————————————————————————————————————————————————基于虚拟移动的IPv6主动防御方案作者孔亚洲,张连成,王振兴机构数学工程与先进计算国家重点实验室DOI10.3969/j.issn.1001-3695.2018.01.0045基金项目国家自然科学基金重点资助项目(61402526)预排期卷《计算机应用研究》2019年第36卷第7期摘要现有通过地址跳变对IPv6节点进行防护的技术依赖时间同步或事件同步,利用IPv6的良好移动特性和多转交地址注册机制,提出一种基于虚拟移动的IPv6主动防御方案。通过为IPv6节点分配动态变化的转交地址,使其呈现出在网络内不断移动的特征,降低攻击者对其实施攻击概率的同时,能够保证通信的持续。理论分析和实验测试表明,方案具有良好的抗攻击能力且较小的系统开销。关键词IPv6;虚拟移动;主动防御;方案作者简介孔亚洲(1989-),男,河南濮阳人,博士研究生,主要研究方向为IPv6网络安全(coyote0916@163.com);张连成(1982-),男,河南商丘人,讲师,博士,主要研究方向为SDN网络安全;王振兴(1959-),男,河北晋州人,教授,博士,主要研究方向为IPv6网络安全.中图分类号TP393.08访问地址投稿日期2018年1月16日修回日期2018年3月9日发布日期2018年4月12日引用格式孔亚洲,张连成,王振兴.基于虚拟移动的IPv6主动防御方案[J/OL].2019,36(7).[2018-04-12].第36卷第7期计算机应用研究Vol.36No.7优先出版ApplicationResearchofComputersOnlinePublication——————————收稿日期:2018-01-16;修回日期:2018-03-09基金项目:国家自然科学基金重点资助项目(61402526)作者简介:孔亚洲(1989-),男,河南濮阳人,博士研究生,主要研究方向为IPv6网络安全(coyote0916@163.com);张连成(1982-),男,河南商丘人,讲师,博士,主要研究方向为SDN网络安全;王振兴(1959-),男,河北晋州人,教授,博士,主要研究方向为IPv6网络安全.基于虚拟移动的IPv6主动防御方案*孔亚洲,张连成,王振兴(数学工程与先进计算国家重点实验室,郑州450002)摘要:现有通过地址跳变对IPv6节点进行防护的技术依赖时间同步或事件同步,利用IPv6的良好移动特性和多转交地址注册机制,提出一种基于虚拟移动的IPv6主动防御方案。通过为IPv6节点分配动态变化的转交地址,使其呈现出在网络内不断移动的特征,降低攻击者对其实施攻击概率的同时,能够保证通信的持续。理论分析和实验测试表明,方案具有良好的抗攻击能力且较小的系统开销。关键词:IPv6;虚拟移动;主动防御;方案中图分类号:TP393.08doi:10.3969/j.issn.1001-3695.2018.01.0045ProactivedefenseschemeofIPv6basedonvirtualmobileKongYazhou,ZhangLiancheng,WangZhenxing(StateKeyLaboratoryofMathematicalEngineering&AdvancedComputing,Zhengzhou450002,China)Abstract:TheexistingtechnologiesforprotectingIPv6nodesbyaddresshoppingrelyontimesynchronizationoreventsynchronization,utilizingthegoodmobilityfeatureofIPv6andmultiplecare-ofaddressregistrationmechanisms,thispaperproposedaproactivedefenseschemeofIPv6basedonvirtualmobile.Byassigningadynamicallychangingcare-ofaddresstoanIPv6node,theIPv6nodepresentedthecontinuouslymovingfeatureinthenetwork,reducedtheattackprobabilityofanattacker,andensuredthecontinuityofcommunications.Theoreticalanalysisandexperimentaltestsshowthattheschemehasgoodanti-attackabilityandlesssystemoverhead.Keywords:IPv6;virtualmobile;proactivedefense;scheme0引言2016年11月7日,互联网架构委员会(InternetArchitectureBoard,IAB)发表声明称,建议互联网工程任务组(InternetEngineeringTaskForce,IETF)等标准开发组织及合作伙伴放弃在新协议标准中兼容IPv4,用行动支持并实施IPv6在全球范围内的部署[1]。2017年11月26日,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》[2](简称“计划”),“计划”要求不仅要实现移动互联网全面支持IPv6,还要强化网络安全保障。随着IPv6部署的广泛深入,越来越多的网络服务正逐步迁移到IPv6网络,包括Web服务器、邮件服务器、域名服务器等。由于IPv6拥有128位地址空间,使得每个节点均能分配一个全球可路由单播地址,且可保持永久不变。