（计算机应用技术专业论文）基于ipv6域名的自动注册认证系统的设计与实现.pdf

北京邮电人学硕j ：研究生毕业论文摘要 基于i p v 6 域名的自动注册认证系统的设计与实现 摘要 i p v 6 作为下一代互联网的核心协议，有着广阔的应用前景。与 i p v 4 相比，i p v 6 具有很多新特性：巨大的地址空间、即插即用、内 在的安全机制等等。即插即用功能很方便的使得在没有任何人工干预 的情况下，i p v 6 网络节点可以自动获取i p 地址。当节点地址发生变 化时，用户可以正常的使用网络。 但i p 地址长度的增加和动态的改变都使得用户直接使用i p 地址 通信更为复杂，而且也很难在具有动态i p 地址的主机上架设服务器。 如果能为每个网络节点分配一个授权的域名，注册认证成功后，节点 的域名和动态的地址会被映射在d n s 中，用户就能够使用便于记忆 的固定的域名通信和享受合理的资源，并能方便的在地址动态改变的 节点上架设服务器。 本文在研究d n s 动态更新和认证的基础上，提出了客户端朋艮务 器并支持w e b 模式的解决方案i p v 6 域名自动注册认证系统。即 在i p v 6 网络的节点上安装自动注册认证服务器和w e b 服务器，用户 可以安装客户端，也可以使用w e b 自动注册认证服务器根据认证的 结果，决定向d n s 服务器发送动态更新消息还是向n a s 发访问控制 信息。本文介绍了自动注册认证系统的设计与实现，并详细阐地址检 测、记录轮询监视、访问控制等关键技术的实现细节。在对该系统做 了功能性测试后，证明了本系统方案的可行性。 关键词：i p v 6 动态更新授权n a s自动注册认证域名d n s 北京邮电大学硕? f j 研究生毕业论文摘要 d e s i g na n di m p l e m e n t a t i o no f a u t o m a t i cr e g i s t r a t i o n a u t h e n t i c a t i o ns y s t e mb a s e do ni p v 6d n s a b s t r a c t i p v 6i st h em o s ti m p o r t a n tp r o t o c o lo ft h en e x tg e n e r a t i o nn e t w o r k a n dh a st h ev a s ta p p l i c a t i o np r o s p e c t c o m p a r i n gw i t hi p v 4 ，i p v 6h a s m a n yn e wc h a r a c t e r i s t i c ：l a r g ei pa d d r e s ss p a c e ，p l u ga n dp l a ya n d i n t e r n a l s e c u r i t ya r c h i t e c t u r e ，e t c p l u g a n d p l a yf u n c t i o n i s v e r y c o n v e n i e n tt oe n a b l ei p v 6n e t w o r kn o d e st oo b t a i ni p a d d r e s s e s a u t o m a t i c a l l yw i t h o u ta n ym a n u a lh e l p 姗e nan o d ea d d r e s sv a r i e s u s e r sc a nk e e pc o n n e c t i o nw i t ht h en e t w o r kw i t h o u ta n yi n f l u e n c e h o w e v e r , t h el o n gl e n g t ha n dd y n a m i cc h a n g eo fi pa d d r e s s e sm a k e i tv e r yc o m p l i c a t e df o rn e t w o r kn o d e st oc o m m u n i c a t ee a c ho t h e rb yi p a d d r e s s e s a n di ti sa l m o s ti m p o s s i b l et oi n s t a l ls e r v e r so nt h e s ek i n d so f n o d e s i fw ec a ng i v ee v e r yn o d ea na u t h o r i z e dd o m a i nn a m e ，a f t e rt h e s u c c e s so fa u t h e n i t i c a t i o n t h ed o m a i nn a m eo fn o d e sa n dd y n a m i c a d d r e s sw i