（计算机应用技术专业论文）基于ipv6的网络安全体系结构及认证技术研究.pdf

信息工程大学硕士学位论文 摘要 随着网络规模的不断扩大和网络应用的指数增长，传统的i p v 4 协议已难以满足网络需 求，新一代网络协议i p v 6 应运而生并成为下一代互联网的标准协议。另一方面，网络的互 联互通，多种多样的网络接入技术都使得网络的安全接入显得尤为重要，解决这一问题的 基础是身份认证，而d i a m e t e r 协议作为a a a 技术的升级版本正是实现这一技术的有利工 具。本文的目的在于提出基于i p v 6 的网络安全体系结构并研究其认证技术，所做的工作主 要有以下几个方面： ( 1 ) 通过分析 p v 6 网络面临的安全威胁，得出了其所需的安全服务及安全机制，提出 了基于i p v 6 的网络安全体系结构，并给出了各种安全技术在安全体系结构中的位 置。 ( 2 ) 分析了网络接入用户认证的两种基础模式及其所面临的威胁，通过全局状态和状 态迁移的描述提出了一种网络接入用户认证协议模型n a i i a ，并从语法和语义上 形式化地描述了该模型。研究了提供网络接入认证的d i a m e t e r 基础协议及其 n a s p 也q 应用。 ( 3 ) 基于n a u a 模型对使用c h a p 认证机制的d i a m e t e r 协议的认证过程进行建模。 设计了基于d i a m e t e r 的认证系统，并进行了工程实现。 关键词：i p v 6 ，网络安全体系结构，认证协议模型，d i a a t e r 协议，i p s e c i i i 信息工程大学硕士学位论文 a b s t r a c t a l o n gw i t ht h em i c 蛐ge x p a n s i o no f n e t w o r ks c a l ea n dt h ee x p o n e n t i a l 鲫w i h o f n e t w o r ka p p l i c a t i o n t h et r a d i t i o n a li p v 4p r o t o c o lh a sm e tt h en d sw i t hd i f f i c u l t y , a n dt h e n e w g e s t a t i o no f n e t w o r kp r o t o c o li p v 6a r i s e sa lt h eh i s t o r i cm o m e n t a n db e c o m e st h en e x t g e n e r a t i o ni n t e r n e ts t a n d a r d b e s i d e s ，w i t h t h en e t w o r ki n t e r c o n n e c t i o na n dv a r i f yo f n e t w o r k a c c e 豁s e c u r i t ya c c e s st u r n so n t ob ee s p e c i a l l yi m p o r t a n t , a n dt h eb a s i cs o l u t i o nt ot h i sq u e s t i o n i sa u t h e n t i c a t i o n , w h i c hc 缸b ec o m m e n d a b l yi m p l v m e n t e dt h r o u g hd i a m e t e rp r o t o c o la st h e a a a u p d a t ee d i t i o n t h eg o a lo f t h i sp a p e r l i e si np r o p o s i n ga ni p v 6 b a s e dn e t w o r ks e c u r i t y a r c h i t e c t u r ea n dm a k i n gar e 黜c ho na u t h e n t i c a t i o nt e c h n i q u e t h em a i nw o r k si nt h i sp a p e ra r e l i s t 仪la sf o l l o w s ： ( 1 ) t h e t h r e a t so f i p v 6n e t w o r ka e v a l u a t e t ，a n dw h a tk i n d so f s e c u r i t ys e f v i c 髓s h o u l db e e m p l o y e di ne a c hl a y e r o f i p v 6t oa g a i n s tt h et h r e a t sa l ec l e a r l ye x p l a i n e d b a s e do n t h ep r e v i o u sr e s e a r c h e s , t h es e c u r i t ya r c h i t e c