（计算机应用技术专业论文）ipv6网络接入控制方法研究与实现.pdf

硕士论文i p v 6 网络接入控制方法研究与实现 摘要 随着口技术特别是i p v 6 得n t 越来越广泛的应用，以及各种接入认证技术迅猛 发展，无论固定还是移动网络用户的数量都急剧增加，口v 6 网络对用户进行接入控 制成为越来越重要的安全管理措施。传统的模式中，不同的管理域采用各自独立的接 入控制管理技术，实体的标识、认证方式等相互独立，导致不同管理域、甚至一个管 理域内部的不同应用之间难以互通。不利于有效地利用网络资源、优化网络、统一用 户管理。因此需要建立一个跨管理域的，适用于有线无线的统一的接入控制机制，构 造统一的身份认证、记账、密钥分配等安全服务，使得互联网应用更具可扩展性。 本论文依托相关课题给出的跨管理域的接入认证方案，主要研究设计了i p v 6 网 络接入认证控制系统中认证客户端与认证网关的交互方式与交互流程，并给出了认证 客户端与认证网关的具体实现。系统实现了平台和用户的双向认证，阻止非法用户对 网络的访问，同时阻止非法的网络向用户传播非法信息和恶意攻击；实现了根据用户 身份标识生成口地址，支持基于真实地址的接入控制，并实现对身份和地址的验证； 实现了对用户的记账，支持对用户使用网络的计费和审计。 系统经过了严格的测试，结果显示能完成预定的各项功能，运行稳定。本论文的 研究成果对正在进行的m v 6 网络运营具有重要的借鉴意义。 关键词：接入控制；认证；身份标识：记账；i p v 6 m a s t e r t h e s i s s t u d y o f l p v 6 n o * w o r k c o n t r o l a c c e s s m c l l l o d a b s t r a c t a l o n gw i t ht h eg r e a td e v e l o p m e n to fi pt e c h n o l o g ye s p e c i a l l yi p v 6 a n da p p e a r a n c e o fv a r i o u sa c c e s st e c h n o l o g y , b o t hf i x e da n dm o b i l en e t w o r ku s e r si n c r e a s ef a s t u s e r a c c e s sc o n t r o li sav e r yi m p o r t a n ts e c u r i t ym e c h a n i s mt h a ta r o u s e sm o r ea n dm o r e a t t e n t i o n i nt r a d i t i o n a l l y , e a c hs e c u r i t yd o m a i nh a ss p e c i a la c c e s sc o n t r o lm e c h a n i s m , a n d t h eu s e ri d e n t i 够v a r yf r o md o m a i nt 0d o m a i n , s od o e st h ea u t h e n t i c a t i o nm e t h o d t h u s n l a k e si th a r dt or e a l i z ei n t c r o p c m t i o na m o n gd i f f e r e n ta p p l i c a t i o n si nd i f f e r e n td o m a i n t h a tl i m i t so p e r a t o r st ou s en e t w o r kr e s o u l c ee f f e c t i v e l y , o p t i m i z et h en e t w o r k ，a n du n i f y t h em a n a g e m e n to fu s e r s i ta l s oc a n n o tm a k eo p e r a t o r sg i v es i n g l eb i l lt oau s e rw h oh a s a c c e s sd i v e r s en e t w o r k s s ot h e r es h o u l db ea ni n t e r - d o m a i n , w i r e da n dw i r e l e s su n i f i e d a c c e s sa u t h e n t i c a t i o np l a t f o r mf o ro p e r a t o r sa i mt os o l v et h e s ep r o b l e m s t h i sd i s s e r t a t i o na n a l y z e st h er e l a t e dt e c h n o l o g ya n dp r e s e n t sa ni n t e r - d o m a i