IPV6防火墙研究
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Baidu Nhomakorabea
S A是 单 向的 , 换言 之 , 的设 计非 常 简化 。如 它
果两个 主 机 ( 比如 A 和 B 正在 通 过 E P进 行安 全 ) S
通 信 , 么主 机 A就 需 要 有 一个 S 即 S o t , 那 A, A(u) 用来处 理外 发 的数 据包 ; 另外 还需 要 有一 个不 同 的 S 即 S i) 用 来 处 理 进 人 的 数 据 包 。主 机 A A, A(n , 的 S o t和主 机 B 的 S i) A(u) A( 将共 享 相 同 的加 密 n 参数 ( 比如 密钥 ) 。类 似 地 , 机 A 的 S i) 主 主 A( 和 n
序 列号 (eu nen mbr S q ec u e)
I a e P He d r
用 在用 户终 端设 置 时 , 它可 以提供 更多 的便利 来 隐
藏 内部 服务 器 主机 和客 户机 的地址 。 2 3 安全 联盟 .
安 全联 盟 (A) 构成 IS c的基 础 。S 是 S 是 Pe A
t n o P e 6 h n i e c r y o ts l x mp e o h ie l. i f I S c ,t e e d g v a r u o i e a l ft e fr wa 1 o d
Ke r s y wo d I v ,fr wa l P e P 6 ie l,I S c
连云港 22 0 ) 2 0 6
( 江苏联合职业技术学院连云港中医药分院” 连云港
( 云港 职 业 技 术 学 院 连
摘
要
下一代互联网 的核心协议 I v 将逐 步取代 Iv , 目前适用 于 Iv P6 P 4但 P 6防火墙并不多 , 在分析 了 IS c P e6的原 理
和防火墙 的原理后 , 出了在 IS c 基础上创建 I v 提 P e6 P 6防火墙的方法 , 出实现 防火墙 的实例 。 给 关键词 I V6 防火墙 P
前 , 国在 I v 中 P 6的应 用 上 走 在 了世 界 的 前列 。教
联 网工 程任务 组 ) 正式定 制 的开放 性 I 全标 准 。 P安 IS c P e 细则 首先 于 19 9 5年 在 互联 网标 准 草 案 中颁 布 。IS c 以保 证 局域 网 、 Pe可 专用 或 公 用 的 广域 网 及 Itre 上信 息传输 的安 全 。IS c 过认 证 和 nent P e通
( c o lo n o ma i n En i e rn a y n a g Te h i a l g ,Li n u g n 2 2 0 ) S h o fI f r t g n e i g Li n u g n c n c l o Co l e e aynag 2 0 6
IS C有 两种 工作 模式 : 输模 式和 隧道模 式 PE 传
如 图 4所示 。
图 1 I S C体 系 结 构 PE
T● 正 一 衄上
a 传输 模式 的 AH .
叵巫五叵丑函
塑 兰 j塑 望 L 型 堑!塑 l 垒 ! 旦
验证 头 ( AH) 于 为 I 供 数 据 完 整 性 、 用 P提 数 据原 始 身 份验 证 和 一 些 可 选 的 、 限 的抗 重 播 服 有
安全 的 S 记录 。 A
封 装安 全 负 载 ( S ) 过 对 数 据 包 的全 部 数 EP通
据和加载内容进行全加密来 严格保证传输信息 的 机 密性 _ , 4 这样 可 以避免 其他 用户 通 过监 听 来 打开 ] 信息交换的内容 , 因为只有受信任 的用户拥有密钥
打开 内容 。E P也 能 提 供 认 证 和维 持 数 据 的完 整 S 性 。最 主要 的 E P标 准 是 数 据 加 密 标 准 ( S , S DE )
育和科研计算机网( E N T 、 C R E )中国电信和近 20 0
钥匙交换机制确保企业与其它组织 的信息往来的
收稿 日期 :0 8 7 3 2 0 年 月 1日, 回日期 :0 8 8 2 修 2 0 年 月 4日 作者简介 : 王芳 , , 女 硕士 , 师 , 讲 研究方 向: 网络安全 。
Ab t a t I v l r p a e I v r d a l s r c P 6 wi e lc P 4 g a u l l y,b t e fr wa l a e a p ia l o I v .Afe n l z n h rn i l u w ie l c n b p l b e t P 6 f c t ra a y i g t e p i cp e o h P e 6 a d t ep i cp e o h ie ls u o wa d t s a l h t e me h d o h ie l o Pv n t e f u d — ft e I S c n h rn i l ft e fr wa l ,p tf r r o e t b i h t o ft e fr wa l fI 6 o h o n a s
数据
两个通信实体经协商建立起来 的一种协定 。它们
决定 了用 来保 护 数据 包安 全 的 I Sc 议 、 P e协 转码 方 式、 密钥 以 及 密 钥 的有 效 存 在 时 间 等 等l 。任 何 5 ]
图 2 AH 的 格 式
IS c实 施 方 案 始 终 会 构 建 一 个 S 数 据 库 Pe A (AD ) 由它来 维护 IS c 议 用 来 保 障数 据 包 S B , Pe协
l _ : 羹翌 錾墅璺 翌墼堡I 垦 - 兰
c 隧道模式的 AH .