t u r eo f m v 6n e 舰v o r k si si n t r o d u c e d ，a n da s e t o f s e c u r i t y t e c h n i q u e s m a t c h i n g t h i s 缸c h i t e c t u r e i s p m v i d e 正 ( 2 ) t h em o d e l sa n dt h et h r e a t sd a r i n gt h ea u t h e n t i c a t i o np o c e s so f t h e n e t w o r ka c c e s s w h i c hd i s p l a yt h es e c u r i t yr e x l u i r e m e n tf o ra u t h e n t i c a t i o nm o d e l ，i sa n a l y z e d t h u s , a n e wk i n do f n 出v o r ka c c 髓s 嗽a u t h e n t i c a t i o np r o t o c o lm o d e n a u a j sd e s c r i b e d t h r o u g ht h eg l o b a ls t a t ea n dt h es t a t e - t r a n s i t i o nb a s e dd e s c r i p t i o n , a n di sd e s c r i b e df r o m i t sg r a m m a ra n ds e m a n t i c s ( 3 ) t h ea u m a n t i c a t i o np r o c e s so f d i a m e t e rw h i c h 曲1 p l o y sc h a p i sm o d e l e db a s e do nt h e n a u a t h ea u t h e n t i c a t i o ns y 咖* i l li sd e s i g n e da n di m p l e m e n t e db a s e do i ld i a m e t e r k e y w o r d s ：i p v 6 ，s e c u r i t y a r c h i t d 2 t u r e ，a u t h e n t i c a t i o n p r o t o c o l m o d e l , d i a m e t e r p r o t o c o l , n s e c v 论文原创性声明和使用授权 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及 取得的研究成果。尽我所知，除了本文中特别加以标注和致谢中所罗列 的内容外，论文中不包含其它入已经发表或撰写过的研究成果；也不包 含为获得信息工程大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确 的说明并表示了谢意。 本人完全了解信息工程大学电子技术学院有关保留和使用学位论 文的规定，即：学院有权保留论文的复印件，允许查阅和借阅论文；可 以公布论文的全部或部分内容；可以采用影印、缩印或其它手段保存论 文。涉密论文按保密规定执行。本论文取得的研究成果归学院所有，学 院对该研究成果享有处置权。 枞擞：他疵 导獬拗么 。 日期：卯多d a 孰3 胁童st | 信息工程大学硕士学位论文 第一章绪论 1 1 课题意义 目前广泛应用的i n t e r n e t 协议第4 版( i p v 4 ) 为t c p i p 和i n t e r n e t 提供了基本的通信 体制，但也逐渐暴露出严重的弱点：一方面，i p v 4 协议的3 2 位地址空间只有大约4 0 亿个 地址可用，已经有7 0 被分配，而且由于i n t e r n e t 在早期缺乏规划，造成了口地址分配“贫 富不均”的现象；另一方面，随着互联网的广泛应用，网络用户数量急剧增长，网络需求 更加多样化，特别是新的流媒体和多媒体互动业务的需求日益加强，这些都要求网络能够 提供更高速、更智能、更安全和可管理的服务。而现有的i p v 4 网络由于存在诸多问题，越 来越不能适应互联网发展的要求，如地址空间小、地址层次少、可聚合性差、不能有效支 持实时宽带业务，可扩展性差、对新业务的支持不具备充分的扩展空间、在口层上不能提 供充分的安全支持、网络管理和节点配置自动化程度低等等。随着i p v 4 协议最大限度地完 成历史使命，m v 6 协议进入网络的时机也成熟了。 i p v 6 技术与目前互联网广泛采用的i p v 4 技术相比，在以下方面取得了长足迸步： 1 2 8 位的地址空间和科学的层次结构 实时业务和流媒体的支持 集成了认证和加密两种安全机制 支持自动配置 可扩展性高 由此可见，i p v 6 有利于互联网摆脱日益复杂、难以管理和控制的局面，让互连网变得 更加稳定、可靠和高效。 