（计算机应用技术专业论文）基于ipv6安全性的研究及其防火墙设计.pdf

摘要 由丁1 p v 4 在设计之初在资源限制上较为保守，所以现在i n t e r n e t 的爆炸性增长引发了 网络地址不足的危机，按目前入网主机的增长速度预计到2 0 0 6 年左右r p 地址将被耗尽； i p v 6 采川了1 2 8 位的地址空间，彻底解决i p v 4 地址不足的问题。现行网络正由i p v 4 逐步 向i p v 6 过渡。 在通信安全性方面，i p v 6 在其扩展报头中定义了认证报头( a u t h e n t i c a t i o nh e a d e l a h ) 和封装化安全净荷( e n c a p s u l a t i ns e c u r i t yp a y l o a d ，e s p ) ，从而使在i p v 4 中仅仅作为选项 使用的i p s e c 协议成为i p v 6 的有机组成部分。i p s e c 的引入，使得i p v 6 在网络层的安全性 上得到了很大的增强。 但是现行网络防火墙体系对于加密了的l p v 6 数据包，并不能完全兼容。如何把应用了 l p s e c 的l p v 6 和防火墙无缝结台在一起，这是国内外网络研究的热点之一，但是至今都还没 有非常完善的方案提出。本文在这方面也做了一定程度的尝试。 本文主要对i p v 6 的安全性进行研究和实践，论文分为四个部分： 第一部分首先介绍了i p v 6 的技术原理，包括地址格式、地址分类、地址配置、服务质 量、移动连接、报头简化和域名解析七个方面；然后对i p v 6 的安全机制进行了分析，详细 介绍了i p s e c 的功能、体系结构、原理和实现的关键技术。 第二部分阐述本人建立i o v 6 安全性研究实验床的过程。首先介绍了要搭建的实验床的 拓扑结构，然后分别详细说明了在l i n u x 平台和w i n d o w s 平台上如何建立实验床，并给出了 实验床相关测试结果。 筇二部分拒已有实验床的基础上，针对i p v 6 的安全策略l p s e c 展开深入的实验和测试 牲这部分本人改计了两种实验方案：一种应用端对端的安全策略，体现i p s e c 对端到端网 络晌f 求护：另一种麻州网关到网关的安全策略，体现i p s e c 对整个子网的保护：然后以实验 “实为蚯础详细论述i p s e c 的优越性以及它和现有防火墙体系的兼容性问题。 第四部分在第三部分实验结果的基础上，对于兼容性问题提出了几种i p v 6 下防火墙的 解决方案；然后就其中一种：在i p v 6 端对端通信情况下，防火墙如何对用e s p 加密的数据 包进行控制过滤的方法提出自己具体的解决思路。并且在l i n u x 平台上，对l i n u x 下的包过 滤器n e t f i l t e r 进行功能扩展、设计和编程。实现了防火墙对e s p 加密数据的控制。 【关键词】i p v 6 p s e c 实验床防火墙n e t f i l t e r a b s t r a c t i p v 4p r o t o c o li sd e s i g n e dc o n s e r v a t i v ei nt h er e s o u r c e so fa d d r e s s ，a sar e s u l tt h ec r i s i si n s h o r t a g eo fa d d r e s sa p p e a r sw i t ht h eb u r s to fi n t e r n e t sg r o w i n g a c c o r d i n gt ot h ei n c r e a s i n g v e l o c i t yo fc o m p u t e ri i n k e di n t oj n t e m e t t h ei pa d d r e s sw o u l db ee x h a u s t e di n2 0 0 6 i p v 6 p r o t o c o la d o p t e d1 2 8b i ta d d r e s ss p a c e s ，w h i c hm a y r e s o l v et h ep r o b l e mo f t h ea d d r e s ss h o r t a g ei n i p v 4t h ec u r r e n tn e t w o r ki sb e i n gt r a n s f e r r e df r o mi p v 4t oi p v 6 i p v 6h a v ea u t h e n t i c a t i o nh e a d e r ( a h ) a n de n c a p s u l a t i ns e c u r i t yp a y l o a d ( e s p ) i ni t s e x p a n dh e a d e r a sar e s u l t ，i p s e cw h i c hi s ac h o i c ei ni p v 4b e c o m eo n ep a r to fi