本文關(guān)鍵詞：IPv6隧道性能優(yōu)化與安全性增強(qiáng)研究

  更多相關(guān)文章： IPv6 隧道 安全 防火墻 路由

【摘要】：互聯(lián)網(wǎng)目前處于從IPv4向IPv6網(wǎng)絡(luò)過(guò)渡的階段,網(wǎng)絡(luò)服務(wù)提供商和內(nèi)容提供商近年來(lái)均已逐步進(jìn)行IPv6網(wǎng)絡(luò)部署并提供相應(yīng)服務(wù)。為有效的保障互聯(lián)網(wǎng)在過(guò)渡階段安全和穩(wěn)定的運(yùn)行,網(wǎng)絡(luò)設(shè)備、服務(wù)設(shè)備以及安全設(shè)備的性能和安全性問(wèn)題成為IPv6研究的重點(diǎn)。本文對(duì)過(guò)渡階段中隧道技術(shù)以及支持IPv6和隧道流量解析的安全設(shè)備存在的性能和安全問(wèn)題進(jìn)行了研究,深化已有研究成果、并對(duì)現(xiàn)有研究不足之處進(jìn)行補(bǔ)充。首先,對(duì)隧道技術(shù)存在的安全性問(wèn)題進(jìn)行研究,總結(jié)了針對(duì)隧道技術(shù)的多種Do S攻擊方法,并對(duì)隧道設(shè)備中節(jié)點(diǎn)狀態(tài)維護(hù)機(jī)制存在的安全問(wèn)題進(jìn)行了深入的研究,分析其對(duì)隧道設(shè)備的影響。以Teredo隧道為基礎(chǔ),指出兩種典型的針對(duì)隧道節(jié)點(diǎn)狀態(tài)維護(hù)機(jī)制的攻擊行為。為應(yīng)對(duì)該攻擊行為,提出了基于雙層查找優(yōu)化、狀態(tài)集與時(shí)間鏈擴(kuò)展、時(shí)間鏈更新優(yōu)化的性能與安全性增強(qiáng)方法,在不影響其它隧道設(shè)備的情況下有效的提高了維護(hù)機(jī)制的性能和抗攻擊能力。第二,隧道設(shè)備是隧道的核心,負(fù)責(zé)IPv4和IPv6數(shù)據(jù)包的封裝、解封以及IPv4和IPv6數(shù)據(jù)包的轉(zhuǎn)發(fā)工作。由于隧道設(shè)備需進(jìn)行狀態(tài)維護(hù)和流量緩存,實(shí)現(xiàn)相對(duì)復(fù)雜,無(wú)法使用硬件路由,因此需要優(yōu)良的軟路由算法對(duì)IPv6流量進(jìn)行轉(zhuǎn)發(fā)。針對(duì)IPv6前綴存在的更新頻繁和不平衡性等特點(diǎn),分析其對(duì)IPv6相關(guān)的通用型與特定型軟路由算法的影響,并重點(diǎn)研究了以BSR為基礎(chǔ)的IPv6軟路由算法在查找和更新時(shí)的不平衡問(wèn)題。為解決上述問(wèn)題,提出了基于前綴區(qū)間集合的IPv6軟路由算法。該方法通過(guò)對(duì)路由前綴進(jìn)行范圍、集合劃分以及更新節(jié)點(diǎn)自修復(fù)提高查詢速度、降低不平衡性的影響。第三,研究安全設(shè)備、如防火墻和IDS,在進(jìn)行隧道流量深度包檢測(cè)時(shí)存在的問(wèn)題。通過(guò)對(duì)隧道流量進(jìn)行分析,指出其具有層次和類型不確定性,提出廣義隧道的概念,并通過(guò)對(duì)現(xiàn)有研究和開(kāi)源軟件的分析,指出傳統(tǒng)的安全設(shè)備在進(jìn)行IPv6和隧道流量還原時(shí)會(huì)出現(xiàn)隧道干擾問(wèn)題。其可被攻擊者利用逃脫安全設(shè)備的檢查,攻擊網(wǎng)絡(luò)內(nèi)部主機(jī)。由此,提出Record ALL(RA)和Hash for Each Header(HEH)兩種方法,通過(guò)外層包頭的存儲(chǔ)和比較對(duì)隧道流量進(jìn)行區(qū)分,在對(duì)原有安全系統(tǒng)影響較小的情況下解決了隧道干擾問(wèn)題。第四,指出IPv6和隧道環(huán)境下針對(duì)安全設(shè)備本身的兩種Do S攻擊方式:多層隧道分片放大攻擊和針對(duì)連接的Do S放大攻擊。多層隧道分片攻擊中,攻擊者可將單層的IP分片重組放大為多次重組過(guò)程,放大的倍數(shù)與隧道層數(shù)相等,從而增加系統(tǒng)負(fù)載。為此,提出了后移重組技術(shù),將多次重組過(guò)程優(yōu)化為一次重組過(guò)程,降低其對(duì)安全設(shè)備的影響。在針對(duì)連接的攻擊方面,分析了主機(jī)多地址性,指出攻擊者可以利用物理IPv6或隧道接入方式為單一主機(jī)配置大量IPv6地址,并利用其發(fā)起大量與目標(biāo)的虛假連接,占用系統(tǒng)資源。該連接為真實(shí)連接且受控于同一主機(jī),導(dǎo)致現(xiàn)有以單IP為基礎(chǔ)的防御系統(tǒng)將無(wú)法對(duì)其進(jìn)行有效的檢測(cè)和防御。由于IPv4網(wǎng)絡(luò)中Do S攻擊并未完全解決,上述問(wèn)題會(huì)進(jìn)一步加重IPv6網(wǎng)絡(luò)的安全隱患。由此,提出基于地址特征的防御框架,其對(duì)含有相同地址特征的源IP進(jìn)行聚合,并在聚合層面對(duì)Do S放大攻擊進(jìn)行檢測(cè)和防御,降低其產(chǎn)生的影響。
【關(guān)鍵詞】：IPv6 隧道 安全 防火墻 路由
【學(xué)位授予單位】：哈爾濱工業(yè)大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP393.08
【目錄】：

