（计算机系统结构专业论文）基于双协议栈的防火墙.pdf

申请j 二海交通大学硕士学位论文 基于双协议栈的防火墙 基于双协议栈的防火墙 摘要 f 当前，基于i n t e m e t 的各种应用正在如火如荼地迅猛发展着，而与此 l 热闹场面截然不同的是，i n t e m e t 当前使用的i p 协议版本i p v 4 却面临的 一系列问题中，i p 地址即将耗尽无疑是最为严重的，有预测表明，以目 前i n t e m e t 发展速度计算，所有i p v 4 地址将在2 0 0 5 2 0 1 5 年间分配完毕。 为了彻底解决i p v 4 存在的问题，i e t f 从1 9 9 5 年开始，着手研究开发下 一代i p 协议，即i p v 6 。i p v 6 具有长达1 2 8 位的地址空间，可以彻底解决 i p v 4 地址不足的问题，除此之外，i p v 6 还采用分级地址模式、高效i p 包 头、服务质量、主机地址自动配置、认证和加密等许多技术。 要实施i p v 6 网络，必须充分考虑现有的网络条件，充分利用现有 的条件构造下代互联网，以避免过多的投资浪费。现在的网络设备大 部分都是基于i p v 4 的，不可能将它们在短时间内都过渡到基于i p v 6 的， 因此，在相对比较长的一段时期内，i p v 6 网络将和 p v 4 网络共存，实现 i p v 4 向i p v 6 的平稳演进。 在过渡时期，由于两种协议的共存局面，在原先i p v 4 里存在的安全 问题将显的日趋突出，因此可以在使用防火墙技术来防范攻击的同时建 申请上海交通大学硕士学位论文 立一个可以和i p v 4 i p v 6 进行通讯的网关。、) 彩 本文通过研究i p v 6 的数据报文格式、双协议栈的安全性、防火墙的 体系结构和过渡阶段演进技术这几方面，实现了一个基于i p v 4 i p v 6 双协 议栈的防火墙。这个防火墙由i p v 4 i p v 6 包过滤器和一个s o c k s 6 4 网关构 成，它们虽然运行在不同层次上，起到的也是不同的功能，但是在整个 系统中是相互协作：对于所有的数据报文，首先必魈过包过滤模块， 当发现是发给是网关的某个插口化连接时，还需要进一步交给s o c k s 6 4 网关进行处理。为了提高整个包过滤器的效率，在通过研究一些现有防 火墙系统架构的基础上，提出了个嵌入内核的包包过滤器体系架构。 整个i p v 4 i p v 6 包过滤器通过i p v 4 包过滤器模块和i p v 6 包过滤模块的相 互协作，对双协议栈的一些安全问题给出了有效的解决方案。f 同时对现 有l i n u x 2 4 内核和系统做了修改，使其获得更高的安全性。在比较了现 有的六种i p v 4 i p v 6 网关技术后，选取了其中效率较高的s o c k s 6 4 技术来 、， 进行了实现，并讨论了它的扩展应用。p 关婚。p 釉溅防熄 4 阶段，网络安全 尺 申请上海交通大学硕士学位论文基于双协议栈的防火墙 f i r e w a l lb a s e do ni p v 4 i p v 6d u a ls t a c k a b s t r a c t a t p r e s e n t ，v a r i o u sa p p l i c a t i o n sb a s e do ni n t e m e th a sd e v e l o p e dq u i c k l y o nt h ec o n t r a r y ，t h ei n t e m e tp r o t o c o lv e r s i o n4 ( i p v 4 ) u s e dt o d a yh a sf a c e da s e r i o u sp r o b l e m s ，a m o n gt h e mt h em o s t p r o m i n e n ti st h a tt h ea d d r e s so f i p v 4 w i l lu s e do u ti nt h en e a rf u t u r e f r o mo u re x p e f i e n da n dt h ef o r e c a s t ，i ft h e i n t e r n e tc o n t i n u e st o d e v e l o pa t t h es a m er a t eo fr e c e n ty e a r s ，t h ew h o l e a d d r e s so f i p v 4w i l lu s e do u ta b o u ti nt h ep e r i o do f 2 0 0 5 2 0 1 5 t os o l v et h i s p r o b l e mc o m p l e t e l y ，i e t fb e g a ni t sp r o g r a mt od e v e l o pt h en e wi n t e m e t p r o t o c 0 1 i p v 6i n1 9 8 5 i p v 6h a st h ea d d r e s ss p a c eo f1 