（计算机科学与技术专业论文）ipv6网络环境下入侵检测系统的研究与设计.pdf

ll-_、 。 ?kri、“e玉嚣船嚣繁 垃舀甜毗熬弹静亨噜 ，q r t o二， 0 川0j ， i，分，生甜秘欧，争 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 签名：么必旌日期： 至q ! q 生墨旦 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 l 一 摘要 摘要 i p v 6 替代i p v 4 成为下一代网络协议已是历史的必然。随着i p v 6 应用规模的 扩大，针对i p v 6 的入侵方式层出不穷，现有的入侵检测系统不能适用于i p v 6 网 络环境。为解决此问题，本文设计了一种基于协议解析和动态规则匹配的分布式 入侵检测系统，并对该系统的关键技术进行了讨论，提出了解决方案。 论文首先介绍了i p v 6 的历史、现状与发展趋势，对i p v 6 与i p v 4 的主要区别 进行了对比，介绍了i p v 4 到i p v 6 的几种主要的过渡技术，阐述了i p v 6 的技术 架构，包括i p v 6 的寻址体系结构及i p v 6 的安全体系结构。随后对入侵检测系统 的技术特点进行了概述。介绍了入侵检测系统的概念及主要方式，分析了入侵检 测的发展历史、现状与趋势，介绍了目前常见的入侵检测产品及其所遵循的几种 通用入侵检测模型，从技术上对各种入侵检测系统进行了分类。 在此基础上，提出本文所设计的入侵检测系统的总体设计方案，即以分布灵 活的若干个入侵检测机、数据挖掘服务器、系统管理服务器组成的分布式入侵检 测系统。论文在分析了国内外入侵检测产品成功经验的基础上，提出了检测分布、 数据和管理集中的整体设计方案。该方案在充分发挥分布式检测的同时实现了数 据和管理的集中，可以通过集中的统一管理接口方便的控制和管理整个分布式入 侵检测系统。该方案结合了分布式与集中式入侵检测系统的优点，实现了资源的 合理分配、共享与利用。 论文从研究入侵检测系统同时支持i p v 4 i p v 6 网络协议的思路入手，设计了 同时支持i p v 4 f l p v 6 的数据包捕获接口、协议分析系统、数据结构，实现了不依 赖于网层协议的入侵检测。 论文提出动态规则库的设计，将数据挖掘应用到入侵检测的规则生成，设计 了基于数据挖掘的动态规则库系统。以分布采集的网络事件作为数据挖掘引擎的 输入，应用关联规则挖掘算法动态产生入侵规则，避免了静态规则库对具体网络 环境适应性差的弊端，提高了系统的适用性。 论文研究叙述了系统各组成部分的功能、网络部署策略、整体框架，给出了 系统内部各个组成模块的设计，对系统的关键技术的实现进行了深入研究和实 现。重点讨论了数据包捕获技术、协议分析技术、预处理技术、数据挖掘技术和 模式匹配技术在系统中的应用，并给出了相应的设计。 关键词i p v 6 ；入侵检测：模式识别；数据挖掘；协议分析 北京工业大学工学硕七学位论文 a b s t r a c t a bs t r a c t r e p l a c ei p v 4 a st h en e x tg e n e r a t i o ni p v 6n e t w o r kp r o t o c o li sah i s t o r i c a l n e c e s s i t y , 谢t ht h ea p p l i c a t i o no fs c a l ei p v 6 ，i p v 6 si n v a s i o no fw a yf o re m e r g i n g ， e x i s t i n gi n t r u s i o nd e t e c t i o ns y s t e m sc a nn o ta p p l yt oi p v 6n e t w o r ke n v i r o n m e n t t o s o l v et h i sp r o b l e m ，w ed e s i g n e dad i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e mb a s e do n p r o t o c o la n a l y s i sa n dd y n a m i cr u l em a t c h i n g ，a n dt h e k e yt e c h n o l o g i e so ft h e s y s t e mw e r ed i s c u s s e d ，as o l u t i o nw a sp r o p o s e d t h i sp