I 塑 l I 堑 兰 兰 壁塑-
d 隧道模式 的 E P . S
图 4 IS C的 数 据 传 输 模 式 PE
签名都 能把它检测 出来 。不过 由于 A H不能加密
数 据包 所 加 载 的 内容 , 因而 它 不 保 证 任 何 的 机 密 性 。两 个 最 普遍 的 AH 标 准 是 MD 5和 S HA一 1 ,
第 3 卷 (0 8 第 l 期 6 2O) l
计算机与数字工程
安全 性与 机密 性 。 2 1 I S C体 系结 构 . P E IS c P e 协议 包 括 : AH( 验证 头 ) 、 封 装 安 全 、 P(
安全参数索  ̄(P) I I S 序列号(eun e u e) Sq ec mbr n 初始化向量(V) I
E P的格 式如 图 3所示 。 S
S 是 单 向 的 , 以 针 对 外 发 和 进 入 处 理 使 用 的 A 所
1O O
王
芳等 :P IV6防火墙 研究
第3 6卷
S 分 别需要 维 护一张 单独 的表 。 A, 另 外 ,A 还是 “ S 与协 议 相 关 ” 。每 种 协 议 都 的
防火 墙是 网络 安全 的一个 重要 的环节 , 目前 常 用 的 防火墙 是 针 对 I v P 4的 , 于 I v 对 P 6无 效 _ , 2 本 ] 文 提 出一种 基 于 I S c 建 I v Pe创 P 6防 火 墙 的方 法 , 并 给予 实现 。
暴露 出来 , 如 Iv 例 P 4地址 将很快 被 耗尽 , 信安 全 通
2隧 道模 式 : ) 隧道 模 式 处 理 整 个 I P数 据包 包 括全 部 TC /P或 UD /P头和数 据 , PI PI 它用 自己
的地址 作 为源 地址 加入 到新 的 I P头 。当隧道 模 式
T 蚍上 下一个头 载荷长度 保留
安全参数索 ̄(P ) Jg1 l
没有保 障。所 以需 要新 的协议来解 决这一 问题。
因此 ITF于 1 9 开 始开发 Iv , 是下 一代 I— E 95 P 6它 n
tr e 的核 心协 议 。 en t
Iv 带来 的不 仅是 足 够 的 I 址 , 时还 带 P6 P地 同 来 了其他更 重要 的特 性 : 安全性 、 支持 Q S 支持 移 o、 动通 信 、 可扩展 性 、 有 效 的层 次化 地 址 和路 由结 更
1传输模式 : ) 传输模式使用原始 明文 I , P头 并
且 只加密 数据 , 括它 的 T P和 UD 包 C P头 。
MD 使用最高到 18 的密钥 , S A一1 5 2位 而 H 通过
最 高 到 1 0位 密钥 提 供 更 强 的保 护 。AH 的格 式 6
如 图 2所 示 。
总第 2 9期 2 2 0 年第 1 期 08 1
计算 机与数字工程
C mp t ii l n ie r g o ue r& D gt gn ei aE n
Vo 6 No 1 L3 . 1
98
I V6防 火 墙 研 究 P
王 芳 何 洪磊 )
22O) 20 6
T 33 P 9
I Sc P e
中 图分 类 号
R e e r h o PV 6 Fie a l sa c n I rw l
Wa gF n n a g He Ho g e n li
( l g fLin u g n ie eM e iieJa gu Uno c nc l l g ”,Lin u g n 2 2 0 ) Co l eo a y n a gCh n s dcn in s inTe h ia l e e Co e ayna g 20 6
Cls m b r TP 9 a sNu e 33
1 引言
随着 Itr e nen t的发 展 ,P 4协 议 的缺 陷 逐 渐 Iv
家 高 校 都 已建 立 或 加 入 了 Iv P 6试 验 床 。相 信 不 久 , Iv 为 核 心 的下 一 代 Itre 在 中 国会 得 以 P6 nent 到更 大 的普及 。
务 l 。正 如 整 个 名 称 所 示 , _ 3 AH 通 过 一 个 只 有 密
b .传输模式 的 E P S
钥持 有 人 才 知 道 的 “ 字 签 名 ” 对 用 户 进 行 认 数 来 证 。这个 签 名 是 数据 包 通 过 特别 的算 法得 出 的独 特 结 果 ; 还 能 维 持数 据 的完 整 性 , AH 因为 在 传 输 过 程 中无 论 多 小 的变 化 被 加 载 , 据 包 头 的 数 字 数
