（计算机应用技术专业论文）基于认证的ipv6地址自动配置方法的研究与实现.pdf

北京邮电大学硕：i 研究生论文 声明 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即； 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授权书。 本人签名： 导师签名： 日期： 日期： 北京邮电大学硕= e 研究生论文 摘要 摘要 i p v 6 作为下一代i n t e r n e t 的核心协议，其巨大的地址容量能够 满足互联网飞速发展的需求，即插即用的接入方式也为节点的接入和 移动性提供了良好的支持，这些优越的特性使i p v 6 得到了越来越广 泛的应用，同时其安全性能也日益重要。 在i p v 6 网络中，节点接入网络时通过自动配置可自动获取i p v 6 地址和必要的参数，实现即插即用，简化了网络管理，易于支持移动 节点。但与此同时，也带来了安全方面的隐患，即节点获取i p v 6 地 址的过程无法控制，非法用户也可以接入网络，并自由读取网络上的 资源，这在实际的应用中是不能容忍的。 为解决此问题，全世界的研究机构已做了很多研究并提出了相应 方案，但这些解决方案在解决一部分问题的同时，又带来了新的问题， 无法从根本上解决问题，即在配置i p v 6 地址时保证安全的问题。 本论文提出了一种新的解决方案：基于认证的i p v 6 地址自动配 置方法，在i p v 6 无状态地址自动配置过程中加入认证机制，只有经 过授权的节点才能获得i p v 6 地址，从而接入i p v 6 网络，从源头上保 证了接入网络的安全性。本论文对此方案的关键问题进行了研究，实 现了一个可应用的系统，从而使i p v 6 网络安全接入系统的性能得到 了较大的提高。 本论文第一章介绍了课题背景和i p v 6 网络安全接入的研究内容， 第二章对现有解决方案进行了介绍和分析，第三章详细介绍了无状态 地址自动配置的原理，第四章讨论了基于认证的i p v 6 地址自动配置 方案和体系结构，确立了课题研究的框架，第五章是论文的重点，着 重讨论了课题研究过程中需要解决的难点以及解决的方法，主要包括 基于认证的路由请求和路由宣告技术、安全技术以及其它的非核心技 术等：第六章是测试和应用环境。 关键字 i p v 6 网络安全接入无状态地址自动配置路由请求路由宣告 认证机制安全机制 北京邮i 乜大学硕士研究生论文 摘要 a b s t r a c t i p v 6 ，a st h ek e yp r o t o c o lo f t h en e x tg e n e r a t i o ni n t e m e t ，c a nm e e tt h e n e e do fr a p i dd e v e l o p m e n to fi n t e r a c tw i t hi t st r e m e n d o u s 口a d d r e s s s p a c e m o r e o v e r , p l u ga n dp l a y , i t sn a t u r a la d v a n t a g e ，h a sp r o v i d e dp v 6 n o d e sw i t hg o o ds u p p o r to fn e t w o r ka c c e s s i n ga n dm o b i l i t y a sar e s u l t ， i p v 6h a sb e e ne m p l o y e dm o r ea n dm o r ew i d e l y , m e a n w h i l e i t ss e c u r i t y p e r f o r m a n c ei so fm o r ea n dm o r ei m p o r t a n c e ，t o o i na ni p v 6n e t w o r k i p v 6n o d ec a l la u t o m a t i c a l l ya c q u i r ei p v 6a d d r e s s a n do t h e rc o n f i g u r a t i o ni n f o r m a t i o nt h r o u g ha u t o c o n f i g u r a t i o nm e c h a n i s m ， w h i c hs i m p l i f i e st h en e t w o r km a n a g e m e n ta n dt h ep r o c e s so fn o d e s r o a m i n gb e t w e e nd i f f e r e n tn e t w o r k s h o w e v e r , t h i sr e s u l t si np o t e n t i a l s e c u r i t yp r o b l e m s a tt h es a m et i m e ，b e c a u s et h e r ei sn oc o n t r o l m e a s u r e m e n tw h e ni p v 6n o d ea c c e s s i n gt on e t w o r k s o ，i l l e g a lu s e rc a n e n t e rt h en e t w o r ka n dg e tv i t a li n f o r m a t i o nf r e e l y , w h i c hs h o u l db e f o r b i d d e ni np r a c t i c e t oa d d r e s st h i si s s u e 。