l lb em a p p e dt od n ss e r v e r , u s e r sc a nc o m m u n i c a t ew i t he a c h o t h e rb yt h e i rf i x e dd o m a i nn a m e s ，e n j o yr a t i o n a lr e s o u r c ea n db ee a s yt o i n s t a l ls e r v e r so nt h en o d e sw h o s ei pa d d r e s s e sc h a n g ed y n a m i c a l l y t h i st h e s i sp r e s e n t sam e t h o dt os o l v et h i sp r o b l e mt h a ti st od e v e l o p a na u t o m a t i cr e g i s t r a t i o na u t h e n t i c a t i o ns y s t e mt h a ts u p p o r tw e bm o d e i n s t a l lr e g i s t r a t i o na u t h e n t i c a t i o ns e r v e ro nan o d ea n dw e bs e r v e ro n o t h e r u s e r sc a nr e g i s t e rb yc l i e n to rw e b t h es e r v e rw i l ls e n dd y m a t i c u p d a t em e s s a g et od n so ra c c e s sc o n t r o lm e s s a g et on a sa c c o r d i n gt o a u t h e n t i c a t i o n t h i st h e s i si n t r o d u c e st h ed e s i g na n di m p l e m e n t a t i o no f t h ea u t o m a t i cr e g i s t r a t i o na u t h e n t i c a t i o ns y s t e ma n de x p l a i n st h ek e y t e c h n i q u e ss u c ha sa d d r e s sc h e c k i n g ，v a l i d i t yp o l l i n g ，a n da c c e s sc o n t r o l p a r t i c ：u l a r l y t h ef u n c t i o n a lt e s tp r o v e st h ef e a s i b i l i t yo ft h i sp r o p o s a l k e yw o r d s ：i p v 6 d y n a m i cu p d a t e a u t h o r i z a t i o nn a s a u t o m a t i cr e g i s t r a t i o na u t h e n t i c a t i o nd o m a i nn a m ed n s m 北京邮电大学硕上研究生毕业论文声明 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处， 本人签名： 本人承担一切相关责任。 日期：丕竺笠：；：! ! 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授权书。 本人签名： 导师签名： 日期：冱显：；：呈 日期：丝! 乏：苎：f 望 北京邮电大学硕士研究生毕业论文第一章前言 1 1 引言 第一章前言 i p v 6 庞大的地址空间给互联网带来了巨大的优势，即插即用功能很方便的 使得在没有任何人工干预的情况下，i p v 6 网络节点可以自动获取口地址。当节 点从一个网络移动到另一个网络中时，不需要人工的干预即可保证与网络的正常 连接。 i p v 6 给我们带来方便的同时，也给我们带来一些问题，如口地址长度的增 加和动态的改变使得网络节点使用口地址通信更为复杂。而且也很难在具有动 态口地址的主机上架设服务器。如果能为每个网络节点分配一个域名，节点使 用各自固定而且容易记忆的域名通信，那么节点间的通信就简单多了。但这需要 d n s 服务器中包括每个节点的记录并能随着各节点地址的改变而动态的更新。 目前，动态d n s 服务器允许其授权的网络节点对其发送动态更新消息，更 新相应的记录。i p v 4 环境下，已经实现了对d n s 的自动注册系统。主要使用对 象是使用拨号、a d s l 或d h c pc a b l e 连接网络并且想架设w e b ，f t p 或m a i l 等 服务器的用户。