（计算机应用技术专业论文）基于移动ipv6的虚拟专用网的研究与实现.pdf

复旦大学硕士论文基于移动1 p v 6 的v p n 研究与实现 摘要 移动通信与i n t e m e t 是当代通信发展最快的几个领域中的两个，这两者的结 合又是当前的一种重要趋向。i p v 6 作为新一代的网络互联协议，其先进性和灵 活性正在得到越来越多人的认可。为i p v 6 提供了移动性功能，i e t f 提出了移动 i p v 6 ( m o b i l e i p v 6 ) 协议。移动i p v 6 目前是i e t f 移动p 组议程上的主要课题，i p v 6 中的新特性使得它比i p v 4 能更好的支持移动功能。移动i p v 6 技术在网络层上解 决了移动接入问题。它引用处理蜂窝移动电话呼叫原理，移动节点采用固定i p 地址，系统使用隧道技术封装和传送数据包。在i p 子网间切换时，移动节点无 需改变i p 地址，通信也不会中断。 i n t e m e t 的不断发展和其方便快捷使得很多大公司和政府部门或民间组织都 用它来传输数据，使用v p n 技术可以解决在当今远程通讯量日益增大，企业全 球运作广泛分布的情况下，员工需要访问中央资源，企业相互之间必须进行及时 和有效的通讯的问题。i p s e c 的提出使得v p n 有了更好的解决方案，这是因为在 网络层就进行安全服务，使得密钥协商的开销被大大削减了，这是由于多种传送 协议和应用程序可共享由网络层提供的密钥管理结构( i k e ) 。其次，假如网络安 全服务在较低层实现，那么需要改动的应用程序就要少得多。i p s e c 是目前唯一 一种能为任何形式的i n t e r n e t 通信提供安全保护的协议，因此，可以预见，未 来的v p n 实现方案将会更多的利用i p s e c 。 然而目前移动i p v 6 并不能够在v p n 上很好的工作。本文试图在分析移动 i p v 6 源代码的基础上，根据i p s e c 标准，重点研究安全策略、内核实现等，提出 并初步实现一个能提供具有较强的互操作能力、使用方便和容易进行升级的，在 i p v 6 平台上支持移动性和安全性结合的解决方案，较好的解决安全关联刷新和 移动节点安全通过安全网关的问题。 关键字 i p v 6 协议，移动i p v 6 ，虚拟专用网( v p n ) ，i p s e c ，移动性 复旦大学硕士论文基于移动1 p v 6 的v p n 研究与实现 a b s t r a c t m o b i l ec o m m u n i c a t i o na n di n t e m e ta r et w oo ft h ef i e l d sw l 也f a s td e v e l o p m e n t i nm o d e mc o m m u n i c a t i o na r e a a n dt h ec o m b i n a t i o no f t h e s et w o t e c h n o l o g i e si so n e o ft h e i m p o r t a n tc u r r e n tt r e n d s a san e wg e n e r a t i o ni n t e r a c tp r o t o c o l ，i p v 6h a s r e c e i v e dm o r ea n dm o r er e c o g n i t i o nd u et oi t sa d v a n c ea n d f l e x i b i l i t y t o a d d m o b i l i t yf u n c t i o ni n t oi p v 6p r o t o c o l ，i e t fp r o p o s e dm o b i l ei p v 6p r o t o c 0 1 m i p v 6 c u r r e n t l y i so n eo ft h e m a j o rt o p i c s o fi e t fm o b i l ei p w o r k g r o u p t h e n e w a d v a n t a g e so fi p v 6m a k ei tb e t t e rs u p p o r tt h em o b i l i t yf i m c t i o nt h a ni p v 4 m o b i l e i p v 6t e c h n o l o g y , w h i c ht a k e sa d v a n t a g eo ft h ec a l l i n gp r i n c i p l e so fc e l l u a rm o b i l e p h o n e ，h a sr e s o l v e dt h em o b i l i t ya c c e s sp r o b l e m o nt h en e t w o r k l a y e r m o b i l en o d e s c a l lu s ef i x e d 口a d d r e s sw h i