基于移动IPv6的防火墙研究与实现
摘要
随着计算机网络在政治、经济、文化等诸多方面的飞速发展,网络已经逐渐成为我们日常生活中不可缺少的重要组成部分。与此同时,网络安全问题也随之凸现出来,网络安全技术也越来越受到前所未有的广泛重视。防火墙技术作为实现网络安全的重要方法之一,逐渐成为研究网络安全技术的一个重要的研究方向。
IPv6具有“无限”的地址空间、支持安全性和移动性等特性。预计未来会有越来越多的无线设备接入Internet,移动性将成为对互连网的重要期望,因此,移动IPv6作为一种在全球因特网上提供移动功能的方案,将会成为移动通信的首选。
本文针对移动节点在外地网络时与家乡网络通信的透明性,以及所传输数据的安全性问题,设计了一种对防火墙和移动节点之间的通信进行IPSEC信息验证的方法,基于本方案的防火墙解决了移动IPv6下移动节点在外地网络与家乡网络之间的通信穿越防火墙的问题,并保证了移动节点与家乡网络之间通信的安全性,且由于只在防火墙和移动节点之间建立IPSEC通道,因此消耗系统资源少,具有较强的实用性。最后在Linux操作系统下将该防火墙进行了实现,并对其进行了测试。
With the high-speed development, computer network is used in many ways, such as politics, economy, and culture. Network is becoming an important part in our life. At the same time, network security is breaking open directly, network security is unparalleled regarded broadly nowadays. As one of the most important technology of network security, firewall technology is becoming an important way in the research of network security.
IPv6 has some specialities, such as limitless address space, security support and mobility support. In future, more and more wireless equipments will connect to Internet and mobility should be the most important attribute of Internet, so mobile IPv6 will be a preferred scheme which can provide mobile communication.
In order to ensure the security of signal and the transparency of communication between home network and mobile nodes, we propose a solution which specify how to use IPSEC information validate to protect mobile IPv6 signaling between mobile nodes and firewall. Firewall based on the solution can solve the problem which the signaling between home network and mobile pots cann' t through firewall and ensure the confidentiality of communication between home network and mobile nodes. And because the solution only establish IPSEC tunnel between firewall and mobile nodes, it consume less system resource and is more practicable. And the last part of the paper is the realization of this firewall under Linux operating system and the test of this firewall.
IPv6具有“无限”的地址空间、支持安全性和移动性等特性。预计未来会有越来越多的无线设备接入Internet,移动性将成为对互连网的重要期望,因此,移动IPv6作为一种在全球因特网上提供移动功能的方案,将会成为移动通信的首选。
本文针对移动节点在外地网络时与家乡网络通信的透明性,以及所传输数据的安全性问题,设计了一种对防火墙和移动节点之间的通信进行IPSEC信息验证的方法,基于本方案的防火墙解决了移动IPv6下移动节点在外地网络与家乡网络之间的通信穿越防火墙的问题,并保证了移动节点与家乡网络之间通信的安全性,且由于只在防火墙和移动节点之间建立IPSEC通道,因此消耗系统资源少,具有较强的实用性。最后在Linux操作系统下将该防火墙进行了实现,并对其进行了测试。
With the high-speed development, computer network is used in many ways, such as politics, economy, and culture. Network is becoming an important part in our life. At the same time, network security is breaking open directly, network security is unparalleled regarded broadly nowadays. As one of the most important technology of network security, firewall technology is becoming an important way in the research of network security.
IPv6 has some specialities, such as limitless address space, security support and mobility support. In future, more and more wireless equipments will connect to Internet and mobility should be the most important attribute of Internet, so mobile IPv6 will be a preferred scheme which can provide mobile communication.
In order to ensure the security of signal and the transparency of communication between home network and mobile nodes, we propose a solution which specify how to use IPSEC information validate to protect mobile IPv6 signaling between mobile nodes and firewall. Firewall based on the solution can solve the problem which the signaling between home network and mobile pots cann' t through firewall and ensure the confidentiality of communication between home network and mobile nodes. And because the solution only establish IPSEC tunnel between firewall and mobile nodes, it consume less system resource and is more practicable. And the last part of the paper is the realization of this firewall under Linux operating system and the test of this firewall.