i v 6 环境下，d h c p v 6 服务器可以动态更新d n s ，实现上述的 目标，但只对其管理范围内的有状态自动配置口地址的节点有效；u n i x 节点 可用脚本直接向动态d n s 发动态更新消息，但安全性很差而且其他的操作系统 下还没有实现。随着口v 4 向1 p v 6 的平滑过渡，在i p v 6 环境下实现对d n s 的安 全的自动注册显得尤为重要。 网络应用日益丰富，服务范围不断扩大，网络用户的数量和水平大幅提高， 网络安全重要性也愈加表现出来。目前在很多高校网络问题就是i p v 6 环境中没 有统一的身份授权和访问控制机制。针对不同的用户有不同的权限策略，认证通 过以后，确定哪些资源该用户可以访问、可以进行何种方式的访问操作等问题。 为此，我们在北邮信息网络中心的i p v 6 实验环境下，设计实现兼容i p v 6 、 i e v 4 的系统，并实际投入使用，使网络节点可以通过各节点的固定域名通信， 从而不固定地址的主机上也可以轻松架设服务器。 1 2 课题来源与目标 本课题来源于与广东省教育产学研合作的项目：“基于i p v 6 域名自动注册认 北京邮电人学硕i ：研究生毕业论文第一章前占 证系统的研究与实现”，旨在研究和解决动态d n s 自动注册的问题，提出一种方 案来解决目前i p v 6 环境下d n s 只能手工更新但无法自动注册更新的问题，并实 现该方案。网络节点自动注册更新自己的d n s 记录，建立和更新节点域名和节 点地址的映射，使得节点之间可以通过域名通信，解决由于i p v 6 地址过长和地 址动态改变，不方便网络节点间通信的问题。不固定地址的主机也可架设w e b ， p r o x ys e r v e r 或f t p 等服务器，使域名服务器的管理更轻松。同时也能对授权用 户进行分级别管理，不同的用户享受不同的服务。 1 3 与动态d n s 自动注册相关的协议和标准 目前，i e t f 已制定或正在制定的关于d n s 动态更新的几个协议和标准，具 体如下： d n su p d a t ed n s 动态更新协议 g s s t s i g t s i g 事务签名协议 d n se x t e n s i o n st os u p p o r ti pv e r s i o n6d n s 支持l p v 6 的扩展协议 d e l e g a t i o no fi p 6 a r p a d n s 对a 6 地址反向注册的支 持 r e p r e s e n t i n gi n t e m e tp r o t o c o lv e r s i o n6 ( i p v 6 ) d n s 对i p v 6 地址的支持 a d d r e s s e si nt h ed o m a i nn a m es y s t e m ( d n s ) s e c u r i t ya r c h i t e c t u r ef o rt h ei n t e m e tp r o t o c o l i p s e c 安全机制 n e i g h b o rd i s c o v e r yf o ri pv e r s i o n6 ( i p v 6 ) i p v 6 邻居发现协议 a u t h e n t i c a t i o n , a u t h o r i z a t i o n , a c c o u n t i n g ( a a a )认证、授权、计费技术和协议 r e m o t ea u t h e n t i c a t i o nd i a li nu s e rs e r v i c e远程用户拨入认证系统 ( r a d s ) 表1 - 1 与自动注册相关的d n s 和i p v 6 的协议和标准 本文涉及到的协议主要有d n su p d a t e 、g s s t s i g 和i p s e e 安全机制，将 在第三章详细介绍。 4 北京邮电大学硕上研究生毕业论文 第一章前言 1 4 论文创新点和论文结构的安排 目前在i p v 6 网络中，对d n s 的自动注册还处于起步阶段，d h c p v 6 虽然支 持动态更新，但它只适用于由它分配地址的网络。2 0 0 3 年n e c 公司提出的 d r a f t i e f f - d n s e x t - i p v 6 n a m e - a u t o - r e g - 0 1 t x t 中提出了一种实现自动注册d n s 的方 案，但是该方案有一些缺点( 将在5 1 节中提到) ，尤其是它只能支持无状态地 址自动配置，节点的域名也不能由节点自己选择，目前该d r a f t 已经过期了。 1 4 1 本论文的创新点和技术难点 本课题的创新点在于能够支持i p v 6 动态d n s 自动注册，支持无状态地址自 动配置、有状态地址自动配置和手工配置地址，节点的域名可由节点自由的选择。 技术难点：1 服务器和客户端之间的认证和信息传送的加密。