（计算机应用技术专业论文）ipv6动态dns自动注册系统设计与实现.pdf

lp v 6 动态d n s 自动注册系统设计与实现 摘要 i p v 6 是下一代互联网的核心协议。和i p v 4 相比，i p v 6 具有很多 优点：巨大的地址空间、即插即用、内在的安全机制等等。即插即用 功能很方便的使得在没有任何人工干预的情况下，i p v 6 网络节点可以 自动获取i p 地址，当节点从一个网络移动到另一个网络中时，不需 要人工的干预既可保证与网络的正常连接。 但i p 地址长度的增加和动态的改变都使得网络节点使用i p 地址 通信更为复杂，而且也很难在具有动态i p 地址的主机上架设服务器。 如果能为每个网络节点分配一个域名，而且节点的域名和地址映射在 d n s 中能随着节点地址的改变而动态的改变，节点就能够使用各自便 于记忆的固定的域名通信，并能方便的在地址动态改变的节点上架设 服务器。 本文在跟踪d n s 动态更新最新进展的基础上，提出了客户端n 务器模式的解决方案动态d n s 自动注册系统。即在i p v 6 网络的 某个节点上安装自动注册服务器，在其他节点上安装客户端，自动注 册服务器接收客户端发送的i p 地址信息，并向d n s 服务器发送动态 更新消息，更新节点域名和节点i p 地址的映射。本文介绍了自动注 册系统的设计与实现，并详细阐述了重复地址检测、记录轮询监视等 关键技术的实现细节。 关键词i p v 6 动态更新自动注册域名d n s 北京邮电大学硕士论文a b s t r c t d e s i g na n di m p l e m e n t a t i o no fi p v 6d y n a m i cd n s a u t o m a t i cr e g i s t r a t i o ns y s t e m a b s t r a c t i p v 6i st h em o s ti m p o r t a n tp r o t o c o lo ft h en e x tg e n e r a t i o nn e t w o r k c o m p a r i n gw i t hi p v 4 ，i p v 6h a sm a n ym e r i t s ：l a r g ei pa d d r e s ss p a c e ，p l u g a n dp l a ya n di n t e r n a ls e c u r i t ya r c h i t e c t u r e ，e t c p l u ga n dp l a yf u n c t i o ni s v e r yc o n v e n i e n tt oe n a b l ei p 6n e t w o r kn o d e st oo b t a i ni pa d d r e s s e s a u t o m a t i c a l l yw i t h o u ta n ym a n u a lh e i p ，1 1 e nan o d em o v e sf r o mo n e n e t w o r kt oa n o t h e r , i tc a nk e e 口c o n n e c t i o nw i t ht h en e t w o r kw i t h o u ta n y m a n u a lh e l p h o w e v e r , t h el o n gl e n g t ha n dd y n a m i cc h a n g eo fi pa d d r e s s e sm a k e i tv e r yc o m p l i c a t e df o rn e t w o r kn o d e st oc o m m u n i c a t ee a c ho t h e rb yi p a d d r e s s e s a n di ti sa l m o s ti m p o s s i b l et oi n s t a l ls e r v e r so nt h e s ek i n d so f n o d e s i fw ec a ng i v ee v e r yn o d ead o m a i nn a m ea n dm a p p i n g so f d o m a i nn a m e sa n di pa d d r e s s e so fn e t w o r kn o d e sc a nb ea u t o m a t i c a l l y r e g i s t e r e di nt h ed n ss e r v e r , n o d e sc a nc o m m u n i c a t ew i t he a c ho t h e rb y t l e i rf l x e dd o m a i nn a m e sa n di tw i l lb ee a s yt oi n s t a l ls e r v e r so nt h e n o d e sw h o