（计算机应用技术专业论文）基于ipv6的cngi驻地网安全技术研究.pdf

哈尔滨- t 稗大学硕十学位论文 摘要 i p v 6 也被称为下一代网际协议( n e x tg e n e r a t i o ni n t e m e tp r o t o c o l ，i p n g ) 。 它是网络技术史上重要的升级之一。它将慢慢取代i p v 4 成为因特网络的基础 设施，并且将对网络产生积极的影响。它极大增加了可用地址空间，提供了 即插即用的自动配置机制，简化了网络报头格式，增加了对身份验证和私密 性的扩展，更好的支持移动i p 功能。 本文所做的工作主要有以下几个方面： ( 1 ) 通过分析i p v 6 网络面临的安全威胁，得出了其所需的安全服务及安 全机制，提出了基于i p v 6 的驻地网网络安全体系结构，并给出了各种安全技 术在安全体系结构中的位置。 ( 2 ) 分析和研究了i p v 6 过渡机制的安全问题，利用i p v 6 隧道技术中的安 全脆弱性，结合现有的网络拓扑探测发现方法，给出了一种基于主动探测的 隧道发现方法。 ( 3 ) 针对传统的防火墙缺少认证和加密功能的缺点，本文研究实现了一 种基于l i n u x 的i p v 6 防火墙技术。结合i p v 6 中的认证和加密功能，防火墙 的安全性得到了极大的提高，防火墙系统的功能更加完善。 关键词：i p v 6 ；驻地网：网络安全；防火墙 哈尔滨工程大学硕十学位论文 a b s t r a c t i p v 6i sc a l l e dt h en e x tg e n e r a t i o ni n t e m e tp r o t o c o l ( i p n g ) i t 。so n eo ft h e m o s ti m p o r t a n tu p g r a d eo ft h en e t w o r kt e c h n o l o g y i ti sg r a d u a l l yd e v e l o p i n gi n t o t h ef u n d a m e n t a li n f r a s t r u c t u r et or e p l a c et o d a y si p v 4n e t w o r k ，a n di tm a k e s p o s i t i v ei n f l u e n c et oi n t e r n e t i p v 6w i l le x t e n dt h eu s a b l ea d d r e s ss p a c e ；s u p p l y t h en e wf e a t u r eo fp l u ga n dp l a yf o rn e t w o r km a n a g e m e n t 。i tw i l ls i m p l i f yp a c k e t h e a d e r ，a d di p s e cw h i c hs u p p l ya u t h e n t i c a t i o na n de n c r y p t i o n ，a n dp r o v i d eb e t t e r s u p p o r tf o rm o b i l ei pf u n c t i o n t h em a i nw o r k si nt h i sp a p e ra r el i s t e da sf o l l o w s ： ( 1 ) t h et h r e a t so fi p v 6n e t w o r ka r ee v a l u a t e d ，a n dw h a tk i n d so fs e c u r i t y s e r v i c e ss h o u l db ee m p l o y e di ne a c hl a y e ro fl p v 6t oa g a i n s tt h et h r e a t sa r ec l e a r l y e x p l a i n e d b a s e do nt h ep r e v i o u sr e s e a r c h e s ，t h es e c u r i t ya r c h i t e c t u r eo fi p v 6 n e t w o r k si si n t r o d u c e d ，a n das e to fs e c u r i t yt e c h n i q u e sm a t c h i n gt h i sa r c h i t e c t u r e i sp r o v i d e d ( 2 ) t h i sp a p e rg i v e sat h o r o u g ha n a l y s i so ni p v 6s e c u r i t y i tf o c u s e so n s e c u r i t yp r o b l e m so fi p v 6t r a n s i t i o nm e c h a n i s m s ，p r e s e n t sa c t i v ep