2 同一口地 址多用户重复注册检测，即同一时刻一个口地址只能有一个用户有效注册，不 允许多个用户重复注册，否则会造成通信混乱或受到攻击。3 对d n s 的安全的 动态更新操作。4 服务器端和客户端都要支持多平台，尤其是客户端，至少要支 持w i n d o w s ，l i n u x ，f r e e b s d 三种操作系统。5 不同厂商的交换机有不同命令格式。 1 4 2 本论文的结构安排 本论文的结构安排如下： 第一章阐述了本论文的研究背景，有关选题的情况以及相关项目的研究进展 情况，介绍了本论文的创新点、技术难点和论文结构的安排。 第二章介绍了l p v 6 协议，包括i p v 4 协议的局限性、i p v 6 协议的新特性和l p v 6 协议的报头、扩展头部、地址简单介绍等等。 第三章介绍了域名系统的组成、工作原理、动态更新和安全机制。 第四章介绍了系统的解决方案、系统体系结构及工作原理。 第五章介绍了d n s 自动注册认证系统各个功能模块的设计并详细阐述了设 计实现细节。 第六章在前面介绍自动注册认证系统的基础上，最后给出该系统的测试报 告，并在此基础上对测试结果作了较为详尽的分析。 第七章是对论文工作的一个总结和展望。 北京邮电人学硕卜研究生毕业论文第二章i p v 6 协议 2 1i p v 4 的局限性 第二章i p v 6 协议 随着i n t e r n e t 用户的不断增加，目前的3 2 位i p 地址空间已经不能满足分配 的需求，网络的路由器容量以指数级增长，更影响到网络服务的质量。除此之外， 网络还需要自动配置和扩展支持多播通信，更进一步网络应支持视频会议的实时 业务流，虽然人们采用了各种技术，开发了很多新的协议来使i p v 4 提供对以上 需求的支持，但是由于协议本身的限制，这种支持也是很不完善的，只有开发一 个全新的协议来替代现在正在使用的i p v 4 协议才能根本解决这一问题。 总的来说，i p v 4 的缺点主要有以下几点： 地址空间的局限性：i p v 4 的地址空间有3 2 位，本来并不是很小，但是浪费 极其严重，而且分配的极不均衡，导致很多用户现在已经申请不到足够的地址。 骨干路由器路由表爆炸：由于i p v 4 的地址分配不是按照可聚类的方式进 行的，导致路由表项不能有效的进行合并，在i n t e m e t 的核心路由器上 路由表甚至膨胀到了上百万条记录，极大的影响了效率。 性能：尽管现有的i p 协议表现得不错，但是一些源自2 0 年甚至更早以 前的设计还能够进一步改进。譬如校验和、最大包长度、对v l s i 实现 的支持等。 安全性：网络安全现在已经变得如此重要，以至于必须要在m 层这么低 的层次上来保证安全性。 自动配置：随着网络规模的不断扩大和移动网络的发展，对“即插即用 的支持变得越来越重要。 2 2i p v 6 的新特性 i p v 6 对i p v 4 采取了批判吸收的策略，吸取了i p v 4 的优点，摒弃缺点，并具 有一些新的特性： 将口地址从3 2 位增加到1 2 8 位。这解决了i p v 4 地址空间有限的问题， 并提供了一个更深层次的编址层级以及更简单的配置。 北京邮电大学硕上研究生毕业论文第二章i p v 6 协议 报头格式的简化。i p v 6 的报头固定为4 0 字节。这刚好容下8 字节的报 头和两个1 6 字节的i p 地址( 源地址和目的地址) 。l p v 6 报头中去掉了 i p v 4 报头中的一些字段，或者是将其变为可选项。这样，数据包可以在 低处理消耗下更快的进行操作。 通过增加一个作用域字段而改进了多点播送地址。 新的任意播j 送( a n y c a s t ) i p 地址类型用于向组内任何成员发送包，通常是 最近的组成员。 增加的路由报头提供了对移动通信的完善支持 去掉了头部校验和字段。 去掉了所有分片处理所用的字段，仅执行端到端的分片。 增强的地址自动配置功能 增加了流标签功能。属于同一传输流，且需要特别处理或需要服务质量 的数据包，可以由发送者进行标记。务实服务就是这种应用的典型例子。 扩展了对身份认证、数据完整性和( 可选的) 数据保密的支持。 2 3i p v 6 的报头 i p v 6 的报头相对i f v 4 报头做了很多简化。i p v 6 使用了固定长度为4 0 字节 的报头。另外，可采用“菊花链圩的方式链接不同的扩展报头。每个报头的长度 是8 字节的倍数。i p v 6 没有定义尾部。 0 ，4 8 ，1 6 2 4 3 2 版本pl 优先权一流标识一 有效载荷长度一下一个头一站段限制p j 源地址j ( 1 6 字节) ， j 目的地址j ( 1 6 字节) ， 图2 - 1i p v 6 的固定头部( 必需的) 北京邮哇三人学硕上研究生毕业论文第二章i p v 6 协议 版本 这是一个四位长的字段，其中包含了协议的版本。在所有i p v 6 数据报中 将该域置成6 。 优先级 紧接版本域之后的8 比特指示优先级。利用优先级域，首先区分二大业 务量( t r a f f i c ) ：受拥塞控$ 1 ( c o n g e s t i o n c o n t r o l l e d ) 业务量；不受拥塞控制的 ( n o n c o n g e s t i o n c o n t r o l l e d ) 业务量。 