IPv6地址实现机制

IPv6地址实现机制 篇1

Internet经过近20年的发展, 互联网用户数量急剧增加, 出现原有的IPv4协议难以解决的诸如地址资源不足, 路由表膨胀等问题。IP的特殊应用也对IP提出了新的要求, 比如实时传输、多媒体传输和移动用户的网络接入等。故因特网工程任务组 (ETF) 开发出了IPv6协议以解决IPv4存在的问题, 也给IP带来了一些新的特性, 例如在地址管理、安全性、移动性和Qo S等方面变得更加灵活。但网络安全问题的不断暴露和当前黑客攻击技术日益进步, 人们又面临了新的课题——IPv6环境下的安全问题。在这种背景下, 开发易扩展、集成化、自动化、低成本、高效率、易管理的网络集成防护产品的必要性。

1 体系结构

下一代互联网络协议IPv6的实现机制及网络安全保障方法旨在参与研究开发下一代因特网协议IPv6, 其主要目的是实现主机和路由器从IPv4向IPv6平滑过度及相应环境下网络安全性的研究。IPv6的引入并不能使IPv4立即消失, 因此, 研究他们之间的转换机制、实现方法以及其环境下的安全性问题, 保障网络安全已成为一项具有重大意义的研究工作。网络安全系统提供了防火墙集成管理、入侵检测集成管理、网络入侵自动阻断等功能, 能检测端口扫描、后门、溢出攻击等各方面的入侵并自动保护, 并综合边界防火墙和主机防火墙形成了分布式防火墙的立体防护功能, 形成了集成化防护的产品特色。该产品除了具有立体防护、易扩展、高性能、智能化、自动化的特点以外, 还具备用户所需要的易安装、易配置、易使用、易管理特性。

图1是系统体系结构图, 从图中可以看到本项目研制的计算机安全防护系统由四部分组成:主控计算机、防火墙+/入侵检测代理、防火墙、入侵检测系统。主控计算机负责系统整体的运行和协调, 防火墙/入侵检测代理负责管理相应的防火墙和入侵检测系统。

在此系统中, 我们需要开发插件式的防火墙及入侵检测集成解决方案, 提供可扩展的管理平台;研发防火墙规则配置技术, 提供统一、一致的防火墙配置管理;研发入侵检测和防火墙之间的自动协作机制, 通过防火墙对发现的入侵自动阻断;开发Windows下主机防火墙, 通过控制中心形成分布式防火墙和边界防火墙相结合的立体防御;开发联动防火墙;开发端口扫描攻击基本防范和木马检测的程序。

本系统研究开发的新型网络防护技术主要包括:IPv4/IPv6双栈网络安全测试系统、联动防火墙的主机入侵检测系统和基于IPv6的网络安全保障。

2 IPv4/IPv6双栈网络安全测试系统

由于IPv4普遍存在, IPv6的引入并不能使其立即消失, 因此, 研究他们之间的转换机制、实现方法及其环境下的安全性问题, 保障网络安全已成为一项具有重大意义的研究工作。为完成此项工作, 我们构建了一个网络安全测试系统, 能够实现IPv4/IPv6双栈入侵检测以及IPv6防火墙测试功能。探讨了在IPv6环境下, 搭建网络安全测试系统的过程。

测试环境是一个IPv4/IPv6双栈网络。采用分布式入侵检测系统, 多个探测器设备独立分布在测试环境中, IDS manager负责多个探测器设备的管理和告警信息的分类。探侧器设备的物理连接使用带有端口复制功能的交换机以保证监听可靠性。测试防火墙双向、单向性能与最大并发连接数时, 防火墙配置为内外网全通, 侧试防火墙NAT功能性能时, 防火墙只增加了NAT功能。防火墙启动NAT功能以后的性能测试方法与单向性能测试相同。

3 联动防火墙的主机入侵检测系统

研究具有联动防火墙的主机入侵检测系统可以实时监测主机的各种状态, 辨别可能发生的入侵行为或非法操作, 在入侵行为发生时联动防火墙进行自动阻断和报警, 实时保护主机系统信息安全。入侵监测子系统的构架如图2所示。

