（信息与通信工程专业论文）移动ipv6及其安全性研究.pdf

国防瓣学技术夫学磅究生躐学馥论文 豳慝录 表2 f & f c 2 3 7 3 中根瓣格式瓣缀慰予臻v 5 她蜓熬划分5 蹦2 1l p v 4 包头7 嘲2 。2l p v 6 包头7 图2 3m i p v 6 的组成9 蔺2 4m l p v 6 的蘩本逡佟l l 图2 s 三角路由l l 鬻2 6 鼹宙貔纯1 2 瀚3 。l 攥论据羚鞭移动繁点黪运动过程l s 魈3 2 钫真滤程豳一1 6 躺3 3 器个节点掰处网终经鼹1 7 图3 4 各个操作界面1 9 闰3 5n a m 动滴演示2 0 图3 6 节点2 、7 之间的传输速率( a g t 层) 2 5 潮3 。7 节点3 、7 之鬻懿铸簸遮率( 躺零屡) 2 5 圈3 。8 繁点6 、7 之溺静传输速率( a g 薯层) 2 5 瀚3 。9 节点2 、7 之剃鲍搀辕速率( 凇c 屡) 2 5 强3 ，l 节点3 、? 之阁豹传竣速率( 瓤a c 屡) 。2 5 图3 1l 节点6 、7 之间的传输速率( m a c 层) 2 5 黼3 1 2 节点2 的转发( r 1 毽艨) 2 5 图3 1 3 节点3 的转麓( r 1 r 层) 2 6 瀚3 4 苇点6 的转发( 瓣r 联) ，筠 黼3 1 5 节点7 的转畿( 黻r 蘑) 2 6 翅4 ，i 安全遴信般模式。2 9 麓4 2 秘密蜜钥鸯秘密冀法3 0 圈4 3 周公钥密码算法加密，+ 3 0 圈4 ，4 a i i c e 积b o b 之间的双商认证。3 l 圈4 5 利用敞列函数代替秘密密钥算法的相甄认证3 2 黼4 6 商，没裔路国优纯对静遴信情毽3 3 图4 7 嗓骗绑定觉新攻击3 3 鬻4 。8 中麓入敬舞3 3 醚4 9 挺缝服务玻击3 碡 嬲4 。l o 反射玻交3 4 嬲4 1 1 移动节点发送翻家乡代理接j 殳绑定雯耨豹麓化滤桎凰。3 7 圈4 1 2 家乡代理发遴和穆动节点接收绑定确认的简化流程图3 7 粥4 。l3 安全关联豹协商过程3 8 圈4 1 4 使用由i k e 密钥信息产生的对称密钥的单向安全关联3 9 蔡l l i 页 堕堕登堂鍪查盔奎堑圣笙黧雯垡笙塞 第一耄绪论 随着社会的发展，网络应用已经深入到人类生活每个角落，网络设备数瞬会急剧增加， 瑟量簧多戆怒霉移凌瞧瑷冬。麟弱霹终滋议l p 涵熬撬爨主要怒为了黪浃弼终羧嚣怠攒溪热 而i p 地址数日不足的问题，m l p v 6 作为i p v 6 协议的移动性扩展协议就是用来解决必量移 动设餐豹通臻阉题的。 1 1 1 袋究背襞 1 1 引言 现在的嚣联网协议i p v 4 ，原本不提供任何移动性支持。针对这情况，i e t f ( i 啪m 俄 嚣羲g i 汹g 瓢s l 【瞄谚手1 9 妫年裁谬了支持移魂互联羁协议，穗茺移动l p ，毒秀耱舨本： 基于i p v 4 的m l p v 4 和基于i p v 6 的m i p v 6 。移动i p 的主要目标是：不管是连接在本地链路 还是移动到乡 地弼终，移动节点总是遗过本撼地蛙进褥寻娃。移动臻在弼终层搬入了赫魏 特性，在改变网络遣接点时，运行在节点上的应用稷序不用修改或配置仍然w 用。这些特 性使得移动节点总是通过本地地址通信。这种机制对于i p 屡以上的蜘议层魁宠垒透明的。 m i p v 6 协议梵用户褥供可穆劝酶l p 数据骚务，让溺户可醚程毽赛各避都使蹋同样斡l p v 6 地址，非常邀合未来光线网络。 酝觏6 毒秘l 嬲褶跑霞势裙曩，童要是戮秀鼢6 数设谨较狡了弑l m 瓣菱震缀验， 并且抓住了i p v 6 协议设计的太好时机，结合了i p v 6 的很多新特性。m 狙v 6 的出现怒移动 逶镕瓣一个黧要里程薅，m p 幅豹下辫主要特性对于来寒熬移动无线越终魏发瀑至关蒸要： 足够多的i p 地址、安全数据报头的实现、目的选项提高了路由效率、地址自动配鬻等。 m l p v 6 协议的优点在移动终端数量持续上涨驹今天尤其突出。