na n d w i r e da n dw i r e l e s su n i f i e da c c e s sc o n t r o ls o l u t i o n t l l i ss o l u t i o na l l o w su s e r sa c c e s sf r o m w i r e do rw i r e l e s sa c c e s sn e t w o r k s ，a n da l l o w su s e r sr o a ma w a yf r o mt h e i rh o m ed o m a i n s s oi ti sc o m p a t i b l ew i t ht h et r e n do fw i r e l e s sm o b i l ei n t e r n c t b a s e do nt h es o l u t i o nt h e d i s s e r t a t i o nd e s i g na n dr e a l i z ea ni p v 6n e t w o r ka c c e s sc o a t x o ls y s t e m , t h a ts y s t e ma c h i e v e s t h eb i d i r e c t i o n a la u t h e n t i c a t i o n , w h i c hp r e v e n tl a w l e s st i s e fa c c e s sn e t w o r ka n da tt h es a m e t i m ep r e v e n th o s t i l en e t w o r ks p r e a d sl a w l e s si n f o r m a t i o n ；t h i ss y s t e mi m p l e m e n t si p a d d r e s sf o r m a t i o nu s i n gu s e ri d e n t i t y , w h i c hm a k e st h ea u t h e n t i c a t i o nb a s eo nr e a la d d r e s s ； t h i ss y s t e ma l s oi m p l e m e n t su s e ra c c o u n t i n ga n db i l l i n g , a n ds u p p o r t sm a n a g e m e n ta n d c o n f i g u r a t i o nt h r o u g hw e b s t r i c tt e s ti sd e p l o y e df o rt h a ta c c e s sc o n t r o ls y s t e m 1 1 l er e s u l t sr e v e a lt h a ti tc a nm e e t a l lr e q u i r e m e n t sd e f i n e di nr e l a t e ds t a n d a r d s ，a n dw o r ks t e a d i l y w 1 1 a t h a sb e e na c h i e v e d w i l lb ev a l u a b l et ot o d a y sn e t w o r ko p e r a t i o n k e y w o r d s ：a c c e s sc o n t r o l ；a u t h e n t i c a t i o n ；i d ；a e e o u n t ；i p v 6 声明 本学位论文是我在导师的指导下取得的研究成果，尽我所知，在 本学位论文中，除了加以标注和致谢的部分外，不包含其他人已经发 表或公布过的研究成果，也不包含我为获得任何教育机构的学位或学 历而使用过的材料。与我一同工作的同事对本学位论文做出的贡献均 已在论文中作了明确的说明。 研究生签名： 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅 或上网公布本学位论文的部分或全部内容，可以向有关部门或机构送 交并授权其保存、借阅或上网公布本学位论文的部分或全部内容。对 于保密论文，按保密的有关规定和程序处理。 研究生签名： 叩私月牵 硕士论文i p v 6 网络接入控制方法研究与实现 1 引言 1 1 课题背景 随着口v 4 地址的逐渐枯竭，i p v 6 作为下一代i n t e m e t 的核心协议，其巨大的地 址容量能够满足互联网飞速发展的需求，即插即用的接入方式也为节点的接入和移动 性提供了良好的支持，这些优越的特性使i p v 6 得到了越来越广泛的应用，同时其安 全性能也日益重要。 该课题的背景项目是国家8 6 3 计戈巾可信任下一代互联网关键技术及应用示范研 究”，通过可信任下一代互联网安全中间件的研究，为国家下一代互联网研究提出总 体安全框架建议，为国家信息领域的研究战略部署奠定基础。