2 8b i t s w h i c h c o m p l e t e l ys o l v ei p v 4 sa d d r e s ss h o r t a g e ，i nt h em e a n t i m e ，i p v 6h a sa d o p t e d a d d r e s sav a r i e t yo ft e c h n o l o g i e ss u c ha sh i e r a c h i c a lm o d e 、e f f i c i e n ti p h e a d e r 、q u a l i t y o f s e r v i c e ( q o s ) 、h o s t a d d r e s s a u t o c o n f i g u r a t i o n 、 a u t h e n t i c a t i o na n d e n c a p u l a t i o n ，e t c t oc o n s t r u c tt h ei p v 6n e t w o r k ，w em u s tt a k et o d a y sn e t w o r kc o n d i t i o n i n t oa c c o u n ti no r d e rt of u l l yu s et h ep r e s e n tn e t w o r kr e s o u r c e b e c a u s et h e n e t w o r kd e v i c e sa r em o s t l yb a s e do ni p v 4 t o d a y ，i ti sh a r dt oi m a g i n ew e c a n u p g r a d e a l lo ft h e ma l t o g e t h e r s ot h ei p v 4a n di p v 6p r o t o c o lw i l le x i s t t o g e t h e rf o ral o n gt i m e t of u l f i l lt h et r a n s i t i o nf r o mi p v 4t oi p v 6 申请上海交通大学硕士学位论文 基于双协议栈的防火墙 i nt h et r a n s i t i o np e r i o d ，b e c a u s eo ft h ec o e x i s t e n c eo ft h ei p v 4a n di p v 6 p r o t o c o l ，t h es e c u r i t yt h a ta l r e a d ye x i s ti nt h ei p v 4 si n t e r n e tw i l lb e c o m e e v e ns e r i o u s s oi ti sm e a n i n g f u l lt oc o n s t r u c taf i r e w a l lb a s e do ni p v 6 i p v 4 d u a ls t a c kt o p r e v e n tt h es e c u r i t yt r o u b l e sa n dt oi m p l e m e n tag a t e w a yt o e n a b l ec o m m u c a f i o nb e t w e e ni p v 6 i p v 4n e t w o r k s t h et h e s i si st o i m p l e m e n taf i r e w a l lb a s e do ni p v 4 i p v 6d u a ls t a c k t h r o u g h t h er e s e a r c h o f t e c h n o l o g i e ss u c h a sp a c k e tf o r m a t so f i p v 6 、s e c u r i t y o fd u a ls t a c k 、t h es y s t e ma r c h i t e c t u r ea n dt r a n s i t i o ns c h e m e t h i sf i r e w a l li s c o m p o s e do fp v 4 ，p v 6p a c k e tf i l t e ra n ds o c k s 6 4g a t e w a y a l t h o u g ht h e y w o r ka td i f f e r e n t l a y e rb u tt h e yc o o p e r a t e t i g h t l y ：e v e r yp a c k e ts h o u l d d i s p o s e db y t h ef i l t e rm o d u l ef r s t ，i fi ti sf o ras o c k e t f i e dc o n n e c t i o n ，i f w i l l p a s st ot