a p e ri n t r o d u c e st h eh i s t o r y , c u r r e n ts i t u a t i o na n dd e v e l o p m e n tt r e n do fi p v 6 ， t h em a i nd i f f e r e n c e sb e t w e e ni p v 6a n di p v 4w e r ec o m p a r e d ，t h es t r u c t u r eo fi p v 6 t e c h n o l o g i e s w a se x p l a i n e d ，i n c l u d i n gt h e a d d r e s s i n g a r c h i t e c t u r ea n d s e c u r i t y a r c h i t e c t u r eo fi p v 6 t h e nt h ec o n c e p to fi n t r u s i o nd e t e c t i o ns y s t e ma n dt h em a j o r f o r mo fi d sw a sb e e ni n t r o d u c e d t h eh i s t o r y , c u r r e n ts t a t u sa n dt r e n d so fi d si nt h e f u t u r ew a sb e e nm e n t i o n e d o nt h i sb a s i s ，t h ei d sd e s i g np r o g r a mw a sad i s t r i b u t e di n t r u s i o nd e t e c t i o n s y s t e mc o m p o s e db ya n u m b e ro ff l e x i b l ed i s t r i b u t e di n t r u s i o nd e t e c t i o nm a c h i n e s ，a d a t am i n i n gs e r v e r , as y s t e m sm a n a g e m e n ts e r v e r , a n dc o m p o n e n t sa r ed e s c r i b e d d u t i e s d e s i g n ，d e s c r i b e d t h es y s t e m sn e t w o r kd e p l o y m e n ts t r a t e g i e s ，t h eo v e r a l l f r a m e w o r kd e s i g n ，i n t r o d u c e st h ev a r i o u sc o m p o n e n t sw i t h i nt h es y s t e mm o d u l eo f t h ed e s i g ni d e a s ，a n dt h e nk e yt e c h n o l o g yf o rt h ed e t a i la n dd e s i g nw a sd i s c u s s e d k e y w o r d si p v 6p r o t o c o l ；i n t r u s i o nd e t e c t i o n ；d a t am i n i n g ；p a t t e mr e c o g n i t i o n a n a l y s i s 北京工业大学工学硕： j 学位论文 i v 目录 目录 摘詈暮一i a b s t r a c t i i i 第l 章绪论1 1 1 课题背景1 1 2 作者主要工作一2 1 3 本文的创新点2 1 4 论文组织结构3 第2 章i p v 6 及入侵检测系统概述5 2 1 新一代网络层协议i p v 6 5 2 1 1i p v 6 的发展历史、现状与趋势5 2 1 2i p v 6 与i p v 4 的主要区别7 2 1 3i p v 4 到i p v 6 过渡技术9 2 1 4i p v 6 寻址体系结构1 1 2 1 5i p v 6 安全体系结构一1 2 2 2 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 13 2 2 1 网络安全概述1 3 2 2 2 网络入侵的主要方式1 4 。