下图为该课题的研究内 容及相互关系： 信 可 可信任下一代互联典型应用e = 二今 任 信 下 任 下 彳丁 代 互 代 l 可信任下一代鳜网安全服务 二。 联 互 网 联 标 网 准 体 彳丁 体 系 系 结 纠聪饵球鳜麟朔睁 构 图1 1 1 课题研究内容 中科院计算所承担了该课题下盼可信互联网安全服务中间件平台”项目，在可信 任的网络基础设施层，研究下一代互联网的真实球地址访问，主要负责可信互联网 安全服务中间件平台的研发工作。作为其中主要研发人员，作者设计并实现了认证客 户端与认证网关部分。 硕士论文珀v 6 网络接入控制方法研究与实现 1 2 本文主要贡献 本文以该课题为依托研究了基于真实地址的i p v 6 网络的接入控制系统，并给出 其认证客户端与认证网关的实现。该部分相对现有的接入认证系统从设计思想到技术 路线，主要有以下几个突出的特点： i p v 6 地址的可信。在网络终端通过认证前并没有i p v 6 地址，当某一用户输入 其用户名和密码后，客户端会根据其用户名生成一个唯一的i p v 6 地址，也就 是说这个i p v 6 地址对应了此用户。当输入其它的用户名和密码认证时，客户 端又将生成该用户对应的唯一m v 6 地址，并自动配置在终端上。这样每位用 户都只能使用自己的d v 6 地址，从而极大的增强了网络的可信、可监控和可 管理性。 全面的网关实现机制。认证网关的位置和功能决定了对其可靠性、性能 和易用性等多方面的要求。因此，在实现中采用了多种机制来完善认证网关。 可靠可扩展的分布式设计。对于某特定域，如果所有接入用户的数据包 都必须经过认证网关的转发或处理，这就使得网关的用户接入数量受到限制， 而且单一的网关容易成为网络瓶颈，并存在单点失效的问题。针对上述情况， 我们在设计上对网关进行改进，使得路由器前可以并行连接两个或多个认证 网关。这种机制较好的解决了前述问题，不仅通过引入冗余解决单点失效问 题，而且还实现了负载均衡，避免网关成为网络瓶颈，增强系统可靠性和可 扩展性，大大增加了系统可支持的接入用户数量。 即插郎用的透明网桥模式。认证网关设计为透明网桥式网关，放置于域 的接入路由器的前一跳，易于在现有网络之上部署，不会影响已有网络的拓 扑，具有即插即甩的特点。网关的开发、运行平台是i l n u , x 2 6 ，在1 l n u x 平台 上使用b r e t l 命令在两个网卡间建立起网桥。在认证前和认证过程中，用户的 非认证数据包均将在网关被丢弃，只有认证包会被网关处理。 认证过程中认证网关和认证客户端的信息交互采用二层协议。实现方法是将 链路层数据类型为0 x 9 9 9 9 的数据包定义为认证数据包。用户发起认证的第一 个认证请求包的链路层目的地址为广播地址( 因为用户初始时并不知道网关 的地址) 。认证网关收到后，回复应答，用户发送后续个认证信令包，阿关 进程接收后将信令包中的数据重新封装到d i a m e t e r 中，发送往服务器。同时， 服务器发回的d i a m e t e r 包在网关进程解封后数据被封装到类型为0 x 9 9 9 9 的链 路层数据包中，发送给用户。认证完成后，如果认证成功，网关将根据服务 器发给其的授权信息修改i p t a b l e s ( i p 6 t a b l e s ) 规则，允许用户的被授权的数 据包通过。 ， 硬士论文 i p v 6 网络接入控制方法研究与实现 独特的包过滤方案。在认证网关实现中，到达网卡的数据包在正常进入系统 协议栈的同时，将被拷贝一份至b p f 控制器。认证之前，设置i p t a b l e s 规则 操作n e t f i l t e r ，阻塞所有流经协议栈的要求转发的数据包；而同时，拷贝到b p f 的数据包经过滤器时，将根据我们的过滤方式进行过滤( 即仅保留类型为 0 x 9 9 9 9 的认证包，而丢弃其它数据包) ，只有认证包被送往用户态的认证网 关进程。认证服务器发往用户的数据包在认证网关进程处理后，直接调用网 卡驱动将包发出。可见，在认证成功前，用户的正常数据包在经过网关的协 议栈时被n e t f i l t e r 过滤，是无法与网络进行交互的，而用户的认证包走的是为 其单独开辟的路径。当该用户认证成功后，认证网关进程将根据授权信息修 改i p t a b l e s 规则，进而操作n e t f i l t e r ，为该用户的部分数据包放行，从而实现 接入控制。 1 3 论文整体结构和工作安排 论文从l p v 6 风络接入控制的必要性与重要性出发。在第二章中介绍了i p v 6 协议 的相关概念及其发展。总结了a a a 技术，并将d i a m e t e r 与r a d i u s 进行了比较。最 后还介绍了接入认证技术的实现原理，并分析了包过滤的优缺点及其相关操作应用。 第三章介绍了i p v 6 网络接入认证系统的整体结构，并对系统体系结构、各种操 作流程进行了详细描述。 在随后的章节中着重研究该认证系统的认证客户端与认证网关之间的交互，以及 认证网关对网络的控制功能。 第四章根据第三章描述的各种操作流程，设计了认证客户端与认证网关之间交互 的认证包格式，并设计了认证客户端的状态机及认证网关的处理流程。最后还给出了 模块的划分。 第五章给出了认证网关与认证客户端的具体实现，并对各模块的实现进行了详细 描述。 