基于IPv6网络安全研究

技术探讨・Ｔｅｃｈｎｏ　ｌ　ｏｇｙ　ａｎｄ　Ｓｔｕｄｙ　基于ＩＰｖ６网络安全研究　蔡碉　（湖南工程职业技术学院计算机系　湖南长沙４１　０１　１　５）　【摘要】随着网络人数的不断增加，ＩＰｖ６取代ＩＰｖ４只是时间的问题．我们首先介绍了ＩＰｖ６优于ＩＰｖ４的特点．它之所以成为下一代　网络发展的必然趋势的原因。其次介绍了在ＩＰｖ６下．网络安全比现在存在哪些优势和技术．从而也带来了哪些新的安全隐患。　最后我们举例说明在ＩＰｖ６下如何实现网络入侵的流程。　【关键字】ＩＰｖ６；网络安全；网络攻击　Ｎｅｔｗｏｒｋ　Ｓｅｃｕｒｉｔｙ’Ｓ　Ｓｔｕｄｙ　Ｂａｓｅｄ　ｏｎ　ＩＰｖ６　Ｃａ，ｙ　ｅ　（Ｃｏｍｐｕｔｅｒ　Ｅｎｇｉｎｅｅｒｉｎｇ　Ｄｅｐａｒｔｍｅｎｔ　ｏｆＨｕ＇ｎａｎ　Ｅｎｇｉｎｅｅｒｉｎｇ　Ｐｏｌｙｔｅｃｈｎｉｃ　Ｃｈａｎｇｓｈａ　４１０１１　５Ｊ　［Ａｂｓｔｒａｃｔ］Ｗｉｔｈ　ｔｈｅ　ｉｎｃｒｅａｓｉｎｇ　ｎｅｔｗｏｒｋ　ｎｕｍｂｅｒｓ　ｏｆ　ｐｅｏｐｌｅ，ＩＰｖ６　ｒｅｐｌａｃｅ　ＩＰｖ４　ｉｓ　ｊｕｓｔ　ｔｈｅ　ｍａｔｔｅｒ　ｏｆ　ｔｉｍｅ．Ｆｉｒｓｔｌｙ　ｗｅ　ｉｎｔｒｏｄｕｃｅｓ　ｔｈｅ　ｃｈａｒａｃｔｅｒｉｓｔｉｃｓ　ｏｆ　ＩＰｖ６，ｓｕｐｅｒｉｏｒ　ｔｏ　ＩＰｖ４，ｔｏ　ｂｅ　ｔｈｅ　ｎｅｘｔ　ｇｅｎｅｒａｔｉｏｎ　ｎｅｔｗｏｒｋ　ｄｅｖｅｌｏｐｍｅｎｔ　ｔｅｎｄｅｎｃｙ．Ｓｅｃｏｎｄｌｙ，ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ　ｂａｓｅｄ　ｏｎ　ＩＰｖ６，ｎｅｔｗｏｒｋ　ａｄｖａｎｔａｇｅｓ　ａｎｄ　ｔｅｃｈｎｏｌｏｇｙ　ｈａｖｅ　ｂｒｏｕｇｈｔ　ｎｅｗ　ｓａｆｅｔｙ　ｈａｚａｒｄ．Ｆｉｎａｌｌｙ，ｗｅ　ｉｌｌｕｓｔｒａｔｅ　ｈｏｗ　ｏｔ　ｒｅａｌｉｚｅ　ｉｎｔｒｕｓｉｏｎ　ｐｒｏｃｅｓｓ　ｉｎ　ＩＰｖ６　ｎｅｗｏｒｔｋ　．［Ｋｅｙｗｏｒｄｓ］ＩＰｖ６；ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｙｔ；ｎｅｔｗｏｒｋ　ａｔｔａｃｋ　１．引言　随着现在网络的飞速发展，网络技术的不断进步，网络人　数的成指数的增加，］Ｐｖ４地址的数量将会不足。这时就出现了　ｖ６协议。它以其地址寻址空间庞大、安全机制增强等等优点，　成为国内外下一代网络发展的趋势及其研究热点。］Ｐｖ６网络环　文进行透明传递，保证了网络端到端的安全性。　１）避免了ｌＰｖ４存在的一些攻击。通过在中间设备上禁止分　片、不允许重叠分片等机制，有效防范了如　碎片包的攻击；具有　ＩＰｖ６组播目的地址和链路层组播地址的数据包产生Ｉｃ　消　息，避免了如广播风暴的产生；因为庞大的　ｖ１５地址数量，实施扫　境下，对协议本身进行了安全性改进，采用层次化地址结构，基本　报文头长度固定等等，提升了网络的安全性，也为新的应用提供　了便利，促进了更好的开展新的安全业务和应用。但是　ｖ１６也　存在一些未解决的问题，］Ｅ￣－６安全协议造成削弱，给互联网安全　带来隐患，海量的ＩＴＳ－６地址自动设置造成网络寻址的复杂性等　问题。　