（计算机应用技术专业论文）ipv4向ipv6过渡中安全问题的研究.pdf

中南民族大学硕士学位论文 i 摘 要 当今社会，网络技术突飞猛进，网络在社会经济中发挥越来越大的作用。随 着网络的迅速普及，ipv4 已不能满足发展的需要，ipv6 取代 ipv4 已成为必然趋 势。但是目前 ipv4 网络在全世界已经大量应用，现在全世界已经安装应用的网 络设备绝大部分属于 ipv4 网络，对这些设备进行更新改造是一个巨大的工程， 非一朝一夕所能实现，所以 ipv6 取代 ipv4 只能是一个逐步实现的过程，也将是 一个漫长的过程。在 ipv4 向 ipv6 过渡阶段，ipv6 和 ipv4 会共同存在，各种网 络技术的共存和应用会带来各种技术上的不兼容和许多安全问题， 比如过渡技术 和网络安全技术 ipsec 所存在的不匹配。 这些问题都迫切需要寻找解决办法和方 案已达到 ipv6 取代 ipv4 的工作的顺利开展。在我的论文里，对 ipv4 向 ipv6 过 渡时期目前所采用的主要的过渡技术和已成为下一代网络技术的组成部分的网 络安全技术 ipsec 进行了研究，对 ipv6 取代 ipv4 期间网络可能存在的各种安全 问题进行了具体的研究和分析， 特别是重点地研究了过渡所用主要技术与网络中 所采用的安全技术存在的不匹配问题。 在我的论文里， 对网络过渡技术中的一种重要技术网络地址翻译和协议翻译 技术与网络安全技术的不匹配提出了两种改进方案。 一种方案在论文里称作预先 发送源 ip 地址公告的安全改进方案。该方案所要解决的问题是，当网络安全数 据报途径地址翻译和协议翻译网关时网关对数据报源 ip 地址作了修改，接收端 无法通过安全鉴定的问题。 解决这个问题的主要思想是当发送端与接收端建立了 安全连接后马上向接受端发送一个带有发送端 ip 地址的网络地址翻译公告载 荷，接收端通过接收这个公告载荷来获得发送端的 ip 地址，并把它保存在安全 连接的安全关联数据库中，用于接收到的数据报的安全鉴定。另一种方案在论文 里称作封装安全加载的改进方案。该方案所要解决的问题是，当用封装安全加载 加密 ip 数据报时，在数据报途径地址翻译和协议翻译网关时网关对数据报源 ip 地址作了修改后，发生数据报传输控制协议或用户数据报协议效验和错误的问 题。解决这个问题的主要思想是改变封装安全加载加密范围，用安全插口层对数 据报中的数据加密， 在数据报途径地址翻译和协议翻译网关时网关对封装安全加 载解密，重算数据报传输控制协议或用户数据报协议效验和，然后再次加密数据 报发往接收端。 关键词：ipv4；ipsec； ipv6；翻译技术；网络安全； ipv4 向 ipv6 过渡中安全问题的研究 ii abstract todays society, the network technology advances, networks play an increasing socio-economic role. with the rapid popularization of the network, ipv4 can not meet the needs of the development, ipv6 to replace ipv4 has become an inevitable trend. however, the current ipv4 network has a large number of applications in the world, and now the application has been installed worldwide network equipment ipv4 network the vast majority of these devices is a huge renovation project, can achieve long-term effort, so ipv6 to replace ipv4 only able to achieve a gradual process, but also will be a long process. in the ipv4 to ipv6 transition phase, ipv6 and ipv4 will co-exist, the coexistence of a variety of network technologies and applications will not be compatible with a variety of technical security issues and many, such as the transition of technology and network security technology ipsec does not match the existing . these issues are the urgent need to find a solution and the program has reached ipv6 to replace ipv4 work smoothly. in