在i p v 6 规范中0 7 级的优先级为受拥塞控制的业务量保留，这种业务量 的最低优先级为1 ，i n t e m e t 控制用的业务量的优先级为7 。 不受拥塞控制的业务量是指当网络拥塞时不能进行速率调整的业务量。 对时延要求很严的实时话音即是这类业务量的一个示例。在i p v 6 中将值为 8 1 5 的优先级分配给这种类型的业务量。 0 p 尢特殊优先级p 1 p 背景( b a c k g r o u n d ) 业务量( 例如网络翻司) 3 2 , 0 零敌数据传送( 如电子函件) ) 3 一 保瞽。 4 ， 连续批量传送( 冽如f t p ，n f s ) 一 5 ， 保瞽。 6 一 会话型业务量( 例如t e l n e t 及窗口系统) ， 7 一 i n t e m e t 控制业务量( 例如寻路协议及s m 旧) ， 图2 - 2 受拥塞控制的业务量中的球优先级 流标识 该字段区分需要相同处理的数据包，以此来促进实时性流量的处理。发 送主机能够用一组选项标记数据包的顺序。路由器跟踪数据流并更有效的处 理属于相同数据流的数据包，因为他们无需重新处理每个数据包的报头。数 据流由流标签和源节点的地址唯一标识。不支持流标签字段功能的节点需要 在转发数据包时不加改变的传递该字段，并在接受数据包时忽略该字段。属 于同一数据流的所有数据包必须具有相同的源口地址和目的口地址。 有效载荷长度 有效负载长度域指示i p 报头后携带的数据长度，单位是字节。肌6 中 岳 北京邮电人学硕士研究生毕业论文第二章i p v 6 协议 的计算与i p v 4 不同。i p v 4 中的l e n g t h 字段包括i p v 4 报头的长度，而i p v 6 中的有效载荷字段仅包含i p v 6 报头后的数据。扩展报头被认为是有效载荷 的一部分，因此被包括在计算之内。此域占1 6 比特，因而口数据报通常应 在6 5 5 3 5 字节以内。但如果使用h o pb yh o p 选项扩展头标的特大净荷选项， 就能传送更大的数据报。使用这个选项时净荷长度置o 。 下一个头部 在i p v 4 中，该字段为协议类型字段。在i f v 6 中被重新命名，以反映出 重新组织的i p 数据包。如果下一个报头是u d p 或t c p ，该字段将和i p v 4 中包含的协议号相同。但是如果使用了i p v 6 扩展报头，该字段就包含了下 一扩展报头的类型，它位于口报头和t c p 或u d p 报头之间。 0 一 中继点选项头标p 4 pi p f 6 一t c p , j 1 7 = ju d p p 4 3 p 寻路头标p 4 4 一 报片头标) 4 5 , - 1i d r p o 4 6 pr s v p , - 、 5 0 , o 封装化安全净荷一 5 1 p 认证头标一 5 8 pi c 伊一 5 9 - 尢卜一个头标p 6 0 p 信宿选项头标一 图2 3i f v 6 下一个头标值 站段限制 该字段和i p v 4 的1 t l 字段类似。1 t l 字段包含一个秒数，指示数据包在销 毁之前在网络中逗留的时间。绝大多数路由器只是简单的在数据包经过每一跳时 将该值减1 。该字段在i p v 6 中被命名为h o pl i m i t 。现在用字段中的值标识跳数， 而不是秒数。每个转发节点对此数目减1 。 源地址 该字段包含数据包发送者的口地址。 目的地址 该字段包含数据包目的接受者的邛地址。对于i p v 4 ，该字段总是包含数据 - 9 北京邮电大学硕。l ：研究生毕业论文 第二章i p v 6 协议 包的最终目的地的地址。对于i p v 6 ，如果提供了r o u t i n g ( 路由) 报头，则该字 段包含的未必是最终地址。 2 4i p v 6 的扩展头部 i p v 6 中规定了使用扩展报头( e x t e n t i o nh e a d e r ) 的特殊处理。在i p v 6 报头和上 层协议报头之间可以有一个或多个扩展报头，也可以没有。每个扩展报头由前面 报头的n e x th e a d e r 字段标识。扩展报头只被i p v 6 报头的目的地址字段所标识的 节点进行检查或处理。如果目的地址字段中的地址是多播地址，则扩展报头可被 属于该多播组的所有节点检查或处理。扩展报头必须严格按照在数据包报头中出 现的顺序进行处理。上面所述的规则有个例外：只有目的节点才会处理扩展报头。 如果扩展报头是逐站选项报头，则其承载的信息必须被数据包经过路径上的每个 节点检查和处理。如果有逐站选项报头，则必须紧接在i p v 6 报头之后。每种头 部都是可选的，但一旦有多于一种头部出现时，它们必须紧跟在固有头部之后， 并且最好按下列次序排序。 i p v 6 的扩展头部 逐站选项( h o p b y h o po p t i o n sh e a d e r ) 运载每个口路由器必须解释的选项信息；例如它可以用于传送超大有效 负载信息。 