r o b i n gb a s e d t u n n e ld i s c o v e r ym e t h o d ( 3 ) i nv i e wo ft h et r a d i t i o n a lf i r e w a l l sl a c k i n ga u t h e n t i c a t i o na n de n c r y p t i o n f u n c t i o n ，t h ep a p e rs t u d i e dh a sr e a l i z e dak i n do ff i r e w a l lt e c h n o l o g yi ni p v 6 b a s e do nl i n u x o w et ot h ea u t h e n t i c a t i o na n de n c r y p t i o nf u n c t i o no fi p v 6 ，t h e s e c u r i t yo ff i r e w a l lh a sb e e ne n o r m o u s l ye n h a n c e d ，a n dt h ef u n c t i o no ff i r e w a l l s y s t e mi sm o r ep e r f e c t 。 k e yw o r d s ：i p v 6 ：c u s t o m e rp r e m i s e sn e t w o r k ：n e t w o r ks e c u r i t y ；f i r e w a l l 哈尔滨工程大学 学位论文原创性声明 本人郑重声明：本论文的所有工作，是在导师的指导下，由 作者本人独立完成的。有关观点、方法、数据和文献的引用已在 文中指出。除文中已注明引用的内容外，本论文不包含任何其他 个人或集体已经公开发表的作品成果。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到 本声明的法律结果由本人承担。 作者( 签字) ：盟 日期：劫口留年石月杉e t 哈尔滨丁程大学硕十学位论文 i | 第1 章绪论 1 1 课题背景 i p 网络技术的发展是令人惊讶的，随着i p 业务的迅速增长，i p 网络上应 用的不断增加，原有的i p 网正在越来越显得力不从心，i p 网络正在向下一代 网络演进。目前使用的i p 协议是i p v 4 。i p v 4 是7 0 年代制定的协议，随着全球i p 网络规模的不断扩大和用户数的迅速增长，i p v 4 协议已经不能适应发展的需 要。早在9 0 年代初，有关专家就预见到i p 协议换代的必然性，提出在下一代 网络中用i p v 6 协议取代i p v 4 。i p v 6 是在1 9 9 2 年提出来的，其主要起因是由w e b 的出现导致了i p 网的爆炸性的发展，i p 网的用户迅速增加，i p 地址空前紧张， 由于i p v 4 只用3 2 位二进制数来表示地址，地址空间很小，i p 网将会因为地址 空间的地址耗尽而无法继续发展，因而i p v 6 首先要解决的问题是扩大地址空 间，另外i p v 4 是7 0 年代提出的，而i p v 6 是9 0 年代提出，2 0 年来i p v 4 协议本身 也暴露出一些不足，i p v 6 的提出正好是一个机会，i p v 4 的不足可以在i p v 6 中 得到改进。 但是，由于i p v 6 引入了一些新的特性，如邻居发现和自动配置，增强的 移动i p 技术，多播和任播地址，以及在由i p v 4 向i p v 6 过渡时期的过渡机制 的使用等等，从而带来了一些安全上的新的风险和威胁，同时和传统的i p v 4 网络相比，安全技术和威胁方面都发生了变化，因此，对i p v 6 环境下的安全 技术相关的研究，具有相当重要的意义。 1 2 国内外i p v 6 网络现状 i p v 6 网络协议的研究及应用从其诞生之日算起己进行了几年，在世界范 围内属研究领先行列的应该是日本、欧洲、美国，中国基本上属于技术跟踪 行列。在亚洲，由于缺少地址等原因，对待i p v 6 的态度比欧美积极【。 1 2 1 国内i p v 6 发展现状 我国的i p v 6 网络现状1 2 l ：鉴于国际下一代互联网技术的飞速发展和我国 缺乏大规模下一代互联网高速试验环境的现实，2 0 0 2 年初，杨嘉墀等5 7 名 院士直接上书国务院，提出“建设我国第二代因特网的学术性高速主干网 哈尔滨丁程大学硕+ 学位论文 的建议，受到了国务院领导的高度重视，2 0 0 3 年7 月2 5 日“中国下一代互 联网c n g i 示范工程”正式启动，至此掀开了我国i p v 6 网络建设的新的一页。 c n g i 示范网络由多个主干网通过国内互联中心互联构成。具体包括： 由c e r n e t 网络中心承建的c e r n e t 2 ，以及由中国电信、中国移动、中国 联通、中国网通和中科院网络中心、中国铁通分别承建各自的下一代互联网 示范网络核心主干网。驻地i 碉( c p n ) 主要指接入单位内部的网络，即指用户 终端( t e ) 至网络运营商( i s p ) 接入节点之间的机线设备，包括通信和控 制功能以及用户驻地布线系统等，以使用户终端可以灵活方便地接入接入网， 用户驻地网的内部结构可能千差万别。 