（计算机科学与技术专业论文）基于ipv6的ip承载网安全机制研究.pdf

| 匕京邮电大学硕士论文 基于i p v 6 的i p 承载网安全机制研究 摘要 6 是继i p 、，4 之后的下一版本的互联网协议，解决了4 地址 空间濒临耗尽的问题，同时可改善网络服务质量、提高网络的整体吞 吐量、提供更好的安全性保障、支持即插即用和移动性，更容易实现 多播业务。因此，从网络技术的发展上来说，i p 、，6 必将是未来数据通 信领域的发展趋势，将成为下一代网络发展的核心技术之一。 中国下一代互联网示范工程( c n g d 也将建立安全可信网络作为 重点研究课题。本文结合c n g i 相关项目背景和运营商p 承载网安 全需求，分析了i p 、r 6 协议增强的网络安全特性，研究了i p v 6 引入后 可能带来的安全新风险，提出了i p 、r 6 承载网近期的安全部署建议， 然后提出了未来基于信任关系的新型网络安全框架，从一定程度上解 决了一些i p 承载网遗留的安全问题，在网络性能和安全性两者之间 能够取得较好的平衡，适应在下一代网络中部署。 本文共分为六章，各章内容安排如下： 第一章简单介绍了i p v 6 协议以及i p 承载网的相关概念，并对i p 承载网的安全发展方向提出了展望； 第二章主要分析了v 6 协议在多个方面增强的安全性。 第三章主要分析了i p 、，6 协议的引入可能带来的安全新问题，并 提出了相应的安全防范措施。 i | 匕京邮电大学硕士论文 第四章主要从核心层、汇聚层和接入层三个网络层面对、，6 承 载网提出了近期的安全部署建议。 第五章提出了一种基于信任关系的新型网络安全框架，目的是实 现动态协调的安全可信网络。 第六章总结了本研究课题的主要研究工作，对下一步的研究工作 提出了展望。 关键词：i p v 6 安全i p 承载网可信网络信任模型 北京邮电大学硕士论文 r e s e a r c ho ns e c u r l l 7 ym 匣c h a n i s m o fl p v 6 b a s e di pc a r e rn e t w o r k i p 、，6i st h en e x tv e 陪i o ft h ci i i t e m e tp r o t o c o la f t e rl p v 4 i th 鹞l v e dt h e p m m e mo fma d d r 髓sc x h a 璐t b u ta l i m p m v c di nm 姐y 硒p o c b ，s u c h 勰t h e 肿m o f kq u a l i t yo fs c n r i ，o v 明蕾l ln c 附o r kt h r 硼g h p u t n 嘶v o r ks o 叫i i t y ，p i u g 觚d p l a ys u p p o n ，m d b i l i t y 姐dm u l t i s t n ，i t 1 l e r e f o r c ，丘d mt h ep o i mo fv i e wo ft h c n 嘶v o r k 缸h n o l o g y ，i p v 6w i l lb ct h cf h t i l r c 骶n di nt h c6 e l do fd a t a 伽m 蚰i c a t i o n s 鹤w e u 勰o n co ft h cc o r ct e c h n o l o g i c si nt h cd e v e l o p m e m0 ft h en g n ( n e x t g e n e r a t i n e 啊。岫 c l l i n an 甑tg e n e r a t i o ni n t e m c t ( c n g i ) p r o j e c tr c g a r d st h e 髓t a b l i s l l m c n to fa s a f c 她dr e l i a b l en e 铆o r k 弱ak c y s e a r c ht o p i c a c r d i n gt ot h e 懿p e r i e n c co f 叫g i 柚dm es c c u 哪r e q u i f c n l c n to fn e m o r ko p e r a t o 玛w c 柚a l y z c dt h et h c c n h a n c c ds c c i l d t yf e a t i l r 髂如dt l l en e ws e c l i r i t yr i s k si ni p v 6n c t 帅r k a tt h es 啪c t i m e ，w ep r o p o s e dt h es c c l i r i t y l u t i o n st h a tc a nb ed e p l o y c di ni p r r i c fn e 时o r k n o w ho r d 盯t 0 s o l v es 锄er 咖a i n i n gs c c u r i t yp m b l 锄m o 托p 加i p e n y 柚da 出e v c ab c t t e r b a l 柚c cb e 附np c f f o 姗a n c ca n ds 唧r i l y ，w ca l 鲫叩。