當(dāng)前，IPv4仍是當(dāng)前互聯(lián)網(wǎng)的重要協(xié)議，IPv6協(xié)議是在IPv4的基礎(chǔ)上進(jìn)一步的完善和發(fā)展的，被稱為下一代互聯(lián)網(wǎng)協(xié)議。

　　【摘要】隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，作為新一代網(wǎng)絡(luò)協(xié)議IPv6近年來(lái)受到人們?cè)絹?lái)越多的關(guān)注。本文在IPv6協(xié)議的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)的安全進(jìn)行研究，首先分析IPv6的特點(diǎn)及IPv4與IPv6之間轉(zhuǎn)換進(jìn)的方法，其次對(duì)于IPv6中的安全隱患和解決方法進(jìn)行了詳細(xì)的論述，最后設(shè)計(jì)了基于IPv6的入侵檢測(cè)系統(tǒng)，并給出關(guān)鍵模塊的流程。本文對(duì)于網(wǎng)絡(luò)安全工程人員有著積極的意義。

　　【關(guān)鍵詞】IPv6,互聯(lián)網(wǎng),安全

　　1引言

　　自上個(gè)世紀(jì)末IPv6的提出至今，IPv6協(xié)議的框架已經(jīng)成熟，逐步取代IPV4成為下一代Internet協(xié)議，與IPv4相比，IPv6具有幾項(xiàng)新特點(diǎn)：尋址能力得到擴(kuò)展、分組頭的格式得到簡(jiǎn)化、進(jìn)一步提高了擴(kuò)展能力、完善認(rèn)證和加密機(jī)制、提供移動(dòng)服務(wù)。

　　2IPv4向IPv6的過(guò)渡策略

　　從IPv4到IPv6的過(guò)渡方法有三種：雙協(xié)議棧技術(shù)、隧道技術(shù)及翻譯機(jī)制。當(dāng)前比較常用的技術(shù)是雙協(xié)議棧技術(shù)和隧道技術(shù)，翻譯機(jī)制由于效率比較低，應(yīng)用的范圍則較少。

　�。�1）雙協(xié)議棧技術(shù)該技術(shù)的工作原理是將一臺(tái)主機(jī)同時(shí)安裝IPv6和IPv4兩種協(xié)議，由于兩者建立在相同的物理平臺(tái)之上，且傳輸層協(xié)議也沒有任何的區(qū)別，那么，主機(jī)就可以同時(shí)支持兩種協(xié)議的通信。該技術(shù)可操作性比較強(qiáng)，應(yīng)用方便，但是卻增加了路由設(shè)置，對(duì)于網(wǎng)絡(luò)中IP地址的耗盡問(wèn)題仍然無(wú)法有效解決。

　�。�2）隧道技術(shù)該技術(shù)的方法是將IPv6的數(shù)據(jù)包封裝在IPv4的數(shù)據(jù)包中，經(jīng)過(guò)網(wǎng)絡(luò)傳輸，到達(dá)目的主機(jī)后進(jìn)行解封。這是當(dāng)前最有效的過(guò)渡方法，該技術(shù)同樣要求在主機(jī)上安裝IPv4及IPv6兩種協(xié)議。隧道技術(shù)的封裝如圖1所示。

　�。�3）協(xié)議轉(zhuǎn)換技術(shù)該技術(shù)是由NAT技術(shù)轉(zhuǎn)換而來(lái)，其轉(zhuǎn)換技術(shù)是IPv6與IPv4之間的中間件，對(duì)于安裝兩種不同協(xié)議的主機(jī)來(lái)說(shuō)，不需要對(duì)自身做出任何配置工作，就可以保證兩者之間的正常通信。

　　3IPv6的安全機(jī)制

　　IPv6協(xié)議的安全機(jī)制是IPSec，它內(nèi)置于協(xié)議之中，IPSec主要有ESP（封裝安全負(fù)載）、AH（認(rèn)證報(bào)頭）、SA（安全連接）和IKMP（網(wǎng)絡(luò)密鑰管理協(xié)議）四部分組成。其體系結(jié)構(gòu)如圖2所示。