我国在传统因特网领域落后，所以在i p v 6 方面，与其他国家站在同一起跑线上，从而 在下一代网络问题上争取主动权，就成为具有战略意义的目标i t 。同时由于我国本身具有 巨大的市场潜力，对i p v 6 的发展和需求空间都是其他国家无法比拟的，因此当前i p v 6 的 研究与应用已成为一股热潮。2 0 0 5 年我国构筑了6 个全国性的i p v 6 骨干网，军队的i p v 6 网络也将于2 0 0 6 年搭建。不过，i p v 6 要想真正走向大规模应用，必须首先解决好安全问 题。i p v 6 把i p s e c 作为必备协议来解决网络层的安全问题，同时为其他类型的安全问题提 供解决基础，但i p s e c 远不能解决碑v 6 面临的所有安全问题，其中既有技术能力不够的原 因，也有现有安全基础设施不足的原因；而且i p v 6 的采用对现有的安全体系结构也带来了 一定挑战。因此建立合理的网络安全体系结构，有机组织网络安全体系中的各种技术就显 得极为迫切。实际上，安全方案必须架构在科学的网络安全体系之上，通过分析网络的各 个不安全环节，找到安全漏洞，才能做到有的放矢。基于i p v 6 技术的下一代互联网的研究 和建设，为我们从体系结构角度根本解决互联网的安全问题提供了机遇：一方面，i p v 6 协 议具有巨大的地址空问，可以实现更好的分层地址聚类，这为所有网络终端使用真实口 地址接入提供了有利条件；另一方面，下一代互联网的建设为新的网络安全体系结构和网 信息工程大学硕士学位论文 络安全技术的部署和应用提供了机会和平台。在此背景下，本论文选择新代基于i p v 6 的互联网安全体系结构及其关键技术作为研究课题，为进步研究实用的基于i p v 6 的互联 网安全技术奠定基础。 1 2 国内外研究现状 1 2 1 国内外i p v 6 领域研究现状 i p v 6 的发展已经有近十年的历史【2 】1 9 9 2 年i e t f 就成立i p n g 工作组，专门研究下 一代互联网( n e x tg e n e r a t i o ni n t e r n e t , n g i ) 协议。1 9 9 4 年i p n g 提出l p v 6 的推荐版本， 1 9 9 5 年完成了i p v 6 的协议文本，1 9 9 9 年完成协议审定和测试，口v 6 的协议文本成为标准 草案。之后i e t f 制定了大量i p v 6 的相关标准，如地址结构、i p s e c 、邻居发现、路由等。 i t v 6 标准颁布之后，全球有了实验床，一些大的电信公司也有了半商用网和商用网【3 】1 9 9 9 年7 月，i a n a 授权a p n i c 、a r i n 和r i p e 分配商用i p v 6 地址，从此i p v 6 进入了实用化 阶段。当前比较著名的i p v 6 实验网包括： 6 b o n e 。6 b o n e 是i e t f 于1 9 9 6 年建立的全球范围的试验床，是世界上成立最早的h v 6 示范网它并不是一个独立于i n t e m e t 的物理网络，而是利用隧道技术通过基于i t v 4 的互联网实现互联。 6 r e n ( i p v 6r e s e a r c ha n de d u c a t i o nn e t w o r ki n i t a t i v e ，口v 6 研究与教育网) 。1 9 9 8 年底 启动的6 r e n 是一个面向实用的以a t m 为中心的纯 p v 6 洲际网络，作为p v 6 工具、 应用和程序开发的平台，并对所有提供l p v 6 业务的研究与教育网开放。 6 n e t 。2 0 0 2 年1 月欧洲启动了6 n e t ，其目的是为了引入并测试新的p v 6 服务和应 用程序，测试将i p v 6 网络和现有d “体系结构综合在一起的过渡策略，对l p v 6 网络 下的地址分配、路由和d n s 操作进行评估等等。在6 n e t 计划中，将至少有1 1 个国 家级的研究和教育网络在速率高达2 s g b s 的链路上建立纯口v 6 网络。 m o o n v 6 。2 0 0 3 年1 0 月，包括思科、3 c o m 等在内的数家技术巨头宣布推出北美最大 的、基于新型i n t e m e t 地址系统的网络“m o o n v 6 。 口v 6 自出现以来引起了世界重要研究机构和公司的重视。目前f r c c b s d 、s o l a r i s 、 l i n u x 、u n i x 上都已经实现了l p v 6 协议栈，m i c r o s o f t 也提供了w i n d o w sx p 、w i n d o w s2 0 0 0 、 w i n d o w s 2 0 0 3 的i p v 6 协议栈。大量网络设备供应商，如c i s c o 、j u n i p e r 、n o r t e l 、e r i c s s o n 及n o k i a 等都研发了相关产品。 1 国外1 p v 6 的发展历史与现状 为了推广i f v 6 ，c i s c o 、n o r t e l 、m i c r o s o f t 、n o l d a 和3 c o m 等公司联合发起了i p v 6 论 坛，并于1 9 9 9 年起，每年举行2 - 3 届p v 6 全球峰会。