（应用数学专业论文）ipsec+vpn在ipv6中的研究与实现.pdf

河南大学硕士研究生学位论文第1 页 摘要 网络安全一直是网络技术研究领域中最重要的课题之一。 本文从网络安全的现状谈起，分析了网络安全问题的存在原因和目前 常见的攻击手段，提出了增强网络安全所应具有的安全服务及相应的实现 技术，进而引入了虚拟专用网技术。在简要介绍i p v 6 协议的由来和优点 之后，详细阐述了虚拟专用网的概念、特点、安全技术及实现的关键隧道 协议，通过对实现技术的分析比较，选用了安全性强大的i p s e c 隧道技术， 接着深入研究了i p v 6 安全协议i p s e c 的体系结构、操作模式，详细论述 了i p s e c 协议簇的各个组成部分，如认证报头a h 协议、封装安全载荷e s p 协议、密钥管理i k e 协议、加密认证算法、安全联盟和安全策略等，以及 这些组件之间如何协作，来共同实现对网络层i p 数据包的安全保护。 本文鉴于i p v 6 中i p s e c 对网络性能的影响要远小于i p v 4 和i p v 4 中 v p n 技术与n a t 之间难以调和的矛盾，从而得出在i p v 6 中开展v p n 的 研究更有实际意义。目前，国内关于支持i p v 6 的i p s e cv p n 的研究工作 大多停留在理论阶段，真正实现较少，本论文正是将研究重点放在了具体 实现上，通过比较i p s e c 在i p v 6 中的3 种实现方式，选用了i p s e c 与o s 源码开放的集成方式。本论文的主要工作及个人成果有以下几个方面： 1 给出了实现虚拟专用网的几个关键隧道技术，通过详细的分析比 较，选取目前较为理想的实现技术i p s e c 隧道协议，深入研究了 i p s e c 协议簇的体系结构、操作模式、a h 协议、e s p 协议、i k e 协议及i k e 协商的两个阶段。 2 综合和借鉴了i p v 4 中实施v p n 的成功经验，充分考虑到i p s e c 在i p v 4 和i p v 6 中实现的差别，提出了将k a m ep r o j e c t 开发的 i p s e c t o o l s 与l i n u x 内核集成来实现支持i p v 6 的i p s e c 。 3 针对不同信息流和用户需求，提出了5 种可行的支持i p v 6 的i p s e c v p n 解决方案，并在l i n u x 平台上使用i p s e c t o o l s 分别进行了设 计和实现，还进行了相关的测试。 关键词：网络安全；i p v 6 ；虚拟专用网；i p s e c ：i p s e cv p n 第1 i 页河南大学硕士研究生学位论文 a b s t r a c t n e t w o r ks e c u r i t yi sa l w 8 y so n eo ft h em o s ti m p o r t a n tp r o b l e m si nt h e r e s e a r c ho fn e t w o r k a tt h eb e g i n n i n go ft h i sd i s s e r t a t i o n ，w ed i s c u s s e dt h es t a t eo fs e c u r i t y o ni n t e r n e t ，a n a l y z e dt h ef a c t o r sc a u s e df r a n g i b i l i t yo fi n t e m e t 釉df a m i l i a r v u l n e r a b 订i t i e s ，a n dp u tf o r w a r ds o m em e a n st os e c u r ei n t e r n e t ，t h e r e b y i m p o r t e dv i r t u a lp r i v a t en e t w o r k ( v p n ) t e c h n o l o g y a f t e rt h eb “e n yp r e s e n t t h eo r i g i na n df e a t u r e so fi n t e r n e tp r o t o c o lv e r s i o n6 ( i p v 6 ) ， t h ep a p e r d e t a i l e d l yi n t r o d u c e d t h e c o n c e p t i o n ， c h a r a c t e r s ，s e c u r i t yt e c h n o l o g i e s o f v p n ，a n dm a i nt u n n e lp r o l o c o l su s e dt oi m p l e m e n ta n dd e p l o yv p n s a f t e r a n a l y z i n ga n dc o m p a r i n gt h e s et e c h n o l o g i e so fr e a l i z i n gv p n s ，w ec h o o s a d i p s e c t h e n ，t h ep