• 摘要4-6
• ABSTRACT6-14
• 第1章 緒論14-37
• 1.1 課題背景及研究的目的和意義14-15
• 1.2 研究現(xiàn)狀15-33
• 1.2.1 隧道技術(shù)的性能與安全性問(wèn)題研究16-26
• 1.2.2 IPv6網(wǎng)絡(luò)安全設(shè)備研究26-33
• 1.3 本文的研究?jī)?nèi)容及組織結(jié)構(gòu)33-37
• 1.3.1 本文的研究?jī)?nèi)容33-35
• 1.3.2 本文章節(jié)安排35-37
• 第2章 隧道節(jié)點(diǎn)狀態(tài)維護(hù)機(jī)制性能與安全性問(wèn)題優(yōu)化37-51
• 2.1 引言37
• 2.2 相關(guān)工作37-38
• 2.3 問(wèn)題描述38-40
• 2.3.1 Miredo中Peer維護(hù)機(jī)制38-39
• 2.3.2 主要攻擊方式39-40
• 2.4 性能及安全性優(yōu)化方法40-47
• 2.4.1 基于地址結(jié)構(gòu)的雙層查找優(yōu)化40-43
• 2.4.2 狀態(tài)集與時(shí)間鏈擴(kuò)展43-46
• 2.4.3 時(shí)間鏈更新算法優(yōu)化46-47
• 2.5 實(shí)驗(yàn)分析47-50
• 2.5.1 插入測(cè)試48
• 2.5.2 更新測(cè)試48-49
• 2.5.3 回收測(cè)試49-50
• 2.6 本章小結(jié)50-51
• 第3章 基于前綴區(qū)間集合的IPV6路由查找算法51-67
• 3.1 引言51-52
• 3.2 相關(guān)工作52-53
• 3.3 問(wèn)題描述53-56
• 3.3.1 查詢不平衡性54-55
• 3.3.2 更新不平衡性55-56
• 3.4 基于前綴區(qū)間集合的IPV6路由查找算法56-63
• 3.4.1 BSRPS算法劃分方法與框架56-59
• 3.4.2 BSRPS查找59-60
• 3.4.3 更新與自修復(fù)60-63
• 3.5 實(shí)驗(yàn)分析63-66
• 3.5.1 測(cè)試數(shù)據(jù)63-64
• 3.5.2 測(cè)試過(guò)程與結(jié)果64-66
• 3.6 本章小結(jié)66-67
• 第4章 IPV6隧道流量解析正確性問(wèn)題研究67-84
• 4.1 引言67
• 4.2 問(wèn)題描述67-74
• 4.2.1 隧道層次與類型的多樣性67-69
• 4.2.2 隧道數(shù)據(jù)替換方法69-74
• 4.3 基于RA和HEH的隧道流量標(biāo)記方法74-80
• 4.3.1 Record All（RA）方法75-77
• 4.3.2 Hash for Each Header（HEH）方法77-80
• 4.4 性能分析與實(shí)驗(yàn)80-83
• 4.4.1 RA與HEH的理論分析80
• 4.4.2 性能測(cè)試80-83
• 4.5 本章小結(jié)83-84
• 第5章 IPV6與隧道的DOS攻擊放大問(wèn)題研究84-105
• 5.1 引言84-85
• 5.2 問(wèn)題描述85-91
• 5.2.1 多層分片攻擊85-87
• 5.2.2 基于多地址性的Do S攻擊87-91
• 5.3 多層隧道分片的后移重組算法91-95
• 5.3.1 后移重組原理92
• 5.3.2 后移重組算法及分析92-95
• 5.4 基于地址特征分類的防御框架（DFAC）95-100
• 5.4.1 特征分類95-96
• 5.4.2 檢測(cè)與防御流程96-99
• 5.4.3 攻擊判定99-100
• 5.5 實(shí)驗(yàn)測(cè)試100-104
• 5.5.1 后移重組性能測(cè)試100-102
• 5.5.2 DFAC性能測(cè)試102-104
• 5.6 本章小結(jié)104-105
• 結(jié)論105-107
• 參考文獻(xiàn)107-117
• 攻讀博士學(xué)位期間發(fā)表的論文及其它成果117-119
• 致謝119-121
• 個(gè)人簡(jiǎn)歷121

【參考文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前2條

1 王常杰,秦浩,王育民;基于IPv6的防火墻設(shè)計(jì)[J];計(jì)算機(jī)學(xué)報(bào);2001年02期

2 程光,龔儉,丁偉,徐加羚;面向IP流測(cè)量的哈希算法研究[J];軟件學(xué)報(bào);2005年05期

中國(guó)博士學(xué)位論文全文數(shù)據(jù)庫(kù) 前1條

1 吳賢國(guó);面向NAT用戶的IPv6隧道技術(shù)研究[D];中國(guó)科學(xué)院研究生院（計(jì)算技術(shù)研究所）;2006年

，

本文編號(hào)：519845