到目前为止，i p v 6 论坛已经在法国、 美国、西班牙、日本、加拿大及中国召开了i p v 6 全球峰会，并与u m t s 论坛、3 g p p 以及 欧洲通信标准委员会建立了合作关系。 在l i v 6 的研究和应用方面，目前比较领先的国家有美国、欧洲和日本，不过三国发展 的历程各有特点【4 l ： 2 信息1 = 程大学硕士学位论文 由于美国是i p v 4 的发源地，无论在地址资源还是商业应用方面都占据优势：既没有地 址短缺的忧虑，又不愿改动现有耗资巨大的i p v 4 网络，因此很长一段时间以来，i p v 6 在 美国的发展都处于休眠状态而在2 0 0 3 年6 月9 日，美国国防部发表了一份备忘录，宣 布从2 0 0 3 年1 0 月起，其3 0 0 亿美元的r r 预算将只能用来购买支持i p v 6 的技术，2 0 0 8 年 以前，国防部的部分网络将全部过渡到i p v 6 上。 欧洲的移动通信事业相当发达，但在互联网发展方面却落后于美国，因此欧洲电信在 i p v 6 的发展上采取了“先移动，后固定”的基本战略，并在第3 代移动通信网中率先引入 、，6 ，以实现在互联网领域与美国并驾齐驱。 日本被认为是最先进的口v 6 试验场。早在1 9 9 9 年，日本的一些运营商，互联网服务提 供商就已经开始启动、，6 的试验业务和服务，如n t t 、k i 、k d d i 、盯和p o w e r e a c o m 等 运营商都开始提供实验性服务，到目前为止，日本已经有l o 个以上的i p v 6 商用业务和实 验服务提供商，其中n i t 公司的i p v 6 全球发展策略尤其引人注目。 2 国内i p 、，6 的发展历史与现状 由于历史原因，我国所获得的l p v 4 地址数量很少。随着政府、各行业、家庭信息化建 设的快速推进，和各类信息设备上网的海量需求，地址不足已经成为制约我国经济和社会 发展的瓶颈，而i p v 6 几乎无限制的地址空间，完全消除了互联网发展的地址壁垒及其相应 问题。i p v 6 给中国带来了巨大的战略发展机遇，因此，我国十分重视i p v 6 的发展，投入 了大量人力物力进行研究并逐渐成为全球i p v 6 发展的引擎。 1 9 9 8 年，我国的国家教育科研网c e r n e t 加入6 b o n e 。c e r n e t 建立了i p v 6 试验床， 并使我国在i p v 6 领域开展了许多开拓性的研究。 1 9 9 9 年，中国高速互连研究试验网络“n s f c n e t ( n a t i o n a ln a t u r a ls c i e n c ef o u n d a t i o n o fc h i n an e t w o r k ) 开始启动其目标是，研究下一代互联网关键技术和基础理论，开发若 干重大应用系统，为我国开展下一代互联网技术研究提供实验环境。 2 0 0 2 年，信息产业部电信研究院与天地互连信息技术有限公司联合发起成立了“下一 代口电信实验网”( i p v 6 t e l e c o m t r i a l n v t w o r k , 6 t n e t ) 。6 t n e t 面向商用实验，其目的是支 持i p v 6 产业化进程中关键技术、过渡策略、标准制定、业务开发等方面的研究。 2 0 0 3 年，以国家战略项目中国下一代互联网示范工程( c n g d 启动为标志，我国 i p v 6 商用化进程进入了实质性发展阶段。 2 0 0 4 年，在“全球i p v 6 高峰论坛”上，作为论坛的最大亮点之一，我国首个i p v 6 网 络( i p v 6s h o w n e t ) 被正式推出。该演示网络充分体现c n g i 架构的多运营商、多厂商和 全业务应用的核心特点，是我国大规模i p v 6 网络与应用布署的预演。北美i p v 6 工作组主 席j i mb o u n d 表示：“u o o n v 6 将与中国的i p v 6s h o w n e t 连接成一个全新的全球互联网” 到目前为止，c n g i 中最大的个核心网c 职n e t 2 已经于0 4 年1 2 月2 5 日开通并 连接全国2 0 个城市，且大规模采用国产的纯i p v 6 路由器p j 。另外c n g i 项目中分别位于北 京和上海的两个交换中心也已建成。北京的交换节点从2 0 0 5 年1 月开通了连接美国 i n t e r n e t 2 的4 5 m 专线，l o 月开通了连接亚太a p a n 的1 g 专连接，1 2 月开通连接t e i n 2 的 信息工程大学硕士学位论文 i g 专线连接，今年1 月3 号连接c n g i 六个核心主干网交换中心，使我国电信、联通、网 通、移动、铁通五大运营商和c e r n e t 都已经按预期构筑了6 个全国性的骨干网络并实现 了互通。最近中国科技部和欧盟签署正式协议，未来要将t e i n 2 的专线升到2 5 g 和1 0 g ， 支持中国和欧盟大规模的科学试验。该网不仅是目前c n g i 较大的出口，实际上还有线路 直接连到美国、欧洲，通向全世界。