p v 6 i p s e c e n h a n c e di p v 6 ss e c u r i t yv e r ym u c h h o w e v e r ，t h ec u r r e n tf i r e w a l lc a nn o td ov e r yg o o di nd e a lw i t ht h el p v 6d a t at h a ti se n c r y p t e d w i t he s p t h ew a y st or e s o l v et h i sp r o b l e mi sav e r yh o tt o p i ci na l lt h ew o r l d t on o w d a y s h o w e v e r , t h e r ea r en o tv e r yp e r f e c tp r o j e c tt ob ep u tf o r w a r d ia l s ot r yal i t t l ei nt h i sa s p e c ti n tt h i s d i s s e r t a t i o n t h i sd i s s e r t a t i o nm a i n l yd i s c u s s e dt h es e c u r i t yo fi p v 6a n dt h e nd os o m es t u d i e sa n d p r a c t i c e st oi t t h ed i s s e r t a t i o ni sd i v i d e di n t of o u rf r a c t i o n s ： t h ef i r s tp a r ti n t r o d u c e dt h et e c h n i q u ep r i n c i p l eo fi p v 6a tf i r s t ，i n c l u d i n gt h ea d d r e s s f o r m a t 、t h ea d d r e s ss o r t 、t h eq u a l i t yo fs e r v ea n ds oo n t h e nia n a l y s e dt h es e c u r i t yo fi p v 6 a n dd e t a i l e dt h ef u n c t i o n ，s t r u c t u r e ，p r i n c i p l eo f l p s e ca n dt h ek e yt e c h n i q u e si nr e a l i z a t i o n s t h es e c o n dp a r te l a b o r a t e dt h ep r o c e s st h a tim a k ei p v 6t e s tb e d f i r s t l y , ii n t r o d u c e dt h e s t r u c t u r eo fi p v 6t e s tb e d s e c o n d l y , ie l a b o r a t e dt h ew a yo fm a k ei p v 6t e s tb e s ti nw i n d o w sa n d l i n u x f i n a l l y , 1g i v e dt h er e l a t e dt e s tr e s u l t so f t h et e s tb e d t h et h i r dp a r ti n t r o d u c et h ep l e n t i f u ie x p e r i m e n ta n dt e s t si n d e p t ha b o u ti p s e cb a s e do nt h e i p v 6b e d id e s i g n e dt w ok i n d so f e x p e r i m e n tp r o j e c t s 。o n ei sak i n do f s t r a t e g ya b o u tp o r tt op o r t ， w h i c hs h o w e dt h ep r o t e c t i o no fi p s e ci np o r tt op o r t t h eo t h e ri sak i n d o fs t r a t e g ya b o u t g a t e w a yt og a t e w a y , w h i c hs h o w e dt h ep r o t e c t i o no fi p s e ci nl o c a ln e t a tl a s t ，1d e t a i l e dt h e s u p e r i o r i t yo fi p s e ca n dt h ec u r r e n tp r o b l e mi nf i r e w a l lb e c a u s eo f t h eu s i n go fi p s e cb a