l et h e s y s t e m u s e t u n n e l i n g t o e n c a p s u l a t e a n d d e c a p s u l a t ep a c k e t s ，t h u sm o b i l en o d e sc a r l m a i n t a i nt h ec o n s t a n tt r a n s p o r tl a y e r c o n n e c t i o nd u r i n gt h ei ps u b n e th a n d o f f w i t h o u t c h a n g i n g t h e i ri pa d d r e s s e s t h ec o n t i n u o u sd e v e l o p m e n to fi n t e m e ta n di t sc o n v e n i e n c em a k e m a n yl a r g e c o r p o r a t i o n s ，g o v e r n m e n td e p a r t m e n t sa n do t h e rc i v i l i a no r g a n a t i o n st ot r a n s m i td a t a o v e ri n t e m e t t a k i n ga d v a n t a g eo fv p n t e c h n o l o g yc a n s o l v et h et i m e l ya n de f f e c t i v e c o m m n i c a t i o nb e t w e e nt h ee m p l o y e e sa n dt h e i rc e n t e rr e s o u r c ea sw e l la sb e t w e e n e n t e r p r i s e s t h ep r o p o s i t i o no fi p s e co f f e r sv p nb e a e rs o l u t i o nb e c a u s eo fm a n y r e a s o n s f i r s t ，i tp r o v i d e ss e c u r i t ys e r v i c eo nt h en e t w o r kl a y e r , w h i c hl a r g e l yr e d u c e s t h eo v e r h e a do f t h ei n t e r a c tk e y n e g o t i a t i o ns i n c ev a r i o u st r a n s p o r tl a y e rp r o t o c o la n d a p p l i c a t i o n s c a l l 。s h a r ei k ep r o v i d e db yn e t w o r kl a y e r s e c o n d ，t h ec h a n g eo ft h e a p p l i c a t i o n sc a i lb em u c hf e w e ri ft h es e c u r i t ys e r v i c ei si m p l e m e n t e di nt h el o w e r l a y e r t h u sw e c a r lf o r s e em o r eu s eo f i p s e ci nt h ef u t u r ev p ns o l u t i o n s h o w e v e r , m o b i l ei p v 6c u r r e n t l yc a n n o tw o r kw e l l 、i t l lv p n b a s e do nt h e t h r o u g ha n a l y s i so f t h em o b i l ei p v 6a n dk e r n e ls o u r c ec o d e s ，t h i sa r t i c l ee n d e a v o r st o p r o p o s ea n di m p l e m e n tas o l u t i o nt os u p p o r tb o t ht h em o b i l i t ya n ds e c u r i t yo ni p v 6 p l a t f o r m ，w h i c hc a r ls o l v es o m ep r o b l e m ss u c h a st h es e c u r i t ya s s o c i a t i o nr e f r e s h i n g a n dm n sa c c e s sa c r o s st h ev p n g a t e w a ya c c o r d i n g t ot h ei p s e cs t a n d a r d k e y w o r d s ： i p v 6 ，m o b i l ei p v 6 ，v i a u r a lp r i v a t en e t w o r k ( v p n ) ，i p s e c ，m o b i l i t y v 复垦大学硕士论文 基于移动 p v 6 的v p n 研究与实现 引言 时间飞逝，三年的研究生生活即将结束。