2 2 3 通用入侵检测模型15 2 2 4 入侵检测技术分类1 7 2 3i p v 6 网络环境下入侵检测系统面临的新挑战1 9 2 4 本章小结2 0 第3 章i p v 6 环境下入侵检测系统的总体设计2 1 3 1 设计思想21 3 1 1 系统设计目标2 1 3 1 2 系统设计原则j _ 2 2 3 2 系统框架2 2 3 2 1 入侵检测系统的整体组成结构2 2 3 2 2 入侵检测系统的网络部署结构2 3 3 2 3 入侵检测系统的内部结构2 4 3 3 本章小结2 5 第4 章系统功能模块设计2 7 4 1 初始化模块2 7 北京工业大学工学硕士学位论文 4 2 网络包捕获模块2 7 4 2 1l i b p c a p 研究与应用2 8 4 2 ，2n a p i 技术研究与应用3 0 4 2 3 内存映射技术研究与应用一3 2 4 3 协议解析模块3 3 4 3 1 协议分析模块工作流程3 5 4 - 3 2 数据结构设计3 8 4 4 预处理模块4 2 4 4 1i p v 6 分片重组预处理器实现技术4 4 4 5 事件发送、事件接收及事件库4 6 4 6 规则产生器及规则库4 7 4 6 1 数据挖掘概述4 8 4 6 2 将数据挖掘应用于规则产生的可行性分析4 9 4 6 3 基于数据挖掘的规则产生器详细设计5 0 4 6 4a p r i o r i 算法一51 4 6 5 对a p r i o r i 算法的改进5 2 4 6 6 改进算法完备性证明5 3 4 7 规则分发、本地规则初始化5 4 4 8 规则树5 4 4 9 入侵检测引擎5 8 4 9 1 可用于入侵检测引擎的模式匹配算法5 9 4 9 2 改进的模式匹配算法6 2 4 9 3 改进后的模式匹配算法理论分析与验证6 3 4 1 0 管理模块、系统管理服务器一6 4 4 1 l 响应模块与日志模块6 4 4 12 本章小结6 5 结论6 7 参考文献6 9 攻读硕士学位期间发表的学术论文7 3 致 射。7 5 第1 章绪论 1 1 课题背景 第1 章绪论 近几十年来，随着计算机技术的高速发展，网络规模的不断扩大，在计算机 上处理的业务也由基于单机的数学运算、文件处理、基于简单连接的内部网络的 业务处理、办公自动化等发展到基于企业复杂的内部网( i n t r a n e o 、企业外部网 ( e x t r a n e t ) 、全球互联网( i n t e m e o 的企业级计算机处理系统和世界范围内的信息共 享和业务处理【l 吲。在系统处理能力提高的同时，系统的连接能力也在不断地提 高。但在连接能力、流通能力提高的同时，基于网络连接的系统安全问题也日益 突出。随着网络应用范围的不断扩大，对网络的各类攻击与破坏也与日俱增。无 论政府、商务，还是金融、媒体的网站都在不同程度上受到过入侵与破坏。计算 机网络安全、信息安全已经成为一个国际性的问题，每年全球因计算机网络的安 全问题而造成的经济损失高达数百亿美元，而且这个数字每年都在增加。网络安 全己成为国家与国防安全的重要组成部分。内部网络被入侵会引起数据破坏与泄 密，并由此引出其他的网络安全问题和社会问题。除了外部入侵之外，内部人员 的滥用和泄密也不可忽视。据统计，信息窃贼在过去的几年里以2 5 0 的速度增 长，大多数的大公司都发生过大的入侵事件 4 1 。世界多数著名的商业网站都曾被 黑客入侵，造成了巨大的经济损失，甚至一些专门从事网络安全的网站也受到过 的攻击。因此，检测与防范入侵攻击，保障计算机系统、网络系统及整个信息基 础设施的安全已经成为刻不容缓的重要课题。 传统的安全防范技术手段和措施主要有：数据加密技术、身份认证技术、数 字签名技术、防火墙隔离技术、访问控制、安全协议等【5 】。这些传统的安全方法 是采用尽可能多的禁止策略对入侵进行防御，都是静态的被动防御，但是无法防 止隐信道的产生以及系统所认定的授权用户的非法操作，对于来自内部非法操 作、口令和密码的泄漏、软件缺陷以及拒绝服务型攻击( d o s ) 则更是无能为力。 总之，在网络与信息安全策略中引入入侵检测技术，主要有两方面的原因： 1 网络和系统中存在着入侵行为，并且这种行为越来越多，危害越来越大。 入侵行为的存在是因为网络及系统存在漏洞； 2 其他安全策略不能完成网络安全的所有保护功能，需要入侵检测技术的加 入。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 通过从系统内部和网络中 收集信息，分析计算机是否有安全问题并采取相应的措施。入侵检测的分析技术 主要分为误用检测( m i s u s ed e t e c t i o n ) 和异常检测( a n o m a l yd e t e c t i o n ) 两种【6 j 。 