描攻击非常困难。　２）可以构建安全的虚拟专用网络。通过ＩＰｖ６的ＩＰＳｅｃ隧道　实现的虚拟专用网络更加安全。基于ＩＰＳｅｃ网关路由器实际上是　ＩＰＳｅｃ隧道的终点和起　，为了满足转发陛能要求，路由器需要设置　专用加密板卡。　３）提高了内部网络的保密ｌ生。当网络内部端口需要和网络上　的主机进行交互时，我们可以配置ＩＦ＇Ｓｅｃ网关实现网络内部的安全。　这是因为被ＩＰＳｅｃ封装的ＩＰＶ６报文不能被中间路由器解析处理，只　能被目的主柳　亍女　理。　２．ＩＰｖ６的特点　ＩＰｖ６不同于ＩＰｖ４，它能为许多其它的设备服务。因此，　从长远来看，ＩＰｖ６有利于互联网的持续和长久发展。　与ＩＰｖ４相比，ＩＰｖ６有多种特点，请见表１。　４．１Ｐｖ６网络安全风险　Ｐｖ６解决和缓解了］Ｐｖ４网络环境下存在的—部分安全隐患，　但　ｖ１６本身也将带来—些新的安全隐患，原有的ＩＰｖ４下的一些安　全问题在ｐｖ６环境中依然存在，而随着　６协议新技术的引查询　攻击工具服务器端数据库，调用相应的攻击脚本工具，对目标系统　５．ＩＰｖ６环境下的网络安全优势　ＩＰｖ６强制实施了标准化的因特网安全协议ＩＰＳｅｃ。因为　采用了ＩＰＳｅｃ保证，使得ＩＰｖ６在网络安全方面有很多优势。　提升了业务和应用的安全性，保证了端到端的安全。采用因特　网安全协议ＩＰＳｅｃ对报文进行封装，中间路由器对其封装的报　发起对应的网络攻击，并将攻击俭测结果传回客户端。　信息安全与技术・２０１１．０６・９・　Ｔｅｃｈｎｏ　ｌ　ｏｇｙ　ａｎｄ　Ｓｔｕｄｙ・技术探讨　表１　特点　详细介绍　地址空间充足　源地址和目的地址长度都是１　６字节．即１　２８　比特，提供超过３　４　Ｘ　１０３８种地址空间。　报文头格式简　基本报文头是固定长度，提高了转发效率。尽　堕　管ＩＰｖ６地址长度是ＩＰｖ４的４倍．但ＩＰｖ６基本　报文头的长度只是ＩＰｖ４的两倍　地址地址层次　采用层次化地址结构，有利于路由快速查找。　化　地址的自动配　为了简化主机配置．ＩＰｖ６支持有状态地址配置　置　和无状态地址配置。　内置安全性　用法ＩＰＳｅｃ作为标准扩展头，可提供端到端的　安全特性。为解决网络安全问题提供了标准。　支持ＱｏＳ　报文头的流标签字段实现流量的标识，允许设　备对流中的报文进行识别及其特殊处理。　邻居发现机制　ＩＰｖ６的邻居发现协议是通过一组ＩＰｖ６的因特　增强化　网控制报文协议消息实现的，它代替了地址解　析协议、ＩＣＭＰｖ４路由器发现和ＩＣＭＰｖ４重定向　消息，并提供了一系列其他功能。　扩展报文头更　取消了ＩＰｖ４报文头中的选项宇段，引入了多种　灵活　扩展报文头　一方面提高处理效率　另一方面　为ＩＰ协议提供了良好的扩展能力。　５．