a p e ra n a l y z e di nt h ei p s e cs t r u c t u r e ，f h n c t i o n ，w o r km o d e ， a n di t sc o m p o n e n t ss u c ha sa u t h e n t i c a t i o nh e a d e r ( a h ) ，e n c a p s u l a t i n g s e c u r i t yp a y l o a d ( e s p ) ， i n t e m e tk e ye x c h a n g e( i k e ) ，e n c r y p t i o na n d a u t h e n t i c a t i o na l g o r i t h m s ，s e c u r i t ya s s o c i a t i o n ，s e c u r i t yp o l i c y ，孤dh o w t h e yc o o p e r a t ew i t he a c ho t h e ri no r d e rt os e c u r ei pp a c k a g e s c o n s i d e r i n gt h eb e t t e rn e t w o r kp e r f o r m a n c eo fi p v 6e n a b l e di p s e ct h a n i p v 4a n dt h ec o n t r a d i c t i o n sb e t w e e nt r a d i t i o n a lv p na dn a ti ni p v 4 n e t w o r k ，s ot h ep a p e re d u c e dt h er e s e a r c ho ni p v 6v p ni sm o r es i g n i f i c a n t a tp r e s e n t ，m o s ts t u d i e so ni p v 6e n a b l e di p s e cv p nr e s t e do nt h e o r y ，l e s s a b o u tr e a l i z a t i o n t h i sp a p e rj u s ta b o u tp u tt h em a i nf e s e a r c hw o r ko nt h e r e a l i z a t i o n a f t e rc o m p a r i n gt h r e ei m p i e m e n t a t i o nm o d e so fi p s e ci ni p v 6 ， t h ep a p e rc h o o s e dt h em o d eo fi n t e g r a t i n go ss o u r c ec o d e sw i t hi p s e c t h e m a i nw o r ka n dr e s e a r c hp f o d u c t i o n so ft h i sd i s s e n a t i o na r e ： 1 p r e s e n t e ds o m ek e yt u n n e l i n gt e c h n o l o g i e sw h a tr e a l i z e dv p n s ，a n d c h o o s e di p s e ct o i m p l e m e n t v p n s l u c u b r a t e do ni p s e c s f r a m e w o r k ，f u n c t i o n ，w o 出m o d e ， a n dc o m p o n e n t ss u c ha sa h 河南大学硕士研究生学位论文 第l ii 页 p r o t o c o l ，e s pp r o t o c o l ，i k ep r o t o c o la n dt w op h a s e so fn e g o t i a t i o n o f i k e 2 c o l l i g a t e d a n du s e df o rr e f e r e n c eo fs u c c e s s f u le x p e r i e n c e so f r e a l i z i n g v p n si ni p v 4n e t w o r k 。 