基于滑動地址窗口的IPv6動態地址隧道模型

馬子川，黃小紅，閆 屾，張 沛

（北京郵電大學網絡技術研究院 北京100876）

1 引言

隨著IPv6應用的不斷推廣和普及，其安全性問題也逐漸得到人們的關注。目前IPv6網絡普遍使用無狀態地址配置（stateless address autoconfiguration，SLAAC）機制實現IPv6主機的地址自動配置，簡化了IPv6地址的配置方式。但是這種機制也給網絡攻擊者可乘之機，網絡攻擊者只要對特定的IPv6地址的流量進行監聽，就能夠收集到特定主機的全部IPv6流量[1]。

然而現有的對網絡層以上的數據安全保護機制所采用的手段主要是對傳輸的數據內容進行加密處理，無法對傳輸雙方的“信道”進行保護。攻擊者只要對特定IPv6地址所對應的“信道”中的完整IPv6流量進行分析，就能夠從流量特征中獲知所使用的網絡協議、操作系統甚至物理位置等信息，并對此分析得到用戶身份，達到竊取用戶隱私數據的目的。

為了應對這個問題，網絡地址跳變傳輸技術應運而生，網絡地址跳變傳輸技術通過將數據流量分散到多對IP地址所構成的多個“信道”中進行傳輸，達到隱藏雙方真實IP地址，對雙方的傳輸“信道”進行隱藏，進而保護傳輸內容不被監聽的目的。由于IPv6有著巨大地址空間的天然優勢，在IPv6網絡中使用網絡地址跳變傳輸技術，傳輸雙方可以使用足夠多的動態IPv6地址建立動態地址連接，可以將監聽者通過流量分析竊取信息的可能降到最低。

國內外對IPv6網絡地址跳變傳輸機制及其相關技術已經有過一些研究，并且提出了多種IPv6網絡地址跳變傳輸方案以及類似的其他方案。參考文獻[2]提出一種基于地址和端口進行跳變傳輸的方案，該方案支持多個客戶端間的地址跳變傳輸，并通過使用時間戳的方式計算所需的動態地址及端口，但這種方式依賴同一個跳變同步服務器對各個客戶端設備進行跳變同步。參考文獻[3]通過將主機的流量分散到不同的鏈路之中來完成地址的跳變傳輸，但同樣依賴中心節點對主機的動態地址進行配置和管理。參考文獻[4,5]提出的方案通過對IPv6地址進行動態混淆，從而得到動態IPv6地址進而達到跳變傳輸的目的，但依賴精確的時鐘進行同步和更新。參考文獻[6,7]針對時鐘同步的需求提出了相應分布式時間戳同步方案。參考文獻[8]中的方案使用共享偽隨機種子的方式生成多組動態IPv6地址，并另辟蹊徑使用分組計數器的方式觸發動態IPv6地址的更新與切換。

由此可以看出，由于IPv6動態地址跳變傳輸要求通信雙方均使用動態地址，因而對動態地址的更新進行同步是動態地址跳變傳輸機制中非常重要的組成部分，也是目前相關研究的重點所在。

本文針對IPv6網絡地址跳變傳輸機制的跳變同步技術進行研究和探索，提出了動態地址鏈（dynamic address chain）的概念，并將滑動地址窗口和動態地址鏈應用于IPv6網絡地址跳變傳輸，能夠在保證IPv6網絡地址高效跳變的同時降低對同步時鐘精度的要求，并在此基礎上提出了基于滑動地址窗口的IPv6動態地址隧道（IPv6 dynamic address tunnel，6DAT）模型。

2 6DAT模型

2.1 6DAT模型結構

6 DAT模型的基本思路是通過在本地子網的邊界處部署6DAT網關，子網中的所有主機通過6DAT網關連接到互聯網。同時，由6DAT網關將子網中主機的IP數據分組封裝于使用動態IPv6地址作為源地址和目的地址的隧道數據分組中，從而達到通過動態IPv6地址建立動態地址隧道進行跳變傳輸的目的。

6 DAT模型的基本結構如圖1所示，子網中的主機通過網關連接到互聯網，當需要使用6DAT進行傳輸時，主機的IP數據分組在本地網關處被封裝為隧道數據分組然后發送到目標網關，目標網關在接收到隧道數據分組之后對其進行解析，然后將原始數據分組轉發到目標子網中的目標主機上。