h es o c k s 6 4m o d u l e t og a i nh i g h e re f f i c i e n c y ，f r o mt h er e s e a r c ho f p r e v i o u sf i r e w a l l s ，t h et h e s i sh a ss u g g e s t e da n di m p l e m e n t d dam o r ee f f i c i e n t a r c h i t e c t u r ew o r ko nt h el i n u x k e r n e l i nt h e m e a n w h i l e ，u p o n t h e m o d i f i c a i o no ft h el i n u xk e r n e la n ds y s t e m ，i th a sg a i n e dh i g hs e c u r i t y a t l a s t ，f r o mt h ec o m p a r i s o no ft h em o s tc o m m o n l yu s e dt e c h n o l o g i e si nt h e t r a n s i t i o np e r i o d ，t h ea u t h o rh a sc h o o s e dt h eb e s to n e s o c k s 6 4 t e c h n o l o g y t oi m p l e m e n tt h e a p p l i c a t i o ng a t e w a ya n dd i s c u s s e di t se x t e n d e d u s a g e k e y w o r d ：i p v 6 ，d u a ls t a c k ，f i r e w a l l ，s o c k s 6 4 ，t r a n s i t i o n p e r i o d ，n e t w o r k s e c u r i t y 6 申请上海交通大学硕士学位论文 基于双协议栈的防火墙 第一章绪论 当前，基于i n t e r n e t 的各种应用正在如火如荼地迅猛发展着，而与此热闹场面截 然不同的是，i n t e r n e t 当前使用的口协议版本i p v 4 却面临的一系列问题中，i p 地址 即将耗尽无疑是最为严重的，有预测表明，以目前i n t e m e t 发展速度计算，所有i p v 4 地址将在2 0 0 5 2 0 1 5 年间分配完毕。为了彻底解决i p v 4 存在的问题，i e t f 从1 9 9 5 年开始，着手研究开发下一代口协议，即i p v 6 。i p v 6 具有长达1 2 8 位的地址空间， 可以彻底解决i p v 4 地址不足的问题，除此之外，i p v 6 还采用分级地址模式、高效i p 包头、服务质量、主机地址自动配置、认证和加密等许多技术。 1 1i p v 4 的现状 2 0 世纪的互联网协议随着移动互联网、语音数据的集成以及嵌入式互连设备的 快速发展，以互联网为核心的未来通信模式正在形成。到目前为止，互联网取得了巨 大的成功，而这很大程度上归功于其核心通信协议i p v 4 的高度可伸缩性。i p v 4 的设 计思想成功地造就了目前的国际互联网，并实现了对各种下层网络协议的良好支持， i po v e r 。e t h e m e t 、i po v e ra t m 、1 po v e rs d h 、i po v e r o p t i c a l i po v e re v e r y t h i n g 正在成为现实，各种传统的电信网络，包括正在高速发展的光传送网都可以作为 i n t e m e t 的承载网，并和p 技术紧密集成，这为! n t e r r t e t 的高速发展奠定了基础。 但是，新应用的不断涌现使互联网呈现出新的特征，传统的互联网协议版本，即 i p v 4 ，已经难以支持互联网的进一步扩张和新业务的特性。 1 _ 1 1 即将耗尽的i p v 4 地址 i n t e m e t 起源于1 9 6 8 年开始研究的a r p a n e t ，当时的研究者们为了给a r p a n e t 建立一个标准的网络通信协议而开发了p 协议。碑协议开发者当时认为a r p a n e t 的网络个数不会超过数十个，因此他们将邛协议的地址长度设定为3 2 个二进制数位， 其中前8 位标识网络，其余2 4 位标识主机。然而随着a r p a n e t 日益膨胀，i p 协议 开发者认识到原先设想的网络个数已经无法满足实际需求，于是他们将3 2 位i p 地 址分成了三类：a 类，用于大型企业；b 类，用于中型企业：c 类，用于小型企业。 a 类、b 类、c 类地址可以标识的网络个数分别是1 2 6 、1 6 3 8 2 、2 0 9 7 1 5 0 ，每个网络 可容纳的主机个数分别是1 6 7 7 7 2 1 2 、6 5 5 3 4 、2 5 4 。虽然对i p 地址进行分类大大增加 了网络个数，但新的问题又出现了。