机 B的 S o t也 会 共 享 同样 的 加 密参 数 。 由于 A( u )
DS E 最高支持 5 位 的密钥 , T i e E 6 而 r l—D S使用 p
三套 密钥加 密 , 就相 当于使用 最 高到 18位 的密 那 6 钥 。由于 E P实 际 上 加 密 所 有 的数 据 , 而 它 比 S 因 AH 需 要 更 多 的 处 理 时 间 , 而 导 致 性 能 下 降 。 从
2 I PSe c
1 S C是 一 系列 基 于 1 PE P网络 的 , I TF( 由 E 互
构缩小了骨干网路 由器路 由表的规模 、 支持相邻节
点互 动 、 消灭 了局域 网广 播 的产 生 _ 。 1 ] 正 因为 这 样 ,Iv P 6将 会 逐 步 取 代 Iv 。 目 P4
加 密
载荷)I (ne t 、 KE Itme密钥 交换 )IA 、S KMP O ke / al y以 及转 码 。ISc P e 各组件之 间 的交互 方式如 图 1 示 。 所
T
_ l -
填充项I 填充长度r= 1 . 一个头
图 3 ES 的 格 式 P
2 2 I S C的工 作模 式 . P E
S A是 单 向的 , 换言 之 , 的设 计非 常 简化 。如 它
果两个 主 机 ( 比如 A 和 B 正在 通 过 E P进 行安 全 ) S
通 信 , 么主 机 A就 需 要 有 一个 S 即 S o t , 那 A, A(u) 用来处 理外 发 的数 据包 ; 另外 还需 要 有一 个不 同 的 S 即 S i) 用 来 处 理 进 人 的 数 据 包 。主 机 A A, A(n , 的 S o t和主 机 B 的 S i) A(u) A( 将共 享 相 同 的加 密 n 参数 ( 比如 密钥 ) 。类 似 地 , 机 A 的 S i) 主 主 A( 和 n
序 列号 (eu nen mbr S q ec u e)
I a e P He d r
用 在用 户终 端设 置 时 , 它可 以提供 更多 的便利 来 隐
藏 内部 服务 器 主机 和客 户机 的地址 。 2 3 安全 联盟 .
安 全联 盟 (A) 构成 IS c的基 础 。S 是 S 是 Pe A
t n o P e 6 h n i e c r y o ts l x mp e o h ie l. i f I S c ,t e e d g v a r u o i e a l ft e fr wa 1 o d
Ke r s y wo d I v ,fr wa l P e P 6 ie l,I S c
连云港 22 0 ) 2 0 6
( 江苏联合职业技术学院连云港中医药分院” 连云港
( 云港 职 业 技 术 学 院 连
摘
要
下一代互联网 的核心协议 I v 将逐 步取代 Iv , 目前适用 于 Iv P6 P 4但 P 6防火墙并不多 , 在分析 了 IS c P e6的原 理
和防火墙 的原理后 , 出了在 IS c 基础上创建 I v 提 P e6 P 6防火墙的方法 , 出实现 防火墙 的实例 。 给 关键词 I V6 防火墙 P
前 , 国在 I v 中 P 6的应 用 上 走 在 了世 界 的 前列 。教
联 网工 程任务 组 ) 正式定 制 的开放 性 I 全标 准 。 P安 IS c P e 细则 首先 于 19 9 5年 在 互联 网标 准 草 案 中颁 布 。IS c 以保 证 局域 网 、 Pe可 专用 或 公 用 的 广域 网 及 Itre 上信 息传输 的安 全 。IS c 过认 证 和 nent P e通
( c o lo n o ma i n En i e rn a y n a g Te h i a l g ,Li n u g n 2 2 0 ) S h o fI f r t g n e i g Li n u g n c n c l o Co l e e aynag 2 0 6
IS C有 两种 工作 模式 : 输模 式和 隧道模 式 PE 传
如 图 4所示 。
图 1 I S C体 系 结 构 PE
T● 正 一 衄上
a 传输 模式 的 AH .