三年中，我在钱松荣老师的指导下， 在网络通信领域进行了系统的学习。特别是在复旦一朗讯贝尔实验室中的学习实 践中，我对移动计算产生了浓厚的兴趣，并以此开始我的课题研究。 本文主要讨论了基于移动i p v 6 和虚拟局域网( v p n ) 所涉及的相关技术，详细 描述了移动i p v 6 下v p n 解决方案的设计思想和主要实现过程。全文在结构上共 分为下面的五个章节，各个章节的内容组织如下： 第一章讨论了移动i p v 6 技术和虚拟专用网技术的出现背景和目前的研究现 状及其所面临的技术挑战。 第二章讲述了移动i p v 6 中的关键技术。 第三章讲述了v p n 技术和l _ n t e m e t 安全协议i p s e c 协议的相关技术。 第四章介绍了基于移动l p v 6 的v p n 的设计思想和实现方案。 第五章对全文进行了总结并阐述了下一步的研究方向。 在正文展开前，我向所有审阅文章的老师和同学，表达我诚挚的谢意。由于 水平所限，文中错误难免，希望各位老师同学多多指教。 复旦大学硕士论文基于移动i p v 6 的v p n 研究与实现 1 1 研究背景 1 1 1 移动i p v 6 的出现 第一章绪论 移动通信与i n t e r n e t 是当代通信发展最快的几个领域中的两个，这两者的结 合又是当前的一种重要趋向，它导致移动数据通信与移动i n t e r n e t 的兴起。近几年 中，便携式终端如笔记本电脑的数目迅速增加，i n t e m e t 也正在以惊人的速度发 展。越来越多的人成为移动办公的一分子，一些移动用户迫切希望能够随时随地 地接入i n t e m e t 。这些都是移动计算和连网技术标准创立的推动力量。 传统i p 技术的主机使用固定i p 地址与t c p 端口进行互联。例如，某台主 机的i p 地址为1 0 0 5 ，则其网址前缀为1 0 0 ，主机号为5 。由于现今的互联网 路由器是根据网址前缀寻找主机位置，这台主机就只能在网址前缀为1 o 0 的局 部网中进行互联，若移动到其它网络中，便无法继续通信。 解决上述问题有几种方案：( 1 ) 根据主机地址进行路由选择。但这种方法将 大量浪费路由器的有限资源，对每个数据包选路时，路由器都要搜索几百万个主 机地址入口，这显然不能满足网络互联的要求：( 2 ) 在移动节点每次变换位置时， 改变其i p 地址。这种方法需频繁更新域名系统( d n s ) 服务器，特别当移动节 点在两个局部网之间漫游时，由于其i p 地址不断变化，将导致移动节点无法与 其它用户通信，所以也不可取：( 3 ) 在链路层使用蜂窝数字分组数据( c d p d ) 标准。c d p d 标准提供高达1 i k b s 的传输速率且支持多重协议，但它需要新的网 络基础设施和大量管理维护费用，且无法与现存的国际互联网兼容，因此也不是 合适的解决方案。 i e t f 提出的移动i p 方案允许移动节点不重新启动和不中断任何正在进行的 通信而同时能够移动自己的位置。移动i p 技术在网络层上解决了移动接入问 题。它引用处理蜂窝移动电话呼叫原理，移动节点采用固定d 地址，系统使用 隧道技术封装和传送数据包。在i p 子网间切换时，移动节点无需改变i p 地址， 通信也不会中断。 目前因特网使用的i p v 4 协议，它包含3 2 位地址。但随着网络信息爆炸，网 络日益拥挤甚至堵塞，有限的i p v 4 资源已越来越不能满足i n t e r n e t 的发展需要， 且i p v 4 几乎不采用层次路由选择，因此在网络安全，网络管理和可适应性路由 选择方面均存在不足。目前移动通信正在试图从基于电路交换提供语音服务向基 2 复旦大学硕士论文基于移动i p v 6 的v p n 研究与实现 于i p 提供数据、语音、视频等多种服务转变，i p v 4 很难对此提供有效的支持： 移动设备入网需要大量的i p 地址，移动设备的全球漫游问题也必须由附加的移 动i p v 4 协议加以支持。因此，i e t f 制定出新的i n t e r n e t 协议一i p v 6 ，亦称为 i p n g 。i p v 6 以其i p 地址的大量增加、保证网络安全和提供q o s 保证的新特性， 给i p 无线移动接入网提供了强有力的支持，加速移动通信的发展。 1 9 9 9 年，i e t f 确定i p v 6 进入实用阶段，并指定6 b o n e 为对商用i p v 6 地 址申请者进行评估的平台。c e r n e t 国家网络中心于1 9 9 8 年6 月加入6 b o n e ， 同年1 1 月成为其骨干网成员。从1 9 9 6 年开始实施以来，已有5 0 多个国家和地 区加入了6 b o n e ，积极开展有关i p v 6 的研究。其中有7 0 个网络加入了6 b o n e 的骨干网体系。