i p v 6 网络的引入主要是由教育、科研单位以技术跟踪和研究的方式进入 的，在这方面的主要带头人是中国教育科研网( c e r n e t ) ，c e r n e t 是我 国国内最早进行下一代互联网技术研究开发和应用试验的网络之一，在i p v 6 的前期引入过程中承担了大量我国i p v 6 网络研究的科研项目，如：教育部的 c e r n e t l p v 6 试验床、国家自然科学基金委员会的n s f c n e t ；国家“8 6 3 计划的i p v 6 核心技术开发、i p v 6 综合试验环境、3 t n e t 重大专项；中国下一 代互联网交换中心d r a g o n t a p ；国家计委的“下一代互联网中日i p v 6 合 作项目 等。除此以外科技网、信息产业部电信研究院传输所在i p v 6 网络的 研究和推广方面也都做出了很大的配合和研究工作。 我国与国外很多n g i 项目不同的是，国内运营商积极参与的c n g i 项目 都非常重视计费、资费和一些管理上的工作，这为未来下一代互联网的商用 打下了坚实的基础，大大加速了我国i p v 6 的商用化进程。我国运营商参与 c n g i 项目有着各自的特色，目前不同的主干网已经有不同的应用聚焦和目 标。 1 2 2 国外i p v 6 网络部署状况 国外的i p v 6 网络现状嘲； l 、6 b o n e 6 b o n e 是世界上成立最早也是迄今规模最大的全球范围的i p v 6 示范网， 1 9 9 6 年8 月由i e t f 组织创建。至u 2 0 0 2 年，6 b o n e 成为i p v 6 研究者、开发者和实 践者的主要平台。6 b o n e 并不是一个独立于i p v 4 互联网的物理网络，而是利用 2 哈尔滨t 程大学硕十学位论文 隧道技术将各个国家和地区组织维护的i p v 6 网络通过运行在i p v 4 上的互联网 连接在一起。目前6 b o n e 网络正致力于向实现非隧道的i p v 6 本地化移植。 2 、6 r e n 为了加速i p v 6 朝实用化的方向迈进，1 9 9 8 年1 2 f l ，i e t f 的i p n g 和n g t r a n s 工作组提出建立全球性的i p v 6 研究和教育网6 r e n ( i p v 6r e s e a r c ha n d e d u c a t i o nn e t w o r ki n i t i a t i v e ) 。6 r e n 的主要目标是提供高质量的i p v 6 分组传 输服务，增加运营i p v 6 网络的经验，促进i p v 6 网络的部署，以及测试早期的 i p v 6 应用。 3 、欧洲6 i n i t 6 i n i t 项目始于2 0 0 0 年1 月，该项目由欧盟第5 框架创建，共投资约 4 5 m 欧元，历时1 6 个月。其创建的目标是促进欧洲i p v 6 网的多媒体和安全 的服务。 6 1 n i t 的外部i p v 6 网络通过t e l e b i tt b c 2 0 0 0 连接，内部的单播和组播 路由在f r e e b s d3 5 p c 路由器上实现，而主机采用基于l i n u x 、w i n d o w s2 0 0 0 实现。 4 、欧洲6 n e t 和e u r 0 6 i x 2 0 0 2 年1 月欧洲同时启动了两个为期3 年的i p v 6 研究和实施计划：6 n e t 和e u r 0 6 i x 试验网。在6 n e t 计划中，将至少有1 1 个国家级的研究和教育网 络在速率高达2 5 g b s 的链路上建立纯i p v 6 网络。建立6 n e t 网的目的是为 了引入、测试新的i p v 6 服务和应用程序；测试将i p v 6 网络和现有i p v 4 体系 结构融合在一起的过渡策略；对i p v 6 网络下的地址分配、路由和d n s 操作 进行评估；促进i p v 6 技术的快速发展。 5 、欧洲a n d o i d 该项目由b r i t i s ht e l e c o m 领导，a n d o i d 项目的目的是：证明如何在基 于i p v 4 i p v 6 的基础设施上提供可以管理的、易于扩展的，可以支持按需i p 服务的网络结构。在a n d o i d 项目中所选择的应用为：公司的若干个地点及 移动用户之间的安全的电视会议。电视会议的连接的安全性由i p s e ev p n 保 证。在参与会议的固定用户和移动用户将要加入会议时，可以建立按需的i p v p n 。一旦建立，v p n 将承载电视会议的流量。l a n 上的组播被转化成若干 个w a n 上的单播，因为w a n 上不支持纯粹的组播连接。 3 哈尔滨t 程大学硕士学位论文 1 3i p v 6 网络安全研究意义 i p v 6 网络安全主要是以i p s e c 作为基石，i p v 6 和i p v 4 相比具有诸多优势： 地址空间巨大，支持分级路由结构，能进行有状态和无状态的地址培植，具 有内置的安全策略( i p s e e ) ，能更好地支持q o s 以及具有良好的可扩展性等等。 