 3 ) 可聚合全球单播地址 可聚合全球单播地址是i p v 6 地址体系中最重要的一部分，它与i p v 4 全球地址 类似。可聚合全球单播地址使用严格的路由前缀聚合，以限制全球因特网路由表的 大小。每个可聚合全球单播地址有三个部分，从供应商那里得到的前缀；供应商分 配给组织机构的一个4 8 位前缀，该组织机构就能将网络分成6 5 5 3 5 个子网；每个 节点的接口 1 2 8 比特 子网i d e u i 6 4 接口标识符 、 、。 6 4 比特 l。 f e c o ：10 5 4 比特 卜可剥 i 图2 3 本地站点地址结构图 4 ) 回环地址 i p v 6 与i p v 4 的回环地址的作用是相同的，只能把目的地址是回环地址的数据 包发送给本机而不能发送到网络上去，其格式为0 ：0 ：0 ：0 ：0 ：0 ：0 ：1 。 5 ) 与i p v 4 兼容的i p v 6 地址 该地址通常用于i p v 6 的隧道机制，携带有主机的3 2 位i p v 4 地址。 9 第二章i p v 6 协议与过渡方案及其安全性基于i p v 4 i p v 6 双协议栈的联动防御系统研究与设计 2 1 3 2 任意播地址 任意播地址是一组接口的标识符。发送给该地址的数据包被传送到由该地址标 识的所有接口中距离源节点最近的一个接口上。任意播地址包括可聚合全球地址， 本地站点地址和本地链路地址。任意播地址和单播地址在语法上是无法区别的，当 一个单播地址被分配给多个接口时，如果想把它转为任意播地址，那么被分配该地 址的节点，必须显式地配置，以便让别的节点知道这是一个任意播地址。任意播地 址的用途之一是标识一组路由器，这样节点就可以选择距离最近的一个路由器来转 发数据。 2 1 3 3 多播地址 多播地址也是一组接口的标识符。发送给该地址的数据包被传递到由该地址所 标识的所有接口上。多播地址包括，多播指定地址、被请求节点多播地址、全球多 播地址。本地链路上的所有节点都在监听多播数据包，并且能够发送多播数据包来 交换信息，以此来知道邻居节点和邻居路由器的信息。在多播地址中，范围字段用 来限制多播数据包的发送规模，标志字段指明多播地址类型，这两个字段紧跟在 f f ：8 后面各使用4 比特位。多播地址的低1 1 2 位是组i d 。多播地址结构如图2 4 所示。 l 一 ! 兰! 些壁 ，； 1 1 1 2 比特 组i d ff 围 标范 士 j 曲 - 卜一 ： 1 6 1 ：l 特 ： 图2 4 多播地址结构图 1 1 多播指定地址 r f c 2 3 7 3 1 2 1 为多播地址定义了几个保留地址，既多播指定地址。具体如下： ( 1 ) 本地链路内的所有节点的地址：f f 0 1 ：0 ：0 ：0 ：0 ：0 ：0 ：l 和f f 0 2 ：0 ：0 ：0 ：0 ：0 ：0 ：i 。 ( 2 ) 本地链路内的所有路由器地址：f f 0 1 ：0 ：0 ：0 ：0 ：0 ：0 ：2 、f f 0 2 ：0 ：0 ：0 ：0 ：0 ：0 ：2 和 f f 0 5 ：0 ：o ：0 ：0 ：0 ：0 ：2 。 1 0 基于i p v 4 i p v 6 双协议栈的联动防御系统研究与设计第二章i p v 6 协议与过渡方案及其安全性 2 ) 被请求节点多播地址 当一个节点的接口地址被配置为单播地址或任意播地址，该端口都会自动配置 一个相应的被请求节点多播地址。被请求节点多播地址由前缀 f f 0 2 ：0 ：0 ：o ：0 ：1 ：f f o o ：1 0 4 和单播或任意播地址的低2 4 位比特组成，它受限于本地 链路，主要被用于以下两个基本的i p v 6 机制： ( 1 ) 邻居发现机制【1 3 】：因为i p v 6 中不再使用a i 冲( 地址解析协议) ，所以被请求 节点多播地址被节点或路由器用来获得本地链路上邻居节点或路由器的m a c 地 址。 ( 2 ) 重复地址检测机制( d a d ) 【1 4 】：当一个节点使用无状态自动配置协议将某个 地址配置为自己的地址之前，首先利用d a d 机制来验证该地址是否已经被本地链 路上的其它节点使用。 3 ) 全球多播地址 全球多播地址用于因特网中的多播传输，通常用于多媒体应用以及数据下载服 务。i p v 6 地址体系结构如图2 5 所示。 ：1 2 8 ：1 1 2 8 f e 8 0 ：1 02 0 0 1 ：1 6f e c 0 ：1 00 ：0 ：o ：0 ：0 ：0 ：9 6 2 0 0 2 ：1 6 3 f f e ：1 6 图2 51 p v 6 地址体系结构图 2 1 4i c m p v 6 协议 i c m p v 6 实现了i p v 4 中的i c m p ，a r p 和i g m p 的功能。r f c 2 4 6 3 t 1 5 1 中定义了 1 l 第二章i p v 6 协议与过渡方案及其安全性基于i p v 4 i p v 6 双协议栈的联动防御系统研究与设计 i c m p v 6 报文被用来报告和处理数据包在传输过程中遇到的异常，比如当数据包的 大小超过m t u 值时，会给发送节点发送一个包过大的i c m p v 6 消息。