a n da d e q u a t e l yc o n s i d e r e d d i f f b r e n c e so fr e a l i z i n gv p n si ni p v 4a n di p v 6n e t w o r k ，t h e np u t f o r w a r dt h em e t h o da b o u ti n t e g r a t i n gi p s e c - t o o l si n t ol i n u xk e m e l t or e a l i z ei p v 6e n a b l e di p s e c 3 a c c o r d i n gt ov a r i o u sn o w sa n du s e r sr e q u i r e m e n t s ，d e s i g n e da n d i m d l e m e n t e df i v ei p v 6 e n a b l e di p s e cv p ns o l u t i o n sb a s e d o n i p s e c t b o l sa n dl i n u xp l a t f b r m ，t h e nt e s t e dt h e s ei p s e cv p n s o h l t i o n s k e yw o r d s ： n e t w o r ks e c u r i t y ；i p v 6 ；v i r t u a lp r i v a t en e t w o r k ( v p n ) ；i p s e c ； i p s e cv p n 关于学位论文独立完成和内容创新的声明 y 9 n 1 2 学位获得者( 学位论文作者) 鍪名： 注意：请在相应的“口”内划“， 件 绎卓垮 月日 河南大学硕士研究生学位论文第1 页 1 1 网络安全现状 第1 章绪论 进入2 l 世纪，随着计算机和通信技术的不断发展，网络已渗透到社会 实践的各个领域，人们对网络中信息的安全性也越来越重视。i n t e m e t 的互 联性和开放性使信息的交换与共享成为现实的同时，也为黑客和计算机犯罪 提供了可乘之机。自1 9 8 3 年1 1 月1 0 日第一个电脑病毒开始算起，全球电 脑病毒已经历了二十多年，目前世界上约有6 万多种电脑病毒，它们已经从 最初给用户带来小麻烦，发展至今天的严重威胁到网络安全。2 0 0 3 年8 月 “冲击波( w o r m b l a s t e r ) ”病毒发作，在短短2 4 小时内，全球就有1 4 0 万 台以上电脑被入侵，这个利用微软r p c 漏洞进行传播的蠕虫病毒至少攻击 了全球8 0 的w i n d o w s 用户，使他们的计算机反复重启以致无法正常工作， 对计算机讵常使用和网络运行造成了严重影响，该病毒还引发了d o s 攻击， 使多个国家的互联网受到了相当大的影响。 虽然网络和信息安全已成为人们同益关注的核心问题，但网络安全技术 仍然跟不上网络发展的步伐网路攻击手段层出不穷，网络安全的整体水平 有待提高。如果没有安全设置，公用网络与专用网络就易于遭受未经授权的 监视与访问。目前常见的网络攻击主要有以下几种： 1 网络窃听 目前大多数网络通信都是以明文格式出现的，这就会使获取了网络中数 据路径的攻击者可以乘机监视并破解通信。攻击者窃听通信即为窃听。一般 说来，窃听者监视网络即为网络管理员面临的最大安全问题。没有基于加密 的强有力的加密服务，数据就很容易在网络上传输时被其他人读耿。 2 数据修改 攻击者读取数据之后，下一个逻辑步骤通常就是修改数据，他可以在发 送者或接收者未察觉的情况下恶意修改数据包中的数据。 3 伪造i p 地址 大多数网络与操作系统都使用【p 地址将计算机标识为网络上有效，但 有些情况下，i p 地址很可能被伪造即伪造标识。攻击者可能使用特殊程序 构造i p 数据包，使数据包看起来是来自组织内部网内的有效地址，通过有 第2 页河南大学硕士研究生学位论文 效i p 地址获取网络访问权后，攻击者即可修改、重新路由或删除数据。 1 2 网络安全目标和技术 在现有网络安全体系中，根据i s 0 7 4 9 8 2 ，增强网络安全主要需要实现 以下几种安全服务( s e c u “t vs e r v i c e s ) ： 认证。包括对等实体认证、数据原发认证。通过认证来提供对某个 实体( 人或系统) 或某个事务合法身份的真实确认，认证服务是防 止伪造i p 地址攻击的有效方法。 访问控制。实现保护网络资源，它是防止未授权用户非法使用和操 作网络数据的一种安全措施。 机密性。包括连接机密性、无连接机密性、选择字段机密性和通信 业务流机密性。机密性是保护网络系统中的敏感数据不被泄露给未 授权实体的安全措施，它是对付窃听网络攻击手段的有效方法。 完整性。包括带恢复的连接完整性、不带恢复的连接完整性、选择 字段的连接完整性、无连接完整性和选择字段的无连接完整性。完 整性确保数据在不同时刻的一致性，防止被非授权的实体建立、修 改或破坏，它是对付数据修改网络攻击手段的有力武器。 抗否认。包括有数据原发证明的抗否认、有交付证明的抗否认。抗 否认防止参与某次通信交换的一方事后否认本次交换曾经发生过， 它主要用来保护通信用户免遭来自于系统其它合法用户的威胁，而 不是来自未知攻击者的威胁。 在实际的网络安全防护系统中，可以使用各种不同的安全应用柬增强网 络系统的安全性。安全应用是由上面所示的安全服务中的2 种或几种组合起 来实现，而每种安全服务又是各种具体的网络安全技术手段来实现的，常用 的网络安全的技术手段有： 认证技术。确保通信的对方是合法用户而不是假冒的攻击者。 加密技术。防止有价值的敏感信息在网络上被截获和窃听。 完整性鉴别技术。验证数据在传送过程中是否被增删、篡改，即验 证数据在传输前后的一致性是否遭到破坏。 数字签名技术。数字签名在信息安全，包括身份认证、数据完整性、 不可否认性以及匿名性等方面有重要作用。 时戮技术。为防止网络重播攻击，一般采用对网络传送消息加盖时 戳的方法。 