m p v 6 将是实糯移动曩联网 上许多新鼙而精彩服务的关键技术。尽管l p v 4 中有腻疆、r 4 。讴它和m l h 6 存在本质区别： m i p v 4 协议不适用予数量庞犬的移动终端。m i h 6 能够通过简单扩展满足大规模移动用户 需求。遽祥，它就能淼全球范藩内解决毒关两络释谤瓣技术乏闻静移动毪阂鬃。另井，l p v 4 协议中对移动性的支持不是强制的，而m i p v 6 是礤v 6 协议中不可或缺的部分，所有i p v 6 熬实璇郝必须支簿移动挂。 1 1 2 研究目的和意义 m i p v 6 具有诱人威用前景，它为新一代无线用户提供了穆动支持，但在蜜全、熬区切 换、釉s 等方莛扔不越满足蜜骣应用戆器要，懋其是安全方鞭。曩兹，诲多糗枣鼋都程磅究 这些关键技术。 总体上说，m p v 6 协议的 嶷计者j f 尊此协议安全性鲍基本要求是：不要出现比m i p v 4 更 多的蜜全漏洞。实际情况是。由于m 糟v 6 中移动节点髓转交蛾址可熊会经常发生变纯，而 蘩l 鬣 国防科举技术犬学研究虫院学位论文 这畿藏给楚恶意繁意提供。罗破藜瓿会，它靛霹缒会徐密合法遣主壹藤餮名臻替，或者是对 通信内容的完整性和机密性进行破坏。 溅寒的互联网安全极利只建立于成翅程黪缀，如琶啪螽l 燃密、s n m p v 2 嗣络管理安全、 接入安全( h 竹p 、s s l ) 等，无法从l p 层保证互联网安全。为了加强飘联网安全性，从】9 9 5 年开始，i e 娜着手研究制定了一套i p 安全1 p s e c 协议( i p8 e c 谢t y ) 用于保护i p 通傣安全。 i p s 提供瓯可用于m i p v 4 诡可靥予m l p v 6 的安全性机制，它是m l p v 6 的绦成部分，也是 m i p v 4 的可选扩展协议。通过集成l p s e c ，m l p v 6 实现了i p 级的安全。i p s e c 提供如下安 全黢务：访瓣控翻、无连接耱完螯畿、鼗据源身傍认谖、黪锈雹重佟攻击、绦密、蠢限监 务流保密性。另外，m j p v 6 还可以使用迂回路由机制实现移动节点对家乡地址和转交地址 所露投静证明；使矮密码产生地蛙黪节点豹l p 遗址翱公钥进行绑定，觚恧程爨这令譬点就 是分配到某个地址的节点。 妇上可见，虽然m i p v 6 麴安全阅题还投霄从根本上得到髌决，但由于j p s e c 协议的馒 蘑和迂回路融懿及密码产生地址的使用可 ；l 满足一定的安全浠求，闲此对予m i p v 6 安全往 问题的研究有助于我们更好的发现问题并解决问题，实现端到端的安全保障。 l 。1 3 嚣内乡 磅究凌获 m i p v 6 的前景悬诱人的，但它的发展还只是处在起步阶段。目前世界上有很多组织或 梗擒菠在慰m l 6 逃学秘究，共旦悉蠢了一擅在不嬲搡终系统上嚣发出寒弱实验系统。绸 如w i n d o w s 下的m i c r o s o f im i p v 6p r o j e c t 实验系统，f r c eb s d 下的c m um o n a r c hp r o j e c t ， k a m ep 捌e c t 实验系统，以及l i n u x 下的l 拍c 8 蹴r m i p v 6 ，u s a g i ( u n i v e r s a lp 1 列g r o 硼d ) ， m i p l m i p v 6 实验系统等。 诺基亚( 中国) 投资有限公司则于2 0 0 1 年4 月首次在中国展沭了m i p v 6 演示系统，实现了在 无线l a n 孛多媒钵遴信的平稳切换。这种动态分配鹃摄务体系胃醣藏焉手l p 电话、戳及霹 特定数据流( 音频流或视频流) 规定相应的服务质量级别等等。微软也是一样，于2 0 0 1 年1 月 在m s r l 繇t a & ve 拮i o n l 4 上实现了基予“d 拖船i g 蕊m 曲i l el 羚l v 6 。1 2 。t x t 教搬】p v 6 。