my paper, the transition of ipv4 to ipv6 during the current transition of the major technologies and next-generation network technology has become an integral part of the ipsec network security technology to conduct a study of ipv6 to replace ipv4 network that may exist during the kinds of security issues specific research and analysis, in particular the study focused on the transition and the main techniques used in network security technology used by the existence of the problem does not match. in my paper, the transition of network technology as an important technology in the network address translation and protocol translation technology and network security technology does not match the two to improve the program put forward. in the paper in a program known as the pre-sent the source ip address of the security bulletin to improve the program. the program to solve the problem is that when the ipsec datagram way to address translation and protocol translation gateways gateway when the data were reported to modify the source ip address, the receiving end can not be identified through the security issues. to solve this problem the main idea is that when the sending end and receiving end of a secure connection was established immediately after the receiving end to send a send client ip addresses with nat notice of load, the receiver to receive this notice through the load to obtain the ip address of the sending end and it kept in a secure connection of the sad, for receiving the data reported to the security of identification. another program in the paper referred to as esp security mechanisms in the agreement to improve the program. the program to solve the problem is that when ip data encryption with esp newspaper reported that way in the data address translation and protocol translation gateways gateway when the data were reported to modify the source ip address, the occurrence of tcp or udp datagram-tested and error problems. to solve this problem the main idea is to change the scope of esp encryption, security socket layer using ssl for data encryption at the data, reported in the data means to address translation and protocol translation gateway at the