亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于滑動(dòng)地址窗口的IPv6動(dòng)態(tài)地址隧道模型

        2015-02-28 06:14:12馬子川黃小紅
        電信科學(xué) 2015年10期
        關(guān)鍵詞:網(wǎng)關(guān)時(shí)鐘分組

        馬子川,黃小紅,閆 屾,張 沛

        (北京郵電大學(xué)網(wǎng)絡(luò)技術(shù)研究院 北京100876)

        1 引言

        隨著IPv6應(yīng)用的不斷推廣和普及,其安全性問題也逐漸得到人們的關(guān)注。目前IPv6網(wǎng)絡(luò)普遍使用無狀態(tài)地址配置(stateless address autoconfiguration,SLAAC)機(jī)制實(shí)現(xiàn)IPv6主機(jī)的地址自動(dòng)配置,簡(jiǎn)化了IPv6地址的配置方式。但是這種機(jī)制也給網(wǎng)絡(luò)攻擊者可乘之機(jī),網(wǎng)絡(luò)攻擊者只要對(duì)特定的IPv6地址的流量進(jìn)行監(jiān)聽,就能夠收集到特定主機(jī)的全部IPv6流量[1]。

        然而現(xiàn)有的對(duì)網(wǎng)絡(luò)層以上的數(shù)據(jù)安全保護(hù)機(jī)制所采用的手段主要是對(duì)傳輸?shù)臄?shù)據(jù)內(nèi)容進(jìn)行加密處理,無法對(duì)傳輸雙方的“信道”進(jìn)行保護(hù)。攻擊者只要對(duì)特定IPv6地址所對(duì)應(yīng)的“信道”中的完整IPv6流量進(jìn)行分析,就能夠從流量特征中獲知所使用的網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)甚至物理位置等信息,并對(duì)此分析得到用戶身份,達(dá)到竊取用戶隱私數(shù)據(jù)的目的。

        為了應(yīng)對(duì)這個(gè)問題,網(wǎng)絡(luò)地址跳變傳輸技術(shù)應(yīng)運(yùn)而生,網(wǎng)絡(luò)地址跳變傳輸技術(shù)通過將數(shù)據(jù)流量分散到多對(duì)IP地址所構(gòu)成的多個(gè)“信道”中進(jìn)行傳輸,達(dá)到隱藏雙方真實(shí)IP地址,對(duì)雙方的傳輸“信道”進(jìn)行隱藏,進(jìn)而保護(hù)傳輸內(nèi)容不被監(jiān)聽的目的。由于IPv6有著巨大地址空間的天然優(yōu)勢(shì),在IPv6網(wǎng)絡(luò)中使用網(wǎng)絡(luò)地址跳變傳輸技術(shù),傳輸雙方可以使用足夠多的動(dòng)態(tài)IPv6地址建立動(dòng)態(tài)地址連接,可以將監(jiān)聽者通過流量分析竊取信息的可能降到最低。

        國(guó)內(nèi)外對(duì)IPv6網(wǎng)絡(luò)地址跳變傳輸機(jī)制及其相關(guān)技術(shù)已經(jīng)有過一些研究,并且提出了多種IPv6網(wǎng)絡(luò)地址跳變傳輸方案以及類似的其他方案。參考文獻(xiàn)[2]提出一種基于地址和端口進(jìn)行跳變傳輸?shù)姆桨福摲桨钢С侄鄠€(gè)客戶端間的地址跳變傳輸,并通過使用時(shí)間戳的方式計(jì)算所需的動(dòng)態(tài)地址及端口,但這種方式依賴同一個(gè)跳變同步服務(wù)器對(duì)各個(gè)客戶端設(shè)備進(jìn)行跳變同步。參考文獻(xiàn)[3]通過將主機(jī)的流量分散到不同的鏈路之中來完成地址的跳變傳輸,但同樣依賴中心節(jié)點(diǎn)對(duì)主機(jī)的動(dòng)態(tài)地址進(jìn)行配置和管理。參考文獻(xiàn)[4,5]提出的方案通過對(duì)IPv6地址進(jìn)行動(dòng)態(tài)混淆,從而得到動(dòng)態(tài)IPv6地址進(jìn)而達(dá)到跳變傳輸?shù)哪康?,但依賴精確的時(shí)鐘進(jìn)行同步和更新。參考文獻(xiàn)[6,7]針對(duì)時(shí)鐘同步的需求提出了相應(yīng)分布式時(shí)間戳同步方案。參考文獻(xiàn)[8]中的方案使用共享偽隨機(jī)種子的方式生成多組動(dòng)態(tài)IPv6地址,并另辟蹊徑使用分組計(jì)數(shù)器的方式觸發(fā)動(dòng)態(tài)IPv6地址的更新與切換。