s e do n t h ep l e n t i f u lf a c t so f e x p e r i m e n t i nt h ef o u rp a r t ，id e s i g n e dal i t t l eo fm e t h o d st oc o p ew i t ht h ep r o b l e m si ni p v 6f i r e w a l l a n dt h e nt oo n eo ft h e n ：t h ew a yo ff i r e w a l lc o n t r o la n df i l t r a t et h ei p v 6d a t at h a ti se n c r y p t e d b ye s p ，1p u tf o r w a r dt om ym a t e r i a lm e t h o d st oc o p ew i t hi t a n dt h e nie x p a n d e dt h e f u n c t i o n o fn e t f i l t e rt h a ti sak i n do fd a t af i l t r a t e dt o o l si nl i n u x ，a n df o l l o w e d ，1d e s i g n e ds o m e c o d e st on e t f i l t e r ，m a k ei tc o u l df i l t r a t ed a t ae n c r y p t e db ye s e 【k e y w o r d 】i p v 6i p s e c t e s tb e df i r e w a l ln e t f i l t e r 第一章绪论 1 , 1 引言 1 1 1i p v 6 简介 1 p v 6 是“i n t e r n e tp r o t o c o lv e r s i o n6 ”的缩写它是i e t f 设计的用丁替代现行 版本i p 协议一i p v 4 一的下一代i p 协议。 目前i n t e r n e t 中厂。泛使用的i p v 4 协议，也就是人们常说的i p 协议，已经有近2 0 年 的历史了。随着i n t e r n e t 技术的迅猛发展和规模的不断扩大。i p v 4 已经暴露出了许多问 题，而其中虽重要的一个问题就是i p 地址资源的短缺。有预测表明，以目前i n t e r n e t 发展的速度来计算，在未来的5 到l o 年间，所有的i p v 4 地址将分配完毕。尽管目前已经 采取了一些措施来保护i p v 4 地址资源的合理利用，如非传统网络区域路由和网络地址翻 译，但是都不能从根本上解决问题。 为了彻底解决i p v 4 存在的问题，i e t f 从1 9 9 5 年开始就着手研究开发下一代i p 协议， 即i p v 6 。i p v 6 具有长达1 2 8 位的地址空间，可以彻底解决i p v 4 地址不足的问题，除此之 外，i p v 6 还采用了分级地址模式、高效i p 包头、服务质量、主机地址自动配置、认证和 加密等许多技术。 1 1 2i p v 6 的发展现状 由i p 地址危机产生和发展起来的l p v 6 作为下一代互联网协议已经得到了各方的公 认，未来互联网的发展离不开 p v 6 的支持和应用，甚至被认为是后起发展网络的国家追 赶“发达”国家的一个良好机遇。正因为如此，目前各方面都在加紧对i p v 6 的研究和应 _ e f j 开发。但是，l p v 6 的发展主要得益丁政府_ 手f f 厂商两方面的支持。 1 、政府支持 许多国家对i p v 6 技术都已经引起足够的重视，并且都采取了一些切实可行的措施， 尤其是一些欧洲国家。作为网络的发源地，美国也在积极地进行i p v 6 的研究和建设。中 国对于i p v 6 技术的态度是“积极跟踪、把握机遇、稳妥推进”，并且在部分地区实行了 网上实验。中国政府密切关注着i p v 6 的发展，目前中国高校和科研机构已经与国内外一 些运营商合作，对i p v 6 进行研究实验。国家发改委、教育部等8 部委日前联合宣布，中 国第一个下一代互联网拉开序幕，这是世界上规模晟大的i p v 6 互联网。这也意味着，现 在的i p v 4 网络要进行改造，其中蕴含着以千亿元计的市场。 2 、厂商支持 i p v 6 作为下代互联网协议己经引起了各地区、各运营商的足够重视因为所有的 人都已经认识到这样一种前景：谁能够率先在i p v 6 方面有所作为，谁就能够在未来的竞 争中占住有利位置。在众多的设备提供商和运营商的努力f ，i p v 6 协议已经从实验室走 向了应用阶段。已有5 0 多个国家和地区加入有关i p v 6 的研究。i b m 、s u n 、日立、中国的 中科院计算所、天地互连等研究机构和公司也分别研制开发了不同平台上的i p v 6 系统软 件和应用软件；华为等路由器厂商已经开发出了面向i p v 6 网络的路由器产品。操作系统 方面，基于开放源码的l i n u x 对i p v 6 提供了比较强的支持，s u n 、i b m 、康柏、惠普和微 软的最新操作系统都提供了i p v 6 支持。 