路由选择头部( r o u t i n gh e a d e r ) 定义了该包必须经过i p 路e h 器( t g 称为源路由) 。 分片头部( f r a g m e n th e a d e r ) 当传送的用户数据大于有效载荷所能允许的最大长度时便要用到分片头 部，分片头部传送了有效载荷携带的用户数据段在整个用户数据单元中的偏 移量。 身份验证头部( a u t h e n t i c a t i o nh e a d e r , a 1 1 ) 可选的认证信息。 加密的安全性有效载荷( e n c a p s u l a t i n gs e c u r i t yp a y l o a dh e a d e r , e s p ) 北京邮电人学硕上研究生毕业论文第二章i p v 6 协议 传送有效负载的额外保护信息。 目的选项头部( d e s t i n a t i o no p t i o n sh e a d e r ) 保存仅为目的站检查用的可选信息。 2 5i p v 6 的地址 i p v 6 的主要改变就是地址的长度，从3 2 位一下增加为1 2 8 位，这样大约的 数目是1 0 的3 8 次方，这是一个非常大的空间，地球上每平方米都将分配到约 1 0 的2 4 次方的i p v 6 地址。选取1 2 8 位作为i p v 6 地址是经过争论的，6 4 位和1 2 8 位之争最终以1 2 8 位胜出。这也是充分了考虑了i p v 4 分配的经验而来的。 2 5 1i p v 6 地址空间 i p v 6 的设计者根据i p v 6 地址空间在地址的起始报头位所使用的数值的基础 上进行了进一步划分，包含这些起始报头位的长度可变的字段叫做格式前缀 ( f o r m a tp r e f i x ，聊。格式前缀是一个口地址的高位，它用来识别子网或某种特 殊类型的地址。i p v 6 的地址分配方案如下图所示： 分配 前缀( 二进制) 部分地址空间 保留0 0 0 0 0 0 0 0l 2 5 6 未分配 0 0 0 0 0 0 0 1 1 2 5 6 为n s a p 分配保留 0 0 0 00 0 1 1 1 2 8 为i p x 分配保留 0 0 0 0 0 1 0 1 1 2 8 未分配0 0 0 0 0 1 11 1 2 8 未分配0 0 0 011 3 2 未分配0 0 0 11 1 6 可集聚全球单播地址 0 0 1 1 8 未分配0 1 01 8 未分配 0 1 11 8 为基于地理位置而保留1 0 01 8 未分配 1 0 11 8 未分配1 1 0 1 8 未分配 1 1 1 0 1 1 6 北京邮电人学硕i ：研究生毕业论文 第二章i p v 6 协议 未分配1 1 1 10 1 3 2 未分配 1 1 1 11 01 6 4 未分配1 1 1 11 1 01 1 2 8 未分配 1 1 1 11 1 1 0 01 5 1 2 链路本地单播地址 1 1 1 11 1 1 01 0 1 1 0 2 4 站点本地单播地址 1 1 1 11 1 1 01 11 1 0 2 4 多播地址 1 1 1 11 1 1 11 2 5 6 图2 - 4i p v 6 地址空间的分配 2 5 2i p v 6 地址的语法表示 i p v 4 地址长度为3 2 位( 4 个字节) 。在书写这种地址时，每个字节作为一个无 符号整数，四个字节写成由三个点号分开的四个十进制数，写成“点分十进制” 的形式，例如：1 9 2 1 6 8 0 1 对于i p v 6 地址来说，定义相似的语法是必要的，要考虑到n 6 地址的长度 是原来的四倍，由r f c l 8 8 4 规定的标准语法推荐把i p v 6 地址的1 2 8 位( 1 6 个字 节) 写成8 个1 6 位的无符号整数，每个整数用四个十六进制位表示；这些数之间 用冒号分开，如： 3 f f e ：8 1 8 1 ：1 0 0 0 ：0 0 0 1 ：0 1 2 3 ：4 5 6 7 ：8 9 a b ：c d e f 由于i p v 6 地址很难拼写和记忆，所以在i p v 6 环境中d h c p 和d n s 是很关 键的，尤其是d n s 。由于很难记住某台机器的i p v 6 地址，用户被迫越来越多地 使用名称，然后地址就渐渐地变成了一个网络内部的问题以及信息包的路由方面 的问题，这对于网络维护是有利的。 上面是一种比较标准的i p v 6 地址表达方式，此外，还有另外两种更加清楚 和易于使用的方式。考虑到i p v 6 的巨大地址空间和i p v 6 的地址分配策略，i p v 6 地址中很可能包含一长串的0 。当出现这种情况时，标准中允许用“空隙 来表 示这一长串的0 。换句话说，地址3 f f e ：0 ：0 ：0 ：0 ：0 ：0 ：l 可以被表示为：3 f f e ：1 。这两 个冒号表示该地址可以扩展到一个完整的1 2 8 位地址，但只有当某个1 6 位组全 部为0 时才会被两个冒号取代，且两个冒号在地址中只能出现一次。 在i p v 4 和肌6 的混合环境中可能有第三种表示方法。