辩dat m s tm o d e i b a s c d v 6 肿t w 0 呔s e 饥r i t y 缸吼哪o f i 【t h a t 锄b cd 印l o y c di nn g ns u i t a b l y 1 1 l i s 恤s i si sd i v i d c di n t os 奴c h a p t e 墙，w h i c hh a v c 恤f o l l 0 ，吨唧l 柚a t i 哪： o 印i e r 衄eg i v 路ab r i e fi n 仃o d u c c i t o v 6p m l o l ，口c a r r i e rm t w o f l 【，粕d t h ed e v e l 叩m e n t 仃e n di i i 口c a 】岍e fn e 呐o r ks e c l l r i t yf i e l d s m 北京邮电大学硕士论文 a l 印t c rt w oa n a l y 趵ss c v c r a ln e w o fe n h 柚ds 咖r i t y 纯咖髑o fi p v 6p r o t 0 1 a h p t c r t h l s h o w s h cn 州c t l r i t yr i s b w h i c h m a yo c c 眦i n 脚6n c 佃d r k 勰d 雕o p o s c d n c c m c ds e c u r i t y l u t i o n s c h a p t c rf o u rb r i e f l yd 龉c r f b t h cs 咖i i t y l m i o o ft h r 玳棚帕r kh y c 墙( c o 犯 l a y c o 血v c 嘴蛐h y o e 龉l a y c r ) ，i 眦岫d i n gm 锄y 姗f i 哆蛐g 鲈s 6 蛐si nm 训盯肿c 啪出m 卸a 鲫c n t 卸dm a 缸t e n a n 西a p t 盯f i 、，ep r o l 鹤at n l s tm o d e lb 嬲c di p v 6 埘婀嘶ks e c u r i t y 缸岫倒y 咄i n o r d 盯t o 嚣协b l i s had y n 锄她i l l y h 锄伽ys a f c 柚d 豫i i a b l c 鹋t w o i i 【 c l l a p t c rs i 】【鲫m m a r i z 龉t h c n c l u s i o 雌o ft l i i sr c a r c hp a p c r 如dg i v 器t h c 猢g e m e n t 蕾0 r t h c f h t i l w m k k e yw o r d s ：玳6 n e t 、o r ks e c i i r i t yi pc a r r i c rn e t 、】l ，o d 【s t n l s t e dn e t ，o i b t n l s tm o d e l 北京一电大学硕士论文 声明 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成果 尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含其他人 已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他教育机构的学位 或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：重叠日期：2 竺呈：垒! 三 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保留并向国 家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借阅；学校可以 公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存、汇 编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在 年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授权书。 本人签名：望! 鋈日期：兰竺玄2 至璺 导师签名：泌乏日期：匕每至：查 北京部电太学磺士论文引言 引言 口v 6 是继m v 4 之后的下一版本的互联网协议，解决了m v 4 地址空间濒临耗 尽的问题，同时可改善网络服务质量、提高网络的整体吞吐量、提供更好的安全 性保证、支持即插即用和移动性，更容易实现多播业务。因此，从网络技术的发 展上来说，、r 6 必将是未来数据通信领域内的主流发展趋势，6 技术的发展 与下一代网络的发展紧密结合，将成为下一代网络演进和发展的核心技术之一。 