因此，从整体上来讲，i p v 6 的技术已经成熟，标准也基本完善，一些网络基础设施 和核心设备都已陆续开始支持其使用，但是在具体实施的问题上，由于经济利益上的关系， 在目前还没有普遍推广，而是处于与i p v 4 相互并存和过度的阶段。 1 1 3i p v 6 对现有安全体系的挑战 l p v 6 的安全性相比i p v 4 得到了很大的增强，它的协议族嵌套包含了i p s e c ，但i p s e c 的实施并不能替代传统安全设备，防火墙和入侵检测系统仍有存在的必要，更值得注意的 址i p s e c 的采用却对现有安全体系结构带来了挑战封装安全载荷( e s p ) 和隧道，使得防 火墙、入侵检测系统无法分析报文内容，恶意者甚至可以利用这一点绕过防火墙对内部网 络土机实施攻击 同时i p s e c 也为我们设计安全体系提供了新的思路，即把保密和认证机制融入其中 使传统的安全设备更加完善和强健结合i p s e c 和传统安全设备构造新的安全体系，要 考虑i p s e c 带来的问题，同时利用它的认证和保密机制，为传统安全设备提供更高安全强 度的保护能力 1 , 2 论文的工作和意义 i p v 6 和l p v 4 相比具有诸多优势：地址空问巨大，支持分级路由结构，能进行有状态和 无状态的地址培植，具有内置的安全策略( i p s e c ) ，能更好地支持q 0 s 以及具有良好的可 扩展性等等。2 0 0 3 年1 0 月中国宣布即将启动c n g i 项目( 中国下一代互联网项目) ，并拟在 2 0 0 5 年底建成世界上最大的i p v 6 网。c n g i 项目将成为整个i p v 6 产业部署进程的孵化器和助 推器。在这种国家大力支持的大好形势下，利用我们自身的科研资源和条件，努力抓住发 展契机，搭建i p v 6 的实验环境，做一些i p v 6 的研究，推动i p v 6 的应用，为i p v 6 r p 将到来大 规模商用做好技术储各是非常必要和有意义的。 而且，现有安全体系并不能完全适应i p v 6 的许多新的应用。随着i p v 6 的迅速发展， 基于i p v 6 的下一代互联网的安全性研究就更加突显重要，切实地研究出新的安全方案以 解决l p v 6 和现有安全体系的兼容性问题，在当前己成为了非常迫切的事。 本论文主要从事了三方面的研究工作： l 、 创造i p v 6 安全性研究的基础：分别搭建了基于l i n u x 和基于w i n d o w s 平台的 i p v 6 实验床，不管是应用在w i n d o w sr 还是应用在l i n u xf 的i p v 6 的项目 都可以在这个基础上进行测试和研究。 2 、深入分析i p v 6 的安全机制i p s e c ，并且详细阐述了i p s e c 在i p v 6 中的实现过 程，进一步设计了多种方案对i p s e c 在i p v 6 下的具体应用和实现一一进行实 验和测试，并根据实验结果得出了关于i p v 6 安全性使用一些相关结论。 3 、针对i p v 6 加密数据和现有包过滤防火墙不完全兼容的问题，提出了一种在 i p v 6 扩展报头中增加端口通告的解决方案，并给出了具体实现过程和程序编 2 写思路。 第二章i p v 6 技术原理及其安全性分析 本章一方面对i p v 6 的技术特点及其实现原理做简要介绍，另一方面也对i p v 6 的安全 机制i p s e c 的关键技术作出分析。 2 1i p v 6 的技术原理简介 i p v 6 之会逐步取代i p v 4 ，成为下一代网络中的主角。那么它和i p v 4 相比有那些优点 七的胤! j l i j 足怎样设计的呢? 1 、i p v 6 地址格式 与1 p v 4 的3 2 地址相比，i p v 6 的地址要长的多。i p v 6 共有1 2 8 位地址，是i p v 4 的整 艇四倍。与i p v 4 一样，一个字段由1 6 位二进制数组成，因此，l p v 6 有8 个字段。每个字 段的最大值为1 6 3 8 4 ，但在甘写时用四位的十六进制数字表示，并且字段与字段之间用“：” 隔开，而不是原来的“”。丽且字段中前面为零的数值可以省略，如果整个字段为零，那 么也可以省略。1 2 8 位地址所形成的地址空间在可预见的很长时期内，它能够为所有可以 想象出的网络设备提供一个全球唯一的地址。1 2 8 位地址空间包含的准确地址数是3 4 0 ， 2 8 2 ，3 6 6 ，9 2 0 ，9 3 8 ，4 6 3 ，4 6 3 ，3 7 4 ，6 0 7 ，4 3 1 ，7 6 8 ，2 1 1 ，4 5 6 。 l p v 6 的地址如上图所示。0 0 1 为可聚类全局单播地址前缀，1 3 位的t l a i d ( 顶级聚集 体i d 号) 、8 位的r e s ( 保留值，以各将来t l a 或n l 4 扩充之用。) 、2 4 位的n l m d ( 次级 聚集体i d 号) 、1 6 位s l a i d ( 节点i d 号) 和6 4 位i n t e r f a c e i d ( 主机接口i d 号) 。