河南大学硕士研究生学位论文第3 页 一些专门保护网络安全的技术研究己在广泛而深入地进行。其中，认证 和加密是两种最行之有效的技术，而基于i p v 6 中i p s e c 安全机制的v p n 则 综合了这两种技术。 1 3 国内外研究现状 作为新一代网络协议的i p v 6 是建立安全、可靠、高效i p 网络的长期解 决方案，其先进性和灵活性j 下在得到越来越多人的认可，关于i p v 6 的各项 研究也在全世界火热的进行着。i p s e c 为i p v 4 和i p v 6 提供了具有较强互操 作能力、高质量和基于密码的安全，在网络层实现多种安全服务。数据在通 过公共网络传输时，通过基于i p s e c 的网络设备，就不用担心被监视、篡改 和伪造。 虚拟专用网最早出现于2 0 世纪9 0 年代中期，其目的是用运行于公网上 的网络隧道技术代替传统的专用网，以降低组网成本。虽然虚拟专用网作为 一种安全技术已得到广泛的发展和应用，但对于虚拟专用网的概念一直没有 统一的认识，即使是a t m 论坛和i e t f 组织对v p n 也只有参考草案，因此 各厂家的v p n 组网方案相互之间不能通用，在所有的方案中，以m i c r o s o f t 和a s c e n d 公司开发的p p t p 协议( p o i n tt op o i n tt u n n e l i n gp r o t o c 0 1 ) 、c i s c o 公司提出的l 2 t p ( l a y e r2t u n n e i i n gp r o t o c 0 1 ) 协议和i e t f 制定的i p s e c 安全 协议为基础的v p n 组网技术最为成熟。 自i e t f 推出i p s e c 协议以来，很多厂商已将i p s e c 应用于i p v 4 网络中。 l i n u xf r e e s w a n 是较早实现i p s e c 安全协议的项目组，但仅支持i p v 4 ，由 于进度缓慢，于2 0 0 4 年停止研究工作，后来分裂为0 p e n s w a n 和s t r o n g s w a n 。 关于支持i p v 6 的i p s e c 协议实现的研究工作在全世界都广泛进行着，目前 技术较为领先的有k a m ep r o i e c t 丌发的i p s e c t 0 0 l s ：u s a g i ( u n i v e r s a l p l a y g r o u n df o ri p v 6 ) p r o i e c t 开发的i p s e c 代码：0 p e n s w a n 项目组开发的 o p e n s w a n ：s t r o n g s w a n 项目组丌发的s t r o n g s w a n ； m i c r o s o f tw i n d o w s2 0 0 0 及以上版本中随i p v 6 协议栈一同发布的i p s e c 代码等等。由于i p s e c 协议强 大的安全性能，已成为组建v p n 的首选方案。 就i p v 6 网络中i p s e c 的研究来说，国内较早丌始研究的是北京邮电大 学和中国科技大学，国外的一些研究组也从未停止过。综合国内情况来看， 支持i p v 6 的i p s e cv p n 的研究大多停留在理论阶段，真正实现很少。本文 j 下是就此方向展开研究，希望能对国内的此项研究工作有所贡献。 第4 页河南大学硕士研究生学位论文 1 4 课题引入的背景和意义 1 4 1 课题背景 本人自读硕以来，一直在我校的网络中心进行学习和科研工作。我校网 络中心，不仅承担着本校校园网的建设、管理和维护，而且一直致力于计算 机网络各种前沿技术的跟踪与研究。我中心于2 0 0 3 年1 1 月开始有关i p v 6 的研究工作，于2 0 0 5 年初加入我国第一个i p v 6 全国主干网c e r n e t 2 试验 网，接着于2 0 0 5 年5 月成功组建了河南大学i p v 6 丌放实验室，目前已经在 该实验室组建了基于终端系统的测试平台和基于高端系统的测试平台，完成 了许多【p v 6 实验，并进行着i p v 6 的原理分析工作和测试工作。目前可以提 供i p v 6w w w 服务、i p v 6f t p 服务、i p v 6d n s 等多种网络服务，并可对校 园网用户提供隧道接入服务。 而网络安全作为网络技术的一个重要研究课题，无论是出于对校园网管 理、维护和安全的需要，还是纯粹为了科研的需要，勿庸置疑也成了我们的 研究目标。正是有了如上所述的i p v 6 研究基础，此课题才得以进行。 1 4 2 课题意义 目前成熟的v p n 组网方案都是基于i p v 4 协议，由于i p v 4 协议本身的 特点，它在v p n 实现过程中存在诸多难点，不妨与i p v 6 下的v p n 作以比 较。 首先，在i p v 4 协议中由于不允许所传的i p 数据包有多个报头存在，故 它只能将原来的i p 包封装在新的i p 包中。因此，必须在发送方节点将i p 包分段，并在接受方节点将其重组，这将会大大降低系统的传输效率。而在 i p v 6 网络中，无论i p 数据包的大小如何，系统对该数据包的传输开销是相 对固定的【2 1 。