        由此可以看出,由于IPv6動(dòng)態(tài)地址跳變傳輸要求通信雙方均使用動(dòng)態(tài)地址,因而對(duì)動(dòng)態(tài)地址的更新進(jìn)行同步是動(dòng)態(tài)地址跳變傳輸機(jī)制中非常重要的組成部分,也是目前相關(guān)研究的重點(diǎn)所在。

        本文針對(duì)IPv6網(wǎng)絡(luò)地址跳變傳輸機(jī)制的跳變同步技術(shù)進(jìn)行研究和探索,提出了動(dòng)態(tài)地址鏈(dynamic address chain)的概念,并將滑動(dòng)地址窗口和動(dòng)態(tài)地址鏈應(yīng)用于IPv6網(wǎng)絡(luò)地址跳變傳輸,能夠在保證IPv6網(wǎng)絡(luò)地址高效跳變的同時(shí)降低對(duì)同步時(shí)鐘精度的要求,并在此基礎(chǔ)上提出了基于滑動(dòng)地址窗口的IPv6動(dòng)態(tài)地址隧道(IPv6 dynamic address tunnel,6DAT)模型。

        2 6DAT模型

        2.1 6DAT模型結(jié)構(gòu)

        6 DAT模型的基本思路是通過在本地子網(wǎng)的邊界處部署6DAT網(wǎng)關(guān),子網(wǎng)中的所有主機(jī)通過6DAT網(wǎng)關(guān)連接到互聯(lián)網(wǎng)。同時(shí),由6DAT網(wǎng)關(guān)將子網(wǎng)中主機(jī)的IP數(shù)據(jù)分組封裝于使用動(dòng)態(tài)IPv6地址作為源地址和目的地址的隧道數(shù)據(jù)分組中,從而達(dá)到通過動(dòng)態(tài)IPv6地址建立動(dòng)態(tài)地址隧道進(jìn)行跳變傳輸?shù)哪康摹?/p>

        6 DAT模型的基本結(jié)構(gòu)如圖1所示,子網(wǎng)中的主機(jī)通過網(wǎng)關(guān)連接到互聯(lián)網(wǎng),當(dāng)需要使用6DAT進(jìn)行傳輸時(shí),主機(jī)的IP數(shù)據(jù)分組在本地網(wǎng)關(guān)處被封裝為隧道數(shù)據(jù)分組然后發(fā)送到目標(biāo)網(wǎng)關(guān),目標(biāo)網(wǎng)關(guān)在接收到隧道數(shù)據(jù)分組之后對(duì)其進(jìn)行解析,然后將原始數(shù)據(jù)分組轉(zhuǎn)發(fā)到目標(biāo)子網(wǎng)中的目標(biāo)主機(jī)上。

        圖1 6DAT組成結(jié)構(gòu)

        6 DAT網(wǎng)關(guān)是由動(dòng)態(tài)地址鏈所驅(qū)動(dòng)的網(wǎng)絡(luò)設(shè)備,如圖2所示,可分為動(dòng)態(tài)地址層和數(shù)據(jù)轉(zhuǎn)發(fā)層兩個(gè)部分。其中動(dòng)態(tài)地址層又包括本地動(dòng)態(tài)地址鏈和對(duì)端動(dòng)態(tài)地址鏈,分別為數(shù)據(jù)轉(zhuǎn)發(fā)層提供動(dòng)態(tài)源地址和動(dòng)態(tài)目的地址。數(shù)據(jù)轉(zhuǎn)發(fā)層提供了面向主機(jī)的接口和面向互聯(lián)網(wǎng)的接口,對(duì)來自主機(jī)的數(shù)據(jù)分組進(jìn)行封裝,并對(duì)來自互聯(lián)網(wǎng)的數(shù)據(jù)分組進(jìn)行解析。

        圖2 6DAT網(wǎng)關(guān)架構(gòu)

        2.2 動(dòng)態(tài)地址鏈

        動(dòng)態(tài)地址鏈?zhǔn)怯啥鄠€(gè)動(dòng)態(tài)IPv6地址組成的有序的線性動(dòng)態(tài)IPv6地址池。每個(gè)6DAT網(wǎng)關(guān)都包含一個(gè)本地動(dòng)態(tài)地址鏈和至少一個(gè)對(duì)端動(dòng)態(tài)地址鏈,6DAT網(wǎng)關(guān)必須在初始化本地動(dòng)態(tài)地址鏈和對(duì)端動(dòng)態(tài)地址鏈之后才能和對(duì)端網(wǎng)關(guān)建立動(dòng)態(tài)地址隧道。