gateway to the esp decryption, re-count tcp or udp-tested and , and then re-encrypted data sent to the receiver is reported. key words： ipv4；ipsec；ipv6； transition technology；network security； 中南民族大学中南民族大学 学位论文原创性声明学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 作者签名： 日期： 年 月 日 学位论文版权使用授权书学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文 被查阅和借阅。本人授权中南民族大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存 和汇编本学位论文。 本学位论文属于 1、保密，在_年解密后适用本授权书。 2、不保密。 （请在以上相应方框内打“” ） 作者签名： 日期： 年 月 日 导师签名： 日期： 年 月 日 中南民族大学硕士学位论文 1 第 1 章 绪 论 1.1 课题的研究背景和意义 自从网络技术诞生以来，网络在全球得到迅速的推广和应用，尤其是因特网 从一出现就受到人们极大重视并得到迅速的推广和应用。 目前网络层应用的技术 主要是 ipv4 技术。随着网络在世界的快速发展，以 ipv4 技术为基础的网络在发 展中遇到诸多问题和技术瓶颈，其中最为突出的问题是 ipv4 地址出现严重匮乏 1 。由于公有 ip 地址的严重不足，目前大量子网都是利用地址翻译技术来使用 专用地址。地址翻译技术的大量使用给许多网络上的应用技术的应用造成困难， 带来了诸多技术问题2。从长远来看，解决 ip 地址不足的根本途径是用 ipv6 取 代 ipv4。由于 ipv6 的地址长度是 128 位，也就是说在 ipv6 中共有 2 128 个地址 可供使用，在可预见的未来完全能满足全球的需求3。 针对目前网络存在的主要突出问题， 从事全球因特网发展的管理和规划的相 关组织和机构采取了一系列技术手段， 这在一定程度上缓解了诸如路由表数目剧 增、ipv4 地址匮乏、网络安全等严重问题4。为彻底解决目前网络存在的主要发 展问题， 人们对开发、 推广、 应用 ipv6 技术抱有很大热情， 世界各国都在为 ipv6 在本国的开发、推广、应用做大量工作。但是实现 ipv6 的全面应用将是一个艰 巨的任务。 原因主要是目前的网络结构和网络设备大多是基于 ipv4 技术的， ipv6 的推广应用牵涉到这些网络结构和网络软、硬件设备的全面更换，这将是一个庞 大的工程，不可能采取一次性行动来完成，只能逐步用 ipv6 替换 ipv4 网络。因 此会存在一个较长的推广、 应用的过渡时期5。 在过渡时期， ipv6 网络会和 ipv4 网络共同存在。由于两种网络体系的共存，必然需要一系列的过渡技术来实现这 种共存。这些过渡技术要解决诸如如何实现 ipv6 与 ipv4 之间的通信，如何实 现 ipv6 之间通过 ipv4 进行通信等问题。另外从经济的角度考虑，我们希望尽 量降低过渡所造成的花费。从技术的角度考虑，我们希望这种过渡能尽量平稳， 不要带来过大的震荡6。 在 ipv6 网络逐渐替换 ipv4 网络的过渡过程中， 随着过渡技术的应用及网络 结构变得越来越复杂，在网络安全方面产生了越来越多的不容忽视的问题7。这 些过渡技术存在的或带来的安全问题主要有：当采用翻译过渡技术时，由于网络 ipv4 向 ipv6 过渡中安全问题的研究 2 地址翻译及协议翻译网关联合应用层网关对数据报的翻译处理， 会破坏数据报传 输中端到端的安全性。 在采用翻译过渡技术时还有一个与网络层安全技术不匹配 的问题。网络层安全协议是为保护在网络上正常传送的数据的安全而设计的协 议。他的目的就是要尽量保护在网络上正常传送的数据的安全。因此他对在网络 上正常传送的数据进行了最大程度的保密和防止更改等。而网络层协议-地址翻 译技术为了实现不同网络中采用不同网络层协议的主机能实现相互之间的通信， 需要对网络中传送的数据报进行协议和地址的变换， 这种变换涉及到数据报内部 一系列相关字段的值的更改，由于网络层安全协议对数据的保护，往往使这种变 换无法正常完成，带来网络安全协议技术与网络层协议-地址翻译技术不匹配的 问题。 当采用隧道过渡技术时， 网络隧道技术的采用， 使网络结构变得更加复杂。 由于隧道技术的设计中没有网络安全方面的考虑加之这种技术本身的技术特点， 给网络安全带来了众多的问题。比如说在数据报经过隧道的时候，隧道不会对数 据报进行安全方面的检查。 他所完成的工作只是在入口把整个数据报作为有效载 荷对数据报进行封装。在隧道出口再解封。隧道往往象一条不设防的大道。这样 往往给恶意的数据报带来趁虚而入的机会。 恶意的数据报往往可借用隧道来避开 网络中设置的安全检查。 再比如说对于一个本来安装设置了各种安全设备和技术 的网络，当网络中加入了隧道技术后，这些安全设备和技术所形成的安全功能就 有可能受到隧道的破坏而丧失原有的功能。