i p v 6 作为新一代的网络互联协议，其先进性和灵活性正在得到 越来越多人的认可。 为i p v 6 提供了移动性功能，i e t f 提出了移动i p v 6 ( m o b i l ei p v 6 ) 协议。移 动i p v 6 目前是 e t f 移动i p 组议程上的主要课题，i p v 6 中的新特性使得它比i p v 4 能更好的支持移动功能。移动i p v 6 的文件发展得很快，本文的讨论主要基于移 动i p v 6 文件的第1 2 个版本 j o p 2 0 0 0 1 。 1 1 2 虚拟专用网络的出现 随着全球i n t e r n e t 业务的扩展和基于i p 协议的网络应用的广泛使用，服务提 供商面临着为用户提供激动人心的新服务的压力。新电信设施的性能已经在转变 服务商的业务类型上起了巨大作用，情况已经从面向网络传输的只提供最基本带 宽的业务转向以商务为中心的捆绑大量网络增值服务的业务模型。 而另一方面，为了维护自身的长期利益，服务商将面临扩展传输数据、语音、 视频的公网的挑战。这种挑战在商务用户的网络变更中尤为明显。原因是商务应 用日益复杂而企业又总是试图降低运作成本，而越来越大型化的企业网和与业务 上有协作关系的其他企业连接的协作网( e x t r a n e t ) 使得企业每年在租用专线和 为出差人员结算的远程拨入费用上支付大笔金钱。而同时网络服务商们在与电信 争夺的用户中，企业级用户占据了很大的比例，接纳一个大型企业用户相当于接 纳几千名单独用户。所以无论是企业的网络主管还是网络服务商都在寻求新的解 决之道以求突破。 如果在这些跨地区相隔很远的单位的各个部门之间，全部用自己的专线，其 价格非常昂贵。i n t e r n e t 的不断发展和其方便快捷使得很多大公司和政府部门或 民间组织都用它来传输数据，于是利用i n t e m e t 这样的公共网络来传输私有数据 就可以节省大量费用。但是这样的后果就是非常不安全，在i n t e m e t 上，数据随 时可能会被不怀好意的网络入侵者窃取或修改，因此，数据在传输过程中必须被 复旦大学硕士论文 基于移动i p v 6 的v p n 研究与实现 加密，接收方和发送方通过一个虚拟的安全隧道来传输信息，这就是虚拟专用网 ( v p n ) 技术。以i pv p n 替代专线构成企业内部网的结构示于图1 1 。如果是 在t c p 或u d p 层加密，那么通过截取i p 层的数据同样可以获得机密信息，在 i p 层使用加密和认证就非常安全了，这就是i p s e c ( i p 安全体系结构) 技术。目前 利用i p s e e 来实现v p n 成为一种发展趋势。 图l 。1 用i pv p n 代替专线构成企业内部网 虚拟专用网v p n 技术并不是新事物，早在1 9 9 3 年，欧洲虚拟专用网联盟 ( e v u a ) 就成立了，力图在全欧洲范围内推广v p n 。然而恰恰是i n t e m e t 的迅 猛发展，使v p n 开始遍布全世界。最近的调查显示，美国7 5 的企业选择v p n 作为企业联网方案。根据国际数据公司( i d c ) 的分析报告，亚太地区对i p v p n 的需求在未来两年内将有大幅度的增长。使用v p n 技术可以解决在当今远程通 讯量日益增大，企业全球运作广泛分布的情况下，员工需要访问中央资源，企业 相互之间必须进行及时和有效的通讯的问题。 1 2 研究现状 1 2 i 移动i p v 6 i p v 6 基本协议是经过多次改进后确定的。现在的i p v 6 协议足1 9 9 5 年由c i s c o 公司的s t e v ed e e r i n g 和n o k i a 公司的r o b e r th i n d e n 完成起草并定稿的( 即 r f c 2 4 6 0 ) 。1 9 9 8 年，i e t f 对r f c 2 4 6 0 进行了较大的改进，形成了现有的r f c 2 4 6 0 4 复旦大学硕士论文基于移动l p v 6 的v p n 研究与实现 ( 1 9 9 8 版) 。i p v 6 的其它标准也陆续由i e t f 的相关工作组制定出来，经过多年 的努力，已经制定出1 0 0 多项有关i p v 6 的r f c 。 目前i e t f 正在开发一套用于移动i p 的技术规范，这主要是：r f c 2 0 0 2 ( i p 移动性支持) 、r f c 2 0 0 3 ( i p 内的i p 封装) 、r f c 2 0 0 4 ( i p 内的最小封装) 、r f c 2 2 9 0 ( 用于p p p1 p c p 的移动i p v 4 配置选项) 以及多个关于m o b i l ei p v 6 的草案。 1 2 2v p n 解决方案 国外对i p s e c 的研究起步较早，己有了一些基于i p s e e 的试验性v p n ，但大 都是在专用平台下实现，与操作系统绑定得都比较紧密，有的甚至就是一个黑盒 子( 如c i s c o ) 。关于不同的i p s e c 实现间的互操作性，目前还没有令人满意的测 试报告。此外，国外的v p n 不利于我国使用自己的密码。