（通信与信息系统专业论文）natpt网关关键技术研究.pdf

摘要 摘要 i p v 4 i p v 6 过渡网关是i p v 4 向口v 6 演进过程中的一种关键设备，而n ”p t 过渡网关具有独特的优势：在不改变现有网络设施的情况下，可以实现i p v 4 和i p 、，6 节点间的透明通信，故研究n a i t - p t 网关的关键技术具有重要的意义和应用价值。 本文重点研究了n a t - p t 网关的关键技术，主要包括安全性、i p s e c 的相容性、移 动环境下的运用。 首先，研究了n a t p t 网关的安全防护方案。通过详细分析了该网关所存在的 安全漏洞与潜在隐患，给出了一种针对n a t - p t 的安全防护方案。在该方案中，有 效的避免了网络中恶意用户对n a t - p t 网关的普通恶意攻击，从而提高了n a t - p t 网关的安全性。 其次，研究了m s e c 与n a t - p t 网关的兼容运用。提出了n a t - p t 与口s e c 相 结合应用的方案。该方案通过p s e c 协议族中的i k e v 2 协议部分的修改和n 盯盯 网关中地址映射表的改造，使m v 4 节点与i p v 6 节点之间能够使用i p s e c 协议保护 其通信数据。 最后，研究了n a l 二p t 网关在移动环境下的运用。针对移动口v 4 协议与移动 i p v 6 协议之间的不兼容性，采用在n a t - p t 网关中加入m ma l g 应用层网关模块， 并且把移动节点的家乡代理和n a t - p t 网关结合在同一台双协议栈路由器的方法， 来解决移动节点在口v 4 域和邛、r 6 域全漫游的问题。 本文针对矾，4 ，i p v 6 过渡问题重点研究了n a t - p t 网关的关键技术，为克服 n a t p t 网关应用中的关键问题做出了有益的探索。 关键词：n a t - p t 安全口s e ci k e v 2 移动 a b s t 吼d a b s t r a c t i p 伽p v 6 仃a n s i t i 彻a 1g a t e w a yi sak e yd 喇c ei nm ep f o c e s so f d e v e l o p m e n t 舶m 口v 4t o 口v 6 t h e 仃蚰s i t i o n a lg a t e w a yb a s c do nn a t p th a su n i q u ev 锄t a g eb e c a u i t c a ni m p l 锄e m 仃a i l s p a r c mc o m m u n i c a t i o n sb e 铆e e nt l l en o d e so fi p v 4a n di i 6 、i t h o u tc h a i l 百n gt h ee x i s t i n gm t w o r kf 如i l i t i e s 1 1 坨r e f o r e ，t l l er e s e a r c ho n1 l l e s 衔o n a lg a t e w a yb a s e d n a t - p ti so f 乒e a ti m p o r t 锄c ea n d 印p h e dv a l u e i i lt h i s p a p t l l ek e yt c c h n o l o 百e sa b o u t l et r a m i t i 伽i a lg a t e w a yb a s e do nn a t p ta f es n j d i o d ， s u c h 嬲m es e c 嘶劬也e0 0 m 叫b i l i t y 、 ，i mi p s e c 锄dm e 印p l i c a t i o ni l lm o b i l e e n v i r o n n l e n t f i r s t l y ，n a r - p tg a t e w a yr e q u i r 既a 辩c 嘣t yd e f e n s e h 锄e b yd e t a i l e da i 】_ a l y s e t h es c c i i r i t y i l n e m b i l i t i e sa n dp 0 蛔1 t i a lr i s k so f 也en 舡p t ，as e c 嘣t yd e 惫n s c h e i n e o fn a r - p ti sp r c n t e d 1 h es c h e m ee 街c i e n t l ya v o i d so r d i i l a r ya 钍a c k st on a f p t g a t e w a y 劬mm a l i c i o l l sn 加r k u s e r s 1 1 1 e r e f o r ，m es e c l l f i t yo f m en a t p tg a 钯w a yi s e n h a n c e d s e c o n d l y ，n a t - p tg a i e w a ya 1 1 dm