当采用双栈过渡技术时，双协议栈技 术的采用，会在一台主机上同时运行两种版本的网络层协议。这两种网络层协议 在技术上存在不相关性。 他们之间的协调配合的不完善往往会造成一些安全方面 的缺陷，给攻击者带来机会。另外，在双协议栈技术中，由于两种网络层协议同 时运行， 其中任何一种网络层协议存在的安全问题都会影响到另一种网络层协议 的安全运行，带来了安全危险的加大。因此，对过渡期间存在的安全问题进行研 究具有重要的现实意义。 1.2 论文的研究内容 在我的论文里，对 ipv4 向 ipv6 过渡时期目前所采用的主要的过渡技术和已 成为下一代网络技术的组成部分的网络安全技术进行了研究，对 ipv6 取代 ipv4 期间网络可能存在的各种安全问题进行了具体的研究和分析， 特别是重点地研究 了过渡所用主要技术与网络中所采用的安全技术存在的不匹配问题。 中南民族大学硕士学位论文 3 在我的论文里， 对网络过渡技术中的一种重要技术网络地址翻译和协议翻译 技术与网络安全技术的不匹配提出了两种改进方案。 一种方案在论文里称作预先 发送源 ip 地址公告的安全改进方案。该方案所要解决的问题是，当网络安全数 据报途径地址翻译和协议翻译网关时网关对数据报源 ip 地址作了修改，接收端 无法通过安全鉴定的问题。 解决这个问题的主要思想是当发送端与接收端建立了 安全连接后马上向接受端发送一个带有发送端 ip 地址的网络地址翻译公告载 荷，接收端通过接收这个公告载荷来获得发送端的 ip 地址，并把它保存在安全 连接的安全关联数据库中，用于接收到的数据报的安全鉴定。另一种方案在论文 里称作封装安全加载的改进方案。该方案所要解决的问题是，当用封装安全加载 加密 ip 数据报时，在数据报途径地址翻译和协议翻译网关时网关对数据报源 ip 地址作了修改后，发生数据报传输控制协议或用户数据报协议效验和错误的问 题。解决这个问题的主要思想是改变封装安全加载加密范围，用安全插口层对数 据报中的数据加密， 在数据报途径地址翻译和协议翻译网关时网关对封装安全加 载解密，重算数据报传输控制协议或用户数据报协议效验和，然后再次加密数据 报发往接收端。 1.3 论文的组织结构 本论文主要研究 ipv4 向 ipv6 过渡时期的安全问题， 并针对网络地址翻译和 协议翻译技术与网络安全技术的不匹配提出了两种改进方案。 本文的组织结构如 下： 第 1 章对本论文所研究的问题及其具有的现实意义、 目前全球网络发展情况 分别进行了介绍。 第 2 章对 ipv4 向 ipv6 演进过程中用到的三大过渡技术进行了研究， 包括协 议翻译技术，隧道技术，双协议栈技术 第 3 章对网络安全协议进行了研究。 重点研究了网络认证协议和网络加密协 议。 第 4 章研究了网络过渡技术产生和存在的安全问题， 重点研究了网络地址翻 译与协议翻译技术和网络安全技术所存在的不匹配问题， 并且对问题提出了自己 的解决方案。 ipv4 向 ipv6 过渡中安全问题的研究 4 第 2 章 ipv4 网络向 ipv6 网络过渡的技术 在 ipv6 网络替代 ipv4 网络的整个过程中， 全球网络环境的变化可分为几个 阶段。在初始阶段，刚刚起步时 ipv6 网络是一些分散的、零星的小块，就好像 大沙漠中零星出现的树木， 而规模庞大的 ipv4 网络就好像整个大沙漠。 随着 ipv6 网络规模的逐渐扩大，ipv6 网络由零星的树木慢慢发展成成片的森林，而 ipv4 网络的沙漠则逐渐萎缩成一些分散的、零星的小块，最后沙漠消失，变成一片绿 洲。在这个过程中，我们需要解决树木与沙漠以及树木与树木之间怎样利用沙漠 连接的问题。因为 ipv4 体系与 ipv6 体系是两个不同的体系，所以需要一系列的 技术来实现 ipv4 路由体系与 ipv6 路由体系完整地融合8。 2.1 双协议栈技术 所谓双协议栈技术就是在主机上同时配备 ipv4 和 ipv6。 如果这台主机在建 立连接时由目的地址判断出是要和一台ipv6主机进行联系， 它就运行ipv6协议， 这时所进行的联系实际上是两台 ipv6 主机之间的联系。如果这台主机在建立连 接时由目的地址判断出是要和一台 ipv4 主机进行联系，它就运行 ipv4 协议，这 时所进行的联系实际上是传统的两台 ipv4 主机之间的联系。双协议栈技术在整 个过渡技术体系中是一种最基本的技术，其他过渡技术都需要用到它。比如在翻 译技术中，网络地址翻译与协议翻译网关就是运行双协议栈。网络地址翻译与协 议翻译网关与 ipv4 主机联系时使用 ipv4 协议，实现的是两台 ipv4 主机之间的 联系。网络地址翻译与协议翻译网关与 ipv6 主机联系时使用 ipv6 协议，实现的 是两台 ipv6 主机之间的联系。在隧道技术中，已经建立的隧道的两个端点主机 都必须是双协议栈主机。 双协议栈主机在与隧道连接的端口运行的是 ipv4 协议， 隧道中建立的是 ipv4 连接。在另一端口运行的是 ipv6 协议以与 ipv6 网络中的 主机进行联系。双协议栈技术是一种非常简单而且非常容易实现的技术，该技术 实现了 ipv6 和 ipv4 两种协议的完全匹配。 