當前，IPv4仍是當前互聯(lián)網(wǎng)的重要協(xié)議，IPv6協(xié)議是在IPv4的基礎(chǔ)上進一步的完善和發(fā)展的，被稱為下一代互聯(lián)網(wǎng)協(xié)議。

　　【摘要】隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，作為新一代網(wǎng)絡(luò)協(xié)議IPv6近年來受到人們越來越多的關(guān)注。本文在IPv6協(xié)議的基礎(chǔ)上，對網(wǎng)絡(luò)的安全進行研究，首先分析IPv6的特點及IPv4與IPv6之間轉(zhuǎn)換進的方法，其次對于IPv6中的安全隱患和解決方法進行了詳細的論述，最后設(shè)計了基于IPv6的入侵檢測系統(tǒng)，并給出關(guān)鍵模塊的流程。本文對于網(wǎng)絡(luò)安全工程人員有著積極的意義。

　　【關(guān)鍵詞】IPv6,互聯(lián)網(wǎng),安全

　　1引言

　　自上個世紀末IPv6的提出至今，IPv6協(xié)議的框架已經(jīng)成熟，逐步取代IPV4成為下一代Internet協(xié)議，與IPv4相比，IPv6具有幾項新特點：尋址能力得到擴展、分組頭的格式得到簡化、進一步提高了擴展能力、完善認證和加密機制、提供移動服務。

　　2IPv4向IPv6的過渡策略

　　從IPv4到IPv6的過渡方法有三種：雙協(xié)議棧技術(shù)、隧道技術(shù)及翻譯機制。當前比較常用的技術(shù)是雙協(xié)議棧技術(shù)和隧道技術(shù)，翻譯機制由于效率比較低，應用的范圍則較少。

　　（1）雙協(xié)議棧技術(shù)該技術(shù)的工作原理是將一臺主機同時安裝IPv6和IPv4兩種協(xié)議，由于兩者建立在相同的物理平臺之上，且傳輸層協(xié)議也沒有任何的區(qū)別，那么，主機就可以同時支持兩種協(xié)議的通信。該技術(shù)可操作性比較強，應用方便，但是卻增加了路由設(shè)置，對于網(wǎng)絡(luò)中IP地址的耗盡問題仍然無法有效解決。

　�。�2）隧道技術(shù)該技術(shù)的方法是將IPv6的數(shù)據(jù)包封裝在IPv4的數(shù)據(jù)包中，經(jīng)過網(wǎng)絡(luò)傳輸，到達目的主機后進行解封。這是當前最有效的過渡方法，該技術(shù)同樣要求在主機上安裝IPv4及IPv6兩種協(xié)議。隧道技術(shù)的封裝如圖1所示。

　　（3）協(xié)議轉(zhuǎn)換技術(shù)該技術(shù)是由NAT技術(shù)轉(zhuǎn)換而來，其轉(zhuǎn)換技術(shù)是IPv6與IPv4之間的中間件，對于安裝兩種不同協(xié)議的主機來說，不需要對自身做出任何配置工作，就可以保證兩者之間的正常通信。

　　3IPv6的安全機制

　　IPv6協(xié)議的安全機制是IPSec，它內(nèi)置于協(xié)議之中，IPSec主要有ESP（封裝安全負載）、AH（認證報頭）、SA（安全連接）和IKMP（網(wǎng)絡(luò)密鑰管理協(xié)議）四部分組成。其體系結(jié)構(gòu)如圖2所示。

　　IPv6協(xié)議的安全系數(shù)要遠遠好于IPv4協(xié)議，且安全的算法不再局限于特定的算法，可以有效保證IP數(shù)據(jù)包的安全。

　　4IPv6的安全問題及策略

　　4.1IPv6的安全隱患

　　IPv6協(xié)議要優(yōu)于IPV4協(xié)議，但是網(wǎng)絡(luò)共享的特點只要還存在，IPv6同樣存在著來自不同方面的威脅，主要有幾個方面。

　�。�1）網(wǎng)絡(luò)病毒及木馬IPv6網(wǎng)絡(luò)中的地址數(shù)目眾多，但是網(wǎng)絡(luò)數(shù)據(jù)的傳輸要通過關(guān)鍵的服務器及路由來進行，所以當這些關(guān)鍵的節(jié)點受到攻擊時，同樣可到致整個網(wǎng)絡(luò)系統(tǒng)崩潰。而木馬和病毒的傳播，受影響最多的節(jié)點就是路由和服務器。