s e cs h o l l l dw o r kc o m p a t i b l y as c h e m eo f n a t - p tg a t e w a y 锄di p s e cw o r kc o m p 砒i b l yi s p r o p o s c d t h es c h e m em l l l d e s m o d 诟c a t i o no fi k e v 2w h i c hi so n eo f 吐忙m s e cp r o t o c o l ，强dt l l ei m p r o v 锄e mo f a d d r e s sm a p p i n gt a b ko f 坨n a = r - p t 1 1 1 i ss c h e m em a k e si p v 4n o d e sa n dm v 6n o d e u s e 口s e cp r o t o c o lt 0p r o t e c tt 1 l c i rp a c k e t s l a s t l 弘n p tg a 把啪ys h o u l db ea b l et on o m l a lw o 呔i i lm o b i l ee n 谪伽| i i l e n t a s f o r 恤i n c o m p 灿i l 时b e 似咖m i p v 4 锄dm i p v 6 ，b ya d d h l gm i p - a l ga p p l i c 舶n l a y c rg a t e w a ym o d u l e st on a t p tg a t e w a ya n dc o m b i n cm o b i l en o d e sh o m ea g e n t 锄d n a t - p t g a t e w a y t o as 锄cd l l a ls t a c k m l i c e r ，m er o a m p r o b l e m i nm e 口v 4d o m i i l 强d i n t l 地m 币d o m a i n i s b e i n g f e s o l v e d i no r d e rt oo v 即i n et h ep r o b l 锄o ft h e 仃a n s l a t i o n 丘d mi p v 4t 0i p v 6 ，t h ek e y t e c l l i l o l o 百e s 籼u t 仃a i l s i t i o i l a lg a t e w a yb a s e do nn a = r - p ta r cs t i l d i e d t h em e s i s 丽u h e l pt o 缸t l l e fr e s e a r c ho nt h ep r o b l e mo f t h e 仃a n s i t i 曲l a lg a t e w a yb a s e do nn a t - p t k e y w o r d ：n a t p ts 优u 一| y l p s i k e v 2m o b i i e 西安电子科技大学 学位论文独创性( 或创新性) 声明 秉承学校严谨的学风和优良的科学道德，本人声明所呈交的论文是我个人在 导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标 注和致谢中所罗列的内容以外，论文中不包含其他人已经发表或撰写过的研究成 果；也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的 材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说 明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切的法律责任。 本人签名：衄国受 日期豳堕：墨：垒： 西安电子科技大学 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。学校有权保 留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部或部分内 容，可以允许采用影印、缩印或其它复制手段保存论文。同时本人保证，毕业后 结合学位论文研究课题再撰写的文章一律署名单位为西安电子科技大学。 ( 保密的论文在解密后遵守此规定) 本学位论文属于保密，在一年解密后适用本授权书。 本人签名： 导师签名： 日期丝墨：! ： 日期碰：丝 第一章绪论 第一章绪论 1 1 选题背景及意义 以口v 4 【1 1 为核心协议的互联网获得了巨大成功，但是随着移动通信和多媒体实 时通信等业务的迅速发展，人们对互联网提出了更高的要求。i p v 4 在很多方面都 暴露出不足和局限性：( 1 ) 有限的地址空间。( 2 ) 配置复杂。( 3 ) n a t 和n a p t 技术影响端到端的i p 连接。( 4 ) 服务质量难以保障。( 5 ) 安全性不足。( 6 ) 移动 性支持不足。 相比较而言，新一代的i p v 6 【2 。】