最后，对整个论文进行了总结。 硕士论文l p v 6 网络接入控制方法研究与实现 2 背景知识介绍 2 1 l p v 6 介绍 2 1 1 i p v 6 发展背景 近年来互联网在各个领域内得到了空前的发展，人们对信息资源的开发和利用进 入了一个全新的阶段。作为计算机网络的祖父a r p a n e t 和其后继的i n t e m e t 标准的 阿络层协议m 的当前形式( 4 ) 已越来越捉襟见肘：口地址资源越来越紧张，路由表 越来越庞大，路由速度越来越慢等。地址生命期预测工作组预言，因特网的公有i p v 4 地址将在公元2 0 0 s 一2 0 1 1 年之间用完。虽然各方面都在研究一些补救的方法，如用 地址翻译( n a t 3 3 ) 来缓解坤地址的紧张，用无类域问路由选择( c i d r 3 3 1 ) 来改善路 由性能等，但这些方法只能给碑v 4 一些喘息的余地，并不能完全解决其先天的不足， 除了上述的技术问题外，还有其他重大问题隐藏在背后。起初因特网的使用者主要是 大学、高技术工业以及政府部门，随着9 0 年代中期对因特网的不断膨胀，它已被更 多的人使用，尤其是有着不同需求的人们。首先，上千万拥有无线便携机的人可以用 它来与其企业网保持联系；其次，随着计算机、通信、娱乐业的不断交叉融合，可能 不久的将来世界上的每一台电视机都会成为因特网的一个节点，从而导致上亿台机器 用于视频点播；还有，计算机将不断地微型化，计算机无处不在，如被安装在胸章、 标签、选票、电灯开关高安全性恒温箱等内。在这些环境下，系统必须支持即插即用、 实时通信、低功耗、容易管理等，很明显i p 必须进一步发展且更具灵活性。 为了解决以上这些问题，1 9 9 0 年i e t f 开始着手开发口的新版本。它的主要目 标有： 1 ) 地址空阃无限大，永不会用尽地址 2 ) 减小路由表的长度。 3 ) 简化协议，使路由器处理分组的速度更快。 4 ) 提供更好的口层安全。 5 ) 增加对服务质量的支持，特别要支持实时通信。 6 通过定义范围来实现多点播送。 7 ) 支持即插即用，主机可以不改变地址即可实现漫游。 8 ) 协议具有良好的可扩展性。 9 ) 允许新旧协议共同存在一些年。 4 硕士论文1 1 6 网络接入控制方法研究与实现 为了找到符合所有这些需求的协议，i e t f 在r f c l 5 5 0 中发表了一个寻求提议和 讨论的声明。到t 9 9 2 年1 2 月止，i n t e m e t 为下一代口提出了共7 个重要提议。它们 从对m 作较小的修改至完全舍弃旧口而用新协议取而代之的都有。这其中有三个提 议通过多次讨论和修改一起合并成为增强的简单因特网协议s i p pf 3 3 ( s i m p l ei n t e m e t p r o t o c o lp l u s ) 。s i p p 即采用“位的p 地址，在高性能网如a t m 和低带宽网如无 线网中皆运行良好。到1 9 9 3 年9 月，增强的简单因特网协议s i p p 被选中作为下一代 口开发的基础并将之命名为i p v 6 。i e t f 组成一个特定的工作组i p n g w g 来对其进 行研究和标准化。到1 9 9 4 年1 1 月，由i e t f 提出并由i e s g 审核通过了“对下一代i p 协议的建议”。这个建议是口v 6 开发的纲领，i p n g w g 工作组及其它因特网团体就 是遵循这个提议标准对m v 6 进行研究和实现的。 i p v 6 协议的研究起源于2 0 世纪9 0 年代，该协议是m t f 在比较多种i p n g 方案的 基础上，最后以“简单互联网协议增强( s m p ) ”为基础加以改进而形成的。i p v 6 协议 最初的草案是1 9 9 5 年由c i s e o 公司的s t e v ed e e r i n g 和n o k i a 公司的r o b e r th i n d e n 起 草完成的( 即r f c 2 4 6 0 。1 9 9 8 年，m t f 对r f c 2 4 6 0 进行了较大改进，形成了现有 的r f c 2 4 6 0 ( 1 9 9 8 舨 。i p v 6 的其他标准也陆续由i e t f 的相关工作组制定出来。 经过多年的努力，i e t f 已经制定出1 0 0 多项有关口v 6 协议的r f c 。到1 9 9 8 年夏末 为止，新的i p v 6 r f c 获准发表。其中尤其值得注意的是，r f c 2 3 7 3 ( 口v 6 的寻址体 系结构) 替换了r f c l 8 8 3 ，r f c 2 3 7 4 ( 一种可聚合全球单播地址格式的i p v 6 ) 替换 了r f c 2 0 7 3 。其他允许发表的新的r f c 描述了i c m p v 6 1 3 3 和i p v 6 中的邻居发现和 无状态自动配置。 2 1 2 i p v 6 技术介绍 基于对效率、功能、灵活性和应用性等多个方面因素的综合考虑比较，i e t f 决 定在口v 6 中采甩1 2 8 位固定长度的地址方案。 