以、，6 技术组建的承载网及业务网同样会面临各类安全威胁，我们不禁会 产生如下的问题：，、，6 相对4 而言，其安全性在哪些方面有所增强? 又引入 了哪些新的安全问题和风险? 以m v 6 组建的网络需要采用哪些安全措施以防范 新的安全威胁? 网络运营商应建立何种网络安全架构? 是否有更为适用于未来 6 承载网的新型网络安全框架? 中国下一代互联网示范工程( c n g d 也将建立安全可信网络作为重点研究课 题。本文结合c n g l 相关项目背景和运营商m 承载网安全需求，提出了“基于m v 6 的口承载网安全机制研究”课题。 本文首先分析了 v 6 协议的新特点，为后续针对6 协议进行安全性分析 做好了铺垫，同时介绍了口承载网相关技术背景；然后深入分析了i p v 6 协议增 强的安全性和引入的安全新问题，阐述了i p v 6 环境仍将面临各类安全风险；并 根据前面的分析和研究结果，针对 v 6 承载网面临的安全风险，提出了近期和 远期安全解决方案；创造性的提出基于信任关系的新型网络安全模型，引入用户 身份标识戳、动态全局安全策略等新概念，增强网络攻击的可溯性，通过动态调 节网络节点的信任度来动态调整安全措施，取得网络性能和安全性之间的最佳平 衡，实现动态协调的安全可信网络，适应在下一代网络环境中部署；最后还对此 研究课题的研究工作进行了总结，对后续还需开展的工作提出了展望。 期望通过本文对6 相关安全问题的研究，帮助6 网络规划设计者、管 理者、维护者或者网络运营商构建一个安全可信的口承载网，成为能够承载众 多下一代新兴业务的安全平台。 共跖页第1 页 北京邮电大学硕士论文第一章理论基础 1 1 6 协议概述 1 1 1 v 6 协议历史及简介 第一章理论基础 2 0 世纪9 0 年代以来，i n t e m e t 空前的发展速度和目前的网络规模，足以说明 了t c p m 体系设计思路的成功，v 4 协议的简单、通用和灵活的特性，使得人 们的生活因h l t e m c t 的出现而发生了变革，网络已经成为生活不可缺少的一部分， “网络生存”、“网络生活”等成为新名词。 然而，随着互联网商业化的不断深入发展、网络规模的持续快速膨胀、新型 网络应用需求的不断涌现，目前的i n t e m e t 存在诸多弊病：地址空间匮乏、网络 服务质量能以保证、网络带宽受到制约、对移动性支持有限、两络安全问题难以 解决等。为应对上述挑战，构建性能更好、服务质量更优和更加安全可靠的网络， 也t f ( i n t 啪c te n g i n 嘲t a s kf o r ，因特网工程任务组) 早在1 9 9 2 年6 月就公 开征求对“下一代网络互联协议”( m n g ) 的建议，1 9 9 5 年1 月，i t f c l 7 5 2 1 1 l c r e c 0 衄衄d a t i o n 叫t h c 口n 懿tg 明蹦n i 帆p i o t 0 i ( 下一代口建议书) 首次阐 述了胁g 的需求、p d u 格式、路由寻址以及安全等方面内容。- y 6 协议是m 在比较多种口n g 方案的基础上，最终以“s 口p ( 简单互联网协议增强) ”为基 础加以改进形成的。砒c 2 4 6 0 作为v 6 协议的最新正式国际标准并更替前一版 标准m c 1 船3 ，以完善 v 6 协议的相关内容。 参考文献1 1 】是，v 6 协议目前最新的国际标准，参考文献1 2 】是定义、，6 地址 架构的目前最新的国际标准，参考文献【3 】是i c m p v 6 ( 针对6 的互联网控制报 文协议h t 锄c tc 【m t m im 懿翰g cp m t o lf o rt h e m c tp f m o lv c 戚6 ) 的目前 最新的国际标准，参考文献【4 s l 介绍了与邻居发现协议相关的内容，参考文献 1 9 】 1 0 j 介绍了v 6 协议中特有的自动地址配置功能，参考文斛1 1 h 1 5 1 是与脚6 协 共铂页第2 页 北京邮电大学硬士论文 第一章理论基础 议相关的各路由协议( 比如r i p n g 、m p b g p 、o s p f v 3 、b g p - 4 + 、璐- 璐v 6 ) 标 准，参考文献【1 q 是口v 6 路由器重编号机制的标准，与v 6 协议相关的标准还有 很多，此处不再一一列举。 在后文的分析中，各小节会将涉及的v 6 协议相关内容作进一步的说明。 1 1 2 v 6 的报文格式 v 6 报文的报头可能包括两个部分，一个是基本报头部分，另一个是扩展报 头部分。鉴于篇幅原因本文只对，、，6 的报文格式作一简要介绍。关于6 报 文格式的详细情况，请参见参考文献i l j 。 a 、i p v 6 报文的基本报头 i p v 6 报文的基本报头格式如图1 1 所示： + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + _ + i 版本l 传输类别i数据流标荽 i i有效载荷长度 l下一报头i 聪期z 萎烈 i 1 1 共8 6 页 图1 1l p v 6 报文的基本报头格式 第3 页 北京邮电大学硕士论文第一章理论基础 6 报文各个字段的名称、长度及含义如表l 一1 所述： 表1 一l 6 报文各个字段的名称长度及含义 字段名称字段长度字段含义 版本4 比特 h n e m e t 协议版本号，此字段数值为6 。 