2 0 0 3 年1 0 月中国宣布即将启动c n g i 项目( 中国下一代互联网项目) ，并在2 0 0 5 年底建成世界上最大的i p v 6 网。c n g i 项目将成为整个i p v 6 产业部署进程的孵 化器和助推器。在这种国家大力支持的大好形势下，利用我们自身的科研资 源和条件，努力抓住发展契机，搭建i p v 6 的实验环境，做一些i p v 6 的研究， 推动i p v 6 的应用，为i p v 6 最p 将到来大规模商用做好技术储备是非常必要和有 意义的。而且，现有安全体系并不能完全适应i p v 6 的许多新的应用。随着i p v 6 的迅速发展，基于i p v 6 的下一代互联网的安全性研究就更加突显重要，切实 地研究出新的安全方案以解决i p v 6 和现有安全体系的兼容性问题，在当前已 成为了非常迫切的事。 1 4 本文研究的内容 本文是在哈尔滨工程大学i p v 6 驻地网与c e r n e t 2 主干网成功连接与驻 地网i p v 6 平台建设的基础上，全面认识下一代网络发展情况，联系目前的网 络安全技术，分析了i p v 6 网络安全体系架构，指出了下一代网络安全研究中 的意义，对过渡技术及其安全问题进行研究；并提出了一种基于主动探测的 隧道发现技术。然后，介绍传统的防火墙在i p v 6 网络环境下的发展，提出了 改进的基于i p v 6 的防火墙设计方案；同时完成了l i n u x 下i p v 6 防火墙的设 计与实验。 最后对以后i p v 6 网络的发展存在的问题提出了一些建议。 1 5 本文结构 第一章简述论文的研究对象、研究目的，最后对本文研究内容和文章结 构进行了介绍。 第二章介绍了下一代互联网在国内外的进展情况，i p v 6 安全技术。 第三章提出了i p v 6 驻地网的安全体系结构，并对该安全体系结构进行 了描述。 4 哈尔滨t 程大学硕十学位论文 第四章介绍i p v 4 到i p v 6 的过渡技术，对其安全问题进行研究分析；提 出了基于主动探测的隧道发现技术。 第五章研究i p v 6 下防火墙的发展，结合i p v 6 下的认证与加密，提出了改 进的防护墙设计方案。最后完成了l i n u x 下i p v 6 防火墙的设计与实验。 5 哈尔滨t 程人学硕十学位论文 i l ii i i i i i i i i i i i i i i 置i i i i i i i i i 第2 章i p v 6 网络安全技术概论 2 1i p v 6 网络安全技术 a i p n ( a l li pn e t w o r k ) 是网络发展的主要方向，而i p v 6 正是适应了未来网 络发展的要求。目前，各国都在积极研究基于i p v 6 的下一代网络技术。而在 网络中，最关键的技术就是安全技术，没有了安全性，一切新技术都将是空 谈。因此，研究基于i p v 6 的网络安全技术对于我国通信系统的信息保密性、 网络安全性都将具有重要的现实意义。 2 1 1 主要的几种攻击 l 、侦察( r e c o n n a i s s a n c e ) 侦察是一种基础的网络攻击方式，也是很多其他网络攻击方式的初始步 骤。网络的攻击者试图获得关于被攻击网络地址、服务、应用等各个方面尽 可能多的信息。 i p v 6 巨大的地址空间使得这种攻击变得不再容易，不过攻击者还是可以 通过运用一些策略，简化和加快子网扫描。比如，i p v 6 的地址是1 2 8 位，网络 管理员可能会使用易记的i p v 6 地址，甚至会将这些i p v 6 地址编辑成一个类似 字典的东西，病毒找至u i p v 6 主机的可能性小，但猜至t j i p v 6 主机的可能性较大。 另外，由于i p v 6 和i p v 4 要共存相当长一段时间，很多网络管理员会把i p v 4 地 址放到i p v 6 地址的后3 2 位中，攻击者也可能按此方法猜测可能的在线i p v 6 地 址。而且，攻击者虽然无法对整个网络进行系统的侦察，但总有少数主机的 i p 地址或者名字能够被攻击者找到进而实施攻击。通信子网变大使扫描变得 困难，但是新的组播地址则使攻击者发现一组关键系统变得更加容易。在i p v 6 中，r f c 2 3 7 5 定义d h c p j 艮务器地址为f f 0 5 ：3 ，则攻击者想发现这组关键系 统会很容易，使得攻击者便于进行下一步的攻击，如向这个地址发送一个i p v 6 报文，则该报文可以到达网络中所有的d h c p 服务器。所以可能会出现专门 针对这些服务器的d o s 攻击1 4 1 。又比如，i p v 6 网络中的d n s 服务器也是一个 易被攻击者看中的关键主机。如果攻击者可以攻占这台动态d n s 服务器，就 可以得到大量的在线i p v 6 的主机地址。因此，对于关键主机的安全需要特别 重视，不然攻击者就会从此处入手从而进入整个网络。网络管理员配置主机 6 哈尔滨下稃大学硕十学位论文 i p v 6 地址时，应尽量随机化，以减少这些主机被黑客发现的机会。 2 、未授权访问 i p v 6 固有的对身份验证的支持，以及对数据完整性和数据机密性的支持 和改进，使得i p v 6 增强了防止未授权访问的能力，更加适合于那些对敏感信 息和资源有特别处理要求的应用。