基于IPv6的互联网络安全研究

【 摘 要 】 随着网络技术的不断发展，作为新一代网络协议IPv6近年来受到人们越来越多的关注。本文在IPv6协议的基础上，对网络的安全进行研究，首先分析IPv6的特点及IPv4与IPv6之间转换进的方法，其次对于IPv6中的安全隐患和解决方法进行了详细的论述，最后设计了基于IPv6的入侵检测系统，并给出关键模块的流程。本文对于网络安全工程人员有着积极的意义。

【 关键词 】 IPv6； 互联网； 安全

Internet Security Research based on IPv6

Ni Hong-biao

（Jilin Police College JilinChangchun 130117）

【 Abstract 】 With the network technology development， the new generation of network protocol—IPv6 obtains the increasing attention. This article will research the network security based on IPv6 protocol. At first， it analyzes IPv6 characteristics and transform between IPV4 and IPv6. In the second place， this paper introduces IPv6 potential safety hazard and the related solution. At last， instrusion detection system is designed based on IPv6 with the key module workflow. This article provides positive significance to the network security workers.

【 Keywords 】 ipv6； internet； security

1 引言

当前，IPv4仍是当前互联网的重要协议，IPv6协议是在IPv4的基础上进一步的完善和发展的，被称为下一代互联网协议。

自上个世纪末IPv6的提出至今，IPv6协议的框架已经成熟，逐步取代IPV4成为下一代Internet协议，与IPv4相比，IPv6具有几项新特点：寻址能力得到扩展、分组头的格式得到简化、进一步提高了扩展能力、完善认证和加密机制、提供移动服务。

2 IPv4向IPv6的过渡策略

从IPv4到IPv6的过渡方法有三种：双协议栈技术、隧道技术及翻译机制。当前比较常用的技术是双协议栈技术和隧道技术，翻译机制由于效率比较低，应用的范围则较少。

（1）双协议栈技术 该技术的工作原理是将一台主机同时安装IPv6和IPv4两种协议，由于两者建立在相同的物理平台之上，且传输层协议也没有任何的区别，那么，主机就可以同时支持两种协议的通信。该技术可操作性比较强，应用方便，但是却增加了路由设置，对于网络中IP地址的耗尽问题仍然无法有效解决。

（2）隧道技术 该技术的方法是将IPv6的数据包封装在IPv4的数据包中，经过网络传输，到达目的主机后进行解封。这是当前最有效的过渡方法，该技术同样要求在主机上安装IPv4及IPv6两种协议。隧道技术的封装如图1所示。

（3）协议转换技术 该技术是由NAT技术转换而来，其转换技术是IPv6与IPv4之间的中间件，对于安装两种不同协议的主机来说，不需要对自身做出任何配置工作，就可以保证两者之间的正常通信。

3 IPv6的安全机制

IPv6协议的安全机制是IPSec，它内置于协议之中，IPSec主要有ESP（封装安全负载）、AH（认证报头）、SA（安全连接）和IKMP（网络密钥管理协议）四部分组成。其体系结构如图2所示。

IPv6协议的安全系数要远远好于IPv4协议，且安全的算法不再局限于特定的算法，可以有效保证IP数据包的安全。

4 IPv6的安全问题及策略

4.1 IPv6的安全隐患

IPv6协议要优于IPV4协议，但是网络共享的特点只要还存在，IPv6同样存在着来自不同方面的威胁，主要有几个方面。

（1）网络病毒及木马 IPv6网络中的地址数目众多，但是网络数据的传输要通过关键的服务器及路由来进行，所以当这些关键的节点受到攻击时，同样可到致整个网络系统崩溃。而木马和病毒的传播，受影响最多的节点就是路由和服务器。

（2）Dos攻击 该方式是通过消耗目的主机资源的方式展开攻击，在IPv6协议里，地址FF01：：1表示动态分配地址，如果向该地址进行攻击，会造成整个网络系统资源的大量损失。而通过IPv6协议的安全验证机制，一方面加大自身主机的资源损失，另一方面是对合法的数据可能在计算非法数据过程中丢失。

（3）TCP缺陷攻击 利用TCP协议的三次握手，可以保证数据的安全准确到达，但是当大量的伪造TCP报文向目的主机发送时，会占用大量的缓存空间和连接空间，致使正确的数据无法得到正确的响应和接收。

（4）应用服务威胁 当前，网络的应用功能越来越完善，应用的范围也越来越广，与此同时，在使用具体的应用功能时，攻击者可能将一些非法的数据或木马程序移植在应用程序之中，致使网络的安全受到威胁。