        表1中展示了一個(gè)動(dòng)態(tài)地址鏈的模型,其中每個(gè)動(dòng)態(tài)IPv6地址有各自對(duì)應(yīng)的序號(hào),各個(gè)動(dòng)態(tài)IPv6地址在動(dòng)態(tài)地址鏈中始終保持有序排列,并按照一定的規(guī)則在動(dòng)態(tài)地址鏈上劃分出發(fā)送地址窗口和接收地址窗口,分別驅(qū)動(dòng)6DAT的封裝模塊和解析模塊。

        表1 IPv6動(dòng)態(tài)地址鏈

        2.2.1 動(dòng)態(tài)地址鏈同步機(jī)制

        由于建立動(dòng)態(tài)地址隧道的兩個(gè)對(duì)等網(wǎng)關(guān)需要獨(dú)立計(jì)算并更新各自使用的動(dòng)態(tài)地址鏈,若要保證動(dòng)態(tài)地址以及動(dòng)態(tài)地址隧道的持續(xù)有效,要求對(duì)等網(wǎng)關(guān)的動(dòng)態(tài)地址鏈必須有保持同步的能力。

        6 DAT模型所采用的動(dòng)態(tài)地址鏈同步機(jī)制要求分布于不同網(wǎng)關(guān)的各個(gè)動(dòng)態(tài)地址鏈擁有相同的更新周期。每隔一個(gè)更新周期,各個(gè)網(wǎng)關(guān)分別計(jì)算出需要添加的動(dòng)態(tài)地址序號(hào),并根據(jù)動(dòng)態(tài)地址序號(hào)計(jì)算得到動(dòng)態(tài)地址并添加到各自的動(dòng)態(tài)地址鏈中。因而只要約定一個(gè)共同的起始時(shí)間戳Timeinitial,就能根據(jù)當(dāng)前的時(shí)間戳Timecurrent以及周期T計(jì)算得到當(dāng)前需要添加的地址序號(hào)。

        采用了上述的地址序號(hào)算法之后,并不要求兩個(gè)對(duì)等網(wǎng)關(guān)的時(shí)鐘完全精確一致,只要之間的時(shí)間戳誤差小于周期T,就能夠同步計(jì)算得到相同的地址序號(hào),完成同步操作,極大降低了對(duì)時(shí)鐘精度的要求。

        2.2.2 動(dòng)態(tài)地址算法

        根據(jù)動(dòng)態(tài)地址鏈同步機(jī)制,動(dòng)態(tài)地址算法必須滿足:根據(jù)確定的網(wǎng)關(guān)地址前綴和地址序號(hào),必須能夠唯一計(jì)算得到一個(gè)確定的動(dòng)態(tài)IPv6地址。

        根據(jù)上述要求,可以提出一個(gè)適用于6DAT模型的動(dòng)態(tài)地址算法。給定網(wǎng)關(guān)前綴Prefix以及地址序號(hào)N,就可以計(jì)算得到動(dòng)態(tài)IPv6地址。

        由于網(wǎng)關(guān)前綴和地址序號(hào)確定且唯一,該算法能夠計(jì)算得到確定且唯一的動(dòng)態(tài)IPv6地址。

        2.3 動(dòng)態(tài)地址窗口

        動(dòng)態(tài)地址窗口指的是在動(dòng)態(tài)地址鏈上特定的動(dòng)態(tài)IPv6地址區(qū)間,包括發(fā)送地址窗口和接收地址窗口。

        每個(gè)動(dòng)態(tài)地址鏈都有對(duì)應(yīng)的發(fā)送地址窗口和接收地址窗口,本地動(dòng)態(tài)地址鏈對(duì)應(yīng)著本地發(fā)送窗口和本地接收窗口,對(duì)端動(dòng)態(tài)地址鏈對(duì)應(yīng)著對(duì)端發(fā)送窗口和對(duì)端接收窗口。

        2.3.1 發(fā)送地址窗口

        根據(jù)地址窗口算法,動(dòng)態(tài)地址鏈上按照發(fā)送窗口容量劃分出特定的IPv6地址區(qū)間作為發(fā)送地址窗口。在建立動(dòng)態(tài)地址隧道時(shí),需要從本地發(fā)送地址窗口和對(duì)端發(fā)送窗口中隨機(jī)選擇一對(duì)動(dòng)態(tài)地址,分別作為動(dòng)態(tài)地址隧道數(shù)據(jù)分組的源地址和目的地址。