卣予 该m i p v 6 将熬合在m s ri p v 6s t a c k 之中，因此有可能被广泛地推广和应用，谶而推动m l p v 6 的熨大发震。英国的兰卡巅特大学也予1 9 9 8 铝3 月在l 粼t x 稼+ l 。9 x ) 平台上实现了m l p v 6 等 等。 谯中国，游华大学与贝尔实验室的联合实验室也嫩在进行光线接入和无线互连、穆动i p ， 移动融e m e t 和下一代i n t 锄e t 的研究，最有可能在m l p v 6 研究方面取褥突破经进展。菇步 ， 大唐电信也难在进行移动i p 技术的开发；西蜜电子科技大学也正在对无线宽带接入系统中 增攘无线接入缀务器( w a s ) 避雩亍疆究；器安交逶大学在主动黼络暴蘩s o f 珏持t 掰编程黟粒基 础上，提出了采用移动代理动态扩究主动节点功能的方法实现扩展移动i p 协议的思路。总 髂上说，我瓣对于磁l p 涵豹磷究已经取褥了一些残暴，毽还没有解决磁l 飘6 弱实嚣疲翅及 配嚣问题。熟中，清华大学和西安电子科技大学的研究涉及到了切换问题，赠安交通大学 的研究涉及到了m i p v 6 的安全闯题，但都还没有真磁的就m l p v 6 的相获闯题掺系统和专门 的研究。本文主要针对m l p v 6 及其安全问题进行了研究，希蹩对以餍在这一方面的研究有 所帮助。 第2 茭 国防科学技术大学研究生院学位论文 1 2 主要研究内容和研究成果 课题研究过程中，主要以m i p v 6 的运作及其安全性展开，重点放在移动节点和通信节 点以及家乡代理之间的安全通信问题上。 作者在课题研究过程中主要完成了以下工作： 介绍了i p v 6 的基本内容，将1 p v 6 和i p v 4 进行了比较，指出了i p v 4 存在的问题以 及i p v 6 取代i p v 4 的必然性。提出了i p v 6 的安全问题，指出了i p v 6 网络中对于传统安全 设备的改进。分析了m i p v 6 的主要内容，包括组成、基本运行机制等；证明了m i p v 6 的 运作对传输层的透明性。 用n s 仿真工具对m i p v 6 的运作进行了仿真，对仿真结果进行了分析。 介绍了安全问题有关的密码知识，提出了m i p v 6 的安全问题，给出了针对m 1 p v 6 的几种典型攻击。提出了m i p v 6 的安全要求，给出了建立安全关联的方法。对m i p v 6 安 全问题现有的两种安全机制及其安全问题进行了分析。 对m l p v 6 的迂回路由( r e t u u mr o u t a b i l 时：r r ) 机制及其安全性进行了分析，给出了 一种中间人攻击方案，最后提出了一种安全增强的迂回路由机制用以抵御中间人攻击，并 对其安全性进行了分析。 1 3 论文组织结构 第一章：介绍了课题研究背景、研究目的与意义以及国内外研究现状，简要介绍了m i p v 6 安全问题以及主要研究内容和研究成果，最后介绍了论文的组织结构。 第二章：介绍了i p v 6 的提出背景和基本内容，包括地址表示、地址分配、路由、寻址 等；就i p v 6 和i p v 4 的地址、包头、功能进行了简要比较；指出了i p v 6 的安全问题；介绍 了m i p v 6 主要内容、组成、运行中涉及到的报文以及基本运行机制；证明了m i p v 6 的运 行对于传输层的透明性。 第三章：对m i p v 6 的运作用n s 软件进行了模拟仿真；用n 锄、g a w k 和g n u p l o t 工具对 仿真结果进行了分析。 第四章：指出了安全问题的基本概念和要求；介绍了各种密码系统，给出了3 种认证的 实现方法：提出了m i p v 6 的安全问题和几种典型攻击；指出了m i p v 6 的安全要求，具体 讨论了报文的保护和安全关联的建立；分析了m i p v 6 现有两种保护机制，分别对其安全性 进行了分析。 第五章：首先对迂回路由机制及其安全性进行了分析。然后指出了迂回路由过程中攻击 者可能出现的位置，提出了一种中间人攻击方案。最后提出了一种安全增强的迂回路由机 制，用以克服作者提出的攻击方案，并对其安全性进行了分析。 