用文本方式表示的i p v 6 地址有三种规范的形式： 1 ) 优先选用的形式是x ：x ：x ：x ：x ：x ：x ：x ，其中x 是1 个1 6 位地址段的十六进制 值。例如：f e d c ：b a 9 8 ：7 6 5 4 ：4 2 1 0 ：f e d c ：b a 9 8 ：7 6 5 4 ：3 2 1 02 0 0 1 ：0 ：0 ：0 ：0 ：8 ：8 0 0 ：2 0 1 c ： 4 1 7 a 每一组数值前面的0 可以省略。如0 0 0 8 写成8 2 ) 在分配某种形式的i p v 6 地址时，会发生包含长串0 位的地址。为了简化包含 0 位地址的书写，可以使用“：”符号简化多个0 位的1 6 位组。“：”符号在一个地址中 只能出现一次。该符号也可以用来压缩地址中前部和尾部的0 。举例如下： f f 0 1 ：o ：o ：o ：o ：o ：0 ：1 0 1 多点传送地址 0 ：0 ：0 ：0 ：0 ：0 ：0 ：1回送地址 硕士论文i p v 6 网络接入控制方法研究与实现 0 ：0 ：0 ：0 ：0 ：0 ：0 ：0未指定地址 可用下面的压缩形式表示： f f 0 1 ：1 0 1多点传送地址 ：1回送地址 ：未指定地址 3 ) 在涉及i p v 4 和i y v 6 节点混合的这样一个节点环境的时候，有时需要采用另 一种表达方式，即x ：x ：x ：x ：x ：x ：d d d d ，其中x 是地址中1 个高阶1 6 位段的十六 进制值，d 是地址中低阶8 位字段的十进制值( 按照i p v 4 标准表示) 。例如：下面两 种嵌入口v 4 地址的m v 6 地址。 0 ：0 ：0 ：0 ：0 ：0 ：2 0 2 2 0 1 3 2 2 9嵌入i p v 4 地址的口v 6 地址 o ：o ：o ：o ：o ：f 肿：2 0 2 2 0 1 3 2 3 0 嵌入i p v 4 地址的i p v 6 地址 写成压缩形式为： ：2 0 2 2 0 1 3 2 2 9 ：f f f f 2 0 2 2 0 1 3 2 3 0 同时i p v 6 的地址按寻址方式和功能的不回，又可以分为3 中基本类型。 1 单播地址( u n i c a s t ) 用来标识一个单接口。发送给一个单播地址的包传递到由该地址标识的接口上。 2 ) 任意点播地址( a n y c a s t ) 一般分配给属于不同节点的多个接口。发送给一个任意点播地址的包传送到该地 址标识的、根据选路协议距离度量最近的一个接口上。 3 组播地址( m u l t i c a s t ) 一般用来标识不同节点的一组接口，发送给一个组播地址的包传送到该地址所标 识的所有接口上。v 6 中没有广播地址，它的功能正在被组播地址所代替。 在i p v 6 地址格式中，任何全“o ，和“l ”的字段都是合法值。特别是前缀可以包含“o ” 值字段或以0 为终结。其中“：”1 回返地址，具有一个目的地址为回返地址的包不应 发送出单节点之外，i p v 6 路由器也不会转发这样的包；( 即全o ) 为未指定地址。 当移动节点返回家乡链路时，用这个未指定地址作为源地址来发送邻居请求获得家乡 代理的链路层地址。 所有类型的口v 6 地址都被分配到接口，而不是节点。一个i p v 6 单播地址属于单 个接口，即属于单个节点。而具有多个接口的节点，则可以有多个单播地址，其中任 何一个都可以用作该节点的标识符，至少有一个链路本地地址。 2 1 3 i p v 6 与i p v 4 比较 总结起来有以下几点： 1 ) 扩展了路由和寻址的能力 6 硕士论文i p v 6 网络接入控制方法研究与实现 l p v 6 把口地址由3 2 位增加到1 2 8 位，从而能够支持更大的地址空间，估计在 地球表面每平米有4 1 0 “1 8 个i p v 6 地址，使i p 地址在可预见的将来不会用完。i p v 6 地址的编码采用类似于c i d k 的分层分级结构，如同电话号码。简化了路由，加快了 路由速度。在多点传播地址中增加了一个“范围”域，从而使多点传播不仅仅局限在子 网内，可以横跨不同的予网，不同的局域网。 2 ) 报头格式的简化 i p v4 报头格式中一些冗余的域或被丢弃或被列为扩展报头，从而降低了包处理 和报头带宽的开销。虽然i p v 6 的地址是i p v 4 地址的4 倍。但报头只有它的2 倍大。 3 ) 对可选项更大的支持 口v 6 的可选项不放入报头，而是放在一个个独立的扩展头部。如果不指定路由器 不会打开处理扩展头部。这大大改变了路由性能。i p v 6 放宽了对可选项长度的严格 要求( i p v 4 的可选项总长最多为4 0 字节) ，并可根据需要随时引入新选项。i p v 6 的 很多新的特点就是由选项来提供的，如对p 层安全( 1 p s e c ) 的支持，对巨报 0 u m b o g r a m ) 的支持以及对口层漫游( m o b i l e 一口) 的支持等。 4 ) q o s 的功能 因特网不仅可以提供各种信息，缩短人们的距离。还可以进行网上娱乐。网上 v o d 现正被商家炒得热火朝天，而大多还只是准v o d 的水平，且只能在局域网上实 现，因特网上的v o d 都很不理想。问题在于i p v 4 的报头虽然有服务类型的字段，实 际上现在的路由器实现中都忽略了这一字段。