服务类别8 比特可用于初始节点和或中间的转发路由器标识和区 分- v 6 报文不同的类别或优先级。 数据流标签2 0 比特可用于中间的各节点识别和分开处理任何口数据 流，当路由器对流标签相同的m 数据包可采取相 同的转发路径。 有效载荷长度1 6 比特i p v 6 数据包的有效载荷长度。也就是以八位组为 单位，在这个包中i p 、，6 报头后面的其余部分( 包 括扩展报头) 的长度。 下一报头8 比特标识紧接在i p v 6 报头后面的下一个报头的类型。 使用与4 协议字段( r f c 1 7 0 0 及后续协议) 相 同的数值。 跳数限制8 比特在每个传发此包的节点处递减l 。如果跳数限制减 为零，节点就抛弃此包。 源地址1 2 8 比特 数据包发送者的地址。 目的地址1 2 8 比特数据包接收者的地址( 如果存在路由报头，则可能 不是数据包最终的接收者) 。 b 、皿v 6 报文的扩展报头 与此同时，脚6 还定义了多种类型的扩展报头，可针对不同的应用需求提 供灵活而有力的支持，同时为以后支持新的业务应用提供了扩展能力。扩展报头 被放置在矾6 协议基本报头和上层报头( 如1 p 、u 1 ) p 报头) 之间，一个v 6 基本报头后面可以有0 个或者多个扩展报头，每一个扩展报头通过“下一报头” 的值来确认下一个报头是何种类型的报头( 有可能是其他扩展报头，也有可能是 上层报头) 。如下例所示： 共蹦页第4 页 北京邮电大学硕士论文 第一章理论基础 l【p v 6 报头it c p 报头+ 数播p li j l 下个根头一i i t c p i 一 图l 一2m v 6 报文的扩展报头与上屡报头的关系示饲图1 或者 i 【p v 6 报头 i路由报头it c p 报头+ 数据 iii i 下一个报头一i下个报头一i i硌由报头i t c p l p 图1 3i p v 6 报文的扩展报头与上层报头的关系示例图2 或者 i 【p f 6 报头 i 路由报头 1 分片报头it c p 报头+ 数据 liil 的分片 i 下个报头一l 下个靠头- i 下个报头一 i j i路由报头1分片报头l t c p i 一 图1 4m v 6 报文的扩展报头与上层报头的关系示例图3 对 v 6 基本报头之后的报文内容处理方式是：首先根据6 基本报头中的“下 一个报头”域指示的内容，判断是否存在v 6 扩展报头，如果存在则调用特定的 模块去处理第一个扩展报头，直至处理完所有的扩展报头；如果不存在扩展报头 或者已经处理完所有的扩展报头时，则直接调用特定的模块处理上层协议报头。 砌c 【2 4 6 0 】中规定，珏v 6 节点必须严格按照扩展报头在、，6 数据包中出现的次序 依次进行处理。当同一个数据包中含有多于一个的扩展报头时，规范强烈建议 的排列顺序如下：6 基本报头、逐跳选项报头、目的地选项报头、路由选项报 头、分片报头、认证报头、封装安全载荷报头、目的地选项报头( 或称之为最终 目的地选项头) 、上层协议报头。 目的地选项报头位于逐跳选项头和路由选项头之间时，最终目的节点及路由 选项报头中所列的中间节点都会处理此选项；当目的地选项头位于路由选项报头 之后上层协议报头之前时，只有该数据包的最终目的节点才会处理此选项。除了 共拍页 第5 页 北京邮电大学硕士论文第一章理论基础 目的地选项报头最多可以出现两次以外，每个扩展报头应当只出现一次。如果上 层协议报头是另一个i i l y 6 报头( 在使用隧道封装技术的情况下) ，它后面可以 有自己的扩展报头，这些扩展报头以同样的建议顺序独立排列。如果定义了其他 的扩展报头，与上面列出的扩展报头的相关次序限制必须加以说明。 除了i i o p - b y h o p 选项报头必须紧跟在v 6 报头后面以外，6 节点必 须接受并且尽量处理任意顺序的，以及在同一个包内出现任意多次的扩展报头。 尽管如此，强烈建议v 6 包的源节点遵守上面的建议顺序，除非后续的协议 规范修改这一顺序。 1 1 3 ，v 6 协议的新特点 i p v 6 协议较i p v 4 协议而言，在很多方面均有所改进，不仅仅是简单的演进， 也不仅仅是口地址的简单扩展。 v 6 协议的新特点主要可以分为以下八个方面。 ( 1 ) 新的协议报头格式 v 6 的协议报头采用了一种新的格式，并在v 4 协议报头的基础上进行了 简化，以最大程度的减少处理器开销，并节省网络带宽。v 6 协议删除了原口v 4 协议报头中的个别域，而将非根本性和选择的字段移动到了口v 6 协议基本报头 之后的扩展报头陬t c 璐i 伽h e a d e r ) 中，并对扩展报头进行了相对严格的定义。 v 6 的报头由一个基本报头和多个扩展报头构成，基本报头具有4 0 字节的固定 长度，放置所有路由器都需要处理的信息。由于b t 伽c t 上的绝大部分包都只是 被路由器简单的转发，因此固定的报头长度有助于加快路由速度，提高效率。