北京工业大学工学硕士学位论文 误用检测需要首先由网络安全专家对攻击模式和系统弱点进行分析和分类，然后 再以手工建立相应的入侵检测规则和模式：而异常检测则需要依赖网络安全专家 的直觉和经验选择统计特征以构造入侵规则系统【7 】。 入侵检测作为传统计算机安全机制的补充，它的开发与应用扩大了网络与系 统安全的纵深防护，成为目前动态安全工具的主要研究和开发的方向【8 l 。随着攻 击不断发生，系统漏洞不断被发现，入侵检测系统在整个安全系统中的地位不断 提高，所发挥的作用也越来越大【引。 1 2 作者主要工作 作者在研究入侵检测系统当前应用及发展情况的基础上分析了i p v 6 的应用 给网络带来的影响，提出本文研究的入侵检测系统的总体设计方案，即系统以分 布灵活的若干个入侵检测机、数据挖掘服务器、系统管理服务器组成的分布式入 侵检测系统，并分别叙述了各子系统的职责、设计思想，阐述了该系统的网络部 署策略、整体框架设计，介绍了系统内部各个组成模块的设计思路，继而对实现 系统的关键技术进行了详细探讨和设计。 1 3 本文的创新点 1 在分析了国内外成功产品经验的基础上，提出了检测分布、数据和管理集 中的整体设计。其特点是，将数据采集与检测部署在同一台计算机上，避免了集 中式入侵检测系统异地采集、异地检测所产生的网络开销大、系统延迟高等缺点。 本研究在实现分布式检测的同时，实现了数据和管理的集成，即提供一个统一的 管理接口，用户可以通过此接口方便的控制和管理所有分布式入侵检测机。同时 所有检测结果都汇总到系统管理服务器，管理员可以直观的看到网络整体运行情 况。该方案集合了分布式、集中式入侵检测系统的优点，做到了分布与集中相结 合，资源的共享与合理利用，在保证效率的前提下提供了便利和统一的管理方式。 2 本文设计的入侵检测系统可同时支持i p v 4 i p v 6 网络协议。i p v 6 是下一代 网络协议，但在相当长一段时间内会与i p v 4 协议并存。为适应i p v 4 i p v 6 入侵检 测的需要，本文设计了同时支持两种网络协议的协议分析系统，并设计了统一的 数据包捕获接口、数据结构，在脱离网络协议束缚的更高层面对捕获的网络数据 包进行入侵检测。本文对b m 模式匹配算法进行了改进，并给出验证。 3 本文将数据挖掘引入了入侵检测，提出基于数据挖掘的动态规则库的实现 方法和设计方案。当前的入侵检测产品部分采用静态规则库，即产品发布后在相 当长一段时间内无法更新规则库。静态规则库由领域内的安全专家通过实验数据 分析而创建，受实验环境的特殊性、局限性制约，所产生的规则库不可能适应所 第l 章绪论 有现实的网络环境。另有一批产品采用动态规则库，即实现了在线更新规则库。 相对于静态规则库，采用在线更新规则库的方式有了很大的进步，但这种方式依 然存在时间性、空间性的约束，无法完全适应本地网络环境，无法对未知的、突 发的网络入侵行为进行有效的检测和拦截。针对此问题，本文设计了一套基于数 据挖掘的动态规则库系统，对分布采集的网络事件进行数据挖掘，动态产生适用 于本地网络环境的入侵规则，提高了系统的适用性。本文对a p r i o r i 算法进行改 进，并给出论证。 1 4 论文组织结构 本文的整体结构如下： 第1 章，绪论，对课题背景、作者主要工作、论文创新点、论文组织结构进 行了概括性介绍。 第2 章，i p v 6 及入侵检测系统概述，介绍了i p v 6 网络协议的发展历史、现 状及趋势，i p v 6 与i p v 4 的主要区别，阐述了i p v 6 的技术架构，包括i p v 6 的寻 址体系结构及i p v 6 的安全体系结构。然后介绍了入侵检测系统的概念及主要方 式、入侵检测的发展历史、现状与趋势，分析了目前常见的入侵检测产品所遵循 的通用入侵检测模型和技术分类。 第3 章，i p v 6 分布式入侵检测系统的总体设计，首先明确了系统设计目标和 设计原则，并以此为指导思想设计了系统总体框架、系统网络分布、系统内部组 成。 第4 章，系统功能模块设计，详细分析了系统内六大关键技术的实现，即 i p v 4 f i p v 6 混杂网络中数据包的捕获、同时支持i p v 4 f l p v 6 的协议分析、数据的预 处理、通过数据挖掘产生动态规则库、规则树、基于入侵检测的检测引擎等的详 细设计。 结论，对论文工作进行总结与展望。 北京工业大学工学硕士学位论文 第2 章i p v 6 及入侵枪测系统概述 第2 章i p v 6 及入侵检测系统概述 2 1 新一代网络层协议ip v 6 2 1 1lp v 6 的发展历史、现状与趋势 近些年来，i n t e m e t 的用户数量呈现爆炸性的增长趋势，目前正在使用的主 流i p 协议i p v 4 的地址位有3 2 位，理论上可以包含4 0 亿的主机数量，但由于i p v 4 地址以a 、b 、c 等类别的人为划分，造成了大量i p 地址的浪费，能够有效分配 的i p v 4 地址远远小于这一数目。