（计算机应用技术专业论文）ipv6关键技术及其网络安全研究.pdf

摘要 随着网络厂商和开发商逐渐在不同的平台引入i p v 6 , t p v 4 和 i p v 6 将长期共 存于网络。本文对 i e t f 制定的有关 i p v 6的r f c进行了深入研究并同现有 i p a 的标准进行对比，深入分析了两者之间的主要区别。 工 p v 4向i p v 6 的过渡是一个较长的过程， 如何在两者之i ri1 进行过渡是一个很 重要的研究课题。 本文主要探讨了隧道、 双协议 栈、 s o c k s 6 4 技术、传输层中继 技术、应用层代理网关 a l c ) 及 v a t / p t 等流行技术。 随着 工 p v 6 的引入，加强了网络协议的安全性，这主要是通过i p s e c 协议来 实现的。工 p s e c协议原理及其研究是 工 p v 6协议的重要部分，对实现自 主产权的 i p s e c 网关等 i p s e c 产品都有非常重要的意义。 本文详细的描述了i p s e c 协议的 原理， 分析了现有的i p s e 。 协议族，重点分析了安全联盟 ( s a )的概念和作用、 策略数据库和安全联盟数据库的组织机构以及 工 p s e c包处理的安全联盟和安全 策略。同时，研究了基于 i p v 6 协议的漏洞攻击事件特征。 本文研究的主要成果有: 构造了工 p v 6 环境并开发出了 基于工 p v 6 的攻击集 成平台;对整个的工 p v 6 环境下的攻击进行尽可能全面地模拟:结合己 有研 究的攻击特征， 构建起了漏洞攻击事件特征库; 实现了网络探测收集和自 身研 究相结合，同时支持 i p v 4 / i p v 6 协议的入侵检测。 本文最后对工 p v 6 协议在w 工 n d o w s中应用进行了简单介绍。 关键词3i p v 6 : i p v 4 ;隧道;n a t / p t ， 工 尸 s e c , a h , e s p , s a , i d s :攻击事情 ab s t r a c t wi t h t h e g r a d u a l in t r o d u c t i o n o f ip v 6 in t o th e v a ri o u s p l a t f o r m s b y t h e i n t e t n e t m a n u f a c t u r e r s a n d d e v e l o p e r s , t h e t w o i n t e r n e t p r o t o c o l , i p v 4 a n d i p v 6 w i l l c o e x i s t f o r a n u m b e r o f y e a r s d u ri n g a t r a n s i t i o n p e r i o d . t h i s p a p e r d e t a i l s t h e r f c o f i p v 6 d e s i g n e d b y t h e i e t f , d i s c u s s e s t h e i p a n d h e a d e r f o r m a t , a n d a n a l y s i s t h e m a i n d i f f e r e n c e s b e t we e n i p v 6 a n d i p v 4 . h o w t o c o m p l e t e t h e t r a n s i t i o n f r o m i p v 4 t o i p v 6 i s o n e o f t h e i m p o rt a n t p r o b le m s . t h i s p a p e r m a i n l y d i s c u s s e s t h e p o p u l a r t e c h n o l o g i e s , i n c l u d i n g t h e t u n n e l i n g , d u a l s t a c k , s o c k s 6 4 , t r a n s p o r t - l a y e r r e l a y in g , a l g a n d n a t / p t . wi t h t h e i n t r o d u c t i o n o f e m , t h e s e c u r i t y o f t h e i n t e m e t p r o t o c o l i s e n h a n c e d , w h i c h i s c o m p l e t e d b y t h e ip s e c p r o t o c o l . t h i s p a p e r d e t a i l s t h e p ri n c i p a l o f t h e i p s e c p r o t o c o l , a n d a n a l y s i s t h e p r e s e n t ip s e c p r