i p v 6 地址中的最低 3 2 位可以用于表示聃4 地址，该地址可以按照一种混合方式表达，即 x ：x ：x ：x ：x ：x ：d d d d ，其中x 表示一个1 6 位整数，而d 表示一个8 位十进制整 数。例如，地址0 ：0 ：0 ：0 ：0 ：0 ：1 9 2 1 6 8 0 1 就是一个合法的i p v 6 地址。把两种可能 北京邮电大学硕士研究生毕业论文 第二章i p v 6 协议 的表达方式组合在一起，该地址也可以表示为：1 9 2 1 6 8 0 1 由于i p v 6 地址被分成两个部分：子网前缀和接口标识符，因此一个i p v 6 节 点的地址可以按照类似c i d r 地址的方式表示为一个携带额外数值的地址，其中 指出了地址中有多少位是掩码。即，l p v 6 节点地址中指出了前缀长度，该长度 与i p v 6 地址间以斜杠区分，例如： 3 妇f e ：8 1 b 1 ：0 ：0 ：1 2 3 4 ：5 6 7 8 ：9 a b c ：0 d e 】c 4 8 这个地址中用于路由选路的前缀长度为4 8 位。 2 5 3i p v 6 地址类型 从i p v 6 地址空间分配表中可以知道，i p v 6 地址是具有层次结构的，可以从 i p v 6 的地址前缀上区别i p v 6 地址的类型。 i p v 6 地址有三种类型：单播、多播和任意播。广播地址已被特殊类型的多 播所取代。r f c 2 3 7 3 中定义了三种i p v 6 地址类型： 单播( u n i c a s t ) 一个单接口的标识符。送往一个单播地址的包将被传送至该地址标识的接口 上。 任意播( a n y c a s t ) 一组接口( 一般属于不同节点) 的标识符。送往一个任意点播地址的包将被传 送至该地址标识的接口之一( 根据选路协议对于距离的计算方法选择“最近”的 一个) 。 多播( m u l t i c a s t ) 一组接口( 一般属于不同节点) 的标识符。送往一个多播地址的包将被传送至 有该地址标识的所有接口上。 在单播地址中，i p v 6 有一种链路本地地址，用于自动配置，它的前缀f p = 1 1 1 1 1 1 1 01 0 ( f e 8 0 ) 。链路本地地址是自动生成的，它由网络接口卡的e u l 6 4 物理地 ：h _ l ：( i a c 地址) 填入i p v 6 地址的低6 4 位得到。例如： f e 8 0 ：0 0 0 0 ：0 0 0 0 ：0 0 0 0 ：0 2 8 0 ：c 8 f f ：f e 2 b ：f b 2 8 其中低6 4 位就是由以太网卡地址0 0 - 8 0 c 8 2 b f b 2 8 而来的。我们知道m a c 地址一直是4 8 位的，i e e e 又定义了一种新的e u i 6 4 的m a c 地址。对于旧的4 8 北京邮电人学硕t 研究生毕业论文 第二章i p v 6 协议 位的m a c 地址，映射到i p v 6 地址中时在前面的2 4 位厂商标志后面插入1 6 比 特f i f e ，并把高2 4 位中的第7 位变为1 。 i p v 6 规范规定，路由器永远不能传送目的地址为链路本地地址的i p v 6 信息 包。 另外一种特殊的地址是站点本地地址，相当于i p v 4 中的内部网地址像 1 0 x x x 和1 9 2 1 6 8 x x 之类，可用于企业内部网，无需申请和分配。其前缀是f p = 1 1 1 11 1 1 01 1 ( f e c 0 ) ，最低6 4 位也是接口地址，其余1 6 位是子网i d 。如： f e c 0 ：1 ：0 2 8 0 ：c 8 f f ：f e 2 b ：f b 2 8 i p v 6 规范还定义了两种内嵌i p v 4 的特殊地址： i p v 4 兼容的i p v 6 地：l 止( i p v 4 - c o m p a t i b l ei p v 6a d d r e s s ) 例如：1 9 2 1 6 8 0 1 ，这种地址主要用来构造自动隧道【1 6 】 i p v 4 映射的i p v 6 地址( i p v 4 - m a p p e di p v 6a d d r e s s ) 例如：f f f f ：1 9 2 1 6 8 0 1 ，用来映射纯i p v 4 主机的地址到i p v 6 地址空间 另外，在i p v 6 中还定义了另一种特殊前缀，以2 0 0 2 开头，称为6 t 0 4 9 】地址， 这种地址也是用来自动构造隧道的。这种地址利用一个全球可路由的i p v 4 地址 作为f i v 6 地址第二级的标志，如：2 0 0 2 ：c a 6 f ：0 a o a ：1 ：0 2 8 0 ：c 8 f f ：f e 2 b ：f b 2 8 这个地 址把f i v 4 地址2 0 2 1 1 2 1 0 1 0 填入i p v 6 地址的高1 7 - 4 8 位中。在6 t 0 4 路由器中， 对于这种地址可以定义一条发送规则，就是把其中的i p v 4 地址取中来，作为目 的地址，建立i p v 4 隧道。 