随着网络地址转换( n e t w o r k a d d r e s st r a n s l a t i o n ， n a t ) 等技术的广泛使用，大大减缓了i p 地址枯竭的速度，但是这种技术破坏 了口协议端到端( e n d t o e n d ) 的基本原则，在很大程度上破坏了i n t e r n e t 的授 权和鉴定机制，同时也无法从根本上彻底解决p 地址枯竭的问题；此外，越来 越多的商业机构和政府部门都对网络安全提出了更高的要求，然而i p v 4 在设计 之初即是基于可信任的内部网，基本忽略了网络本身的安全性，认为应把安全性 的责任交给应用层考虑，由此导致了在低层的网络协议栈上不具备安全保障的弊 病。为解决上述问题，新一代网络层协议i p v 6 应运而生的。 i p v 6 采用了1 2 8 位的地址空间，彻底地解决了i p v 4 地址不足的问题【8 】。而且， 为了加强安全性，i p v 6 中定义了a h ( a u t h e n t i c a t i o nh e a d e l ，认证报头) 和e s p ( e n c a p s u l a t i n gs e c u r i t yp a y l o a d ，封装安全有效净荷) ，在i p v 6 数据报的首部格 式中，用固定格式的扩展首部取代了i p v 4 中可变长的选项字段，使在i p v 4 中作 为可选选项使用的i p s e c ( i p s e c u r i t y ) 协议【l l 】成为i p v 6 的有机组成部分，作为 i p v 6 协议族的一个子集。所以，一个i p v 6 端到端的传送在理论上至少是安全的， 其数据加密以及身份认证的机制使得敏感数据可以在i p v 6 网络上安全地传递， 并且避免了n a t ( 网络地址转换) 的弊病【1 4 j 。 1 i p v 6 发展历史 在1 9 9 2 年，互联网群体已经发展出若干个i p n g ( i pn e x tg e n e r m i o n ，下一 代i p 协议) 的提案。 在1 9 9 4 年，通过评审3 种i p n g 提案后，因特网工程任务组( i n t e m e t e n g i n e e r i n gt a s kf o r c e ，i e t f ) 正式提出了i p n g 的建议草案。 1 9 9 5 年底，i p n g 协议已被修正到了第6 版，并且被正式发布，该协议被通 称为i p v 6 。 1 9 9 6 年正式创建国际i p v 6 的试验网络6 b o n e ，到了1 9 9 8 年，i p v 6 协议 的基本框架己逐步成熟。 北京工业大学工学硕士学位论文 2 i p v 6 发展现状 目前，i p v 6 的主要协议都已经成熟并形成了r f c 文本，包括i p v 6 基本协议， 邻居发现协议，互联网控制信息协议等等，i p v 6 作为i p v 4 的唯一取代者的地位 已经得到了世界的一致认可【i 引。 国外各大互联网技术研究机构以及各大通信设备厂商都在i p v 6 的应用与研 究方面投入了大量的资源，并开发出了相应的软硬件产品。如日本的h i t a c h i 、 f u j i t s u 、n e c 等公司，欧洲的诺基亚、爱立信、b t 公司，美国的c i s c o 等公 司都推出了支持i p v 6 的路由器系列产品，主流操作系统如w i n d o w sx p 、 w i n d o w s 2 0 0 3 、l i n u x 等已经提供了对i p v 6 的全面支剧1 6 】。 我国政府对互联网信息技术的发展和应用非常重视，启动了一系列的研究项 目。1 9 9 9 年底中国教育和科研网c e r n e t 与诺基亚公司合作启动了i p v 6 互联网 i n t e m e t6 计划，形成一个大规模的i p v 6 研究和试验网络，开展了许多开拓性的 研究，并启动了多个相关8 6 3 计划。除了政府的支持外，国内的电信运营商也开 展进行i p v 6 的试验。在2 0 0 4 中国国际教育科技博览会暨中国教育信息化论坛开 幕仪式上，我国第一个i p v 6 主干网c e r n e t 2 试验网正式开通并提供服务，成 为中国第一个全国性下一代互联网主干网。同时，我国第一台基于“互联网协议 第6 版”i p v 6 核心路由器日前由清华大学计算机系和清华紫光比威公司共 同研制成功，从而标志着我国下一代互联网关键技术获得重大突破【l 刀。 