协议却具有很多非常好的特性。( 1 ) 海量的地 址空间及高效的寻址方式。( 2 ) 高效的报头设计。( 3 ) 对端点分片的改进。( 4 ) 支持即插即用。( 5 ) 加强了对服务质量的支持。( 6 ) 安全性的加强。( 7 ) 移动性 支持加强。 i p v 6 作为新一代的i p 协议，具有显著的优势，所以无疑将取代目前的i p v 4 协 议。但是现有网络资源绝大多数存在于i p v 4 网络中，要使互联网技术过渡到下一 代还需相当一段时期，在相当的一段时期内将出现采用口v 4 和m v 6 协议的网络共 存的现象。 b i t e m e t 工程任务组i e t f 已经成立了专门的工作组n g 鼢s 来研究从i p v 4 向 i p v 6 的过渡问题，其着重点是研究在v 4 占据绝对地位的网络环境中妥善，合理 地引入脚6 ，而且必须保证i p v 4 和i p v 6 的互联互通的可能性，并有针对性地提出 了一系列的相关解决方案。其中，公认具有代表性的脚4 向口v 6 过渡策略的解决 方案主要有如下三种：双协议栈方式( d u a ls t a c k ) ；隧道方式( t i l l l n e l ) ；协议转换 ( p r o t o c o l1 r a m l a t i o n ) 。 从理论上讲，最好的方案是采用双协议栈技术，保持现有口v 4 的体系不变， 逐渐在m v 4 体系上增加i p v 6 支持，直到最后整个网络都变成双协议栈，建立起全 球的口v 4 与i p v 6 共存的体系。然后逐渐去掉m v 4 协议，最终过渡到纯粹的口v 6 网络。但是这种想法带有很强的理想主义色彩，实际上很难做到。很有可能在过 渡的某个阶段出现这种情况：i n t e m e t 的大部分已经支持双栈并实现了i p v 6 的连接， 但是还有一部分仍然是纯粹的i p v 4 网络，同时由于m v 4 地址耗尽等种种原因，有 些网络需要马上就使用纯m v 6 ，因此在现实过渡过程中往往把双协议栈技术与其 它过渡技术联合使用。 当没有口v 6 的i s p 要提供接入碑v 6 骨干网的服务时，最合适的方法就是使用 隧道。一般来讲建立隧道需要对隧道两端终点进行配置，这样就给网络管理员增 加了很大的负担，存在管理工作量大，工作效率低，容易出错的弊端。由此i e t f 的n g 仃娜组又提出了许多过渡工具及方法用于自动地建立管理隧道，但是需要添 2 n a t p t 网关关键技术研究 置相应的网络设备，实施成本比较大。 相比较下，协议转换机制只是增加了几台设备，而没有对现有设备做任何改 动，特别是不要求客户端做任何改动。只需要客户端操作系统实现纯m v 4 协议栈 或纯v 6 协议栈即可：便在m 层实现了m v 4 和口v 6 包的转换，使l 、，6 节点与 i p v 4 节点实现互联互通。实施成本比较小，因而受到广大i s p 的欢迎。 作为协议转换机制的最具代表的技术n a t p t 【6 j ，不光能支持纯i 、，6 网络与现 有m v 4 因特网透明的通信，并且具有其独特的优势：( 1 ) 对被服务的站点的主机 完全透明。( 2 ) 不需要主机做任何修改，路由器也不需要升级。( 3 ) 由于它采用 上层协议映射的方法，故只需用很少的m v 4 地址就可以支持大量的 v 6 到i p v 4 的转换。( 4 ) 能与其他现存的过渡技术结合使用，而且保持透明。综上所述，n a l t p t 技术必然成为i p v 4 向i p 、，6 过渡时期的最重要的过渡技术。可以预见，n a t - p t 技 术将在未来一段时问内大面积部署。所以本文便以n a t - p t 技术为重点研究对象。 中国作为一个最大的发展中国国家，近年来经济快速发展，互联网用户数急 剧增长，可以预料，i p 地址耗尽的现象很有可能首先在中国出现。可见在中国发 展下一代口v 6 互联网具有很大的现实意义。故可以预计，中国的网络从 、，4 向i p v 6 过渡将是一个庞大的工程，在整个过渡阶段采用何种过渡技术，所采用过渡技术 所带来的种种缺陷与安全隐患都将对整个过渡互联网产生巨大的影响。 因为i p v 6 协议目前仍大多处于实验室研究阶段，它的性能还有待于相关专家 对其试验并改进。所以当前的i p v 4 i p v 6 过渡技术也是一个崭新的技术，还需要学 者们详加研究与改进。因为目前的过渡技术是崭新的技术，故目前学术界不光对 其的缺陷与安全性研究非常有限，而且对过渡技术和相关应用的结合使用的研究 也甚少。这就可能造成对过渡技术的大规模部署后带来的种种弊端和安全威胁缺 乏相应的准备。 由上可知，作为将来必然被大面积部署的n a t - p t 技术，对其安全漏洞与潜在 威胁，以及与相关应用的关键技术进行深入的研究，将对未来过渡阶段网络的安 全性，和健壮性有着重要的，积极的现实意义。 在关于n a t p t 的诸多关键技术中，有三方面的关键技术得到越来越多学者的 关注。一是n a t - p t 自身的安全性问题。n a t - p t 作为一个服务网关处在两种异构 网的交界处，极易受到外界恶意用户的攻击。二是n a t - p t 网关与口s e c 【7 j 安全协 议相兼容的问题。