但由于主机仍然需要一个 ipv4 地址， 所以它一般只能作为实现翻译技术、隧道技术等其他主要过渡技术的工具。图 2.1 是双协议栈结构图。 中南民族大学硕士学位论文 5 应用层协议 tcp/udp 协议 ipv6 协议 ipv4 协议 物理层及链路层协议 图 2.1 双协议栈结构 2.2 隧道技术 所谓隧道技术顾名思义就是通过建立一条虚拟的隧道来连接通信双方。图 2.2 示意了他的工作原理。这种技术主要应用于连接彼此分隔的 ipv6 子网络，通 过在 ipv4 网络中建立一条通信信道达到 ipv6 子网络互相之间的连接。 隧道技术 的基本框架是在每一个ipv6子网络与ipv4网络接壤的地方安装一台具备有双协 议栈的网关。两个 ipv6 子网络之间的通信要通过这两个双协议栈网关来实现。 双协议栈网关与双协议栈网关之间利用 ipv4 协议通信，他们实现的是两台 ipv4 主机在 ipv4 网络中进行的通信。ipv6 子网络中的 ipv6 节点与本网络边缘的双 协议栈网关之间利用 ipv6 协议通信，他们实现的是两台 ipv6 主机在 ipv6 网络 中进行的通信。 当一个 ipv6 子网络中的主机要与另一个 ipv6 子网络中的主机进 行通信时，他把数据报传给处在本 ipv6 子网络边缘的双协议栈网关。双协议栈 网关通过查找数据报的目的地址决定这是要通过隧道发送到隧道另一端 ipv6 子 网络的数据报。 于是他把整个数据报作为有效载荷封装成一个目的地址是隧道另 一端双协议栈网关 ip 地址的 ipv4 数据报，然后把数据报发往隧道。数据报经过 隧道到达隧道另一端点的双协议栈网关后，通过提取这个数据报 ipv4 报头的最 后一个报头的下一报头字段值得知这是隧道传来的数据报，于是剥去数据报的 ipv4 报头，得到原 ipv6 数据报。然后利用 ipv6 协议把 ipv6 数据报在 ipv6 子 网络中发往目的 ipv6 节点。 从对隧道技术的分析可以看出， 处于隧道两头的 ipv6 子网络中的主机进行通信时，是感觉不到隧道的存在的，隧道是由处于隧道端点 的网关来管理的。 ipv4 向 ipv6 过渡中安全问题的研究 6 图 2.2 隧道技术工作原理图 2.3 翻译技术 当处于网络中的 ipv6 主机和 ipv4 主机之间进行通讯时， 就需要利用翻译技 术。 网络层协议-地址翻译技术以及无状态因特网控制报文协议-因特网网际协议 翻译技术是主要的网络层翻译技术。无状态因特网控制报文协议-因特网网际协 议翻译技术也是网络层协议-地址翻译技术的核心技术。 2.3.1 无状态因特网控制报文协议-因特网网际协议翻译 无状态因特网控制报文协议-因特网网际协议翻译技术是对在网络中传送的 数据报如果需要改变数据报所采用的网际协议时所制定的一套技术标准。 实施无 状态因特网控制报文协议-因特网网际协议翻译技术的环境是要有一个具备双协 议栈且安装了无状态因特网控制报文协议-因特网网际协议翻译技术转换器的翻 译网关。该网关分别位于一个 ipv6 子网和一个 ipv4 子网的边缘，也就是网关处 于 ipv6 子网和 ipv4 子网的交界处。同时该网关还需要拥有一个 ipv4 地址池。 无状态因特网控制报文协议-因特网网际协议翻译技术标准所要完成的任务是， 规定了当 ipv6 主机与 ipv4 主机之间相互通信时， 负责把传送中的数据报从一种 网际协议的数据报改变成另一种网际协议的数据报， 或者对两种网际协议的控制 报文所传达的错误信息进行转换的方法。它使用一种网络前缀是： ：ffff/96 的 地址类型，该地址类型的结构为：0： ：ffff:w.x.y.z。无状态因特网控制报文协 议-因特网网际协议翻译技术所设计的方法是， 如果一个处于 ipv4 子网中的主机 向一个处于 ipv6 子网中的主机发送数据报，这会是一个 ipv4 数据报。该数据报 会送往网关。网关对收到的 ipv4 数据报的目的地址进行分析，如果是一个该网 关所拥有的 ipv4 地址池里的地址，说明该数据报是要送往 ipv6 子网中的一个 ipv6 主机。这时网关根据地址映射关系得到这个 ipv6 主机的真实 ipv6 地址， 然后把这个ipv4数据报转换成ipv6数据报并送往ipv6主机。 如果一个处于ipv6 中南民族大学硕士学位论文 7 子网中的主机向一个处于 ipv4 子网中的主机发送数据报， 这会是一个 ipv4 数据 报。该数据报会送往网关。网关对收到的 ipv6 数据报的目的地址进行分析，如 果该目的地址是一个前缀是： ：ffff/96 的地址，网关知道这是一个映射地址， 与是从这个地址中提取出真实的目的的 ipv4 地址， 然后把这个 ipv6 数据报转换 成 ipv4 数据报并送往目的 ipv4 主机9。 2.3.2 网络层协议-地址翻译技术 网络层协议-地址翻译技术是目前最著名的地址翻译机制。它是无状态因特 网控制报文协议-因特网网际协议翻译技术和 nat 动态地址翻译技术的结合与改 进。 nat-pt 处于 ipv4 网络和 ipv6 网络的交界处，用来实现 ipv4 主机与 ipv6 主机之间的通信。当一台 ipv4 主机要与 ipv6 主机通信时，nat-pt 网关从 ipv4 地址池中分配一个 ipv4 池地址标识 ipv6 主机。