o t o c o l s e t . i t i s f o c u s e d o n t h e c o n c e p t a n d t h e f u n c t i o n o f t h e s a . t h e m a i n w o r k s o f t h e p a p e r a r e s u m m a ri z e d a s f o l l o w s : i .c o n s t r u c t t h e i p v 6 e n v i r o n m e n t , a n d d e v e l o p t h e a t t a c k i n t e g r a t io n p la t f o r m b a s e d o n i p v 6 ; ? . s im u l a t e t h e a t t a c k a f f a i r s u n d e r th e i p v 6 e n v i r o n m e n t a s c o m p r e h e n s i v e a s p o s s i b l e ; 3 . c o n s t r u c t t h e f e a t u r e d a t a b a s e a b o u t t h e a t t a c k a f f a i r s , c o m b in g t h e o b t a i n e d a t t a c k f e a t u r e s ; 4 .i m p l e m e n t t h e in v a s i o n d e t e c t i o n w h i c h c o m b i n e s t h e n e t w o r k d e t e c t i n g c o l l e c t i o n s a n d t h e o b t a i n e d r e s u l t s , a n d s u p p o rt s th e i p v 4 a n d i m p r o t o c o l a t t h e s a m e t i m e . f i n a l l y , t h i s p a p e r b ri e f s t h e a p p l i c a t i o n s o f i p v 6 i n wi n d o ws k e y w o r d : i p v 6 : i p v 4 : t u n n e l i n g ; n a t / p t , i p s e c , a h ,e s p s a ; i d s : a t t a c k a f f a i r s 西北工业大学硕士学位论文i m 关键技术及其网络安全研究 第一章绪论 1 . 1 研究及应用背景 现有的互联网主要是基 i p v 4 ( r f c 7 9 1 ) 协议，这一协议的成功促成了互联网 的迅速发展。 但是， 随着互联网用户数量不断增长以及对互联网应用的要求不断 提高，工 p v 4协议的不足逐渐体现出来。首先最尖锐的问题就是不断增长的对互 联网资源的巨大需求与i p v 4 地址空间不足的矛盾， 目 前可用的工 p v 4 地址已 经分 配了7 0 % 左右， 其中， b 类地址己经耗尽。 随着接入i n t e r n e t 的设备和应用程序 的数目日 益增加， 据i e t f 预测， 基于工 p v 4 的地址资源将会在2 0 0 5 年一2 0 1 0 年 枯竭;其次由于 i p v 4 地址方案不能很好地支持地址汇聚，现有的互联网正面临 路由表不断膨胀的压力; 最后， 对于如何简便配置以及对服务质量、 移动性和安 全性等方面的需求都迫切要求开发新一代i p 协议。 为了能解决上述问 题， 互联网工程任务组织 ( i e t f ) 开发出了一套新的协议 和标准一i p v 6 。从 1 9 9 5 年 i p v 6 的主要规格被确定以后，i p v 6 便成为事实上下 一代i p 协议的 规范。 1 9 9 6 年2 月美国新罕布什尔大学的工 o l 实验室首先将工 p v 6 用于通信软件并进行了相互连接实验0 1 9 9 7 年，以 验证工 p v 6 为主要目 的的实验 网络6 6 o n e 发展为连接2 9 个国家的大规模网络。为了彻底解决互联网的地址危 机， 工 e t f 早在2 0 世纪9 0 年代中期就提出了拥有1 2 8 位地址的i p v 6 互联网协议， 并在1 9 9 8 年进行了进一步的标准化工作。 除了 对地址空间的扩展以外， 还对工 p v 6 地址的结构重新做了定义，采用了与工 p v 4 中使用的c i d r 类似的方法分配地址。 i p v 6还提供了自动配置以及对移动性和安全性的更好支持等新的特性。工 p v 6 相 对于工 p v 4 的主要优势是: 扩大了地址空间、提高了网 络的 整体吞吐量、 服务质 量得到很大改善、 安全性有了更好的保证、 支持即插即用和移动性、 更好地实现 了多播功能。 