s ei pa d d r e s s e sc h a n g ed y n a m i c a l l ya n df r e q u e n t l y t h i st h e s i sp r e s e n t sam e m o dt os o l v et h i sp r o b l e mt h a ti st od e v e l o p a na u t o m a t i cr e g i s t r a t i o ns y s t e m t h i ss y s t e mi n e l u d e st w op a r t s ：s e r v e r a n dc l i e n t s e r v e rc a nc o l l e c ti pa d d r e s s e sf r o mc l i e n t sw h i c ha r ei n s t a l l e d o ne v e r yn e t w o r kn o d ea n dr e g i s t e rt h e mi nt h ed n ss e r v e r t 1 1 i st h e s i s i n t r o d u c e st h ed e s i g na n di m p l e m e n t a t i o no ft h ea u t o m a t i cr e g i s t r a t i o n s y s t e ma n de x p l a i n st h ek e yt e c h n i q u e s s u c ha s r e p e a t i n ga d d r e s s c h e c k i n g ，v a l i d i t yp o l l i n ga n ds oo np a r t i c u l a r l y k e yw o r d si p v 6 d y n a m i cu p d a t e a u t o m a t i c r e g i s t r a t i o n d o m a i nn a m e d n s i i 北京邮电大学硕士论文声明 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 ， m 。赫l 霸* 教育机构的学位或证书而使用过的材料。与我- - m t 作的同志对本研究所做的任 善i 何贡献均已在论文中作了明确的说明并表示了谢意。 魏爹等键译：移资掺毒j i i 睡之处，本人承担一切相关责任。 本人签名： 兰! l 垄 日期： 鎏! ! ：! ：l 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅：学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授权书。 本人签名： 导师签名： 日期： 日期： 北京邮电大学硕士论文 1 1 引言 第一章前言 i p v 6 庞大的地址空间给我们带来了巨大的优势，即插即用功能很方便的使 得在没有任何人工干预的情况下，口v 6 网络节点可以自动获取礤地址，当节点 从一个网络移动到另一个网络中时，不需要人工的干预既可保证与网络的正常连 接。 但同时i p 地址长度的增加和动态的改变都使得网络节点使用口地址通信更 为复杂。而且，也很难在具有动态i p 地址的主机上架设服务器。如果能为每个 网络节点分配一个域名，节点使用各自固定而且容易记忆的域名通信，那么节点 间的通信就简单多了。但这需要d n s 服务器中包括每个节点的记录并能随着各 节点地址的改变而动态的更新。 目前，动态d n s 服务器允许其授权的网络节点对其发送动态更新消息，更 新相应的记录。i p v 4 环境下，已经实现了对d n s 的自动注册系统。主要使用对 象是使用拨号、a d s l 或d h c pc a b l e 连接网络并且想架设w e b ，f t p 或m a i l 等 服务器的用户。i p v 6 环境下，d h c p v 6 服务器可以动态更新d n s ，实现上述的 目标，但只对其管理范围内的有状态自动配置m 地址的节点有效；u n i x 节点 可用脚本直接向动态d n s 发动态更新消息，但安全性很差而且其他的操作系统 下还没有实现。随着i p v 4 向i p v 6 的平滑过渡，在i p v 6 环境下实现对d i n s 的安 全的自动注册显得尤为重要。 为此，我们在北邮信息网络中心的i p v 6 实验环境下，设计实现兼容i p v 6 、 i p v 4 的系统，并实际投入使用，使网络节点可以通过各节点的固定域名通信， 从而不固定地址的主机上也可以轻松架设服务器。 1 2 课题来源与目标 本课题来源于与日本k d d i 合作的项目：“下一代通信网”的子项目 “i p v 6 动态d n s 自动注册的研究与实现”，旨在研究和解决动态d n s 自动注册 的问题，提出一种方案来解决目前i p v 6 环境下d n s 只能手工更新但无法自动注 册更新的问题，并实现该方案。