在这个网络运行以后，中国的c n g i 主干网已经形成 和欧盟、美国规模相近的网络体系，在下一代互联网研究中，在网络基础设施方面已经较 为领先。 1 2 2 安全体系结构研究现状 1 o s i 安全体系结构 i s o 于1 9 8 8 年就提出开放系统互联的安全体系结构( o s i7 4 9 8 - 2 ) ，1 9 9 1 年被c c i t t 定名为x 8 0 0 建议同。该安全体系结构已经成为网络安全专业人员的重要参考，它为网络 安全提供一组公共概念和术语，用来描述安全问题和解决方案。o s i 安全体系结构主要包 括三部分内容：安全服务、安全机制和安全管理。其定义的一组安全服务为：认证 ( a u t h e n t i c a t i o n ) 服务，访问控制( a c c e s sc o n t r 0 1 ) 服务，数据机密性( c o n f i d e n t i a l i t y ) 服 务，数据完整性( i n t e g r i t y ) 服务，抗抵赖( n o n - r e p u d i a t i o n ) 服务。其定义的安全机制为：加密、 数字签名、访问控制、数据完整性、认证交换、路由控制、公证机制、安全审计、安全恢 复等。其安全管理包括系统安全管理、安全服务管理和安全机制管理三个方面。0 s i 安全 体系结构只是提供了这三方面的一般性描述。 2 i n t e r n e t 安全体系结构 尽管i n t e r n c t 的安全性越发受到关注，但目前还没有提出一个关于i n t e m c t 完整安全体 系的r f c ，对i n t e m e t 安全性的研究主要针对各个具体问题提出具体的解决方法 7 1 。但是， 这些安全技术相对独立，无法从整个体系上满足系统的安全性需求。 3 x 8 0 5 建议 2 0 0 3 年。mtt 的第1 7 研究绢又椎出端到端通信系统的安伞体系结构( x 8 0 5 ) 嘲。 与o s i 二维安全体系结构不同的是，新版安全体系结构x 8 0 5 的主要特点是确立了三维结 构模型，即安全维、安全层和安全平面。其中安全维包括访问控制、认证鉴别、抗否认、 数据保密性、通信安全、数据完整性、可用性和隐私性八种安全措施；安全层由网络的分 层结构决定，但至少可分为基础设施层、业务层和应用层；安全平面包括管理安全平面、 控制安全平面和端用户安全平面。 该安全体系用九张表格详细描述了各种安全措旌应达到的目标，每张表对应一个模 型，每个模型是不同安全层次和不同安全平面的组合，每个模型综合运用了八种安全措施， 这些安全维用在特定安全平面的安全层时，有着不完全相同的安全目标。新的建议草案不 仅适用于网络安全，而且适用于应用安全和端用户的信息安全【9 1 。 4 i p v 6 安全研究现状与趋势 目前，“安全”和“信任”成为下一代互联网体系结构研究着重关注的领域之- - 1 0 l 。 美国1 0 0 多所大学和企业于1 9 9 6 年底联合发起的i n t e m e t 2 计划，目的是为了利用现 信息工程大学硕士学位论文 有的网络技术探索新一代网络应用，同时力图发现现有网络体系结构理论的缺陷和不适应 部分。在i n t e m e t 2 所提出的下一代网络的体系结构中，提出了中间件( m i 础l e w a ) 的概念， 其在网络和应用之间，为各种应用系统提供一组公共服务，主要是安全服务。目前， 1 2 - m i1 1 0 l ( i n t e m e t 2m i d d l e w a r ei n i t i a t i v e ) 已经开始在i n t e r a c t 2 上研究和部署网络核心中间 件，并且划分为识别、认证、授权、目录和p k i 五个方面的安全服务。不过，在网络层， i n t e r a c t 2 还没有从体系结构的角度对网络层的安全服务和安全机制开展研究。 美国南加州大学信息科学研究所，麻省理工学院计算机科学实验室等单位共同进行了 新一代i n t c c n e = t 体系结构研究项目n e w a r c h 【l o 】。在该项目最近的技术报告中提出了下 一代互联网体系结构设计的“信任调节透明性”( t r u s t - m o d u l a t e dt r a n s p a r e n c y ) 原则。他们认 为：新一代互联网，需要把现实社会中的信任关系映射到网络。基于交互用户双方的信任 需求声明，网络可以提供一定范围的服务，若双方完全信任，则他们的交互是透明、无约 束的，如果双方并不是完全信任的，那么他们的交互需要被检查、过滤和约束。身份认证 和其部署是实现“信任调节透明性”的关键。 在我国，8 6 3 项目，9 7 3 项目中都对基于i p v 6 的下一代互联网安全体系结构研究给予 了大力支持。现有互联网在设计之初缺乏完整的安全体系结构考虑，安全技术大多是在互 联网体系结构上进行修修补补的单元安全技术。而网络设备不对转发分组的源地址的真实 性进行验证是使安全攻击追踪困难，安全服务难于实现的重要原因。