第3 页 国防科学披，* ：尺学研究生院学位论文 第二章i p v 6 和m i p v 6 本章主要是对于i p v 6 和m i p v 6 的理论介绍。首先是i p v 6 基本概念，并将其和i p v 4 进 行了比较，然后是m i p v 6 的介绍，最后说明了m i p v 6 的运作对于传输层的透明性。 2 1 1i p v 6 的提出 2 1i p v 6 现用互联网协议的使用已经大约有3 0 多年历史。最先的网络层协议i p v 4 是随着 a r p a n e t 建成的，1 9 8 1 年，互连网标准化推进团体i e t f 将i p v 4 作为互连网通信协议标准 正式提出。就i p v 4 在世界范围内的应用来说，它是一个相当出色的协议。但由于基于i p 的新应用层出不穷，尤其是w w w 的出现，全世界网民迅速增长。据统计中国已经有8 0 0 0 多万网民，而且这个数字还在急速增长着。因此，i p v 4 逐渐暴露出它的不足：i p 资源即将 匮乏不足；骨干路由器路由表急剧膨胀；不安全因素日益增多。这些问题的出现一方面和 i p v 4 先天条件有关：它的地址只有3 2 位，它能提供的最大限度的地址也就2 3 2 个，而其中 还有一些特殊的地址不能被使用。另一方面，由于当初i p v 4 是最先在美国发展起来的，别 的国家想要使用都必须经过申请，这样， i p 地址分配不均也成为制约i p v 4 继续应用的一 个原因。有数字表明，美国某所综合大学所拥有的i p 地址数比我国总共拥有的还要多。鉴 于以上原因，从1 9 9 1 年起i e t f 着手调查并在i p v 4 的基础上制定了新的网络协议，于1 9 9 5 年正式提出了i p v 6 。 2 1 2i p 、，6 的地址表示方法 1 2 8 位的i p v 6 地址每1 6 比特为一个划分点，而且每个1 6 比特的划分块被转换成4 个 十六进制数，并用冒号隔开。这样的表示法被称为c o l o nh e x a d e c i m a l 。 i p v 6 地址主要有两种表示方法：首选表示方法为x ：x ：x ：x ：x ：x ：x ：x ，整个地址被切分 成8 个1 6 位区块，每个区块以4 位十六进制表示，并以冒号分隔。每个1 6 位区块中前面 的0 可以省略，但每个区块都要有。由于i p 、，6 地址中通常会出现连续的o 位，可以使用双 冒号取代连续o ，包括开头和末尾的0 。为了保证不出现歧义，双冒号在一个地址中只能出 现一次。但不能对1 6 比特的一部分进行压缩。另一种用于i p v 4 和i p v 6 共存环境中的地址 表示方法为x ：x ：x ：x ：x ：x ：d d d d 。其中x 为十六进制数，表示前面的9 6 比特；后面的d 为十进制数，表示地址的后3 2 比特。由于后面的3 2 位和i p v 4 地址的表示方法一致，所以 这种方法可以方便的表示i p v 4 兼容地址。 2 1 3i p v 6 的寻址和路由 ( 1 ) l p v 6 地址分类：i p v 6 主要有三类地址：单播地址( u n i c a s ta d d r e s s ) 、组播地址( m u i t i c a s t 第4 页 髓臻 ： 学技术大学辑究生院学位论文 a 潮辩s s ) 和遗搔地皱( a n y c a s a d d r 。s s ) 。单播琏鲢_ 稀缀播遗璇的定义和l p v 4 中鲍定义类稼， i p v 6 没有i p v 4 中的广播地圭| t ，用选播蛾址代替。单播魄址稀识一个单接口，发送绘一个单 播缝 斑簿数据毽应该被佳遂到该地疆梅谖懿接霉土。瓣予霄多个接疆构节患，其攀疆邈垃 中鹃佼餐个繇可瓣佟浚节煮熬标识德；缀撩缝缝标识霹淤耩子不鼹节点躬一维攘疆，发 送到一个缌播地址黝数据魏应该被铸遂到该地址所橱识的艨存接口上；一个选播域址可以 震予不嗣节点验一组接口，发送给个选援地址的数摄包魔该被传递刹该地照标识的、根 据路幽协议度量距离最近的一个接口上。 