基于IPv6 报头的隐蔽通道分析与防范

研究IPv6基本报头,从网络安全的角度出发,对其中可被用于隐蔽通道载体的字段及其隐蔽通道构建方法进行分析和探讨,在此基础上提出2类构建方法。探讨基于Hop-Limit字段的比特变换隐蔽通道构建方法,分别给出每种方法的通信容量等关键性能指标。对基于IPv6报头的隐蔽通道的防范措施进行讨论。     

基于IPv6扩展报头的安全通信策略

为了实现网络的安全通信,IPv6协议使用IPSec保护端到端数据传输的安全.但由于IPSec协议体系规模过于庞大,协议认证和加密方式复杂,对网络传输性能造成不可忽视的影响.利用IPv6报头的可扩展、高灵活性的协议机制,提出一种可保证主机间数据传输安全的多重密码加密算法(MEA),算法简单实用.计算量小.     

基于IPv6的防火墙包过滤技术研究

随着网络的不断发展,IPv4协议已经不能满足网络的发展需要,将逐步被下一代网络(IPv6网络)所代替。IPv6协议相对于IPv4协议已经有很大的改变,对于原来IPv4网络下的各种防火墙是否还能适用于IPv6网络,是需要研究的问题。本文通过分析IPv4与IPv6的不同特性及防火墙的包过滤原理,针对于IPv6的移动性分析在IPv6的环境下防火墙如何通过包过滤技术进行通信。     

Linux下IPv6防火墙的实现

ip6tables防火墙在Linux 2.4内核中的不同位置定义了三种过滤表：INPUT,OUTPUT和FORWARD.这三种过滤链表控制到达防火墙所有的IP包.用户可在这三条过滤链表中配置不同的过滤规则（由规则条件和执行动作）,当IP数据包到达相应的过滤链表时,系统便逐一检查此数据包是否满足过滤规则条件,当数据包满足某一规则条件时,系统便执行相应的动作（如丢掉此数据包）.下面是ip6tables命令的各项参数及其含义.ip6tables配置命令的基本形式：ip6tables-[AD]chain-name rule-specification.     

一种基于6LoWPAN的TCP报头压缩方案

TCP是一种可靠的传输层协议, 许多应用有强烈的可靠性要求, 需要TCP的支持. 6LoWPAN网络受节点硬件资源与底层通信协议限制, 需要对TCP报头进行压缩, 然而目前尚无相关标准.在研究现有TCP报头压缩方案的基础上, 针对6LoWPAN网络的特点, 提出了一种适用于6LoWPAN网络的TCP报头压缩方案LOWPAN_TCP_HC, 并进行了测试. 实验结果表明LOWPAN_TCP_HC能够有效压缩TCP报头, 减少传感器节点能量消耗, 延长节点使用时间.     

IPv6防火墙的设计与实现

IPv6所提供的巨大的地址空间以及所具有的诸多优势和功能。本文首先介绍了IPv6与IPv4的差异以及IPv6新特点对防火墙的要求,然后介绍了我们开发出的一种支持IPv6协议的防火墙。     

一种快速IPv6路由查找方案

提出了一个可硬件实现的基于分段的快速IPv6路由查找方案.该方案支持快速的IP地址查找,并能有效地对路由前缀进行插入和删除操作.方案采用基于比特位置区分的压缩算法,与其它的 IPv6 路由查找方案相比较,所需存储器空间小,路由查找的平均时间少.如果采用SRAM流水线查找,可实现 125×106次/秒的查找速度.由于缺少实际的 IPv6路由前缀,该文生成了模拟路由前缀数据库.仿真试验结果表明:文章提出的方案具有合理的查找时间、空间和更新复杂度,容易硬件实现.     

基于Intel XSeale IXP425处理器的嵌入式IPv6防火墙设计与实现

为解决防火墙对IPv6协议的兼容及对内部网络之间安全的保障问题。本文设计实现了基于Intel Xscale IXP425处理器的嵌入式IPv6防火墙。该防火墙能通过WEB实现远程管理．对IPv6网络包和IPv4网络包均可进行良好的过滤。防火墙能够判断出网络包的协议类型,分别加以处理,实行动态包过滤,并可以解决IPv6分片攻击问题。通过实际设定过滤规则,对防火墙在IPv6和IPv4下的工作情况进行测试,验证了防火墙的准确性和高效性。     

一种基于Trie的IPv6路由查找方案

随着Internet的迅猛发展,IPv6技术必将成为主流.于是,如何高效地在路由表中查找匹配128位IPv6地址,成为了IPv6 技术发展的一大制约因素.经大量研究表明,Trie数据结构是实现高速路由查找和报文转发的关键.结合IPv6的地址结构特点,设计出基于Trie数据结构的查找算法,提高了路由查找效率以及报文转发速度.     