3 i p v 6 发展趋势 目前，i p v 6 已经在逐渐地替代i p v 4 ；未来，i p v 4 与i p v 6 会有相当长的一段 共存期；最终，我们相信，i p v 6 会完全替代i p v 4 ，而过渡到i p v 6 网络。在世界 范围内，由于i p 地址的分配非常不均匀，在我国i p 地址不足的矛盾非常突出， 因此，我国向i p v 6 过渡的需求就更加明显。 i p v 6 技术在发展中也存在着一些问题，如技术和需求还存在一定程度的脱 节；缺乏创新的应用；技术发展的动力不足；过渡问题尚未很好地解决等。未来 i p v 6 的发展呈现出以下主要趋势【1 8 j ： ( 1 ) 标准制定上的协作和联合 鉴于i p v 6 在下一代网络发展中的重要性，越来越多的国际标准化组织加入 了i p v 6 标准的制定工作。i p v 6 相关标准的制定将从以i e t f 为主体向i e t f 与i t u - - t 、3 g p p 等【l 弘2 i j 其他标准化组织协作和联合的方向发展。 ( 2 ) 产品研发更具广度与深度 未来i p v 6 的研发将不仅要重视基础设施产品的开发，而且还要注重应用软 件、终端产品的研发，同时在支持i p v 6 协议方面应具有更完善的功能。 ( 3 ) 科学研究与商业应用并重 目前建成的大部分i p v 6 或下一代i n t e r n e t 试验床仅用于科学研究。i p v 6 的许 第2 苹i p v 6 及入侵检测系统概述 多技术问题尚未得到解决，需要试验床为基础研究提供试验平台。未来的i p v 6 的发展将是科学研究试验床和商用试验网将共存发展，一些科研试验床在条件成 熟时将转为商用或试商用网，以推进i p v 6 的商用化进程。 ( 4 ) 业务创新将成为主题 目前缺少基于i p v 6 的创新应用是阻碍i p v 6 发展的重要因素。未来围绕i p v 6 的业务创新应充分利用i p v 6 的优势，如拥有大量的公有口地址、提供服务质量 和安全保证、支持移动性等，预计，i p v 6 的业务创新关键在于移动和无线。 2 1 2lp v 6 与ip v 4 的主要区别 表2 1i p v 4 和i p v 6 的主要区别 t a b l e2 1t h em a i nd i f i e r e n c eb e t w e e ni p v 4a n di p v 6 i p v 4 i p v 6 地址长度3 2位地址长度1 2 8 位 i p s e c 为可选扩展协议i p s e c 成为i p v 6 的组成部分，对i p s e c 的支持 是必须的数据报头中没有支持o o s 的数据 流识别项基本报头中的流标识字段提供数据流识别功 能，支持不同类型的o o s 要求 由路由器和发送主机两者来完成分段 路由器不再做分段工作分段仅由发送主机进行 报头包括完整性检查和报头不包括完整性检查和 报头中包含可选项所有可选内容全部移至扩展报头中 a r p 协议使用广播a r p 请求帧对i p v 4 地址邻居发现报文替代了a r p 请求帧 进行解析 i g m p 协议用于管理本地子网成员由m l d 报文替代i g m p 管理本地子网 i c m p 路由器发现为可选协议，用于确定最i c m p v 6 路由器请求和路由器发布报文为必选 佳默认网关的i p v 4 地址 协议 使用广播地址发送数据流至子网所有结点i p v 6 不再有广播地址，而是使用面向链路局部 范围内所有结点的组播地址 地址配置方式为手工操作或通过d h c p 协议地址自动配置 在d n s 服务器中，i p v 4 主机名称与地址的i p v 6 主机名称与地址的映射使用新的a 6 资源 映射使用a 资源记录类型来建立记录类型来建立 i n - a d d r a r p a 域提供i p v 4 地址一主机名解i p 6 i n t 域提供i p v 6 的地址一主机名解析服务 析服务 支持5 7 6 字节数据包( 可能经过分段)支持1 2 8 0 字节数据包( 不分段) 实践表明，i p v 6 网络协议不仅成功解决了网络i p 地址枯竭的问题，而且在 北京工业大学丁学硕十学位论文 网络的管理、运行、控制、处理等许多性能上比i p v 4 更为强大、高效。i p v 4 和 i p v 6 的一些比较显著的区别【1 9 1 ，可见于表2 1 中。 i p v 6 在i p v 4 的基础上新增了很多功能以适应未来发展的需要。这些功能是： 1 地址空间的扩展 网络地址长度不同。i p v 6 采用1 2 8 位地址长度，是i p v 4 的四倍。从理论上 可以拥有2 1 2 8 ，直观的就是1 0 3 8 之多的地址。