当前， 分析有关i p v 6 协议本身的体系结构并与i p v 4 协议进行比 较，以及如 何适应 i p v 6环境下的系统集成、网络配置和软件开发都是急需解决的问题。 西北工业大学硕士学位论文i m 关键技术及其网络安全研究 第一章绪论 1 . 1 研究及应用背景 现有的互联网主要是基 i p v 4 ( r f c 7 9 1 ) 协议，这一协议的成功促成了互联网 的迅速发展。 但是， 随着互联网用户数量不断增长以及对互联网应用的要求不断 提高，工 p v 4协议的不足逐渐体现出来。首先最尖锐的问题就是不断增长的对互 联网资源的巨大需求与i p v 4 地址空间不足的矛盾， 目 前可用的工 p v 4 地址已 经分 配了7 0 % 左右， 其中， b 类地址己经耗尽。 随着接入i n t e r n e t 的设备和应用程序 的数目日 益增加， 据i e t f 预测， 基于工 p v 4 的地址资源将会在2 0 0 5 年一2 0 1 0 年 枯竭;其次由于 i p v 4 地址方案不能很好地支持地址汇聚，现有的互联网正面临 路由表不断膨胀的压力; 最后， 对于如何简便配置以及对服务质量、 移动性和安 全性等方面的需求都迫切要求开发新一代i p 协议。 为了能解决上述问 题， 互联网工程任务组织 ( i e t f ) 开发出了一套新的协议 和标准一i p v 6 。从 1 9 9 5 年 i p v 6 的主要规格被确定以后，i p v 6 便成为事实上下 一代i p 协议的 规范。 1 9 9 6 年2 月美国新罕布什尔大学的工 o l 实验室首先将工 p v 6 用于通信软件并进行了相互连接实验0 1 9 9 7 年，以 验证工 p v 6 为主要目 的的实验 网络6 6 o n e 发展为连接2 9 个国家的大规模网络。为了彻底解决互联网的地址危 机， 工 e t f 早在2 0 世纪9 0 年代中期就提出了拥有1 2 8 位地址的i p v 6 互联网协议， 并在1 9 9 8 年进行了进一步的标准化工作。 除了 对地址空间的扩展以外， 还对工 p v 6 地址的结构重新做了定义，采用了与工 p v 4 中使用的c i d r 类似的方法分配地址。 i p v 6还提供了自动配置以及对移动性和安全性的更好支持等新的特性。工 p v 6 相 对于工 p v 4 的主要优势是: 扩大了地址空间、提高了网 络的 整体吞吐量、 服务质 量得到很大改善、 安全性有了更好的保证、 支持即插即用和移动性、 更好地实现 了多播功能。 当前， 分析有关i p v 6 协议本身的体系结构并与i p v 4 协议进行比 较，以及如 何适应 i p v 6环境下的系统集成、网络配置和软件开发都是急需解决的问题。 西北工业大学硕士学位论文i p v 6 关键技术及其网络安全研究 工 n t e r n e t 上成千上万的主机、 路由器等网络设备都运行着工 p v 4 协议。 这就决定 了工 p v 4 的网络向i m 演进将是一个浩大而且烦杂的工程, i p v 4 和 i p v 6 网络将 在很长时间内共存，如何从工 p v 4 平滑地过渡到i m 是一个非常复杂的问题。 随着网络的不断发展， 大量网络攻击工具在网上随处可见。 这些攻击工具多 具有较高程度自 动化，一 般均同时支持工 p v 4 和i p v 6 协议， 甚至已 经出 现专门 针 - 对 i m 漏洞的攻击工具。同时由于网络攻击所显现出的复杂性、多样性特点， 对网络安全维护人员的技术水平要求则呈现出越来越高的趋势。 正是由于以上的 矛盾，自 动化程度高、 准确性高、 安全实用网络安全工具将是未来网络安全市场 主导的产品。 随着各种基于工 p v 6 应用技术研究的不断发展， 各种针对工 p v 6 环境下的入侵 技术也会迅猛发展起来。 何以 应对， 将是摆在我们面前的一个艰巨 任务， 尽快 研 究工 p v 6 环境下的入侵检测系统将是当务之急。 1 . 2 i p v 4 研究内容 本论文通过分析i p v 6 标准的体系结构， 主要集中 研究工 p v 6 的 特点、 如何从 向工 p v 6 过渡及工 p v 6网络安全，论文包括以下几个部分: 1 . i m 标准的研究。对于工 p v 6 标准的研究，主要是通过对工 e t f 制定的有 关i m 的r f c 进行深入研究， 对i m 标准的 基本内 容、工 p v 6 格式及报头进行 分析并同现有 i p v 4 的标准进行对比，探讨二者的主要区别，为下一步理解和掌 握过渡技术打基础; 2 . ipa平滑地过渡到 工 p v 6 ,工 n t e r n e t 上成千上万的主 机、 路由 器等网络 设备都运行着工 p v 4 协议。这就决定了工 p v 4 的网络向i m 演进将是一个浩大而 且烦杂的工程，i p v 4 和 工 p v 6网络将在很长时间内 共存，如何从i p v 4 平滑地过 渡到 工 p v 6 是一个非常复杂的问 题。 基本的 方式有隧道、 双协议栈、 s o c k s 6 4 技 术、 传输层中继技术、 应用层代理网关 ( a l g )及n a t / p t 等。在深入研究基础之 上提出一个完整的过渡方案; 对i m 协议进行了全面的分析和阐述， 并对工 p v 4 向工 p v 6 过渡的各种手段进行了分析， 分析了各种方案的 应用范围 及优缺点。