网络节点自动注册更新自己的d n s 记录，建立 和更新节点域名和节点地址的映射，使得节点之间可以通过域名通信，解决由于 北京邮电大学硕士论文 i p v 6 地址过长和地址动态改变，不方便网络节点间通信的问题。不固定地址的 主机也可架设w e b ，p r o x ys e f v e r 或f t p 等服务器，同时也使域名服务器的管理 更轻松。 1 3 与动态d n s 自动注册相关的协议和标准 目前，i e t f 已制定或正在制定的关于d n s 动态更新的几个协议和标准，具 体如下： 表l 一1 与自动注册相关的d n s 和i p v 6 的协议和标准 d n su p d a t e d n s 动态更新协议 g s s t s i g t s i g 事务签名协议 d n se x t e n s i o n st os u p p o r ti pv e r s i o n6d n s 支持i p v 6 的扩展协议 d e l e g a t i o no fi p 6 a r p a d n s 对a 6 地址反向注册的支持 r e p r e s e n t i n gi n t e m e tp r o t o c o lv e r s i o n6 ( w v 6 )d n s 对d v 6 地址的支持 a d d r e s s e si nt h ed o m a i nn a m es y s t e m ( d n s ) s e c u r i t ya r c h i t e c t u r ef o r t h ei n t e m e tp r o t o c o l i p s e c 安全机制 n e i g h b o rd i s c o v e r yf o ri pv e r s i o n6 ( i p v 6 ) i p v 6 邻居发现协议 本文涉及到的协议主要有d n su p d a t e 、g s s t s i g 和i p s e c 安全机制，将 分别在第三章和第四章中详细介绍。 1 。4 论文创新点和论文结构的安排 1 4 。1 本论文的创新点和技术难点 目前在i p v 6 网络中，对d n s 的自动注册还处于起步阶段，d h c p v 6 虽然支 持动态更新，但它只适用于由它分配地址的网络。2 0 0 3 年n e c 公司提出的 d r a f t - i e f f - d n s e x t - i p v 6 - n a m e - a u t o - r e g 0 1 。t x t 中提出了一种实现自动注册d n s 的方 案，但是该方案有一些缺点( 将在5 1 节中提到) ，尤其是它只能支持无状态地 址自动配置，节点的域名也不能由节点自己选择，目前该d r a f t 已经过期了。 2 北京邮电大学硕士论文 本课题的创新点在于能够支持i p v 6 动态d n s 自动注册，支持无状态地址自 动配置、有状态地址自动配置和手工配置地址，节点的域名可由节点自由的选择。 目前，本系统已经在实际的网络中投入使用，并正在申请软件著作权。 技术难点在于1 服务器和客户端之间的认证和信息传送的加密。2 同一口 地址多用户重复注册检测，即同一时刻一个i p 地址只能有一个用户有效注册， 不允许多个用户重复注册，否则会造成通信混乱或受到攻击。3 对d n s 的安全 的动态更新操作。4 服务器端和客户端都要支持多平台，尤其是客户端，至少要 支持w i n d o w s ，l i n u x ，f r e e b s d 三种操作系统。 1 4 2 本论文的结构安排 本论文的结构安排如下： 第一章阐述了本论文的研究背景，有关选题的情况以及相关项目的研究进展 情况，介绍了本论文的创新点、技术难点和论文结构的安排。 第二章介绍t n 6 协议，包括口v 4 协议的局限性、i p v 6 协议的新特性和i p v 6 协议的报头、扩展头部和地址等等。 第三章从体系结构、安全联盟的概念和特征、i p s c c 的两个基本安全协议e s p 和a h 、i p s e c 的实现模式和i p s c c 实施的理论等有选择性的简要介绍t i p s e c 的概 念。 第四章介绍了域名系统的组成、工作原理、动态更新和安全机制。 第五章介绍了d n s 自动注册系统解决方案和系统体系结构，并详细阐述了设 计实现细节。 第六章在前面介绍自动注册系统的基础上，最后给出该系统的测试报告，并 在此基础上对测试结果作了较为详尽的分析。 第七章是对论文工作的一个总结和展望。 北京邮电大学硕士论文 i p v 6 协议 2 1i p v 4 的局限性 第二章ip v 6 协议 随着i n t e r a c t 用户的不断增加，目前的3 2 位邛地址空间已经不能满足分配 的需求，网络的路由器容量以指数级增长，更影响到网络服务的质量。除此之外， 网络还需要自动配置和扩展支持多播通信，更进一步网络应支持视频会议的实时 业务流，虽然人们采用了各种技术，开发了很多新的协议来使i p v 4 提供对以上 需求的支持，但是由于协议本身的限制，这种支持也是很不完善的，只有开发一 个全新的协议来替代现在正在使用的口v 4 协议才能根本解决这一问题。 