然而，i p v 6 中规定，所有的i p v 6 主机都要 求接受并处理i p v 6 的选路扩展报文首部，并转发该包，这样黑客可以通过修 改这个选路扩展报文首部来改变报文的转发方向从而达到绕过防火墙的目 的，所以多数防火墙策略都设置不处理带有选路扩展报文首部的包。不过， 随着掌上设备的出现，要求有能够处理选路扩展首部的节点存在，所以应在 i p v 6 网络中专门设置一些节点作为m i p v 6 5 j 家乡代理节点。带选路扩展路由头 的包在被设计成m i p v 6 家乡代理的主机上可以通过，而在未被设计成m i p v 6 家乡代理的主机上会被过滤，以避免上述攻击。 与i p v 4 下的情况类似，i p v 6 下的访问控制同样依赖防火墙或者路由器访 问控制表( a c l ) 等控制策略，根据地址、端口等信息实施控制。常用于访问 控制的手段( 如防火墙) 受到了挑战。当前的防火墙主要有包过滤型和应用代 理型两种。应用代理型防火端工作在应用层，所以其受i p v 6 的影响较小。而 对于包过滤型防火墙，由于i p v 6 首部中t c p 舢d p 首部是以可扩展首部形式出 现的，其位置有了变化，防火墙必须逐个找到下一个首部，直到找到t c p 舢d p 首部才能进行过滤，这会影响到防火墙的处理性能。此外，若数据包由i p s e e 进行保护，i p s e c 必须解决在加密信道中传递的信息与如何过滤的问题。一个 加密的信道允许任何使用者跳过安全性政策的检查。要让i p s e c 端对端的安全 性扩展到所有网络必须先解决过滤i p s e c 力h 密信道的问题。如果i p s e c 提供的 是端到端的加密保护，防火墙就无法解密，也就无从知道t c p 舢d p 端口号。 这样防火墙就无法禁止外部用户访问本不应该对外提供的服务端口。 3 、n d ( n e i g h b o rd i s c o v e r y 邻居发现) 和d h c p 攻击 在i p v 6 网络中，a r p 被i c m p v 6 t 6 】中的n d 7 】取代，i p v 6 中的n d 和i p v 4 中的 a r p 在安全性方面一样，尽管i p s e c 能使n d 较为安全，但还需考虑其如何具 体实现。目前，用于n d 的路由请求、路由通告和邻居请求、邻居通告这四种 消息都可被用于欺骗而导致n d 缓存的重写。此外，无状态自动配置信息也可 被冒充用来进行拒绝服务攻击。 哈尔滨工程大学硕士学位论文 这方面攻击可能会利用i p v 6 节点为其每一个网络接口维护的内部数据结 构。这些内部数据结构虽然方便了后续通信，也带来了一定的安全威胁，如 果不能采取措施对这些内部数据结构的生成和应用进行限制，攻击者通过在 通信的源i p v 6 节点上生成一些错误信息，就可以使目的节点收不到数据。攻 击者可以采取两种手段完成这种类型的攻击： ( 1 ) 在网络上发布错误的前级、路由器信息，误导源i p v 6 节点不能正确 确定目标地址； ( 2 ) 在源i p v 6 节点解析目标地址的链路层地址时，冒充目标节点返回邻 居通告； 这两种方式的目的都是使i p v 6 节点生成错误的内部数据结构信息，从而 不能正确的确定传输路径。 为了抵御针对n d 和d h c p 的攻击，关键在于使信息的接收者能够验证信 息发送者的身份，从而识别出由不法分子假冒的信息。以下3 种技术措施的综 合使用可以使i p v 6 节点识别出攻击者伪造的消息： ( 1 ) 第一条原则：任何路由器都不应该转发邻居发现消息。这就使得内 部数据结构都是关于本地链路的信息，消息交互不需要跨越网段。攻击者必 须与源i p v 6 节点处于同一链路； ( 2 ) 第一原则限定了攻击者的范围，同一链路处于一个共同的管理域之 内，可以方便地配置同一链路节点之间通信的安全参数。第二条原n - 同一 链路节点之间通信必须采用a h 进行身份认证保护，且遵循该链路上统一安全 配置； ( 3 ) 源i p v 6 节点能够正确确定路由的前提之一，在于它获知了正确的关 于本链路的前缀信息、路由器信息等，而现有的协议标准没有规定如何对收 到的所有有关本地链路的信息进行一致性验证，给攻击者提供了可能。因此 第三条原则为：同一链路上的所有路由器配置信息应该一致。否则会使源i p v 6 节点收到不同路由器发送的不一致消息。 4 、i p 分片攻击 这种攻击的原理是在i p 的分片包中，所有的分片包用一个分片偏移字段 标志分片包的顺序。但是，只有第一个分片包含有t c p 端口号的信息。当i p 分片包通过分组过滤防火墙时，防火墙只根据第一个分片包的t c p 信息判断 8 哈尔滨丁程大学硕士学何论文 是否允许通过，而其他后续的分片不作防火墙检测，直接让它们通过。这样， 攻击者就可以通过先发送第一个合法的i p 分片，骗过防火墙的检测，接着封 装了恶意数据的后续分片包就可以直接穿透防火墙，直接到达内部网络主机， 从而威胁网络和主机的安全。 i p 分片攻击在i p v 6 下的表现形式有以下三种： 首先是攻击者故意打乱正分片包到达目的节点的顺序。