t l a 、 n l a 、s l a 三者构成了自顶向下排列的三个网络层次，并且依次向上一级申请i d 号。分层 结构的最底层是网络主机。 2 、i p v 6 地址分类 i p v 6 定义了三种不同的地址类型。分别为单点传送地址( u n i c a s t a d d r e s s ) 多点传 送地址( m u l t i c a s t a d d r e s s ) 和任意点传送地址( a n y c a s t a d d r e s s ) 。所有类型的 p v 6 地址都是属于接口( i n t e r f a c e ) 而不是节点( n o d e ) 。一个i p v 6 单点传送地址被赋给某 一个接口，而一个接口又只能属于某个特定的节点，因此一个节点的任意一个接口的单 点传送地址都可以用来标示该节点。 i p v 6 中的单点传送地址是连续的，以位为单位的可掩码地址与带有c i d r 的i p v 4 地 址很类似，一个标识符仅标识一个接口的情况。在i p v 6 中有多种单点传送地址形式，包 括基于全局提供者的单点传送地址、基于地理位置的单点传送地址、n s a p 地址、i p x 地址、 节点本地地址、链路本地地址和兼容1 p v 4 的主机地址等。 多点传送地址是一个地址标识符对应多个接口的情况( 通常属于不同1 ，点) 。i p v 6 多 点传送地址用于表示一组节点。一个节点可能会属丁i 几个多点传送地址。这个功能被多媒 体应用程序所广泛使用，它们需要一个节点到多个节点的传输。r f c 一2 3 7 3 对于多点传送 地址进行了更为详细的说明，并给出了一系列预先定义的多点传送地址。 任意点传送地址也是一个标识符对应多个接口的情况。如果一个报文要求被传送到一 个任意点传送地址，则它将被传送到由该地址标识的一组接口中的最近一个( 根据路由选 择协议距离度量方式决定) 。任意点传送地址是从单点传送地址空间中划分出来的，因此 它可以使用表示单点传送地址的任何形式。从语法上来看，它与单点传送地址间是没有差 别的。当一个单点传送地址被指向多于一个接口时，该地址就成为任意点传送地址，并且 被明确指明。当用户发送一个数据包到这个任意点传送地址时，离用户最近的一个服务器 将响应用户。这对于一个经常移动和变更的网络用户大有益处。 那么从接口主机来讲( 主要从功用来分) ，i p v 6 义可以把主机接口类型进行地址配置： 全球地址( g l o b a l l y ) 、全球单播地址( u n i c a s t ) 、区域地址( 0 1 3 一s i t e ) 、链路本地地址 ( 】i n k l o c a l a d d r e s s ) 、地区本地地址( s i t e l o c a l a d d r e s s ) 、广播地址( b r o a d c a s t ) 、多 播样地址( m u l t i c a s t g r o u p a d d r e s s ) 、任播地址( a n y c a s t a d d r e s s ) 、移动地址( n o b i l i t y ) 、 家乡地址( h o m e a d d r e s s ) 、转交地址( c a r e o f a d d r e s s ) 。 3 、i p v 6 地址配置 i p v 6 的一个基本特性是它支持无状态和有状态两种地址自动配置的方式。无状态地 址自动配置方式是获得地址的关键。i p v 6 把自动将i p 地址分配给用户的功能作为标准功 能。只要机器连接上网络便可自动设定地址。它有两个优点。一是最终用户用不着花精 力进行地址设定，二是可以大大减轻网络管理者的负担。i p v b 有两种自动设定功能。一 种是和i p v 4 自动设定功能一样的名为“全状态自动设定”功能。另一种是“无状态自动 设定”功能。 在i p v 4 中，动态主机配置协议( d y n a m i c h o s t c o n f i g u r a t i o n p r o t o c o l ，d h c p ) 实现 了主机i p 地址及其相关配置的自动设置。一个d h c p 服务器拥有一个i p 地址池，主机从 d h c p 服务器租借i p 地址并获得有关的配置信息( 如缺省网关、d n s 服务器等) ，由此达到 自动设置主机i p 地址的目的。i p v 6 继承了i p v 4 的这种自动配置服务，并将其称为全状 态自动配置( s t a t e f u l a u t o c o n f i g u r a t i o n ) 。 在无状态自动配置( s t a t e l e s s a u t o c o n f i g u r a t i o n ) 过程中，主机首先通过将它的网 卡m a c 地址附加在链接本地地址前缀1 1 1 1 1 1 1 0 1 0 之后，产生一个链路本地单点传送地址。 接着主机向该地址发出一个被称为邻居发现( n e i g h b o r d i s c o v e r y ) 的请求，以验证地址 的唯一性。如果请求没有得到响应，则表明主机自我设置的链路本地单点传送地址是唯一 的。否则，主机将使用一个随机产生的接口i d 组成一个新的链路本地单点传送地址。