总的来说，i p v 4 的缺点主要有以下几点【1 】： 地址空间的局限性：i p v 4 的地址空间有3 2 位，本来并不是很小，但是浪费 极其严重，而且分配的极不均衡，导致很多用户现在已经申请不到足够的地址。 骨干路由器路由表爆炸：由于i p v 4 的地址分配不是按照可聚类的方式进 行的，导致路由表项不能有效的进行合并，在i n t e r n c t 的核心路由器上 路由表甚至膨胀到了上百万条记录，极大的影响了效率。 性能：尽管现有的i p 协议表现得不错，但是一些源自2 0 年甚至更早以 前的设计还能够迸一步改进。譬如校验和、最大包长度、对v l s i 实现 的支持等。 安全性：网络安全现在已经变得如此重要，以至于必须要在球层这么低 的层次上来保证安全性。 自动配置：随着网络规模的不断扩大和移动网络的发展，对“即插即用” 的支持变得越来越重要。 2 2i p v 6 的新特性 i p v 6 对i p v 4 采取了批判吸收的策略，吸取了i p v 4 的优点，摒弃缺点，并具 有一些新的特性e 2 1 , 将i p 地址从3 2 位增加到1 2 8 位。这解决了i p v 4 地址空间有限的问题， 并提供了一个更深层次的编址层级以及更简单的配置。 4 北京邮电大学硕士论文i p v 6 协议 报头格式的简化。i p v 6 的报头固定为4 0 字节。这刚好容下8 字节的报 头和两个1 6 字节的i p 地址( 源地址和目的地址) 。i p v 6 报头中去掉了 i p v 4 报头中的一些字段，或者是将其变为可选项。这样，数据包可以在 低处理消耗下更快的进行操作。 通过增加一个作用域字段而改进了多点播送地址。 新的任意播送( a n y c a s t ) i p 地址类型用于向组内任何成员发送包，通常是 最近的组成员。 增加的路由报头提供了对移动通信的完善支持 去掉了头部校验和字段。 去掉了所有分片处理所用的字段，仅执行端到端的分片。 增强的地址自动配置功能 增加了流标签功能。属于同一传输流，且需要特别处理或需要服务质量 的数据包，可以由发送者进行标记。务实服务就是这种应用的典型例子。 扩展了对身份认证、数据完整性和( 可选的) 数据保密的支持。 2 3i p v 6 的报头 i p v 6 的报头相对i p v 4 报头做了很多简化。i p v 6 使用了固定长度为4 0 字节 的报头。另外，可采用“菊花链”的方式链接不同的扩展报头。每个报头的长度 是8 字节的倍数。i p v 6 没有定义尾部。 0 4 - 8 1 62 4 ，- 3 2 版本矿l0 e 先祆f ；f e 标识p 有效载荷长度p下个头p站段限制p 源地址一 ( 1 6 字节) p 目的地址- ( 1 6 宇节) p 图2 - 1i p v 6 的固定头部( 必需的) 北京邮电大学硕士论文 i p v 6 协议 版本 这是一个四位长的字段，其中包含了协议的版本。在所有i p v 6 数据报中 将该域置成6 。 优先级 紧接版本域之后的8 比特指示优先级。利用优先级域，首先区分二大业 务量( t r a f f i c ) ：受拥塞控带l j ( c o n g e s t i o n - c o n 的l k d ) 业务量：不受拥塞控制的 ( n o n c o n g e s t i o n - c o n t r o l i e d ) 业务量。 在i p v 6 规范中0 7 级的优先级为受拥塞控制的业务量保留，这种业务量 的最低优先级为1 ，i n t e r n e t 控制用的业务量的优先级为7 。 不受拥塞控制的业务量是指当网络拥塞时不能进行速率调整的业务量。 对时延要求很严的实时话音即是这类业务量的一个示例。在m v 6 中将值为 8 1 5 的优先级分配给这种类型的业务量。 0 p 无特殊优先级p l p 背景( b a c k g r o a m d ) 业务重( 例如网络搠司) p 2 一零敌数据传送( 如电子函件) 一 3 p 保冒p 4 p 连续批量传送( 例如f t p ，n f s ) p 5 p 保瞽p 6 p 会话型业务重( 例如t e l n e t 及窗口系统) p 7 p i t l t e m e t 控制业务置( 例如寻路协议及s 埔v 口) p 图2 - 2 受拥塞控制的业务量中的i p 优先级 流标识 该字段区分需要相同处理的数据包，以此来促进实时性流量的处理。发 送主机能够用一组选项标记数据包的顺序。路由器跟踪数据流并更有效的处 理属于相同数据流的数据包，因为他们无需重新处理每个数据包的报头。数 据流由流标签和源节点的地址唯一标识。不支持流标签字段功能的节点需要 在转发数据包时不加改变的传递该字段，并在接受数据包时忽略该字段。属 于同一数据流的所有数据包必须具有相同的源i p 地址和目的i p 地址。 有效载荷长度 有效负载长度域指示i p 报头后携带的数据长度，单位是字节。i p v 6 中 6 北京邮电大学硕士论文i p v 6 协议 的计算与i p v 4 不同。