i p s e c 是目前广泛使用的为网络层通信服务提供认证、加密等安 全保护的协议，但n a t p t 网关却不能与m s e c 协议兼容工作。三是n a t - p t 网 关在移动环境下的运用。随着大量肌4 域和m v 6 域的移动终端及其它无线设备连 接到互联网，它们之间的漫游通信便成为一个需要解决的问题。 故本论文以n a t p t 为重点研究对象，首先对其的安全性进行研究，然后以目 前最热门的m s c c 协议和节点移动性为出发点，对n a r p t 与口s e c 的相容使用， 第一章绪论 3 n a b p t 与节点移动相结合进行详细深入的研究。本文对n a t p t 网关的关键技术 研究做出了有益的探索。 1 2n a t p t 技术国内外发展现状 通过对现阶段国内外n a b p t 技术的调查与研究，发现目前学术界对n a t - p t 过渡技术的研究主要着重于：( 1 ) n a t - p t 的工作效率的提高。比如改造与优化 n | a 1 ：p t 网关的地址映射表，使其增强网关的工作效能( 2 ) 对节点用户的透明度嘲。 ( 3 ) n a t - p t 网关中应用级网关( a l g ) 的扩展。比如对d n sa l g l 9 】和f r pa l g 的研究。( 4 ) n a t - p t 与某种协议兼容使用( 如s m 协议，s e s s i o nh l i t i a t i o np r o t o c 0 1 ) 。 ( 5 ) n a t - p t 对m v 4 下的遗留应用( l e g a c ya p p l i c a t i ) 的支持。比如美国军方 的遗留应用m c s - l ( m a n e u v 盯c o n 仃o ls y s t 锄l h e ) 在过渡期间的使用。而对于 n a t _ p t 技术本身存在的安全漏洞和潜在隐患，使用n a t - p t 技术所新引入的安全 问题，以及与相关重要应用相结合使用的问题研究甚少，属于一个急需深入研究 的领域。 在n a t p t 自身的缺陷与安全性方面的研究，目前主要集中在定义n a t p t 技 术的r f c 2 7 6 6 标准文档中所描述的五个方面：( 1 ) 拓扑局限性。( 2 ) 协议转换时 造成的报文语义的丢失【1 0 j 。( 3 ) 不支持载荷中嵌入m 地址的数据包通过n a l t _ p t 网关。( 4 ) 缺乏端到端的安全性l l l 】。( 5 ) 对安全d n s ( d n s s e c ) 的不支持。对 于n a l 二p t 其它方面的应用缺陷和安全漏洞目前研究甚少。 在保护n a t - p t 网关方面，有文章提出了一些增强n a t - p t 安全性的研究。主 要思想是在n a l ：p t 网关中添加相应的模块，以便达到针对某种安全漏洞提高其网 关的安全性能。但是这样做的代价就是需要额外开发相应的软件模块，大大增加 了n a t p t 网关的成本，不利于n a l 二p t 网关的广泛推广。 在n a t - p t 与口s c c 相兼容方面，学术界有一些探索性的研究。n a r - p t 转换 网关的基本操作就是通过修改请求转换的口数据报报头的数据来实现的，替代完 成后还需要重新计算数据报的头部校验和( c h e c l 【s 咖) 。但是这样的操作完全与 i p s e c 的保护机制相悖，最终导致数据包的失效而被丢弃。 目前有研究成果可以保证脚4 纯节点与v 6 纯节点之间穿过n a t - p t 网关在 i p s e c 的传输模式( t r a n s p o r tm o d e ) 下正常工作。但是也必须付出一定的代价，在 i p v 4 节点与i p v 6 节点进行i k e 协商之前，发起方与n a t - p t 节点必须事先进行相 关消息的通信，以便相互交换某些重要信息。这样不仅增加了节点间的消息协商 次数，也使n a - t p t 网关对节点不再透明。 对于n a l ：p t 网关在移动环境中的应用，主要集中在移动m v 4 协议与移动口v 6 协议之间的转换算法上，即把移动i p v 4 报文中的域与移动、，6 报文中近似的域相 4 n a t - p t 网关关键技术研究 互对应起来，并在一些情况下再做一些补充调整。 目前已经有研究成果可以保证移动节点在与自己相同版本的网络中自由漫 游，而同处于异构网络中的对端节点保持连续通信，同时减小了三角路由所带来 的时延。 所以，本论文将以n a l ：p t 技术为重点研究对象。对n a t p t 技术的安全性问 题，n a t - p t 与口s e c 相结合问题进行有益的探索，对n a t p t 技术在移动环境中 的应用进行适当的改进。 1 3i p 、，4 向口v 6 过渡的阶段与场景 在开始阶段是i p v 4 的世界，网络仅仅支持i p v 4 。全部连接到互联网的终端 计算机是纯口v 4 的设备。网络地址转换器( n a t s ) 【1 3 】被用于处理有限数量的可用 公众i p 地址。 