(计算机应用技术专业论文)ipv6网络的安全技术研究.pdf_第1页
(计算机应用技术专业论文)ipv6网络的安全技术研究.pdf_第2页
(计算机应用技术专业论文)ipv6网络的安全技术研究.pdf_第3页
(计算机应用技术专业论文)ipv6网络的安全技术研究.pdf_第4页
(计算机应用技术专业论文)ipv6网络的安全技术研究.pdf_第5页
已阅读5页,还剩52页未读 继续免费阅读

(计算机应用技术专业论文)ipv6网络的安全技术研究.pdf.pdf 免费下载

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

硕士论文i p v6 网 络的安全技术研究 a b s t r a c t t h eart i c l ef i r s ti n t r o d u c e dt h e1 p v 6n e t , o r kr e l a t e db a c k 盯o u nd andt h e t e c h nol o g y ,and h avea n a l y z e dt h es e c u r i t y abi l i t y ,t h es e c u r i t ys y s t e 口c o n s t i t u t i o n a g r e e m e n tandt h ei pse cs e c uri t y o fi p v 6 : i pse cb a s i c8gr e e men taut h e n t i c a t i o n s a f e s e a l l o a d t e x t o f a t e l e 盯翻 ( esp ) : e x p a n s i o nt e x t and d e t a i li n t r o d u c e d o fat e l e 盯叨 ( 胡)and t h e s y s t 恤 o t h e r p art s o f i p v 6 s e c u r i t y , e x a . p l e , t h e s e c u r i t y pol i c y 、t h e e n c r y p t i o n and t h e aut h e n t i c a t i o n a 1 g o r i t 恤 t h ek e y. a n a g e 配n tands oo n ,t h eart i c l ed i s c u s s e dh ow t h em t o和r k ,t h e y mat c he a c ho t h e rt o盯o t e c tt h ei p v 6n e t ,or ko fs e c u r i t y .and a n a l y z e d c u r r e n ti p v 6n e t 份 o r ke x i s t e n c es o me l o o p h o 1 e sa n dt h ef 1 舰,a s,el la ss o 口 e t r adi t i o nals e c u r i t y t o o l su n d e r i p v 6 i 叩r o v e men t , has s i mul t ane o u s l y i n t r o d u c e d t h es a f e a u d i t a n dt h e r i s ka n a l y s i s t h e o r yc o n s t r u c t si nt h en e x t g e n e rat i o n n e t ”r k d y n 阳i c s e c u r i t y 咖d e l ; f i nal l y h a s c arr i e d o n t h e a n a l y s i s t ot h ei p v 6f i r e , a l lr e a l i z a t i o np r o t e c t i o nn e t , orks e c u r i t y ,h a s少o duc e d i nt h ef i r e w a l li nar e a l i z a t i o np r o t e c t i o n田 o d u l e ,h a dt ot h ef i r e w a l li n i p v 6 n e t ,or k pto t e c t i v e mea s ure h adf u r t h e r u n d e r s t o o d . t h e art i c l e c o n c l u s i o nhasc arr i e do nt h ef ore c a s tt ot h ei pv6d e v e 1 o p . e n t ,a n ds ome q u e s t i o n s 汕i c h n e e d s t oi . p r o v e t o t h e n e x t g e n e rat i o n n e t 和r ki n h ave c a