i p v 4 中的l c n g t h 字段包括i p v 4 报头的长度，而i p v 6 中的有效载荷字段仅包含狃v 6 报头后的数据。扩展报头被认为是有效载荷 的一部分，因此被包括在计算之内。此域占1 6 比特，因而m 数据报通常应 在6 5 5 3 5 字节以内。但如果使用h o pb yh o p 选项扩展头标的特大净荷选项， 就能传送更大的数据报。使用这个选项时净荷长度置0 。 下一个头部 在口v 4 中，该字段为协议类型字段。在i p v 6 中被重新命名，以反映出 重新组织的i p 数据包。如果下一个报头是u d p 或t c p ，该字段将和口v 4 中包含的协议号相同。但是如果使用了i p v 6 扩展报头，该字段就包含了下 一扩展报头的类型，它位于i p 报头和t c p 或u d p 报头之间。 0 一 中继点选项头标一 4 矿i p p 6 一 t c p o 1 7 一 u d p o 4 3 一 寻路头标p 4 4 一 报片头标一 4 5 一d r p p 4 6 p r s v p 矿 5 0 p 封装化安全爵荷一 5 l p 认证头标p 5 8 一i c h 胆p 5 9 p 尢p 一个头标 6 0 p 倍宿选项头标p 图2 3t p v 6 下一个头标值 站段限制 该字段和d v 4 的t t l 字段类似。r r l 字段包含一个秒数，指示数据包在销 毁之前在网络中逗留的时间。绝大多数路由器只是简单的在数据包经过每一跳时 将该值减1 。该字段在i p v 6 中被命名为h o pl i m i t 。现在用字段中的值标识跳数， 而不是秒数。每个转发节点对此数目减1 。 源地址 该字段包含数据包发送者的i p 地址。 目的地址 7 北京邮电大学硕士论文 i p v 6 协议 该字段包含数据包目的接受者的m 地址。对于口v 4 ，该字段总是包含数据 包的最终目的地的地址。对于i p v 6 ，如果提供了r o u t i n g ( 路由) 报头，则该字 段包含的未必是最终地址。 2 4i p v 6 的扩展头部 i p v 6 中规定了使用扩展报头( e x t e m i o nh e a d e r ) 的特殊处理。在i p v 6 报头和上 层协议报头之间可以有一个或多个扩展报头，也可以没有。每个扩展报头由前面 报头的n e x th e a d e r 字段标识。扩展报头只被p v 6 报头的目的地址字段所标识的 节点进行检查或处理。如果目的地址字段中的地址是多播地址，则扩展报头可被 属于该多播组的所有节点检查或处理。扩展报头必须严格按照在数据包报头中出 现的顺序进行处理。上面所述的规则有个例外：只有目的节点才会处理扩展报头。 如果扩展报头是逐站选项报头，则其承载的信息必须被数据包经过路径上的每个 节点检查和处理。如果有逐站选项报头，则必须紧接在i p v 6 报头之后。每种头 部都是可选的，但一旦有多于一种头部出现时，它们必须紧跟在固有头部之后， 并且最好按下列次序排序。 i p v 6 的扩展头部 逐站选项( h o p b y - h o po p t i o n sh e a d e r ) 运载每个i p 路由器必须解释的选项信息；例如它可以用于传送超大有效 负载信息。 路由选择头部( r o u t i n gh e a d e r ) 定义了该包必须经过球路由器( 也称为源路由) 。 分片头部( f r a g m e n th e a d e r ) 当传送的用户数据大于有效载荷所能允许的最大长度时便要用到分片头 部，分片头部传送了有效载荷携带的用户数据段在整个用户数据单元中的偏 移量。 身份验证头部( a u t h e n t i c a t i o nh e a d e r , a h ) 可选的认证信息。 加密的安全性有效载荷( e n c a p s u l a t i n gs e c u r i t yp a y l o a dh e a d e r , e s p ) 北京邮电大学硕士论文i p v 6 协议 传送有效负载的额外保护信息。 目的选项头部( d e s t i n a t i o no p t i o n sh e a d 保存仅为目的站检查用的可选信息。 2 5i p v 6 的地址 2 5 1i p v 6 地址空间 邛v 6 的主要改变就是地址的长度，从3 2 位一下增加为1 2 8 位，这样大约的 数目是1 0 的3 8 次方，这是一个非常大的空间，地球上每平方米都将分配到约 1 0 的2 4 次方的妒v 6 地址。选取1 2 8 位作为球v 6 地址是经过争论的，“位和1 2 8 位之争最终以1 2 8 位胜出。这也是充分了考虑了i p v 4 分配的经验而来的。 i p v 6 的设计者根据i p v 6 地址空间在地址的起始报头位所使用的数值的基础 上进行了进一步划分，包含这些起始报头位的长度可变的字段叫做格式前缀 ( f o r m a tp r e f i x ，f p ) 。格式前缀是一个i p 地址的高位，它用来识别子网或某种特 殊类型的地址。