　　（2）Dos攻擊該方式是通過消耗目的主機資源的方式展開攻擊，在IPv6協(xié)議里，地址FF01：：1表示動態(tài)分配地址，如果向該地址進行攻擊，會造成整個網(wǎng)絡(luò)系統(tǒng)資源的大量損失。而通過IPv6協(xié)議的安全驗證機制，一方面加大自身主機的資源損失，另一方面是對合法的數(shù)據(jù)可能在計算非法數(shù)據(jù)過程中丟失。

　　（3）TCP缺陷攻擊利用TCP協(xié)議的三次握手，可以保證數(shù)據(jù)的安全準確到達，但是當大量的偽造TCP報文向目的主機發(fā)送時，會占用大量的緩存空間和連接空間，致使正確的數(shù)據(jù)無法得到正確的響應和接收。

　�。�4）應用服務威脅當前，網(wǎng)絡(luò)的應用功能越來越完善，應用的范圍也越來越廣，與此同時，在使用具體的應用功能時，攻擊者可能將一些非法的數(shù)據(jù)或木馬程序移植在應用程序之中，致使網(wǎng)絡(luò)的安全受到威脅。

　　4.2安全策略

　　針對上述的問題，我們進行有針對性地防范，主要采取的措施有幾項。

　�。�1）建立安全的可信網(wǎng)絡(luò)對網(wǎng)絡(luò)中的節(jié)點進行有效的識別，將網(wǎng)絡(luò)中可信的、安全的網(wǎng)絡(luò)路由和服務器進行匯總，訪問時采取優(yōu)先訪問的原則，而對于無法識別安全性能的網(wǎng)絡(luò)節(jié)點，則對其數(shù)據(jù)進行重點防范和及時查殺病毒木馬。（2）DOS攻擊的防范由于攻擊者隱藏在無數(shù)的網(wǎng)絡(luò)節(jié)點之中，而且根本沒有推測攻擊發(fā)起的時間和具體攻擊的對象，因此，對于DOS攻擊只能采取積極的防范。當前針對該攻擊主要采取的方法有報文過濾、資源共享、信任鏈路等有效措施。

　　5基于IPv6的入侵檢測系統(tǒng)

　　對于IPv6協(xié)議的防范，可以通過入侵檢測系統(tǒng)來完成，對于系統(tǒng)來說，主要分為三部分，分別是數(shù)據(jù)輸入、處理和輸出。

　　系統(tǒng)設(shè)計的硬件平臺為：若干臺可以連接互聯(lián)網(wǎng)的PC機，配置為：CPUPentium42.8G、內(nèi)存2G、硬盤160G，兩塊網(wǎng)卡Intel（R）PRO/100VENetworkConnection，一塊作為IPv4網(wǎng)絡(luò)的接口，一塊作為IPv6網(wǎng)絡(luò)的接口。

　　本文所設(shè)計的入侵檢測系統(tǒng)的設(shè)計、開發(fā)軟件環(huán)境為：使用WindowsXP操作系統(tǒng)，它是一個雙協(xié)議棧主機，IPv4協(xié)議棧操作系統(tǒng)自帶，IPv6協(xié)議棧在WindowsXP中已經(jīng)集成，可以直接安裝，開發(fā)工具使用MicrosoftVisualC++6.0，WindowsXPDeviceDriversKit（WindowsXPDDK）。

　　系統(tǒng)主要是數(shù)據(jù)的處理部分，該部分由七個模塊組成，分別是存儲模塊、響應模塊、分析檢測模塊、規(guī)則處理模塊、協(xié)議解決模塊、數(shù)據(jù)包捕捉模塊和特征庫組成。