因此，在i p v 6 网络中实现v p n 对网络性能产生的影响将远远 小于i p v 4 网络。 其次，在i p v 6 报头的字段中定义了数据流的识别和处理。i p v 6 报头格 式中流级别( t r a m cc l a s s ) 字段用于优先级的设置，流标识( f l o wl a b e i ) 字段 用于识别数据流身份【3 1 。利用这两个字段就可以对不同的服务需求进行分级 和标识，路由器可以根据字段辨认出具有相同服务级别的数据流的所有数据 包，并按要求对这些包进行相应的处理，从而提供相应的q o s 支持。因此 建立在i p v 6 基础上的v p n 系统就能够获得较好的q o s 。 再则，在i p v 4 网络中为缓解地址不足的压力，需要使用n a t ( 网络地 河南大学硕士研究生学位论文第5 页 址转换) 【4 】来改变i p 数据包的报头。由于n a t 破坏了端到端的连接，在通 过i p s e cv p n 对i p 数据包进行认证时，就会出现一些难以调和的矛盾【5 j 。 而在纯i p v 6 网络中，地址空间充足，不需要使用n a t 柬改变i p 报头，在利 用i p s e c 协议对i p 数据包报头进行认证时，不存在v p n 与n a t 同时使用时 存在的矛盾。因此，在i p v 6 网络中构建v p n 效果会更理想。 鉴于上述诸多优点，本文拟订在i p v 6 中构建基于i p s e c 的v p n 。 1 5 论文的研究工作和结构安排 本文从网络安全问题引入虚拟专用网技术，研究了实现虚拟专用网的各 种隧道协议，深入研究了【p v 6 安全协议i p s e c 的体系结构、操作模式、工 作原理和主要组件a h 和e s p 安全协议、i k e | 办议等，以及这些组件如何相 互协作来共同完成对i p 层数据的安全保护。在这些理论基础上，展开了支 持i p v 6 的i p s e cv p n 的研究和实现。本文重点研究了在l i n u x 平台上使用 k a m e 开发的i p s e c t o o l s 实现支持i p v 6 的i p s e cv p n 技术，通过对l i n u x 内核的重新编译，实现了对i p v 6 的支持，在此平台基础上，提出了多种可 行的支持i p v 6 的i p s e cv p n 解决方案，并分别进行设计和实现，还进行了 相关测试。 本文共分为5 章，具体如下： 第l 章，从网络安全现状谈起，分析了目前常见的网络攻击类型，提出 了增强网络安全的技术手段，从而引入v p n 技术，得出在i p v 6 环境中设计 和实现i p s e cv p n 的必要性和迫切性。 第2 章，简要介绍了i p v 6 的由来和优点。 第3 章，介绍了虚拟专用网的概念、类型、安全技术及实现的关键隧道 协议，并对v p n 实现技术进行比较，选取了目前应用广泛的i p s e c 协议来 实现。 第4 章，介绍了i p s e c 的体系结构、实现功能、操作模式及工作原理， 重点研究了i p s e c 的主要组件a h 和e s p 安全协议、密钥管理i s a k m p 和 i k e 协议、安全联盟和安全策略等。以及它们之间如何共同协作来完成对i p 层的数据保护。 第5 章分析了l i n u x 平台下i p s e c t o o l s 的i p s e c 实现机制，介绍了 r a c o o n 的运行流程。通过对l i n u x 内核的修改，使其支持i p v 6 ，为实验的 成功奠定基础。针对不同通信流和用户需求，提出了几种支持i p v 6 的i p s e c 第6 页河南大学硕士研究生学位论文 v p n 解决方案，然后进行了实现和测试。 最后，对本文工作进行了总结，分析了论文的不足之处，指出了今后进 一步的完善工作和研究方向。 河南大学硕士研究生学位论文第7 页 第2 章ip v 6 综述 传统的互联网在f p v 4 协议基础上经历了长时问的发展后，暴露了很多 缺点在i p v 4 协议基础上的一些修修补补并非长久之计为此i p v 6 应运而 生。本章首先介绍了传统i p v 4 的缺点和i p v 6 的诞生，随后介绍了i p v 6 的新 特点。 2 1 ip v 6 的诞生 互联网的成功发展给人们的生活带来了重大的变化，互联网的影响已经 渗透到社会的各个方面。与此同时，互联网的发展也成为国家信息化和现代 化建设的重要组成部分，并产生了重大的经济效益和社会效益。但随着互联 网应用的发展目前基于f p v 4 的互联网在实际应用中越来越暴露出其不足之 处。这些问题主要包括：有限的地址空间，路由选择效率不高，缺乏服务质 量保证，安全性不高，配置复杂，对移动性支持也不好等1 6 j 。 以上这些问题已经成为制约互联网发展的重要障碍，只有通过下一代互 联网协议i p v 6 ，才能彻底、有效的解决上述问题【z 7 】。 i p v 6 协议的研究起源于2 0 世纪9 0 年代初，该协议是i e t f 在比较多种 i p n 卫( i p n e x t g e n e r a t i o n ) 方案的基础上，最后以简单互联网协议增强( s i p p ) 为基础加以改进而形成的。