因此，依托下一代互 联网的研究和建设，在网络基础设施的层次实现全网的真实p 地址访问，在网络安全服务 层实现可信任的安全服务中间件，进而支持新的安全可信的互联网应用，从体系结构这个 最根本的角度解决互联网的安全问题，是下一代互联网安全研究的方向。 1 2 3 国内外相关安全领域研究现状 作为网络层的安全标准，i p s c c 一经提出，就引起计算机网络界的注意，几乎世界上 所有的计算机公司都宣布支持这个标准，并且不断推出产品【1 1 1 。如微软在w m d o w s n t5 0 以上的操作系统已使用i p s e c ，i n t e l 已使用i p s e c 构建可信虚拟网，c i s c o 将i p s e c 做到了 路由器上，美国国家标准技术研究所( n i s t ) 也为i p s c c 的实现提供了互操作性测试平台。 虽然i p s e c 中如安全策略的一些组件，仍在研究之中，但i p s c c 事实上已经成为信息安全 的产业标准。 作为保障网络信息安全的另一广泛应用r a d i u s 协议【1 2 】，是现行网络中a a a 【1 3 】 ( a u t h e n t i c a t i o n ( 认证) ，a u t h o r i z a t i o n ( 授权) ，a c c o u n t i n g ( 计费) ) 的协议标准，其本 身的缺陷和不合理使其已经不能满足新一代网络的需求。因此i e t f 的a a a 工作组确定 d i a m e t e r 协议【1 4 】( r a d i u s 协议的升级版本) 作为下一代的a a a 技术。由于其强大的可 扩展性和安全保证，d i a m e t e r 协议正得到越来越多的关注在r r u ，3 g p p 和3 g p p 2 等国 际标准组织中，都已经正式将d i a m e t e r 协议作为n g n ，w c d m a 和c d m a 2 0 0 0 等未来通 信网络的首选a a a 协议。目前市场上有许多r a d i u s 服务器软件，但它们基本上只支持 口v 4 ，支持l p v 6 的产品不多，而尚未有专门支持i p v 6 的基于d i a m e t e r 协议的服务器软件。 信息工程大学硕士学位论文 1 3 本文主要的研究工作 本文的研究目标是通过研究现有网络的安全体系结构及其认证技术，分析i p v 6 现有协 议和机制及其面临的安全威胁，提出基于i p v 6 的网络安全体系结构。并在此基础上，研究 网络接入认证协议模型，设计并实现i p v 6 下的网络接入认证系统。 如图1 1 所示，本文的研究内容主要包括以下几部分： 图1 1 论文组织结构图 1 基于i p v 6 的网络安全体系结构研究 分析i p v 4 安全技术及其安全体系结构，研究i p v 6 协议簇及i p v 6 网络面临的安全威胁， 得出所需的安全服务及安全机制，提出基于i p v 6 的网络安全体系结构。给出安全服务的形 式化描述，并分析其关系。 2 认证技术研究 分析目前用户接入时常用的认证模式，及认证过程可能存在的攻击，给出一个认证协 议模型描述。并对采用t j i l a t 认证机制的d i a m e t e r 协议的认证过程建模。 3 i p v 6 网络中基于d i a m e t e r 的认证系统设计 研究保障a a a 技术中的认证技术分析并比较现行的r a d i u s 协议及其升级版本 d i a m e t e r 协议，并基于d i a m e t e r 基础协议和n a s r e q 应用设计一个l p v 6 下的认证系统。 4 i p v 6 网络中基于d i a m e t e r 协议的系统工程实现 搭建i p v 6 网络实验环境，根据d i a m e t e r 基础协议和n a s r e q 应用进行工程实现。 1 4 论文的结构安排 论文的结构安排如下： 第一章绪论主要介绍课题的意义，国内外研究现状，论文研究的主要内容以及结 构安排。 第二章i p v 6 协议分析分析i p v 6 的数据报文格式，i p v 6 的地址方案、i p v 6 的即插即 6 分析研究 深入研究 具体研究 工程实璎 信息工程大学硕士学位论文 用及i p s e c 。并与i v 4 作了比较。 第三章基于i p v 6 的网络安全体系结构通过研究i p v 6 协议簇和i p v 6 网络面临的安 全威胁。给出了i p v 6 网络所需的安全服务及安全机制，提出了l p v 6 网络的安全体系结构， 并给出相应描述。 ， 第四章基于d i a m e t e r 的认证系统设计介绍了目前网络接入时常用的认证模式，分 析认证过程中存在的安全威胁，介绍目前网络的a 从服务基础框架及两种a a a 协议， ( r a d i u s 协议和d i a m e t e r 协议) ，并加以比较；分析d i a m e t e r 协议的消息传送及数据包 结构。提出了一种认证协议模型，并对采用c h a p 认证机制的d i a m e t e r 协议的认证过程建 模，设计基于d i a m e t e r 的认证系统。 