l l i v 4 和 v 6 协议报头结构及比较如图1 - 5 所示： 共拍页 版本长度 服务类型数据报长度 数据报i d分段分段偏移值 生存期协议 校验和 豫i p v 4 地址 目的i p v 4 地址 i p 选项( 需要时潘加p a d d i n g ) 第6 页 北京邮电大学硕士论文第一章理论基础 版本业务漉类型 泷标签 净荷长度 下一报头i 巯致上限 露i p v 6 地址 目的i p v 6 地址 图1 5 4 和m v 6 协议报头结构比较图 m v 4 和v 6 协议报头结构变化说明如下： i p 、，4 协议报头中有1 2 个固定长度的域，还包括若干个选项以及可能用 到的填充域；而v 6 协议报头中只有8 个固定长度的域，增加了多种 类型的扩展报头。 i p 、r 4 的报头长度是由长度域( m l 域) 来指定的，同时还有数据包长度 域来表示p v 4 数据包的总长度( 单位是字节) ；而6 的报头长度是 固定的4 0 个字节，使用净荷长度字段说明v 6 基本报头以后的有效载 荷长度，包括扩展报头和上层p d u 。 v 4 协议报头为数据包的分段提供了数据包i d 、分段、分段偏移值3 个 字段，目前有许多针对这3 个字段的攻击手段；v 6 取消了在中间节 点进行数据包分段的机制，采用p a t l lm r u ( 路径最大传输单元) 发现 机制，源节点可以确定到目的节点之间整条路径能够传输的最大包长 度，避免了中间路由器的分段处理，一定程度上消除了一些安全隐患。 i p v 4 协议报头中生存期字段保证网络中不存在一直传输的报文；6 中删除生存期字段，新定义了跳数上限字段，澄清了在m v 4 中一直模 糊不清的生存期的单位，明确指定中间节点对该字段值进行减1 操作。 i p v 4 许多后续报头如i c m p 、u d p 和t c p 中均含有同时覆盖基本报头 和数据部分的检验和字段，因此、，4 报头中校验和字段是多余的；- v 6 协议报头中取消了校验和字段。 v 6 采用扩展报头实现选项功能，解决了m 中带有选项内容的数据 包不能被高效传输的问题，也使得m s c c 以及未来可能出现的新安全协 议的采用更加方便。 共髓页 第7 页 北京邮电大学硕士论文 第一章理论基础 在v 4 中定义了服务类型( 懈) 域，但1 鸪却没有得到广泛的应用。 6 数据包的格式包含一个8 位的业务流类别( s c r v i t y p c ) 和一个 新的2 0 位的流标签( f l o wi 庙d ) ，业务流分类字段和流标签字段的结 合使用，使得v 6 对q o s 提供了更好的支持。 v 4 基本报头与v 6 基本报头的比较如表1 2 所示： 表1 2 l l l v 4 与脚6 基本报头字段比较表 m 报头字段i p v 6 报头字段i p v 4 报头字段聃6 报头字段 版本相同字段，版本号6生存时间“跳限制”字段取代 i n t c m e t 报头长度取消 协议“下一报头”字段取代 服务类型“业务流类型”字段取代 报头校验和取消 总长度“净荷长度”字段取代源地址长度变为1 2 8 b i t 标识符取消目的地址长度变为1 2 8 b i t 标志取消 选项 取消 片段偏移量 取消填充取消 无新增“类别”无新增“流标记” 与此同时， v 6 还定义了多种类型的扩展报头，可针对不同的应用需求提 供灵活而有力的支持，同时为以后支持新的业务应用提供了扩展能力。扩展报头 被放置在v 6 协议基本报头和上层报头( 如t c p 、u d p 报头) 之间，每一个扩 展报头通过“下一报头”的值来确认下一个报头是何种类型的报头( 有可能是其他 扩展报头，也有可能是上层报头) 。除了逐跳选项报头( 它携带了在传输路径上 每一个节点都必须进行处理的信息) 外，其他扩展报头只有在它到达了在v 6 的报头中所指定的目的节点( 但不一定是最终目的节点；在多播应用场景下则是 所规定的多播组中每个目的节点) 时才会得到处理。每一个扩展报头的内容和语 义决定了是否去处理下一个报头，因此扩展报头必须按照它们在包中出现的次序 依次处理( 比如逐跳选项报头是转发路径上每个节点必须处理的，所以必须被首 先处理) 砌2 4 印建议当一个i p v 6 数据包使用多个扩展头时按如下顺序排列：6 基本报头、逐跳选项报头、目的地选项报头、路由选项报头、分段报头、身份认 证报头、封装安全载荷报头，目的地选项报头( 或称之为最终目的报头，之后是 共黼页第8 页 | 匕京邮电大学硕士论文第一章理论基础 上层协议报头) 目的地选项报头位于逐跳选项头和路由选项头之间时，最终日 的节点及路由选项报头中所列的中间节点都会处理此选项；当目的地选项头位于 路由选项报头之后上层协议报头之前时，只有该数据包的最终目的节点才会处理 此选项。除了目的地选项报头最多可以出现两次以外，每个扩展报头应当只出现 一次。如果上层协议报头是另一个v 6 报头( 在使用隧道封装技术的情况下) ， 它后面可以有自己的扩展报头，这些扩展报头以同样的建议顺序独立排列。如果 定义了其他的扩展报头，与上面列出的扩展报头的相关次序限制必须加以说明。 此外，、r 6 地址字段的长度从4 的3 2 位扩充到1 2 8 位，拥有海量的地址 空间，可以充分支持超大规模数量的网络节点。