在 ipv4 与 ipv6 主机通信期间， 由 nat-pt 保存并处理 ipv4 池地址与 ipv6 主机的映射关系。在 nat-pt 中，使用 应用层网关 alg 转换分组中的 ip 地址格式。下面举例细说 nat-pt 的原理。 先介绍网络的设定。如图 2.3 所示，整个网络包括 ipv6 子网以及 ipv4 子 网，处在这两个网络交界处的是一个 nat-pt 网关设备。在 ipv4 与 ipv6 网络上 各有一台主机与一台域名服务器 dns 。同时在 nat-pt 转换器上裝有 dns-alg。 再介绍网络环境的设定。ipv6 子网的网络前缀是 77ff：4444：1： ：/64。 pc1 主机的 ip 地址是 77ff：4444：1： ：3，域名服务器 dns1 的 ip 地址是 77ff： 4444：1： ：2，ipv4 子网的网络地址是 ， pc2 主机 的 ip 地址是 ，域名服务器 dns2 的 ip 地址是 。nat-pt 转换器上有 两个设置：一个是地址池 address pool，这是 nat-pt 转换器所拥有的 ipv4 地 址，他们用来将 ipv6 主机的地址转换成 ipv4 地址。另一个设置是 nat-pt prefix（本例中为 77ff：4444：2： ：/96） ，这个设置是用来转换 ipv6 地址的。 对于只认识 ipv6 地址的 pc1 主机来说， pc2 主机的地址就是 77ff： 4444： 2： ： ，而且 nat-pt 转换器看到这个地址，就知道可以转换成 ipv4 地址 。 ipv4 向 ipv6 过渡中安全问题的研究 8 图 2.3 ipv4/ipv6 转换架构图 接下来介紹 nat-pt 转换器的运作流程。 nat-pt 转换器必须有 dns-alg 的 协助才能实现完成自动建立网络地址对应关系的功能，这里以 nat-pt 转换器加 上 dns-alg 功能平台，来说明 nat-pt 转换器的运作流程与相关技术。 图 2.4 ipv4 与 ipv6 网络建立连接时的流程 首先，当 ipv4 主机想要与 ipv6 主机通信时，ipv4 主机并不知道数据报 中的目的地地址应该填什么，因此 ipv4 主机需要利用域名解析机制，向负责 ipv6 的域名服务器查询后才能与 ipv6 主机通信。首先， ipv4 主机发出查询 的 dns 报文(1 步)， ipv4 网络中的域名服务器查询不到 该域名，于是将该查询数据报转送到 ipv6 的域名服务器(2 步)，因为 nat-pt 转换器是 ipv4 子网 与 ipv6 子网之间的网关，所以该查询数据报将会被 nat-pt 转换器截获并将原域名报文中 resource record 的类型由 a 改为 aaaa (3 步)， 中南民族大学硕士学位论文 9 然后再将该查询数据报转送到 ipv6 网络中查询(4 步)，该域名查询数据报会在 域名服务器 dns1 查得 ipv6 地址。 在图 2.4 中得到 的 ipv6 地址是 77ff：4444：1： ：3，当获得的域名讯息回传时又经过 nat-pt 转 换器( 5 步)， 这时 dns-alg 将 resource record 中的 type 由 aaaa 改回 a ( 6 步)。于此同时，nat-pt 转换器根据域名讯息中的地址解析知道 ipv4 主机欲通 信的 ipv6 主机的目的地址为 77ff：4444：1： ：3，于是从 ipv4 地址集中分配一 个可用的 ipv4 地址来代替 ipv6 目的地址，并建立 ipv6/ipv4 地址对应关系。 这样，pc2 主机以后只要使用 nat-pt 转换器分配的这个 ipv4 地址就可以 和 pc1 主机通信。此时 nat-pt 转换器中的 ipv4/ipv6 地址对应关系已经建立， nat-pt 转换器接着要做的是就是 ip 协议的转换，并同时参照 ipv4/ipv6 地址 对应关系将 ipv4 地址改成与通信对应的 ipv6 地址。pc2 主机接着送出 ipv4 报文給 pc1 主机(11 步)，如果不知道 pc1 主机的 mac 地址，pc2 会发出 arp 讯 息来询问( 9、10 步)。nat-pt 转换器收到 ipv4 报文后，就根据 dns-alg 所建 立的地址对应表，将 ipv4 地址转换成为 ipv6 地址，并把包格式转换成 ipv6 图 2.5 ipv6 与 ipv4 网络建立连接时的流程 数据报后送給 pc1(14 步)。若 nat-pt 转换器不知道 pc1 的 mac 地址，则会发出 icmpv6 的查询数据报(12、13 步)。 反过来说，如果是 ipv6 主机主动经过 nat-pt 与 ipv4 主机通信，那么流程 如图 2.5 10。 ipv4 向 ipv6 过渡中安全问题的研究 10 2.4 本章小结 在这一章里，我们对网络过渡阶段所存在的主要的几种过渡技术进行了研 究。重点研究了网络层协议-地址翻译技术。就目前所存在的过渡技术来说，还 没有那种技术说能取代其他技术而成为主流技术，各种技术都有其自身特点，都 有各自具体的应用环境要求，都有各自独特的功能。