第五章系统工程实现介绍工程设计中用到的a c e 软件的编程思想，并进行环境搭 建，分别给出基于d i a m e t e r 认证系统的对等节点连接的实现，及客户端和服务器的实现， 并以单个用户的认证过程为例详细介绍了消息的处理过程。 第六章结束语对本课题的研究工作进行了总结。指出了课题取得的成果和存在的 不足，并对下一步的研究工作进行展望。 7 信息工程大学硕士学位论文 第二章口v 6 协议分析 2 1i p v 6 协议 i p v 6 1 5 的大多数思想都来源于m v 4 ，所以i p v 6 与 p v 4 相比，其基本原理保持不变， 但又有以下主要技术进步【切： 地址空间的扩展，由原来的3 2 位扩充到1 2 8 位，彻底解决i p v 4 地址不足问题；支持 分层地址结构，从而更易于寻址；扩展支持组播和任意播地址，这使得数据包可以发 送给任何一个或一组节点。 包头格式的简化，这样可以有效降低路由器或交换机对首部的处理开销。 增强了对扩展和选项的支持，可以使转发更为有效。 地址自动配置，大容量地址空间能够实现无状态地址自动配置，使得i p v 5 终端无需人 工配置就能连接到网络上，实现真正的即插即用。 集成了认证和加密两种安全机制，保证了网络层端到端通信的完整性和机密性。 用设置流标记的方法支持实时传输，并有效保障相关业务的服务质量。 扩展为新的i n t e r a c t 控制报文协议i c m p v 6 ，并加入了l p v 4 的i n t e m e t 组管理协议i g m p 的组播控制功能以使协议更加完整。 在移动网络和实时通信方面l p v 5 较i p v 4 有较大优势，强大的自动配置能力简化了移 动主机和局域网的系统管理。 2 1 1i p v 6 的数据报文格式 1 1 p v 6 和i p v 4 首部比较 新的i p v 5 首部结构比i p v 4 简单得多，i p v 6 首部中去除了i p v 4 首部中许多不常用的域， 将其放入了可选项和首部扩展中；i p v 6 中的可选项有更严格的定义。虽然i p v 5 首部占4 0 字节，是2 4 字节的l p v 4 首部的1 6 倍，但因其长度固定( i p v 4 首部是变长的) ，故不需耍 消耗过多的内存容量。 图2 1 和图2 2 分别为具体的i p v 4 与i p v 5 首部格式。 4 b i t 4 b i t 报 8 b i t 服务类型1 6 b i t 黼包长度 版本号头长度 标志 标识符( 1 6 b i t ) 分段僖移( 1 2 b i t ) ( 4 b i t ) 生存时阅( 8 b i t )传输协议( 8 b i t )报头校验和( 1 6 b i t ) 漳i p 地址( 3 2 b i t ) 目的i p 地址( 3 2 b i t ) 选项( 2 4 b i t )填充( 8 b i t ) 图2 1i p v 4 首都格式 信息工程大学硕士学位论文 4 b i t4 b i t 2 4 b i t 流标签 舨本号优先级 挣荷长度( 1 6 b i t ) 下一报头( s b i t )h o p 限制( s b i t ) 濒i p 地址( 1 2 8 b i t ) 目的i p 地址( 1 2 8 b i t ) 图2 2i p v 6 首部格式 由图可见，l p v 6 相对i p v 4 来说，l p v 4 的包首部长度、服务类型、标识符、标志、分 段偏移和首部校验和这6 个域被删除。数据包长度、传输协议和生存时间3 个域的名称或 部分功能被改变，其选项功能有所改变，新增加了2 个域，即优先级和流标签。优先级字 段可以定义2 5 6 个级别的优先级，对各种多媒体信息根据紧急性确定数据包的优先级，从 而保证每一项服务都能达到用户满意的质量。而使用流标签字段可以在传输过程中由中间 节点识别和处理任何的璎地址流。在i p v 6 中，同一个业务流的所有数据包采用相同的流 标签，这样当路由器检测到相同的流标签时会采用相同路径发送出去，而不需要为每一个 数据包重新选择路由，从而大大提高了数据包转发的效率，降低了端到端的延迟。 2 i p v 6 的扩展首部 i p v 4 首部中包含有安全路由、源路由、对间戳等可选项，带有可选项的数据报因为需 要特殊处理，则由优先级较低的程序进行处理，使得路由器的转发速度下降应用程序员 发现使用可选项会使性能降低，则倾向于不用可选项。但是，某些数据报仍是需要进行特 殊处理的，所以i p v 6 设计了扩展首部。 在l p v 6 基本首都和上层协议首部之间可以插入任意数量的扩展首部。每个扩展首部根 据需要有选择地使用并相对独立，各个扩展首部应顺次连接排列在一起，每个首都都包含 一个“下一个首部”域用来标识并携带链中下一个首部的类型。如图2 3 所示： 图2 3 扩展首部示意图 目前i p v 6 定义了6 种扩展首都： ( 1 ) 逐跳选项首部( h o p - b y - h o ph e a d e r ) 该扩展头必须紧随基本首部，它包含所经路径上每个节点都要检查的选项数据。由于 它需要每个中间路由器进行处理，逐跳选项头只有在必要时才出现。 ( 2 ) 源路由选择首部( m u t i n g h e a d e r ) 9 信息工程大学硕士学位论文 指明数据报在到达目的地途中要求经过的路由节点，包括沿途经过的各个节点的地址 列表。