（中国人民公安大学信息安全工程系，北京，100038）

摘要：针对网络安全问题，对IP地址的安全性进行了系统化研究，提出了边界路由器和内部路由器的概念，在此基础上提出了在边界路由器中对其管辖局域网IP验证和局域网内部IP地址验证的思路和方法，从而从根本上解决了IP地址不可信的问题，可有效防御IP地址欺骗、DoS攻击等网络安全问题，为相关管理机关管理虚拟空间和侦查办案提供良好的机制。
关键字：系统论、信息安全、IP地址、可信IP地址

The analysis of information security based on IP address
Wang Binjun Bi Qianqian Wang Jingya
(Department of information security, chinese people’s public security university, Beijing, 100038)

Abstrct: To the information security issues, it is discussed systematically the security of IP address. It is first time to propose the conception of joined router and internal router. it is also studied the method of IP-authenticity checking in the joined router and relative local network based on the conception. Through this work, the problem that the IP address is trusted or not is solved completely, it can provide a system to protect against the IP-deceive, the attack of DOS, and it can help relative department effectively manage the Cyberspace, and help police to detect the electronic forensic.
Key words: system theory, information security, IP address, trusted IP address

1、引言
    随着Internet的迅猛发展，计算机技术得到了广泛的普及和应用，计算机的应用已渗透到国家事务、经济建设，以及国防、外交、金融、教育等各个领域，正在深刻影响着人们的生活方式、学习方式，乃至整个社会的协作方式和整体结构。然而，信息技术是一把双刃剑，它在给人们带来便利、促进社会发展的同时，也带来了新的安全隐患和新型的犯罪。据美国权威机构计算机应急响应小组（Computer Emergency React Team，CERT）的统计，1988年~2003年间共收到各类信息安全事件319 992起^[1]，这些只是冰山一角，还存在极大的黑数问题。据美国《金融时报》报道，世界上每20秒就有一起黑客事件发生，有三分之一的防火墙曾经被攻破。世界上约有3万多个黑客网站，黑客的攻击手段多大800多种。每个每年在信息安全方面的损失超过100亿美元，仅2002年2月，美国八大网站同时被黑客攻击，直接经济损失就多达10多亿美元。我国国内的信息安全形式也不容乐观，我国的计算机应急响应小组协调中心（Chinese Computer Emergency React Team/Coordination Center，简称CNCERT/CC）每年的统计数据显示，我国的整体信息安全技术和应用情况比较落后，人们的安全意识不强，信息安全事件不断发生，信息安全问题带来的损失令人担忧。2008年上半年的CNCERT报告显示，中心共接收3291 件非扫描类网络安全事件报告，通过技术平台共捕获约90万个恶意代码，比去年同期增长62.5%。中心进行抽样监测，发现我国大陆地区302526个IP地址的主机被植入木马，境内外约有2 百多万个IP 地址的主机被植入僵尸程序 ^[2]。自从上个世纪80年代深圳出现了国内第一起计算机网络犯罪案件以来，各种传统犯罪在网络空间不断翻新出现：网络诈骗、网络侵财、网络盗窃、网络钓鱼、网络泄密等等，林林总总，曾出不穷。
    在这诸多的信息安全问题中，有一大类问题是与网络的IP地址不可信相关的。在虚拟空间中存在着大量的网络安全事件，例如DoS攻击，其基本攻击过程为：攻击者向受害者发送大量带有虚假地址的请求，由于TCP连接需要三次握手，受害服务器收到请求后，向虚假IP地址发送确认信息，并等待其回传消息。由于IP地址是不可信的，使得受害服务器和虚假IP地址的计算机中充斥着大量的无用的网络数据报信息，占用大量了网络带宽和系统资源，妨碍受害服务器对正常用户服务请求的及时响应，造成服务的性能受损，甚至导致服务中断。再例如，防火墙是网络边界安全的主要防护技术之一，其基本功能（包过滤技术）是指防火墙对流经的数据报的报头进行检查，读取报头中的IP源地址、IP目的地址以及其他的相关信息，并根据一定的规则过滤数据报。如果数据报中的IP源地址并不是真正的发送主机的IP地址，虚假地址可以非常容易的骗过防火墙的检查，从而降低了防火墙功能的有效性。IP地址的不可信也不利于网络安全的正常管理，增加了工作开展的困难度，尤其是公安机关在侦查办案过程中，IP地址是侦破计算机网络犯罪案件的关键所在，IP地址作为计算机证据使用必须经过真实性的验证，虚假IP地址没有使用价值，反而提高了案件侦查取证工作的复杂度，难以追查到网络攻击的真正来源。

2、IP地址剖析
    计算机网络的迅速发展促使了网络七层体系结构标准化的诞生[3]。鉴于OSI七层模型的复杂性，实用的TCP/IP协议族逐渐占领了Internet的市场。TCP/IP标准是一个四层的模型，包括应用层、运输层、网际层和网络接口层。TCP/IP与OSI标准相比较，一个很大的优点就是它充分考虑了异构网上不同主机之间的通信，将网络接口层中不同的“帧”格式转换为统一的“IP数据报”格式，使因特网上不同的主机之间可以进行互通。网际层上的网际协议IP与运输层上的TCP协议一起，构成了TCP/IP体系结构的核心。IP协议为因特网上的每台主机规定了一个唯一的地址，使各个主机之间能够根据这个唯一的地址，进行数据源和目的的定位，从而进行信息通信和交流。

2.1 IP地址的含义
    IP地址就是给每个连接在因特网上的主机（或路由器）分配一个在全世界范围内是唯一的32bit的标示符^[3]。网络系统中的每台主机被IP地址唯一的标识，将IP地址划分为两个字段，即网络号和主机号，网络号标识主机所连接的网络，主机号标识主机本身。IP地址被划分为两级：
IP 地址 ::= { <网络号>， <主机号>}
    在此基础上，为了方便的对IP地址进行管理，根据IP地址中网络号字段和主机号字段长度的不同，对IP地址进行分类：A、B和C类地址为普通的地址，D和E类地址为特殊情况下使用的地址。A类地址以“0”开头，前1个字节为网络地址，后3个字节为主机地址，网内的主机数量比较少；B类地址以“10”开头，由2个字节的网络地址和2个字节的主机地址组成，适用于中型网络；C类地址以“110”开头，网络地址长度为24位，主机地址长度为8位，适用于小型的网络；D类地址以“1110”开头，用作广播地址；E类地址以“1111”开头，用作保留地址。
    为了充分利用有限的IP地址资源，进一步提出了划分子网的概念，将IP地址的两级转换为三级，增加了子网号字段：
IP地址 ::= {<网络号>, <子网号>, <主机号>}

(责任编辑：adminadmin2008)