        2.3.2 接收地址窗口

        相應(yīng)的,動(dòng)態(tài)地址鏈上按照接收窗口容量劃分出特定的IPv6地址區(qū)間作為接收地址窗口。在接收到動(dòng)態(tài)地址隧道數(shù)據(jù)分組時(shí),需要檢查數(shù)據(jù)分組的源地址和目的地址是否分別位于對(duì)端接收地址窗口和本地接收地址窗口,然后再進(jìn)行后續(xù)處理和轉(zhuǎn)發(fā)。

        2.3.3 地址窗口算法

        發(fā)送地址窗口和接收地址窗口的特性決定了發(fā)送地址窗口的容量必須小于接收地址窗口的容量,即發(fā)送地址窗口是接收地址窗口的子集。

        并且,為了保證發(fā)送網(wǎng)關(guān)所選擇的發(fā)送地址窗口中的動(dòng)態(tài)IPv6地址盡可能落在接收網(wǎng)關(guān)的接收地址窗口中,發(fā)送地址窗口必須盡可能接近接收地址窗口的中間位置,從而可以得到用于計(jì)算發(fā)送地址窗口和接收地址窗口的地址窗口算法。

        當(dāng)接收地址窗口起始序號(hào)為N以及接收窗口和發(fā)送窗口容量分別為WinR和WinS時(shí),接收地址窗口為:

        相應(yīng)的發(fā)送地址窗口為:

        以圖3所示的動(dòng)態(tài)地址鏈為例,接收地址窗口是一個(gè)容量為16的動(dòng)態(tài)IPv6地址區(qū)間,動(dòng)態(tài)地址序號(hào)范圍為0~15。發(fā)送地址窗口是一個(gè)容量為8的動(dòng)態(tài)IPv6地址區(qū)間,動(dòng)態(tài)地址序號(hào)范圍為4~11。

        2.3.4 地址窗口滑動(dòng)

        由于發(fā)送地址窗口和接收地址窗口均為有限長(zhǎng)度的地址區(qū)間,為了保證源地址和目的地址的動(dòng)態(tài)性,發(fā)送窗口和接收窗口必須定時(shí)進(jìn)行滑動(dòng)更新。地址窗口滑動(dòng)情況如圖4所示。

        按照動(dòng)態(tài)地址鏈的同步機(jī)制,每個(gè)動(dòng)態(tài)地址鏈都有各自的更新周期,每隔一個(gè)周期,都將計(jì)算得到一個(gè)新的動(dòng)態(tài)地址并添加到動(dòng)態(tài)地址鏈的末端。與此同時(shí),如果將發(fā)送地址窗口和接收地址窗口向地址序號(hào)增加的方向移動(dòng)一個(gè)地址空間,就可以完成對(duì)發(fā)送地址窗口和接收地址窗口的滑動(dòng)更新操作。

        由于發(fā)送地址窗口和接收地址窗口均按照一定的周期在動(dòng)態(tài)鏈上進(jìn)行滑動(dòng)更新,其動(dòng)態(tài)更新的平滑性就能夠得到保證,能夠最大限度地避免因動(dòng)態(tài)地址切換而帶來的分組丟失等問題。

        然而,雖然要求各個(gè)網(wǎng)關(guān)的動(dòng)態(tài)地址窗口盡力保持同步,但由于不可避免的時(shí)鐘精度誤差的存在,總是會(huì)有動(dòng)態(tài)地址窗口不一致的情況發(fā)生。試想一種情況,由于發(fā)送地址窗口沒有精確同步,發(fā)送端網(wǎng)關(guān)從其發(fā)送地址窗口中選取了一對(duì)動(dòng)態(tài)地址作為隧道數(shù)據(jù)分組的源地址和動(dòng)態(tài)地址,但該動(dòng)態(tài)地址對(duì)沒有位于接收端網(wǎng)關(guān)的發(fā)送地址窗口中,如圖5所示。此時(shí)由于接收端網(wǎng)關(guān)使用接收地址窗口進(jìn)行動(dòng)態(tài)地址對(duì)驗(yàn)證,只要發(fā)送端網(wǎng)關(guān)的發(fā)送地址窗口分組含于接收端網(wǎng)關(guān)的接收地址窗口,就能通過動(dòng)態(tài)地址驗(yàn)證。6DAT模型中將發(fā)送地址窗口和接收地址窗口進(jìn)行分離式設(shè)計(jì)的思想正是基于這樣的考慮。

        3 6DAT基本工作過程

        圖3 發(fā)送地址窗口和接收地址窗口

        圖4 地址窗口滑動(dòng)

        圖5 動(dòng)態(tài)地址窗口非同步狀態(tài)