所以，这是一个巨大的地址空间； 2 网络整体吞吐量的提升 i p v 6 的基本报头格式比i p v 4 简单得多。i p v 4 中有1 0 个固定长度的域、2 个 地址空间和若干个选项，而i p v 6 中只有6 个域和2 个地址空间。虽然i p v 6 基本 报头共占4 0 字节，而i p v 4 的报头只占2 4 字节，但因其长度固定，所以不需要 消耗过多的内存，加快了路由器处理数据包的速度，提高了转发效率；同时，i p v 6 在设计上改进了选路结构，从而提高了网络的整体吞吐量。 3 可靠的安全功能保障 i e t f 研制的用于保护i p 通信的i p 安全( i p s e c u r i t y ，i p s e c ) 协议，已经成 为i p v 6 的有机组成部分，所有的i p v 6 网络结点必须强制实现这套协议。因此， 建立起来的一个i p v 6 端到端的连接，是有安全保障的通过对通信端的验证 和对数据的加密保护，可以使数据在i p v 6 网络上安全地传输。 4 网络服务质量保障 在一定的网络带宽下，要提高网络服务的质量，就要对网络服务实行差别管 理，即在现有网络条件下，对不同网络服务按照服务量的类型和级别加以区分， 并能够依次对各级别进行智能化处理，这就是q o s ( q u a l i t yo f s e r v e ) 网络技术。 i p 的q o s 即是指i p 的服务质量i p 数据报文流通过网络时的性能指标。它有 一套度量指标，包括服务可用性、延迟、丢包率和吞吐量等，其目的就是向用户 提供端到端的服务质量保证。 在i p v 6 基本报头中定义了通信流类型和流标识这两个新增字段，利用这两 个字段，通过路由器的配置，就可以实现实现优先级控制和q o s 保障，极大地 改善了i p v 6 的服务质量。 5 即插即用功能的实现 在i p v 6 中，采用了许多新的技术，比如：邻居发现、结点自动配置、路由 器宣告、路由器请求、最大传输单元发现等，实现了i p v 6 网络的自动发现及其 自动配置等功能，从而简化了网络的配置、维护和管理，实现了“即插即用”功 能。 6 移动性能的改进 设备接入网络时，通过自动配置可以自动获取i p 地址和必要的参数，实现 “即插即用，简化了网络管理，易于支持移动结点。此外，i p v 6 不仅从i p v 4 8 第2 章i p v 6 及入侵检测系统概述 中借鉴了许多概念和思路，而且还定义了许多移动i p v 6 所需要的新功能，可以 将其统称为邻居结点的搜索，可以直接为移动i p v 6 提供所需的功能。 7 i c m p 协议的改进 在i p v 6 中，i c m p 协议，即i n t e m e t 控制消息协议( i n t e m e tc o n t r o lm e s s a g e p r o t o c o l ，i c m p ) 已经有了很大的改进和变化，它具备了i p v 4 中的i c m p 的所有 基本功能，舍弃了一些过时的消息类型，集成以下协议功能：i c m p ，i n t e m e t 控 制消息协议版本4 ；i g m p ，组成员协议；a r p ，地址解析协议，形成了i c m p v 6 ， i n t e m e t 控制消息协议版本6 。目前，i c m p v 6 实现的主要功能是：错误报告；网 络诊断；邻居发现；多播实现。 2 1 3lp v 4 到lp v 6 过渡技术 从网络发展历史上来讲，i p v 4 网络体系向i p v 6 网络体系的转变是不可逆转 的，但是以目前的现状来看，这一转变过程绝不可能是在短时间内完成，具有长 期性、复杂性、分阶段性。因此产生了许多i p v 4 到i p v 6 的过渡技术和策略【2 0 。 1 过渡策略的主要目标 ( 1 ) 要确保过渡方式是逐步的渐进的，以保护i p v 4 网络设备的投资。 ( 2 ) 要确保i p v 4 网络体系和i p v 6 网络体系是相互渗透，长期共存的，就要 求i p v 4 和i p v 6 网络设备彼此可以互连互通。 ( 3 ) 要确保在过渡的过程中，i p v 4 向i p v 6 升级的费用应尽可能地低，过渡 技术应尽可能地简单地。 2 基本过渡策略 基于过渡期基本问题和商业要求的考虑，设计过渡方案的主要目标如下： 一是i p v 4 和i p v 6 设备必须能够进行相互操作，包括通信和相互之间数据的 理解。二是从i p v 4 到i p v 6 的过渡必须简单，i p v 6 节点问不能有过多的相互依赖 性【2 1 1 。三是要使网管人员和用户认为这样的过渡是容易理解和易于操作的。 