i p v 6 协议最初的草案是1 9 9 5 年由c i s c o 公司的 s t e v e d e e r i n g 和n o k i a 公司的r o b e r t h i n d e n 起草完成的，即r f c 2 4 6 0 ，1 9 9 8 年i e t f 对r f c 2 4 6 0 进行了较大改进形成了现有的r f c 2 4 6 0 ( 1 9 9 8 年版) 。 i p v 6 的其它标准也陆续由i e t f 的相关工作组制定出来。 2 2ip v 6 的特点 1 简化的包头和灵活的扩展 i p v 6 对数据包进行了简化，以减少处理器丌销并节省网络带宽。【p v 6 的包头由一个基本包头和多个扩展包头构成，基本包头具有固定的4 0 字节 长度，放置所有路由器需要处理的信息，由于i n t e m e t 上的绝大部分包都只 是被路由器简单地转发，因此固定的包头长度有助于加快路由速度。i p v 4 第8 页河南大学硕士研究生学位论文 的包头有1 5 个域，而i p v 6 的包头只有8 个域，i p v 4 的包头长度是由h l 域 来制定的而i p v 6 包头是固定4 0 字节，这就使得i p v 6 变得极其灵活，能 提供对多种应用的强力支持，同时又为以后支持新的应用提供了可能。这些 包头被放置在i p v 6 包头和上层包头之阳j 每一个都可以通过“下一个包头” 的值来确认。除了携带在传输路径上每一个结点都必须进行处理的逐跳选项 包头外，扩展包头只有在它到达了i p v 6 的包头中所指定的目标结点时才会 得到处理( 当多点传送时，则是所规定的每一个目标结点) 。在目标结点i p v 6 的下一个包头域中使用标准的解码方法调用相应的模块去处理第一个扩展 包头( 如果没有扩展包头，则处理上层包头) 。每一个扩展包头的内容和语 义决定了是否去处理下一个包头，因此，扩展包头必须按照它们在包中出现 的次序依次处理。j 2 层次化的地址结构 i p v 6 对现有的i p 地址长度扩大到4 倍，由当前i p v 4 的3 2 位扩展到1 2 8 位以支持大规模数量的网络结点，这样i p v 6 的地址总数大约有3 4 + 1 0 3 8 ( 2 1 2 8 ) 个，平均到地球表面上，每平方米将可以获得6 5 + 1 0 2 3 个地址，据 称，i p v 6 让地球上每粒沙子都有i p 。i p v 6 支持更多级别的地址层次，其设 计者把i p v 6 的地址空间按照不同的地址前缀来划分，并采用了层次化的地 址结构以利于骨干网路由器对数据包的快速转发。i p v 6 定义了三种地址类 型：单播地址( u n i c a s ta d d r e s s ) 、组播地址( m u l t i c a s ta d d r e s s ) 和泛播地 址( a n y c a s ta d d r e s s ) 。 3 即插即用的联网方式 i p v 6 把自动将i p 地址分配给用户的功能作为标准功能，只要机器一连 接到网络上便可以自动设定地址。它有两个优点：一是最终用户用不着花精 力进行地址设定，二是可以大大减轻网络管理者的负担。i p v 6 有两种自动设 定的功能，一种是和i p v 4 自动设定功能一样，称为全状态自动配置( s t a t e f u l a u t o c o n f i g u r a t i o n ) ，另一种是无状态自动配置( s t a t e l e s s a u t o c o n f i g u r a t i o n ) 。 在i p v 4 中，动态主机配置协议( d y n a m i ch o s tc o n f i g u r a t i o np r o t o c o l ， d h c p ) 【8 】实现了主机i p 地址及其相关配置的自动设置。一个d h c p 服务器 拥有一个i p 地址池，主机从d h c p 服务器租借i p 地址并获得有关的配置信 息，如默认网关和d n s 服务器等，由此达到自动设定主机i p 地址的目的。 i p v 6 继承了i p v 4 的这种自动配置服务，并将其称为全状态自动配置( s t a t e f u l a u t o c o n f i g u r a t i o n ) 【9 1 。 在无状态自动配置( s t a t e l e s sa u t o c o n f i g u r a t i o n ) 【“】过程中，主机首 先通过将其网卡m a c 地址附加在链接本地地址前缀1 l l l l l lo l o 之后产生一 河南大学硕士研究生学位论文第9 页 个链路本地单播地址，接着主机向该地址发出一个被称为邻居发现 ( n e i 曲b o rd i s c o v e r y ，n d ) 【”】的请求以验证地址的唯一性，如果请求没有 得到响应，则表明主机自我设置的链路本地单播地址是唯一的，否则，主机 将使用一个随机产生的接口i d 组成一个新的链路本地单播地址，然后以浚 地址为源地址主机向本地链路中所有路由器多点传送一个被称为路由器查 询请求的配置信息，路出器以一个包含可聚合全球单播地址前缀和其它相 关配置信息的路由器公告响应该请求主机用它从路由器处得到的全球地址 前缀加上自己的接口i d 自动配置全球地址，然后就可以与i n t e m e t 中其它主 机通信。使用无状念自动配置无须手动干预就能改变网络中所有主机的i p 地址。 