为了不降低系统的吞吐率, 主机入侵检测系统LYIDS与防火墙LYFW的联动采用外联式互动技术。LYIDS在检测到端口扫描后, 根据攻击方IP地址自动生成临时性规则, 并添加进临时性规则链表, 临时性规则经过DES算法加密后通过Windows消息机制传送给LYEW。LYEW接收到LYIDS送来的Windows消息, 从中提取临时性规则, 解密后将其加入临时性规则集, 一般置临时性规则时效为5s, LYEW每隔一段时间检查临时性规则集, 及时删除失效的临时性规则。鉴于临时性规则的紧迫性, LYEW过滤数据包时采取先匹配临时性规则, 后固定规则 (防火墙自己设定的规则) 的策略。

4 结论

IPv6提供了网络数据和信息内容的有效性、一致性以及完整性的保证, 但是, 网络受到的安全威胁是来自多层面的, 包括物理层、数据链路层、网络层、传输层和应用层等各个部分。实现IPv6网络的安全性主要通过3个层面实现:高性能的硬件系统、网络安全、协议安全。

经测试, 下一代互联网络协议IPv6的实现机制达到如下技术指标:首先, 该软件运行于Windows系统, 实现了集成管理不同类型防火墙、插件式集成管理、基于元语的防火墙配置、单一防火墙配置、远程统一管理防火墙等功能。其次, 该软件运行于Windows系统, 实现了集成管理不同类型入侵检测系统、插件式集成管理、远程管理入侵检测系统、自动告警及查询、告警自动响应和封阻攻击等功能。再次, 通常使用ASIC (专用集成电路) 实现加密处理, 或者通过网络处理器来实现加密处理和转发。最后, 该软件在Windows, 实现了对后门端口的自动检测和告警, 支持黑白端口列表的设定。

摘要：随着互联网的发展, 现有的IPv4协议难以满足需求, 人们面临着如何解决IPv6环境下的安全问题。我们研究了下一代互联网络协议IPv6的实现机制及网络安全保障方法, 研究了IPv4/IPv6双栈网络安全测试系统、联动防火墙的主机入侵检测系统、基于IPv6网络的防火墙安全保障和IPv4向IPv6过渡的机制, 该系统顺利通过了测试, 目前该机制在同类产品中属于较先进水平。

关键词：互联网,协议,IPv4,IPv6,网络安全

参考文献

[1]高光勇, 迟乐军, 王艳春.联动防火墙的主机入侵监测系统的研究[J].微计算机信息, 2005, 21 (7-3) :66-68.

[2]何鹏.基于IPv6的网络安全保障方法的研究与实现[J].计算机安全, 2007, 3:38-39.

[3]王凯, 朱恒军, 何鹏.IPv4/IPv6双栈网络安全测试系统的研究与实现[J].计算机安全, 2007, 8:36-37.

IPv6地址实现机制 篇2

基于IPV4网络的认证不强调真实源地址认证,仅强调信息发到哪里,不强调信息从哪里来,造成了很多网络安全问题,其应用产生了信任危机。IPv6引入以后,在协议安全性上有了显著的提高,但它仍然没有完全解决源地址欺骗所带来的安全问题。因此,基于源地址欺骗的网络攻击,尤其是拒绝服务攻击,仍是IPv6网络的主要安全威胁之一。真实的地址和标识是可信任网络的基础和前提,真实IPv6地址是可信任下一代互联网的基础,IPv6网络对用户进行接入控制成为越来越重要的安全管理措施,如何保证数据的真实地址仍然是IPv6网络用户安全接入的重要课题之一。

1 IPv6地址配置技术

1.1 手工地址配置

IPv6手工地址配置方法与IPv4中的静态地址配置相似,用户可以在主机上手工配置IPv6全局地址,配置操作取决于不同操作系统的具体实现。IPv6手工配置操作不如IPv4静态地址配置直观,对用户要求较高,所以IPv6手工地址配置方法在IPv6网络管理中使用较少。