在 此基础上，提出了一种 i p a 向工 p v 6 过渡方法。对 i p v 6 的组网和互连进行了初 西北工业大学硕士学位论文i p v 6 关键技术及其网络安全研究 工 n t e r n e t 上成千上万的主机、 路由器等网络设备都运行着工 p v 4 协议。 这就决定 了工 p v 4 的网络向i m 演进将是一个浩大而且烦杂的工程, i p v 4 和 i p v 6 网络将 在很长时间内共存，如何从工 p v 4 平滑地过渡到i m 是一个非常复杂的问题。 随着网络的不断发展， 大量网络攻击工具在网上随处可见。 这些攻击工具多 具有较高程度自 动化，一 般均同时支持工 p v 4 和i p v 6 协议， 甚至已 经出 现专门 针 - 对 i m 漏洞的攻击工具。同时由于网络攻击所显现出的复杂性、多样性特点， 对网络安全维护人员的技术水平要求则呈现出越来越高的趋势。 正是由于以上的 矛盾，自 动化程度高、 准确性高、 安全实用网络安全工具将是未来网络安全市场 主导的产品。 随着各种基于工 p v 6 应用技术研究的不断发展， 各种针对工 p v 6 环境下的入侵 技术也会迅猛发展起来。 何以 应对， 将是摆在我们面前的一个艰巨 任务， 尽快 研 究工 p v 6 环境下的入侵检测系统将是当务之急。 1 . 2 i p v 4 研究内容 本论文通过分析i p v 6 标准的体系结构， 主要集中 研究工 p v 6 的 特点、 如何从 向工 p v 6 过渡及工 p v 6网络安全，论文包括以下几个部分: 1 . i m 标准的研究。对于工 p v 6 标准的研究，主要是通过对工 e t f 制定的有 关i m 的r f c 进行深入研究， 对i m 标准的 基本内 容、工 p v 6 格式及报头进行 分析并同现有 i p v 4 的标准进行对比，探讨二者的主要区别，为下一步理解和掌 握过渡技术打基础; 2 . ipa平滑地过渡到 工 p v 6 ,工 n t e r n e t 上成千上万的主 机、 路由 器等网络 设备都运行着工 p v 4 协议。这就决定了工 p v 4 的网络向i m 演进将是一个浩大而 且烦杂的工程，i p v 4 和 工 p v 6网络将在很长时间内 共存，如何从i p v 4 平滑地过 渡到 工 p v 6 是一个非常复杂的问 题。 基本的 方式有隧道、 双协议栈、 s o c k s 6 4 技 术、 传输层中继技术、 应用层代理网关 ( a l g )及n a t / p t 等。在深入研究基础之 上提出一个完整的过渡方案; 对i m 协议进行了全面的分析和阐述， 并对工 p v 4 向工 p v 6 过渡的各种手段进行了分析， 分析了各种方案的 应用范围 及优缺点。在 此基础上，提出了一种 i p a 向工 p v 6 过渡方法。对 i p v 6 的组网和互连进行了初 西北工业大学硕士学 位论文i m 关键技术及其网络安全研究 步的实验; 阐述了一个n a t / p t 转换网关的设计和实现， 并在工 p v 6 组网的支持下 对转换网关连同双协议栈和隧道机制进行了测试，对结果迸行了分析。 3 . i p s e c up s e c u r i t y )网络层安全协议。i p s e c ( i p s e c u r i t y )网络层 安全协议提供了一个开放系统的安全框架， 向工 p v 4 及工 p v 6 提供互操作的、高质 量的、基于密码的安全性， 其服务包括保密、认证、完整性控制及抗重发保护， 有效地保护i p 数据报的安全。i p s e c 协议使得目前i n t e r n e t 网络上许多对安全 性要求很高的应用得到解决方案。工 p s e c 协议的研究对实现自主产权的i p s e c 网 关等 工 p s e c 产品都有非常重要的意义。本文详尽的描述了工 p s e c 协议的原理， 分 析了现有的i p s e c 协议族。 把i p s e c 协议分成了i k e , a h , e s p 、协议三个部分， 并且描述了各个协议模块以及它们之间的关系。 其中重点的分析清楚了安全联盟 ( s a ) 的概念和作用， 分析清楚了 策略数据库和安全联盟数据库的组织机构， 以 及 在工 p s e 。 进行包处理的时候安全联盟和安全策略的作用。 4 . 基于i p v 6 高速网 络的分布实时智能入侵检测系统总体采用p 2 d r ( p o l i c y p r o t e c t i o n d e t e c t i o n r e s p o n s e )动态安全模型。p o l i c y( 策略) 、p r o t e c t i o n ( 防护) 、d e t e c t i o n( 检测) 和 r e s p o n s e( 响应)组成完整的模型体系，可以 描述和解释任何信息安全问题。p 2 d r安全模型的特点就是动态性和基于时间的 特性，对信息安全的 “ 相对性”给予了很好的描述。 