婵v 6 的地址分配方案如下图所示： 分配 前缀( - - 进制) 部分地址空间 保留 0 0 0 00 0 0 0l 2 5 6 未分配0 0 0 00 0 0 1l 2 5 6 为n s a p 分配保留 0 0 0 00 0 11 1 2 8 为i p x 分配保留 0 0 0 00 1 01 1 2 8 未分配0 0 0 00 1 1 1 1 2 8 未分配 0 0 0 0 11 3 2 未分配0 0 0 11 1 6 可集聚全球单播地址 0 0 11 8 未分配 0 1 01 8 未分配0 1 l1 8 为基于地理位置而保留 1 0 01 8 未分配 1 0 11 8 未分配 l l o1 8 未分配1 1 1 0 1 1 6 未分配 1 1 1 lol 3 2 未分配 1 1 1 11 0l 6 4 未分配 1 1 1 11 1 0 1 1 2 8 未分配 1 1 1 l1 1 1 001 5 1 2 9 北京邮电大学硕士论文 i p v 6 协议 i 链路本地单播地址 1 1 1 l1 1 1 0l o1 1 0 2 4 l 站点本地单播地址 1 1 1 l1 1 1 0l l1 1 0 2 4 l 多播地址 l l l l1 1 l l1 ，2 5 6 图2 4 i p v 6 地址空间的分配 2 5 2i p v 6 地址的语法表示 i p v 4 地址长度为3 2 位( 4 个字节) 。在书写这种地址时，每个字节作为一个无 符号整数，四个字节写成由三个点号分开的四个十进制数，写成“点分十进制” 的形式，例如：1 9 2 1 6 8 0 1 对于i p v 6 地址来说，定义相似的语法是必要的，要考虑到口v 6 地址的长度 是原来的四倍，由r f c l 8 8 4 规定的标准语法推荐把i p v 6 地址的1 2 8 位( 1 6 个字 节) 写成8 个1 6 位的无符号整数，每个整数用四个十六进制位表示；这些数之间 用冒号分开，如： 3 f f e ：8 1 b l ：1 0 0 0 ：0 0 0 1 ：0 1 2 3 ：4 5 6 7 ：8 9 a b ：c d e f 由于i p v 6 地址很难拼写和记忆，所以在i p v 6 环境中d h c p 和d n s 是很关 键的，尤其是d n s 。由于很难记住某台机器的i p v 6 地址，用户被迫越来越多地 使用名称，然后地址就渐渐地变成了一个网络内部的问题以及信息包的路由方面 的问题，这对于网络维护是有利的。 上面是一种比较标准的i p v 6 地址表达方式，此外，还有另外两种更加清楚 和易于使用的方式。考虑到口v 6 的巨大地址空间和i p v 6 的地址分配策略，i p v 6 地址中很可能包含一长串的0 。当出现这种情况时，标准中允许用“空隙”来表 示这一长串的0 。换句话说，地址3 f f e ：o ：o ：o ：o ：o ：o ：1 可以被表示为：3 f f e ：l 。这两 个冒号表示该地址可以扩展到一个完整的1 2 8 位地址，但只有当某个1 6 位组全 部为0 时才会被两个冒号取代，且两个冒号在地址中只能出现一次。 在i p v 4 和i p v 6 的混合环境中可能有第三种表示方法。i p v 6 地址中的最低 3 2 位可以用于表示i p v 4 地址，该地址可以按照一种混合方式表达，即 x ：x ：x ：x ：x ：x ：d d d d ，其中x 表示一个1 6 位整数，而d 表示一个8 位十进制整 数。例如，地址0 ：0 ：0 ：0 ：0 ：0 ：1 9 2 1 6 8 o 1 就是一个合法的i p v 6 地址。把两种可能 的表达方式组合在一起，该地址也可以表示为：1 9 2 1 6 8 0 1 由于i p v 6 地址被分成两个部分：子网前缀和接口标识符，因此一个i p v 6 节 点的地址可以按照类似c i d r 地址的方式表示为一个携带额外数值的地址，其中 指出了地址中有多少位是掩码。即，i p v 6 节点地址中指出了前缀长度，该长度 o 北京邮电大学硕士论文i p v 6 协议 与i p v 6 地址间以斜杠区分，例如： 3 f i e ：8 1 b l ：o ：o ：1 2 3 4 ：5 6 7 8 ：9 a b c ：0 d e f f 4 8 这个地址中用于路由选路的前缀长度为4 8 位。 2 5 3i p v 6 地址类型 从i p v 6 地址空间分配表中可以知道，砰v 6 地址是具有层次结构的，可以从 i p v 6 的地址前缀上区别i p v 6 地址的类型。 i p v 6 地址有三种类型：单播、多播和任意播。广播地址已被特殊类型的多 播所取代。r f c 2 3 7 3 中定义了三种i p v 6 地址类型： 单播c o n i c a s t ) 一个单接口的标识符。送往一个单播地址的包将被传送至该地址标识的接口 上。 任意播( a n y c a s t ) 一组接口( 一般属于不同节点) 的标识符。送往一个任意点播地址的包将被传 送至该地址标识的接口之一( 根据选路协议对于距离的计算方法选择“最近”的 一个) 。 多播( m u l l i c a s t ) 一组接口( 一般属于不同节点) 的标识符。送往一个多播地址的包将被传送至 有该地址标识的所有接口上。 