叵巫五叵丑函
塑 兰 j塑 望 L 型 堑!塑 l 垒 ! 旦
验证 头 ( AH) 于 为 I 供 数 据 完 整 性 、 用 P提 数 据原 始 身 份验 证 和 一 些 可 选 的 、 限 的抗 重 播 服 有
安全 的 S 记录 。 A
封 装安 全 负 载 ( S ) 过 对 数 据 包 的全 部 数 EP通
据和加载内容进行全加密来 严格保证传输信息 的 机 密性 _ , 4 这样 可 以避免 其他 用户 通 过监 听 来 打开 ] 信息交换的内容 , 因为只有受信任 的用户拥有密钥
打开 内容 。E P也 能 提 供 认 证 和维 持 数 据 的完 整 S 性 。最 主要 的 E P标 准 是 数 据 加 密 标 准 ( S , S DE )
育和科研计算机网( E N T 、 C R E )中国电信和近 20 0
钥匙交换机制确保企业与其它组织 的信息往来的
收稿 日期 :0 8 7 3 2 0 年 月 1日, 回日期 :0 8 8 2 修 2 0 年 月 4日 作者简介 : 王芳 , , 女 硕士 , 师 , 讲 研究方 向: 网络安全 。
Ab t a t I v l r p a e I v r d a l s r c P 6 wi e lc P 4 g a u l l y,b t e fr wa l a e a p ia l o I v .Afe n l z n h rn i l u w ie l c n b p l b e t P 6 f c t ra a y i g t e p i cp e o h P e 6 a d t ep i cp e o h ie ls u o wa d t s a l h t e me h d o h ie l o Pv n t e f u d — ft e I S c n h rn i l ft e fr wa l ,p tf r r o e t b i h t o ft e fr wa l fI 6 o h o n a s
数据
两个通信实体经协商建立起来 的一种协定 。它们
决定 了用 来保 护 数据 包安 全 的 I Sc 议 、 P e协 转码 方 式、 密钥 以 及 密 钥 的有 效 存 在 时 间 等 等l 。任 何 5 ]
图 2 AH 的 格 式
IS c实 施 方 案 始 终 会 构 建 一 个 S 数 据 库 Pe A (AD ) 由它来 维护 IS c 议 用 来 保 障数 据 包 S B , Pe协
l _ : 羹翌 錾墅璺 翌墼堡I 垦 - 兰
c 隧道模式的 AH .
I 塑 l I 堑 兰 兰 壁塑-
d 隧道模式 的 E P . S
图 4 IS C的 数 据 传 输 模 式 PE
签名都 能把它检测 出来 。不过 由于 A H不能加密
数 据包 所 加 载 的 内容 , 因而 它 不 保 证 任 何 的 机 密 性 。两 个 最 普遍 的 AH 标 准 是 MD 5和 S HA一 1 ,
第 3 卷 (0 8 第 l 期 6 2O) l
计算机与数字工程
安全 性与 机密 性 。 2 1 I S C体 系结 构 . P E IS c P e 协议 包 括 : AH( 验证 头 ) 、 封 装 安 全 、 P(
安全参数索  ̄(P) I I S 序列号(eun e u e) Sq ec mbr n 初始化向量(V) I
E P的格 式如 图 3所示 。 S
S 是 单 向 的 , 以 针 对 外 发 和 进 入 处 理 使 用 的 A 所
1O O
王
芳等 :P IV6防火墙 研究
第3 6卷
S 分 别需要 维 护一张 单独 的表 。 A, 另 外 ,A 还是 “ S 与协 议 相 关 ” 。每 种 协 议 都 的
防火 墙是 网络 安全 的一个 重要 的环节 , 目前 常 用 的 防火墙 是 针 对 I v P 4的 , 于 I v 对 P 6无 效 _ , 2 本 ] 文 提 出一种 基 于 I S c 建 I v Pe创 P 6防 火 墙 的方 法 , 并 给予 实现 。
暴露 出来 , 如 Iv 例 P 4地址 将很快 被 耗尽 , 信安 全 通