r r i e d o nt he i n duc t i o ns u 田 田 a r y ,e x p 1 a i n e dt h er e s e arc hg o a 1 andt h eh arv e s t , i t , a s c l e ar abo u tt h ec o n s t r u c t e dt h en e ,s e c u r i t y.d e lfort h en e x tg e n e r a t i o n s e c u r i t ye x t r e m e l yi 帅ort a n t l yt os e n dt h es i g n i f i c anc e k e y,or d s : i p v 6 ,i ps e c ,s e c u r en e t 劝r k ,ah,a p p d r r ,f i r 昨a l l il 声明 本学位论文是我在导师的指导下取得的研究成果,尽我所知,在本学位论 文中,除了加以标注和致谢的部分外,不包含其他人已经发表或公布过的研究 成果, 也不包含我为获得任何教育机构的学位或学历而使用过的材料。与我一 同 工作的同事对本学位论文做出的贡献均己在论文中作了明 确的说明。 研 究 生 签 名 : 拜 扭 一盗 州 年 阴阳 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档,可以借阅或_ 七 网公 布本学位论文 的部分或全部内容,可以向有关部门或机构送交并授权其保存 、 借阅或上网公布本学位论文的部分或全部内容。对于保密论文,按保密的 有关 规定和程序处理。 研 究 生 签 名 : 鬓 丛 法 一一 知刁年了 月7 日 硕士论文ipv6网络的安全技术 研究 1绪论 在当前计算机网 络飞速发展的 步伐下,i p v4 的局限 性和缺点 越发明 显, tcp / ip 的工程师和设计人员在20世纪80年代初期就意识到了到了对i p v4的升级需求,因 为当时已 经发现 ip地址空间随着 i nternet的发展只能支持很短时间,过去几年中 i p v 4 地址资源的紧缺引发了一系列安全问题, 尽管i p v6协议在网 络安全上做了多项 改进,但是其引入也带来了新的安全问 题。由于我国i p v4地址资源严重不足,除了 采用c i dr、 v lsm 和d h c p 技术缓解地址紧张问 题, 更多的是 采用私有ip地址结合网 络地址转换( n a t / p a t ) 技术来解决这个问 题。 比 如pstn、 adsl、 g p rs拨号上网、 宽带 用户以及很多校园网、 企业网大都是采用私有i pv4 地址, 通过n a t 技术接入互联网, 这不仅大大降低了网络传输的速度,且安全性等方面也难以 得到保障。从根本上看, 互联网可信度问 题、端到端连接特性遭受破坏、网络没有强制采用 ip s ec而带来的 安全性问 题,使i pv4 网络面临各种威胁。 i p 安全协议 , ( i p s e c )i ps e c 是1 入4 的一个可选扩展协议, 而在i p v 6 则是一 个必备组成部分。 ips ec协议可以“ 无缝”地为ip提供安全特性, 如提供访问 控制、 数据源的身份验证、 数据完整性检查、 机密性保证, 以 及抗重播( r 印l ay) 攻击等。 新 版路由 协议璐p f v3 和 r 工 p ng采用ip s ec来对路由 信息进行加密和认证, 提高抗路 由 攻击的 性能。 需要指出的是, 虽然ips ec能够防止多 种攻击, 但无法抵御s nif fer 、 d o s 攻击、 洪水( f i o od) 攻击和应用层攻击。 i pv6 协议确实比i p v4 的安全性有所改进,i pv4中常见的一些攻击方式,将在 i pv6 网络中失效, 例如网络侦察、 报头攻击、 ic解攻击、 碎片攻击、 假冒 地址、 病 毒及蠕虫等。 但数据包侦听、中间人攻击、 洪水攻击、 拒绝服务攻击、 应用层攻击等 一系列在i pv4 网络中的问题, i p v6仍应对乏力, 只是在i p v6的网络中事后追溯攻 击的源头方面要比 在i p v4中容易一些。i p v6是新的协议, 在其发展过程中必定会产 生一些新的安全问 题,主要包括应对拒绝服务攻击( d os) 乏力、 包过滤式防火墙无法 根据访问 控制列表acl 正常工作、 入侵检测系统( i d s)遭遇拒绝服务攻击后失去作用、 被黑客篡改报头等问题。 向i p v 6 迁移的可能漏洞 由 于i pv6 与i p v4网 络将会长期共存,网络必然会同 时存在两者的安全问 题, 或由 此产生新的安全漏洞。已 经发现从i p v4 向 i p v6转移 时出 现的一些安 全漏洞, 例如黑客可以 使用i p v6非法访问 采用了i p v4和i p v6两种 协议的l an的网 络资源, 攻击者可以 通过安装了 双栈的使用i pv6 的 主机, 建立由i pv6 到i pv4 的隧道, 绕过防火墙对i pv4 进行攻击。