s o m eo r g a n i z a t i o n si nt h ew o r l dh a v ed o n es o m e r e s e a r c h e sa n dp u tf o r w a r ds o m es o l u t i o n s u n f o r t u n a t e l y , w h e n a d d r e s s i n gs o m es p e c i f i cp r o b l e m s ，t h e ya l s ob r i n go u tn e wm a t t e r s v i d e l i c e t ，t h e yc a n ts e t t l et h ei s s u ef r o mi t sh e a d s t r e a m ：s e c u r i t yp r o b l e m i na d d r e s sa u t o - c o n f i g u r a t i o n t h i st h e s i s p u t s f o r w a r dan e ws c e n a r i o ： 、，6a d d r e s s a u t o 。c o n f i g u r a t i o nb a s e d o na u t h e n t i c a t i o n i ta d d sa u t h e n t i c a t i o n m e c h a n i s mt oi p v 6s t a t e l e s sa d d r e s sa u t o e o n f i g u r a f i o n ，w h i c ho n l ya l l o w s t h el e g a lu s e r st oo b t a i ni p v 6a d d r e s sa n dt oa c c e s sd 、r 6n e t w o r k c o n s e q u e n t l ni t c a ng u a r a n t e et h en e t w o r ks e c u r i t yf r o mt h eb e g i n n i n g t h i st h e s i sd o e ss o m er e s e a r c h e si nt h ek e yt e c h n o l o g i e so ft h i ss c e n a r i o ， r e a l i z e s a l l a p p l i c a b l es y s t e m ， a n d i m p r o v e s t h ep e r f o r m a n c ea n d c o n v e n i e n c eo f t h es e c u r ei p v 6a c c e s s i n gs y s t e m t h i st h e s i si n t r o d u c e st h eb a c k g r o u n da n dc o n t e n t so fi p v 6a c c e s s i n g s e c u r i t y i nt h ef i r s tc h a p t e r , i n c l u d i n gt h ec u r r e n ts o l u t i o n sa n dt h e t r a d i t i o n a li p v 6s t a t e l e s sa d d r e s sa u t o c o n f i g u r a t i o n i nc h a p t e rf o u r , t h e s c h e m ea n ds t r u c t u r eo fs e c u r el p v 6a c c e s s i n gs y s t e mb a s e do n 2 北京邮电大学硕士研究生论文 摘要 a u t h e n t i c a t i o na r e d i s c u s s e d ，a n dt h ef r a m e w o r ko ft h es y s t e mi s c o n s t r u c t e d c h a r t e