4.2 安全策略

针对上述的问题，我们进行有针对性地防范，主要采取的措施有几项。

（1）建立安全的可信网络 对网络中的节点进行有效的识别，将网络中可信的、安全的网络路由和服务器进行汇总，访问时采取优先访问的原则，而对于无法识别安全性能的网络节点，则对其数据进行重点防范和及时查杀病毒木马。

（2）DOS攻击的防范 由于攻击者隐藏在无数的网络节点之中，而且根本没有推测攻击发起的时间和具体攻击的对象，因此，对于DOS攻击只能采取积极的防范。当前针对该攻击主要采取的方法有报文过滤、资源共享、信任链路等有效措施。

5 基于IPv6的入侵检测系统

对于IPv6协议的防范，可以通过入侵检测系统来完成，对于系统来说，主要分为三部分，分别是数据输入、处理和输出。

系统设计的硬件平台为：若干台可以连接互联网的PC机，配置为：CPU Pentium 4 2.8G、内存2G、硬盘160G，两块网卡Intel（R） PRO/100 VE Network Connection，一块作为IPv4网络的接口，一块作为IPv6网络的接口。

本文所设计的入侵检测系统的设计、开发软件环境为：使用Windows XP操作系统，它是一个双协议栈主机，IPv4协议栈操作系统自带，IPv6协议栈在Windows XP中已经集成，可以直接安装，开发工具使用Microsoft Visual C++ 6.0，Windows XP Device Drivers Kit（Windows XP DDK）。

系统主要是数据的处理部分，该部分由七个模块组成，分别是存储模块、响应模块、分析检测模块、规则处理模块、协议解决模块、数据包捕捉模块和特征库组成。

核心代码如下所示：

u_char this_xieyi；

this_xieyi = （u_char）bao_type；

struct map_jilu *faxian_elm=NULL；

//处理TCP/UDP/ICMP

if（this_xieyi==XIEYI_TCP）{

faxian_elm=maptb.FaxianFromOuter（*（（u_short *）

retrieve_kuanjia（huancun.WZ_DST_TCPPORT）），

retrieve_kuanjia（huancun.WZ_SRC_IP），

*（（u_short *）retrieve_kuanjia（huancun.WZ_SRC_TCPPORT）），

this_xieyi）；

}

Else if （this_xieyi== XIEYI_UDP）{

faxian_elm=maptb.FaxianFromOuter（*（（u_short *）

retrieve_kuanjia（huancun.WZ_DST_UDPPORT）），

retrieve_kuanjia（huancun.WZ_SRC_IP），

*（（u_short *）retrieve_kuanjia（huancun.WZ_SRC_UDPPORT）），

this_xieyi）；

}

Else if （（this_xieyi== XIEYI_ICMP）&&isicmpreply（huancun））{

faxian_elm=maptb.FaxianFromOuter（*（（u_short *）

retrieve_kuanjia（huancun.WZ_ICMP_ID）），

retrieve_kuanjia（huancun.WZ_SRC_IP），

*（（u_short *）retrieve_kuanjia（huancun.WZ_ICMP_ID）），

this_xieyi）；

}

if（faxian_elm==NULL） //如果没有找到

{

*pIPv6_address=in6addr；

*pIPv6_port=0；

Return NO_MAPPING；

}else{ //找到合适的映射表条目

*pIPv6_address=faxian_elm->inner_ip；

*pIPv6_port= faxian_elm->inner_port；

对于IPv6和IPv4网络之间进行通信，以保证数据准确的、实时到达，通过Ping对其进行时延测试，测试结果如表1所示。

6 结束语

目前，我国纯IPv6协议的网络只是在局部的范围内应用，在相当长的一段时间内，还需要IPv4与IPv6协议彼此共存，对于两种协议之间的转换，当前国际上并没有统一的标准，在不断深入研究的过程中，会不断地改进。纯IPv6协议的安全系数相对较高，但IPv4与IPv6两者进行通信，数据包的丢失现象还存在，需要进一步地研究。

参考文献

[1] 熊英. IPv4/IPv6代沟协议转换技术的设计. 通信世界，2003.9.

[2] 苏金树，涂睿，王宝生，刘亚萍.互联网新型安全和管理体系结构研究展望.计算机应用研究，2009.10.

[3] 黄晓榕. 对新一代IP协议IPv6的分析.西南财经大学，2001.5.

[4] 杨云江，高鸿峰.IPv6技术与应用[M]. 清华大学出版社，2010.2.

基金项目：

项目编号：吉林警察学院院级科研课题yjky201311。

作者简介：

倪红彪（1978-），男，汉族，吉林长春人，吉林警察学院任教，讲师，研究生硕士学位，多次参与省级、厅级科研项目，独立主持院级科研项目；主要研究方向和关注领域：计算机应用技术、网络技术。