由于一个c 类网络仅能容纳2 5 4 个主机，而个 人计算机的普及使得许多企业网络中的主机个数都超出了2 5 4 ，因此，尽管这些企 业的上网主机可能远远没有达到b 类地址的最大主机容量6 5 5 3 4 ，但i n t e r n i c 不得不 为它们分配b 类地址。这种情况的大量存在，一方面造成了i p 地址资源的极大浪费， 另一方面导致b 类地址面临着即将被分配殆尽的危险。 9 申请上海交通大学硕士学位论文 基于双协议栈的防火墙 无类别域间路由( c l a s s l e s si n t e rd o m a i n r o u t i n g ，c i d r ) ，是节省b 类地址的一 个紧急措施。c i d r 的原理是为那些拥有数千个网络主机的企业分配一个由一系列连 续的c 类地址组成的地址块，而非一个b 类地址。例如，假设某个企业网络有1 5 0 0 个主机，那么可能为该企业分配8 个连续的c 类地址，如：1 9 2 5 6 0 0 至1 9 2 5 6 7 0 ， 并将子网掩码定为2 5 5 2 5 5 2 4 8 0 ，即地址的前2 1 位标识网络，剩余的1 1 位标识主 机。尽管通过采用c i d r ，可以保护b 类地址免遭无谓的消耗，但是依然无法从根本 上解决碑v 4 面临的地址耗尽问题。 另一个延缓i p v 4 地址耗尽的方法是网络地址翻译 2 1 ( n e t w o r k a d d r e s s t r a n s l a t i o n n a t ) ，它是一种将不直接在i n t e m e t 上使用的保留i p 地址翻译成可以在i n t e m e t 上使 用的合法i p 地址的机制。n a t 使企业不必再为无法得到足够的合法i p 地址而发愁了， 它们只要为内部网络主机分配保留i p 地址，然后在内部网络与i n t e m e t 交接点设置 n a t 和一个由少量合法口地址组成的i p 地址池，就可以解决大量内部主机访问 i n t e m e t 的需求了。由于目前要想得到一个a 类或b 类地址十分困难，因此许多企业 纷纷采用了n a t 。然而，n a t 也有其无法克服的弊端。首先，n a t 会使网络吞吐能 力降低，由此影响网络的性能。其次，n a t 必须对所有去往和来自i n t e m e t 的i p 数 据报进行地址转换，但是大多数n a t 无法将转换后的地址信息传递给i p 数据报负载， 这个缺陷将导致某些必须将地址信息嵌在i p 数据报负载中的高层应用如f t p 和 w i n s 注册等的失败。 总体上来看，i p v 4 的3 2 位地址方案最多可以容纳4 3 亿潜在的网络地址，早期的 地址分配又非常浪费，导致地址使用效率低下。从1 9 9 5 年开始全球的i p 地址以每年 至少6 0 0 0 万8 0 0 0 t 3 1 万的速度被消耗。到2 0 0 0 年为止，整个i n t e m e t 的地址已经 被消耗了6 0 左右，也就是说在未来的1 5 年之内整个i p v 4 地址将被消耗耗尽。 1 1 2 低效率的路由选择 i p v 4 的地址由网络和主机地址两部分构成，以支持层次型的路由结构。但由于历 史的原因，i p v 4 地址的层次结构缺乏统一的分配和管理，并且多数d 地址空间的拓 扑结构只有两层或者三层，这导致主干路由器中存在大量的路由表项。目前，i n t e m e t 上的路由表已经超过1 2 4 l 万条，并且呈指数级增长，庞大的路由表不仅增加了路由查 找和存储的开销，消耗了大量的资源，降低了效率，而且降低了i n t e m e t 服务的稳定 性。有人预测，如果i n t e m e t 上的路由数目达到2 0 万条，现在的路由器技术和b g p ，4 路由协议将无能为力，网络之间的路由信息交换、路由振荡将消耗掉所有的网络资源， 整个i n t e m e t 将瘫痪。 变长子网和c i d r 的引入虽然在一定程度上解决了i p v 4 地址耗尽问题，但同时， 由于子网掩码的长度再也不是传统的易于处理的8 的整倍数，大大加大了路由器的负 担，减低了路由器的处理速度。此外，由于i p v 4 数据包的报头长度不固定，因此难 以利用硬件提取、分析路由信息，这对迸一步提高路由器的数据吞吐率也是不利的。 1 1 3 缺乏服务质量保证 1 0 申请上海交通大学硕士学位论文 基于双协议栈的防火墙 i p v 4 遵循b e s te f f o r t 原则，这一方面是一个优点，因为它使i p v 4 简单高效；另 一方面它对互联网上涌现的新的业务类型缺乏有效的支持，比如实时和多媒体应用， 这些应用要求提供一定的服务质量保证，比如带宽、延迟和抖动。研究人员提出了新 的协议在i p v 4 网络中支持以上应用，如执行资源预留的r s v p 协议和支持实时传输 的r t p r t c p 协议。这些协议同样提高了规划、构造口网络的成本和复杂性。 1 1 4 不安全的 p w 4 近年来，黑客们成为i n t e m e t 发展最大威胁。每天都有成千上万的攻击和入侵发 生，虽然人们采取了包括防火墙、入侵检测和安全审记等各种安全手段，但是效果并 不能令人满意。