第一阶段时，口v 6 岛屿分散在由i p v 4 互联网相互连接的网络里，用自动的或 配置的m v 6 - n i p v 4 的隧道技术连接。在这个阶段，在运营商的网络( m 瞳a i l e t ) 里 提供大多数对用户的i p v 6 服务；其它的叭6 服务，比如连接到公司的母v 6 接入 网，是通过使用穿过口v 4 互联网的配置的自动的隧道而获得的。常规的m v 4 服 务仍提供给有口v 4 栈或双栈终端的用户。 在第二阶段，i p v 6 被广泛地应用并在 、r 6 平台上实现了许多服务。此时尽管 i p v 6 互联网有了宽泛的分布，但有些地方仍然需要经由v 4 互联网的隧道，因为 m v 6 互联网并没有完全连接起来。在口v 6 平台上实现全新服务会加速m v 6 的推广 展开，移动网络( 例如g p r 与s w c d m a ) 就会帮助起到这个作用。 在第三阶段，i p v 6 已经获得主导地位。口v 6 互联网具有全球范围的连接，并 且全部的服务都在球v 6 平台上工作。在移动网络中并非得使用双栈功能以及地址 协议转换器。这能够简化网络体系结构，并且维护更容易。 总之，从d v 4 向，v 6 过渡是一个长期过程，单一解决方案不能满足整个过渡 过程的需要。三种主要的过渡方式是在网络设备终端上使用，v 枷v 6 双栈技术， 隧道技术，以及在网络里使用协议转换技术。 目前所面临的关键问题是过渡方案的可扩展性，i p v 4 与i p v 6 共存的问题，服 务的连续性( 即使m v 4 现有的服务，如口电话，m q o s ，m 安全等在过渡过程中 保持不问断) 1 4 论文的组织结构 本文首先从安全的角度对m v 4 i p v 6 过渡技术进行研究，并针对其中的重要过 渡技术n a t p t 的安全漏洞与隐患，提出对其的安全防护的方案。然后还对n a t - p t 第章绪论 5 技术与i p s c c 协议的相结合使用提出了一个实施方案，最后改进了一个n a t p t 网 关与节点移动性相结合的实施方案。本文为n a h t 过渡技术的安全问题的进一步 深入研究奠定了基础，也对n 肝p t 与i p s e c 协议相结合使用，n a t p t 与节点移 动相结合运用做出了积极有益的探索。全文的结构如下： 第二章论述了i p v 4 i p v 6 过渡阶段的三种过渡机制的工作原理与安全漏洞，并 详细研究了各种过渡机制下的重要过渡技术的工作原理与安全隐患。在叭鲫噼v 6 过渡时期主要有三种过渡机制：双协议栈，隧道机制，地址转换机制。隧道机制 主要包括：自动隧道，手动隧道，6 幻4 隧道，6 0 v e r 4 隧道等等。地址转换机制主 要包括：无状态口和i c m p 转换1 1 4 j ( s i i t ) ，n 前w o r ka d d r e s st r 锄s l a t i o n p r o t o c o l 1 m 1 1 s l a t i o n ( n a r - p t ) ，b l l l l 叩i i l t l l es t a c k i ”j ( b i s ) ，b 咖叩h lt l l ea p i l l 圳( b i a ) ， 1 珀n s p o nr e l a yt r a i l s l a t o r ( 玎) ，s o c k s 6 4 等。 第三章首先阐述了n a t p t 过渡技术的工作原理，然后对n a t - p t 过渡技术的 安全漏洞与潜在隐患进行了深入研究与总结，最后提出了一个对n a r - p t 过渡网关 进行安全防护的实施方案。该方案中包括i p s e c 、安全审计、防火墙、入侵检测、 蜜罐技术等多种安全技术，并对实现这些安全措施的难点进行了分析。目前学术 界对n a t - p t 网关的研究与改进主要集中在如何提高过渡网关的工作效率等方面， 对其安全性的研究并不是非常的深入，故本章对n a t - p t 过渡网关的安全性进行深 入的分析研究与总结，并在此基础上，提出了一个对其的安全防护方案。使该网 关在进行正常工作的基础上，引入了p ，i p s e c 认证机制来加强用户的认证管理， 提高了安全性和对安全风险的抵御能力。 第四章提出了n a t - p t 网关与i p s e c 协议相结合的实旖方案。在未来口v 6 通 信中，口s e c 协议和通信的安全性将是研究与发展的重点，但是n ”p t 技术却存 在着与m s e c 协议很多方面不兼容的情况，并且当前学术界对它们相结合的研究甚 少，故本章在简要介绍i p s e c 协议和其协商协议v 2 后，提出一个n a t - p t 与 i p s c c 相结合的实施方案。该方案小范围修改了i k e v 2 协议，并利用i p s e c 的认证， 加密机制和对n a l 二p t 网关地址映射表的改造加强了通信双方的数据安全性。 第五章改进了一个在，v 钔p v 6 过渡环境下n a t - p t 网关与节点移动相结合的 实施方案。现有的m m v 4 协议与m 肌6 协议并不相互兼容，所以在皿 4 域内的 移动节点无法移动漫游到脚6 域，同样对口v 6 域内的移动节点也无法移动漫游到 口v 4 域。