入侵检测系统通常分为两大类， 基于主机的入侵检测系统( h i d s ) 和基于网络 的入侵检测系统 ( n i d s ) o h i d s类型经常被广泛用作反病毒的工具和脆弱的 u n i x系统日志和入侵检测软件。 i m 环境下的入侵检测系统将具有很高的应用 价值和良好的市场前景。 基于工 p v 6 漏洞攻击事件的特征研究。研究基于工 p v 6 漏洞攻击事件的特征， 首先应该构造一个 工 p v 6 环境，开发出基于 工 p v 6的攻击集成平台对整个的工 p v 6 环境下的攻击进行尽可能全面地模拟。 结合已有研究的攻击特征， 构建起自己的 漏洞攻击事件特征库，实现网络探测收集和自 身研究相结合。 5 . i p v 6在 w i n d o w s环境下的实现。如何在现有 w i n d o w s环境下安装 i p v 6 协议， 对于现有基于w i n d o w s 应用程序的升级， 特别是网 络类应用程序如何适应 工 p v 6 的变化对于系统开发人员要特别重要。 西北工业大学硕士学位论文 工 p v 6 关 健技术及其网络安全研究 第二章l p ipa标准分析 2 . 1 i p a 概述 工 p v 6 是为了解决现行 工 n t e r n e t出现的问题而诞生的。现存的 工 p v 4网络潜 伏着两大危机:地址枯竭和路由 表急剧膨胀。i p v 6的出 现将从根本上解决这些 问题。工 p v 6 继承了i p v 4的优点，并根据 工 p v 4多年来运行的经验进行了 大幅度 的修改和功能扩充，比i p v 4 处理性能更加强大、高效。与互联网发展过程中涌 现的其它技术概念相比，i p v 6 可以说是引起争议最少的一个。 人们已形成共识， 认为工 p v 6 取代 工 p v 4 是必然发展趋势，其主要原因归功于工 p v 6 几乎无限的地址 空间。 i e t f 于 1 9 9 2 年开始开发i p v 6 协议， 1 9 9 5 年 1 2 月在r f c 1 8 8 3 中公布了建议 标准 ( p r o p o s a l s t a n d a r d ) , 1 9 9 6 年7 月和1 9 9 7 年1 1 月先后发布了 版本2 和 2 . 1 的草案标准 ( d r a f t s t a n d a r d ) , 1 9 9 8 年 1 2 月发布了标准r f c 2 4 6 0 o 相对于工 p v 4 ,工 p v 6 有如下一些显著的优势: ( 1 ) 地址容量大大扩展，由原来的3 2 位扩充到1 2 8 位，彻底解决i p v 4 地址 不足的问题; 支持分层地址结构， 从而更易于寻址; 扩展支持组播和任意播地址， 这使得数据包可以发送给任何一个或一组节点; ( 2 ) 大容量的地址空间能够真正的实现无状态地址自动配置， 使i m 终端能 够快速连接到网络上，无需人工配置，实现了真正的即插即用; ( 3 ) 报头格式大大简化，从而有效减少路由器或交换机对报头的处理开销， 这对设计硬件报头处理的路由 器或交换机十分有利: ( 4 ) 加强了对扩展报头和选项部分的支持，这除了让转发更为有效外，还对 将来网络加载新的应用提供了充分的支持; ( 5 ) 流标签的使用让我们可以为数据包所属类型提供个性化的网络服务，并 有效保障相关业务的服务质量; ( 6 ) 认证与私密性:i m 把i p s e 。 作为必备协议， 保证了网络层端到端通信 的完整性和机密性; 西北工业大学硕士学位论文 工 p v 6 关 健技术及其网络安全研究 第二章l p ipa标准分析 2 . 1 i p a 概述 工 p v 6 是为了解决现行 工 n t e r n e t出现的问题而诞生的。现存的 工 p v 4网络潜 伏着两大危机:地址枯竭和路由 表急剧膨胀。i p v 6的出 现将从根本上解决这些 问题。工 p v 6 继承了i p v 4的优点，并根据 工 p v 4多年来运行的经验进行了 大幅度 的修改和功能扩充，比i p v 4 处理性能更加强大、高效。与互联网发展过程中涌 现的其它技术概念相比，i p v 6 可以说是引起争议最少的一个。 人们已形成共识， 认为工 p v 6 取代 工 p v 4 是必然发展趋势，其主要原因归功于工 p v 6 几乎无限的地址 空间。 i e t f 于 1 9 9 2 年开始开发i p v 6 协议， 1 9 9 5 年 1 2 月在r f c 1 8 8 3 中公布了建议 标准 ( p r o p o s a l s t a n d a r d ) , 1 9 9 6 年7 月和1 9 9 7 年1 1 月先后发布了 版本2 和 2 . 1 的草案标准 ( d r a f t s t a n d a r d ) , 1 9 9 8 年 1 2 月发布了标准r f c 2 4 6 0 o 相对于工 p v 4 ,工 p v 6 有如下一些显著的优势: ( 1 ) 地址容量大大扩展，由原来的3 2 位扩充到1 2 8 位，彻底解决i p v 4 地址 不足的问题; 支持分层地址结构， 从而更易于寻址; 扩展支持组播和任意播地址， 这使得数据包可以发送给任何一个或一组节点; ( 2 ) 大容量的地址空间能够真正的实现无状态地址自动配置， 使i m 终端能 够快速连接到网络上，无需人工配置，实现了真正的即插即用; ( 3 ) 报头格式大大简化，从而有效减少路由器或交换机对报头的处理开销， 这对设计硬件报头处理的路由 器或交换机十分有利: ( 4 ) 加强了对扩展报头和选项部分的支持，这除了让转发更为有效外，还对 将来网络加载新的应用提供了充分的支持; ( 5 ) 流标签的使用让我们可以为数据包所属类型提供个性化的网络服务，并 有效保障相关业务的服务质量; ( 6 ) 认证与私密性:i m 把i p s e 。 