这一切很大程度上是由于i p v 4 的发明者们并没有预计到需要将安全 性融入i p v 4 之中，因此虽然后来增加了i p s e c 之类的一些协议来实现i p 层次上的身 份认证和内容加密，但是由于自己本身的缺陷，并不能百分之百地发挥这些先进技术 的威力。 1 2 p v 6 的历史 i p v 6 并不是什么“新”的协议，早在1 9 9 5 年，i e t f 就开始着手研究开发下一代 i p 协议，即i p v 6 。但是这个新“生命”的产生并不是人们所预料的那样一帆风顺， 直到现在，和i p v 6 相关的r f c 文档也是过时最快的一类。下面就是i p v 6 从提出到现 在所经历的坎坷历史。 1 9 9 0 年8 月，在加拿大温哥华的i e t f 会议上，f r a n ks o l e n s k y 、p h il lg r o s s 等人预测到1 9 9 4 年3 月，b 类地址将耗尽，地址资源的不足将严重制约i n t e r n e t 的发展。i e t f 于1 9 9 1 年1 1 月组成了路由和地址小组( r o a d ) 1 5 1 来解决这一困难。 1 9 9 2 年春天，根据r o b e r tu l l m a n 的建议，i a b 发表一份政策声明，把下一代i p 称为“i pv e r s i o n7 ” 6 1 ，引起了人们广泛的疑惑，结果在1 9 9 2 年的i e t f 会议 上，l a b 的方案被否决。 p v 7 在1 9 9 3 年修改为t p i x ，它新增加了加速处理数据 包的钩子( h o o k ) 函数和一个新的路由协议一r a p 。同样，这个协议并没有获得广 泛的认同，于是在1 9 9 4 年时，它又演变成为一个新的协议一一c a t n i p ( c o m m o n a r c b i t e c t u r ef o ri n t e r n e t ) ，它试图定义一个兼容i p 、c l n p 以及n o v e l l s 的i p x 协议的通用报文格式。虽然这个协议有一些可取之处，但是没有被下一代 i n t e r n e t 评审委员会完全采纳。 同样是1 9 9 2 年，人们提出了使用c l n p i ( c o n n e c t i o n l e s sn e t w o r kp r o t o c 0 1 ) 协议，也就是通常所说的t u b a ( t c pa n du d po v e rb i g g e ra d d r e s s ) 。i p 和c l n p 的主要区别在于c l n p 使用了2 0 个8 位n s a p ( n e t w o r ks e r v i c ea c c e s sp o i n t a d d r e s s ) ，很显然，2 的1 6 0 次方个地址完全可以满足一个t ( 1 0 的1 2 次方) 的网 络需求。同时，它的一些路由协议例如i s i s 等已经得到的广泛的应用，而且o s i 的七层模型和i n t e r n e t 的五层模型也将融合成为一个整体，t c p 、u d p 和i s o 的 传输层将直接运行在c l n p 上。但是，c l n p 的支持者固执地要求新一代i n t e r n e t 申请上海交通大学硕士学位论文 基于双协议栈的防火墙 协议完全和老的c l n p 协议兼容，而没有考虑i p 协议上的一些可取之处，比如i p 的广播，移动和资源保留。 第三个建议出现于1 9 9 2 年的6 月，称为i pi ni p 。它主张运行分两个层次的 i n t e r n e t 协议，一个用在全球主干网，另一个针对有限局部网络。这个建议于1 9 9 3 的一月演变成一个新的协议一i p a e ( i pa d d r e s se n c a p s u l a t i o n ) ，它被采纳为由 s t e v ed e e r i n g 于1 9 9 2 年1 1 月提出的s i p 【8 】( s i m p l ei p ) 的方案的一个过渡策略。 同年1 2 月它合并了另外一个协议一- p i p ( t h epi n t e r n e tp r o t o c o i ) 。 1 9 9 4 年9 月，p i p 和s i p 合并产生了s i p p 州( s i pp l u s ) 。 n o v 1 鲫2s t 啊o h 血i s 皿 c e 眦t 锄d 耐b o n e 图1 1i p v 6 的历史 f i g u r e l lt h eh i s t o r yo fi p v 6 最后在各种不同的方案中，i p n ga r e a 选出了最理想的s i p p 作为基础，开发出一 系列的技术协议来满足i p n g 的标准要求。它最终作为设计下一步i p 的基础出现 了。 1 9 9 6 年，以研究i p v 6 为目标的虚拟实验网络6 b o n e 在i e t f 的组织下建立，在短 短的几年时间内，扩展到全球的5 0 多个国家和地区，成为i p v 6 研究者、开发者 和实践者的主要平台。