圖1 6DAT組成結構

6 DAT網關是由動態地址鏈所驅動的網絡設備，如圖2所示，可分為動態地址層和數據轉發層兩個部分。其中動態地址層又包括本地動態地址鏈和對端動態地址鏈，分別為數據轉發層提供動態源地址和動態目的地址。數據轉發層提供了面向主機的接口和面向互聯網的接口，對來自主機的數據分組進行封裝，并對來自互聯網的數據分組進行解析。

圖2 6DAT網關架構

2.2 動態地址鏈

動態地址鏈是由多個動態IPv6地址組成的有序的線性動態IPv6地址池。每個6DAT網關都包含一個本地動態地址鏈和至少一個對端動態地址鏈，6DAT網關必須在初始化本地動態地址鏈和對端動態地址鏈之后才能和對端網關建立動態地址隧道。

表1中展示了一個動態地址鏈的模型，其中每個動態IPv6地址有各自對應的序號，各個動態IPv6地址在動態地址鏈中始終保持有序排列，并按照一定的規則在動態地址鏈上劃分出發送地址窗口和接收地址窗口，分別驅動6DAT的封裝模塊和解析模塊。

表1 IPv6動態地址鏈

2.2.1 動態地址鏈同步機制

由于建立動態地址隧道的兩個對等網關需要獨立計算并更新各自使用的動態地址鏈，若要保證動態地址以及動態地址隧道的持續有效，要求對等網關的動態地址鏈必須有保持同步的能力。

6 DAT模型所采用的動態地址鏈同步機制要求分布于不同網關的各個動態地址鏈擁有相同的更新周期。每隔一個更新周期，各個網關分別計算出需要添加的動態地址序號，并根據動態地址序號計算得到動態地址并添加到各自的動態地址鏈中。因而只要約定一個共同的起始時間戳Timeinitial，就能根據當前的時間戳Timecurrent以及周期T計算得到當前需要添加的地址序號。

采用了上述的地址序號算法之后，并不要求兩個對等網關的時鐘完全精確一致，只要之間的時間戳誤差小于周期T，就能夠同步計算得到相同的地址序號，完成同步操作，極大降低了對時鐘精度的要求。

2.2.2 動態地址算法

根據動態地址鏈同步機制，動態地址算法必須滿足：根據確定的網關地址前綴和地址序號，必須能夠唯一計算得到一個確定的動態IPv6地址。

根據上述要求，可以提出一個適用于6DAT模型的動態地址算法。給定網關前綴Prefix以及地址序號N，就可以計算得到動態IPv6地址。

由于網關前綴和地址序號確定且唯一，該算法能夠計算得到確定且唯一的動態IPv6地址。

2.3 動態地址窗口

動態地址窗口指的是在動態地址鏈上特定的動態IPv6地址區間，包括發送地址窗口和接收地址窗口。

每個動態地址鏈都有對應的發送地址窗口和接收地址窗口，本地動態地址鏈對應著本地發送窗口和本地接收窗口，對端動態地址鏈對應著對端發送窗口和對端接收窗口。

2.3.1 發送地址窗口

根據地址窗口算法，動態地址鏈上按照發送窗口容量劃分出特定的IPv6地址區間作為發送地址窗口。在建立動態地址隧道時，需要從本地發送地址窗口和對端發送窗口中隨機選擇一對動態地址，分別作為動態地址隧道數據分組的源地址和目的地址。

2.3.2 接收地址窗口

相應的，動態地址鏈上按照接收窗口容量劃分出特定的IPv6地址區間作為接收地址窗口。在接收到動態地址隧道數據分組時，需要檢查數據分組的源地址和目的地址是否分別位于對端接收地址窗口和本地接收地址窗口，然后再進行后續處理和轉發。

2.3.3 地址窗口算法

發送地址窗口和接收地址窗口的特性決定了發送地址窗口的容量必須小于接收地址窗口的容量，即發送地址窗口是接收地址窗口的子集。

并且，為了保證發送網關所選擇的發送地址窗口中的動態IPv6地址盡可能落在接收網關的接收地址窗口中，發送地址窗口必須盡可能接近接收地址窗口的中間位置，從而可以得到用于計算發送地址窗口和接收地址窗口的地址窗口算法。