2隧 道模 式 : ) 隧道 模 式 处 理 整 个 I P数 据包 包 括全 部 TC /P或 UD /P头和数 据 , PI PI 它用 自己
的地址 作 为源 地址 加入 到新 的 I P头 。当隧道 模 式
T 蚍上 下一个头 载荷长度 保留
安全参数索 ̄(P ) Jg1 l
没有保 障。所 以需 要新 的协议来解 决这一 问题。
因此 ITF于 1 9 开 始开发 Iv , 是下 一代 I— E 95 P 6它 n
tr e 的核 心协 议 。 en t
Iv 带来 的不 仅是 足 够 的 I 址 , 时还 带 P6 P地 同 来 了其他更 重要 的特 性 : 安全性 、 支持 Q S 支持 移 o、 动通 信 、 可扩展 性 、 有 效 的层 次化 地 址 和路 由结 更
1传输模式 : ) 传输模式使用原始 明文 I , P头 并
且 只加密 数据 , 括它 的 T P和 UD 包 C P头 。
MD 使用最高到 18 的密钥 , S A一1 5 2位 而 H 通过
最 高 到 1 0位 密钥 提 供 更 强 的保 护 。AH 的格 式 6
如 图 2所 示 。
总第 2 9期 2 2 0 年第 1 期 08 1
计算 机与数字工程
C mp t ii l n ie r g o ue r& D gt gn ei aE n
Vo 6 No 1 L3 . 1
98
I V6防 火 墙 研 究 P
王 芳 何 洪磊 )
22O) 20 6
T 33 P 9
I Sc P e
中 图分 类 号
R e e r h o PV 6 Fie a l sa c n I rw l
Wa gF n n a g He Ho g e n li
( l g fLin u g n ie eM e iieJa gu Uno c nc l l g ”,Lin u g n 2 2 0 ) Co l eo a y n a gCh n s dcn in s inTe h ia l e e Co e ayna g 20 6
Cls m b r TP 9 a sNu e 33
1 引言
随着 Itr e nen t的发 展 ,P 4协 议 的缺 陷 逐 渐 Iv
家 高 校 都 已建 立 或 加 入 了 Iv P 6试 验 床 。相 信 不 久 , Iv 为 核 心 的下 一 代 Itre 在 中 国会 得 以 P6 nent 到更 大 的普及 。
务 l 。正 如 整 个 名 称 所 示 , _ 3 AH 通 过 一 个 只 有 密
b .传输模式 的 E P S
钥持 有 人 才 知 道 的 “ 字 签 名 ” 对 用 户 进 行 认 数 来 证 。这个 签 名 是 数据 包 通 过 特别 的算 法得 出 的独 特 结 果 ; 还 能 维 持数 据 的完 整 性 , AH 因为 在 传 输 过 程 中无 论 多 小 的变 化 被 加 载 , 据 包 头 的 数 字 数
机 B的 S o t也 会 共 享 同样 的 加 密参 数 。 由于 A( u )
DS E 最高支持 5 位 的密钥 , T i e E 6 而 r l—D S使用 p
三套 密钥加 密 , 就相 当于使用 最 高到 18位 的密 那 6 钥 。由于 E P实 际 上 加 密 所 有 的数 据 , 而 它 比 S 因 AH 需 要 更 多 的 处 理 时 间 , 而 导 致 性 能 下 降 。 从
2 I PSe c
1 S C是 一 系列 基 于 1 PE P网络 的 , I TF( 由 E 互
构缩小了骨干网路 由器路 由表的规模 、 支持相邻节
点互 动 、 消灭 了局域 网广 播 的产 生 _ 。 1 ] 正 因为 这 样 ,Iv P 6将 会 逐 步 取 代 Iv 。 目 P4
加 密
载荷)I (ne t 、 KE Itme密钥 交换 )IA 、S KMP O ke / al y以 及转 码 。ISc P e 各组件之 间 的交互 方式如 图 1 示 。 所
T
_ l -
填充项I 填充长度r= 1 . 一个头
图 3 ES 的 格 式 P
2 2 I S C的工 作模 式 . P E