1.2 有状态地址自动配置

IPv6有状态地址自动配置方法与IPv4中的DHCP相似,当然,DHCP必须升级以支持IPv6地址,即DHCPv6。作为有状态自动配置协议,它要求安装和管理DHCP服务器,并要求接受DHCP服务的每个节点都必须在服务器上进行配置。DHCP服务器保存着要提供配置信息的节点列表,如果节点不在列表中,该节点就无法获得IP地址。DHCP服务器还保持着使用该服务器的节点的状态,因为该服务器必须了解每个IP地址使用的时间,以及何时IP地址可以进行重新分配。有状态自动配置的问题在于,用户必须保持和管理特殊的自动配置服务器以便管理所有“状态”,即所容许的连接及当前连接的相关信息。

1.3 无状态地址自动配置

IPv6的无状态地址自动配置允许个人节点能够确定自己的IP 配置,而不必向服务器显式请求各节点的信息,同时要求本地链路支持组播,而且网络接口能够发送和接收组播。无状态自动配置对主机使用的IPv6地址做如下结构性假设:一个主机的IPv6地址是由前缀和接口ID组成,实现动态配置就是实现这两个部分的动态配置。IPv6前缀的实际作用是标识主机与路由器之间的网络,所以一般来讲主机需要的这个前缀就是路由器接口的前缀。为了自动获得这个前缀,需要在路由器和主机之间运行一个无状态配置协议。这里需要用到ND(Neighbor Discovery)协议的Router Solicatation和Router Advertisement消息,前者用于发现路由器,并促使路由器发送Router Advertisement消息通报前缀信息。对于接口ID,IEEE EUI-64规范是其中最重要的一种生成方法,将48比特的MAC地址转化为64比特的接口ID,MAC地址的唯一性保证了接口ID的唯一性,此操作也是节点自动生成,不需人为干预。

无状态自动配置对用户来说操作简单,即插即用,但此方法对得到IP地址的节点提供最低程度的监视。

2 现有IPv6网络接入认证技术分析

2.1 DHCPv6+AAA

DHCPv6(dynamic host configuration protocol version 6)是动态主机配置协议,用于TCP/IP网络上的客户机获得IPV6网络地址信息和其它非地址信息。为进一步保证安全性,通常采用AAA(authentication authorization accounting,认证、授权和计费)服务器和DHCPv6服务器联合对节点的身份进行验证。DHCPv6+AAA为节点安全接入IPv6网络提供了一种可行的方式,能够对客户进行可靠的配置,通用性好,但缺点是:涉及到DHCPv6和AAA两种技术,复杂性高,用户需要经过两次IP地址分配,登录时间长。集中式的网络结构降低了网络的扩展性能。

2.2 包过滤

包过滤技术是指在网络层对数据包进行分析、选择,通过检查数据流中每一个数据包的源地址、目的地址、所用端口号及协议状态等因素或它们的组合来确定是否允许该数据包通过。其优点是仅用一台路由器就可以保护整个网络,不需要用户软件的支撑,包过滤工作对用户来讲是透明的。但缺点是:IPv6包过滤很难做好,尤其当安全需求定义得不好且不细致的时候更是如此,访问权限的查找会降低路由器的转发速度,有些协议不适合使用包过滤,有些安全规则难以用包过滤规则实现。

2.3 基于认证的IPv6无状态地址自动配置

在IPv6原有的无状态地址自动配置过程中的路由请求、路由宣告阶段加入认证机制,使合法用户获得IPv6地址,同时拒绝非法用户进入网络。认证信息可以在路由请求、路由宣告报头中的保留位和扩展选项中加入。修改后的路由发现过程是,节点首先向本地链路上的所有路由器发出路由请求包,其中包含认证信息,路由器收到路由请求包后,把它转发给一个专门的认证服务器,由认证服务器对节点的身份进行验证,若认证成功,路由器将向节点响应路由宣告包,其中包含网络前缀信息,否则路由宣告包中不包含网络前缀信息。此方案保留了IPv6即插即用的优点,也解决了它“对节点的最低程度的监视”的缺点,但是需要在IPv6节点和路由器上使用定制开发的IPv6模块,同时,由于此方法仅仅是在网络前缀的获得上加入了认证,网络管理者并不知道用户的真实、完整的IPv6全局地址,无法保证源地址的真实性,所以依然无法满足网络管理以及网络安全的需要。