當接收地址窗口起始序號為N以及接收窗口和發送窗口容量分別為WinR和WinS時，接收地址窗口為：

相應的發送地址窗口為：

以圖3所示的動態地址鏈為例，接收地址窗口是一個容量為16的動態IPv6地址區間，動態地址序號范圍為0～15。發送地址窗口是一個容量為8的動態IPv6地址區間，動態地址序號范圍為4～11。

2.3.4 地址窗口滑動

由于發送地址窗口和接收地址窗口均為有限長度的地址區間，為了保證源地址和目的地址的動態性，發送窗口和接收窗口必須定時進行滑動更新。地址窗口滑動情況如圖4所示。

按照動態地址鏈的同步機制，每個動態地址鏈都有各自的更新周期，每隔一個周期，都將計算得到一個新的動態地址并添加到動態地址鏈的末端。與此同時，如果將發送地址窗口和接收地址窗口向地址序號增加的方向移動一個地址空間，就可以完成對發送地址窗口和接收地址窗口的滑動更新操作。

由于發送地址窗口和接收地址窗口均按照一定的周期在動態鏈上進行滑動更新，其動態更新的平滑性就能夠得到保證，能夠最大限度地避免因動態地址切換而帶來的分組丟失等問題。

然而，雖然要求各個網關的動態地址窗口盡力保持同步，但由于不可避免的時鐘精度誤差的存在，總是會有動態地址窗口不一致的情況發生。試想一種情況，由于發送地址窗口沒有精確同步，發送端網關從其發送地址窗口中選取了一對動態地址作為隧道數據分組的源地址和動態地址，但該動態地址對沒有位于接收端網關的發送地址窗口中，如圖5所示。此時由于接收端網關使用接收地址窗口進行動態地址對驗證，只要發送端網關的發送地址窗口分組含于接收端網關的接收地址窗口，就能通過動態地址驗證。6DAT模型中將發送地址窗口和接收地址窗口進行分離式設計的思想正是基于這樣的考慮。

3 6DAT基本工作過程

圖3 發送地址窗口和接收地址窗口

圖4 地址窗口滑動

圖5 動態地址窗口非同步狀態

假設網關A和網關B需要建立動態地址隧道。在網關A和網關B之間建立動態地址隧道時，各自所需的動態IPv6地址來源于動態地址鏈A和動態地址鏈B。為了使網關間的動態地址鏈保持同步，需要共享表2的網關配置信息。

表2 網關配置信息

上述網關間共享配置信息可以通過一定的機制進行帶內配置或者帶外配置。考慮到上述配置信息并不需要頻繁更新，若采用帶內配置會導致額外的開銷以及潛在的安全性問題，因而采用靜態的帶外配置方式。

3.1 初始化

由于動態地址鏈A和B初始狀態均為空，需要先對動態地址鏈進行動態地址填充，由于發送地址窗口分組含于接收地址窗口，因而需要填充的動態地址數量至少為：

將上述步驟得到的兩組動態IPv6地址分別添加到動態地址鏈A和B中：

3.2 發送數據

初始化完成后，根據地址窗口算法，動態地址鏈A和動態地址鏈B的初始發送窗口分別如下。

發送窗口A[StartSA,EndSA]：

發送窗口B[StartSB,EndSB]：

當網關A所在子網的主機向網關B所在子網的主機發送數據時，網關A需要分別從發送窗口A和發送窗口B中隨機選取一對動態IPv6地址作為源地址和目的地址。

如圖6所示，來自主機的數據分組先在網關A處添加6DAT分組頭，封裝成以上述動態地址為源地址和目的地址的6DAT數據分組，然后再發送出去。

圖6 封裝流程

同理，當網關B所在子網的主機需要向網關A所在子網的主機發送數據時，網關B需要分別從發送窗口B和發送窗口A中隨機選取一對動態IPv6地址作為源地址和目的地址。

來自主機的數據分組先在網關B處添加6DAT分組頭，封裝成以上述動態地址作為源地址和目的地址的6DAT數據分組，然后再發送出去。

3.3 接收數據

初始化完成后，根據地址窗口算法，動態地址鏈A和動態地址鏈B的初始接收窗口分別如下。

接收窗口A[StartRA,EndRA]：

接收窗口B[StartRB,EndRB]：

當網關B接收到來自網關A的隧道數據分組時，需要分別檢查隧道數據分組的源地址和目的地址是否分別位于接收窗口A和接收窗口B之中，如果是，則對其進行解析并去除隧道分組頭以獲得原始數據分組，然后將其轉發至網關B所在子網中對應的主機。