国内对i p s e c 的研究 还处于初期，但由于缺乏自己的主流操作系统，还没有一个真正基于i p s e c 的 v p n 产品。个别公司虽对i p s e c 进行了实现，但都是不完整的，如密钥管理未 用i k e 动态协商机制，而仍用手工分配。而且，网关的性能降低严重，同类产 品性能降低在3 0 左右。这将导致极大的安全问题，失去了i p s e c 在安全性方面 的优势。 3 c o mv p n 解决方案 3 c o m 为企业和n s p 提供多种端对端的v p n 解决方案。所有的3 c o mv p n 产品彼此兼容，还配备了t r a n s c e n d w a r e 软件，使用户可以对常规网络和v p n 执行统一的策略。3 c o m 公司的v p n 解决方案的优点在于，能够很容易地集成 到多厂商产品的网络中，且支持多种环境：移动用户和居家工作者：通过虚拟租 用线路连接分支机构办公室：通过安全的e x t r a n e t 连接商业伙伴。3 c o r n 公司推 出的基于l 2 t p ( l a y e r 2t u n n e l i n gp r o t o c 0 1 ) 和扩展型i p s e c ( i n t e m e t p r o t o c o l s e c u r i t y ) 的最新强化软件，从而进一步为用户扩展了v p n 解决方案。 l u c e n tv p n w o r x l u c e n t v p n 解决方案将电路交换式语音v p n 和智能网络功能的优良传统， 与原a s c e n d 通讯公司的v p n 体系以数据为中心的m u l t w p n 创新技术结合起 来，创建了语音和数据相融合的新型v p n 服务。 l u c e n tv p n w o r x ，对企业来讲具有无需牺牲类似专用网的控制能力，可以 获得v p n 的所有好处。v p n w j r x 解决方案中的产品，涵盖了供应商佣户环境， 包括l u c e n t 完善的产品方案，如电信级接入平台m a x 和m a x t n t ；多业务交 换机g b x 5 0 0 、g x 5 5 0 、b s t d x 8 0 0 0 9 0 0 0 和n e x a n tn x 6 4 0 0 0 。i pn a v i g a t o r m p l s 使服务供应商能够建立一个可以提供全新i p 服务一q u a l i t yi p 的基础设旌。 i n t e r n e t 安全产品包括v p ng a t e w a y 和s e c u r e c o n n e c t 。p i t i e l i n e 和远程接入产品 复旦大学硕士论文基于移动i p v 6 的v p n 研究与实现 提供了集成化v p n 路由和防火墙保护功能。并且，该方案具有通过q o s 和s l a 保障，提供关键型性能、策略化联网能力、端到端服务和网络管理及智能网络等 增值功能。 c i s c oe v p n c i s c o 推出的企业级虚拟专用网( e v p n ) 全面解决方案，在可扩展的平台、 安全性、服务、应用和管理五大v p n 实施要素方面具有基于标准的开放式体系 结构、可扩充的和端到端的网络互联能力。 和专用网络一样，c i s c o 为v p n 提供了有保障的带宽和差别控制的服务与应 用。在c i s c oi o s 软件i 2 0 版中，丰富了q o s 功能和机制，甚至支持i pq o s 。 c i s c o 提供了一系列的v p n 安全功能来实现安全保障。基于硬件的集成式i p s e c 加密，不仅可以实现高速加密，还提高了w a n 的可用带宽。p i x 防火墙、n e t r a n g e r 入侵检测系统和n e t s o n a r 安全扫描程序三者配合，保证企业v p n 的可靠性和安 全性。而这些功能都是被集成进c i s c oi o s 软件中的，用户可以通过简单的软件 升级，透明地保护网络安全。 目前，所有的c i s c o 路由器平台都可以方便地实现v p n ，都完全可以互操作， 为从园区到广域网i s p ，以窄带或宽带速率进行多媒体通讯提供了一条可扩展的 端到端链路。 华为v p n 方案 华为提供了各种有效的v p n 解决方案，包括：a c c e s s v p n 、i n 垃a n e t v p n 、 e x t r a n e tv p n 及结合防火墙的v p n 解决方案。各方案中，q u i d w a y 系列路由器 具有v p n 网关功能，是组建v p n 的重要设备之一。它支持各种v p n 技术，包 括隧道技术、i p s e c 、密钥交换技术、防火墙技术、q o s 与配置管理等，并可继 续发展，支持越来越多的先进技术。 其中，v p n 与防火墙的结合使用，可以利用防火墙的许多安全特性在v p n 上建立更加安全的网络环境，增强抵御黑客攻击、禁止非法访问的能力。公司内 部特定的用户可以访问i n t e m e t 网络，但是 n t e m e t 网络内的主机不能通过防火 墙访问公司的内部网络，只允许访问位于d m z ( 非军事化区) 的内部服务器主 机，公司的外地办事处机构可以利用v p n 和总部建立安全的私有隧道，以访问 总部的资源。 