　　IPv6協(xié)議的安全系數(shù)要遠(yuǎn)遠(yuǎn)好于IPv4協(xié)議，且安全的算法不再局限于特定的算法，可以有效保證IP數(shù)據(jù)包的安全。

　　4IPv6的安全問(wèn)題及策略

　　4.1IPv6的安全隱患

　　IPv6協(xié)議要優(yōu)于IPV4協(xié)議，但是網(wǎng)絡(luò)共享的特點(diǎn)只要還存在，IPv6同樣存在著來(lái)自不同方面的威脅，主要有幾個(gè)方面。

　�。�1）網(wǎng)絡(luò)病毒及木馬IPv6網(wǎng)絡(luò)中的地址數(shù)目眾多，但是網(wǎng)絡(luò)數(shù)據(jù)的傳輸要通過(guò)關(guān)鍵的服務(wù)器及路由來(lái)進(jìn)行，所以當(dāng)這些關(guān)鍵的節(jié)點(diǎn)受到攻擊時(shí)，同樣可到致整個(gè)網(wǎng)絡(luò)系統(tǒng)崩潰。而木馬和病毒的傳播，受影響最多的節(jié)點(diǎn)就是路由和服務(wù)器。

　�。�2）Dos攻擊該方式是通過(guò)消耗目的主機(jī)資源的方式展開攻擊，在IPv6協(xié)議里，地址FF01：：1表示動(dòng)態(tài)分配地址，如果向該地址進(jìn)行攻擊，會(huì)造成整個(gè)網(wǎng)絡(luò)系統(tǒng)資源的大量損失。而通過(guò)IPv6協(xié)議的安全驗(yàn)證機(jī)制，一方面加大自身主機(jī)的資源損失，另一方面是對(duì)合法的數(shù)據(jù)可能在計(jì)算非法數(shù)據(jù)過(guò)程中丟失。

　　（3）TCP缺陷攻擊利用TCP協(xié)議的三次握手，可以保證數(shù)據(jù)的安全準(zhǔn)確到達(dá)，但是當(dāng)大量的偽造TCP報(bào)文向目的主機(jī)發(fā)送時(shí)，會(huì)占用大量的緩存空間和連接空間，致使正確的數(shù)據(jù)無(wú)法得到正確的響應(yīng)和接收。

　�。�4）應(yīng)用服務(wù)威脅當(dāng)前，網(wǎng)絡(luò)的應(yīng)用功能越來(lái)越完善，應(yīng)用的范圍也越來(lái)越廣，與此同時(shí)，在使用具體的應(yīng)用功能時(shí)，攻擊者可能將一些非法的數(shù)據(jù)或木馬程序移植在應(yīng)用程序之中，致使網(wǎng)絡(luò)的安全受到威脅。

　　4.2安全策略

　　針對(duì)上述的問(wèn)題，我們進(jìn)行有針對(duì)性地防范，主要采取的措施有幾項(xiàng)。

　�。�1）建立安全的可信網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)中的節(jié)點(diǎn)進(jìn)行有效的識(shí)別，將網(wǎng)絡(luò)中可信的、安全的網(wǎng)絡(luò)路由和服務(wù)器進(jìn)行匯總，訪問(wèn)時(shí)采取優(yōu)先訪問(wèn)的原則，而對(duì)于無(wú)法識(shí)別安全性能的網(wǎng)絡(luò)節(jié)點(diǎn)，則對(duì)其數(shù)據(jù)進(jìn)行重點(diǎn)防范和及時(shí)查殺病毒木馬。（2）DOS攻擊的防范由于攻擊者隱藏在無(wú)數(shù)的網(wǎng)絡(luò)節(jié)點(diǎn)之中，而且根本沒有推測(cè)攻擊發(fā)起的時(shí)間和具體攻擊的對(duì)象，因此，對(duì)于DOS攻擊只能采取積極的防范。當(dāng)前針對(duì)該攻擊主要采取的方法有報(bào)文過(guò)濾、資源共享、信任鏈路等有效措施。