        假設(shè)網(wǎng)關(guān)A和網(wǎng)關(guān)B需要建立動(dòng)態(tài)地址隧道。在網(wǎng)關(guān)A和網(wǎng)關(guān)B之間建立動(dòng)態(tài)地址隧道時(shí),各自所需的動(dòng)態(tài)IPv6地址來源于動(dòng)態(tài)地址鏈A和動(dòng)態(tài)地址鏈B。為了使網(wǎng)關(guān)間的動(dòng)態(tài)地址鏈保持同步,需要共享表2的網(wǎng)關(guān)配置信息。

        表2 網(wǎng)關(guān)配置信息

        上述網(wǎng)關(guān)間共享配置信息可以通過一定的機(jī)制進(jìn)行帶內(nèi)配置或者帶外配置??紤]到上述配置信息并不需要頻繁更新,若采用帶內(nèi)配置會(huì)導(dǎo)致額外的開銷以及潛在的安全性問題,因而采用靜態(tài)的帶外配置方式。

        3.1 初始化

        由于動(dòng)態(tài)地址鏈A和B初始狀態(tài)均為空,需要先對(duì)動(dòng)態(tài)地址鏈進(jìn)行動(dòng)態(tài)地址填充,由于發(fā)送地址窗口分組含于接收地址窗口,因而需要填充的動(dòng)態(tài)地址數(shù)量至少為:

        將上述步驟得到的兩組動(dòng)態(tài)IPv6地址分別添加到動(dòng)態(tài)地址鏈A和B中:

        3.2 發(fā)送數(shù)據(jù)

        初始化完成后,根據(jù)地址窗口算法,動(dòng)態(tài)地址鏈A和動(dòng)態(tài)地址鏈B的初始發(fā)送窗口分別如下。

        發(fā)送窗口A[StartSA,EndSA]:

        發(fā)送窗口B[StartSB,EndSB]:

        當(dāng)網(wǎng)關(guān)A所在子網(wǎng)的主機(jī)向網(wǎng)關(guān)B所在子網(wǎng)的主機(jī)發(fā)送數(shù)據(jù)時(shí),網(wǎng)關(guān)A需要分別從發(fā)送窗口A和發(fā)送窗口B中隨機(jī)選取一對(duì)動(dòng)態(tài)IPv6地址作為源地址和目的地址。

        如圖6所示,來自主機(jī)的數(shù)據(jù)分組先在網(wǎng)關(guān)A處添加6DAT分組頭,封裝成以上述動(dòng)態(tài)地址為源地址和目的地址的6DAT數(shù)據(jù)分組,然后再發(fā)送出去。

        圖6 封裝流程

        同理,當(dāng)網(wǎng)關(guān)B所在子網(wǎng)的主機(jī)需要向網(wǎng)關(guān)A所在子網(wǎng)的主機(jī)發(fā)送數(shù)據(jù)時(shí),網(wǎng)關(guān)B需要分別從發(fā)送窗口B和發(fā)送窗口A中隨機(jī)選取一對(duì)動(dòng)態(tài)IPv6地址作為源地址和目的地址。

        來自主機(jī)的數(shù)據(jù)分組先在網(wǎng)關(guān)B處添加6DAT分組頭,封裝成以上述動(dòng)態(tài)地址作為源地址和目的地址的6DAT數(shù)據(jù)分組,然后再發(fā)送出去。

        3.3 接收數(shù)據(jù)

        初始化完成后,根據(jù)地址窗口算法,動(dòng)態(tài)地址鏈A和動(dòng)態(tài)地址鏈B的初始接收窗口分別如下。

        接收窗口A[StartRA,EndRA]:

        接收窗口B[StartRB,EndRB]:

        當(dāng)網(wǎng)關(guān)B接收到來自網(wǎng)關(guān)A的隧道數(shù)據(jù)分組時(shí),需要分別檢查隧道數(shù)據(jù)分組的源地址和目的地址是否分別位于接收窗口A和接收窗口B之中,如果是,則對(duì)其進(jìn)行解析并去除隧道分組頭以獲得原始數(shù)據(jù)分組,然后將其轉(zhuǎn)發(fā)至網(wǎng)關(guān)B所在子網(wǎng)中對(duì)應(yīng)的主機(jī)。

        相應(yīng)的,當(dāng)網(wǎng)關(guān)A在接收到來自網(wǎng)關(guān)B的隧道數(shù)據(jù)分組時(shí),需要分別檢查隧道數(shù)據(jù)分組的源地址和目的地址是否位于接收窗口B和接收窗口A之中,如果是,則對(duì)其進(jìn)行解析并去除隧道分組頭以獲得原始數(shù)據(jù)分組,然后其轉(zhuǎn)發(fā)至網(wǎng)關(guān)A所在子網(wǎng)中對(duì)應(yīng)的主機(jī)。