作为必备协议， 保证了网络层端到端通信 的完整性和机密性; 西北工业大学硕士学 位论文i m 关键技术及其网络安全研究 ( 7 ) i m 在移动网络和实时通信方面有很多改进。 特别地， 不像 工 p a，工 p v 6 具备强大的自动配置能力从而简化了移动主机和局域网的系统管理。 2 . 2 i p a 报头分析 2 . 2 . 1 i p a数据包结构 工 p v 6 数据包由一个i p v 6 报头、 多个扩展报头和一个上层协议数据单元组成。 如下图所示。 i p v 6 报头 扩展报头上层协议数据单元 . i m 报头 工 p v 6 报头总是存在的，其长度固定为4 0 字节。 扩展报头 工 p v 6 报头可以包含零个或多个扩展报头。 这些扩展报头可以具有不同的长度。 上层协议数据单元 上层协议数据单元一般由上层协议报头和它的有效载荷( 有效载荷可以是一 个 i c m p v 6 报文、一个t c p 数据段、或者一个 u d p 报文)。 2 . 2 . 2 i p v 4 和 i p v 6 报头对比分析 新的i m 报头的结构比i p v 4 简单得多，工 p v 6 报头中将i p v 4 报头中许多 不常用的域，放入了可选项或报头扩展中;工 p v 6 中的可选项有更严格的定义。 工 p v 4 中有1 0 个固定长度的域、 2 个地址空间和若干个选项，工 p v 6 中只有6 个 域和 2 个地址空间。如下所示: 西北工业大学硕士学 位论文i m 关键技术及其网络安全研究 ( 7 ) i m 在移动网络和实时通信方面有很多改进。 特别地， 不像 工 p a，工 p v 6 具备强大的自动配置能力从而简化了移动主机和局域网的系统管理。 2 . 2 i p a 报头分析 2 . 2 . 1 i p a数据包结构 工 p v 6 数据包由一个i p v 6 报头、 多个扩展报头和一个上层协议数据单元组成。 如下图所示。 i p v 6 报头 扩展报头上层协议数据单元 . i m 报头 工 p v 6 报头总是存在的，其长度固定为4 0 字节。 扩展报头 工 p v 6 报头可以包含零个或多个扩展报头。 这些扩展报头可以具有不同的长度。 上层协议数据单元 上层协议数据单元一般由上层协议报头和它的有效载荷( 有效载荷可以是一 个 i c m p v 6 报文、一个t c p 数据段、或者一个 u d p 报文)。 2 . 2 . 2 i p v 4 和 i p v 6 报头对比分析 新的i m 报头的结构比i p v 4 简单得多，工 p v 6 报头中将i p v 4 报头中许多 不常用的域，放入了可选项或报头扩展中;工 p v 6 中的可选项有更严格的定义。 工 p v 4 中有1 0 个固定长度的域、 2 个地址空间和若干个选项，工 p v 6 中只有6 个 域和 2 个地址空间。如下所示: 西北工业大学硕士学 位论文i m 关键技术及其网络安全研究 ( 7 ) i m 在移动网络和实时通信方面有很多改进。 特别地， 不像 工 p a，工 p v 6 具备强大的自动配置能力从而简化了移动主机和局域网的系统管理。 2 . 2 i p a 报头分析 2 . 2 . 1 i p a数据包结构 工 p v 6 数据包由一个i p v 6 报头、 多个扩展报头和一个上层协议数据单元组成。 如下图所示。 i p v 6 报头 扩展报头上层协议数据单元 . i m 报头 工 p v 6 报头总是存在的，其长度固定为4 0 字节。 扩展报头 工 p v 6 报头可以包含零个或多个扩展报头。 这些扩展报头可以具有不同的长度。 上层协议数据单元 上层协议数据单元一般由上层协议报头和它的有效载荷( 有效载荷可以是一 个 i c m p v 6 报文、一个t c p 数据段、或者一个 u d p 报文)。 2 . 2 . 2 i p v 4 和 i p v 6 报头对比分析 新的i m 报头的结构比i p v 4 简单得多，工 p v 6 报头中将i p v 4 报头中许多 不常用的域，放入了可选项或报头扩展中;工 p v 6 中的可选项有更严格的定义。 工 p v 4 中有1 0 个固定长度的域、 2 个地址空间和若干个选项，工 p v 6 中只有6 个 域和 2 个地址空间。如下所示: 西北工业大学硕士学位论文i p v 6 关键技术及其网络安全研究 表1 i p v 4 报头格式 1 5 版本号报头长度服务类型 ( t o s )数据报长度 标识符标志分段偏移 生存时间传输协议报头校验和 源 i p地址 目的 i p 地址 选项 填充 表2 i m 报头格式 i 5 版本号优先级 流标签 净荷长度下一报头h o p 限制 源 i p 地址 目的i p 地址 工 p v 6 报头中各字段意义: . 