因此，针对不同的网络环境 应分别采用不同的过渡技术。 中南民族大学硕士学位论文 11 第 3 章 网络安全协议 3.1 概介 网络安全协议顾名思义是为了保护网络上传送的数据类容的安全而设计的 协议。在现在的 ipv4 网络协议中，没有考虑需要对在网络上传送的数据进行安 全保护，造成了目前网络上安全问题层出不穷。所以在对 ipv6 进行规划时，开 始关注网络安全问题， 着手设计网络安全协议并把网络安全协议融入下一代网络 协议的设计中。网络安全协议其实是一个包含众多协议的协议簇。他是在关注对 下一代网络协议进行安全保护的基础上进行开发的， 但同时也考虑到对现在的网 络协议的保护，对现在的网络协议是兼容的。同样可对利用现在的网络协议进行 传送的数据进行有效保护11。 网络安全协议与现代 cryptography 密不可分， 是利用现代 cryptography 建立 起来的。 他的主要思想是在网络中引进 cryptography 来建立对网络实施安全保护 的体系。他对网络所提供的安全服务主要分为两种类型，一种类型是提供网络传 送的数据的认证，另一种类型是提供对网络传送的数据的加密保护。用户可对网 络安全协议所能提供的各种安全服务根据自己的实际需要有选择地加以使用。 网络安全协议在安全方面所具有的能力主要表现在下面几个方面。 anti-replay：网络中存在的一种常见的安全威胁是对网络实施攻击的攻击者 通过截获在网络上传送的数据报，然后根据自己设计的攻击的需要可以多时段、 多批次地在网络上重传该数据报来破坏网络上正常的数据报的传送。 也可以通过 将截获的数据报在今后某个时候在网络上重传来达到仿冒别人取得非法访问权 的目的。anti-replay 则是专门针对这些类型的攻击采取的安全措施。它的作用是 保证每一个数据报的唯一性，保证同一个数据报不能重复使用还被目的地接收。 certification： 建立安全通信连接时， 发起连接的一方需要向对方发送信任状， 接收方会对收到的信任状进行有关合法性的检验， 安全通信连接的建立必须通过 certification。 non-repudiation：cryptography 中有一种公开密钥技术。使用这种技术的数 据发送方有一个公钥和一个对应的私钥，公钥在网上公开，只有私钥需保密不公 开。当发送方发送数据报时，对要发送的数据报进行摘要算法生成一个数据报摘 ipv4 向 ipv6 过渡中安全问题的研究 12 要，然后把摘要用私钥加密后附在数据报上和数据报一起发送。数据报接收方收 到数据报后，可以用发送方的公钥将加密摘要解密，通过解密的摘要来验证数据 报的真实性。由于私钥是保密的，所以只有发送方能生成该数据报正确的加密摘 要。所以只要数据报在接收方通过了验证，接收方就可确定这确实是发送方发送 过来的。同时发送方对发送过这个数据报就无法抵赖。 data reliability：数据的可靠性是利用安全协议提供的加密保护功能来实现 的。通过对数据加密，可以确保数据报在网络上传送时，即使被别人非法获取也 无法获得信息类容。 data integrity：在采用安全协议的通信中，数据报发送方对每个将要发送的 数据报都会利用 cryptography 中的某种散列算法生成一个数据报的效验和并且 加密这个效验和。 接收方在收到数据报后就会重新计算数据报的效验和并且解密 发送方计算的效验和，然后比较两者是否一致。如果一致，说明数据报没有被修 改。否则抛弃这个数据报。这样就保证了接收到的数据与发送出的数据是一样的 12。 3.2 安全协议的组成 在制定网络安全协议时，由于需要考虑的是整个网络层的安全问题，所以为 了满足网络层对安全的各种不同的需求， 网络安全协议设计了各种不同的安全防 护方案。他是由一系列具有不同的安全防护方案的协议所组成的。主要的安全防 护方面的协议有两个。他们是 authentication header 和 encapsulating security payload。另外，在采用安全措施时，还需要事先在通信双方之间建立 安全连接，所以还包括 internet key exchange13。 图 3.1 网络安全协议各组件的关系图 中南民族大学硕士学位论文 13 3.2.1 encapsulating security payload 封装安全加载是安全协议体现中两个安全协议中的一个。 他和密码学息息相 关， 他的主要内容就是利用密码学的相关密码知识对需要发送的数据报的信息进 行加密处理。获得加密处理后的数据报的任何一方，只有在拥有解密的密钥的情 况下才能从中获取其中的信息。任何一个获得加密处理后的数据报方，如果没有 相应的解密的密钥，都无法从密处理后的数据报中得到信息。这样就保证了数据 报在网络上传送时数据报信息的可靠安全。 目前封装安全加载中所使用的加密方 法主要是数据加密标准。数据加密标准由于加密强度有限，所以为了提高加密强 度，实际应用中通常是对数据报进行三重的数据加密标准加密。在利用封装安全 加载对数据报信息进行加密时， 根据加密内容的不同又可分为隧道模式和传输模 式这样两种不同的模式14。 封装安全加载中的传输模式通常是用于对端到端传送的数据报进行加密。 