基于不中断TCP连接IPv6地址动态变更方案.docVIP

基于不中断TCP连接IPv6地址动态变更方案 　　摘 要：研究针对当前IPv6网络地址稳定性所带来的安全防护威胁，分析了目前普遍成熟的地址攻击技术，提出针对IPv6网络的一种保持TCP连接不中断的IPv6地址动态变更方案，并提供配套的安全机制与地址更新算法，保证地址的随机性与安全性。从而在不大量损失系统性能的前提下，通过主动变更通信参数，增大攻击者的地址搜索范围以及耗费时间，使得基于目标地址的长时间攻击中断或失败，增大攻击者流量监听难度，理论分析该方案可大幅提高IPv6网络的整体安全性与抗攻击能力。整体技术方案均基于现今大规模应用的成熟可扩展协议与安全技术，且向下兼容，因此可行性较高，在低代价条件下，对依赖IPv6地址展开的攻击从根源阻断 关键词：IPv6网络 地址安全 动态更新 TCP协议 不中断连接 中图分类号：TP393 文献标识码：A 文章编号：1672-3791（2017）03（b）-0032-04 IPv6针对IPv4在安全性[1]上做出了较大的改进，例如自身集成IPsec等，通过IPsec中ESP+AH的方式对消息源进行验证，对协议承载的数据进行多种可选手段的高强度加密，从而对目前针对IPv6报文传输内容的攻击方式有了不错的抗攻击能力。但IPv6本身针对地址攻击技术的抗攻击能力依然薄弱[2]，尤其在现今计算机计算能力快速提升的环境下，面对大量地址侦听技术，数据窃听技术，流分析技术并没有相应的对抗机制，这也导致了运行IPv6的终端机在错综复杂的网络环境中暴露无遗，一旦被攻击者锁定，在网络层将成为定向的攻击目标。为了在根源上阻止攻击者获取到稳定的目标机地址，该文提出一种保持TCP连接不终端的IPv6地址动态更新方案，通过不定时对主机的IPv6地址进行协商更新，可以在不中断数据连接的前提下，实现地址动态变更。从而令攻击者的地址侦听手段失效或大大增加其攻击成本，如耗费时间等，进而令攻?粽呶薹?进行连续有效的数据窃听或目标跟踪，最终有效保护了通讯双方的信息安全 1 研究背景 TCP连接依靠双端IP地址与端口号建立可靠连接，每对由（本端IP地址+本端端口号+对端IP地址+对端端口号）组成的四元组唯一标识了一个TCP会话。因此，根据原来的TCP协议，四元组中任意一项发生变化必将导致原有TCP会话解散，从而导致双端TCP连接断开。若要继续原有的会话内容与保持数据传输将需要TCP连接的重新建立，影响用户使用，也导致相关安全设备，如防火墙中的会话表发生震荡。因此需要对TCP协议做适当扩展，实现保持连接的地址更新机制，这将为网络体验的顺畅与灵活提供理论基础，未来具有广泛的应用空间 地址协商更新过程中要求保证新地址保密以及消息源可靠，故应有配套的安全机制，采用成熟的安全技术来确保有效性及可行性，保证通信安全的同时尽量简化安全机制，降低复杂性 IPv6地址更新算法要求代价合理，能在大部分运行IPv6的设备上高速完成，减少系统资源的占用与消耗，同时保证每次生成的新地址与使用中的地址不重复，在遇到地址冲突的情况有相应的修正机制重新生成新的IPv6地址 2 基础知识 2.1 TCP连接保持机制 TCP作为一种可扩展的传输层协议，在TCP头部中包含选项字段，可供添加新的扩展功能以满足未来网络发展所需，如最初规定的MSS选项，即最长报文段长度，以及后来增加的选项表结束，无操作，最大报文段长度，窗口扩大因子，时间戳选项等。该机制同样通过增加新的TCP选项来实现[3]，共新增四个选项：请求变更IPv6地址选项、确认IPv6地址可变更选项、IPv6地址数据更新选项、IPv6地址数据更新确认选项。四个选项均以标准TCP选项TLV（TYPE+LENGTH+VALUE）结构构造（kind字段根据TCP标准均设为1字节）。以下数值单位均为字节（Bytes），用于IPv6方案如下，IPv4地址与端口号更新同理，此处不描述 （1）请求变更IPv6地址选项 使用TCP自定义选项kind值20，长度字段length为20，data字段填写A端的公钥信息，使用TCP标准padding填充完成格式对齐 （2）确认IPv6地址可变更选项 使用TCP自定义选项kind值21，长度字段length为20，data字段填写B端公钥信息，若B端不支持地址变更，data字段置全1，使用TCP标准padding填充完成格式对齐 （3）IPv6地址数据更新选项 使用TCP自定义选项kind值22，长度字段length为48，data字段填写加密的新IPv6地址信息与数字签名信息，使用TCP标准padding填充完成格式对齐 （4）IPv6地址数据更新确认选项 使用TCP自定义选项kind值23，长度字段len