移动IPv6、通信与防火墙冲突问题研究

IPv6协议取代IPv4已经成为趋势,IPv6对移动IP的具有更强的支持,但是现阶段防火墙存在无法正确处理移动IPv6数据包的问题.在分析移动IPv6的通信机制以及现阶段包过滤防火墙特性的基础上,针对移动节点在通信过程中位置变换的情况,分类探讨了移动IPv6的通信机制与现阶段防火墙过滤规则的各种冲突现象,总结了冲突的原因并提出了解决方案.     

IPv6报头安全威胁及检测*

经过对IPv6数据包报头格式的研究,提出了基于限制性策略的IPv6报头安全性检测算法。该算法根据IPv6协议规范和网络安全需求,按照各扩展报头的出现顺序、扩展报头和/或选项的组合构造及重复次数的特性来检测有潜在安全威胁的恶意IPv6数据包。实验结果表明,该算法有效且能够在一定程度上增强安全防护设备的检测能力。     

针对IPv6路由扩展首部的入侵检测机制*

针对IPv6路由扩展首部漏洞所带来的安全问题,设计并实现了一种适用于IPv6路由扩展首部的入侵检测机制。以开源入侵检测系统Snort为基础,不改变其原有的数据包检测规则结构,采用IPv6协议分析技术对Snort数据包解析模块进行改进。设计实现了支持IPv6路由扩展首部的解析模块、内部网络受保护系统模块(IPSM),并给出了实验验证过程和结果分析。实验证明该设计方案能准确检测出利用IPv6路由扩展首部漏洞所实施的攻击行为。     

基于扩展头随机标记的IPv6攻击源追踪方案

针对IPv4网络环境下的随机包标记法不能直接应用于IPv6的问题,依据IPv6自身的特点提出了一种基于扩展报头随机标记的IPv6攻击源追踪方案。对IPv6报头进行分析研究,选取了合适的标记区域及编码格式,对PMTU算法进行了修改以更好地满足追踪的需要,采用攻击树生成算法重构攻击路径。理论分析与仿真实验结果表明,该方案能够有效地重构攻击路径,实现对IPv6攻击源的追踪。     

基于IPv6/IPv4环境下防火墙的设计与实现

IPv6的新特点和应用对现有的安全设备结构提出了挑战。同时,从IPv4升级到IPv6是一个长期的过程,两种协议在一定时间内将共同存在。因此,需要设计支持IPv4/IPv6双协议的防火墙以适应过渡时期的需要。本文分析了IPv4到IPv6的过渡策略,并设计与实现了支持IPv6/IPv4协议的防火墙系统。     

一种适合无线环境的IPv6头部压缩方法

头部压缩可以提高链路传输效率,但现有压缩方法基于差分编码方式,压缩效率易受丢包影响,在误码率高的无线链路上反而会降低传输效率。为此,提出一种新的IPv6头部压缩方法SBHC。主要思想是利用IPv6头部变化少的特点,采用基于替换的方式实现压缩行为,克服了差分编码方式存在的弊端。性能测试结果表明,SBHC压缩方法可以有效提高无线链路的传输效率。     

基于扩展首部hop-by-hop的IPv6包标记算法研究

针对如何将IPv4环境下的包标记技术应用于IPv6的问题,结合已有的算法思想提出一种改进的算法,该算法采取固定概率将路由信息标记到扩展首部hop-by-hop,隧道模式下节点标记数据包时增加一个复制操作,扩大标记算法的适用范围;利用ESP的加密算法有选择地对标记消息进行加密。实验结果表明,新方案的兼容性和安全性得到了极大的提高。     

基于S3C2440的嵌入式IPv6防火墙设计

随着网络应用的不断发展,网络安全显得越来越重要。基于X86架构的边界防火墙成本较高,且难以遍布网络的每一个终端设备,无法构建全方位的安全防护网络。本文针对以上问题,设计了一种基于S3C2440嵌入式IPv6防火墙。并且提出了状态跟踪与智能包过滤相结合的动态包过滤方案。该方案通过智能访问控制技术优化包过滤规则集,从而提高了防火墙的吞吐量和安全性。     

基于Linux主机IPv6防火墙的设计与实现

针对频繁发生的“网络黑客”事件,创新地设计与实现了基于Linux主机的IPv6防火墙,主要论述了数据包捕获模块、数据处理模块、规则设置模块、数据库查询模块和流量统计模块的设计与实现。首先阐述了信息安全及防火墙的重要性,给出防火墙的概念和原理;然后分析基于Linux主机的IPV6防火墙系统总体设计思路,最后论述基于Linux主机的IPV6防火墙的设计与实现,并详述其具体实现的各个模块。