目前i p v 6 只定义了类型为0 的源路由选择首部。该类型不要求报文严格地按照目的 地址字段和扩展首部中的地址列表所形成的路径传输，即可以经过那些没有指定的中间节 点。这样仅是指定的路由器才对该首都进行相应处理，那些没有明确指定的中间路由器不 作额外处理就将包转发出去，提高了处理性能。 ( 3 ) 分片首部( f r a g m e n th e a d e r ) 用于源节点对长度超过m t u ( 最大传输单元) 的数据报进行分片，包含一个分片偏移 量、一个“更多片”标志和一个用于标识属于同一原始报文的所有分片的标识符字段。 ( 4 ) 目的地选项首都( d e s t i n a t i o no p t i o nh e a d e r ) 用来携带仅由目的地节点检查的信息。目前唯一定义的目的地选项是在需要时把选项 填充为6 4 位的楚数倍 ( 5 ) 认证首部( a u t h e n t i c a t i o nh e 蝴e r ) 提供对i p v 6 基本首部、扩展首部、有效载荷的某些部分进行加密的校验和计算机制。 ( 6 ) 封装安全载荷首都( e n c a p s u l a t i o ns e c u r i t y p a y l o a dh e a d e r ) 指明剩余的有效载荷已经被加密，并为已获得授权的目的节点提供足够的解密信息。 当在同一个包中使用多于一个扩展首部时，建议以如下顺序排列这些首部： i p v 6 首都 逐跳选项首部 目的地选项首部( a ) 源路由选择首部 分片首部 认证首部 封装安全载荷首部 目的地选项首部0 3 ) 上层协议苗鄙 2 1 2 i p v 6 的地址方案 1 i p v 6 的地址类型 p v 4 地址r 1 8 1 表示为点分十进制格式，3 2 位的地址分成4 个8 位分组，每个8 位写成 十进制，中间用点号分隔。而 t v 6 的1 2 8 位地址则以1 6 位为一分组，每个1 6 位分组写成 4 个十六进制数，中间用冒号分隔，称为冒号分十六进制格式。例 如：2 1 d a ：0 0 d 3 ：0 0 0 0 ：2 f 3 b ：0 2 a a ：o o f f ：f e 2 8 ：9 c 5 a 是一个完整的i p v 6 地址。 所有类型的i p v 6 地址都被分配到接口，而不是节点。i p v 6 地址是单个或一组接口的1 2 8 位标识符，按寻址方式和功能的不同，可分为以下三类： ( 1 ) 单播( u r i i c a s t ) 地址 单个网络接口的标识符。以单播地址为目的地址的数据包被送给该地址标识的接口。 对于有多个接口的节点，它的任何一个单播地址都可以用作该节点的标识符。 笪璺三堡奎兰堡主兰堡丝苎 ( 2 ) 任意播( a n y c a s t ) 地址 一组接口( 一般属于不同节点) 的标识符。以任意播地址为目的地址的数据包被送给 该地址标识的接口之一( 由路由协议度量，取距离最近的一个接口) 这种类型在i p v 4 中不存在 ( 3 ) 组播( m u l t i c a s t ) 地址 一组接口( 一般属于不同节点) 的标识符。以组播地址为目的地址的数据包被送给该 地址标识的所有接口。i p v 6 中没有广播地址，而是采用组播地址代替。 其中，单播地址按照地址的传输范围分为可聚集全球单播地址( a g g r e g a t a b l eg l o b a l u n i c a s ta d d r e s s e s ) 、n s a p 地址、x 层次地址、站点本地地址( s i t o - l o c a la d d r e s s ) 和 链路本地地址( l i n k - l o c a la d d r e s s ) 等。所有的网络接口至少要有一个链路本地地址，同 时还可以拥有多个地址( 包括单播、任意播和组播) 。 2 i p v 6 的可聚集全球单播地址 i p v 6 为点对点通信设计了一种具有分级结构的地址，这种地址被称为可聚集全球单播 地址( a g g r e g a t a b l eg l o b a lu n i c a s ta d d r e s s ) ，它在r f c 2 3 7 4 中定义可聚集地址具有三 个层次的分级结构： 公众拓扑层( p u b l i ct o p o l o g y ) ：提供公众i n t e r a c t 转接服务的网络提供商和网络交换 商的集合； 站点拓扑层( s i t et o p o l o g y ) ：本地的特定站点或组织，不提供到本站点以外节点的公 众i n t e r a c t 转接服务； 网络接口标识( i n t e r f a c ei d e n t i f i e r ) ：标识链路上的网络接口 图2 4 可聚集全球单播地址的结构示意图 可聚集全球单播地址的分级结构划分如图2 4 所示。开始3 个地址位是地址类型前缀， 用于可聚集全球单播地址的格式前缀区别其它地址类型。其后的1 3 位t l ai d 、2 4 位n l a d 、1 6 位s l ai d 和6 4 位主机接口d ，分别用于标识分级结构中自上向下排列的a