如果入侵检测系 统( i d s ) 以为i p 分片包总是严格按顺序到达，那么在重组过程中就无法正确识 别各个分片包的先后顺序，造成对攻击数据漏报i 引。 其次是分片包缓冲处理机制问题。在属于同一个原始i p 数据包的所有分 片包到齐之前，i d s 必须将所有先期到达的分片包放到一个缓冲区中。分片 攻击者可以通过故意不发送属于同一个原始e p 包的分片包或者故意发送多 个分片包，造成i d s 的i p 分片重组模块因为消耗掉所有内存而遗漏攻击数据甚 至崩溃。 最后是i p 分片包重叠问题。故意构造错误的分片包偏移量就能造成分片 包的重叠i d s 遇到此类问题时，就存在有两种策略：一是选择完整保留后期 到达的分片包，让后期到达的分片包覆盖先期到达分片包的重叠区域，二是 完整保留先期到达的分片包，而仅仅部分采用后到达的分片包数据，这样就 存在策略的取舍问题。因为无论采取何种策略，都有可能造成i d s 因为与被 保护网络的主机采取不同的丢弃策略而造成对攻击数据漏报。 同样，i d s 9 1 遇到了与防火墙类似的问题。i d s 分为基于网络的i d s ( n i d s ) 和基于主机的i d s ( h i d s ) 。当网络遭到入侵后，面对被加密的i p v 6 数据包， n i d s 在取证和查找原因上都变得很困难，对于使用了加密选项的i p v 6 协议进 行通信的主机，几乎无证可查。 5 、路径m t u 探查 路径m t u l l 0 1 ( 最大传输单元) 探查是i p v 6 的重要特征，虽然i p v 4 中已经存 在，不过很少用。i p v 6 数据包不像i p v 4 那样可以被中介路由器【1 1 1 分割，它只 能在源主机才允许分割。i p v 6 认为m t u 小于1 2 8 0 字节的数据包是非法的，处 理时会丢弃m t u 小于1 2 8 0 字节的数据包( 除非它是最后一个包) ，这有助于防 止碎片攻击。不过，源主机必须知道在通往目的主机路上的最小m t u 。为了 达到这个目标，源主机会使用路径m t u 探查，它使用i c m p v 6 的封包过大信 9 哈尔滨： 程大学硕十学位论文 息来找出最小的m t u 在通往目的主机的路上。挡住i c m p v 6 将会导致路径 m t u 探查无法正确进行，且发送主机可能会无法到达某些目的地。 由于i p v 6 是新协议，在其发展过程中必定会产生一些新的安全问题，包 括应对拒绝服务攻击( d o s ) 乏力、包过滤式防火墙无法根据访问控$ i j y u 表a c l 正常工作、入侵检测系统( i d s ) 遭遇拒绝服务攻击后失去作用、被黑客篡改报 头等问题。此外，在i p v 6 中还有一些问题有待解决，比如，i p v 6 网络的安全 管理问题，p k i 的管理至今没能解决【l2 1 ，且i p v 6 协议尚需在实践中完善。 2 1 2i p v 6 与i p v 4 网络的安全特性比较 比较i p v 4 网络和i p v 6 网络的安全问题1 1 3 , 1 4 l ，一方面会发现有些安全威胁 的原理和特征基本没有发生变化，例如嗅探攻击，应用层攻击，中间人攻击， 洪泛攻击等；另一方面，由于i p v 6 协议的引入，许多安全威胁的原理和特征 发生了显著变化，主要有侦察、非授权访问等。其中，原理和特征基本未发 生变化的安全问题可以划分为三类：网络层以上的安全问题：与网络层数据 保密性和完整性相关的安全问题；与网络层可用性相关的安全问题。 1 网络层以上的安全问题：主要是各种应用层的攻击，它们的特征和原 理没有任何变化，任何针对应用层，如w e b 服务器，数据库服务器等的攻击 都将仍然有效； 2 与网络层数据保密性和完整性相关的安全问题虽然i p v 6 提供了i p s e c 很好的保护报文的工具，但由于公私钥的问题，在没有配置i p s c e 的情况下， 偷看i p v 6 的报文仍然是可能的，因此在i p v 6 网络中，仍然可以存在嗅探和中 间人攻击； 3 与网络层可用性相关的安全问题主要是指洪泛攻击，例如常见的t c p s y n f l o o d i n g 攻击。不论在i p v 4 还是在i p v 6 的网络中，向被攻击的主机发布大 量的网络流量的攻击将是会一直存在的，虽然在i p v 6 中，追溯攻击的源头要 容易些。 不过，在i p v 6 网络中有三种i p v 4 下常见的攻击在一定程度上得以遏制。 首先，侦察攻击中病毒和蠕虫扫描地址段搜索主机的攻击。目前，病毒 和蠕虫是最让人头疼的网络攻击行为。当病毒和蠕虫在感染了一台主机之后， 就开始对其他主机进行随机扫描，在扫描到其他有漏洞的主机后，会把病毒 1 0 哈尔滨工程大学硕十学何论文 = t i i i i i i i i i 宣i i i i i i i i i i i i 宣i i 宣暑 传染给该主机。这种传播方式的传播速度在i p v 4 环境下非常迅速，但这种传 播方式因为i p v 6 地址空间的巨大而不再适用。与i p v 4 协议相比，i p v 6 协议的 默认子网地址空间是2 6 4 ，这是个庞大的天文数字。