版本号:长度为4 位， 对于工 p v 6 ，该字段必须为6 。 此字段长度为4 位， 但这 个值并不用于工 p v 6 协议层。 工 p 层协议的版本上通过链路层报头中的协议标识字段 来标识的。以于e t h e r n e t 1 1 的以太网链路层封装中，使用一个1 6 位的以太类型 字段标识以 太网帧的 有效载荷，对于i m 数据包，以 太类型字段的 值为m od . .通信流类别。长度为8 位，表示工 p v 6 数据包的类或优先级。 提供的功能类 似于工 p v 4 的服务类型字段。r p c 2 4 6 0 中定义该字段的值。该字段的定义独立于 工 p v 6 ，目 前尚 未在任何r f c 中定义。该字段的默认值是全0 而有效载荷的长度用逐跳选项扩展报头中的超大有效载荷选项来表示。 下一 个报头。 长度为8 位， 这个字段指出了i p v 6 头后所跟的扩展报头的类 型或者上层p d u 的协议。与工 p v 6 协议字段类似，下一个头字段可以用来指出高层 是t c p 还是u d p ，但它也可以用来指明i m 扩展头的 存在。 跳限制。长度为8 位。用来表示工 p v 6 数据包在被丢弃前可以通过的最大链 路数。每当一个节点对包进行一次转发之后，这个字段就会被减1 。如果该字段 达到0 ，这个包就将被丢弃。在一个路由器中，当跳限制字段的值减为0 时， 路由 器向源节点发送工 c m p v 6 超时一 跳限制超时报文，并丢弃数据包。 .源地址。长度为1 2 8 位，指出了i p v 6 包的发送方地址。 目的地址。长度为1 2 8 位，指出了i p v 6 包的接收方地址。这个地址可以是 一个单播、组播或任意点播地址。如果使用了选路扩展头( 其中定义了一个包必 须经过的特殊路由) ，其目的地址可以是其中某一个中间节点的地址而不必是最 终地址。 虽然i p v 6 报头占4 0 字节， 是2 4 字节i p v 4 报头的1 . 6 倍， 但因其长度固定( 工 p a 报头是变长的)，故不需要消耗过多的内存容量。 i p v 4 中的报头长度( h e a d e r l e n g t h ) 、 服务类型( t y p e o f s e r v i c e , t o s ) , 标识符 ( i d e n t i f i c a t i o n )、标志 ( f l a g )、分段偏移 ( f r a g m e n t o f f s e t ) 和 报头校验和( h e a d e r c h e c k s u m ) 这6 个域被删除。 报文总长 ( t o t a l l e n g t h ) 、 协议类型 ( p r o t o c o l t y p e ) 和生存时间 ( t i m e t o l i v e , t t l ) 3 个域的名称或 部分功能被改变，其选项 ( o p t i o n s ) 功能完全被改变，新增加了2 个域，即优 先级和流标签。 i p v 4 与i m 比 较: 尽管这些头字段中有一些与工 p v 6 头类似， 但其中真正完全保持不变的只有第 一个字段， 即版本字段， 因为在同一条线路上传输时， 必须保证i p v 4 和i m 的兼 容性。 下一个字段， 即包头长度， 则与i p v 6 无关， 因为i p v 6 头是固定长度， 工 p v 4 中需要这个字段是因为它的包头可能在2 0 字节到4 0 字节间变化。 服务类型字段与i p v 6 的流类别字段相似， 但t o s 的位置比该字段要靠后一些， 西北工业大学硕士学位论文i p v 6 关键技术及其网络安全研究 而且在具体实现中也没有广泛应用。 i p v 4 通常被描述为无连接协议。 就像任何一个包交换网络一样，工 p v 4 设计 为让每个包找到自己的路径以到达其目的地。 每个包都分别处理， 而结果是两个 从相同数据源发往相同目的地的包可以采用完全不同的路由来穿越整个网络。 这 对于适应网络突发事件来说是个好办法， 因为突发事件意味着任何一条路由都可 能在任何时间出现故障，但只要两主机间存在某些路由则可以进行数据的交互。 但是， 这种方法的效率可能不太高， 尤其是当包并不是孤立的， 且实际上是两个 通信系统间的业务流的一部分时。 进一步考虑一个数据包流从一台主机发往另一 主机时在它所经过的路径上将发生的事情: 每个中间路由器对每个包的处理将导 致在链路上轻微地增加延时。对于类似文件传输或终端仿真之类的大部分传统 i n t e r n e t应用， 延时只会带来一点不方便而已，但对于一些提供互操作的 音频 和视频应用而言，即使只是增加一点点延时也会显著降低服务质量。 对每个 工 p v 4 包均进行单独处理带来的另一个问 题在于难以 把特定的业务流 指定到较低代价的链路上。 例如，电 子邮件的传输优先级不高， 并且不是实时应 用，但 ipipa 网络管理员却没有简单的办法来标识这些包，把它们传输到较低开 销的工 n t e r n e t 链路，并为实时应用保留较高开销的链路。 i p v 6中定义的流的概念将有助于解决类似问题。