3新的基于IPv6无状态地址自动配置的802.1X认证方法

3.1 802.1X认证技术

802.1X协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前,802.1X对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1X只允许EAPOL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。

802.1X协议在实现整个安全认证的过程中,其三个关键部分(客户端、认证系统、认证服务器)之间是通过通信协议进行交互的,EAPOL、EAP、RADIUS三个协议在实现8021X过程中起到了关键作用,EAP协议使得客户端系统可以采取灵活的认证方式与认证服务器建立连接实现认证,而EAPOL协议保证了EAP认证信息在以太网络环境中的完整传输,RADIUS协议则利用了对EAP的扩展属性实现EAP信息再次封装,从而可以穿越复杂的异构网络到达认证服务器系统;在具体的实现过程中,认证系统扮演了双重角色,即对客户端系统来说是认证服务代理,而对认证服务系统来说则充当了客户端系统代理的角色,换言之,对认证服务系统来说,并不需要知道认证信息是通过什么方式传递到客户端,它只关心对认证方式的选择和对认证信息的解析以及与用户数据库交互,同理对客户端系统来说也不需要知道认证信息是如何传输到认证服务器的,它只关心对认证方式的选择、用户信息的输入等,通过这种方式可以将三个协议很好的融合、运用。

3.2IPV6无状态地址自动配置下的 802.1X认证流程设计

如图1所示,网络环境为纯IPv6环境,其中认证接入设备管理地址也支持IPv6地址设置,IPv6主机和RADIUS服务器也运行在纯IPv6协议栈下。图1所示的认证流程描述如下:

(1) 刚接入IPv6网络的节点处于初始状态,该节点接口只有测试用的本地链路地址用以申请路由通告以及进行网络地址重复检测使用。此时认证接入设备连接于该节点的授权端口是断开的,节点发送的邻居请求消息无法发送到IPv6路由器,同时路由器定时发送的路由器通告该节点也无法接收。此时节点只能发送IEEE802.lX客户端请求进行认证。

(2) NAS接收到客户端发送过来的EAPOL-Start报文后,发送EAPOL-Identity以及EAPOL-MDSChallenge对用户进行用户标识以及用户密码相关信息的收集。

(3) NAS在接收到客户端按照CHAP协议发送过来的密码信息后通过RADIUS客户端转发给RADIUS服务器。请求对该用户进行认证。

(4)在RADIUS服务器根据接收到的信息认证以后,通过接受到的信息和本地信息进行比较,如果符合本地存储信息,则发送RADIUS-Success报文,反之则发送RADIUS-Failure报文。

(5) 如果认证成功,打开该节点连接的授权端口,同时记录当前时间StartTime。此时客户端发送的路由请求以及邻居请求报文可以发送到IPv6路由器。

(6) 路由器在接收到节点发送过来的路由器请求后,会马上回应一个路由器通告消息。由于此时客户端的授权端口已经被连通,该通告消息会传送到IPv6客户端,客户端通过接收到的路由器通告配置本节点接口全局地址。

(7) NAS在“StartTime+路由器设置发送路由器通报消息间隔”时刻再次发送EAPOL-Identity请求报文,要求客户端重新发送用户名和配置好的全局IPv6地址。

(8) 客户端回应EAPOL-Identity报文,附带“用户名+全局IPv6地址”。

(9) NAS把包含用户名以及IPv6全局地址的EAP响应包重新封装在Radius协议包中并由RADIUS客户端发送至Radius服务器。

(10) RADIUS服务器在接收到用户的详细认证信息后,将用户名与用户全局IPv6地址做以动态绑定,或与本地原有绑定信息进行比较,如果符合本地存储信息,则发送RADIUS-Success报文,反之则发送RADIUS-Failure报文,强制该用户下线。