向i p v6协议的转移与采用其他任何 一种新的网络协议一样, 需要重新配置防火墙, 其安全措施必须经过慎重的考虑和测 硕士论文ip v6 网络的安全技术研究 试, 例如i pv4 环境下的i ds并不能直接支持i p v6, 需要重新设计, 原来应用在i pv4 协议的安全策略和安全措施必须在i pv6 上得到落实。目 前,i p v4向i pv6 过渡有多 种技术, 其中 基本过渡技术有双栈、 隧道和协议转换, 但目 前这几种技术运行都不理 想。 由 此可见,分析和研究 i pv6在网络运行的安全问题非常重要,可以为 ip s ec 的 制定提供完善的数据和可靠保证。 1 .1课题研究背景 在我国 i p v6 的发展主要是教育网的发展,带动下一代网络的发展, 目 前, cernetz 试验网以2 . sg的 速度连接北京、 上海和广州三个cernetz 核心节点, 并与 国际下一代互联网相连接, 开始为清华大学、 北京大学、 上海交通大学等一批 “ i p v6 常青藤”高校提供高速i pv6 服务。 它的开通也标志着中国学术互联网的i p v6之路已 经踏上征程。 国外对 i p v6 网络安全的 研究起步较早,已经有了一些基于i psec的试验v p n , 但大都是在专用的平台下实现, 与操作系统绑定得都比 较紧密, 有的甚至就是一个黑 盒子。 关于不同的ip s ec实现间的互操作性,目 前还有令人满意的测试报告。具有 代表 性的 有 完 善i p v 6 中k a m e 计 划, i k e 中 的a e s 一 c bc c i p h e r ,a e s 一 x c 砚一 p 即 一128 等算法以 及在v pn方面 应用研究。 国内 对i p v6网络安全研究还处于初期, 主要是在理论方面, 完整地实现了i psec 整个协议的安全产品还比较缺乏。 研究单位主要是北京邮电大学和中国科技大学。 研 究领域集中 在a es算法, j f k 协议, adhoc 网络安全系统, v pn防御加5 攻击, ips ec一 n a t 兼容性穿越技术,移动i pv6 ,嵌入式v pn安全以 及ip多媒体网络等方面。 1 .zipv6 网络存在的安全问 题 目 前, i pv 6 网 络 存 在的 安 全问 题图 主 要 有如 下 几 个 方 面: 1 .ip网中许多不安全问题主要是管理造成的。i pv6 的管理与i pv4 在思路上有 可借鉴之处。 但对于一些网管技术,如s n m p 等,不管是移植还是重新另搞,其安全 性都必须从本质上有所提高。由 于目 前针对i p v6的网管设备和网管软 件几乎没有成 熟产品出 现,因 此缺乏对i pv6 网 络进行监测和管理的手段, 缺乏对大范围的网 络故 障定位和性能分析的 手段。 没有网管, 何谈保障网 络高效、安全运行? 2 .p ki管理在i pv6 中 是悬而未决的 新问 题; 3 . i p v 6 网络同样需要防火墙、 v p n 、i ds、漏洞扫描、网络过滤、防病毒网关等 2 硕士论文i p v 6 网 络的安全技术研究 网 络安全设备。 事实 上i p v6环境下的病毒己 经出 现。 这方面的安全技术研发还尚 需 时日; 4 .ip v6协议 仍需 在实 践中 完善, 例如i p v6组播 功能 仅仅规定了 简单的 认 证功 能 所以 还难以 实现严格的 用户限 制功能, 而移动i p v6( mob i e l l pv6)也存在很多 新 的安全挑战。 d h c p 必须经过升级才可以 支持i p v6地址, dhc p v6仍然处于研究、 制订 之中。 1 .3i pv6 网 络安全研究意义 ipv6网 络安全主要是以i psec作为基石, i p v6和 i p v4相比 具有诸多优势: 地址 空间巨大, 支持分级路由 结构, 能进行有状态和无状态的地址培植, 具有内 置的安全 策略( i psec) ,能更好地支持qos 以 及具有良 好的 可扩展性等等。 2 0 03年 10月中国 宣布即将启动c n g i 项目( 中国下一代互联网项目 ) , 并在2 0 05年底建成世界上最大的 ipv6网。 cngi项目 将成为整个i p v6产业部署进程的 孵化器和助推器。 在这种国 家大 力支持的大好形势下, 利用我们自 身的科研资源和条件,努力抓住发展契机, 搭建 i pv6 的实验环境, 做一些i pv6 的研究, 推动工 p v6的应用,为i pv6 即将到来大规模 商用做好技术储备是非常必要和有意义的。 而且, 现有安全体系并不能完全适应i p v6 的许多新的应用。 随着i p v6的迅速发展, 基于i p v6的下一代互联网的安全性研究就 更加突显重要,切实地研究出新的安全方案以解决i pv6 和现有安全体系的兼容性问 题,在当前已成为了非常迫切的事。 1 .4本文研究内容 本文是在南京理工大学与cernetz 试验网成功连接及下一代网络i p v6实验室建 设的基础上, 全面认识下一代网络发展情况, 联系目 前的网络安全技术, 分析了i p v6 网络运行的安全体系,并指出了下一代网络安全研究中的意义。