1 2 3 移动i p v 6 下的v p n 移动i p v 6 ( m o b i l ei p v 6 ) 为i p v 6 提供了移动性功能。它也被公共的移动服 务采用。而其中一项很重要的服务就是v p n 服务，它可以使用户从外面访问 i n t r a n e t 。然而目前移动i p 并不能够在v p n 上很好的工作。 6 复旦大学硕士论文基于移动i p v 6 的v p n 研究与实现 l z c 2 0 0 1 】提出利用虚拟专用网运用到c m i p v 6 机制上来达到更为安全的 i p v 6 蜂巢式无线网路的环境。其中c m i p v 6 是针对无线网络环境下频繁切换的情 况对m i p v 6 做的扩展，能够有效的解决封包漏失与延迟时间的问题。该文假设 m n 、c n 、h a 、f h a 为可通过认证授权且具有v p n 功能之装置，建立的连线 均属v p n 通道。该方案在m n 移动后c n 和新f h a ，新f h a 和m n 间均要重 新建立隧道，虽然保证了一定的安全性，但做相应的加解密功能运算时会消耗大 量资源与电池能量，而使用者对于行动装置的使用时间长短会相当在意的。 【a d l 2 0 0 2 提出的解决方案较好的解决了安全关联刷新和移动节点安全通 过安全网关的问题，但是基于移动i p v 4 的，没有利用到i p v 6 的优点。 1 3 本文内容及组织结构 本文试图在分析移动i p v 6 源代码的基础上，根据i p s e c 标准，重点研究内 核实现等，提出并初步实现一个能提供具有较强的互操作能力、使用方便和容易 进行升级的，在i p v 6 平台上支持移动性和安全性结合的解决方案，较好的解决 安全关联刷新和移动节点安全通过安全网关的问题。全文主要讨论了基于移动 i p v 6 和虚拟局域网( v p n ) 所涉及的相关技术，详细描述了移动i p v 6 下v p n 解决 方案的设计思想和主要实现过程。在结构上本文共分为下面的五个章节，各个章 节的内容组织如下： 第章讨论了移动i p v 6 技术和虚拟专用网技术的出现背景和目前的研究现 状及其所面临的技术挑战。 第二章讲述了移动i p v 6 中的关键技术。 第三章讲述了v p n 技术和i n t e m e t 安全协议i p s e c 协议的相关技术。 第四章介绍了基于移动1 1 v 6 的v p n 的设计思想和实现方案。 第五章对全文进行了总结并阐述了下一步的研究方向。 1 4 本文创新及主要贡献 本文描述了将v p n 和移动i p v 6 功能结合的必要性，所产生的问题，并详细 给出了解决方案的设计思想和主要实现过程，从而获得在i p v 6 环境下移动性和 安全性的结合，使得计算机设备可以在物理空间自由移动，并且不用手工配置任 何网络信息( 如i p 地址、网络号、路由器等) 就能够继续安全的与v p n 内部的其 他机器继续通信，且保持网络连接不中断，并且尽可能的减少安全关联刷新带来 的延迟。 复旦大学顽士论文基于移动i p v 6 的v p n 研究与实现 第二章移动i p v 6 介绍 2 。1 移动i p v 6 的出现 移动i n t e r n e t 正逐步成为现实。然而，由于i n t e m e t 的互联协议、i p 的地址 结构和路由算法，限制了移动主机在移动i n t e r n e t 中的灵活操作。i p 协议中的网 络地址分为两层结构：子网号，用来确定与主机相连的网络；主机号，用来确定 这个子网中的特定主机。如果个主机改变了与i n t e r a c t 的连接点，移动到了一 个具有不同网络前缀的子网，那么发向它的数据包将不能正确地到达它。另外， 固定网、特别是移动通信的引入，i p 地址空间也存在着极大的不足。为了解决 这些问题，i e t f 等组织开始了在移动i p 上的研究，并在移动i p v 4 和移动i p v 6 方面取得了一定的成绩。 移动i p v 6 是在继承移动i p v 4 优点的基础上，利用了i p v 6 的许多新特点进 行设计的。移动i p v 6 技术在网络层上解决了移动接入问题。在i p 子网间切换时， 移动节点无需改变i p 地址而能保持传输层及上层的连接，通信不会中断。协议 中定义了三种操作实体：移动节点、通信节点和家乡代理；四种新的i p v 6 目的 地选项：绑定更新、绑定确认、绑定请求和家乡地址：为了实现“动态家乡代理 地址发现”机制定义了两种i c m p v 6 消息类型：家乡代理地址发现请求消息和家 乡代理地址发现应答消息：定义了两种“邻居发现”选项：宣告消息间隔和家乡代 理信息选项。 2 2l p v 6 协议 2 2 1 使用i p v 6 的必要性 现在运行的因特网协议i p v 4 存在其固有的局限性，一是地址问题，i p v 4 的 地址只有3 2 位，这意味着总的地址数大约是4 0 亿，并且还有许多地址是不可用 的。按照目前网络的发展趋势，至02 0 0 5 和2 0 1 5 年之间i p v 4 的地址就会耗尽， 必须用另一种地址方案来替代它，二是i p v 4 提供的服务局限性，i p v 4 尽它的最 大努力来传送信息包，但是它不会保证提供给上层的服务是可靠的，没有q o s ( 服务质量) 的概念。