中国国家教育科研网c e r n e t 于1 9 9 8 年6 月加入6 b o n e ， 建设了i p v 6 实验床，同年1 1 月成为其骨干成员。 1 9 9 8 年1 2 月在i e t f 的会议上i p n g 和n g t r a n s 工作小组提出建立6 r e n ，最初的 参与者有e s n e t 、i n t e r n e t 2 v b n s 、c a n a r i e 、c a r i n 和w i d e 。6 r e n 的英文全称 为i p v 6r e s e a r c ha n de d u c a t i o nn e t w o r k s 。从整体上看，6 r e n 只是自愿组成 的相互协作的一个i p v 6 科研教育网的雏形。 当6 r e n 正在不断成长的时候，为了支持美国6 r e n 参与者之间的简单的互联， c a n a r i e 和e s n e t 共同发起了一个i p v 6 交换机计划一6 t a p ，在芝加哥的s t a rt a p 提供路由和路由服务，其主要目的是在s t a rt a p 提供一台支持i p v 6 的路由器和 1 2 申请上海交通大学硕士学位论文 基于双协议栈的防火墙 路由服务器，以对早期的i p v 6 路由管理和路由服务进行测试，使得能够对 p v 6 运行规程的制订有一些帮助。 1 9 9 9 年以后，i p v 6 协议基本确定。但与i p v 6 协议相关的标准化工作进展并不顺 利，很多相关的r f c 一改再改，以至于许多标准到现在为止还没有完全确定下来。 1 3i p v 6 的变化 i p 版本6 ( i p v 6 ) 是i n t e m e t 协议的新版本，作为i p 版本4 ( i p v 4 ) r f c 一7 9 1 的 后继而设计。 1 , 3 1i p v 6 的特征 1 3 1 1 全新的地址管理方案 i p v 4 中，地址是用户拥有的。也就是说，一旦用户从某机构处申请到一段地址空 间，他就永远使用该地址空间，而不管他是从哪个因特网服务提供者( i s p ) 处获得 服务。这种方式的缺点是 s p 必须在路由表中为每个用户的网络号维护一条表项。随 着用户数的增加，会出现大量无法会聚的特殊路由，即使无类别域间路由( c i d r ) 也不能处理这样的路由表爆炸现象。 i p v 6 改变了地址的分配方式，从用户拥有变成了i s p 拥有。全局网络号由因特网 地址分配机构( i a n a ) 分配给i s p ，用户的全局网络地址是i s p 地址空间的子集。 每当用户改变i s p 时，全局网络地址必须更新为新i s p 提供的地址。这样i s p 能有效 地控制路由信息，避免路由爆炸现象的出现。 i s p 地址拥有模式意味着用户必须时常改动他们的主机地址，这对大型网络的管 理是很不利的。另一方面，运行i p v 6 的主机能同时为每个端1 2 配置多个i p 地址。这 些地址包括全局地址，站点局部地址，链路局部地址等，它们分别用于不同的传播范 围。由用户管理多个地址是相当烦琐的，所以i p v 6 提供了地址自动配罨机制，使主 机能自动生成地址，避免了手工配置的低效率，实现了主机的即插即用功能。路由器 在地址自动配置中发挥巨大的作用，它定时在子网里多播路由器广告报文，报文中包 括主机能使用的地址前缀的所有信息，如前缀值，生命期等；主机收到该报文后，按 照一定规则在本地生成主机标识符，把它和地址前缀连接，从而形成主机地址。为了 保证主机地址的唯一性，i p v 6 定义了重复地址检测过程，每当生成地址时，必须反 复执行生成和检测过程，直到得到唯一的地址。 13 12 主机的移动特征 现有因特网的连接范围和对象有了极大的扩展，特别是移动性主机所占比例的逐 步增加，给i p 协议提出了新的要求。i p v 4 对移动p 提供支持，一般是通过本地代理 ( h o m ea g e n t ) 和远地代理( f o r e i g na g e n t ) 的相互作用实现的。移动主机到达新的子 网后，寻找远地代理，并通过远地代理向本地代理进行位置更新。本地代理解析移动 主机的地址，把其他主机发给移动主机的报文通过本地代理和远地代理间的隧道传送 给移动主机。这种解决方案在处理迂回路由和小区移动时存在困难。迂回路由的产生 1 3 申请上海交通大学硕士学位论文 基于双协议栈的防火墙 是因为对端主机不知道移动主机的现有i p 地址；小区中移动的主机会产生频繁的注 册更新。 i p v 6 对移动性提供了内在的支持。首先，路由器在多播路由器广告报文时，指示 了它是否能担任本地代理。同一个子网内允许多个本地代理存在，移动主机可以向任 意一个本地代理注册。本地代理中保存有移动主机固有地址和它的转交地址( c a r e o f a d d r e s s ) 的对照表，收到发送给移动主机的报文后，根据对照表把报文转发给移动主 机。其次，每当移动主机收到其它主机发来的报文后，在响应报文中以现有地址作为 源地址，并要附带上移动主机的固有地址。其它主机的后续报文以移动主机的现有地 址为目的地址，但是要附带源路由选择头，报头内容为移动主机的固有地址。使用这 种机制的目的是保证移动主机在移动过程中也不会丢失报文。