详细介绍了 i psec 各部分如ah、 e sp、 i ke及sa等; 并构建了 下一代的网 络安全模型, 然后, 介绍传统 的防火墙在i p v6网络环境下需要做出的一些的改进, 并利用在i p v6环境中防火墙针 对地址限 制的一个模块利用数据报头分析的 技术实现在地址限 制; 最后对以 后 i pv6 网络的发展存在的问 题提出了一些建议, 并对以 后ipv6在校园网建设方面进行展望。 1 .5本文结构 第一章 绪论。 主要介绍了 本课题研究的背景, 以 及i pv6 网 络安全在国内 外的 研 3 硕士论文i p v 6 网络的安全技术研究 究进展与应用情况, 并对下一代网 络安全通信协议ips ec的实 验的 意义进行了 概述, 最后对本文研究内 容和文章结构进行了 介绍。 第二章 i p v6网 络技术。 主要介绍了i p v6的发展, 对i pv6 的发展进行了 概述, 然后对i p v4和i p v6进行了 对比 分析, 并对i p v6优点 进行了总结. 最后对国内 外i pv6 的发展做介绍。 第三章 基于ip s ec的i p v6安全机制。 分析了i pv6 的安全协议ip s ec的安全 能力、ip sec 的安全体系的构成、ip s ec的 工作方式. 论 述了ipsec 在ip报文的 完整性、机密性、 数据来源谁和抗重播等方面的能力,ip se。的 基本协议: 认证扩 展报头 ( ah) 和安全封装载荷报文头 (es p) 与ips ec安全体系的其它组成部分如安 全策略、 加密和认证算法、 密钥管理等如何合作, 共同完成了 对ip报文的安全保护。 这些合ip s ec成为完整的网络层协议, 对i p v6网络安全的提供了 有效保证。 第四章 i p v6网络运行中的安全防御体系。 详细阐述了在i pv4 向i pv6 过渡时期 一些安全工具如何实现改进的, 对网 络安全保障作用, 在原有模型a p p d rr网 络安全 模型的 基础上加入了 新的安全审计和ips ec安全体制, 构建了 新一代网络安全模型。 第五章 基于防火墙对i pv6 的安全研究。主要介绍了传统防火墙在i p v6 网 存在 的问题, 针对三种不同的防火墙的架构模式进行了分析, 并根据下一代网络要求提出 了改进方法。 第六章 基于ip地址限制的i pv6 防火墙实现。主要对防火墙程序中的一个模块 进行了阐述,主要的功能是实现对前后两个ip地址进行实时对比,从而实现对子网 的保护。 第七章 结论。对研究分析试验中的不足之处进行归纳总结,说明研究目 的与收 获, 并对i p v6网络安全进行了展望。 并对下一步i p v6需要解决的问题, 提出了自己 的看法和观点。 硕士论文i p v6网络的安全技术研究 z i p v 6 网络技术 2 .i i p v 6 发展概述 随着互联网的迅速发展, 使用i nternet 技术的tcp / ip协议取得了巨大的成功。 但是, tcp / ip协议的研制者设有预料到i nternet 的规模会发展到今天这么大, 从而 使得现有的tcp/ip协议面临 许多困 难。 1 9 87年, 人们便预计在1 9 96年i nternet 将 接入 1 00, 0 00个网络, 这一预测看来是准确的。 此外,虽然目 前使用的32 位 i pv4 地址结构能够支持40亿台主机和6 70万个网 络,实际的地址分配效率,即使从理论 上说也远远低于以上数值。使用a 、b 和c 类地址,使这种低效率的情形变得更为严 重。 自 八十年代后期,研究人员开始注意到了这个问 题,并提出了 研究下一代 ip协 议的设想。1 9 9 0 年, 人们预计, 按照当时的 地址分配速率到1 9 94年3 月b 类地址将 会用尽, 并提出了 最简单的补救方法: 分配多个c 类地址以 代替b 类地址。 但这样做 也带来新的问题,即进一步增大了已经以惊人的速度增长的主干网路由器上的路由 表。因此,i nternet 网络界面临着困难的选择, 或者限制i nternet 的增长率及其最 终规模,或者采用新的技术。 1 990 年后期,i etf 开始了一项长期的工作,选择接替现行i pv4 的协议。此后, 人们开展了 许多工作,以解决i pv4 地址的局限性, 同时提供额外的功能。 1 9 91年n 月,i etf 组织了路由选择和地址工作组( r d a d ) ,以指导解决以上问题。 1 9 92年9 月, r o a d 工作组提出了关于过渡性的和长期的解决方案建议, 包括采用c i dr路由 聚集方 案以 降低路由 表增长的 速度,以 及建议成立专门 工作组以 探索采用较大i nternet 地 址的不同方案。 1 993 年末,i etf 成立了i png 工作部,以 研究 各种方案, 并建议如何开展工作。 该工作部制订了i png 技术准则,并根据此准则来评价己 经提出的各种方案。在经过 深入讨论之后, 5 1 即( 5 1 帅l el n t e r n e tpro t o c o l p l u s ) 工作组提供t 一个经过修改 的方案,i p ng工作部建议i e tf将这个方案作为i p ng的基础,称为i pv6 ,并集中精 力制定有关的文档。自1 9 95年末起,陆续发表了i pv6 规范等一批技术文档。 2 .zi p v 4 和 i p v 6的特点 20世纪的互联网协议随着移动互联网、 语音/ 数据的集成以 及嵌入式互连设备的 5 硕士论文ipv6网络的安全技术研究 快速发展, 以 互联网 为核心的 未来通信模式正在形成。 