这些问题都是i p v 4 的薄弱环节，致命弱点，另外因特网 不断提出对移动性、安全性以及多媒体业务的支持等问题，i p v 4 都无法解决， 这样就迫使我们必须引入下一代因特网协议一i p v 6 r f c2 4 6 0 1 。 复旦大学硕士论文基于移动i p v 6 的v p n 研究与实现 2 2 2i p v 6 相对于i p v 4 的改进 ( 1 ) 扩展寻址能力 i p v 6 将i p 地址从3 2 位扩展到1 2 8 位，支持更多级别的寻址层次，拥有更大 数目的可编址节点，采用更简单的自动地址配置，并且定义了一种新的地址类型 a n y c a s t 地址( 任意点传送地址) 。a n y c a s t 是指向提供同一服务的所有服务 器都自识别的通用地址发送i p 分组，路由控制系统将该分组送至最近的服务器。 例如，利用a n y c a s t 可以访问离用户最近的d n s 服务器和文件服务器等。 ( 2 ) 头部简化 一些i p v 4 头部字段被去除或变成可选项，从而降低了通常情况下分组处理 的成本。 ( 3 ) 可选项的变化 i p 头部可选项方面的变化，既减少对可选项长度的严格限制，并为将来新 可选项的加入提供了灵活性。 ( 4 ) 质量服务功能 增加了业务流标识字段，给特定业务流的分组标识添加了一种新的能力。 ( 5 ) 认证和加密能力 i p v 6 有两个扩展头部来保证安全，即认证扩展头部和封装的安全净荷扩展 头部，支持认证、数据集成和数据保密的扩展。 2 2 3i p v 6 基本报头格式 版本号优先级 j流标识 负载长度下一个头跳数限制 源地址 目的地址 图2 - 1 ：i p v 6 的基本报头格式 - 版本域：4 b i t 的i p 协议版本号，值为6 。 优先级域：8 b i t 的优先值。 流标识：2 0 b i t 用法可参考 g a i l 9 9 9 。 9 复旦大学硕士论文基于移动i p v 6 的v p n 研究与实现 负载长度：1 6 b i t 无符号整数。负荷的长度，即i p v 6 包头后面部分的长度，单位 是8 位组。 下一个头字段：8 b i t 的选择器。紧跟在i p v 6 头后面用来识别包头的类型。和i p v 4 协议域的值相同。 跳数限制：8 b i t 的无符号整数。向前传送分组时每过一个节点减1 。如果跳数限 制减到0 时就把这个分组丢弃。 源地址：1 2 8 b i t 。分组发送者地址。 目的地址：1 2 8 b i t 。所期望的分组接受者地址( 如果有一个可选的路由头的话可 能不是最终的接受者地址) 。 2 2 4i p v 6 扩展头 i p v 6 包含一个改善了的选项机制。i p v 6 选项被放在i p v 6 头和传输层头之间， 各个扩展头之间由下一个报头字段进行链接。大多数的p v 6 扩展头并没有被中 间的路由器检查或处理直到到达最终目的地，这样就能提高路由器处理包含选项 的分组的性能。而在i p v 4 中路由器要检查所有的选项。另一个改善的地方是i p v 6 不象i p v 4 的选项，它的扩展头可以是任意长，选项的总长度并没有限制在4 0 字 节内。这个特征加上选项的处理方式就能使i p v 6 的选项真正被用起来，而在i p v 4 中选项实际上并没有用。一个好例子就是i p v 6 的认证和安全封装选项。为了提 高处理后面选项头和传输层协议的性能，i p v 6 选项总是8 字节长度的整数倍。 i p v 6 扩展头现在定义了以下一些选项，具体信息参阅 r f c 2 4 6 0 ， l d s 2 0 0 0 ， 【g a i l 9 9 9 】： 路由 扩展路由( 类似于i p v 4 的松散源路由) 分段和重装 一认证：完整性和认证，安全封装，机密性； 跳到跳选项：跳到跳的选项需要特殊的跳到跳的处理； 一目的选项：可选的被目的节点检查的信息； 2 2 5i p v 6 的地址 i p v 6 的地址【r f c2 3 7 3 有1 2 8 位b i t 长，是独立接口的标志符。i p v 6 的所有 类型的地址都是指派给接口而不是节点。既然每个接口都属于一个节点，那个 节点的任何一个接口地址都都可以被当做节点的标志符。一个接口也可能被指定 多个i p v 6 类型的地址。 i p v 6 有三种类型的地址，它们是单目( u n i c a s t ) 、组播( m u l t i c a s t ) 和任播 1 0 复旦大学硕士论文 基于移动i p v 6 的v p n 研究与实现 ( a n y c a s t ) 。单目地址标识一个接口。组播地址标识一组接口，一个被送往组播地 址的分组将被这个组中的所有节点接收。任播地址标识一组接口，但向任播地址 图2 - 2 ：i p v 6 按网络结构层次化地分配地址 发送的分组并未被分发给组内的所有成员，而只发往由该地址标识的“最近的” 那个接口。在i p v 6 中没有广播地址，他们的功能被组播地址所取代。