从理论上讲6 的地址总数大 约有3 4 1 0 “3 8 ( 2 “1 2 8 ) 个，平均地球表面每平方米将获得6 5 1 0 “2 3 个地址。 ( 2 ) 新的地址管理方案 i n t c m e t 主要是由美国的教育机构和政府机关创立起来的，因而早期的 五l t c i e t 发展使得i p v 4 地址的分配出现极大的不平衡，例如美国的一些教育机构 所拥有的地址空间甚至比整个中国拥有的地址空间还要多。2 0 0 5 全球，v 6 高峰 论坛上的数据表明，中国近一亿网民中，分配到的只有大约不到5 千万口地址， 占全球总数的百分之一。而美国则拥有1 2 亿多妒地址，超过总数的2 5 。在其 他发展中国家或不发达地区，口地址的匮乏就更为严重。 s 图1 6 是目前全球范围内对v 6 进行管理和规划的组织机构等级结构划 分： 共拍页 图1 6 v 6 地址分配组织结构示意图 第9 页 c n n i c 北京邮电大学硕士论文 第一章理论基础 最上面是互联网编号分配机构l a n a ( m c ta 踌i 驴c dn u m b 粥a u t h 咖) ( 国际互联网口地址最初由美国政府与l a n 签署协议授权其进行分配) ，负 责全球的i i i v 4 和v 6 的地址分配和管理。在i c a n n 成立以后则由l c a n n 统一 负责对m 地址的分配进行管理，但是具体执行还是由i a n a 负责，虽然i a n a 并不直接面向用户。在i a n a 下面是地域性的口地址管理机构r 瓜( r c g i 伽i a l 五自咖c tr e 醇s 灯y ) ，i a n a 把全球划分为a l t ( a m e d c 孤r c g i s n yf b rl m e m c t n i 皿b e 陪北美地区及加勒比地区) 、u 心i c 限e g i 衄a il 丑t i n a e r i c 姐弛d q i i b b c a nm a d d r 嘟r c 西s 蚵拉丁美洲) 、r 删en c c ( r 6 s e 蛳口e u r o p 6 e 鹏欧洲地 区) 、a p n i c ( a s i ap a c 砺cn c t w o r kh f o 珊a t i c e n 仃c 亚太地区) 、a 】限i n l c ( a 硒锄 n c 觚。呔i l i f o 珊a t i c 雠非洲地区1 五大注册管理机构，分别负责各自地区的 i p 、r 6 地址分配和管理。r 瓜主要任务是在各自的管理区域中管理和规划地址空 间，目前i a n a 分别将2 0 0 1 ：0 2 0 0 ：孙、2 0 0 1 ：0 4 0 0 ：2 3 和2 0 0 1 ：0 6 0 0 ： ，2 3 分配给a p n l c 、a r 玳和r 口en c c 三个r 艰。在r m 下面是当地因特网登 记机构u r ( h c “i i i t c m e tr e 西s n y ) ，u r 负责将地址分配给最终的网络用户。 u 喂的下面就是最终的网络用户。由于亚太地区国家人口众多，所以在a p n i c 中还有一种特殊的机构国家级注册机构n 琅( n a t i o 衄ii l i t e m e tr e g i s 时) 负责将 地址分配给它的成员，我国的国家级注册机构是中国互联网络信息中心 c ) 口地址分配的基本策略是“先到先得、按需分配”。各级地址分配机构都只依 据现在已经存在的实际需求将口地址分配给提出申请的单位。 u r 给璐p 的分配由u r 自己决定策略，按照4 8 的地址块为单位进行地址 分配，同时所有的分配都要有记录，以便保证地址的唯一性和定位网络故障以及 计算利用率。同时按照r f c 3 1 7 7 的规定：一般按4 8 的地址块往下分配。只有当 确信只有一个子网时分配6 4 的地址块，比如给某个移动网络( ，i n 网络中的 某个a p 所覆盖的子网范围) 分配一个静态6 4 的地址块。当确信只有一个设备 时分配1 2 8 的地址，比如为一个拨号用户的p p p 连接分配1 2 8 的地址。 统一的按镐往下分配好处是：保证一个璐p 内不必重新构造或者合并子网 ( 这个代价高昂) ，因为在重新编号的过程中，如果前缀不同，2 个前缀并行存 在运行这将使网络变的很复杂。 兆嘶页第1 0 页 北京邮电大学硕士论文 第一章理论基础 ( 3 ) 高效分级的寻址和路由结构 m v 6 采用了分级化的地址模式，r f ( = 2 3 7 3 中对全球可聚集单播地址的格式 给出了严格的定义( 具体结构如图1 7 ) ，这种应用最广泛的全球可路由的，、，6 单播地址充分体现了分级化的特点： l3 i 1 310i 2 一 l 1 i 6 一h i t s i 一一+ 一一一+ l f p it l nl r e s i 睫日 i s l n i i n t e r f a c ei d l ii i d ii i d i i d li + 一一一一+ 一一一一一+ 一一一一一 图1 7r f c 7 3 中全球可聚集单播地址格式 4 级分级结构化地址结构具体是：1 r i a ( 项级聚合) 分配给骨干网提供商； n l a ( 次级聚合) 分配给下一级网络提供商( 例如城域网、下一级i s p ) ；s l a ( 节点聚合) 分配给下一级网络内的节点( 例如接入网) ，最后的d 是最终用 户的网络接口标识符。 