IPv6隧道性能优化与安全性增强研究

发布时间：2017-07-05 00:13

  本文关键词：IPv6隧道性能优化与安全性增强研究

  更多相关文章： IPv6 隧道 安全 防火墙 路由

【摘要】：互联网目前处于从IPv4向IPv6网络过渡的阶段,网络服务提供商和内容提供商近年来均已逐步进行IPv6网络部署并提供相应服务。为有效的保障互联网在过渡阶段安全和稳定的运行,网络设备、服务设备以及安全设备的性能和安全性问题成为IPv6研究的重点。本文对过渡阶段中隧道技术以及支持IPv6和隧道流量解析的安全设备存在的性能和安全问题进行了研究,深化已有研究成果、并对现有研究不足之处进行补充。首先,对隧道技术存在的安全性问题进行研究,总结了针对隧道技术的多种Do S攻击方法,并对隧道设备中节点状态维护机制存在的安全问题进行了深入的研究,分析其对隧道设备的影响。以Teredo隧道为基础,指出两种典型的针对隧道节点状态维护机制的攻击行为。为应对该攻击行为,提出了基于双层查找优化、状态集与时间链扩展、时间链更新优化的性能与安全性增强方法,在不影响其它隧道设备的情况下有效的提高了维护机制的性能和抗攻击能力。第二,隧道设备是隧道的核心,负责IPv4和IPv6数据包的封装、解封以及IPv4和IPv6数据包的转发工作。由于隧道设备需进行状态维护和流量缓存,实现相对复杂,无法使用硬件路由,因此需要优良的软路由算法对IPv6流量进行转发。针对IPv6前缀存在的更新频繁和不平衡性等特点,分析其对IPv6相关的通用型与特定型软路由算法的影响,并重点研究了以BSR为基础的IPv6软路由算法在查找和更新时的不平衡问题。为解决上述问题,提出了基于前缀区间集合的IPv6软路由算法。该方法通过对路由前缀进行范围、集合划分以及更新节点自修复提高查询速度、降低不平衡性的影响。第三,研究安全设备、如防火墙和IDS,在进行隧道流量深度包检测时存在的问题。通过对隧道流量进行分析,指出其具有层次和类型不确定性,提出广义隧道的概念,并通过对现有研究和开源软件的分析,指出传统的安全设备在进行IPv6和隧道流量还原时会出现隧道干扰问题。其可被攻击者利用逃脱安全设备的检查,攻击网络内部主机。由此,提出Record ALL(RA)和Hash for Each Header(HEH)两种方法,通过外层包头的存储和比较对隧道流量进行区分,在对原有安全系统影响较小的情况下解决了隧道干扰问题。第四,指出IPv6和隧道环境下针对安全设备本身的两种Do S攻击方式:多层隧道分片放大攻击和针对连接的Do S放大攻击。多层隧道分片攻击中,攻击者可将单层的IP分片重组放大为多次重组过程,放大的倍数与隧道层数相等,从而增加系统负载。为此,提出了后移重组技术,将多次重组过程优化为一次重组过程,降低其对安全设备的影响。在针对连接的攻击方面,分析了主机多地址性,指出攻击者可以利用物理IPv6或隧道接入方式为单一主机配置大量IPv6地址,并利用其发起大量与目标的虚假连接,占用系统资源。该连接为真实连接且受控于同一主机,导致现有以单IP为基础的防御系统将无法对其进行有效的检测和防御。由于IPv4网络中Do S攻击并未完全解决,上述问题会进一步加重IPv6网络的安全隐患。由此,提出基于地址特征的防御框架,其对含有相同地址特征的源IP进行聚合,并在聚合层面对Do S放大攻击进行检测和防御,降低其产生的影响。
【关键词】：IPv6 隧道 安全 防火墙 路由
【学位授予单位】：哈尔滨工业大学
【学位级别】：博士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：

• 摘要4-6
• ABSTRACT6-14
• 第1章 绪论14-37
• 1.1 课题背景及研究的目的和意义14-15
• 1.2 研究现状15-33
• 1.2.1 隧道技术的性能与安全性问题研究16-26
• 1.2.2 IPv6网络安全设备研究26-33
• 1.3 本文的研究内容及组织结构33-37
• 1.3.1 本文的研究内容33-35
• 1.3.2 本文章节安排35-37
• 第2章 隧道节点状态维护机制性能与安全性问题优化37-51
• 2.1 引言37
• 2.2 相关工作37-38
• 2.3 问题描述38-40
• 2.3.1 Miredo中Peer维护机制38-39
• 2.3.2 主要攻击方式39-40
• 2.4 性能及安全性优化方法40-47
• 2.4.1 基于地址结构的双层查找优化40-43
• 2.4.2 状态集与时间链扩展43-46
• 2.4.3 时间链更新算法优化46-47
• 2.5 实验分析47-50
• 2.5.1 插入测试48
• 2.5.2 更新测试48-49
• 2.5.3 回收测试49-50
• 2.6 本章小结50-51
• 第3章 基于前缀区间集合的IPV6路由查找算法51-67
• 3.1 引言51-52
• 3.2 相关工作52-53
• 3.3 问题描述53-56
• 3.3.1 查询不平衡性54-55
• 3.3.2 更新不平衡性55-56
• 3.4 基于前缀区间集合的IPV6路由查找算法56-63
• 3.4.1 BSRPS算法划分方法与框架56-59
• 3.4.2 BSRPS查找59-60
• 3.4.3 更新与自修复60-63
• 3.5 实验分析63-66
• 3.5.1 测试数据63-64
• 3.5.2 测试过程与结果64-66
• 3.6 本章小结66-67
• 第4章 IPV6隧道流量解析正确性问题研究67-84
• 4.1 引言67
• 4.2 问题描述67-74
• 4.2.1 隧道层次与类型的多样性67-69
• 4.2.2 隧道数据替换方法69-74
• 4.3 基于RA和HEH的隧道流量标记方法74-80
• 4.3.1 Record All（RA）方法75-77
• 4.3.2 Hash for Each Header（HEH）方法77-80
• 4.4 性能分析与实验80-83
• 4.4.1 RA与HEH的理论分析80
• 4.4.2 性能测试80-83
• 4.5 本章小结83-84
• 第5章 IPV6与隧道的DOS攻击放大问题研究84-105
• 5.1 引言84-85
• 5.2 问题描述85-91
• 5.2.1 多层分片攻击85-87
• 5.2.2 基于多地址性的Do S攻击87-91
• 5.3 多层隧道分片的后移重组算法91-95
• 5.3.1 后移重组原理92
• 5.3.2 后移重组算法及分析92-95
• 5.4 基于地址特征分类的防御框架（DFAC）95-100
• 5.4.1 特征分类95-96
• 5.4.2 检测与防御流程96-99
• 5.4.3 攻击判定99-100
• 5.5 实验测试100-104
• 5.5.1 后移重组性能测试100-102
• 5.5.2 DFAC性能测试102-104
• 5.6 本章小结104-105
• 结论105-107
• 参考文献107-117
• 攻读博士学位期间发表的论文及其它成果117-119
• 致谢119-121
• 个人简历121

【参考文献】

中国期刊全文数据库 前2条

1 王常杰,秦浩,王育民;基于IPv6的防火墙设计[J];计算机学报;2001年02期

2 程光,龚俭,丁伟,徐加羚;面向IP流测量的哈希算法研究[J];软件学报;2005年05期

中国博士学位论文全文数据库 前1条

1 吴贤国;面向NAT用户的IPv6隧道技术研究[D];中国科学院研究生院（计算技术研究所）;2006年

，

本文编号：519845