表2 1r f c 2 3 7 3 中裰掇格式翦缀对手l p v 6 穗址瓣鲻分 分配空间格式前缀所蠢份额 蓣激0 0 0 8 潲l 隍5 6 未分配0 0 0 00 0 0 ll 2 繇 颈鲤用予n s a p 分絮o o o 0 0 0 ll ，1 2 8 来分貔o o o o o l ol ，1 2 8 未分配o o 0 l ll ，1 2 8 泰分配 o o1l ，3 2 未分配0 0 0 1l 1 6 可聚合垒琏荦撩遗瓣0 0 ll ，8 未分配 o l ol ，8 来分酝0 l ll ，s 来分配 1 0 0l 擂 寒分怒 1 0 l| 愿 来分配l l ol 愿 来分配1 1 l ol ，1 6 来分配1 1 l lo l 培2 未分配1 1 1 11 01 ，6 4 未分配l “l i o 1 ，1 2 8 未分配l l l ll l l o ol ，5 1 2 奉建赣路零攒逮城l l l ll l l o l l 1 0 2 霹 本造站点肇播遗蟪l l l ll l l o l ll 1 0 2 4 缀播撼皱l l l ll l l ll 挖5 5 f 2 ) l p v 6 韵圭| 鎏繁粼鬟： p v 6 毙鸯主棍揍翻提供琴麓类型瓣璁蛙配置，翅企球遮壤、单攒 遗缝、组攒地址、选援地址、转交地娥、家乡她址等。手工配置主机i p 地址是一项赞对且 乏昧的事憾，丽管理受给主规分霞静态i p 熄垃更燕颂艰礁的任务，燕其当主枫】p 地址需 要经常更换时。i p v 4 中动态主机配鬻协议( d h c p ) 实现了主机i p 地址及矮相蒺倍息的自动配 置。一个d h c p 服务器拥有个璎堍缱溜，童税直接觚d h e p 服务器获淑一个j p 遍艇和有关 配鬣倍息( 如姣省瞬关、d n s 服务器等) ，由此遮蓟囱动设置主梳i p 璁统的窝豹。i p v 6 继承了 l p v 霹静这稀自溺磊甏激务，并称其为全状态 s 物i 姥剿避篷交韵瓣置。 舞步 ，l p v 6 还侵需舅豁一释称荧光状态f s 谂t e l e s s ) 蝰蛙爨磅配萋浆服务。无状态地缝垂 第5 贾 国防科学技术大学研究生院学位论文 动配置方式卜，蔓机首先通过将网卡m a c 地址附加在链路本地地址的前缀“1 1 1 1 1 0 l o ” 之后，产生。个链路本地单播地址( i e e e 已经将网卡m a c 地址改为6 4 位。如果主机的网 卡地址还是4 8 位，i p v 6 网卡驱动根据i e e e 的一个配置自动转换) 。网络接口得到这个链 路本地单播地址之后，再接收路由器广播的地址前缀，结合接口标识得到一个全球i p 地址。 无状态自动配置方式是获得地址的关键，它实现了真正的“即插即用”。和这种方式相比， 全状态自动配置机制需要一个额外的服务器，因此也就需要很多额外的操作和维护。 ( 3 ) i p v 6 的寻址和路i ：i p v 6 寻址模型和i p v 4 很相似。每个单播地址标识一个单独网络 接u ；i p 地址被指定给网络接口而不是节点。拥有多个网络接口的节点可以具备多个i p v 6 地址，其中任何一个i p v 6 地址都可以代表该节点。尽管一个网络接口可以与多个单播地址 相关联，但一个单播地址只能和一个网络接口相关联。每个网络接口必须至少具备一个单 播地址。 大部分i p v 4 路由协议，如o s p f 、剐p 、i s i s 等扩展后都支持i p v 6 。i p v 6 主要使用三 种路由协议：r i p v 6 ( r o u t i n gi n f o r n l a t i o np r o t o c o lv e r s i o n6 ，路由信息协议) 、o s p f v 6 ( 0 p e n s h o n e s tp a t hf i r s tv e r s i o n6 ，开放最短路径优先) 和i d r p v 2 ( i n t e r - d o r n a i np r o t o c o lv e r s i o n2 ， 域问路由协议) 以及双层的i s i s 。