        4 模型性能分析

        為了對(duì)6DAT模型進(jìn)行驗(yàn)證,開發(fā)了6DAT的原型系統(tǒng),并對(duì)核心功能進(jìn)行了實(shí)現(xiàn)。該6DAT原型系統(tǒng)采用Go語言開發(fā),使用Netfilter Queue并結(jié)合Linux系統(tǒng)上的iptables完成對(duì)IPv6數(shù)據(jù)分組的捕獲和處理。部署該6DAT原型系統(tǒng)時(shí)使用了如表3所示的實(shí)驗(yàn)環(huán)境配置。

        圖7 6DAT原型系統(tǒng)測(cè)試環(huán)境

        表3 實(shí)驗(yàn)環(huán)境配置

        為了對(duì)6DAT模型的部署進(jìn)行模擬,搭建了如圖7所示的測(cè)試環(huán)境。在兩臺(tái)具有雙網(wǎng)卡的服務(wù)器上部署了上述6DAT原型系統(tǒng)作為6DAT網(wǎng)關(guān),同時(shí)連接另外兩臺(tái)計(jì)算機(jī)作為6DAT主機(jī),并對(duì)其進(jìn)行相關(guān)的IPv6地址和路由的配置。

        4.1 抗時(shí)鐘誤差能力

        由于6DAT模型仍然需要時(shí)鐘信號(hào)驅(qū)動(dòng)動(dòng)態(tài)地址鏈和滑動(dòng)地址窗口進(jìn)行更新,而作為一個(gè)分布式系統(tǒng),實(shí)際應(yīng)用中難免有時(shí)鐘的精度誤差。通過測(cè)量不同時(shí)鐘誤差情況下系統(tǒng)的分組丟失率,對(duì)6DAT系統(tǒng)的抗時(shí)鐘誤差能力進(jìn)行評(píng)估。

        仍然選擇發(fā)送100個(gè)ping報(bào)文的方式對(duì)分組丟失率進(jìn)行測(cè)試,調(diào)整兩個(gè)6DAT網(wǎng)關(guān)之間的系統(tǒng)時(shí)鐘誤差,記錄發(fā)送100個(gè)ping報(bào)文時(shí)的分組丟失率。測(cè)試結(jié)果如圖8所示。

        圖8 分組丟失率與時(shí)鐘誤差

        根據(jù)動(dòng)態(tài)地址鏈的同步機(jī)制以及地址窗口算法不難得到,若要避免分組丟失,則必須保證發(fā)送地址窗口的動(dòng)態(tài)地址全部落入接收地址窗口之中,即發(fā)送端的發(fā)送地址窗口的邊界在接收端的接收地址邊界以內(nèi)。據(jù)此,可以推算得到最大能夠允許的時(shí)鐘誤差為:

        在本次實(shí)驗(yàn)中,接收地址窗口為8,發(fā)送地址窗口為4,窗口滑動(dòng)周期為10 s,根據(jù)式(25)計(jì)算可得最大理論時(shí)鐘允許誤差為20 s。而實(shí)驗(yàn)結(jié)果顯示,當(dāng)時(shí)鐘誤差大于20 s時(shí)系統(tǒng)分組丟失率急劇上升,也驗(yàn)證了推算是正確的。

        4.2 流量分散能力

        將發(fā)送單位個(gè)數(shù)的IP數(shù)據(jù)分組時(shí)所使用的“信道”數(shù)量,即唯一IP地址對(duì)數(shù)量,定義為系統(tǒng)的流量分散能力,并且使用該指標(biāo)評(píng)估6DAT系統(tǒng)對(duì)惡意流量分析的抵抗能力。

        當(dāng)6DAT并未啟用時(shí),發(fā)送端和接收端均使用靜態(tài)的IP地址,即自始至終只采用一對(duì)IP地址進(jìn)行傳輸。在這種情況下,流量分散能力與IP數(shù)據(jù)分組的數(shù)量成反比,IP數(shù)據(jù)分組越多則流量分散能力越弱,也就越容易遭受惡意流量分析攻擊。

        在開啟6DAT之后,使用TCPDUMP工具對(duì)上述實(shí)驗(yàn)的IP數(shù)據(jù)分組進(jìn)行抓取和記錄,并對(duì)其進(jìn)行分析,統(tǒng)計(jì)其中唯一的IP地址對(duì)數(shù)量,得到表4的結(jié)果。

        表4 IP地址對(duì)數(shù)量統(tǒng)計(jì)