１服务器端实现　Ｓｏｃｋｅｔ通信的服务器端一般要经过Ｓｏｃｋｅｔ的创建、绑定　端口、监听等待、建立连接、发送和接收数据几个步骤：　１）创建Ｓｏｃｋｅｔ，函数ｓｏｃｋｅｔ（）为网络通信做基本的准备，　建立套接字；　２）端口绑定，建立完套接字后，需要将返回的套接字与本　机上的端口相关联，以便在该端口监听服务请求；　３）监听等待，当套接字与端口捆绑后就需要对其端口进　行监听，函数ｌｉｓｔｅｎ（）监听服务请求，将ｂｉｎｄ的文件描述符变　为监听套接；　４）接受，监听模式启动后，如果有服务请求，就需要函数　ａｃｃｅｐｔ（）进行接收设置ｌ　５）发送连接请求，ｃｏｎｎｅｃｔ（）函数是客户端用来同服务端　连接的；　６）数据发送与接收，采用ＴＣＰ／ＩＰ方式是用ｓｅｎｄ（）和　ｒｅｃｖ（），这两个函数返回实际发送或者接收的字节数目；采用　ＵＤＰ方式进行传输使用ｓｅｎｔｔｏ（）和ｒｅｃｖｆｒｏｍ（）；　７）结束，当所有的数据传输接收以后，可以调用ｃｌｏｓｅ（）函　数来释放该ｓｏｃｋｅｔ套接字，从而停止在该ｓｏｃｋｅｔ上的任何操　・１０－２０１１．０６・ＷＷＷ．ｉｎｆｏｓｔｉｎｇ　ｏｒｇ　作。　ＩＰｖ６　ｓｏｃｋｅｔ通信服务器端的主要代码如下：　ｓｔｒｕｃｔ　ｓｏｃｋａｄｄｒ＿ｉｎ６　ｔ￣－ｖｅｒＡｄｄｒｅｓｓ；／／ＩＰｖ６　ｓｏｃｋｅｔ地址结构　ｓｔｒｕｃｔ　ｓｏｃｋａｄｄｒ＿ｉｎ６　ｔＣｌｉｅｎｔＡｄｄｒｅｓｓ；ｉｆ（（ｎＳｏｃｋｅｔ＝ｓｏｃｋ　ｅｔ（ＡＦ＿ＩＮＥＴ６，ＳＯＣＫ—ＳＴＲＥＡＭ，０））一１）／／建立套接字　｛　Ｒｅｔｕｒｎ　０；　｝　ｅｓｒｖｅｒ＿ａｄｄｒ．ｓｉｎ６＿ｆａｍｉｌｙ＝ＡＦ＿ＩＮＥＴ６；／／ＩＰｖ６协议族　ｅｓｒｖｅｒ＿ａｄｄｒ．ｓｉｎ６一ｐｏｒｔ＝ｈｔｏｎｓ（ｓＥＲＶＥＲ—ＰＯＲＴ）；／／端　口号　ｓｅｒｖｅｒ＿ａｄｄｒ．ｓｉｎ６＿ａｄｄｒ＝ｉｎ６ａｄｄｒ＿ａｎｙ；／／任意ＩＰｖ６地　址　ｉｆ（ｂｉｎｄ（ｎＳｏｃｋｅｔ，（ｓｔｒｕｃｔ　ｓｏｃｋａｄｄｒ＊）＆ｓｅｒｖｅｒ—ａｄｄｒ，ｓｉｚｅｏｆ　（ｓｔｒｕｃｔ　ｓｏｃｋａｄｄｒ＿ｉｎ６））＝＝一１）／／绑定端口　｛　Ｒｅｔｕｒｎ　０；　｝　ｉｆ（１ｉｓｔｅｎ（ｎＳｏｃｋｅｔ，ＢＡｃＫＬ０Ｇ）一１）／／监听等待连接　｛　Ｒｅｔｕｒｎ　０；　｝　ｉ　ｆ（（Ｃ　Ｏ　ｎ—ｆ　ｄ＝ａ　ｃ　ｃ　ｅ　Ｐ　ｔ（ｎ　Ｓ　Ｏ　Ｃ　ｋ　ｅ　ｔ，（Ｓ　ｔ　ｒ　ｕ　ｃ　ｔ　Ｓ０Ｃｋａｄｄ　ｒ｛）＆Ｃｌｉｅｎｔ—ａｄｄ　ｒ，＆Ｓｉ　Ｚ　ｅｏｆ（Ｓｔ　ｒｕＣｔ　ｓｏｃｋａｄｄｒ＿ｉｎ６）））＝＝一１）／／客户端连接　｛　Ｒｅｔｕｒｎ　０；　｝　ｉｆ（ｒｅｃｖ（ｃｏｎ＿ｆｄ，ｂｕｒ，ＭＡＸＤＡＴＡＳＩＺＥ，Ｏ）一１）／／建立　子进程用于接收执行客户端命令　｛　｝　ｅｔｓｅ　｛　ｅｓｎｄ（ｃｏｎ＿ｆｄ，ｔａｓｋｅｎｄ，ｓｉｚｅｏｆ（ｔａｓｋｅｎｄ），０）；　｝　ｃｌｏｓｅ（ｃｏｎ＿ｆｄ）；／／关闭连接　５．２客户端的设计与实现　客户端的实现和服务器端有些不同。首先【下转第２９页】　技术探讨・Ｔｅｃｈｎｏｌｏｇｙ　ａｎｄ　Ｓｔｕｄｙ　［ｒｏｏｔ＠Ｉｏｔａ］ｈｏｓｔ　ｏｐｔ］＃ｌｓ　ａｒｍ　ｑｔ－ｃｒｅａｔｏ卜Ｉｊｎｕｘ—ｘ８６－ｏｐｅｎｓｏｕｒｃｅ－２．２．０．ｂｉｎ　参考文献　［１］Ｘｔｅａｍ（中国）软件技术有限公司．ｑ程序设计．清华大　学出版社．　３．３相关设置　因为需要在是在虚拟机上编写并仿真程序，所以这里设置　全部是针对ＰＣ仿真的Ｘ８６的设置。对于开发板上运行的交叉　编译环境设置类似。打开Ｏｐｔｉｏｎｓ选项，设置编译环境。选择　［２】彭舰，陈良银．嵌入式系统设计．