r f c 3 5 8 7 对全球可路由单擂地址的地址结构进行了重定义( 认为从技术角 度考虑硬性按照1 r i 州i a 分层的方式可能不妥或者不够灵活) ，但分层结构的 思想依然没有改变。虽然1 1 a ，n l a 的结构被废除了，但是“g l o b a lr o u 幽gp r e 敷” 域( 全球路由前缀) 仍然采用典型的层次化结构，而且原来的“s l a ”域( 子网本 地聚集s u b n c tl o c a l 姆髓1 0 r ) 也保留下来变为“s u b n c tm ”域( 子网标识符) 。 对于目前已定义的全球可路由单播地址段2 0 0 0 ：3 而言，其地址结构如图1 8 所示： i 3i 卑sb 量t s + + i 16b i t s l 6 _ b i t s i 一一一一一+ 一一一一一一一一一一一一一一 l0 8 1ig l o b a lr o u t i n gp r e f i xi s u b n e ti d i i n t e r f a c ei d i + + 一一一 图1 8r f ( = 3 5 8 7 中全球可路由单播地址格式 v 6 更加结构化的地址层次，地址和网络的物理拓扑有紧密的联系( 因为 l p 、，6 地址的分配工作是由不同区域的多级地址分配管理结构完成的，如6 1 2 中 所言) ，使得v 6 地址的管理工作更加高效容易，可采用增强的可聚集地址分 配策略，实现v 6 地址资源的集约化使用。 而且6 丰富的地址层次结构，可以使得路由表更加精简、聚合效果更好， 避免出现4 中骨干核心路由器或者国际骨干路由器b g p 路由表条目过于庞 大，从而创建一个层次化、高效收敛的路由结构。 共撕页 第1 l 页 北哀邮电大学硕士论文第一章理论基础 ( 4 ) 内置的安全特性 安全问题始终是与瑚伽l c t 相关的一个重要话题。由于在m 协议设计之初 没有考虑安全性，因而在早期的i n t 锄c t 上时常发生诸如企业或机构网络遭到攻 击、机密数据被窃取等不幸的事情。为了加强m t e m c t 的安全性，从1 9 9 5 年开始， 哪着手研究制定了一套用于保护口通信的i l i 安全( m ) 协议。溉c 是m v 4 的一个可选扩展协议，是、，6 的一个必须组成部分。 m s 的主要功能是在网络层对数据分组提供加密和鉴别等安全服务，它提 供了两种安全机制：认证和加密。认证机制使口通信的数据接收方能够确认数 据发送方的真实身份以及数据在传输过程中是否遭到篡改。加密机制通过对数据 进行重编码来保证数据的机密性，以防数据在传输过程中被他人截获而失密。 m 的认证报头( a u t h e m i c a t i o nh c a d c r ，a h ) 协议定义了认证的应用方法，安 全负载封装( e n c a p s u l a t i n gs e c u r i t yp a y l o a d ，e s p ) 协议定义了加密和可选认证 的应用方法。在实际进行口通信时，可以根据安全需求同时使用这两种协议或 选择使用其中的一种。a h 和e s p 都可以提供认证服务( e s p 的认证服务属于可 选) ，不过，a h 提供的认证服务要强于e s p 。 i p s c c 定义了两种类型的s a ：传输模式s a 和隧道模式s a 。传输模式s a 是 在口报头( 以及任何可选的扩展报头) 之后和任何高层协议( 如t 或u d p ) 报头之前插入a h 或e s p 报头；隧道模式s a 是将整个原始的口数据包放入一 个新的m 数据包中。在采用隧道模式s a 时，每一个口数据包都有两个口报头； 外部m 报头和内部口报头。外部口报头指定将对口数据包进行评s c c 处理的 目的地址，内部m 报头指定原始i p 数据包最终的目的地址。传输模式s a 只能 用于两个主机之间的口通信，而隧道模式s a 既可以用于两个主机之间的口通 信，还可以用于两个安全网关之间或一个主机与一个安全网关之间的坤通信。 安全网关可以是路由器、防火墙或 n 设备。 作为m y 6 协议的一个必要组成部分，球s 属于网络层协议。它并不能保证 其上层应用的安全，如w c b 、电予邮件和文件传输等。也就是说，验证一个w c b 会话，依然需要使用鹦l 协议不过，t 珊6 协议簇中的协议可以从口s c c 中受益，例如，用于口v 6 的o s p f v 6 路由协议就去掉了用于口v 4 的0 s p f 中的 认证机制。此外以m s c c 机制实现的 n 可以很容易的提供更为安全可靠的虚 拟专用网。 共黼页第1 2 页 北京邮电大学硕士论文 第一章理论基础 ( 5 ) 即插即用的功瞻 口v 6 将用户地址的自动配置作为协议的标准功能。