据计算，在一个拥有一万 个主机的i p v 6 子网中，假设地址随机均匀分布，以一百万次每秒的速度扫描， 发现第一个主机所需要时间的均值超过2 8 年，如果这些病毒或者蠕虫还想通 过扫描地址段的方式来搜索可用主机就会变得相当困难( 基于应用层的病毒 和互联网蠕虫在i p v 6 网络中仍然存在，包括电子邮件病毒) 。 其次是s m u r f 攻击。通过以一个假冒的源i p 地址发送i c m p 应答请求消息 给一个子网的广播地址。这样，子网上所有的终端主机都会向假冒的源地址 发送回复消息造成洪泛攻击。在i p v 4 网络中通过关闭外部路由器或防火墙的 广播特性来减少相应攻击。而i p v 6 网络中没有广播地址，其被合适的本地链 路组播地址代替。i c m p v 6 1 1 6 j 在设计上不会响应组播地址和广播地址的消息， 又不存在广播。所以，只需要在网络边缘过滤组播数据包，即可阻止由攻击 者向广播网段发送数据包而引起的s m u r f 攻击。 再次是未授权访问攻击中会发生的远程接入攻击。i p v 6 提出本地链接 ( 1 i n k 1 0 c a l ) 地址、本地站点( s i t e 1 0 c a l ) 地址和全局( g l o b a lu n i c a s t ) 地址的概念。 这样就允许一台主机的一个网卡上可以拥有多个i p v 6 的地址。如果该主机只 有本地链路地址，则只能与其所在子网内部的其它主机通讯；如果该主机拥 有本地链路和本地站点两个地址，则其不仅可与其所在子网内部的其它主机 通信，也可以和机构内其它的主机通信：该主机上也可以同时拥有三种i p v 6 地址，那么这台主机不但可以和其所在子网内部的其它主机通信，可以和机 构内其它主机通信，也可以和全球上任何其它拥有i p v 6 全局地址的主机建立 联系。这样就解决t i p v 6 中一台服务器只是让机构内部人员使用，但不想接 受外部访问的难题。从安全角度来说，这样的地址分配为网络管理员加强网 络安全管理提供了，方便。且由于i p v 6 地址是可会聚的、层次化的地址结构， 因此，在i p v 6 接入路由器对用户进入时进行源地址检查，使得i s p 可以验证其 客户地址的合法性。 在地址长度上，i p v 6 与i p v 4 相比，很明显的一个改善就是i p v 6 的1 2 8 位地址长度可以提供充足的地址空间，同时它还为主机接口提供不同类型的 地址配置。另外i p v 6 还在以下几方面表现出很高的特性。 哈尔滨t 程大学硕十学位论文 1 服务质量方面 i p v 6 数据包的格式包含一个8 位的业务流类别( c l a s s ) 和一个新的2 0 位的流标签( f l o wl a b e l ) 。它的目的是允许发送业务流的源节点和转发业务 流的路由器在数据包上加上标记，中间节点在接收到一个数据包后，通过验 证它的流标签，就可以判断它属于哪个流，然后就可以知道数据包的q o s 需 求，并进行快速的转发。 2 安全方面 在安全性方面，i p v 6 与i p 安全性( i p s e c ) 机制和服务更加紧密结合。 虽然两种i p 标准目前都支持i p s e c ( i p 安全协议) ，但是i p v 6 是将安全作为 自身标准的有机组成部分，安全的部署是在更加协调统一的层次上，而不像 i p v 4 那样通过叠加的解决方案来实现安全。通过i p v 6 中的i p s e c 可以对m 层上( 也就是运行在i p 层上的所有应用) 的通信提供加密授权，可以实现 远程企业内部网( 如企业v p n 网络) 的无缝接入，并且可以实现永远连接。 除了这一强制性安全机制外，i p s e c 还提供两种服务。认证报头( a h ) 用于 保证数据的一致性，而封装的安全负载报头( e s p ) 用于保证数据的保密性 和数据的一致性。在i p v 6 包中，a h 和e s p 都是扩展报头，可以同时使用， 也可以单独使用其中一个。作为i p s e c 的一项重要应用，i p v 6 集成了虚拟专 网( v p n ) 的功能。 3 移动i p v 6 方面 移动性无疑是互联网上最精彩的服务之一。移动i p v 6 协议为用户提供可 移动的i p 数据服务，让用户可以在世界各地都使用同样的i p v 6 地址，非常 适合未来的无线上网。 由此看来，与i p v 4 相比，i p v 6 在网络保密性、完整性方面有了更好的改 进，在可控性和抗否认性方面有了新的保证，i p v 4 中常见的一些攻击方式， 将在i p v 6 网络中失效，例如网络侦察、报头攻击、i c m p 、攻击、病毒及蠕虫 等，本地链路地址的使用也可以适当保护基础设施免受攻击。但i p v 6 不可能 彻底解决所有安全问题，如嗅探、中间人攻击、洪泛攻击、应用层攻击等。 i p v 6 协议中主要用来提供安全机制的i p s e c 作为一个网络层协议，只能负责其 下层的网络安全，不能对其上层如w e b ，e m a i l 及f t p 等应用的安全负责。因 此，只靠一两项技术并不能保证i p v 6 网络的安全，需要配合诸如认证体系、 哈尔滨丁挥人学硕十学何论文 加密体系、密钥分发体系、可信计算体系等多种手段，将各种安全协议有效 结合起来才能降低攻击的可能性，保障i p v 6 网络的安全。 