2 6i p s e c 简介 2 6 1 引言 在肌4 协议设计之初基本没有考虑网络本身的安全性问题，所以，早期的 互联网时常发生企业或机构的网络遭到攻击、机密数据被窃取等事情。而在随后 的发展过程中，对网络安全愈加重视，传统的 n t e m c t 安全机制中大多也只是建 立在应用程序级，比如e m a i l 加密、h t r p 和s s l 的接入安全等，较少从i p 层 面来保证i n t e m e t 的安全。所以，现在网络安全已经成为互联网最大问题之一。 尤其是为了减缓口地址枯耗的速度，引进了n a t 技术，现在大部分的企业网、 校园网等局域网都采用了这种技术，但这种技术破坏了端到端的基本原则。 北京邮电大学硕上研究生毕业论文 第二章i p v 6 协议 从1 9 9 5 年开始，i e t f 研究制定了一套用于保护i p 通信的i p s e c 协议。i p s e c 是i p v 6 的一个有机组成部分，是i p v 6 协议族的一个子集。i p v 6 协议族中的i p s e c 协议提供了两种安全机制：认证和加密。一个i p v 6 的端到端传输在理论至少是安 全的，传送过程中对端的验证、核对，以及数据的加密保护使得敏数据可以在i p v 6 网络上安全地传输。而且全球唯一的地址可以清楚地标识每个结点，并避免了 n a t 对端到端安全性的破坏。 2 6 2i p s o c 协议组件之间的交互关系 i p s e e 协议包括a h 、e s p 和k i e 等。为了使我们更易于理解、实施和使用 i p s e c ，有必要先了解这些组件之间的关系。i p s e c 发展规划定义了i p s e c 各组之 间的交互关系如图2 5 所示。 图2 5i p s e c 安全体系结构 i p s e c 是一种协议套件，我们有必要理解这些协议之间是如何工作的，以及 它们是如何紧密地结合到一起的。 封装安全有效载荷( e s p ) ：包含e s p 包格式等相关方面问题； 认证头( a 1 1 ) - 包含使用a l l 包格式等相关方面问题； 北京邮电人学硕士研究生毕业论文第二章i p v 6 协议 令加密算法：加密算法的选择以及加密算法如何用于e s p 中； 认证算法：认证算法的选择以及认证算法如何用于a h 和e s p 中； 密钥管理：密钥管理的一组方案，其中i k e 是默认的密钥自动交换 协议，密钥管理为安全协议协商s a ，即应实施的加密、认证算法及 各种算法的密钥、初始向量及密钥的生存期等安全参数： 夺解释域：彼此相关各部分的标识符及运作参数，解释域规定了每个 算法的参数要求和计算规则，及初始向量的计算规则等： 策略：决定两个实体之间能否通信，以及如何进行通信。策略的核 心由三部分红成：s a ，a s d ，s p d 。s a 表示了策略实施的具体细节， 包括源目的地址、应用协议( a h 或e s p ) 、s p 工、所用算法、密钥 以及密钥长度： 北京邮电大学硕上研究生毕业论文 第三章域名系统 3 1d n s 简介 第三章域名系统 2 0 世纪6 0 年代末，美国国防部高级研究计划署，也就是a r p a ( 后来的 d a r p a ) ，开始资助试验性的广域计算机网络，称为a r p a n e t 。整个2 0 世纪7 0 年代，a r p a n e t 只是一个拥有几百台主机的很小很友好的网络。仅仅需要一个名 为h o s t s t x t 的文件就能容纳所有需要了解的主机信息：它包含所有连接到 a p a r n e t 的主机的名字地址映射。h o s t s d 汀文件是由s r i 的网络信息中心( 简 称：n i c ) 负责维护，并且从一台主机s r i n i c 上分发到整个网络。a r p a n e t 的管理员们通常通过电子邮件的方式将他们的变更通知n i c ，同时还定期f t p 到s r i n i c ，以获取最新的h o s t s d c l r 文件。每周进行一、两次更新，将这些 变更汇编成新的h o s t s t x t 文件。 但是随着a r p a n e t 的增长，这样的方法行不通了。h o s t s t x t 文件大小的 增长与a r p a n e t 上主机数量的增加成正比。更重要的是，由于更新过程而引起 的网络流量的增加更快：每增加一台主机不仅仅意味着要在h o s t s d 汀文件中 增加一行，更隐含着其他主机需要从s r i n i c 进行更新。当a r p a n e t 采用t c p i p 协议后，网络规模爆炸性的增长。现在由一台主机来管理h o s t s t x t 文件就出 现了下列的许多问题： 流量和负载 由于分发文件所引起的网络流量和处理器负载使得s r i n i c 的线路变得不 堪重负 名字冲突 在h o s t s t x t 文件中任何两台主机都不能重名。虽然n i c 能以某种方式在 分配地址时保证唯一性，但是它对主机命名是没有权利过问的。如果有人添加了 一台与主邮