rf i v ei st h ek e y s t o n eo f t h i st h e s i s ，w h i c hd i s c u s s e st h e k e yd i 伍c u l tp o i n t st h a tn e e dt ob es o l v e d ，a n dt h ea v a i l a b l es o l u t i o n m e t h o d s t h e k e yt e c h n i q u e si n c l u d ea u t h e n t i c a t i o n - b a s e dr o u t e r s o l i c i t a t i o na n dr o u t e ra d v e r t i s e m e n t ，s e c u r i t y t e c h n i q u e a n do t h e r n o n - c o r et e c h n i q u e f i n a l l y , c h a p t e rs i xi n t r o d u c e st e s ta n dd e v e l o p m e n t e n v i r o n m e n t k e y w o r d s s e c u r ei p v 6n e t w o r ka c c e s s i n g ，s t a t e l e s sa d d r e s sa u t o c o n f i g u r a t i o n , r o u t e r s o l i c i t a t i o n ，r o u t e ra d v e r t i s e m e n t ，a u t h e n t i c a t i o nm e c h a n i s m , s e c u r i t ym e c h a n i s m 北京l i i l f 电火学硕士研究生论文前言 1 1 课题背景 第一章前言 i p v 6 作为下一代i n t e r n e t 的核心协议，其巨大的地址容量能够满足互联网 飞速发展的需求，即插即用的接入方式也为节点的接入和移动性提供了良好的支 持，这些优越的特性使i p v 6 得到了越来越广泛的应用，同时其安全性能也日益 重要。 在i p v 6 网络中，节点接入网络时通过自动配置可自动获取i p v 6 地址和必要 的参数，实现即插即用，简化了网络管理，易于支持移动节点。但与此同时，也 带来了安全方面的隐患，即节点获取i p v 6 地址的过程无法控制，非法用户也可 以接入网络，并自由读取网络上的资源，这在实际的应用中是不能容忍的。 为解决此问题，全世界的研究机构己做了很多研究并提出了相应方案，主要 有d h c p v 6 + a a a 以及包过滤方式，前者失去了i p v 6 即插即用的优势，后者给网 关带来了沉重的负担，无法从根本上解决问题。北京邮电大学信息网络中心决定 进行i p v 6 地址自动配置的相关研究，从获取i p v 6 地址这个“源头”上解决安全 问题，提出并实现一个基于认证的i p v 6 地址自动配置系统，并在现实网络上进 行应用。 1 2 研究内容 本课题的主要研究内容就是研制出基于认证的i p v 6 地址自动配置系统。 i p v 6 地址自动配置方法有两种：有状态地址自动配置( s t a t e f u la d d r e s s a u t o c o n f i g u r a t i o n ) 和无状态地址自动配置( s t a t e l e s sa d d r e s s a u t o c o n f i g u r a t i o n ) 。有状态地址自动配置方式主要指d h c p v 6 ，在这种方式下， 节点由d h c p v 6 服务器集中管理，i p v 6 地址也由d h c p v 6 服务器进行分配。在无状 态地址自动配置中，节点通过本地网络上的路由宣告获得地址配置信息，从而完 成i p v 6 地址的自动配置。 我们研究的基于认证的i p v 6 地址自动配置方法，就是基于无状态地址自动 配置方式的。因为在i p v 6 网络中，有状态地址自动配置( 如d h c p v 6 ) 方式的i p v 6 地址由管理员分配，自然解决了认证问题。基于认证的i p v 6 地址自动配置方法 是在无状态地址自动配置过程中加入认证机制，这样，合法节点才能通过认证， 获得网络前缀，从而获得i p v 6 地址。非法用户从一开始就得不到i p v 6 地址，无 法进行通信，也就得不到网络资源，保证了i p v 6 网络的安全。 北京邮电大学硕士研究生论文 这种方案的优点是简单高效，从源头上解决了安全问题。我们研究的目标是 在i p v 6 网络中实现一个轻量级的基于认证的i p v 6 地址自动配置系统，可以保护 不同规模的i p v 6 网络一一从大型到小型网络，其中涉及到的关键技术是基于认 证的路由请求技术、基于认证的路由宣告技术、安全技术以及其它的非核心技术 ( 如日志系统、管理系统等) 。 