在单播地址中，i p v 6 有一种链路本地地址，用于自动配置，它的前缀f p = 1 1 1 1 1 1 1 01 0 ( f e b 0 ) 。链路本地地址是自动生成的，它由网络接口卡的e u l 6 4 物理地 址( m a c 地址) 填入i p v 6 地址的低6 4 位得到。例如： f e 8 0 ：0 0 0 0 ：0 0 0 0 ：o 0 0 0 ：0 2 8 0 ：c 8 f f ：f e 2 b ：f b 2 8 其中低6 4 位就是由以太网卡地址0 0 8 0 c 8 2 b f b 2 8 而来的。我们知道m a c 地址一直是4 8 位的，i e e e 叉定义了一种新的e u i 6 4 的m a c 地址。对于旧的4 8 位的m a c 地址，映射到i p v 6 地址中时在前面的2 4 位厂商标志后面插入1 6 比 特f i f e ，并把高2 4 位中的第7 位变为l 。 i p v 6 规范规定，路由器永远不能传送目的地址为链路本地地址的i p v 6 信息 包。 北京邮电大学硕士论文 i p v 6 协议 另外一种特殊的地址是站点本地地址，相当于i p v 4 中的内部网地址像 1 0 x x x 和1 9 2 1 6 8 x x 之类，可用手企业内部网。无需申请和分配。其前缀是f p = l i i i1 1 l oi i ( f e c o ) ，最低6 4 位也是接1 2 地址，其余1 6 位是子网i d 。如： f e e o ：1 ：0 2 8 0 ：c 8 氆f e 2 b ：f b 2 8 i p v 6 规范还定义了两种内嵌i p v 4 的特殊地址： i p v 4 兼容的i p v 6 地址( n , v 4 c o m p a t i b l ei p v 6a d d r e s s ) 例如：1 9 2 1 6 8 0 1 ，这种地址主要用来构造自动隧道【1 6 】 i p v 4 映射的i p v 6 地址( i p v 4 - m a p p e di p v 6 a d d r e s s ) 例如：f f f f ：1 9 2 1 6 8 0 1 ，用来映射纯i p v 4 主机的地址到i p v 6 地址空间 另外，在i p v 6 中还定义了另种特殊前缀，以2 0 0 2 开头，称为6 r o d 。地 址，这种地址也是用来自动构造隧道的。这种地址利用一个全球可路由的i p v 4 地址作为i p v 6 地址第二级的标志，如：2 0 0 2 ：c a 6 f ：o a o a ：l ：0 2 8 0 ：c 8 f f ：f e 2 b ：f b 2 8 这个地址把i p v 4 地址2 0 2 1 1 2 1 0 1 0 填入i p v 6 地址的高1 7 - 4 8 位中。在6 t 0 4 路由器中，对于这种地址可以定义一条发送规则，就是把其中的i p v 4 地址取中 来，作为目的地址，建立i p v 4 隧道。 1 2 北京邮电大学硕士论文 i p s e c 简介 第三章i p s e c 简介 i p s e c 是i e t f ( 因特网工程任务组) 于1 9 9 8 年1 1 月公布的i p 安全标准。 其目标是为i p v 4 和i p v 6 提供具有较强的互操作能力、高质量和基于密码的安全。 i p s e c 对于口v 4 是可选的，对于i p v 6 是强制性的。 i p 层是t c p i p 网络中最关键的一层，作为网络层协议其安全机制可对它 上层的各种应用服务提供透明的覆盖式安全保护，因此，i p 是整个t c p i p 安全 的基础，是i n t e r n c t 网络安全的核心。i p s e e 在i p 层上对数据包进行高强度的安 全处理，提供数据源地验证、无连接数据完整性、数据机密性、抗重播和有限业 务流机密性等安全服务。各种应用程序可以享用p 层提供的安全服务和密钥管 理，而不必设计和实现自己的安全机制，因此减少密钥协商的开销，也降低了产 生安全漏洞的可能性。在i p v 6 中，可以使用i p s e e 来提供真正的端对端安全， 并会在源端和目的端之间的整个路径上( 而不是在网关之间) 保护数据。 通过包含i p s e c 扩展头部，i p v 6 提供了一些安全功能，它能够在网络层提供 加密安全服务 2 】： 夺访问控制。如果没有正确的密码就不能访问一个服务或系统。可以调用 安全性协议来控制密钥的安全交换，用户身份验证可以用于访问控制。 夺数据完整性。防止传输过程中数据被篡改，确保发出数据和接收数据的 一致性。可以在不参照其它包的情况下，对任一单独的i p 包进行完整性 校验。此时每个包都是独立的，可以通过自身来确认。此功能可以通过 使用安全散列技术来完成，它与使用检查数字类似，但可靠性更高，并 且更不容易被授权实体所篡改。 夺数据源身份验证。i p s e c 提供的又一项安全性服务是对球包内包含的数 据的来源进行标识。此功能通过使用数字签名算法来完成。 夺对包重放攻击的防御。重放攻击是指攻击者发送一个目的主机已接收过 的包，通过占用接收系统的资源，这种攻击是系统的可用性受到损害。 