脚6 提供了地址自动配 置机制，使主机也能自动生成地址，避免了手工配置的低效率，实现了主机的即 插即用功能，还大大减轻了网络管理者的负担。 6 支持两种地址自动配置方式：一种是与m y 4 中的动态主机配置协议 ( 珊瑚m i c 融t c 0 娟g 哪t i 佃p f m d l ，d h c p ) 相同的有状态地址自动配置方式； 一种是、，6 特有的无状态地址自动配置方式，链路上的主机会自动为自己配置 合适这条链路的，、，6 地址，即链路本地地址，此后还可进一步获得其他类型的 i p v 6 地址( i p v 6 节点的一个物理接口允许拥有多个多种类型的脚6 地址) 。 利用i p v 6 的无状态地址自动配置和重配置技术可以实现口v 6 的即插即用特 性。 下面详细介绍一下i p v 6 的无状态自动地址配置过程： 1 ) 生成符合修订后的e u l 6 4 ( 6 4 位扩展唯一标识) 格式的接口标识符： 6 主机在其网卡的m a c 地址中插入咴f f f e 两个字节，并且对u 和g 位进行 正确的设置( 此处u 位置1 表示本地地址，g 位置0 表示个体地址) 。例如：假 设主机( 可以是双栈主机或者纯脚6 主机) 网卡的4 8 位m a c 地址为： 0 0 - o d 6 m 7 8 d c a 3 ，那么在第2 4 位之后插入0 】【f 拖两个字节并对u g 位置位后， 接口标识符变为6 4 位，其结果为：0 2 0 d 一6 0 停f c 7 8 d c a 3 。 2 ) 生成v 6 的链路本地单播地址。具体方法就是在前面加上链路本地地 址的前缀f e 8 0 ：，于是生成的链路本地地址为：f b 8 0 ：2 0 d ：6 0 位f c 7 8 ：d c a 3 。 3 ) 口v 6 主机向上一过程得到的链路本地地址发出一个邻居请求( n e i g h b o r s o l i c i t a t i ) 消息( 将此链路本地地址作为目的地址) ，以验证此地址在本链路 范围内的唯一性。如果其他某个节点已经使用了这个地址，则这个节点将回复一 个邻居通告( n e i g h b o ra d v c n i s e m c m ) 消息；如果其他节点也在请求使用这个地 址，那么这个节点也将发出一个含有此链路本地地址的邻居请求消息。如果主机 既没有收到其他节点的邻居通告消息，也没有收到含有此地址的邻居请求消息， 则表明主机自己生成的链路本地单播地址在本链路范围内是唯一的。否则，主机 将使用一个随机产生的接口d 组成一个新的链路本地单播地址；或者采用手工 配置的方式指定一个链路本地地址。 共拍页第1 3 页 北京邮电大学硕士论文第一章理论基础 4 ) 得到本链路范围的唯一链路本地单播地址后，6 主机以此地址为源 地址，以路由器多播地址f l i 0 2 ：2 为目的地址，向本地链路范围内的所有路由 器发送一个路由器请求( r 叫t e rs o l i d t | 旺i ) 报文 5 ) 路由器收到口v 6 主机发出的路由器请求报文后，路由器将回复一个路 由器宣告以响应该请求，宣告报文中包括可聚集全球单播地址前缀和其他相关配 置信息( 包括6 主机采用无状态自动配置方式的要求) 。 6 ) 、r 6 主机收到路由器发送的路由器宣告报文后，在可聚集全球单播地 址前缀后面加上自己的接口标识符( 步骤1 的结果) ，自动配置生成全球单播地 址此后6 主机就可以使用该地址与h n e m c t 中的其他主机通信了。 使用无状态自动配置方式。当接入路由器发生变更时，新的路由器( 或者为 重新配置后的路由器) 将周期性的向本地链路中所有主机多播路由器宣告报文， 因此当网络中的i p v 6 主机收到新的路由器宣告报文后，便获得了新的可聚集全 球单播地址前缀，然后各个 v 6 主机将自动生成新的6 单播地址并覆盖旧的 皿、，6 地址。 ( 6 ) 对移动性的支持 移动p 需要为每个设备提供一个全球惟一的口地址。、，4 没有足够的地址 空间可以为在h t 唧c t 上运行的每个移动终端分配一个这样的地址。而移动6 能够保证为每个移动终端分配一个永久的全球唯一的 v 6 地址，可以满足全球 范围内大规模移动用户的需求。而且由于每个叶6 主机都必须具备通信节点 ( c n ) 的功能，当与运行移动口v 6 的主机通信时，每个，v 6 主机都可以执行 路由优化，从而避免移动m v 4 中存在的“三角路由”问题。 移动i v 6 中的许多概念和移动- v 4 相同或者类似，比如移动节点、家乡代 理、家乡地址、转交地址、家乡链路和外地链路等。但是，移动口y 6 中没有外 地代理的概念，也只定义了一种转交地址，即移动节点通过地址自动配置得到的 “配置转交地址”( 外地子网前缀与移动节点的接口m 组成，简化了转交地址的 分配) 。移动节点可以同时具有多个转交地址，但是只有一个转交地址可以在移 动节点的家乡代理( i i 岫ca g c n t ) 中注册为主转交地址。 采用路由优化模式的移动v 6 中，移动节点在家乡以外的地方发送数据包 时，将家乡地址填入到6 的目的地选项扩展报头中。目的是通过这个选项把 共黼页第1 4 页 北京邮电大学硕士论文 第一章理论基础