4 网络层的认证和加密 安全问题始终是i n t e r n e t 的一个重要话题。由于在i p 协议设计之初并没 有考虑到安全性，因而早期的i n t e r n e t 上时常发生企业或机构网络遭到攻击 和机密数据被窃取等事情。为了加强i n t e r n e t 安全性，从1 9 9 5 年开始，i e t f 着手研究一套用于保护i p 通信的i p 安全( i n t e m e tp r o t o c o ls e c u r i t y i p s e c ) 协议，i p s e c 是i p v 4 的一个可选扩展协议，是i p v 6 的一个必要组成部分。 i p s e c 的主要功能是在网络层对数据分组提供加密和认证等安全服务， 它提供了两种安全机制：认证和加密。认证机制使i p 通信的数据接收方能 够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动；加密机 制通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被他人 截获而失密。作为i p v 6 的一个组成部分，i p s e c 是一个网络层协议，它只负 责其下层的网络安全，并不负责其上层应用的安全，如w e b 、电子邮件和文 件传输等，也就是说，验证一个w e b 会话依然需要使用s s l 协议，不过， t c p i p v 6 协议簇中的协议可以从i p s e c 中受益，例如，用于i p v 6 的o s p f v 3 路由协议【l3 j 就去掉了用于i p v 4 的o s p f 中的认证机制。 关于i p s e c 协议簇的详细介绍见论文第四章。 5 服务质量的满足 基于i p v 4 的i n t e r n e t 在设计之初只有一种简单的服务质量，即采用“尽 力而为”( b e s te f f b r t ) 传输，从原理上讲服务质量( q o s ) 是没有保证的。 文本和静态图像等传输对o o s 并无要求，随着i p 网上多媒体业务的增加， 如i p 电话、v o d 和电视会议等实时应用，对传输延时和抖动都有严格的要 求。i p v 6 数据包的格式包含一个8 位的业务流类别( c i a s s ) 和一个新的2 0 位流标签( f l o wl a b e l ) ，最早在r f c l 8 8 3 中定义了4 位的优先级字段，可 以区分1 6 个不同的优先级，后来在r f c 2 4 6 0 中改为8 位的类别字段，其数 第10 页河南大学硕士研究生学位论文 值和如何使用还没定义，其目的是允许发送业务流的源结点和转发业务流的 路由器在数据包上加上标记并进行除默认处理之外的不同处理。一般来说， 在所选择的链路上，可以根据丌销、带宽、延时或其它特性对数据包进行特 殊的处理。 6 对移动通信更好的支持 未来移动通信与互联网的结合将是网络发展的大趋势之一。移动互联网 将成为f 1 常生活的一部分，并改变生活的方方面面。移动互联网不仅仅是移 动接入互联网，它还提供一系列以移动性为核心的多种增值业务，如查询本 地化信息、远程控制工具、无线互动游戏及购物付款等。移动i p v 6 的设计 汲取了移动i p v 4 的设计经验，并且利用了i p v 6 的许多新特性，所以提供了 比移动i p v 4 更多更好的特点。移动i p v 6 成为i p v 6 协议不可分割的一部分。 河南大学硕士研究生学位论文第”页 第3 章虚拟专用网的研究 虚拟专用网( v i r t u a lp r i v a t en e t w o r k ，v p n ) 指的是通过利用对两个专 用终端之间的通讯进行加密的方式在公用的i n t e r n e t 上模拟出专用网络【1 4 1 ， 它在连通性、服务质量和保密性等方面与现存的典型专用网络具有相同的性 能。本章在介绍虚拟专用网的由来、要求、类型、安全技术和实现技术的基 础上，展开了对实现虚拟专用网的隧道技术的深入研究。 3 1 虚拟专用网概述 3 1 1 虚拟专用网的由来 虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专 用网指的是依靠i s p ( i n t e r n e ts e r v i c ep r o v i d e r ，i n t e m e t 服务提供商) 和其 它n s p ( n e t w o r ks e r v i c ep r o v i d e r ，网络服务提供商) ，在公用网络中建立专 用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没 有传统专网所需的端到端的物理链路而是利用某种公用网的资源动态组成 的。i e t f 草案理解基于i p 的v p n 为“使用i p 机制仿真出一个私有的广域 网”是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。 所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用i n t e r n e t 公用数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一 个最符合自己需求的网络。 