到目 前为止, 互联网 取得了巨 大的 成功, 而这很大 程 度上归 功于其核 心通信协议i p v4的 高 度可 伸 缩性。 i p v4的 设 计思想成功地造就了目 前的国际互联网, 并容纳了 过去十年中网 络规模的 几何级数增 长, 其核心价值体现在简单、 灵活和开放性等方面。 但是, 新应用的不断涌现使互联 网呈现出新的特征, 传统的互联网协议版本,即i p v4, 已 经难以 支持互联网的进一步 扩张和新业务的特性,比如实时应用和服务质量保证。 对于i p v4和工 p v6, 其特点比 较12 可 见如下: 1 .i p v 4 的特点 i p v 4 的报头格式如图2 . 1 所示。 版本号 ( 4bi t ) 头 标 长 度 ( 4 b i t ) 服 务类 型 ( s b i t ) 数据包长 度( 1 6bi t) 标识 ( 1 6 b i t )d f吐 标准偏移t 生存时间 ( 肋 i t ) 传输协议 ( s b i t )头标校验和 (16bi t) 发送地址 ( 3 2 b i t ) 信宿地址 ( 3 2 b i t ) 选项( s b i t ) 填充 图2 . ii pv4 的报头格式 ip v4的 特点l21 体 现 在以 下方面: ( 1) 有限的地址空间i p v4协议中每一个网络接口由长度为32位ip地址标识, 这决定了i p v4的 地址空间为2 32, 大约理论上可以 容纳43亿个主机, 这一地址空间 难以 满足未来移动设备和消费 类电 子设备对ip地址的巨 大需求量。 加之存在地址分 配的大量浪费,有预测表明,以目 前 i nternet发展速度计算,所有 i pv4 地址将在 2 0 0 5 2 0 1 0 年间分配完。 在二十世纪九十年代的研究人员己 经意识到了 ip 地址空间以 及分配存在的问 题, 并开发了 一些新技术来改善地址分配和减缓ip地址的需求量, 比 如c i dr和n a t . 这些技术一定程度上缓解了地址空间被耗尽的危机,但为基于ip的网络增加了复杂 性,并且破坏了一些ip协议的核心特性,比如端到端原则,因此不能从根本上解决 i p v 4 面对的困难。 (2) 路由 选择效 率 不高i pv4 的 地址由 网 络和主 机地 址两 部分构 成, 以 支 持层次 型的路由结构。 子网和cidr 的引入提高了路由 层次结构的灵活性。但由于历史的原 因, i pv4 地址的层次结构缺乏统一的分配和管理, 并且多数ip地址空间的 拓扑结构 只有两层或者三层, 这导致主干路由 器中 存在大量的路由 表项。 庞大的 路由 表增加了 6 硕士论文i p v 6 网络的安全技术研究 路由 查找和存储的开销, 成为目 前影响提高互联网效率的一个瓶颈.同时,i p v4 数 据包的 报头长度不固 定, 因 此难以 利用硬件对提取、 分析路由 信息, 这对进一步提高 路由器的数据吞吐率也是不利的。 ( 3 ) 缺乏服务质量保证i p v4遵循b est e f f or七 原则, 这一方面是一个优点,因 为它使i p v 4 简单高效; 另一方面它对互联网 上涌 现的新的业务类型缺乏有效的 支持, 比 如实时 和多 媒体应用, 这些应用要求提供一定的服务质量保证, 比 如带宽、 延迟和 抖动。 研究人员提出了 新的协议在i p v4网络中 支持以 上应用, 如执行资源预留的r s vp 协议和支持实时传输的rtp/rtcp协议。 这些协议同 样提高了规划、 构造ip网络的成 本和复杂性。 i pv6 是i ntern et协议的一个新版本,其设计思想是对 i pv4 加以改进,而不是 对其进行革命性的改 造。 在i p v4 中 运行良 好的功能 在i p v6 中都给予保留, 而在工 p v4 中不能工作或很少使用的功能则被去掉或作为选项。 为适应实际应用的要求, 在i p v6 中增加了一些必要的新功能。 2 .i p v 6 的主要特点 i pv6 的报头格式如图2 . 2 所示。 图2 . zi pv6 的报头格式 i p v 6 的 特点体现在以下方面: ( 1) 经过扩展的地址和路由 选择功能。ip地址长度由32位增加到1 28位,可支 持数量大得多的可寻址节点、 更多级的地址层次和较为简单的地址自 动配置。 改进了 多目( nnjlti c a st) 路由 选择的规模可调性, 因为在多目 地址中 增加了 一个“ s cope” 字 段。 (2 )定义了 任一成员( anycast) 地址, 用来标识一组接口, 在不会引起混淆的情 况下将简称“ 任一地址” ,发往这种地址的分组将只发给由 该地址所标识的一组接口 中的一个成员。 (3 )简化的首部格式。i pv4首部的某些字段被取消或改为选项,以减少报文分 组处理过程中常用情况的处理费用,并使得i p v6首部的带宽开销尽可能低,尽管地 址长度增加了。 虽然i p v6地址长度是i p v4地址的四倍,i p v6首部的长度只有i pv4 首部的两倍。 (4 )支持扩展首部和选项。 