依据上述三个设计目标，i e t f 下一代互联网过渡工作组提出并实施了一套 i n t e m e t 简单过渡机制s i t ( s i m p l ei n t e m e tt r a n s i t i o n ) ，它包括一些协议和管理规 则来简化过渡工作。其主要特点如下： ( 1 ) 渐进地无伤害地过渡。单个d v 4 主机和路由器可以同时n 级到i p v 6 而不需要其它主机和路山器同时升级，新i p v 6 主机和路由器可以一台一台地安 装。 ( 2 ) 最小的升级依赖性。升级主机到i p v 6 仅需要升级d n s 服务器，使它 能够处理i p v 6 地址记录。而升级路由器则事先不需要任何支持。 ( 3 ) 方便的地址管理。当i p v 4 主机和路由器升级到i p v 6 时，它们可以继续 北京工业大学工学硕士学位论文 使用自己的i p v 4 地址，不需要重新分配i p v 4 地址，网络管理员不需要起草新的 地址分配计划。 ( 4 ) 最低升级成本。最低成本升级现存的i p v 4 系统到i p v 6 系统，最低成本 发展新的i p v 6 。 3 过渡机制 i n t e m e t 专门的i e t fn g t r a n s 工作组针对如何在i p v 4 占绝对地位的网络中妥 善地引入i p v 6 ，而且必须保证i p v 4 和i p v 6 互相连通的可能性，提出了一系列的 解决方案，其中有代表性的过渡机制主要有以下三种【2 2 】：双协议栈技术、隧道技 术、地址翻译技术。它们有各自不同的特点，适用于不同的环境。 ( 1 ) 双协议栈方式( d u a ls t a c k ) 双协议栈是指在同一个网络结点同时支持i p v 4 和i p v 6 两种协议栈，其实现 可参照以下概念模型，如图2 1 所示： 心f j 偿 t c p i i p p v 4i p v d 物j ! l ! 堪 图2 1i p v 4 i p v 6 双协议栈模型 f i g u r e2 1m o d e lo fi p v 4 i p v 6d u a ls t a c k 双协议栈的工作方式是根据目标地址是属于i p v 4 的还是i p v 6 的，来决定使 用哪一种协议栈，其实现重点在于对网络路由器的升级改造，即这种路由器需要 运行两套类似的路由器软件，所以增加了系统运行的复杂性。 ( 2 ) 隧道( t u n n e l ) 网络节点隧道入口 隧道出口网络节点 原始i p 报文 对i p 报文 进行封装 对i p 报文 进行解封 还原为 原始i p 报文 图2 2 隧道方式过渡策略 f i g u r e2 - 2t u n n e lm o d et r a n s i t i o ns t r a t e g y 隧道技术，是一种较为普遍的技术，现在也常用此技术来构建一个虚拟专用 网v p n ，其技术本质是一种封装技术，它利用一种网络协议来传输另一种网络 协议，即利用一种网络传输协议，将其他协议产生的数据报文封装在它自己的报 文中，然后在网络中传输。隧道策略是i p v 4 i p v 6 过渡技术中经常用到的一种机 制。它所采用的隧道技术一般是i p v 6 i n i p v 4 隧道，就是在网络的某一结点将i p v 6 的整个报文封装在i p v 4 报文中，并将这个i p v 6 报文视作i p v 4 数据报的数据净 负载，然后在目的地将其解封，得到i p v 6 报文。图2 2 说明了隧道技术在妒v 4 第2 章口v 6 及入侵榆测系统概述 向i p v 6 过渡中是如何运用的。 基于婵v 4 网络的i p v 6 隧道传输过程分为4 个步骤：封装、传输、解封和隧 道管理。封装是指由隧道起始端创建一个i p v 4 报头，把i p v 6 数据报文作为载荷 封装进入这个i p v 4 报文，从而形成一个新的i p v 4 数据报文。传输是将此i p v 4 报文在i p v 4 网络中传输。解封是指在隧道出口处移去i p v 4 数据报报头，还原出 i p v 6 报文。隧道管理是指由隧道起端配置维护隧道的信息，诸如隧道支持的最 大传输单元m t u 尺寸等信息。 通常在i p v 4 网络实现i p v 6 数据报隧道传输，根据封装设备和解封设备的类 型，提供了如下4 种隧道布置方案。主机至路由器、路由器至路由器、路由器至 主机、主机至主机。隧道技术通常按配置方式分为配置隧道和自动隧道两种类型。 配置隧道一般包括m a n u a lt u n n e l 和g r e 两种类型。自动隧道包括隧道代理 ( t u n n e l b r o k e r ) ，6 t 0 4 隧道、6 0 v e r 4 隧道、i s a t a p 隧道、t e r e d o 隧道、6 p e 隧道、 兼容地址