需要完成的性能指标： 实现个完整的基于认证的i p v 6 地址自动配置系统，包括i p v 6 节点和i p v 6 路由器，能够在实际网络环境中运行。 节点要达到以下性能指标： 1 ) 能将认证信息包含在路由请求包中发送给路由器，请求网络前缀 2 ) 路由器认证通过后，能自动配置本机i p v 6 地址 路由器要达到以下性能指标： 1 ) 能对节点的身份进行认证 2 ) 对通过认证的节点，向其发送网络前缀信息；对未通过的节点，通知其 认证失败 3 ) 以上的处理不影响路由器本身的性能 实现的难点： 本系统需要在无状态地址自动配置过程中加入认证机制，以保证安全接入 i p v 6 网络，实现的难点就是快速认证机制、安全机制。 1 3 国内外相关研究现状 目前国内外对安全接入i p v 6 网络的问题已经进行了很多研究，取得了一些 成果，并得到了应用。这些技术主要分为两类：d h c p v 6 诎和包过滤。d h c p v 6 + a a a 由d h c p v 6 服务器为节点分配i p v 6 地址，或者节点也可用无状态地址自动配置获 取i p v 6 地址，但两种方式都需通过a 从服务器的认证，这样即可限制非法用户 接入i p v 6 网络。包过滤技术是用包过滤路由器或包过滤网关对i p 包的包头信息 进行分析，由源地址、目的地址、端口号等决定是否允许i p 包通过，从而限制 非法用户在网络上传递数据包，获取网络资源。这些将在第二章中详细论述。 1 4 论文的主要内容和结构安排 本论文主要论述基于认证的i p v 6 地址自动配置系统的体系结构及其实现， 将主要分为三部分进行论述，第一部分包括一、二章，主要描述了课题的背景和 北京邮电大学硕：b 研究生论文 要求、性质和意义，介绍了国内外对安全接入i p v 6 网络的研究现状，分析了现 有解决方案的实现及优缺点。第二部分包括第三、四、五章，是本论文的主体， 首先介绍了无状态地址自动配置的理论知识现，然后论述了基于认证的i p v 6 地 址自动配置系统的体系结构及实现，对其中一些难点和重点部分的研究和实现做 了详细阐述。第三部分包括第六、七章，主要讲述了应用环境和测试情况，也对 将来的技术发展做了展望。 北京邮电火学顿士研究生论文现有解决方案的分析 第二章现有解决方案的分析 目前国内外对安全接入i p v 6 网络的问题已经进行了很多研究，取得了一些 成果，并得到了应用。这些成果主要分为两类：d h c p v 6 和包过滤。 2 1d h c p v 6 + a a a 2 2 1d h c p v 6 的概念 d h c p ( d y n a m i ch o s tc o n f i g u r a t i o np r o t o c 0 1 ) 是动态主机配置协议，是 t c p i p 网络上使客户机获得配置信息的协议。d h c p v 4 是对应于i p v 4 的版本， d h c p v 6 对应于i p v 6 。 d h c p 向网络中的节点提供配置参数，它由两个基本部分组成：一部分是向 节点传送专用的配置信息，另一部分是给节点分配网络地址。d h c p 是基于客户 服务器模式的，这种模式下，d h c p 服务器分配网络地址，并传送网络配置参数 给需要的节点。这也是一种集中式的管理方法。 d h c p 支持三种i p 地址分配方法。第一种是自动分配，d h c p 给节点分配一个 永久的i p 地址。第二种是动态分配，在这种情况下，节点可以取得一个i p 地址， 但是有时间限制。第三种是手工分配，在这种方法下，节点的i p 地址是由管理 员手工指定的，这种情况下，d h c p 服务器只需要将这个指定的i p 地址传送给节 点即可。至于用什么样的分配方法，不同的网络各不相同。 网络中的节点从d h c p 服务器那里获得配置信息后，就可以和i n t e r n e t 上 任何一个节点通信。在初始化一个节点时并不需要配置服务器所能提供的所有 参数，客户和服务器可以通过一种协商机制决定传送哪些参数。d h c p 允许节点 的参数配置不直接与i p 协议相关，而且它也不将最近加入的主机加入域名系统 ( d n s ) 中。 早先的d h c p v 4 支持的是有状态地址自动配置，它要求安装和管理d h c p 服 务器，并要求接受d h c p 服务的每个新节点都必须在服务器上进行配置。很简单， d h c p 服务器保存着它要提供配置信息的节点列表，如果节点不在列表中，该节 点就无法获得i p 地址。d h c p 服务器还保持着使用该服务器的节点的状态，因为 该服务器必须了解每个i p 地址使用的时间，以及何时i p 地址可以进行重新分 配。 状态自动配置的问题在于，节点必须保持和管理特殊的自动配置服务器以 便管理所有“状态”，即所容许的连接及当前连接的相关信息。对于有足够资源 来建立和保持配置服务器的机构，该系统可以接受；但是对于没有这些资源的 9 北京邮电大学碰= b 研究生论文现有解决方案的分析 小型机构，工作情形较差。 