然 后，以该地址为源地址主机向本地链路中所有路由器多点传送一个被称为路由器请求 ( r o u t e r s o l i e i t a t i o n ) 的配置信息。路由器以一个包含一个可聚集全球单点传送地址前 缀和其它相关配置信息的路由器公告响应该请求。主机用它从路由器得到的全球地址前缀 加上自己的接口i d ，自动配置全球地址，然后就可以与i n t e r n e t 中的其它主机通信了。 使用无状态自动配置无需手动干预就能够改变网络中所有主机的i p 地址。例如，当企 业更换了联入i n t e r n e t 的i s p 时，将从新i s p 处得到一个新的可聚集全球地址前缀。i s p 把这个地址前缀从它的路由器上传送到企业路由器上。由于企业路由器将周期性地向本地 4 链路中的所有主机多点传送路由器公告，因此企业网络中所有主机都将通过路由器公告收 到新的地址前缀，此后，它们就会自动产生新的i p 地址并覆盖旧的1 p 地址。 4 、i p v 6 服务质量 服务质量( q u a l i t yo fs e v e r s ) 包含几个方面的内容。从协议的角度看，i p v 6 的优 点体现在能提供不同水平的服务。这主要由于i p v 6 报头中新增加了字段“业务级别”和 “流标记”。有了它们，在传输过程中，中间的各节点就可以识别和分开处理任何i p 地 址流。尽管对这个流标记的准确应用还没有制定出有关标准，但将来它会用于基于服务级 别的新计费系统。在其它方面，i p v 6 也有助丁改进服务质量。这主要表现在支持“时时 在线”连接，防止服务中断以及提高网络性能方面。 i p v 6 数据包的格式包含一个8 位的业务流类别( c l a s s ) 和一个新的2 0 位的流标签 ( f l o w l a b e l ) 。最早在r f c l 8 8 3 中定义了4 位的优先级字段，可以区分1 6 个不同的优先 级。后来在r f c 2 4 6 0 里改为8 位的类别字段。其数值及如何使用还没有定义，其目的是允 许发送业务流的源节点和转发业务流的路由器在数据包上加上标记，并进行除默认处理之 外的不同处理。一般来说，在所选择的链路上，可以根据开销、带宽、延时或其他特性对 数据包进行特殊的处理。 个流是以某种方式相关的一系列信息包，i p 层必须以相关的方式对待它们。决定 信息包捌r 同一流的参数包括：源地址，目的地址，( a s 身份认证及安全性。i p v 6 中流 的概念的引入仍然是在无连接协议的基础上的，一个流可以包含几个t c p 连接，一个流的 目的地址可以是单个仃点也可以是一组节点。i p v 6 的中间节点接收到一个信息包时，通 过验证他的流标签，就可以判断它属于哪个流，然后就可以知道信息包的q 0 s 需求，进行 快速的转发。 基于i p v 4 的i n t e r n e t 在设计之初，只有一种简单的服务质量，即采用“尽最大努力” ( b e s t e f f o r t ) 传输，从原理上讲服务质量q o s 是无保证的。文本传输，静态图像等传输 对q o s 并无要求。随着i p 网上多媒体业务增加，如i p 电话、r o d 、电视会议等实时应片j ， 对传输延时和延时抖动均有严格的要求。 5 、i p v 6 移动连接 基于移动 p v 6 协议集成的i p 层移动功能具有很重要的优点。尤其是在移动终端数量 持续增加的今天，这些优点更加突出。尽管i p v 4 中也存在一个类似的移动协议，但二者 之间存在着本质的区别：移动1 p v 4 协议不适用于数量庞大的移动终端。移动i p 需要为每 个设备提供一个全球唯的i p 地址。i p v 4 没有足够的地址空间可以为在公共互联网上远 行的每个移动终端分配一个这样的地址。从另外的角度讲，移动i p v 6 能够通过简单的扩 展满足大规模移动用户的需求。这样，它就能在全球范围内解决有关网络和访问技术之 间的移动性问题。为了全球范围内使用移动i p v 6 ，在基于i p v 6 网络上增加了安全层。 6 、i p v 6 报头简化 i p v 6 对数据报头作了简化，以减少处理器开销并博省网络带宽。i p v 6 的报头由一个 基本报头和多个扩展报头( e x t e n s i o n h e a d e r ) 构成基本报头具有固定的长度( 4 0 字节) ( 当然，由于字段长短的关系，总的来说，i p v 4 的基本报头长度要短的多) ，放置所有路 由器都需要处理的信息。由于i n t e r n e t 上的绝大部分包都只是被路由器简单的转发，因 此固定的报头长度有助丁- 加快路由速度。1 p v 4 的报头有1 5 个域，而i p v 6 的只有8 个域， i p v 4 的报头长度是由i h l 域来指定的，而i p v 6 的是崮定4 0 个字节。这就使得路由器在 处理i p v 6 报头时显得更为轻松。与此同时i p v 6 还定义了多种扩展报头，这使得i p v 6 变得极其灵活，能提供对多种应用的强力支持，同时又为以后支持新的应用提供了可能。 这些报头被放置在i p v 6 报头和上层报头之间，每一个可以通过独特的“下一报头”的值 来确认。