用户现在在电信部门租用的帧中继( f r a m er e l a y ) 与a t m 等数据网络 提供的固定虚拟线路( p e r m a n e n tv i r t u a lc i r c u i t p v c ) 来连接需要通讯的 单位，所有的权限掌握在别人的手中。如果用户需要一些别的服务，需要填 写许多单据，再等上相当一段时间，才能享受到新的服务。更为重要的是两 端的终端设备不但价格昂贵，而且管理也需要一定的专业技术人员，无疑增 加了成本，而且帧中继、a t m 数据网络也不会像i n t e m e t 那样，可立即与世 界上任何一个使用i n t e r n e t 网络的单位连接。而在i n t e r n e t 上，v p n 使用者 可以控制自己与其他使用者的联系，同时支持拨号的用户。 所以我们说的虚拟专用网一般指的是建立在i n t e m e t 上能够自我管理的 专用网络，而不是f r a m er e l a y 或a t m 等提供固定虚拟线路( p v c ) 服务的 第1 2 页河南大学硕士研究生学位论文 网络。以i p 为主要通讯协议的v p n ，也可称之为基于i p 的v p n 。 由于v p n 是在【n t e m e t 上临时建立的安全虚拟专用网络，这样用户就节 省了租用专线的费用，在运行的资金支出上，除了购买v p n 设备，企业所 付出的仅仅是向企业所在地的i s p 支付一定的上网费用，也节省了长途电话 费。这就是v p n 价格低廉的原因。 越来越多的用户认识到，随着i n t e r n e t 和电子商务的蓬勃发展，经济全 球化的最佳途径是发展基于i n t e r n e t 的商务应用。随着商务活动的r 益频繁 各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大 简化信息交流的途径，增加信息交换速度。这些合作和联系是动态的，并依 靠网络来维持和加强于是各企业发现，这样的信息交流不但带来了网络的 复杂性，还带来了管理和安全问题，因为i n t e r n e t 是一个全球性和开放性的、 基于t c p i p 技术的、不可管理的国际互联网络，因此，基于i n t e m e t 的商 务活动就面临非善意的信息威胁和安全隐患。还有一类用户，随着自身的发 展壮大与国际化，企业的分支机构不仅越来越多，而且相互间的网络基础设 施互不兼容也更为普遍因此，企业的信息技术部门在连接分支机构方面也 感到日益棘手。 而虚拟专用网技术能够很好的解决以上问题，用户的需求正是虚拟专用 网技术诞生的直接原因。 3 1 2 虚拟专用网的要求 1 安全保障 虽然实现v p n 的技术和方式很多，但所有的v p n 均应保证通过公用网 络平台传输数据的专用性和安全性。在非面向连接的公用i p 网络上建立一 个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过 隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从 而保证了数据的私有性和安全性。由于v p n 直接构建在公用网上，实现简 单、方便、灵活，但同时其安全问题也更为突出，企业必须确保其v p n 上 传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有 信息的访问e x t r a n e tv p n 将企业网扩展到合作伙伴和客户，对安全性提出 了更高的要求。 2 服务质量保证( q o s ) v p n 应当为企业数据提供不同等级的服务质量保证。不同的用户和业务 对服务质量保证的要求差别较大，如移动办公用户，提供广泛的连接和覆盖 性是保证v p n 服务的一个主要因素；而对于拥有众多分支机构的专线v p n 河南大学硕士研究生学位论文第1 3 页 网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它 应用( 如视频等) 则对网络提出了更明确的要求，如网络时延及误码率等。 所有以上网络应用均要求网络根据需要提供不同等级的服务质量。 在网络优化方面，构建v p n 的另一重要需求是充分有效地利用有限的 广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽 的利用率很低，在流量高峰时引起网络阻塞产生网络瓶颈使实时性要求 高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。 q o s 通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带 宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。 3 可扩展性和灵活性 v p n 必须能够支持通过i n t r a n e t 和e x t r a n e t 的任何类型的数据流，方便 增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和 数据等新应用对高质量传输以及带宽增加的需求。 4 可管理性 v p n 从用户