i p v6的选项放在单独的首部中, 位于报文分组中i p v6 7 硕士论文ipv6网络的安全技术研究 首部和传送层首部之间。因为大多数i pv6 选项首部不会被报文分组投递路径上的任 何路由 器检查和处理, 直至其到达最终目 的 地, 这种组织方式有利于改 进路由 器在处 理包含选项的报文分组时的性能。 i p v6的另一改进, 是其选项与i pv4 不同, 可具有 任意长度,不限于40字节。 (5 )支持验证和隐私权。 i p v6定义了 一种扩展, 可支持权限验证和数据完整性。 这一扩展是i p v6的基本内 容, 要求所有的实现必须支持这一扩展。 i p v6还定义了 一 种扩展,借助于加密支持保密性要求。 (6 )支持自 动配置。 i p v6支持多 种形式的自 动配置, 从孤立网 络节点 地址的“ 即 插即 用”自 动配置, 到d h c p 提供的 全功能的 设施。 (7 )服务质量能力。i p v6 增加了一种新的能力, 如果某些报文分组属于特定的 工作流, 发送者要求对其给予特殊处理, 则可对这些报文分组加标号, 例如非缺省服 务质量通信业务或 “ 实时” 服务。 总之,i pv6 高效的互联网引擎引人注目 的是,i pv6 增加了许多新的特性,其中 包括: 服务 质量 保证、自 动配置、 支持移 动性、 多 点寻 址 ( mul t i cast) 、 安 全性。 基于以上改进和新的 特征,i pv6为互联网换上一个简捷、高效的引擎,不仅可 以 解决i p v4 目 前的 地址短缺难题,而且可以使国际互联网摆脱日 益复杂、难以管理 和控制的局面,变得更加稳定、可靠、高效和安全。 2 .3i pv6 数据报格式 ip v6数 据 报5 的 首 部 虽 然比i p v4首 部 长 , 但 却 大 大 地 简 化了 . i p v4首 部 中 的 一 些功能被放在扩展首部中或取消了。 ( 1 )版本 ( v e r s i o n ) 。i n t e r n e t 协议版本号,i png 版本号为6 。( 4 位字段) (2 )流标号 ( flo 比b e l)。 如果一台主机要求网络中的路由 器对某些报文进行 特殊处理, 如非缺省服务质量通信业务或实时服务, 则可用这一字段对相关的报文分 组加标号。(2 4 位字段) (3 )负荷长度 ( p a y l o a dl eng th) 。i p v 6 首部之后, 报文分组其余部分的长度, 以 字节为单位。为了允许大于64k 字节的负荷, 如本字段的值为0 ,则实际的报文分 组长度将存放在逐个路段( ho犷b y 一叩) 选项中。 ( 4 )下一首部 ( n e x th e a d e r ) 。标识紧接在 ( 16位无符号整数) i p v 6 首部之后的下一首部的类型。 下一首部字段使用与i pv4 协议相同的值。(8位选择字段) (5 )路径段限 制 ( h o p l i 耐t)。 转发报文分组的 每个节点将路径段限 制字节值减 一,如果该字段的值减小为零,则将此报文分组丢弃。(8位无符号整数) 硕士论文ip浦网络的安 全技术研究 (6 )源地址。 报文分组起始发送者的地址。( 12 8 位字段) ( 7) 目 的地址。报文分组预期接收者的地址 ( 如果有一个可选的路由 选择首部, 有可能不是最终接收者) 。( 1 28位字段) 在 i pv6中,i nternet 层选项信息存放在单独的首部中, 位于报文分组的i pv6 首部和传送层首部之间. 现已 定义了 几个这种扩展首部, 各由 一个下一首部值来标识, 包括逐个路段路由 选择、分片、 验证、隐 私权和端到端( e nd一 t 少e nd) 等选项首部。 2 .4i pv4 和 i p v 6 共存 针对目 前i nternet 上的各种i pv4 与i pv6 之间通信的 情况,人们己 经开发出了 许多有效的过渡机制31 。 1 .i pv6 的小岛 之间 通信的情况 针对这一类问题,又可以划分多种情况: ( 1) 手工配置多条隧道, 适用于具备双协议栈的站点 ( s i t e s )之间通信。所谓 站点,既可以是一台主机,也可以是一系列主机。 (2 )自 动隧道配置如t unne1broker,适用于具备双协议站的主机之间通信。 (3 )6 t o 4机制,适用于站点之间通信,为了实现这个机制,每个站点内部的主 机可以仅仅配置i pv6 协议栈,但是每个站点必须至少有一台, 6to4, 的路由器作为出 入口,支持全球统一的6to4 t la ( topleye1 a g gregati on)前缀格式,并实施特殊 的封装和转发机制。 (4 )6ov e r 4机制,适用于具备双协议栈的主机之间通信。它利用 i pv4的 inulti c a st机制来创建虚拟链路而不是显式的隧道。 2 .i p v 6 小岛与i p v 4 海洋之间 通信的 情况 这一类问 题下同样有多种情况,目 前的过渡机制都是通过以 下途径实现的: 应用 级转发;网络层翻译:为i pv6 节点暂时分配i p v 4 地址. ( 1) 双协议栈有限双协议栈,适用于具备双协议栈的站点的通信。 ( 2 )s o c k s 6 4( s o c k e t6t o4 ) 机制, 适用于i p v 6 的 站点 和i p v 4 站点的通信。 