除了逐个路程段选项报头( 它携带了在传输路径上每一个节点都必须进行处理的 信息) 外，扩展报头只有在它到达了在i p v 6 的报头中所指定的目标节点时才会得到处理 ( 当多点播送时，则是所规定的每一个目标节点) 。在那里，在i p v 6 的f 一报头域中所使 用的标准的解码方法调用相应的模块去处理第一个扩展报头( 如果没有扩展报头，则处理 上层报头) 。每一个扩展报头的内容和语义决定了是否去处理下一个报头。因此，扩展报 头必须按照它们在包中出现的次序依次处理。一个完整的i p v 6 的实现包括下面这些扩展 报头的实现：逐个路程段选项报头，目的选项报头路由报头，分段报头身份认证报头， 有效载荷安全封装报头，最终目的报头。 7 、1 p v f i 域名解析 ni i v 6 中，域名的体系结构仍然保持了i p v 4 的层次原理。而且i p v 6 地址本身的层 级体系【b 就蜓加支持了域名解析体系中的地址集聚和地址更改。同样，在i p v 6 的域名解 析中包括了止向解析乖i 反向解析。止向解析是从域名到i p 地址的解释。i p v 6 地址的正向 解析目前有两种资源记录，即“a m a ”和“a 6 ”记录。其中“从从”较早提出，它是对 l p v 4 协议“a ”录的简单扩展，由于i p 地址由3 2 位扩展到1 2 8 位扩大了4 倍，所以 资源记录由“a ”扩大成4 个a 。但“a a a a ”用来表示域名和i p v 6 地址的对应关系， 并不支持地址的层次性。“a 6 ”是在r f c 2 8 7 4 基础上提出。它是把一个i p v 6 地址根据其 本身的层次性分解，然后多个“a 6 ”记录建立联系，每个“a 6 ”记录都只包含了i p v 6 地 址的一部分，结合后拼装成一个完整的i p v 6 地址。反向解析则是从i p 地址到域名的解释。 它与i p v 4 的“p t r ”一样，但地址表示形式有两种。一种是用“”分隔的半字节1 6 进制 数字格式( n i b b l e f o r m a t ) ，低位地址在前，高位地址在后，域后缀是“i p 6 i n t ”。另 一种是二进制串( b i t - s t r i n g ) 格式，以“ ”开头，1 6 进制地址( 无分隔符，高位在 前，低位在后) 居中，地址后加“ ”，域后缀是“i p 6 a r p a ”。 在移动过程中的d n s 根据“无状态”和“有状态”两种地址配置方式，也分为“无状 态”和“有状态”两类。在无状态的方式下，需要为子网内部的d n s 服务器配置站点范围 内的任播地址。要进行自动配置的节点以该任播地址为目的地址发送服务器发现请求询 问d n s 服务器地址、域名和搜索路径等d n s 信息。这个请求到达距离最近的d n s 服务器， 服务器根据请求，回答d n s 服务器单播地址、域名和搜索路径等d n s 信息。节点根据服务 器的应答配置本机d n s 信息，以后的d n s 请求就直接用单插地址发送给d n s 服务器。当然， 也可以不采取任搔地址的方法，但是相对来说，从安全性等问题上考虑，一般采取此种方 式。在有状态的d n s 服务器发现方式下，是通过类似d h c p 这样额外的服务器把d n s 服务 器地址、域名和搜索路径等d n s 信息告诉节点。 至于i p v 6 的安全性方面的特点和原理，将在下面的章节中详细介绍。 6 2 2i p v 6 的安全机制分析 红现行的i p 网络中，伪装源地址是相当容易的，数据包的接收者根本就没有办法弄 清楚数拊包的源地址栏里所注明的主机是不是数据包的真正发出者。这就使得恶意的用户 川以h 允h 他人得j l l 有川的信息。如果是经过仔细的策划，一个恶意的用户甚至可以因此 敢t 川k 务器的控制权；而明码传输和存储转发的数据传输方式，使得“中间人”篡改正在 f 输i 。门数据成为可能：在开放的网络中，数据包可能经过任意数量的未知网络，任一个网 络中都州能有包嗅探器在i ：作，以明文的形式在网络上传播数据也毫无机密性可言。那么 什么样的网络才是安全的网络呢? 对于安全性，有如下三个公认的目标； 身份验证：能够可靠地确定接收到的数据与发送的数据一致，并且确保发送该数据的 实体与其所宣称的身份一致。 完整性：能够可靠地确定数据在从源到目的地传送的过程中没有被修改。 机密性：确保数据只能为预期的接收者使用或读出，而不能为其他任何实体使用或读 出。 除了以上的三点以外，为了确保网络安全，还应该解决下列威胁性问题： l 、拒绝服务攻击：例如，攻击者可能使某主机淹没于大量请求中，从而致使系统崩 溃；或者重复传送很长的e m a i l 报文，企图以恶意业务流塞满用户或站点带宽。 2 、愚弄攻击：即实体传送虚假来源的包。 而现在的i p 网络对这两个问题也无能为力。 从以上的分析看来现在的网络的安全性明显不足。如果网络仅作为研究工具，或者在 研究、军事、教育和政府等管理得相对严格的环境中使用，缺乏安全性并不是一个严重的 缺陷。但是，随着i p 网络在商用和消费中的重要性与日俱增。网络的安全性问题变得日 益突出亟待改善。而i p v 6 对于网络层安全有很大的增强。i p v 6 的所有的命令和执行都 有安全方面的考虑，并且，它提供了加密和认证机制，而且这些机制都是在网络层上实现 的，对于网络层以上的应用是不可见的。