重庆：重庆大学出版社，　２００８．　［３］徐安，陈耀，张铮．嵌入式系统原理设计与应用．北京：　科学出版社，２００８．　Ｑ［４一Ｑｔ　Ｖｅｒｓｉｏｎｓ选项，单击“＋”添加编译环境，“～”去除编译　环境。　添加编译环境后，选择Ｂｒｏｗｅｒ，选择／ｕｓｒ／ｌｏｃａｔ／Ｔｒｏｌｌｔｅｃｈ／　Ｑｔ一４．５．３／ｂｉｎ路径下的ｑｍａｋｅ，并选择ｏｐｅｎ后，Ｍａｎｕａｌ下会　［４】陈文志等．嵌入式系统开发原理与实践．北京：清华大学　出版社，２００５．　【５］丁丁，习勇，魏急波．三种主流嵌入式图形用户界面的移植　及性能比较［Ｊ］．电子产品世界，２００４．５．　［６］Ｑｔ参考文档ｈｔＷ：／／ｗⅣｗ．ｑｉｌｉａｎｇ．ｎｅｔ／ｑｔ／ｉｎｄｅｘ．ｈｔｍ１．　列出刚刚添加的环境，单击Ｒｅｂｕｉｌｄ按钮后，Ｄｅｂｕｇｇｉｎｇ　Ｈｅｌｐ　旁出现￣／后，基本配置完成。将刚才设置的环境配置为默认配　置，并单击０Ｋ按钮保存刚才的配置。　４．总结　搭建好了Ｑｔ／Ｅ的开发环境以后，就可以进行嵌入式ＧＵＩ　设计和开发了。图形用户界面的广泛流行是当今计算机技术的　重大成就之一，方便了非专业用户的使用以及提高开发人员的　作者简介：　雷鸿（１９８１一）．男．广西桂林人．华中农业大学楚天学院讲师；研　项目基金：湖北省教育科研基金（ｈｋｌｓｅ２０１０００５　速度。对基于Ｑｔ／Ｅ的嵌入式ＧＵＩ设计的交叉开发平台、系统　界面更加为了实用、简化操作界面的难度、易操作陛和可切换性　究方向为计算机体系结构．嵌八式应用、计算机软件和理论。　吴慧婷（１　９８０一），女，湖北武汉人，硕士．华中农业大学楚天学院　特点。窗口系统、图形引擎的实现技术以及Ｑｔ的核心特性——　信号与槽机制以及Ｑｔ／Ｅｍｂｅｄｄｅｄ应用程序的移植过程有待进　一信息工程学院助教；研究方向为计算机网络与信息安全。　步研究。　【上接第１０页】　络安全问题。　也是建立连接，将用户的攻击任务组织成ＮＥＷＡＴＴＡＣＫ消息　发给服务器端，攻击随即展开，接收服务器端传回来的攻击结　果信息（Ｉｎｆｏ消息），生成攻击结果报表，用户可以随时通过任务　参考文献　［１】吴明宇．基于ＩＰＶ６协议的网络安全研究［Ｊ］．２０１０（３）．　［２】张秀爱．１Ｐｖ６安全机制的研究［Ｊ］．通信技术，２００９（７）．　［３］黄晓博．ＩＰｖ６下网络攻击平台的研究与实现［Ｊ］．２００９．０１　［４］张俊．浅析　６的安全性．网络安全技术与应用，２ＯＯ５．１０：４４－－４６．　树调看；用户完成所有攻击任务，断开与服务器端的连接，同时　关闭服务器端。　６．总结　综上所述，我们看到了ＩＰｖ６取代ＩＰｖ４的必然性，ＩＰｖ６　在网络安全中的优势，但是在ＩＰｖ６下并不是网络就绝对安　全，依旧存在某些新旧网络安全隐患。我们在从ＩＰｖ４过渡到　ＩＰｖ６的过程中，要先做好更充足的准备来应对可能发生的网　［５］蒋建春，冯登国．网络＾侵检测原理与技术．北京：国防工业出　版社，２０Ｏ１．　［６】ＩＰｖ６论坛：ｈｔｔｐ：／／ｗⅣｗ．ｉｐｖ６ｆｏｒｕｍ．ｃｏｍ／．　作者简介：　蔡弱（１９７２一）．女，湖南长沙人；研究方向：计算机网络和计算机软件。　信息安全与技术・２０１１．Ｏ６・２９・