单目地址 与组播地址的区别体现在地址的最高字节上：值为f f ( 1 1 1 1 1 1 1 1 ) 的就是一个组 播地址，任何其它的值都是单目地址。任播地址取自单目地址空间，并且从语法 上与单目地址没有区别。 在i p v 6 中有几种单目地址的分配方式：基于全球供应商的地址，n s a p 地 址，i p x 分层地址，站点本地地址，链路本地地址，i p v 4 兼容i p v 6 主机地址等。 其他的地址类型可在将来定义。 i p v 6 支持四倍于i p v 4b i t 数量的地址，也就是说i p v 6 的地址数量是i p v 4 的 4 0 亿倍，这是一个非常大的地址空间。实际上因为指定和路由地址需要创建层 次，减少了地址空间使用的有效性。i p v 6 地址分成表示特定网络的网络前缀和 表示主机或服务器的主机地址二部分。如图2 2 所示，在1 2 8 位中高6 4 比特表示 网络前缀，低6 4 比特表示主机。地址中的前几位指定了地址的类型，包含前几 位的变量长度域叫做格式前缀( f p ，f o m a tp r e f i x r f c2 3 7 3 1 ) 。例如链路本地地址 的格式前缀是1 1 1 11 1 1 01 0 。采用层次化分配i p 地址可减小路由器中路由表的规 模，从而减少了存储器的容量和c p u 的开销，提高了查表和转发i p 分组的速度。 复旦大学硕士论文 基于移动i p v 6 的v p n 研究与实现 2 2 6i p v 6 路由 i p v 6 中的路由基本上和i p v 4 在无类域间路由中的路由一样，除了i p v 6 用 1 2 8 位地址代替了3 2 位地址。所有i p v 4 的路由算法( o s p f ，r i p ，i d r p ，i s i s 等) 扩展一下都可以用于i p v 6 ，主要为r i p v 6 r f c2 4 5 3 ，o s p f 6 r f c2 3 2 8 ， i d r p v 2 r e t l 9 9 6 等。 i p v 6 也包含了简单的路由扩展以支持更强大的新路由功能。这些功能包括： 供应商选择( 基于策略，性能，开销等) 主机移动( 路由到现在的位置) 自动重定址( 路由到新地址) 新的路由功能是通过使用i p v 6 的路由选项建立一系列i p v 6 地址获得的。 i p v 6 源节点使用路由选项列出到达分组目的地的路径中要经过的一个或多个中 间节点( 或拓扑组) 这项功能与i p v 4 的松散源路由和记录路由选项的功能很相 似。为了将地址顺序作为一项基本功能，i p v 6 主机在大多数情况下需要将它收 到的分组( 如果此分组的认证头成功地通过了认证) 中的包含了地址顺序的路由 反向以便将此分组返回给它的发送者。 2 2 71 p v 6 安全性 现在的因特网存在很多安全问题，并且在应用层缺乏有效的保密性和授权机 制。i p v 6 通过两个提供安全服务的集成选项改正了这两个缺点。这两个选项可 以单独或一起为不同用户提供不同的安全等级。 第一个机制叫”i p v 6 认证头“，这个扩展头提供了认证和完整性检查。当这个 扩展头是独立于算法的并将支持不同的认证技术时，m d 5 被建议用来在世界范 围的因特网中使用以提供互操作性。这将用来消除一类重要的网络攻击，包括主 机伪装攻击。当i p v 6 用源路由时认证头变得非常重要因为在i p 源路由中所熟知 的危险。在网络层中放置这样一个字段可以为上层协议提供主机源认证和现在因 特网中缺乏的有意义的保护服务。 第二种安全扩展头是”i p v 6 封装安全头”。这种机制提供了完整性和机密性。 它比一些类似的安全协议( 如s p 3 d ，i s o - n l s p ) 等简单，但仍然提供了灵活性 和算法独立性。为了能和全球因特网互操作，d e sc b c 算法被用作i p v 6 封装安 全头的标准算法。 在后面v p n 章节中本文将详细介绍这两个扩展头及其用法。 复旦大学硕士论文 基于移动i p v 6 的v p n 研究与实现 2 3 移动i p v 6 中的关键技术 2 3 i 家乡地址和转交地址 移动节点( m n ，m o b i l en o d e ) 的家乡地址和转交地址的关联叫做移动节点 的一个绑定。利用i p v 6 “邻居发现”协议r f c2 4 6 1 ，m n 可以通过有状态( 例如 d h c p v 6 【j o p l 9 9 9 】) 的或无状态 r v c2 4 6 2 1 的“地址自动配置”机制来获得转交地 址。另外，其他获得转交地址的方法也是允许的( 如由外地链路的网络管理员事 先分配一个i p 地址给移动节点) 。 当移动节点离开家乡链路时，它要向家乡链路上的一个路由器注册自己的一 个转交地址，并要求这个路由器作为自己的家乡代理( h a ，h o m ea g e n t ) 。进行注 册时，m n 向家乡代理发送“绑定更新”消息：然后家乡代理要为m n 返回“绑定 确认”消息。m n 把这个“绑定更新”消息中的转交地址向h a 注册，这个被注册 的转交地址称为m n 的“主转交地址”。m n 可以同时使用多于一个的转交地址。 移动节点的“主转交地址”必须是唯一的，因为h a 只为每个m n 维护个转交地 址，并且通常都是把数据包通过隧道传送到