最后，i p v 6 中定义了 重定向过程。当移动主机在小区间切换时，移动主机重新登记成功后，基站应该向原 来的基站发重定向包文，使切换过程中路由有偏差的报丈重新找到移动主机。 1 3 1 3 数据报文的安全传输 因特网应用的普及使安全问题日益紧迫，在报文传输过程中修改、窃取报文，对 报文中数据的有效性构成了威胁。i p v 4 对报文安全问题进行了专门的讨论，并给出 了解决办法，以i p 选项的方式使用。i p v 6 继承了i p v 4 的技术，定义了验证报文头 ( a u t h e n t i c a t i o nh e a d ，a h ) 和加密报文头( e n c r y p t e ds e c u r i t yp a y l o a d ，e s p ) ，不 但有效解决了安全问题，而且使安全方案成为i p v 6 的有机组成部分。 验证报文头的作用在于使接受方确认：接收到的报文来自正确的源。i p v 6 建议的 验证加密算法是m d 5 ，计算后的验证数据连同报文的序列号被放到a h 中，序列号 的用处是防止重发攻击。加密报文头的作用在于对报文内容加密，防止报文在传输过 程中被剽窃。目前的标准加密算法是d e s c b c ，e s p 中带有初始化向量，算法参数 以及报文序列号，接收方根据e s p 的内容恢复报文内容。两种报文头可以根据应用 的需要单独使用，也可以结合使用，结合使用时，e s p 应该在a h 的保护下。 完成加密算法必须有密钥分配协议作为支持。i p v 6 定义了i s a k m p o a k l e y 协 议，其基础是d i f f - h e l l m a n 算法。规定首先进行证书交换，用以确认对方的地址真伪， 然后进行带验证过程的密钥交换，防止密钥交换被中介拦截。协议中也定义了相应的 手段允许协商加密参数，以及a h 和e s p 的用法。 1 3 1 4 对流的支持 在多媒体应用日益广泛的今天，因特网提供对多媒体的支持将有重大意义。多媒 体的一般特点是带宽要求高、持续时间长。为此引入流的概念简化因特网对多媒体的 处理。流是特定源和目的地间的报文序列，源要求中间路由器对这些报文进行特殊处 理。一般来说，路由器收到流中报文后，根据流标识符查找路由器中保存的流上下文， 对流中的报文进行同样的处理，加快了报文处理速度。i p v 4 补充了对流的处理，例 如使用资源预留协议( r s v p ) 预留资源进行因特网上的音频，视像传播。但是i p v 4 对流的处理有天生的缺陷，因为在i p v 4 定义之初就没有流的概念。i p v 4 定义的流包 括源和目的i p 地址、传输控制协议( t c p ) 或用户数据报协议( u d p ) 的端口号， 路由器为了判断一个报文是否属于一个流，不但要看i p 头中的i p 地址，还要分析 t c p 头或u d p 头中的端口号，这不但违背了网络分层的原则，而且加大了路由器的 处理工作量。 i p v 6 在设计之初就考虑了对流的支持。i p 头的格式里，有专门的2 0 b i t 流标签域。 1 4 审请上海交通大学硕士学位论文 基于_ 双协议栈的防火墙 主机发送报文时，如果需要把报文放到流中传输，只需在流标签里填入相应的流编号。 否则在流标签里填零就作为一般的报文处理。路由器收到流的第一个报文时，以流编 号为索引建立处理上下文，流中的后续报文都按上下文处理。 口v 6 同时定义了流的优先级，分别支持不同的业务需求。但是从目前的研究发现， 优先级的使用会导致拥塞。要保持网络的可用性，一方面流应该根据网络状态进行自 适应调节，方法是采用自适应信源编码、完善冗余的功能；另一方面，路由器要对流 实施监控，采用公平队列之类的技术，维护网络资源使用的公平性。对多媒体的支持 是一个复杂的技术，它需要主机和路由器的相互作用。 1 , 3 2i p v 6 的地址格式 i p v 6 采用了长度为1 2 8 位的d 地址，彻底解决了i p v 4 地址不足的难题。1 2 8 位 的地址空间，足以使一个大企业将其所有的设备如计算机、打印机甚至寻呼机等联入 i n t e r n e t 而不必担心口地址不足。 所有的i p v 6 的地址属于下列地址类型的一种： f i g u r e l i 31 33 21 66 4 b l l0 0 1t l an l as l ai 。2 。m l f i g u r e 2 l s41 1 2 b i t s i l i i i i i i i l l 日_ ps c o p e。“p 1 di f i b r e 3 ln b 札，1 2 8 - n b i t s l l s u b n “m u k 0 0 0 0 0 0 0 一0 0 0 0 0 0 0 0 1 图l - 2i p v 6 的地址格式 图一：单播地址的格式图二：多播地址的格式图三：任意点播地址的格式 f i g u r e1 - 2a d d r e s sf o r m a t so f i p v 6 f i g u r el ：a d d r e s sf o r m a t so f u n i c a s tf i g u r e1 ：a d d r e s sf o r m a t so f m u l t i c a s t f i g u r el ：a d d r e s sf o r m a t so f a n y c a s t 一单播地址( u n i c a s t ) 一个i p v 6 的单播地址( u n i c a s t ) 定义了一个接e l ( i n t e r f a c e ) ，任意发送给某个单播地 址的数据报文将传给个指定地址。