在i p v 6 的头部，有两个相应的优先权 和流标识字段，允许把数据报指定为某一信息流的组成部分，并可对这些数据报进行 流量控制。如对于实时通信即使所有分组都丢失也要保持恒速，所以优先权最高， 而一个新闻分组延迟几秒钟也没什么感觉，所以其优先权较低。口v 6 指定这两字段 是每一i p v 6 节点都必须实现的。 5 身份验证和保密 在i p v 6 中加入了关于身份验证、数据一致性和保密性的内容。 2 1 4 国内外i p v 6 网络发展现状 从区域上看，目前美国和欧溯国家对i p v 6 的发展以研究和实验为主体，日本和 韩国等亚洲匡i 家则在i p v 6 的商用及业务开展方面处于领先地位，中国起步晚于日本 和韩国等国，但是中国互联网和通信市场的巨大空间和前景，都使中国有机会、有潜 力成为未来i y v 6 产业化进程中举足轻重的一部分。以下部分将扼要介绍i p v 6 在全球 各主要区域与国家的发展状况。 1 ) i p v 6 在美国 美国是i p v 4 的发源地，地址资源和商业应用占据了先天的优势，因此目前既没 有地址短缺的忧虑，也不愿意改动花费亿万美金构建的i p v 4 商业网络体系，所以美 ， 硕士论文 i p v 6 网络接入控制方法研究与实现 国主要以i p v 6 研究、协调中心的面目出现。比较典型的口v 6 网络有美国能源网络 6 b o n e ，6 r e n ，e s n e t 和i n t e n e t 2 ( a b l e n e ) 等。 6 b o n e 于1 9 9 6 年8 月由t f 创建，是世界上成立最早，也是迄今规模最大的全 球范围的i p v 6 示范网。到2 0 0 2 年，6 b o n e 的规模已经扩展到包括中国在内的5 7 个 国家和地区，连接了近千个结点，成为i p v 6 研究者、开发者和实践者的主要平台。 为了加速i p v 6 向实用化的方向迈进，1 9 9 8 年1 2 月，正t f 的i p a g 和n g t r a n s 工 作组提出建立全球性的m v 6 研究与教育网6 r e n ( i p v 6r e s e a r c ha n de d u c a t i o n n e t w o r ki n i t i a t i v e ) 。6 r e n 的主要目标是提供高质量的口v 6 分组传输服务，增加运 营i p v 6 网络的经验，促进i p v 6 网络的部署以及测试早起的p v 6 应用。 在6 r e n 不断发展期间，为了更好地支持6 r e n 参与者之间地纯i p v 6 对等互连， c a n a r i e 和e s n e t 在1 9 9 9 年初共同发起了一个称为i p v 6 交换的计划6 t a p ，它以s t a r t a p 为依托，由e s n e t 提供路由服务和运营管理，c a n a f i e 提供路由服务器和注册服务， 建立了一个以a t m 交换机为中心的i p v 6 洲际网络。 2 ) 口p v 6 在欧洲 欧洲的移动通信事业相当发达，因此它们在i p v 6 的研究和商业化应用方面更注 重移动通信领域的扩展，采取的是“先移动，后固定”的基本战略，在第三代移动网中 率先引入i p v 6 。 6 i n i t 项目开始于2 0 0 0 年1 月，该项目由欧盟第5 框架创建，其创建的目标是促 进欧洲i p v 6 网的多媒体和安全服务。6 i n i t 的外部i p v 6 网络通过t e l e b i t t b c 2 0 0 0 连 接，内部的单播和组播路由在f r e e b s d 3 5 p c 路由器上实现，而主机采用了基于l i n u x ， w i n d o w 2 0 0 0 ，s o l a r i s 8 和f r e e b s d 3 5 的口p v 6 客户端。 2 0 0 2 年1 月，欧洲同时启动了两个为期3 年的i p v 6 研究与实施计划：6 n e t 和 e u r 0 6 i x 试验网。在6 n e t 计划中，将至少有1 1 个国家级的研究和教育网络在速率 高达2 5 g b s 的链路上建立纯6 网络。在e u r 0 6 i x 试验网计划中，欧洲主要的电信 运营商将携手建立一定数量的i p v 6 交换节点，以支持i p v 6 在欧洲范围内的快速引入， e 0 6 i x 项目由西班牙的t e l e f o n i c a 领导。 欧洲a n d r o i d 由英国电信领导，项目的目的是：验证在基于i p v 4 i p v 6 的基础 设施上提供可以管理的、易于扩展的，可以支持按需口服务的网络结构。a n d r o i d 网络使用了砒n a t e r ，6 b o n e 和6 n e t 作为骨干网。 r e n a t e r 2 是法国的i p v 6 科学网，骨干网使用a t m 交换机连接，同时连接到 6 b o n e ，捷克研究网络n 1 5 5 ，美国、加拿大和日本的试验网。 另外还有法国的a 口瞄+ + ，北约i n s c 试验网和g c a n t ，欧洲第一个i p v 6 商用网 瑞典s k a n o v a 于2 0 0 1 年1 1 月启动。 