2 2i p v 6 安全性概述 目前基于i p v 4 的网络安全机制只建立在应用程序级( 如e m a l l 加密、 h ”曙以及s s l 等接入安全) ，无法从i p 层来保证网络的安全。为此，i e t f 从1 9 9 5 年开始研究制定了一套i p 安全( i ps e c u r i t y ，i p s e c ) 协议用来保障i p 层的安全。通过集成i p s e c ，i p v 6 实现了i p 级的安全，因而i p s e c 便成为了 i p v 6 的安全体系架构的核心。i p v 6 将网络安全协议( i p s e c ) 集成到协议内部， 从此i p s e c 将不单独存在，而是作为i p v 6 协议固有的一部分贯穿于i p v 6 的 各个部分。具体如下： o ) i p v 6 针对网络安全做出的最大举措就是集成了i p s e c ，这对i p v 6 网络 实现全网的安全认证和加密封装提供了协议上的保证； 地址解析放在互联网控制协议( i c m p ) 的协议层使得i c m p 协议与地址 解析协议( a r p ) 相比与介质的耦合性更小，而且可以使用标准的i p 认证机制； 除了i p s e c 和i p v 6 本身对安全所作的举措之外，其他的安全防护机制 在i p v 6 上仍然有效。 i p v 6 网络的安全性主要体现在3 个层面，即协议安全、网络安全和安全 加密的硬件实现。在协议安全层面上，i p v 6 的认证头( a 1 1 ) 和封装安全载荷 ( e s p ) 信息安全封装扩展头结合多样的加密算法可以满足协议层面的安全需 求。在a l l 认证方面，加密算法可采用h m a cm d 59 6 、h m a cs h al9 6 等认 证加密算法，在e s p 封装方面经常采用的算法有d e sc b c 、3 d e sc b c 以 及n u l l 等3 种。 在网络安全实现方面，通过i p s e c 的隧道和传输模式的各种应用组合， 可以满足各个网络层面的安全需要，诸如端到端的安全保证、对内部网络的 保密、通过安全隧道构建安全的v p n 、以及通过嵌套隧道实现不同级别的网 络安全等。 大量使用i p s e c 在提高网络安全的同时不可避免地导致路由器转发和处 理性能的劣化，为了消除这些影响，通常是使用专用集成电路( a s i c ) 实现加 密处理，或者通过网络处理器来实现加密处理和转发。 1 3 哈尔滨1 _ 程大学硕十学位论文 i p s e c 提供了网络数据和信息内容的有效性、一致性以及完整性的保证， 但是对数据网络的安全威胁是多层面的，它们分布在物理层、数据链路层、 网络层、传输层和应用层等各个部分。通常物理层的威胁来自于设备的不可 靠性，诸如板卡的损坏、物理接口的电器特性和电磁兼容环境的劣化等等， 对这样的安全隐患可以通过配置冗余设备、冗余线路、安全供电、保障电磁 兼容环境以及加强安全管理来防护。对于物理层以上层面的安全隐患除了来 自于针对各种协议的安全隐患以外，还有非法占用网络资源或者耗尽网络资 源等隐患，诸如双8 0 2 1 q 封装攻击、广播包攻击、媒体访问控n ( m a c ) 洪泛、 生成树攻击等二层攻击以及虚假的i n t e m e t 控制消息协议( i c m p ) 报文、i c m p 洪泛、源地址欺骗、路由振荡等来自针对三层协议的攻击。在应用层还有针 对h t t p 、f t p t f t p 、t e l n e t 以及通过电子邮件传播病毒的攻击手段。对 于这些攻击，可以采用的防护手段如下： 通过诸如t a c a c s + 、r a d i u s 、a a a 等安全访问控制协议控制用户 对网络的访问权限来防患针对应用层的攻击。 通过m a c 地址和i p 地址绑定、限制每端口的m a c 地址使用数量、 设立每端口广播包流量门限、使用基于端口和v l a n 的a c l 、建立安全用户 隧道等来防范针对二层的攻击。 通过进行路由过滤、对路由信息的加密和认证、定向组播控制、提高 路由收敛速度、减轻路由振荡的影响等措施来加强三层网络的安全性。 完善的i p v 6 的i p s e c 机制提供了网络数据和信息内容的有效性、一致性 以及完整性的保证，并且为网络安全提供了诸多的解决办法。为了构建安全 网络还可以结合a 从认证，n a t - p t ，v p n 、a c l 的标准访问列表和扩展访 问列表、防分片包攻击来实现安全预防；通过路由过滤、静态路由、策略路由 和路由负荷分担来实现安全路由；通过s s h v 2 、s n m p v 3 、e x c 提供进程访问 安全、线路访问安全；通过分级管理、定制特权级管理等手段来实现网络的安 全管理；最后通过完善的告警、日志和审计功能实现网络时钟的安全，同时提 供访问列表和关键事件的日志、路由协议事件和错误记录等供网络管理人员 进行故障分析、定位和统计。 1 4 哈尔滨工程大学硕士学位论文 2 3 本章小结 本章主要介绍了i p v 6 协议在网络安全上的改进，并与i p v 4 做对比，最 后介绍了i p v 6 网络安全技术。这些内容为以后的研究工作奠定了理论基础。 1 5 哈尔滨工程人学硕士学位论文 第3 章i p v 6 驻地网安全体系架构