它实际上是一种网关的转发机制,实施s ocks64的网关为i pv6 的节点提供分组的 转 发和翻译。 ( 3 )s l l t( s t a t e l e s si p/i c mp t r a n s l a t o r )机制,适用于i p v 6 的站点和i pv4 站点的 通信. 它实际上在i p v4和i pv6 的分组报头之间 进行翻译, 使用i pv4 映射的 i pv6 地址进行通信。 ( 4 )n a t 一 pt ( n e t , o r ka d d r e s st r ans l a t i on 一pro t o c o ltra n s l a t i o n )机制, 硕士论文 ipv6网络的安全技术研究 适用于i p v 6 o n l y 站点 和i p v 4 o n l y 站点之间的 通信。 它进行i p v 6 和i p v 4 地址之间 的翻译。 (5 )bis(bu mp一 i n-the 一 stack) 机制, 适用于具备双协议栈的主机与i pv4 的 世 界通信。它在i pv4 的协议栈中 插入三个模块: 域名解析器、 地址映射器和翻译器。 3 .过渡过程的产生背景 ip协议是互联网 体系结构的核心, 它必须具备相对的 稳定性. i p v6作为i nternet pro t o c ol的 新版本, 其根本目 的是继承和取代i p v4。 因此, 人们在规划i p v6的时候, 就把眼光投向了包括地址在内的上述重要需求, 希望能够解决这些目 前已 经出现和将 来可能出 现的问题。 从i p v4到i p v6的改变将不可避免的带来i nternet 上新的革命, 无论是硬件还是软件都将有全新的发展。但是,原有的i pv4 协议己 经成功的实施了 将近二 十年, 在i n t e r n e t 上, 甚至有 许多通信 协议标 准比i n t e r n e t 还 要 早, i n t e r n e t 协议和标准化是有一个简单的原则的圈。 只要可以 应用现有的 协议标准, 就使用它们; 只有当 现有的 标准不够时才制定新 的协议, 而且只要能够得到这些新的标准, 而它们又能够提供等价的功能, 就使用这 些新的标准。 所以i pv6 协议的意图并不是排斥和避免己 有的标准。它的产生只是因为传统的 i p v4不能 满足需要。 在i p v6完全取代i pv4 之前, 不可避免的, 这两 种协议要有一 个可能是相当长的共存时期, ipv6可能需要在研究所和学术机构中进行足够的试验, 才能像i p v4一样成功的投入商业运营。因此,从i pv4 到i p v6要有一个过渡时期。 i p v 6 在i p v4 的基础上进行改进,它的一个重要的设计目 标是与i pv4 兼容。制 订i p v 6 时, i e t f 致力于产生一种开放的 标准, 因 此他们邀请了 许多团 体来参加标准 的制订过程, 研究人员、计算机制造商、程序设计人员、管理人员、 用户、电话公司 以及有线电视产业都对下一代ip提出了他们的要求和建议。 但是作为一种新的协议, 从诞生于实验室和研究所到实际应用于i nternet 是有很大距离的。不可能要求立即 将所有节点都演进到新的协议版本, 所以在一定的时间内,i p v6将和i p v 4 共同存在 共同运行。如果没有一个过渡方案,再先进的协议也没有实用意义,因此从i p v4 网 络向i p v6网络过渡的问 题从一开始就列入了开发者的日 程表。 在相当时间内, i pv6 节点之间的通信还要依赖于原有i p v4网 络的设施, 而且i p v6 节点也必不可少的要与i p v4节点通信,我们希望这种通信能够高效的完成, 对用户 隐藏下层细节。 同时,i pv4 己 经应用了十多年, 基于i pv4 的应用程序和设施已 经相 当成熟而完备, 我们希望以 最小的代价来实现这些程序在i pv6 环境下的应用。 所有 这些都提出了 从i pv4 网 络向i p v6网 络高效无缝互 连的问 题。 对于过渡问 题和高效 无缝互连问 题的 研究己 经取得了 许多成果, 形成了 一系列的 技术和标准。 硕士论文i p v6 网 络的安全技术研究 2 .5国际ipv6 网络的互联 一个纯i p v6网络的实现与原来i p v4网络并没有差别, 在路由 协议和域名解析上 也不需要特定的机制来支持, 仅仅需要对原来的协议和应用程序进行修改就可以了。 但是对于一台主机或者一个网络在不同协议之间的通信来说, 情况就发生了 变化。 由 于报文在传输中要经过两种运行在不同协议下的网络环境,报文的翻译是一个问题, 同时由 于两种协议表示地址的方法不同, 如何在协议地址之间标示信源和信宿也是必 须处理的。 在工 p v 6 的网络流行于全球之前, 总是有一些网络首先具有i pv6 的协议栈。 这时, 这些网 络就像i p v4海洋中的小岛。 过渡的问 题可以 分成如下两大类: ( 1) 第一类就是解决这些i p v6的小岛 之间 互相通信的问 题; (2) 第二类就是解决i pv6 的小岛与i pv4 的海洋之间通信的问 题。 