引文
1 中国信息安全产品测评认证中心.信息安全理论与技术.北京:人民邮电出版社,2003
2 楚狂.网络安全与防火墙技术.北京:人民邮电出版社,2000
3 陈麟,李焕洲.防火墙系统高可用性研究.四川大学学报(工程科学版).2005(1):126-129
4 罗明英.分布式防火墙技术及应用.西昌师范高等专科学校学报.2004(4):133-135
5 李冬冬.网络防火墙关键技术的实现.学位论文.燕山大学,2001
6 张恒汝.状态监测防火墙研究与设计.学位论文.电子科技大学,2002
7 R. Atkinson. RFC2402 (IP Authentication Header), 1998
8 Stephen Kent. RFC2406 (IP Encapsulating Security Payload (ESP), 1998
9 Robert M. Hinden. RFC2373 (IP Version 6 Addressing Architecture), 1998
10 李振.IPv6对IPv4的功能增强及安全性能的提高.信息安全与保密.2005(3):143-146
11 张玉军,田野.IPv6协议安全问题研究.中国科学院研究生院学报.2005(1):30-37
12 C. Perkins. RFC2002 (IP Mobility Support), 1996
13 Hinden. R. RFC1883 (Internet Protocol, Version 6 (IPv6) Specification), 1995
14 武利强,马季春.IPv6和基于IPv6的网络设计.邮电设计技术.2004(10):19-25
15 孟新宏.未雨绸缪IPv6—IPv6技术与校园网的建立.中国计算机用户.2004(11):9-12
16 罗登文.新一代互联网协议—IPv6.科技情报开发与经济.2005(3):267-269
17 安德智,李文.IPv4向IPv6的迁移策略分析.湛江师范学院学报.2004(6):88-92
18 徐巍,李腊元.IPv6下网络QOS机制的研究.计算机应用研究.2005(1):213-214
19 周晓燕.移动IP协议的研究与实现.学位论文.电子科技大学,2001
20 李津生,洪佩林.下一代Internet网络技术(M).北京:人民邮电出版社,2001
21 Stephen E. Deering. RFC2460 (Internet Protocol, Version 6 (IPv6) Specification), 1998
22 段林冒.移动IPv6下包过滤防火墙研究.学位论文.太原理工大学,2004
23 Pete Ldshin.IPv6详解.北京:机械工业出版社,2000
24 郭皞岩.IPv6、IPv9与网络安全.计算机时代.2005(1):7-9
25 徐晋平,王耀青.制约IPv6应用的主要因素.微机发展.2004(12):89-91
26 王震.基于LINUX防火墙技术应用.丹东纺专学报.2004(4):48-49
27 赵勇.应用移动IPv6时的防火墙包过滤研究.学位论文.广东工业大学,2005
28 吴军利,陈作人.一种基于IPv6与防火墙结合的安全机制的研究.微电子学与计算机,2000(3):6-10
2 楚狂.网络安全与防火墙技术.北京:人民邮电出版社,2000
3 陈麟,李焕洲.防火墙系统高可用性研究.四川大学学报(工程科学版).2005(1):126-129
4 罗明英.分布式防火墙技术及应用.西昌师范高等专科学校学报.2004(4):133-135
5 李冬冬.网络防火墙关键技术的实现.学位论文.燕山大学,2001
6 张恒汝.状态监测防火墙研究与设计.学位论文.电子科技大学,2002
7 R. Atkinson. RFC2402 (IP Authentication Header), 1998
8 Stephen Kent. RFC2406 (IP Encapsulating Security Payload (ESP), 1998
9 Robert M. Hinden. RFC2373 (IP Version 6 Addressing Architecture), 1998
10 李振.IPv6对IPv4的功能增强及安全性能的提高.信息安全与保密.2005(3):143-146
11 张玉军,田野.IPv6协议安全问题研究.中国科学院研究生院学报.2005(1):30-37
12 C. Perkins. RFC2002 (IP Mobility Support), 1996
13 Hinden. R. RFC1883 (Internet Protocol, Version 6 (IPv6) Specification), 1995
14 武利强,马季春.IPv6和基于IPv6的网络设计.邮电设计技术.2004(10):19-25
15 孟新宏.未雨绸缪IPv6—IPv6技术与校园网的建立.中国计算机用户.2004(11):9-12
16 罗登文.新一代互联网协议—IPv6.科技情报开发与经济.2005(3):267-269
17 安德智,李文.IPv4向IPv6的迁移策略分析.湛江师范学院学报.2004(6):88-92
18 徐巍,李腊元.IPv6下网络QOS机制的研究.计算机应用研究.2005(1):213-214
19 周晓燕.移动IP协议的研究与实现.学位论文.电子科技大学,2001
20 李津生,洪佩林.下一代Internet网络技术(M).北京:人民邮电出版社,2001
21 Stephen E. Deering. RFC2460 (Internet Protocol, Version 6 (IPv6) Specification), 1998
22 段林冒.移动IPv6下包过滤防火墙研究.学位论文.太原理工大学,2004
23 Pete Ldshin.IPv6详解.北京:机械工业出版社,2000
24 郭皞岩.IPv6、IPv9与网络安全.计算机时代.2005(1):7-9
25 徐晋平,王耀青.制约IPv6应用的主要因素.微机发展.2004(12):89-91
26 王震.基于LINUX防火墙技术应用.丹东纺专学报.2004(4):48-49
27 赵勇.应用移动IPv6时的防火墙包过滤研究.学位论文.广东工业大学,2005
28 吴军利,陈作人.一种基于IPv6与防火墙结合的安全机制的研究.微电子学与计算机,2000(3):6-10