在此认证流程中,使用了IPv6无状态地址自动配置的方法,同时通过在802.1X认证流程中加入2次认证,使认证服务器可以获得客户端用户的全局IPv6地址。网络管理者则可以通过全局IPv6地址与用户名的绑定关系追溯到人。

3.3 技术实现

在上述认证方法中,所涉及的802.1X认证中的3个角色客户端、认证系统(NAS)、认证服务器都要做相应的改进。

通过以上的设计,基于IPv6协议的802.lX客户端软件需要上传用户最终的IPv6地址,由于IPv6地址采用的是无状态自动配置方式,因此需要客户端软件随时获得接口目前的地址状态。通过用户选择某一网卡的方式,获得该网卡的MAC地址,在接收到认证设备端发送过来的请求IPv6地址消息以后,该客户端软件会获得目前所有接口的IPv6地址,然后查询特定MAC地址的接口的目前IPv6地址状态,并发送不以fe80::(本地链路地址前缀)、fec0::(本地站点地址前缀)作为前缀的全局IPv6地址。

认证设备端应该需要改进完成以下几点功能:认证设备端(NAS)起到了对端口进行控制以及作为RADIUS客户端与RADIUS服务器交互的作用。接收来自认证客户端的EAPOL协议(此协议为数据链路层协议),同时能够在IPv6协议下作为RADIUS的客户端向RADIUS服务器发送认证请求。认证设备端需要设置一个定时器,在用户通过首次密码认证后启动计时器,经过一个路由器通告间隔后,认证设备端会发送一个ID和IPv6地址请求,请求客户端端发送刚刚配置好的全局IPv6地址。

目前的RADIUS版本并不支持在IPv6地址下监听,因此需要对它进行相应的改进,主要包括:首先修改其监听套接字使其支持IPv6地址,并提高对NAS请求的响应速度。其次根据RFC3162中对IPv6下相应属性的定义,增加认证服务器对IPv6属性的支持,以及对认证接入设备相关IPv6属性的支持。

4 总 结

本方案将802.1X认证技术应用于IPv6环境,在IPv6环境下实现了基于端口的网络访问控制管理,同时适应了IPv6地址获得的新特性。基于IPv4协议的认证系统,其网络状况(包括IPv4地址)管理者在客户端主动连接之前是已知的。而IPv6下的“即插即用”特性破坏了这一管理上的便利,它的“无状态地址自动配置方式”使得管理者无法主动获得节点的IPv6地址,本文所提出的方案解决了这方面的问题。最终从源头上解决了以真实源地址安全接入IPv6网络的问题。提出的方案虽然是针对固定节点的 IPv6的接入需求进行设计,但对于移动节点的IPv6的接入认证,有一定借鉴价值。

在新疆Cernet2IPV6试验床的测试应用中,该方案在安全性接入方面显示了优异性能,验证该方案得可行。

摘要：提出了一种新的基于真实IPv6源地址的网络安全接入认证方法。此方法在IPv6无状态地址自动配置过程中加入802.1X认证技术,只有经过授权的节点才能获得IPv6全局地址,同时改进了802.1X认证流程,使管理者可以主动获得节点用户的全局IPv6地址。该方法既保留了IPv6“即插即用”的优点,又从源头上保证接入网络的安全性。

关键词：IPv6,真实源地址,认证

参考文献

[1]Motta G H M B,Furuie S S.A Contextual Role-based Access Control Authorization Model for Electronic Patient Record[J].IEEE Transac-tions on,2005,7(3):202-207.

[2]Rigney C,Wikllens S,Rubens A.Remote Authentication Dial In User Service(RADIUS).IETF RFC2865,2005:22-41.

[3]隆晓波.RADIUS服务器的实现[D].电子科技大学,2004.

[4]胡薇.移动JPv6中计费系统的设计与实现[D].电子科技大学,2005.

[5]李兴峰.IPv4/IPv6协议分析及过渡策略研究与实现[D].北京交通大学,2005.