　　核心代碼如下所示：

　　u_charthis_xieyi；

　　this_xieyi=（u_char）bao_type；

　　structmap_jilu*faxian_elm=NULL；

　　//處理TCP/UDP/ICMP

　　if（this_xieyi==XIEYI_TCP）{

　　faxian_elm=maptb.FaxianFromOuter（*（（u_short*）

　　retrieve_kuanjia（huancun.WZ_DST_TCPPORT）），

　　retrieve_kuanjia（huancun.WZ_SRC_IP），

　　*（（u_short*）retrieve_kuanjia（huancun.WZ_SRC_TCPPORT）），

　　this_xieyi）；

　　}

　　Elseif（this_xieyi==XIEYI_UDP）{

　　faxian_elm=maptb.FaxianFromOuter（*（（u_short*）

　　retrieve_kuanjia（huancun.WZ_DST_UDPPORT）），

　　retrieve_kuanjia（huancun.WZ_SRC_IP），

　　*（（u_short*）retrieve_kuanjia（huancun.WZ_SRC_UDPPORT）），

　　this_xieyi）；

　　}

　　Elseif（（this_xieyi==XIEYI_ICMP）&&isicmpreply（huancun））{

　　faxian_elm=maptb.FaxianFromOuter（*（（u_short*）

　　retrieve_kuanjia（huancun.WZ_ICMP_ID）），

　　retrieve_kuanjia（huancun.WZ_SRC_IP），

　　*（（u_short*）retrieve_kuanjia（huancun.WZ_ICMP_ID）），

　　this_xieyi）；

　　}

　　if（faxian_elm==NULL）//如果沒有找到

　　{

　　*pIPv6_address=in6addr；

　　*pIPv6_port=0；

　　ReturnNO_MAPPING；

　　}else{//找到合適的映射表條目

　　*pIPv6_address=faxian_elm->inner_ip；

　　*pIPv6_port=faxian_elm->inner_port；

　　對于IPv6和IPv4網(wǎng)絡(luò)之間進行通信，以保證數(shù)據(jù)準確的、實時到達，通過Ping對其進行時延測試，測試結(jié)果如表1所示。

　　6結(jié)束語

　　目前，我國純IPv6協(xié)議的網(wǎng)絡(luò)只是在局部的范圍內(nèi)應用，在相當長的一段時間內(nèi)，還需要IPv4與IPv6協(xié)議彼此共存，對于兩種協(xié)議之間的轉(zhuǎn)換，當前國際上并沒有統(tǒng)一的標準，在不斷深入研究的過程中，會不斷地改進。純IPv6協(xié)議的安全系數(shù)相對較高，但IPv4與IPv6兩者進行通信，數(shù)據(jù)包的丟失現(xiàn)象還存在，需要進一步地研究。

　　參考文獻

　　[1]熊英.IPv4/IPv6代溝協(xié)議轉(zhuǎn)換技術(shù)的設(shè)計.通信世界，2003.9.

　　[2]蘇金樹，涂睿，王寶生，劉亞萍.互聯(lián)網(wǎng)新型安全和管理體系結(jié)構(gòu)研究展望.計算機應用研究，2009.10.

　　[3]黃曉榕.對新一代IP協(xié)議IPv6的分析.西南財經(jīng)大學，2001.5.

　　[4]楊云江，高鴻峰.IPv6技術(shù)與應用[M].清華大學出版社，2010.2.

相關(guān)期刊推薦：《通信技術(shù)》

　　《通信技術(shù)》雜志由信息產(chǎn)業(yè)部主管、中國電子科技集團第三十研究所主辦。16開本，每月10日出版，國內(nèi)外公開發(fā)行的月刊。雜志1967年創(chuàng)刊，是國內(nèi)創(chuàng)辦時間長、影響大的計算機專業(yè)媒體，2004版中文核心期刊。主要報道信源處理、傳輸、業(yè)務與系統(tǒng)、網(wǎng)絡(luò)、移動通信、信息安全等方面的先進技術(shù)、理論研究成果和最新動態(tài)。雜志一直以促進民族通信事業(yè)的發(fā)展為已任，專注于通信技術(shù)以及相關(guān)領(lǐng)域發(fā)展與趨勢的學術(shù)交流，集學術(shù)性、知識性、信息性為一體。力爭搭建好一個展示、交流、探討通信技術(shù)發(fā)展的良好平臺，同時，成為一個反映當代通信技術(shù)專業(yè)發(fā)展水平的面向世界的窗口。郵發(fā)代號：62-153。

　　《通信技術(shù)》欄目設(shè)置

　　傳輸、移動通信、網(wǎng)絡(luò)、通信保密、信源處理等等。

　　《通信技術(shù)》收錄情況/影響因子

　　中國學術(shù)期刊(光盤版)收錄期刊、中國核心期刊數(shù)據(jù)庫收錄期刊、萬方數(shù)據(jù)庫-數(shù)字化期刊群全文收錄期刊、中文科技期刊數(shù)據(jù)庫收錄期刊。

　　復合影響因子：0.821，綜合影響因子：0.612。

---

轉(zhuǎn)載請注明來自：http://www.jinnzone.com/xinxianqlw/31379.html