d h c p v 6 ( r f c 3 3 1 5 ) 对此功能进行了扩展，除了有状态地址自动配置，它也支 持无状态地址自动配置( r f c 3 7 3 6 ) ，两者还可起操作，这比单独使用其中一种 更易于实现互联网络连接的即插即用。例如，使用无状态地址自动配置，节点 可以很快确定自己的i p v 6 地址，而且一旦获得此信息，它就可以与d h c p v 6 服 务器交互以获得所要求的其他网络配置值。实际上，d h c p v 6 很可能要依靠i p v 6 无状态自动配置来简化某些情况下的状态配置。 2 2 2a 从的概念 为进一步保证安全性，d h c p v 6 服务器还可与a 从( a u t h e n t i c a t i o n ， a u t h o r i z a t i o na n da c c o u n t i n g ) 服务器联合对节点的身份进行验证。 a 从是认证、授权和计费( r f c 3 5 3 9 ) ，其中，认证( a u t h e n t i c a t i o n ) 指用户 在使用网络中的资源时对用户身份的确认。这一过程通过与用户的交互获得身份 信息( 诸如用户名一口令组合、生物特征获得等) ，然后提交给认证服务器；后 者对身份信息与存储在数据库里的用户信息进行核对处理，然后根据处理结果确 认用户身份是否正确。授权( a u t h o r i z a t i o n ) 指网络系统授权用户以特定的方 式使用其资源，这一过程指定了被认证的用户在接入网络后能够使用的业务和拥 有的权限，如授予的i p 地址等。计费( a c c o u n t i n g ) 指网络系统收集、记录用 户对网络资源的使用，以便向用户收取资源使用费用，或者用于审计等目的。 2 2 。3d h c p v 6 + a a a 的操作 在d h c p v 6 + a a a 模式中，节点接入i p v 6 网络的过程如图2 - 1 所示 图2 - 1d h c p v 6 + a a a 安全系统 用户使用i p v 6 网络的过程是这样的 北京邮电太学硕= b 研究生论文 现有解决方案的分析 1 节点配置为d h c p 获取地址模式； 2 节点发送d h c p 发现到d h c p 服务器： 3 d h c p 服务器给予节点d h c p 回应； 4 节点发送d h c p 请求： 5 d h c p 服务器给予d h c p 应答，分配用于认证的i p 地址： 6 。节点配置自身； 7 节点连接到a a a 服务器提交认证信息； 8 若认证成功，a a a 服务器则通知d h c p 服务器，并返回成功信息给节点： 9 节点释放当前用于认证的地址，重新开始d h c p 过程； 1 0 d h c p 服务器在收到d h c p 请求时返回用于上网的正式i p 地址： 1 1 节点获得正式地址，开始上嘲； 1 2 若认证失败，则返回失败信息给节点。 2 2 4d h c p v 6 + a a a 的优点 从上面的介绍可以看出，d h c p v 6 + a a a 为节点安全接入i p v 6 网络提供了一种 可行的方式，通用性好，用户无需安装复杂的客户端软件。 另外，d h c p v 6 能够对客户进行可靠的配置，还有助于防止由于在网络上配 置新的计算机时重用以前指派的i p 地址而引起的地址冲突。 2 2 5d h c p v 6 + a a a 的缺点 d h c p 出现的主要目的就是为了解决i p v 4 地址空间不足的问题，随着i p v 6 的出现，d h c p 的作用已大大丧失，虽然在d h c p v 6 中对其功能做了扩展，但d h c p 本身有其局限性，和a 从联合做为安全接入i p v 6 网络的解决方案，有如下缺点： 1 复杂性高。这种方式涉及到两种技术：d h c p v 6 和a a a ，部署和配置起来 相对比较困难，认证和授权的过程也变得很复杂。 2 登录时间长。用户需要经过两次i p 地址分配，在没有客户端软件的情况 下时间花费长。 3 成本高。需要d h c p v 6 和t 姐服务器，加上其管理和成本，大多数的个人 用户和小机构难以承受。 4 扩展性不好。集中式的管理使网络的扩展性降低。 对太多数个人和小型机构来说，无状态自动配置是较好或较容易的解决方 案，这种机制允许个人节点能够确定自己的i p 配置，而不必向服务器显式请求 各节点的信息。实际上，至少在理论上且进行了某些假定的情况下，无状态自 北京邮电大学硕士研究生论文 现有解决方案的分析 动配置相对容易实现。首先，如果使用i e e ee u i 一6 4 链路层地址，用户就可以 确信自己的主机i d 是唯一的。因此，节点要完成的工作是确定自己的链路层地 址并计算出e u i 一6 4 地址，然后确定自己的i p v 6 网络地址，向最近的路由器询 问是确定网络地址的一种方法，这就是i p v 6 无状态自动配置的实现方式( 见第 三章) 。 如果使用无状态自动配置要简单很多，那么为什么还要使用状态自动配置 呢? 此问题的答案取决于构造网络的机构的要求。无状态自动配置对得到i p v 6 地址的节点提供最低程度的监视。