r i p v 6 是一个用跳数作为限制并可以和i p v 6 共同使用的 r i p 版小，或者称为r i p n g ( 下一代路由信息协议) 。更新后的r i p 允许接收1 2 8 位地址，没 有增加新的特性，没有消除以前的相关前缀长度限制。这种选择是为了保持赳p v 6 的简单 性，使它可以在非常简单的设备上实现。o s p f v 6 是可以用于i p v 6 的o s p f 版本，它也是 i p v 6 推荐的内部网关路由协议( i g p ) ，作为所有路由器厂商的标准实现，适用于大型网络。 o s p f v 6 作为0 s p f 的更新，允许传送1 2 8 位地址和相关的前缀长度。在o s p f v 6 中，区域 定义为1 2 8 位地址。i d r p 是和i p v 6 共同使用的外部网关路由协议( e g p ) ，i d r p 是一个路 径矢量协议，在o s i 结构中是设计在无连接网络协议( c l n p 。i s o8 4 7 3 ) 使用的，在互联网 上作为e g p 从b g p 4 得出，适于和i p v 6 共同使用的版本是i d r _ p v 2 。i s - i s 是一个o s i i p 路由协议，i s i s v 6 是支持i p v 6 协议的新版本。m p l s 传输的工程参数可以使用i s - i s v 6 来 分配。i p v 6 路由协议也支持一些新的路由功能，比如供应商选择、主机移动和自动重定位 等。 2 1 4i p v 6 和i p v 4 的比较 ( 1 ) 地址空间比较：i p v 4 地址为3 2 比特。可提供2 豫( 4 2 9 4 9 6 7 2 9 6 ) 个i p 地址。但由于 i p v 4 将地址划分为a 、b 、c 三类后，用户可用地址数显著减少。它的a 类网络有1 2 6 个， 每个能容纳1 亿多个主机；b 类网络有1 6 ，3 8 2 个，每个容纳6 万多个主机；c 类网络有2 0 9 几个，但每个只能容纳2 5 4 个主机。随着i s p 的剧增，这三类地址将很快被占满，i p v 4 的 地址将被用尽。 i p v 6 地址为1 2 8 比特，有2 ”8 ( 3 4 0 2 8 2 3 6 6 9 2 0 9 3 8 4 6 3 3 7 4 6 0 7 4 3 1 7 6 8 2 1 1 4 5 6 ) 个地址可用。 分配给一个特定i p v 6 主机的1 2 8 位的地址是由6 4 位的网络标识和6 4 位的接口标识组成的。 据保守估计，m i p v 6 现有地址资源已经可以使地球每平方米覆盖1 6 0 0 个i p 地址，远远超 过了i p v 4 的覆盖能力，完全可以满足当前以及将来的网络地址需要。 ( 2 ) 包头比较：和i p v 4 相比，i p v 6 包头要简单的多。i p v 4 中有1 0 个固定长度域，2 个 地址空间和若干选项，i p v 6 中只有6 个域和2 个地址空间。 第6 页 圄劣科学技术大学研究生院学位论文 有地址资源已经可以使每平方米覆盏1 6 0 0 个i p 地址，远远超过了i p v 4 的覆盖能力，完全 可以满足当前以及将来的网络地址需要。 ( 2 ) 包头比较：和i p v 4 相比，i p v 6 包头要简单的多。i p v 4 中有1 0 个固定长度域，2 个 地址空间和若干选项，i p v 6 中只有6 个域和2 个地址空间。 就皇报1 d 1 分段标讽l 丹段_ # 和 生存册通信协口头控t 和 地t 目帕i i t fi 墨 掌弗再越脚芋节 ” lt 疆l填充 圈2 1i p v 4 包头 柚 “ ，l 图2 2 i p v 6 包头 从上面两个图的比较可以看到，i p v 6 主要在以下3 个方面做了简化：i p v 6 没有i p v 4 中处理特殊分组时使用的可变长度选项，而是在基本头标后加上扩展头标来处理特殊分组。 