本章首先简要介绍了m i p v 4 协议和m i p v 6 协议，然后提出改进的一种在 n a t - p t 网关中加入m i pa l g 应用层网关的方法，专门用来转换相应的m p v 4 协 议与m 口v 6 协议，解决移动节点( 必须为双栈节点) 既可在m v 4 网也可在脚6 网移动的问题。并且采用把移动节点的家乡代理和n a t p t 网关结合在同一双栈路 由器上的方法来减小传统过程中三角路由所带来的时延。同时详细阐述了在该方 案下，各相关要素工作的详细步骤。该方案对相关领域研究人员提出了重要的有 6 n a t p t 网关关键技术研究 价值的参考意见。 第六章总结全文所做的工作，对其中的创新点进行总结说明，同时对下一步 工作提出展望。 第二章过渡机制安全性分析 7 第二章过渡机制安全性分析 2 1 i p 、，4 向i p 、，6 过渡技术概述 鉴于i p v 6 突出的特征，可以预见，i p 、，6 必将成为下一代互联网技术的核心。如 何完成从肌4 到i p v 6 的转换【1 8 1 ，是脚6 发展需要解决的首要问题，其中包括技术问 题和安全问题i l 蚰o 】。从网络发展现状看，口v 4 向口v 6 过渡需要相当长的时间才能完 成。m t f ( i n t e r n e t 工程任务组) 已成立专门的工作组，研究4 向i p v 6 的过渡问 题。目前已有的口v 4 向i p v 6 的过渡机制有：( 1 ) 双协议栈，( 2 ) 隧道技术，( 3 ) 地址转换。 2 2 双协议栈工作原理及其安全性分析 ( 1 ) 工作原理 双协议栈技术是指在终端设备和网络节点上既安装i p v 4 又安装i p v 6 的协议 栈。从而实现使用口v 4 或口v 6 的节点间的信息互通。支持m v 4 m v 6 双栈的路由 器，作为核心层边缘设备支持向m v 6 的平滑过渡。一个典型的m v 4 仰v 6 双协议 栈结构如图2 1 所示。 m v 6 a p p l i c 砒i o n s i p v 4a p p l i c 撕o n s s o c k e t a p i t c p u d p v 4t c p ，u d p v 6 mi p v 6 d a l a l h 止j a y e r p h y s i c a l1 a y e r 图2 1m v 4 仰v 6 双协议栈结构 双栈方式的工作机制可以简单描述为：链路层解析出接收到的数据包的数据 段，拆开并检查包头。如果m p v 6 包头中的第一个字段，即m 包的版本号是4 ， 该包就由口v 4 的协议栈来处理；如果版本号是6 ，则由口v 6 的协议栈处理。 双协议栈可以在同一个网络节点同时支持口v 4 和m v 6 两种协议栈。因为v 4 和i p v 6 在形式功能等都为相似，、，6 不过是职v 4 的改进完善，二者同属于网络层 协议，都基于相同的物理平台，而且加载于其上的传输层协议t c p 和u d p 也没有 太大区别( 最多是针对i p 、r 6 的改进版本) ，所以，在理论和实践上，支持双栈的 节点既能与支持v 4 协议的节点通信，又能与支持脚6 协议的节点通信。这种双 8 n a t p t 网关关键技术研究 协议栈方式主要是指所有提供邛v 4 和i p v 6 协议栈的主机和路由器。也就是说，在 理论上，任何双协议栈结点都能直接同i p v 4 和口v 6 网络结点互操作。 对于一个同时支持仰v 6 的路由器来说，需要同时维护两种网络协议，也 就是说在一个路由器平台上运行了两个类似的路由软件，势必将增加系统运行的 复杂性和系统维护的工作量。所以，在目前状况下，大多数口v 6 实验并不刻意去 实现两个完全不同的t c m p 栈分别为i p v 4 和i p v 6 提供服务，而是努力探索只提 供一个混合的协议栈，i p v 4 和i p v 6 两套协议栈共享其中的大部分代码，此外，两 者本身只额外保留少量标志其特性的代码。从某种意义上讲，这种模式己不算典 型的双栈了。这样，就可以大大提高系统的效率，只是，一般来说，隧道技术要 求双协议栈方式，而且，这种双协议栈方式在实践中的普遍应用，很多时候也需 要隧道技术的支持。 双协议栈技术是使m v 6 节点与口v 4 节点兼容的最直接方式，应用对象是主机、 路由器等通信结点。支持双协议栈的结点与m v 6 结点互通时使用i p v 6 协议栈，与 i p v 4 互通时借助于4 0 v e r 6 使用m v 4 协议栈。i p v 6 节点访问口v 4 节点时，先向双 栈服务器申请一个临时 v 4 地址，同时从双栈服务器得到网关路由器的t e p ( t u l l n e le n dp o i n t ) 口v 6 地址。 、，6 节点在此基础上形成一个6o v e r4 的i p 包， 6 0 v 盯4 包经过i p 、r 6 网传到网关路由器，网关路由器将其i p v 6 头去掉，将口v 4 包 通过 、，4 网络送往i p v 4 节点。网关路由器要记住 、，6 源地址与i p v 4 临时地址的 对应关系，以便反方向将口v 4 节点发来的i p 包转发到i p v 6 节点。采用双协议栈 方式互通时的系统构成如图2 2 所示。 