相應的，當網關A在接收到來自網關B的隧道數據分組時，需要分別檢查隧道數據分組的源地址和目的地址是否位于接收窗口B和接收窗口A之中，如果是，則對其進行解析并去除隧道分組頭以獲得原始數據分組，然后其轉發至網關A所在子網中對應的主機。

4 模型性能分析

為了對6DAT模型進行驗證，開發了6DAT的原型系統，并對核心功能進行了實現。該6DAT原型系統采用Go語言開發，使用Netfilter Queue并結合Linux系統上的iptables完成對IPv6數據分組的捕獲和處理。部署該6DAT原型系統時使用了如表3所示的實驗環境配置。

圖7 6DAT原型系統測試環境

表3 實驗環境配置

為了對6DAT模型的部署進行模擬，搭建了如圖7所示的測試環境。在兩臺具有雙網卡的服務器上部署了上述6DAT原型系統作為6DAT網關，同時連接另外兩臺計算機作為6DAT主機，并對其進行相關的IPv6地址和路由的配置。

4.1 抗時鐘誤差能力

由于6DAT模型仍然需要時鐘信號驅動動態地址鏈和滑動地址窗口進行更新，而作為一個分布式系統，實際應用中難免有時鐘的精度誤差。通過測量不同時鐘誤差情況下系統的分組丟失率，對6DAT系統的抗時鐘誤差能力進行評估。

仍然選擇發送100個ping報文的方式對分組丟失率進行測試，調整兩個6DAT網關之間的系統時鐘誤差，記錄發送100個ping報文時的分組丟失率。測試結果如圖8所示。

圖8 分組丟失率與時鐘誤差

根據動態地址鏈的同步機制以及地址窗口算法不難得到，若要避免分組丟失，則必須保證發送地址窗口的動態地址全部落入接收地址窗口之中，即發送端的發送地址窗口的邊界在接收端的接收地址邊界以內。據此，可以推算得到最大能夠允許的時鐘誤差為：

在本次實驗中，接收地址窗口為8，發送地址窗口為4，窗口滑動周期為10 s，根據式（25）計算可得最大理論時鐘允許誤差為20 s。而實驗結果顯示，當時鐘誤差大于20 s時系統分組丟失率急劇上升，也驗證了推算是正確的。

4.2 流量分散能力

將發送單位個數的IP數據分組時所使用的“信道”數量，即唯一IP地址對數量，定義為系統的流量分散能力，并且使用該指標評估6DAT系統對惡意流量分析的抵抗能力。

當6DAT并未啟用時，發送端和接收端均使用靜態的IP地址，即自始至終只采用一對IP地址進行傳輸。在這種情況下，流量分散能力與IP數據分組的數量成反比，IP數據分組越多則流量分散能力越弱，也就越容易遭受惡意流量分析攻擊。

在開啟6DAT之后，使用TCPDUMP工具對上述實驗的IP數據分組進行抓取和記錄，并對其進行分析，統計其中唯一的IP地址對數量，得到表4的結果。

表4 IP地址對數量統計

此外，由于動態IP地址對的數量受發送地址窗口的影響，因而選擇在發送100個報文的前提下，測試6DAT原型系統使用不同的發送地址窗口容量時的流量分散能力，測試數據如圖9所示。

由上述實驗結果可以看出，在啟用6DAT之后，主機之間的流量被分散到大量IP地址對所組成的“信道”中。且當發送窗口容量越大，則可用的動態IPv6地址越多，動態IPv6地址對也就越多，流量分散能力越強。若攻擊者對流量進行截獲和分析，獲得全部的完整數據的難度也就會越大，也就越難分析得到通信雙方的真實身份以及通信方式。