3 ) m v 6 在日本 硕士论文i p v 6 网络接入控秘方法研究与实现 日本虽然是互联网的后起国家，但由于电子设备和信息家电产业高度发达，对m 地址迫切需要，因此在 p v 6 研究和应用方面，步伐大、速度快，而且在i p v 6 商业化 推广方面一直走在世界前列。2 0 0 0 年9 月，日本政府把i p v 6 技术的确立、普及与国 际贡献作为政府的基本政策公布；1 1 月将现有网络推进、过渡到i p v 6 网络作为“i t 基 本战略”中的重点政策“高速网络建设和竞争政策”的具体目标。2 0 0 1 年3 月，明确设 定在2 0 0 5 年完成互联网向诤v 6 的过渡，投巨资支持i p v 6 ，全面部署实施i p v 6 的网 络环境，让所有家庭与光纤网连接，让所有家电产品都能上网，使日本的网络普及率 提高到全球最高水平。 日本政府为了发挥产学研组织的作用，早在1 9 8 8 年就成立了互联网及广域网的 产学研联合研究开发组织w i d e ，而且该组织正发展成一个国际性i p v 6 研究组织。 2 0 0 1 年，在日本政府的支持下，又成立了另一个产学研组织m v 6 普及及推进协会， 旨在推动i p v 6 的产业化形成。日本政府还专款投入，重点支持了一些项目，包括下 一代网络标准i p v 6 的制定，互联网信息家电的研究开发，建立日本千兆位网( j g n 等。 在全球m v 6 商用服务、产品及应用开发方面，日本目前处于领先地位。2 0 0 1 年 日本就已推出了纯i p v 6 实验业务，同年n t t 在全球第一个推出了口v 6 商用服务。 其他各大运营商及i s p 也纷纷搭建i p v 6 网络，目前，日本已经有l o 多家运营商及i s p 提供l l r v 6 商用服务。此外，w i d e 项目将在东京建立超过2 0 个i s p 直接互连在一起 的试验性i p v 6 网( i n t e r n e te x c h a n g e ) ，这也是世界上最大的i p v 6 1 x 之一。在日本 政府的大力支持下，企业研发和生产支持m v 6 产品的热情空前高涨。 4 ) i p v 6 在韩国 韩国政府引导 v 6 技术的发展，特别是m i c 从2 0 0 0 年开始对i p v 4 i p v 6 过渡技 术进行投资，使韩国的i p v 6 实验床非常活跃。韩国信息通信部声称正加紧创造环境 引入口v 6 ，并提出“下一代互联网基础计戈l l ”。该部门计划投资4 6 8 亿韩元政府预算 和3 6 8 亿韩元私人投资来开发支持i p v 6 的产品，包括高端路由器、i m t - 2 0 0 0 终端以 及相关应用。 韩国已制定了i p v 6 的演进过程，共分四个阶段。第一阶段( 至2 0 0 1 年) 建立 i p v 6 试验网，开展验证、运行和宣传工作；第二阶段( 2 0 0 2 2 0 0 5 年) 建立了m v 6 岛，与现有p v 4 网络互通，在i m t - 2 0 0 0 上提供口v 6 服务；第三阶段( 2 0 0 6 2 0 1 0 年 建立i p v 6 大两，原i p v 4 大网退化为i p “岛，与i p v 6 大网互通，提供有线和无 线的i p v 6 商用服务；第四阶段( 2 0 1 1 年以后) 演进成一个单纯完整昀d v 6 网。 目前，韩国e t r i 已经开发了m v 6 多播视频会议和视频流业务，n c a 已经开发 了v o l p v 6 ，另外开展了一些宽带i n t e m e t 业务，如在线网络游戏、网络银行、网络教 9 硕士论文聊6 网络接入控制方法研究与实现 学和实时v o d 等。6 t a l k 目前正在开发i p v 4 i p v 6 过渡技术，6 a n t s 在开发网络 自动配置技术，6 n e a t 在开发i p v 6 应用。 韩国的口v 6 网络有6 b o n e k r ( t 9 9 8 ) ( e t r i ) 、k o r e ni p v 6 ( 1 9 9 9 ) ( k t ) 和 t e i n ( t r a n se u r a s i ai n f o r m a t i o nn e t w o r k ) ( 2 0 0 1 ) ，有6 n g i x ( 2 0 0 1 ) ( n c a ) 。 5 ) i p v 6 在中国 从2 0 世纪9 0 年代末起，在相关部委科技计划的支持下，一批口v 6 关键技术研 究课题作为国家重大专项立项，并陆续取得了突破性成果，为我国开展以i p v 6 为基 础核心协议的下一代互联网的研究奠定了较好的基础。与此同时，我国相关研究机构、 高校、厂商及运营商也已陆续开始跟踪与关注口v 6 技术发展，投入i p v 6 技术研发， 并相继建成i p v 6 试验床及实验网络，如6 t n a ( i p v 6t e l e c o mt r i a ln e t w o r k ) 下一代 口电信实验网、湖南m v 6 实验网、中国电信集团i p v 6 实验网、中国高性能宽带信息 网、中国教育与科研c e r n e tt p v 6 试验网和中科院i p v 6 城域网等，在i p v 6 核心技 术研发、协议标准制定、组网、过渡策略、测试、应用师范和商业模式探讨等方面积 累了宝贵的知识与经验。 