任一节点可以连接到链路，通过路由器向能实 现无状态自动配置的节点发出的通告来获知网络和子网信息，并构造有效的链路 地址。但是，如果有d h c p 服务器的支持，机构可以更紧密地控制网络可配置的 节点，只有由网络管理员明确授权的节点才能通过d h c p 服务器来进行参数配置。 那有没有一种方法，能够克服无状态地址自动配置方式“对节点的最低程度 的监视”的缺点，从而使i p v 6 发挥出其先天的“即插即用”优越特性呢? 答案 是有，我们将在第四章讨论这个问题。 2 2 包过滤 2 2 1 包过滤的概念 包过滤( p a c k e tf i i t e r i n g ) 技术是指在网络层对数据包进行分析、选择的技 术。选择的依据是系统内设置的过滤逻辑，称为访问控制列表( a c c e s sc o n t r o l t a b l e ) 。包过滤通过检查数据流中每一个数据包的源地址、目的地址、所用端口 号、协议状态等因素或它们的组合来确定是否允许该数据包通过。 包过滤网络中需要用到网关，或路由器，它为所有用户进出网络的数据流提 供了一个有用的阻塞点，而对有关的保护只能由网络中的特定位置的过滤路由器 来提供，过滤路由器可以利用包过滤作为手段来提高网络的安全性。比如，我们 考虑这样的安全规则，让网络拒绝任何含有内部邮件的包就是那种看起来好 象来自于内部主机而其实是来自于外部网的包，这种包经常被作为地址伪装入侵 的一部分。入侵者总是用这种包把他们伪装成来自于内部网。要用包过滤路由器 来实现我们设计的安全规则，唯一的方法是通过参数网络上的包过滤路由器。只 有处在这种位置上的包过滤路由器才能通过查看包的源地址，从而辨认出这个包 到底是来自于内部网还是来自于外部网。 2 2 2 包过滤的操作 北京邮电大学硕士研究生论文现有解决方案的分析 包过滤器通常置于一个或多个网段之间，一个简单的包过滤模型如下图( 2 2 ) 所示，它连接两个网段：一个是外部网段，另一个是内部网段，外部网段把网络 连接到外面的网络如i n t e r n e t 上，内部网段用来连接公司的主机和其它网络资 源： 图z - 2 包过滤模型 在上图中，包过滤器用来限制那些它拒绝的服务的网络流量。因为网络策珞 是应用于那些与外部主机有联系的内部用户的，所以过滤路由器端口两面的过滤 器必须以不同的方式工作。换句话说，过滤器是非对称的。 包过滤器设备的每一端口都可用来完成网络安全策略，如果连在包过滤设备 上的网络段的数目很大，那么包过滤所要完成的就会变得很复杂。一般来说，应 当避免对网络安全问题采取的过于复杂的解决方案，理由如下： ( 1 ) 它们难以维护。 ( 2 ) 配置包过滤时容易出错。 ( 3 ) 它们对所实施的设备的功能有副作用。 几乎所有的包过滤设备( 过滤路由器或包过滤网关) 都按照如下方式工作： ( 1 ) 包过滤标准必须为包过滤设各端口存储起来，这些包过滤标准叫包过 滤规则； ( 2 ) 当包到达端口时，包的报头被进行语法分析，大多数包过滤设备只检 查i p 、t c p 或u d p 报头中的字段，不检查包体的内容： ( 3 ) 包过滤器规则以特殊的方式存储。应用于包的规则的顺序与包过滤器 规则存储的顺序相同； ( 4 ) 如果一条规则阻止包传输或接收，此包便不被允许； ( 5 ) 如果一条规则允许包传输或接收，该包可以继续处理； ( 6 ) 如果一个包不满足任何一条规则，该包被阻塞。 从规则4 和5 可知，将规则以正确的顺序存放是很重要的。要配置包过滤规 则时一个常犯的错误就是把规则的顺序放错了。如果包过滤器规则以错误的顺序 北京邮电大学硕士研究生论文现有解决方案的分析 放置，那么有效的服务也可能被拒绝了，而该拒绝的服务却允许了。 规则6 依据如下原理： 在设计网络安全时，这是一条应该遵循的自动防止故障的( f a i ls a f e ) 原 理。它与另一个允许原理正好相反：未明确表示禁止的便被允许。 后一条原理是用于包过滤设计的。我们必须想到任何包过滤规则都没有想到 一切的可能情况来保证网络的安全性。并且，随着新的服务的增加，很有可能遇 到与任何现有的原则都不匹配的情况，与其阻塞这些服务，倒不如让这些对网络 安全没有太大威胁的服务通过。 2 2 3 包过滤的优点 包过滤方式有许多优点，而其主要优点之一是仅用一个放置在战略要津上 的包过滤路由器就可保护整个网络。如果站点与互联网间只有一台路由器，那 么不管站点规模有多大，只要在这台路由器上设定合适的包过滤，我们的站点 就可以获得很好的网络安全保护。 包过滤不需要用户软件的支撑，也不要求对客户机做特别的设置。当包过 滤路由器允许包通过时，它看起来与普通的路由器没有任何区别。此时，用户 甚至感觉不到包过滤功能的存在，只有在有些包被禁入和禁出时，用户才会认 识到它与普通路由器的不同，也就是说，包过滤工作对用户来讲是透明的，这 种透明就是可在不要求用户作任何操作的前提下完成包过滤。 2 2 4 包过滤的缺点 尽管包过滤系统有许多优点，但是，过滤不是万能的，它也有很多弱点。 首先，包过滤很难做好，尤其当安全需求定义得不好且不细致的时候更是 如此。这种过滤也很容易被攻破。