这样，应用程序就不必了解这些安全机制的细节。 i p v 6 的安全性主要是通过实行i p s e c 来实现的。 2 2 1i p s e c 简述 i p s e c ( i p s e c u r i t y ) 是ietf 委员会制定的i p 层安全协议，它提供了一个开放系统 的安全框架。i p s e c 的目标是提供既能用于1 p v 4 ，又能用于i p v 6 的安全机制。其提供的服 务包括保密、验证、完整性控制及抗重发保护。虽然i p s e c 也容易在i p v 4 中实现，但是效 果不是很好。i p v 4 最初设计时，并没有过多考虑安全性问题。随着i n t e r n e t 的迅猛发展 7 安全性成为一个突出的问题，不得不考虑要在原有的i p v 4 网络上实现安全性服务。虽然已 经有一些基于i p 选项的关于i p v 4 的安全性机制，但在实际应用中并不成功。i p v 4 包头结 构提供了一个可变长的选项字段，大多数i p 数据包却不包台选项。使用选项字段，对于网 络性能有一定影响，以至丁很难单独为了实现i p s e c 而专r j 修改目前的i p v 4 协议及应用程 序。 由于i p v 4 的各种问题出现，i p v 6 重新设计了地址结构。其中的一个变化是，i p v 6 用扩 展首部( e x t e n t i o nh e a d e r s ) 代替i p v 4 的选项( o p t i o n s ) 字段。在i p v 6 网络中，大多数包 的传输过程是很简单的，只需要基本的i p v 6 首部就足够了。对于那些需要更多附加信息的 包网络层把这些信息按不同需求组成各类附加首部( 各种扩展首部) ，放在i p v 6 头和上层 防议头之间。 这些扩展首部由下一个头字段( n e x t h e a d e r ) 相连，形成一个链( 有一定顺序) 。一个 l p v 6 包可以有一个或者多个扩展首部。在i p v 6 中定义了认证首部( a u t h e n t i c a t i o n h e a d e r ) 和负载安全封装首部( e n c a p s u l a t i n gs e c u r i t yp a y l o a dh e a d e r ) ，来分别实现了 a h 霸ie s p 。含有a h 和e s p 扩展首部的1 p v 6 包如图2 2 1 所示。 i p s e c 使川封装安全载荷( e s p ) 和认证协议头( a i ) 来实现这种安全服务。a h 和e s p 都 是_ l j 安全联盟( s a ) 的概念来制定双方协商的加密或身份验证的类型、密钥长度和密钥生存 周期等参数。s a 通过手j j 或者通过i k e 等密钥管理协议创建维护。ie tf 的i p s e c 工 作组定义了若干个重要的rfc ，这些rfc 对i p s e c 体系、基本协议、密钥管理、转码 方式都进行了定义。 l 6 * 下一十燕- 囊 辘迸 - e s p e s p 受 f 千冀- t c p 冀 t c p 强 图2 ，2 1 含扩展首部的i p v 6 包 2 2 2 i p s e e 的功能 i p s e c 可以实现以下功能： 访问控制：如果没有止确的密码就不能访问一个服务或系统。可以调用安全性协议来 控制密钥的安全交换，用户身份验证也可以被用于这种访问控制。 无连接的完整性：使用i p s e c ，有可能在不参照其他包的情况下，对任一单独的i p 包进行完整性校验。此时每个包都是独立的，可以通过自身来确认。此功能可咀通过使用 安全散列技术来完成，它与使用检查数字类似，但可靠性更高，并且更不容易被未授权实 体所篡改。 数据源身份验证：i p s e c 提供的又一项安全性服务是对i p 包内包含的数据的来源进 行标识。此功能通过使用数字签名算法来完成。 对包重放攻击的防御：作为无连接协议， 是指攻击者发送大量目的主机已接收过的包 i p 很容易受到重放攻击的威胁。重放攻击 通过- b 用接收系统的资源，使系统的可用性 8 受到损害。对付这种花招，i p s e c 提供了包计数器机制。 加密：数据机密性是指只允许身份验证正确者访问数据，对其他任何人一律不准。 有限的业务流机密性：有时候只使用加密数据不足以保护系统。只要知道一次加密交 换的末端点、交互的频度或有关数据传送的其他信息，坚决的攻击者就有足够的信息来使 系统混乱或毁灭系统。通过使用i p 隧道方法，尤其是与安全性网关共同使用，i p s e c 可 以提供有限的业务流机密性。 2 2 3 i p s e c 的实现方法 i p 层安全性用于保护i p 数据报。它不一定要涉及用户或应用。这意味着用户可以愉 快地使用应用程序，而无需注意数据报在发送到i n t e r n e t 之前，需要进行的加密或身份 验证，当然在这种情形下所有的加密数据报都要由另一端的主机正确地解密。 这样就引入了如何实现i p s e c 的问题，有如下三种可能方法： 将i p s e c 作为i p v 4 栈或i p v 6 栈的一部分来实现。这种方法将i p 安全性支持引入i p 协议栈，