　　5基于IPv6的入侵檢測(cè)系統(tǒng)

　　對(duì)于IPv6協(xié)議的防范，可以通過(guò)入侵檢測(cè)系統(tǒng)來(lái)完成，對(duì)于系統(tǒng)來(lái)說(shuō)，主要分為三部分，分別是數(shù)據(jù)輸入、處理和輸出。

　　系統(tǒng)設(shè)計(jì)的硬件平臺(tái)為：若干臺(tái)可以連接互聯(lián)網(wǎng)的PC機(jī)，配置為：CPUPentium42.8G、內(nèi)存2G、硬盤160G，兩塊網(wǎng)卡Intel（R）PRO/100VENetworkConnection，一塊作為IPv4網(wǎng)絡(luò)的接口，一塊作為IPv6網(wǎng)絡(luò)的接口。

　　本文所設(shè)計(jì)的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)、開發(fā)軟件環(huán)境為：使用WindowsXP操作系統(tǒng)，它是一個(gè)雙協(xié)議棧主機(jī)，IPv4協(xié)議棧操作系統(tǒng)自帶，IPv6協(xié)議棧在WindowsXP中已經(jīng)集成，可以直接安裝，開發(fā)工具使用MicrosoftVisualC++6.0，WindowsXPDeviceDriversKit（WindowsXPDDK）。

　　系統(tǒng)主要是數(shù)據(jù)的處理部分，該部分由七個(gè)模塊組成，分別是存儲(chǔ)模塊、響應(yīng)模塊、分析檢測(cè)模塊、規(guī)則處理模塊、協(xié)議解決模塊、數(shù)據(jù)包捕捉模塊和特征庫(kù)組成。

　　核心代碼如下所示：

　　u_charthis_xieyi；

　　this_xieyi=（u_char）bao_type；

　　structmap_jilu*faxian_elm=NULL；

　　//處理TCP/UDP/ICMP

　　if（this_xieyi==XIEYI_TCP）{

　　faxian_elm=maptb.FaxianFromOuter（*（（u_short*）

　　retrieve_kuanjia（huancun.WZ_DST_TCPPORT）），

　　retrieve_kuanjia（huancun.WZ_SRC_IP），

　　*（（u_short*）retrieve_kuanjia（huancun.WZ_SRC_TCPPORT）），

　　this_xieyi）；

　　}

　　Elseif（this_xieyi==XIEYI_UDP）{

　　faxian_elm=maptb.FaxianFromOuter（*（（u_short*）

　　retrieve_kuanjia（huancun.WZ_DST_UDPPORT）），

　　retrieve_kuanjia（huancun.WZ_SRC_IP），

　　*（（u_short*）retrieve_kuanjia（huancun.WZ_SRC_UDPPORT）），

　　this_xieyi）；

　　}

　　Elseif（（this_xieyi==XIEYI_ICMP）&&isicmpreply（huancun））{

　　faxian_elm=maptb.FaxianFromOuter（*（（u_short*）

　　retrieve_kuanjia（huancun.WZ_ICMP_ID）），

　　retrieve_kuanjia（huancun.WZ_SRC_IP），

　　*（（u_short*）retrieve_kuanjia（huancun.WZ_ICMP_ID）），

　　this_xieyi）；

　　}

　　if（faxian_elm==NULL）//如果沒有找到

　　{

　　*pIPv6_address=in6addr；

　　*pIPv6_port=0；

　　ReturnNO_MAPPING；

　　}else{//找到合適的映射表?xiàng)l目

　　*pIPv6_address=faxian_elm->inner_ip；

　　*pIPv6_port=faxian_elm->inner_port；

　　對(duì)于IPv6和IPv4網(wǎng)絡(luò)之間進(jìn)行通信，以保證數(shù)據(jù)準(zhǔn)確的、實(shí)時(shí)到達(dá)，通過(guò)Ping對(duì)其進(jìn)行時(shí)延測(cè)試，測(cè)試結(jié)果如表1所示。