包过滤比较每个数据包，基于包头信息与路 由器的访问列表的比较来做出通过不通过的决定，这种技术存在许多潜在的弱 点。第一，它直接依赖于路由器管理员正确地编制权限集，这种情况下，拼写 的错误是致命的，可以在防线中造成不需要任何特殊技术就可以攻破的漏洞。 即使管理员准确地设计了权限，其逻辑也必须毫无破绽才行。虽然设计路由似 乎很简单，但开发和维护一长套复杂的权限也是很麻烦的，必须根据防火墙的 权限集理解和评估每天的变化，新添加的服务器如果没有明确地被保护，可能 就会成为攻破点。 第二，随着时间的推移，访问权限的查找会降低路由器的转发速度。每当 路由器收到一个分组，它必须识别该分组要到达目的地需经由的下一跳地址， 这必将伴随着另一个很耗费c p u 的工作：检查访问列表以确定其是否被允许到 1 4 北京帅电大学硕士研究生论文 现有解决方案的分析 达该目的地。访问列表越长，此过程要花的时间就越多。 包过滤的第三个缺陷是它认为包头信息是有效的，无法验证该包的源头。 头信息很容易被精通网络的人篡改，这种篡改通常称为“欺骗”。 第四，对有些协议使用包过滤方式不太合适，比如，对b e r k e l e y 的“r ” 命令( r c p 、r s h 、r l o g i n ) 和类似于n f s 和n i s ：y s 协议的r p c ，用包过滤系统 就不太合适。有些安全规则是难以用包过滤规则来实现的。比如，在包中只有 来自于哪台主机的信息而无来自于哪个用户的信息。因此，若要过滤用户就不 能使用包过滤。 第五，许多产品的包过滤功能有这样或那样的局限性，要一个比较完整的 包过滤产品很难。 包过滤的种种弱点使它不足以保护网络资源，而需要与其它更复杂的过滤机 制联合使用。 由以上分析可以看出，现有的解决方法在解决安全接入i p v 6 网络的同时， 又带来了新的问题。d h c p v 6 + a a a 通过限制i p v 6 地址的获取增加了安全性，同 时丧失了i p v 6 本身的灵活性和方便性；包过滤没有对i p v 6 地址的获取过程加以 干涉，却要在获得地址后，再用复杂的过滤机制限制未授权用户的使用，带来了 网关负担沉重、同时又难以完全保证安全性的问题。 诚如上节所说，我们是否能保留i p v 6 “即插即用”的优点，又解决它“对 节点的最低程度的监视”的缺点，从而提出一种新的解决方案呢? 经过研究发现， 这一思路是可行的，只需在i p v 6 原有的无状态地址自动配置过程中加入认证机 制，就可以使合法用户获得i p v 6 地址，同时拒绝非法用户进入网络。这样，就 从“源头”上解决了安全获取i p v 6 地址的问题，又不损害i p v 6 固有的优势。对 这一思路，我们将在第四章中详细阐述，下面，就让我们先来了解下i p v 6 无 状态地址自动配置的原理和过程。 北京邮电大学硕士研究生论文 无状态地址自动配置理论 第三章无状态地址自动配置理论 3 1i p v 6 地址的结构 简单地说，i p v 6 可聚集全球单播地址由两部组成：链路前缀( 1 i n kp r e f i x ) 和接口标识符( i n t e r f a c ei d e n t i f i e r ) ，如下所示： 1 2 8 一nb i t s nb i t s + 一一一一一一一一一一一一一一一+ 一一一一一一一一一 l i n kp r e f i xi n t e r f a c ei d e n t i f i e r + 一一一一一一一+ 链路前缀就是本地链路的网络前缀，一般由路由宣告信息得到；接口标识 符在无状态地址自动配置里被称为链路本地地址，至少在本地链路上要是唯一 的，它是由节点生成的，一般与接口的链路层地址相同，或者根据接口的链路层 地址转换得到。用于i p v 6 可聚集全球单播地址中的接口标识符要求6 4 位长，而 且构成i e e e - 6 4 格式。 i p v 6 可聚集全球单播地址的两部分基本构成，决定了i p v 6 无状态地址自动 配置要分两步进行。 3 2 无状态地址自动配置的概念 无状态地址自动配置( i p v 6s t a t e l e s sa d d r e s sa u t o c o n f i g u r a t i o n ) 是在 r f c 2 4 6 1 、r f c 2 4 6 2 中定义的。其主要功能如下： 1 当i p v 6 网络节点连接到i p v 6 网络后，不必进行手工配置，就可以为任 何一个网络节点接口自动生成一个i p v 6 地址。 2 同一链路上的主机组成的局域网则是从路由器宣告包的前缀列表中获取 本地及全局地址。 3 由同一链路上主机和路由器组成的大型局域网则是从路由器宣告包的前 缀列表中获取本地及全局地址。 4 简化了因地址变化而进行的重新地址配置操作。 5 允许网络管理员指定他们是否愿意使用无状态配置、有状态配置或两者 都有。 在无状态地址自动配置过程中，节点首先要确定自己的链路本地地址( 如 i e e ee u i 一6 4 地址) ，然后再验证该链路本地地址在本地链路上的唯一性，最后 确定网络前缀信息。