IPv6隧道性能优化与安全性增强研究

摘要

互联网目前处于从 IPv4向 IPv6网络过渡的阶段，网络服务提供商和内容提供商近年来均已逐步进行IPv6网络部署并提供相应服务。为有效的保障互联网在过渡阶段安全和稳定的运行，网络设备、服务设备以及安全设备的性能和安全性问题成为 IPv6研究的重点。本文对过渡阶段中隧道技术以及支持 IPv6和隧道流量解析的安全设备存在的性能和安全问题进行了研究，深化已有研究成果、并对现有研究不足之处进行补充。
　　首先，对隧道技术存在的安全性问题进行研究，总结了针对隧道技术的多种DoS攻击方法，并对隧道设备中节点状态维护机制存在的安全问题进行了深入的研究，分析其对隧道设备的影响。以Teredo隧道为基础，指出两种典型的针对隧道节点状态维护机制的攻击行为。为应对该攻击行为，提出了基于双层查找优化、状态集与时间链扩展、时间链更新优化的性能与安全性增强方法，在不影响其它隧道设备的情况下有效的提高了维护机制的性能和抗攻击能力。
　　第二，隧道设备是隧道的核心，负责 IPv4和IPv6数据包的封装、解封以及IPv4和IPv6数据包的转发工作。由于隧道设备需进行状态维护和流量缓存，实现相对复杂，无法使用硬件路由，因此需要优良的软路由算法对IPv6流量进行转发。针对 IPv6前缀存在的更新频繁和不平衡性等特点，分析其对 IPv6相关的通用型与特定型软路由算法的影响，并重点研究了以 BSR为基础的IPv6软路由算法在查找和更新时的不平衡问题。为解决上述问题，提出了基于前缀区间集合的IPv6软路由算法。该方法通过对路由前缀进行范围、集合划分以及更新节点自修复提高查询速度、降低不平衡性的影响。
　　第三，研究安全设备、如防火墙和IDS，在进行隧道流量深度包检测时存在的问题。通过对隧道流量进行分析，指出其具有层次和类型不确定性，提出广义隧道的概念，并通过对现有研究和开源软件的分析，指出传统的安全设备在进行IPv6和隧道流量还原时会出现隧道干扰问题。其可被攻击者利用逃脱安全设备的检查，攻击网络内部主机。由此，提出Record ALL（RA）和Hash for Each Header（HEH）两种方法，通过外层包头的存储和比较对隧道流量进行区分，在对原有安全系统影响较小的情况下解决了隧道干扰问题。
　　第四，指出 IPv6和隧道环境下针对安全设备本身的两种 DoS攻击方式：多层隧道分片放大攻击和针对连接的DoS放大攻击。多层隧道分片攻击中，攻击者可将单层的IP分片重组放大为多次重组过程，放大的倍数与隧道层数相等，从而增加系统负载。为此，提出了后移重组技术，将多次重组过程优化为一次
　　重组过程，降低其对安全设备的影响。在针对连接的攻击方面，分析了主机多地址性，指出攻击者可以利用物理 IPv6或隧道接入方式为单一主机配置大量IPv6地址，并利用其发起大量与目标的虚假连接，占用系统资源。该连接为真实连接且受控于同一主机，导致现有以单IP为基础的防御系统将无法对其进行有效的检测和防御。由于IPv4网络中 DoS攻击并未完全解决，上述问题会进一步加重IPv6网络的安全隐患。由此，提出基于地址特征的防御框架，其对含有相同地址特征的源 IP进行聚合，并在聚合层面对 DoS放大攻击进行检测和防御，降低其产生的影响。

目录

中文摘要

英文摘要

目录

第1章 绪 论

1.1 课题背景及研究的目的和意义

1.2 研究现状

1.3 本文的研究内容及组织结构

第2章 隧道节点状态维护机制性能与安全性问题优化

2.1 引言

2.2 相关工作

2.3 问题描述

2.4 性能及安全性优化方法

2.5 实验分析

2.6 本章小结

第3章 基于前缀区间集合的IPv6路由查找算法

3.1 引言

3.2 相关工作

3.3 问题描述

3.4基于前缀区间集合的IPv6路由查找算法

3.5 实验分析

3.6 本章小结

第4章 IPv6隧道流量解析正确性问题研究

4.1 引言

4.2问题描述

4.3基于RA和HEH的隧道流量标记方法

4.4性能分析与实验

4.5本章小结

第5章 IPv6与隧道的DoS攻击放大问题研究

5.1 引言

5.2问题描述

5.3多层隧道分片的后移重组算法

5.4基于地址特征分类的防御框架（DFAC）

5.5 实验测试

5.6 本章小结

结论

参考文献

攻读博士学位期间发表的论文及其它成果

声明

致谢

个人简历