　　6結(jié)束語(yǔ)

　　目前，我國(guó)純IPv6協(xié)議的網(wǎng)絡(luò)只是在局部的范圍內(nèi)應(yīng)用，在相當(dāng)長(zhǎng)的一段時(shí)間內(nèi)，還需要IPv4與IPv6協(xié)議彼此共存，對(duì)于兩種協(xié)議之間的轉(zhuǎn)換，當(dāng)前國(guó)際上并沒有統(tǒng)一的標(biāo)準(zhǔn)，在不斷深入研究的過(guò)程中，會(huì)不斷地改進(jìn)。純IPv6協(xié)議的安全系數(shù)相對(duì)較高，但I(xiàn)Pv4與IPv6兩者進(jìn)行通信，數(shù)據(jù)包的丟失現(xiàn)象還存在，需要進(jìn)一步地研究。

　　參考文獻(xiàn)

　　[1]熊英.IPv4/IPv6代溝協(xié)議轉(zhuǎn)換技術(shù)的設(shè)計(jì).通信世界，2003.9.

　　[2]蘇金樹，涂睿，王寶生，劉亞萍.互聯(lián)網(wǎng)新型安全和管理體系結(jié)構(gòu)研究展望.計(jì)算機(jī)應(yīng)用研究，2009.10.

　　[3]黃曉榕.對(duì)新一代IP協(xié)議IPv6的分析.西南財(cái)經(jīng)大學(xué)，2001.5.

　　[4]楊云江，高鴻峰.IPv6技術(shù)與應(yīng)用[M].清華大學(xué)出版社，2010.2.

相關(guān)期刊推薦：《通信技術(shù)》

　　《通信技術(shù)》雜志由信息產(chǎn)業(yè)部主管、中國(guó)電子科技集團(tuán)第三十研究所主辦。16開本，每月10日出版，國(guó)內(nèi)外公開發(fā)行的月刊。雜志1967年創(chuàng)刊，是國(guó)內(nèi)創(chuàng)辦時(shí)間長(zhǎng)、影響大的計(jì)算機(jī)專業(yè)媒體，2004版中文核心期刊。主要報(bào)道信源處理、傳輸、業(yè)務(wù)與系統(tǒng)、網(wǎng)絡(luò)、移動(dòng)通信、信息安全等方面的先進(jìn)技術(shù)、理論研究成果和最新動(dòng)態(tài)。雜志一直以促進(jìn)民族通信事業(yè)的發(fā)展為已任，專注于通信技術(shù)以及相關(guān)領(lǐng)域發(fā)展與趨勢(shì)的學(xué)術(shù)交流，集學(xué)術(shù)性、知識(shí)性、信息性為一體。力爭(zhēng)搭建好一個(gè)展示、交流、探討通信技術(shù)發(fā)展的良好平臺(tái)，同時(shí)，成為一個(gè)反映當(dāng)代通信技術(shù)專業(yè)發(fā)展水平的面向世界的窗口。郵發(fā)代號(hào)：62-153。

　　《通信技術(shù)》欄目設(shè)置

　　傳輸、移動(dòng)通信、網(wǎng)絡(luò)、通信保密、信源處理等等。

　　《通信技術(shù)》收錄情況/影響因子

　　中國(guó)學(xué)術(shù)期刊(光盤版)收錄期刊、中國(guó)核心期刊數(shù)據(jù)庫(kù)收錄期刊、萬(wàn)方數(shù)據(jù)庫(kù)-數(shù)字化期刊群全文收錄期刊、中文科技期刊數(shù)據(jù)庫(kù)收錄期刊。

　　復(fù)合影響因子：0.821，綜合影響因子：0.612。

---

轉(zhuǎn)載請(qǐng)注明來(lái)自：http://www.jinnzone.com/xinxianqlw/31379.html