i p s e c 提供了包计数器来对付这种攻击。 夺数据可靠性( 加密) 。在传输前，对数据进行加密，可以保证在传输过程 中，即使数据包遭劫取，信息也无法被读。 在i p v 6 中，i p s e c 服务是扩展头部，它跟在主m 报头后面。身份验证的扩 展报头称作a h ( a u t h e n t i c a t i o nh e a d e r ) 头( r f c2 4 0 2 ) ，加密报头称e s p ( e n c r y p t e d s e c u r i t yp a y l o a d ，封装安全性有效载荷) 报头。 3 1i p s e c 体系结构 i p s e c 是一种协议套件( 协议族) ，包含了一系列安全协议，提供了一种标准 的、健壮的以及包容广泛的机制，可以为层提供安全保证，如提供访问控制、 数据源的身份验证、数据完整性检查以及机密性保证等安全机制，以及提供抗重 播攻击服务 3 】。 同时，l p s e c 是一个复杂的安全协议体系【4 】 6 】，它包括各种不同的i p s e c 组件， 为使大家更易于理解、实施和使用i p s e c ，有必要先了解这些组件之间的关系。 下图就说明了i p s e c 个组件之间的交互方式。 图3 - 1i p s e c 体系结构 i p 安全体系结构是对网络层上安全机制的一般性描述。e s p 协议，报头是专门 用于加密的安全要素。a h 协议，报头是专门用于验证的安全要素。加密算法和身 份验证算法是对加密和验证所使用的具体密码算法的定义。i p 安全的i s a k m p ( i n t e m e ts e c u r i t ya s s o c i a t i o na n dk e ym a n a g e m e n tp r o t o c 0 1 ) 是i n t e m e t 安全关联 与密钥管理协议。密钥管理框架是i p s e c 密钥管理，它基于更一般的框架之上的 密钥管理。 i k e ( i n t e m e t 密钥交换) 【9 】是动态密钥管理的一种方式，它可为i p s e c 协议 北京邮电大学硕士论文i p s e c 简介 生成密钥。但是i k e 并不是i p s e c 专用的，针对需要密钥的其它协议，也可用i k e 来协商密钥。i k e 可以被粗略的描述为一种协商协议，它利用i s a k m p 中定义的 数据格式，基- - 于o a l d e y 和s k e m e 密钥交换机制来交换密钥和s a 信息。 i k e 是对三条更常见的协议的集中和选择性改编【3 】： 夺i n t e m e t 安全关联与密钥管理协议，简称t s a k m p ，为处理s a 和密钥交 换提供了一个一般框架。 夺o a l d e y 密钥决定协议是基于d i f f i e i - l e l l m a n 密钥交换的一种协议。i k e 不需要整个o a k l e y 协议，只需要它的一个子集就能满足其特定目标。 夺i n t e r n e t 万用安全密钥交换机制( s e c u r ek e ye x c h a n g em e c h a n i s m ，简称 s 约z m b ) 描述了一种能够提供匿名、密钥否定和快速密钥刷新的快速密 钥交换技术。和o a l d c y 一样，i k e 不需要整个s k e m e 协议，只需要用 于验证的公共密钥加密方法和使用一种称为n o n c e s 的特殊令牌交换的快 速密钥重编方法。 3 。2 安全联盟 认证和加密需要发送者和接收者协商一个钥匙k e y ，协商认证和加密的算 法，以及一系列辅助的参数，例如钥匙的存活期或者算法实现的一些细节。这些 协定的集合就构成了发送者和接收者之问的一个安全联盟。 3 2 1 安全联盟的概念 安全联盟【5 】( s e c u r i t ya s s o c i a t i o n ，i p s c c 术语，常简称为s a ) 是构成i p s e c 的基础。s a 是两个通信实体经协商建立起来的一种协定。它们决定了用来保护 数据包安全的i p s e c 协议、转码方式、密钥以及密钥的有效存活时间等等。任何 i p s e c 实施方案始终会构建一个s a 数据库( s a d b ) ，由它来维护i p s c c 协议用来 保障数据包安全的s a 记录。 一个安全联盟s a 可以用一个三元组唯一地标示：安全参数索61s p i ，i p 目的 地址，以及安全协议( a h 或e s p ) 标示符。s a 管理的两大主要任务就是创建与 删除。s a 管理既可手工进行。也可通过一个i n t e m c t 标准钥匙管理协议来完成， 比如i k e 。 北京邮电大学硕士论文 i p s e c 简介 3 2 2 安全联盟的特点 首先，s a 是单向的，换言之，它的设计非常简化。如果两个主机( 比如a 和b ) 正在通过e s p 进行安全通信，那么主机a 就需要有一个s a ，即s a ( o u t ) ， 用来处理外发的数据包；另外还需要有一个不同的s a ，即s a ( i 1