图2 2 采用双协议栈方式互通的系统构成 双栈过渡机制的优点： 不需要购置专门的v 6 路由器和链路，节省了硬件投资；核心m v 6 路由器之 间采用专用本地链路，克服了隧道方式的许多缺点。 双栈过渡机制的缺点： i p v 6 的流量和原有的i p v 4 流量之间会争抢带宽和路由器资源，从而影响v 4 网络的性能；升级和维护费用大，不符合从网络边缘开始演进的策略。 ( 2 ) 安全漏洞与隐患 第二章过渡机制安全性分析 9 在口v 4 网络安全方面，我们已经有很多的办法加以保护，这一点自不必说。 需要注意的是，在m v 6 网络安全方面也要达到现有m v 4 过滤水平。因为系统管理 员往往喜欢分给它一个以该地址所属的类前缀为开头的地址( 通常比：f r 低) ，这就 使得需要扫描的i p v 6 地址范围小许多，所以一个外部用户发现一个重要服务器的 i p v 6 地址并不困难。在这种情况下，如果某些基本过滤功能没有加载，恶意用户 就有可能很轻易地把口v 6 作为一个入口点，从入口机器上使用疋v 4 或i p v 6 去访 问私有网络，并进一步危及网络内的设备。另外，偶尔也有黑客在侵入口v 4 设备 后，激活脚6 - n i p 、，4 隧道，这样就可以成功地绕过过滤和入侵检测系统( i d s ) 了。 2 3 隧道机制工作原理及其安全性分析 隧道( n m n e l ) 是指将一种协议报文封装在另一种协议报文中，这样一种协议就 可以通过另一种协议的封装进行通信。p v 6 隧道是将i p 、r 6 报文封装在i p v 4 报文中， 这样口v 6 数据包就可以穿越i p v 4 网络进行通信 2 ”。对于采用隧道传输技术的设备来 说，在起始端( 隧道的入口处) ，将v 6 的数据报文封装入m v 4 ，v 4 报文的源地址 和目的地址分别是隧道的入口和出口的i p v 4 地址。在隧道的出口处，再将i p v 6 报文 取出转发给目的站点。隧道传输技术只要求在隧道的入口和出口处进行修改，对 其它部分没有要求，因而非常容易实现，但是隧道传输技术不能实现i p v 4 与i p v 6 主机的直接通信。 i p v 6 隧道技术可以跨越i p v 4 网络实现i p v 6 网络间的互联，但由于要针对不同的 网络情况，解决某些特定的网络通信问题，因此基于职v 6 隧道基本技术又派生出了 多种具体的实现方案，如手工配置隧道，隧道代理，i s a t a p 瞄】，6 0 v e r 4 ，酏d 4 等。 在下文中只介绍其中主要的几种。 2 3 1 隧道代理技术 ( 1 ) 工作原理 隧道代理( t 1 m n e lb r o k e r ，即t b ) 是一种架构，而非具体协议，它的主要目 的是简化隧道配置，提供自动的配置手段。通过隧道代理，用户可以很方便地和脚6 i s p 建立隧道连接，从而可以访问外部的脚6 资源。i s p 通过专用的隧道服务器提供 了一种非常简捷的接入方式，并自动管理用户发出的隧道请求。如图2 3 所示，它 的工作过程是：客户端为获得隧道代理服务，首先向t b 上提出申请，并提供客户 端i p v 4 地址，该客户机想使用的d n s 域名以及客户端的类型( 主机还是路由器) 等 信息；t b 接到客户申请后，首先选择一个t s ( t 眦l e ls “e f ) 作为隧道的端点，同 时选出i p v 6 的前缀分配给客户端，并用分配给客户的i p 、，6 地址更新d n s ；接下来配 置隧道的t s 端，同时把该隧道的信息和参数通知给客户机，完成隧道的配置工作。 1 0 n a t - p t 网关关键技术研究 经过配置后，从客户端到t s 端的i p v 6o v e rm v 4 隧道就建立起来了，用户就可以访 问t s 所连接v 6 骨干网或其他i p v 6 网络。 图2 3 隧道代理机制模型 ( 2 ) 安全漏洞与隐患 在隧道代理体系中，所有功能单元之间( 包括客户和 之间、t b 和隧道服务 器之间以及t b 和d n s 之间) 都需要使用安全机制保护。在客户与 之间，有很多 的安全机制可供选择( 如可以使用s s l 在w e b 服务器上对发送和下载进行加密， 还可以使用简单的用户名密码程序来实现访问控制，等等) 。在 与隧道服务器 之间可以采用s n m p 。在 与d n s 之间，如果使用动态d n s 更新程序，安全性与 s n m p 完全相同；如果使用基于r s h 命令的简便方法，也可以使用标准的i p s e c 。 使用隧道代理会产生如下一些问题： 一、认证问题。如果客户端的配置是通过t b 提供的脚本实现的话，在执行这 些脚本时就需要实现对一些接口的配置管理，所以必须给这些脚本很高的权限， 这种做法显然存在安全漏洞。另外，如果隧道代理是由安装有目录型结构的组织 来运作，就可以使用用户名口令或组织中已经在别的业务中采用的其他认证方式； 如果以前与用户没有关系，典型的做法就是让人们使用名字、e m a i l 地址等注册， 然后用e m a i l 接收认证口令。这种方法有最终甩户真实身份不确定的问题。如果局 域网络以机器为中心来管理设备及用户，网络拓扑和机器地址比较固定。