i p v 6 单播地址是个分级结构的地址，这种地 址被称为可聚合全局单点广播地址( a g g e g a t a b l eg l o b a lu n i c a s ta d d r e s s ) ，其分级结构 划分如图l 一3 的图一所示。开头3 个地址位是地址类型前缀，用于区别其它地址类型。 其后的1 3 位t l a i d 、3 2 位n l a i d 、1 6 位s l a i d 和6 4 位主机接口i d ，分别用于 1 5 申请上海交通大学硕士学位论文基于双协议栈的防火墙 标识分级结构中自顶向底排列的t l a ( t o p l e v e l a g g r e g a t o r ，顶级聚合体) 、n l a ( n e x t l e v e la g g r e g a t o r ，下级聚合体) 、s l a ( s i t el e v e la g g r e g a t o r ，位置级聚合体) 和主 机接口。t l a 是与长途服务供应商和电话公司相互连接的公共网络接入点，它从国 际i n t e m e t 注册机构如i a n a 处获得地址。n l a 通常是大型i s p ，它从t l a 处申请获 得地址，并为s l a 分配地址。s l a 也可称为订户( s u b s c r i b e r ) ，它可以是一个机构 或一个小型i s p 。 s l a 负责为属于它的订户分配地址。s l a 通常为其订户分配由连续地址组成的地 址块，以便这些机构可以建立自己的地址分级结构以识别不同的子网。分级结构的最 底层是网络主机。 多播地t t l ：( m u l t i c a s t ) “1 1 一个i p v 6 的多播地址( m u l t i c a s t ) 定义了一组接1 2 1 ，它们可能位于不同的地方，数 据报将通过硬件多播和广播投递给该组中的每一个成员。多播地址格式如如图1 3 的 图二所示，前8 位作为多播地址的前缀是1 1 1 1 1 1 1 1 ，紧跟后面的是一个4 位的标志选 项，一个4 位的范围和一个1 1 2 位的组标是标识符。 4 位标志选项的前三位均作为保留位记0 ，最低位记为t ，当t 为1 时代表的是一 个临时性的组，在完成这个组所做的工作之后就必须撤消。t = 0 表示一永久分配的多 播地址；作用域( s c o p e ) 限制多播的范围，它用来保证个局域网上的视屏会议的数据 不会被多播到整个i n t e m e t 上。 任意点播地址( a n y c a s t ) “2 1 任意点播的原理十分简单，它将数据包传送给一个被所有特定类型服务器所识别 的ipv6 任意点播地址，这个地址一般是分配给属于不同节点的多个接口，通过路 由系统的选路协议来测得距离为最近的接口，并将数据包发送到这个接口。 任意点播地址从单播地址空间分配而来，所以它形式上可用任何一种规定的单播 地址格式。这样，任意点播地址和单播地址在语法上是无法区别的。所以必须由路由 器来处理在本管辖区域里面的所有任意点播地址，对于象0 s p f 这样的链路状态协议 来说，必须有一个新的链路状态记录类型来描述本路由器所在区域里存在某个任意点 播地址组里的成员。 i p v 6 的任意点播的应用是指定路由选择一将数据包发送到某个指定网络x 的 任意一个路由器上。首先定义子网路由器任意点播地址，它的其格式如图1 3 图三， 它的前i 1 位是个网络x 的子网前缀，其余的1 2 8 一n 位全部赋0 ( n 可以取1 到1 2 7 中 间的任何一个数值) 。对于所有连接到网络x 的路由器必须都能够识别这个子网路由 器任意点播地址，当有这样的数据包达到时，路由器就知道这个数据包的目的地就是 自己。由于对于这个网络来说，它的子网前缀p 已经存在与其他路由器的路由表中， 所以并不要对原来的路由表做任何改动。当这些路由器是同时域名服务器、时间服务 器或者文件服务器时，就可以保证用户使用的最近最快的一个服务器。 1 4 从i p v 4 到i p v 6 的过渡【1 4 1 现今的因特网是i p v 4 的，要实现到i p v 6 网络的转变，需要对软件升级，但是所 有机器不可能同时需要升级软件。因此过渡阶段是必然存在的，所以i e t f 为此也特 1 6 申清上海交通大学硕士学位论文基于双协议栈的防火墙 别制定了讨论过渡阶段的基本要求和策略。 1 4 1 过渡策略简述 要实施i p v 6 网络，必须充分考虑现有的网络条件，充分利用现有的条件构造下 一代互联网，以避免过多的投资浪费。现在的网络设备大部分都是基于i p v 4 的，不 可能将它们在短时间内都过渡到基于i p v 6 的，因此，在相对