        此外,由于動(dòng)態(tài)IP地址對(duì)的數(shù)量受發(fā)送地址窗口的影響,因而選擇在發(fā)送100個(gè)報(bào)文的前提下,測(cè)試6DAT原型系統(tǒng)使用不同的發(fā)送地址窗口容量時(shí)的流量分散能力,測(cè)試數(shù)據(jù)如圖9所示。

        由上述實(shí)驗(yàn)結(jié)果可以看出,在啟用6DAT之后,主機(jī)之間的流量被分散到大量IP地址對(duì)所組成的“信道”中。且當(dāng)發(fā)送窗口容量越大,則可用的動(dòng)態(tài)IPv6地址越多,動(dòng)態(tài)IPv6地址對(duì)也就越多,流量分散能力越強(qiáng)。若攻擊者對(duì)流量進(jìn)行截獲和分析,獲得全部的完整數(shù)據(jù)的難度也就會(huì)越大,也就越難分析得到通信雙方的真實(shí)身份以及通信方式。

        圖9 發(fā)送窗口容量與流量分散能力

        4.3 時(shí)延和分組丟失

        為了了解系統(tǒng)的時(shí)延和分組丟失情況,采用在兩個(gè)主機(jī)間發(fā)送ping報(bào)文的方式進(jìn)行測(cè)試。在開啟網(wǎng)關(guān)的6DAT功能的情況下,從一臺(tái)主機(jī)向另外一臺(tái)主機(jī)分別發(fā)送100、500以及1000個(gè)ping報(bào)文,分別記錄響應(yīng)時(shí)間和分組丟失情況。之后,在關(guān)閉網(wǎng)關(guān)的6DAT功能的情況下,重復(fù)上述實(shí)驗(yàn),分別再次記錄響應(yīng)時(shí)間和分組丟失狀況,實(shí)驗(yàn)結(jié)果見表5。

        表5 ping響應(yīng)時(shí)間

        從表5中不難發(fā)現(xiàn),開啟6DAT之后,由于存在對(duì)IP數(shù)據(jù)分組的封裝和解析操作,6DAT對(duì)IP數(shù)據(jù)分組的轉(zhuǎn)發(fā)存在一定的時(shí)延。對(duì)于大部分的IP數(shù)據(jù)分組,在進(jìn)行轉(zhuǎn)發(fā)的時(shí)候會(huì)增加約1 ms的時(shí)延,但也有極少部分的IP數(shù)據(jù)分組在轉(zhuǎn)發(fā)的時(shí)候產(chǎn)生了較大的時(shí)延??傮w來看,6DAT網(wǎng)關(guān)對(duì)IP數(shù)據(jù)分組的操作所帶來的時(shí)延并沒有給使用過程帶來較大的困擾,但仍然存在優(yōu)化的空間。

        此外,根據(jù)測(cè)試結(jié)果,該6DAT原型系統(tǒng)在分組丟失率方面表現(xiàn)良好,并沒有表現(xiàn)出嚴(yán)重的分組丟失情況。

        5 結(jié)束語

        網(wǎng)絡(luò)地址跳變技術(shù)能夠?qū)⑼ㄐ烹p方的流量分散到多組IP地址所構(gòu)成的信道中進(jìn)行傳輸,能夠有效防止攻擊者通過流量分析的方式獲知用戶行為,竊取用戶信息。由于IPv6擁有巨大的地址空間,能夠提供足夠多的動(dòng)態(tài)地址用于網(wǎng)絡(luò)地址跳變,因而IPv6技術(shù)的發(fā)展與普及為網(wǎng)絡(luò)地址跳變傳輸技術(shù)的發(fā)展提供了機(jī)遇。

        本文從IPv6地址跳變傳輸?shù)奶兺郊夹g(shù)這一技術(shù)入手,對(duì)現(xiàn)有的相關(guān)技術(shù)進(jìn)行總結(jié)和改進(jìn),提出了動(dòng)態(tài)地址鏈的概念,并通過使用動(dòng)態(tài)地址鏈將滑動(dòng)窗口應(yīng)用于IPv6跳變地址傳輸技術(shù),在此基礎(chǔ)上提出了基于滑動(dòng)地址窗口的IPv6動(dòng)態(tài)地址隧道模型。IPv6動(dòng)態(tài)地址隧道模型能夠?qū)⒘髁糠稚⒌蕉鄬?duì)動(dòng)態(tài)IPv6地址所組成的信道中進(jìn)行傳輸,能夠抵抗惡意的流量分析行為。此外,由于采用了動(dòng)態(tài)地址鏈和滑動(dòng)地址窗口機(jī)制,能夠大大降低對(duì)時(shí)鐘同步的精確度依賴。通過對(duì)IPv6動(dòng)態(tài)地址隧道模型的原型系統(tǒng)開發(fā)和測(cè)試,證明該原型系統(tǒng)在時(shí)延、分組丟失率、時(shí)鐘精度要求以及流量分散能力方面能夠達(dá)到模型的設(shè)計(jì)目標(biāo)。在未來的工作中,將會(huì)對(duì)該模型的加密模式進(jìn)行研究,并對(duì)該模型的關(guān)鍵算法進(jìn)行優(yōu)化,在保證模型的安全性的同時(shí)優(yōu)化性能以應(yīng)對(duì)應(yīng)用中的各種實(shí)際場(chǎng)景。