t b 系统 对于用户信息以机器m v 4 地址标识，这样尽管使用该机器的用户变更了，但是该机 器的该隧道仍然有效。 二、隧道自动切断问题。如果用户使用不是静态4 地址的连接( 如拨号) ，就 要谨慎地自动切断隧道以防不必要地使用资源。因为用户的连接如果非正常中断 了，隧道服务器会继续发送m v 6 的隧道包到用户原来的i p v 4 地址，而这个地址可能 已经被分配给另一个主机使用，这样就发生了数据泄露问题。这个问题可以通过 第二章过渡机制安全性分析 用户端发送某类k e e p a l i v e 消息来解决，但是这样可能需要在用户操作系统中安装 专门的软件，用起来比较困难。另外还可以通过使用t s p ，使得隧道代理能够检查 隧道请求是否来自于正确的主机和路由器，并使得t e p 和客户机能够检查隧道数据 是否来自于公认的隧道代理，只是t s p 技术目前还不完善，需要等待。 三、过滤和统计问题。使用隧道代理技术时，还应该对某些i p v 6 包进行过滤， 以防止恶意用户同时申请大量的隧道连接耗尽隧道服务器的资源，但是如果远端 是多穴主机时还没有合适的过滤策略。另外还需要统计每个隧道的带宽使用情况 等数据，以尽快发现是否遭到d o s 攻击。 虽然使用隧道代理可以简化隧道的配置，为p v 6 节点提供接入i p v 6 网络的服 务，但是同时也为该口p v 6 网络留下了安全隐患。黑客可以利用这些漏洞对提供服务 的网络进行攻击： 一、黑客可以利用受信的作为隧道代理客户端的路由器，通过隧道向提供服 务的网络发送分组，这样就可以悄无声息地躲开该网络针对对源地址欺骗的保护 措施。 二、黑客可以利用一台与i p 、，4 网络和i p v 6 网络都有连接的主机，通过隧道代理 建立隧道就可以轻松穿越防火墙，给脚6 网络带来不安全因素。 2 3 26 t 0 4 隧道技术 ( 1 ) 工作原理 6 幻4 用于连接被口v 4 网络分离的各个孤立的i p v 6 站点，隧道的端点是孤立 6 站点的出口路由器。6 t 0 4 隧道协议定义了3 种通信实体：6 t 0 4 主机、6 刚路由器、 6 幻4 中继路由器。6 t 0 4 主机指孤立 、，6 站点中的纯i p v 6 主机，6 t 0 4 路由器指i p v 6 站 点中的出口路由器。6 t 0 4 主机使用全球地址前缀2 0 0 2 ：a a b b ：c c d d ：，4 8 ， 其中 a a b b ：c c d d 是出口路由器的坤v 4 地址( 地址必须是公有地址) 十六进制表示， 作为全球i p v 6 地址中的n l a e x tl e v e la g g r c g a t o r ) i d 。完整的6 t 0 4 地址是2 0 0 2 ： a a b b ：c c d d ：s l a ( s i t el 删e l a g g r e g a t o r ) i d ：i n t e r 白c ci d 。以图2 4 例，6 t 0 4 主机 之间的通信过程如图2 4 所示： 站点l 的6 t 0 4 主机在获得站点2 的6 t 0 4 主机地址后向其发送数据包，该数 据包被路由至本站点的6 t 0 4 路由器a ，路由器a 发现数据包的目的地址含有6 t 0 4 前缀2 0 0 2 ，于是从数据包的口v 6 源地址和目的地址中提出隧道两端的m v 4 地址( 也 就是脚6 地址中的n l a 部分) ，然后用m v 4 头部封装数据包，封装后的报文 其目的地址为站点2 的6 t o u 4 路由器b 的i p v 4 地址，从而建立一条从a 到b 的隧 道。作为隧道端点的路由器b 收到数据包后对其进行解封装，去掉i p v 4 头部，得 到一个i p v 6 数据包，然后发送，直到数据包最后到达站点2 的6 t c 4 主机。 1 2 n a t - p t 网关关键技术研究 图2 4i p v 6 站点通过6 t 0 4 隧道通信 6 幻4 中继路由器通常位于口v 6 主干网，除了具有6 t 0 4 路由器的功能外，它还 负责向、，6 主干网宣告它对其他6 t 0 4 站点的可达性，同时向其他6 t 0 4 路由器宣告 它对主干网内各站点的可达性。6 t 0 4 中继路由器用于6 t 0 4 主机和一般i p v 6 主机之间 的通信，以图2 4 为例，站点l 的酏0 4 主机获得主干网上某个口v 6 主机的地址后向 其发送数据包，该数据包被路由至本站点的6 t 0 4 路由器a ，路由器a 通过查找路由 表得到下一跳的i p v 6 地址为中继路由器c 的6 t 0 4 地址，从该地址中提出c 的i p v 4 地 址，以此作为目的 、r 4 地址对数据包封装，建立一条从a 到c 的隧道。c 收到数 据包后解封装，得到一个，、，6 数据包并发往主干网，直至最终到达目的i p v 6 主机。 ( 2 ) 安全漏洞与隐患 6 t 0 4 技术使用自动隧道，具有隧道技术所具有的弱点瞄】。如果i p v 4 地址被欺骗， 任何人都可以向隧道内想注入多少流量就注入多少流量。 另外，如果已经使用了6 t 0 4 路由器或中继，还需要注意以下危险的存在： 一、对6 协4 伪接口的攻击。伪接口与实际接口具有同样的属性，必须加以保护。 一般需要在伪接口上加载对隧道包的