因此,在IPv6网络环境中,提供网络服务的重要节点更易遭受来自攻击者的攻击[3],其中最常见且难以防护的攻击包括拒绝服务(denialofservice,DoS)攻击、分布式拒绝服务(distributeddenialofservice,DDoS)攻击等。针对网络的确定性和静态性带来的网络易攻难守等挑战,美国提出一种“改变游戏规则”的积极主动的网络防御思想,即移动目标防御(movingtargetdefense,MTD)[4],通过动态、持续的变化以显著增加攻击者的攻击难度,降低其攻击成功率。利用这一防御思想,研究人员已经在网络层设计并开发出了多种具体的防御机制。动态网络地址转换(dynamicnetworkaddresstranslation,DyNAT)[5]是一种在数据包被路由转发之前,动态变化其地址与端口信息来抵抗嗅探攻击的技术,该技术依赖集中网关的安全性,存在通信失败的可能;网络地址随机化(networkaddressspacerandomization,NASR)[6]是一种通过修改网络内动态主机配置协议(dynamichostconfigurationprotocol,DHCP)服务器来动态更改IP地址变化频率来抵抗蠕虫攻击的技术,该技术部署成本较高,且只能实现局域网(localareanetwork,LAN)内的地址随机化;端口跳变(porthopping)是一种通过动态变化TCP/UDP端口号来抵抗DoS/DDoS攻击的技术;Lee等人[7]提出一种通过在服务器和用户之间共享私钥进行TCP/UDP端口跳变的技术,该技术能够有效阻止攻击者对服务器进行攻击,但是其依赖严格时间同步,无法适用于网络延时较大的网络中;Badishi等人[8]提出一种基于端口的配给信道机制,利用伪随机函数使不同信道在不同时刻使用不同的优先出版孔亚洲,等:基于虚拟移动的IPv6主动防御方案第36卷第7期端口通信,这一机制的安全性依赖于ACK报文,若ACK报文被截获,攻击者即可对目标节点实施攻击;石乐义等人[9]提出服务跳变(servicehopping)和端跳变(endhopping)的概念,通过伪随机跳变图来动态地变化通信双方或一方的IP地址、端口、时隙、加密算法、通信协议等信息,以增加攻击难度与成本;Jafarian等人[10]提出一种OF-RHM(OpenFlowrandomhostmutation)技术,利用OpenFlow快速变换主机虚拟IP,OpenFlow实现虚拟IP与真实IP的转换,从而增加攻击难度。由于OF-RHM部署困难,Al-Shaer等人[11]提出一种RHM(randomhostmutation)技术,利用低频变换和高频变换来给主机分配虚拟IP。为提高变化机制安全性,Jafarian等人[12]提出一种STAM(spatio-temporaladdressmutation)机制来实现动态变化主机与IP地址的绑定关系,每个主机对应一个瞬时IP,且每个瞬时IP只能在指定时间间隔内与另一特定主机通信。MT6D(movingtargetIPv6defense)[13]是一种在IPv6网络环境下MTD的具体实现方法,通信双方以EUI-64接口标志符(interfaceidentifier,IID)、共享密钥及系统时间为参数,经过哈希计算后生成新的IID,增加了攻击成本与复杂度;刘慧生等人[14]提出一种利用IPv6多穴特性使主机地址在多个地址域内动态变化的技术MHH-PD6,增加了攻击者流量监听及DoS攻击的难度。综上所述,现有的可有效阻止或降低IPv6节点遭受DoS攻击的技术(以MT6D和MHH-PD6为例)主要存在以下不足之处:a)MT6D在通信地址动态改变的过程中存在地址冲突的可能,从而造成丢包或会话中断现象;b)MT6D依赖严格时间同步,无法适应网络延迟较大或网络拥塞的网络环境;c)MHH-PD6依赖跳变服务器的安全性,跳变服务器存在被DoS攻击的可能;d)MHH-PD6需要所在网络接入多条链路,适用范围受限。针对现有研究技术的不足之处,本文提出一种基于虚拟移动的IPv6抗DoS攻击方案,利用IPv6的良好移动特性支持,提出虚拟移动思想,即为受保护IPv6节点分配动态变化的转交地址(care-ofaddress,CoA),使攻击者无法准确辨识目标节点是否发生真实移动及其位置,从而无法对其实施DoS攻击。此外,由于移动IPv6(mobileIPv6,MIPv6)允许IPv6节点能够在移动(即改变其CoA)的同时保持当前连接,因此该方案不依赖时钟同步或事件同步机制,能够适应较复杂的网络环境且保持通信的持续不断。1ADVM方案本文提出的虚拟移动(virtualmobile,VM)包含两方面含义:一是IPv6节点未发生真实移动,而是利用IPv6对移动的良好支持,使其对外呈现出移动的表征;二是IPv6节点发生真实移动,使其对外呈现出移动位置动态变化的特点,无法辨识其移动的真伪。接下来,本章将对ADVM方案的基本结构、工作流程进行详细描述。1.1ADVM结构组成定义1IPv6虚拟移动节点(virtualmobilenodeforIPv6,VMN)。受ADVM方案保护的IPv6节点。定义2转交地址集(setofcare-ofaddresses)。VMN用于呈现虚拟移动特征的地址集合,12{,,...,},nCcoacoacoan。定义3IPv6虚拟移动代理(virtualmobileagentforIPv6,VMA)。与VMN处于不同子网的IPv6节点,12{,,...,},nAvmavmavman,为VMN转发通信数据包。定义4通信对端(correspondingnode,CN)。与VMN进行通信的对端节点,12{,,...,},lNcncncnl。ADVM的基本结构如图1所示。CoA1CoA2CoA3...CoAnInternetCN1······