在 发送端，当对要发送的数据报进行传输模式封装安全加载加密时，是对数据报中 除网络层报头外的所有数据报内容以及封装安全加载的报尾进行加密运算， 所得 到的结果成为数据报中的加密部分。 进行封装安全加载后的数据报的组成是这样 的。最前面是没有经过加密处理的 ip 报头，然后是封装安全加载的报头，然后 是加密部分，最后是封装安全加载的认证报尾。封装安全加载的认证报尾是用于 检验数据报的完整性的。检验的范围是加密部分和封装安全加载的报头。其格式 见图 3.2 图 3.2 封装安全加载传输模式的封装格式 封装安全加载中的隧道模式与封装安全加载中的传输模式是两种不同的安 全模式。他们的区别主要是两个方面。第一个是应用环境不同。封装安全加载隧 道模式应用的环境是，隧道连接网络中的两个子网。子网中的主机与隧道端点的 网关之间传送的数据报不加密。 两个隧道端点网关之间经过隧道传送的数据报要 加密。第二个是对数据报加密的范围不同。隧道模式中，在隧道端点网关是将整 ipv4 向 ipv6 过渡中安全问题的研究 14 个 ip 数据报都加密，成为加密部分。然后再生成一个新的 ip 数据报报头。新报 头中的目的地址不是原数据报中的目的地址，而是隧道另一端网关的 ip 地址。 其格式见图 3.3 图 3.3 封装安全加载隧道模式的封装格式 3.2.2 authentication header 认证协议头是利用密码学中的某种散列算法对需要发送的数据报进行散列 函数的运算，经过运算生成一个数据报的摘要，然后运用某种加密算法对这个摘 要进行加密， 最后把加密的摘要和一个认证协议的头部一起放进数据报生成一个 新的数据报。认证协议的首要功能是实现对数据报的认证。在数据报发送端，是 用发送端的私钥对数据报摘要进行加密，当数据报到达接收端，接收端再用发送 端的公钥对数据报摘要进行解密， 同时还要用与发送端同样的散列算法再次计算 数据报的摘要并同解密的摘要进行比较。若相同，数据报才能通过认证。否则， 接收端认为该数据报是一个假冒的数据报或者该数据报在传送过程中被修改， 就 丢弃该数据报。因为对数据报的摘要进行加密的私钥只有发送端自己知道，所以 只有发送端才能产生正确的加密摘要。所以在接收端，只要数据报通过了认证， 就可以断定数据报确实是发送端发送的， 而且在数据报的传送过程中没有遭到任 何修改。在认证协议中，对摘要加密所使用的加密算法主要是 md5 和 sha-1 两 种。在利用认证头对数据报信息进行认证时，根据认证内容的不同又可分为隧道 模式和传输模式这样两种不同的模式15。 认证头中的传输模式通常是用于对端到端传送的数据报进行认证。在发送 端，当对要发送的数据报进行传输模式认证时，是对数据报中所有数据报内容进 行认证运算，所得到的结果成为数据报中的认证部分。进行认证后的数据报的组 成是这样的。最前面是 ip 报头，然后是认证头的报头，最后是原 ip 数据报的有 效载荷16。其格式见图 3.4。 中南民族大学硕士学位论文 15 图 3.4 认证头传输模式的封装格式 认证头中的隧道模式与认证头中的传输模式是两种不同的安全模式。 他们的 区别主要是两个方面。第一个是应用环境不同。认证头隧道模式应用的环境是， 隧道连接网络中的两个子网。 子网中的主机与隧道端点的网关之间传送的数据报 不认证。两个隧道端点网关之间经过隧道传送的数据报要认证。第二个是对数据 报认证的范围不同。隧道模式中，在隧道端点网关,是将整个 ip 数据报作为有效 载荷重新生成一个新的 ip 数据报。新报头中的目的地址不是原数据报中的目的 地址，而是隧道另一端网关的 ip 地址。这时对数据报认证的范围是包括新报头 在内的整个数据报。其格式见图 3.5。 图 3.5 认证头隧道模式的封装格式 3.2.3 internet key exchange 网络密钥交换协议是一种为网络上的通信建立安全连接时， 通信双方互相交 换密钥，互相交换建立安全连接时所需要的一系列资料的工具。他可以为通信双 方自动建立安全通信时所需要的安全关联。 网络密钥交换协议是在因特网密钥管 理与安全关联协议框架上建立起来的。 他是由运行在主机上的一个专门的进程来 完成的。这个进程在主机不进行建立安全连接时是不活动的，只有在主机进行建 立安全连接时他才会活动。网络密钥交换协议可以在通信双方互相交换密钥，互 相交换建立安全连接时所需要的一系列资料的时候， 对通信中的信息实行安全保 护。这种安全保护是由网络密钥交换协议自己的一系列独特的技术来实现的17。 3.3 本章小结 在这一章中，对网络安全协议进行了研究。网络安全协议是由若干协议共同 ipv4 向 ipv6 过渡中安全问题的研究 16 构成的一个协议体系。 他针对网络用户对网络安全的不同需求提供了各种不同的 安全服务技术。各种安全服务技术所提供的安全保护方式各不相同。通过身份认 证提供的安全保护，可已让接收方确认发送方的真实身份。通过完整性服务可以 确认接收方接收的数据在传送过程中是否被修改。通过对数据加密的服务，可以 防止传送的信息内容泄露。 中南民族大学硕士学位论文 17 第 4 章 翻译技术安全匹配的改进 4.1 过渡技术中的安全问题 在 ipv6 网络逐渐替换 ipv4 网络的过渡过程中，随着过渡技术的应用及网