        1 Stephen G,Matthew D,Randy M,et al.IPv6:nowhere to run,nowhere to hide.Proceedings of the 44th Hawaii International Conference on System Sciences(HICSS),Kauai,USA,2011

        2 Shi L,Jia C,LV S,et al.Port and address hopping for active cyber-defense.Proceedings of the Conference on Intelligence and Security Informatics,Chengdu,China,2007

        3 劉慧生,王振興,郭毅.一種基于多穴跳變的IPv6主動(dòng)防御模型.電子與信息學(xué)報(bào),2012,34(7):1715~1720 Li H S,Wang Z X,Guo Y.An IPv6 proactive network defense model based on multi-homing hopping.Journal of Electronics &Information Technology,2012,34(7):1715~1720

        4 Stephen G,Matthew D,Randy M,et al.MT6D:a moving target IPv6 defense.Proceedings of the Military Communications Conference,Baltimore,USA,2011

        5 Stephen G,Matthew D,Randy M,et al.Implementing an IPv6 moving target defense on a live network.Proceedings of the National Symposium on Moving Target Research,Annapolis,USA,2012

        6 Lin K,Jia C F,Weng C.Distributed timestamp synchronization for end hopping.China Communications,2011,8(4):164~169

        7 Lin K,Jia C F,Shi L Y.Improvement of distributed timestamp synchronization.Journal of China Institute of Communications,2012,33(10):110~116

        8 Sifalakis M,Schmid S,Hutchison D.Network address hopping:a mechanism to enhance data protection for packet communications.Proceedings of the 40th Annual IEEE International Conference on Communications(IEEE ICC),Seoul,Korea,2005

        猜你喜歡
        網(wǎng)關(guān)時(shí)鐘分組
        別樣的“時(shí)鐘”
        古代的時(shí)鐘
        基于改進(jìn)RPS技術(shù)的IPSEC VPN網(wǎng)關(guān)設(shè)計(jì)
        分組搭配
        怎么分組
        分組
        有趣的時(shí)鐘
        時(shí)鐘會(huì)開“花”
        LTE Small Cell網(wǎng)關(guān)及虛擬網(wǎng)關(guān)技術(shù)研究
        應(yīng)對(duì)氣候變化需要打通“網(wǎng)關(guān)”
        太陽能(2015年7期)2015-04-12 06:49:50
        300部国产真实乱| 中国老熟女露脸老女人| 性欧美长视频免费观看不卡| 一区二区三区在线 | 欧| 色综合久久综合欧美综合图片| 亚洲av偷拍一区二区三区| 手机在线播放av网址| 免费无码av一区二区三区| 亚洲gv白嫩小受在线观看| 精品日韩欧美| 国产自拍一区在线视频| 国产成人精品一区二区三区| 亚洲中文字幕无码专区| 99亚洲乱人伦精品| 精品精品国产三级av在线| 欧美三级不卡在线观看| 人妻熟妇乱又伦精品视频app| 天堂Av无码Av一区二区三区| 91精品国产九色综合久久香蕉 | 在线久草视频免费播放| 日韩在线永久免费播放| 久久亚洲私人国产精品| 99riav精品国产| 丰满少妇被爽的高潮喷水呻吟| 欧美日韩亚洲中文字幕二区| 999久久久精品国产消防器材| 欧美极品色午夜在线视频| 狠狠久久精品中文字幕无码| 久久五月精品中文字幕| 色欲一区二区三区精品a片| 99精品免费久久久久久久久日本| 日本一区二区三区中文字幕最新| 97成人精品在线视频| 亚洲av永久无码一区二区三区| 久久久久亚洲av无码网站| 亚洲乱码中文字幕综合| 一区二区三区观看视频在线| 人妻 偷拍 无码 中文字幕 | 国产AV无码专区久久精品网站| 亚洲高清国产拍精品熟女| 嗯啊好爽高潮了在线观看|