i c m p v 6 报文 分为两大类：错误报文和信息报文。当i c m p v 6 首部中类型字段的值的最高位为0 的话，则表示这是一个错误报文。由此可知，错误报文的类型值为o 1 2 7 ，目前已 经定义的错误信息有：l 一目的地不可达；2 一数据包过大；3 一超时；4 一参数错误。 信息报文的类型值为1 2 8 2 5 5 ，目前已经定义的信息有：1 2 8 一回声请求；1 2 9 一回 声应答；1 3 5 一邻居请求等。i c m p v 6 报文的结构如图2 6 所示。 2 2i p v 6 在安全方面的改进 图2 6i c m p v 6 报文结构 i p v 6 在安全方面做的最大改进是强制使用了i p s e c 1 6 】协议。i p s e c 给出了应用 于d 层上网络数据安全的一整套体系结构，包括网络认证协议a u t h e n t i c a t i o n h e a d e r ( a h ) 、封装安全载荷协议e n c a p s u l a t i n gs e c u r i t yp a y l o a d ( e s p ) 、密钥管理协议 i n t e m e tk e ye x c h a n g e ( i k e ) t 1 7 】和用于网络认证及加密的一些算法等。下面重点分析 a h 与e s p 两种协议，这两种协议通过扩展首部实现。 2 2 1 网络认证协议( a h ) a h 为数据包提供完整性检查和数据来源认证，它在所有数据包头中加入一个 密码以防止重放攻击、地址欺骗攻击等。a h 通过一个只有密匙持有人才知道的数 字签名来对用户进行认证。这个签名是根据数据包头通过特别的计算得出的。a h 还能检查数据的完整性，在传输过程中无论数据发生多么小的变化，数字签名都能 把它检测出来。a h 缺省时使用m d 5 加密算法，但是由于检验机制与所使用的具体 算法无关，所以可以根据需要选用任何加密算法。 a h 可以工作在隧道模式和传输模式下，表明它既可以对两个节点间的数据流 提供认证服务，也可以对发给安全性网关或由安全性网关发出的数据流提供认证服 务。在传输模式中，a h 报头位于i p v 6 报头和传输层协议报头之间，a h 保护原始 i p 数据包的数据，也保护在传输时不发生变化的部分i p v 6 报头、a h 的传输模式如 1 2 基于i p v 4 i p v 6 双协议栈的联动防御系统研究与设计第二章i p v 6 协议与过渡方案及其安全性 图2 7 所示： 图2 7 a h 传输模式 在隧道模式中，整个原始i p 数据包都被当作有效载荷封装起来，外面附上新 的i p v 6 报头，然后再把该数据包发送到安全性网关。因此，整个原始i p 数据包以 及在传输时不发生变化的部分新的i p v 6 报头都得到了保护。a h 的隧道模式如图2 8 所示： 图2 8a h 隧道模式 a h 扩展首部的结构如图2 9 所示： 下一报头有效载荷长度 ( 1 字节)( 1 字节) 保留字段( 2 字节) 安全参数索引( 4 字节) 序列号 认证数据( h a s h 检查和) 图2 9 a h 扩展首部结构 a h 报头中各字段的含义如下： 。 1 ) 下报头：表明跟在a h 报头后面的协议类型。 2 ) 有效载荷长度：a h 报头长度。 3 1 安全参数索弓i ( s p i ) ：这是一个让数据包识别安全关联的3 2 位伪随机值。s p i 值为0 时表明没有安全关联存在。 4 ) 序列号：从l 开始的3 2 位单增序列号，不允许重复，唯一地标识了每一个 发送数据包，为安全关联提供反重放保护。接收端校验序列号为该字段值的数据包 第二章i p v 6 协议与过渡方案及其安全性基于i p v 4 i p v 6 双协议栈的联动防御系统研究与设计 是否已经被接收过，若是，则拒收该数据包。 5 ) 认证数据：包含完整性检查和。接收端收到数据包后，首先执行h a s h 计算， 再与发送端所计算的该字段值比较：若两者相等，表示数据完整；若不相等，则表 明数据包在传输过程中被修改，则丢弃该数据包。 2 2 2 封装安全有效载荷( e s p ) i p v 6 的加密服务是由e s p 协议提供的。e s p 提供了以下几种服务，其中某些服 务与a h 有所重叠： 1 ) 通过加密保证数据包的机密性。 2 ) 通过使用公共密钥加密对数据来源进行身份认证。 3 ) 通过a h 的序列号提供对抗重放攻击的服务。 4 ) 通过使用安全性网关来提供有限的业务流机密性。 e s p 使用的缺省密码算法是密码分组链接方式的数据加密标准( d e s - - c b d ) ， 与a h 一样e s p 可以采用任何合适的加密算法，也可以工作在隧道模式和传输模式 下。在传输模式中，e s p 对传输层协议报头以及数据部分进行加密。e s p 的传输模 式如图2 1 0 所示。 i pe s p t c p ，u de s p e s p 报头 报头 p 报头 应用程序数据 认证报尾 报尾 l 加密部分 图2 。1 0 e s p 传