圖9 發送窗口容量與流量分散能力

4.3 時延和分組丟失

為了了解系統的時延和分組丟失情況，采用在兩個主機間發送ping報文的方式進行測試。在開啟網關的6DAT功能的情況下，從一臺主機向另外一臺主機分別發送100、500以及1000個ping報文，分別記錄響應時間和分組丟失情況。之后，在關閉網關的6DAT功能的情況下，重復上述實驗，分別再次記錄響應時間和分組丟失狀況，實驗結果見表5。

表5 ping響應時間

從表5中不難發現，開啟6DAT之后，由于存在對IP數據分組的封裝和解析操作，6DAT對IP數據分組的轉發存在一定的時延。對于大部分的IP數據分組，在進行轉發的時候會增加約1 ms的時延，但也有極少部分的IP數據分組在轉發的時候產生了較大的時延。總體來看，6DAT網關對IP數據分組的操作所帶來的時延并沒有給使用過程帶來較大的困擾，但仍然存在優化的空間。

此外，根據測試結果，該6DAT原型系統在分組丟失率方面表現良好，并沒有表現出嚴重的分組丟失情況。

5 結束語

網絡地址跳變技術能夠將通信雙方的流量分散到多組IP地址所構成的信道中進行傳輸，能夠有效防止攻擊者通過流量分析的方式獲知用戶行為，竊取用戶信息。由于IPv6擁有巨大的地址空間，能夠提供足夠多的動態地址用于網絡地址跳變，因而IPv6技術的發展與普及為網絡地址跳變傳輸技術的發展提供了機遇。

本文從IPv6地址跳變傳輸的跳變同步技術這一技術入手，對現有的相關技術進行總結和改進，提出了動態地址鏈的概念，并通過使用動態地址鏈將滑動窗口應用于IPv6跳變地址傳輸技術，在此基礎上提出了基于滑動地址窗口的IPv6動態地址隧道模型。IPv6動態地址隧道模型能夠將流量分散到多對動態IPv6地址所組成的信道中進行傳輸，能夠抵抗惡意的流量分析行為。此外，由于采用了動態地址鏈和滑動地址窗口機制，能夠大大降低對時鐘同步的精確度依賴。通過對IPv6動態地址隧道模型的原型系統開發和測試，證明該原型系統在時延、分組丟失率、時鐘精度要求以及流量分散能力方面能夠達到模型的設計目標。在未來的工作中，將會對該模型的加密模式進行研究，并對該模型的關鍵算法進行優化，在保證模型的安全性的同時優化性能以應對應用中的各種實際場景。

1 Stephen G,Matthew D,Randy M,et al.IPv6:nowhere to run,nowhere to hide.Proceedings of the 44th Hawaii International Conference on System Sciences(HICSS),Kauai,USA,2011

2 Shi L,Jia C,LV S,et al.Port and address hopping for active cyber-defense.Proceedings of the Conference on Intelligence and Security Informatics,Chengdu,China,2007

3 劉慧生，王振興，郭毅.一種基于多穴跳變的IPv6主動防御模型.電子與信息學報，2012,34(7):1715～1720 Li H S,Wang Z X,Guo Y.An IPv6 proactive network defense model based on multi-homing hopping.Journal of Electronics &Information Technology,2012,34(7):1715～1720

4 Stephen G,Matthew D,Randy M,et al.MT6D:a moving target IPv6 defense.Proceedings of the Military Communications Conference,Baltimore,USA,2011

5 Stephen G,Matthew D,Randy M,et al.Implementing an IPv6 moving target defense on a live network.Proceedings of the National Symposium on Moving Target Research,Annapolis,USA,2012

6 Lin K,Jia C F,Weng C.Distributed timestamp synchronization for end hopping.China Communications,2011,8(4):164～169

7 Lin K,Jia C F,Shi L Y.Improvement of distributed timestamp synchronization.Journal of China Institute of Communications,2012,33(10):110～116

8 Sifalakis M,Schmid S,Hutchison D.Network address hopping:a mechanism to enhance data protection for packet communications.Proceedings of the 40th Annual IEEE International Conference on Communications(IEEE ICC),Seoul,Korea,2005