工 p v 6头字段中的流标签把 单个包作为一系列源地址和目的地址相同的包流的一部分。 同一个流中的所有包 具有相同的流标签。 下一个字段是数据报长度，后来发展成了i p v 6 中的净荷长度。 i p v 6 的净荷长度中包含了扩展头， 而i p a数据报长度字段中则指明包含包头 在内的整个数据报的长度。 这样一来， 在i p a中， 路由器可以 通过将数据报长度 减去包头长度来计算包的净荷长度，而在工 p v 6 中则无须这种计算。 后面的三个字段是数据报i d 、 分段标志和分段偏移值， 它们都用于i p a数据 报的分段。 由于工 p v 6 中由源结点取代中间路由器来进行分段， 这些字段在工 p v 6 中变得不 重要， 并被i p v 6 从包头中去掉了。 i p v 6 的分段只能由 源节点和目 的节点进行， 这 样就简化了包头并减少了用于选路的开销。 而生存期字段， 正如上面所述， 变成 西北工业大学硕士学位论文i m 关键技术及其网络安全研究 了跳极限字段。 生存期字段最初表示的是一个包穿越i n t e r n e t 时以秒为单位的存 在时间的上限。 如果生存期计数值变为0 ， 该包将被丢弃。其原因是包可能会存 在于循环路由中，如果没有方法让它消失，它可能会一直选路( 或者直到网络崩 溃为止) 。在最初的规范中要求路由 器根据转发包的时间与收到包的时间的差值 ( 以 秒为单位) 来减小生存期的值。 在实际情况中， 大部分路由器都设计为每次对 该值减1 ，而不是计算路由器上真正的处理时间。 协议字段， 如前所述， 指出在i p v 4 包中封装的高层协议类型。 各协议对应的 数值在最新版本的r f c ( 现在是r f c 1 7 0 0 ) 中可以查到。 这个字段后来发展成为工 p v 6 中的下一个头字段，其中定义了下一个头是一个扩展头字段还是另一层的协议 头。 由于如t c p 和o d p 等高层协议均计算头的校验和， i p v 4 头校验显得有些多余， 因此这个字段在i p v 6 中己消失。对于那些真的需要对内容进行身份验证的应用， i p v 6 中提供了身份验证头。 工 p v 6 中仍然保留了3 2 位的工 p v 4 源地址和目的地址，但将它们扩展为1 2 8 位。 而i p 选项字段则己经彻底消失，取而代之的是工 p v 6 扩展头。 i p v 6中实现的扩展头可以消灭或至少大量减少选项带来的对性能的冲击。 通过把选项从 工 p头中搬到净荷中，路由器可以像转发无选项包一样来转发包含 选项的包。除了规定必须由每个转发路由器进行处理的逐跳选项之外， 工 p v 6 包 中的选项对于中间路由器而言 是不可见的。 可用的选项除了减少工 p v 6 包转发时选项的影响外， 工 p v 6 规范使得对于新的 扩展和选项的定义变得更加简单。在需要的时候可能还会定义其他的 选项和扩 展。 2 . 2 . 3 i p a扩展报头 r f c 2 4 6 0 规定所有的工 p v 6 节点必须支持以下的工 p v 6 扩展报头。 逐跳选项报头 此扩展头必须紧随在i p v 6 头之后，它是以i p v 6中报头中的下一个报头字段 的值为0 来标识。 它包含包所经路径上的每个节点都必须检查的选项数据。由于 西北工业大学硕士学位论文i m 关键技术及其网络安全研究 了跳极限字段。 生存期字段最初表示的是一个包穿越i n t e r n e t 时以秒为单位的存 在时间的上限。 如果生存期计数值变为0 ， 该包将被丢弃。其原因是包可能会存 在于循环路由中，如果没有方法让它消失，它可能会一直选路( 或者直到网络崩 溃为止) 。在最初的规范中要求路由 器根据转发包的时间与收到包的时间的差值 ( 以 秒为单位) 来减小生存期的值。 在实际情况中， 大部分路由器都设计为每次对 该值减1 ，而不是计算路由器上真正的处理时间。 协议字段， 如前所述， 指出在i p v 4 包中封装的高层协议类型。 各协议对应的 数值在最新版本的r f c ( 现在是r f c 1 7 0 0 ) 中可以查到。 这个字段后来发展成为工 p v 6 中的下一个头字段，其中定义了下一个头是一个扩展头字段还是另一层的协议 头。 由于如t c p 和o d p 等高层协议均计算头的校验和， i p v 4 头校验显得有些多余， 因此这个字段在i p v 6 中己消失。对于那些真的需要对内容进行身份验证的应用， i p v 6 中提供了身份验证头。 工 p v 6 中仍然保留了3 2 位的工 p v 4 源地址和目的地址，但将它们扩展为1 2 8 位。 而i p 选项字段则己经彻底消失，取而代之的是工 p v 6 扩展头。 i p v 6中实现的扩展头可以消灭或至少大量减少选项带来的对性能的冲击。 通过把选项从 工 p头中搬到净荷中，路由器可以像转发无选项包一样来转发包含 选项的包。除了规定必须由每个转发路由器进行处理的逐跳选项之外， 工 p v 6 包 中的选项对于中间路由器而言 是不可见的。 可用的选项除了减少工 p v 6 包转发时选项的影响外， 工 p v 6 规范使得对于新的 扩展和选项的定义变得更加简单。在需要的时候可能还会定义其他的 选项和扩