c e r n e t 国家网络中心于1 9 9 8 年6 月加入6 b o n e ，同年1 1 月成为其骨干网成 员。试验床从6 b o n e 获得p - t l a ( p s e u d o - t o pl e v e la g g r e g a t i o n ，顶级聚类) 3 f f e ：3 2 0 0 ：2 4 的地址空间，并且建立了5 条以t u n n e l 为基础的国际p v 6 虚拟链路， 直接通达美国、英国和德国的i p v 6 网络，几乎与所有现有的6 b o n e 成员间接地互连。 试验床按地区分配n l a li d ( n e x t l e v e l a g g r e g a t i o n ，l e v e l1i d e n t i f i e r ，次级聚类) 。 目前，学生试验部分3 f f e ：3 2 2 0 ：2 8 ，通过隧道与清华大学相连，并开始向c s t n e t 及全社会提供i p v 6 地址的分配。从3 氐：3 2 2 1 ：0 1 ：4 0 开始分配，共1 0 2 4 个大单位可 以获得4 0 位前缀的i p v 6 地址块接入隧道；从3 艉：3 2 2 5 ：0 0 0 1 4 8 开始，共6 5 5 3 6 个小 单位可以获得4 8 位前缀的i p v 6 地址块；从3 f i e ：3 2 2 f ：筒f f f f 0 6 4 开始，共2 6 8 4 2 5 4 5 6 个人可以获得6 4 位前缀的i p v 6 地址接入，并保留了2 3 的地址。 此外，台湾地区于2 0 0 2 年8 月起开始启动“e - t a i n w a n 计划”，其中明确制定了互 联网从口v 4 过渡到i p v 6 的日程表，即到2 0 0 7 年全部更换为i p v 6 。 目前台湾地区h i n e t 开展了大量的i p v 6 多媒体业务，如v o d 、t v 和娱乐等。 另外还进行一些实验，如在t p v 6 网络上进行远程科学g r i d 的建立实验，r j 也基于 i p v 6 进行s i p e n u m 的试验。台湾地区的i p v 6 网络有t a n e t 等，有t w i x 和a s n e t 等。 2 2 a a a 技术 对于运营商和服务提供商来说，a a a 是网络部署和运营的前提和保障，其中的 1 0 硕士论文 i p v 6 网络接入控制方法研究与实现 认证技术更是整个网络安全可靠的基础。传统f 勺a a a 系统大都使用r a d i u s 协议【l6 】， 该协议存在诸多不足，已经不能满足市场的需要。新一代的a a a 协议标准- - d i a m e t e r 协议【6 】，不仅能克服i d i u s 的许多缺点，而且同r a d i l l s 完全兼容，能够有效地支持 移动m 、a g 请求和移动代理的认证、授权和记账工作，符合目前多元网络环境的需 要。 2 2 1 舢蛆协议简介 在众多a a a 协议中，目前最普遍采用的是r a d i u s 协议。r a d i u s 采用c ，s 模式， 由r a d i l l s 客户端收集用户信息，通过u d p 协议发给r 丑d i l l s 服务器，在r a d i u s 服 务器完成认证和授权等处理工作，最后把处理结果发回给r a d i u s 客户端。近年来， 随着网络技术的发展，各种新的需求不断出现以及网络设备变得越来越复杂，i d i u s 等旧的a a a 协议已经不能满足要求了，经过讨论，正t f 的a a a 工作组同意将 d i a m e t e r 协议作为下一代的a a a 协议标准。 d i a m e t e r ( 为直径，意为着d i a m e t e r 协议是r a d i u s 协议的升级版本) 协议包括 基本协议和应用协议，目前已实现的应用协议有：a g ( 网络接入服务) 协议【3 】、e a p 协议【7 】、m i p v 4 协议 5 】和c r e d i t - c o n t r o l 协议【5 】等。d i a m e t e r 基础协议为各种认证、 授权和记账业务提供了安全、可靠、易于扩展的框架。以此为基础定义d i a m e t e r 应 用，只需要定义应用协议的应用标识、参与通信的网络功能实体、相互通信的功能实 体间的消息内容以及协议过程，就可以完全依赖d i a m e t e r 基础协议完成特定的接入 和应用业务。 2 2 2 d i a m e t e r 与r a d i u s 的比较 r a d i u s 从1 9 9 7 年被推出以来，已经有了很大的改进，很多厂商也推出了各种有 关r a d i u s 的产品，如r a d i u s 服务器、支持r a d i u s 的接入路由器、交换机等。r a d i u s 已 经成为网络环境中一个事实上的a a a 标准。尽管有些产品针对r a d i u s 进行了改进， 性能有所提高，但是