无状态地址自动配置要求本地链路支持组播，而且网络接口 北京邮电大学硕士研兜生论文无状态地址自动配置理论 能够发送和接收组播。完成自动配置的节点首先将其链路本地地址追加到链路本 地前缀之后，这样节点就可以开始工作：它可以使用i p v 6 与同一网络链路上的 其他节点通信，只要同一链路没有其他节点使用与之相同的e u i - 6 4 地址，该节 点的i p v 6 地址就是可用的。 但是，在使用该地址之前，节点必须先证实此地址在本地链路是唯一的，即， 本地链路上没有其他节点使用与之相同的链路本地地址。大多数情况下不会出现 这个问题，大多数使用网络接口卡( 如以太网适配器或令牌环适配器) 的节点都有 唯一的4 8 位m a c 地址；而对于通过点到点链路连接的节点，链路上只有一个端 节点。但是，其他网络媒体可能没有唯一的m a c 地址，某些网络接口卡也可能错 误地使用了它们无权使用的m a c 地址。此时，节点必须向它打算使用的链路本地 地址发送邻居请求( n e i g h b o rs o l i c i t a t i o n ) 报文。如果得到响应( 邻居宣告一一 n e i g h b o ra d v e r t i s e m e n t ) ，试图自动配置的节点就得知该地址己为其他节点所 使用，它必须以其他方式来配置。 如果没有路由器为网络上的节点服务，即，如果本地网络孤立于其他网络， 则节点必须寻找配置服务器来完成其配置；否则，节点必须侦听路由宣告( r o u t e r a d v e r t i s e m e n t ) 报文。这些报文周期性地发往所有节点的组播地址，以指明诸 如网络地址和子网地址等配置信息。节点可以等待路由器的路由宣告报文，也可 以通过发送路由请求( r o u t e rs o l i c i t a t i o n ) 报文给所有路由器的组播地址来 请求路由器发送路由宣告报文。一旦收到路由器的响应，节点就可以使用响应的 信息来完成自动配置。 使用无状态自动配置，无需手动干预就能够改变网络中所有节点的i p 地址。 例如，当企业更换了接入i n t e r n e t 的i s p 时，将从新i s p 处得到一个新的可聚 集全局地址前缀。i s p 把这个地址前缀从它的路由器上传送到企业路由器上。由 于企业路由器将周期性地向本地链接中的所有节点多点广播路由宣告，因此企业 网络中所有节点都将通过路由宣告收到新的地址前缀，此后，它们就会自动产生 新的i p v 6 地址并覆盖旧的i p v 6 地址。 3 3 无状态地址自动配置的过程 如前所述，无状态地址自动配置的过程分为两步：邻居发现和路由发现。 3 3 1 邻居发现 确认链路本地地址的过程称为邻居发现。当一个接口被激活( 刚刚打开或重 新启动后) ，节点通过接口令牌中得到接口的链路本地地址，该地址暂时设置为 实验状态，并且开始一个重复地址检测d a d ( d o u b l ea d d r e s sd e t e c t i o n ) 过程来 北京邮电大学硕士研究生论文无状态地址自动配置理论 检测链路本地地址是否可用。d a d 过程是：节点以其所期望使用的链路本地地址 为目的地址，向所在链路上的所有节点发送一个邻居请求信息报文，若该地址尚 未被占用，则该节点将不会收到针对这个邻居请求信息报文的任何响应( 称为邻 居宣告信息报文) 。若有相关响应，则说明已有网络节点在使用该地址，该节点 就必须更换地址。 3 3 1 1 邻居请求 邻居请求报文由节点发出，格式为 0lz3 0 1 2 345678901 2 345678 901234567890l + 一+ 一+ 一+ - + 一+ 一+ 一+ 一+ 一+ 一+ 一+ + 一+ - + - + - + - + - - + - + - - + - - + - + - - t - q - - + 一+ _ + + - + - - + - + t y p e c o d ec h e c k s u m 一- 一+ 一+ 一h 一+ 一+ 一+ 一+ 一+ 一+ 一卜+ 一+ 一 一+ - - + 一十一+ 一十一卜+ 一- 一1 一+ - + - + - - 卜+ 一十一+ 一+ - + r e s e r v e d + 一十+ 一十一+ 一十一+ 一+ 一+ + 一十一十+ _ + 一+ 一+ 斗一+ 一十一卜一+ 一+ 一卜+ 一+ 一十一+ 一十一+ 一+ 一卜一十一+ + +target a d d r e s s + + + 一+ 一+ _ + - + - + - + - - + - - + + 一+ 一+ + - + - + 一+ 一+ 一+ 一十一+ 一 一p 一+ 一十一 一+ 一+ 一+ 一+ 一卜 一+ + o p t i o n s + 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ + 一+ 一卜 i p v 6 报头： 源地址：发端节点接口的i p v 6 单播地址，若在重复地址检测过程中，则为未 指定地址。 目的地址：该本地链路中节点的多播地址。 跳数：取值2 5 5 。此种设置是为了防范外部网络的攻击。