解决过渡问 题的两种最基本的 技术: 双协议栈 ( dualstack) 和隧道 (tu nnel) 。 我们所讨论的过渡机制 ( t ransi tionm ech anism) 都是在这两种技术的基础之上针对 特定的问题的解决方案。 但是目 前还没有一种机制能够一劳永逸的解决这个问题, 每 一种具体的机制都是针对具体的情况的。 双协议栈 在实践当中最典型的是i etf 提出的叫 双协议栈 的方案。 需要提前说 明的是, 双协议栈技术并不具备创建隧道的能力; 但是, 后面提到的 创建隧道的能力 则必须要求有双协议栈技术的支持。 双协议栈方案的工作方式如下: ( 1) 如果应用程序使用的目 的 地址是i p v 4 地址, 则使用i p v4协议。 (2 )如果应用程序使用的目 的地址是i p v6中的i pv4 兼容地址, 则同样使用ipv4 协议, 所不同的是, 此时i p v 6 就封装 ( e n c sps u l a t e d ) 在i p v 4 当中。 (3 )如果应用程序使用的目 的地址是一个非i p v4兼容的i pv6 地址, 那么此时将 使用i p v6协议, 而且很可能 此时 要采用隧道等机制来进行路由、 传送。 (4 )如果应用程序使用域名作为目 标地址, 那么此时先要从dns 服务器那里得到 相应的i pv4 /ipv6 地址,然后根据地址的情况进行相应的处理。 对目 前的环境来说,要实现纯粹 i pv6的路由 是很困 难的,因此, 人们一般采用 ipv6 over i pv4的点对点隧道技术。 将i p v6分组打包,放入i pv4 分组的数据区, 加上 i p v 4的 报头, 在 i p v4互联网 世界中进行路由, 到达目 的 地后再把数据区中的 i pv6分组取出来做相应的处理,该继续路由的路由,该收发的收发。 这样,就可以 实 现“ 双协 议栈” 的 过渡方案. 最 后, 对于实 现i p v6协议 栈, 尽管 在 细节上, i p v6 和i p v4有很大的 不同, 但是从原理和它们在网 络体系结构中的位置 来看,是相当的 硕士论文ipv6网络的安全技术研究 一致的。 这些一致使得开发人员只需要很小的付出 就可以 实 现从i p v4到i p v6协议栈 的转换。 隧道技术, 就是将具有自 身协议的复杂网络作为一般的硬件传输系统对待。 前文 己经提到, 在i p v6的网络流行于全球之前, 总是有一些网络首先具有i pv6 的协议栈, 这些网络就像i p v4海洋中的小岛,隧道就是通过, 海底尸 连接这些小岛的通道,因此 而得其名。由于隧道上的链路是逻辑的, 或称为虚拟的,因此, 这些“ 小岛” 所互连 而成的网 络就被看作是一个虚拟网 络. 在i p v6n ati ven et贾 ork 之间需要通信或i pv6 节点需要与i p v4 的节点通信时,i p v4协议就被当作i pv6 数据传输的一个隧道。 通 过隧道,i p v6 分组被作为无结构无意义的数据,封装在 i p v4 数据报中,被 i p v4 网 络传输。 由于i p v4网络把i p v6数据当作无结构无意义数据传输, 因此不提供帧自 标 识能力, 所以只有在i pv4 连接双方都同意时才能交换i pv6 分组, 否则收方会将i pv6 分组当成i pv4 分组而造成混乱。网络从i p v4 向i pv6 演进的过程就是这些 “ 小岛” 渐渐扩大而成为 “ 大陆”的过程。 2 .6i pv6 网络在中国的发展 随着i pv4 地址空间耗尽的迫近, 人们加紧了对下一代互联网协议即i p v6的研究; 到2 0 01年年初, i p v6协议的基本框架已 经逐步成熟, 在越来越广泛的范围内 得到实 践。由 于i p v6和i pv4 在协议头格式上不兼容, i etf 成立了 专门的工作组一ngtrans 研究从现有的i p v4网 络向i pv6 网络的过渡策略和必要的技术。 作为向下一代互联网 络协议过渡的 重要步骤, 国际的i p v6试验网 一6bone 在1 9 96年成立了。 现在, 6 b one 已经扩展到全球50多个国家和地区, 成为i p v6研究者、 开发者和实践者的主要平台。 中国教育和科研计算机网cernet是中国开展下一代互联网研究的试验网 络,它 以 现有的网 络设施和技术力量为依托, 建立了 全国 规模的 i p v6 试验床, , .1 9 98 年 c e rnet正式参加下一代ip协议(ipv6)试验网6bone , 同 年n月成为其骨千网 成员。 cernet在全国第一个实现了 与国际下一代高速网i nte rnetz的互联,目 前国内 仅有 cernet的 用户可以 顺利地直接访问i nte rnetz 。 为致力于面向21世纪网 络技术的 个 人和团体提供全真的网络平台, 用于研究同下一代互联网有关的网络技术, 特别是安 全、 服务质量和移动计算: 开发新型的网 络应用, 这些应用在传统的互联网上是几乎 不可能或不易实现的; 示范上述技术和应用, 以及从传统的互联网向下一代网络过渡 的方法. 总体拓扑试验床分成相对独立而又互连互通的两个部分

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论