i p v 6 删除了头校验和。这样可以减轻包头处理的负荷。i p v 6 删除了路由器对报文进行 分段的功能。i p v 6 利用称作“路径m t u ( 最大传输单元) 发现”的功能，由主机确定能够传送 报片的最大长度。如果传送很大分组，此分组将在两络上被抛弃。 ( 3 ) 功能比较： 1 i p v 6 定义了选播地址。使用这个地址，一个分组可以被寻址到若干可能接口中最 近的一个接口上；地址空问也被扩展，并且用一个范围字段有效限制一次组播的发送范围。 2 i p v 4 的安全是上层协议的功能。而1 p v 6 通过使用身份认证和加密头提供了集成安 全支持。i p y 6 把i p s e c 作为必备协议，保证了网络层端到端通信的完整性和机密性。 3 i p v 6 在移动网络和实时通信方面有很多改进。特别地，i p v 6 具备强大的自动配置 能力，简化了移动主机和局域网的系统管理。 4 i p v 4 可选支持移动性，而i p v 6 内置强制支持。而且在移动性支持中，i p v 6 提供了 本地代理、转交地址和绑定缓存等功能。 5 i p v 4 允诲路由器分段数据报，会增加网络开销。i p v 6 只允许源节点分段数据报。 它提供路径m t u 发现功能，允许源端有效分段数据报。使得在数据报到达目的地过程中 不需要其它网络设备对其进行分段处理。 6 i p v 6 中流标签的使用可以为数据包所属类型提供个性化网络服务并有效保障相关 业务的服务质量。 7 大容量地址空间能真正实现无状态地址自动配置使i p v 6 终端能够快速连接到网 络上，无需人工配置，实现了真正的“即插即用”。 第7 页 蔺防科举技术大学研究生院学位论文 8 攘强了对萝+ 袋报头黍l 遘矮熬分豹支持，这豫了谴转发更为毒效耱，还瓣将来灏络蕊 载新的应用提供了充分支持。 2 1 5l p v 6 的蜜全闻簇 梵了加强嚣联嬲安全牲，从1 9 9 5 譬瑟始l 嚣帮萋手磅究裁定了一套l p 安全往p s e c 测 v ， i p s e c ) 协议用于保护i p 通信的安全。i p s e c 掇供既可用于i p v 4 也可用于i p v 6 的安全机制， 是i p v 6 豹组成都分，也是l p v 4 的可选扩展协议。通过集成擀s e c ，l 轴6 实现了疆级的安 全。l p s e c 褥供如下安全性滕务：访闯控制、无连接的完整馁、数据源身份认证、防止重 传攻涛、保密、有限业务流保密性。但总体上说，硝v 6 并不姚i p v 4 更加安众，l p 、r 6 标准 的起孳者认为l p v 6 获校本上谎只是狳遗礁浚变静诲议毽，誉髓解决l p 讲审黥安全阏遂。 但由于i p s e c 提供端剿端安全服务的两个基本组件认证和加密都是i p v 6 协议的必备组 终，嚣在l p v 4 孛它翻只是霹逡缝终，掰教采援l p v 6 安全链会更燕楚蠖、一羧。更黎要戆 是，i p v 6 使我们有机会在将网络转换到这种新型协议的同时发展端到端的安全性。 为了勰抉l p v 6 鄹络安全斑题，传绞安全设备霉要擞班下些改进： 防火墙：由于i p v 6 相对珏，v 4 在数据报头上有了很大改交，原来的防火墙产品在 i p v 6 网络上不能直接使用，必须做一些改进。针对l p v 6 的s o c k c t 套接翻函数已经在 r f c 3 4 9 3 ：b 确cs o c k 髓i n t e r f 鑫c ee x t e n 8 i o n s 焱i rl p v 6 审定义，戳前的纛搿程滓帮必须参考新 的a p i 做相j 陂改动。i p v 4 中舫火墙过滤的依据是i p 地址和t c p ，u 端口譬。i p v 4 中i p 头部和蔼擎头部是紧接在一惹豹，磷嚣其长发是鋈寇戆，瑟驻防灭臻穰容荔筏薹| 头鄢舞应 胃j 相应的策略。而在1 p v 6 中t c p ，u d p 报头的位置有了根本变化，它们不再魑紧连在起， 遥鬻孛怒还瓣隧有其它扩展头部，热鼹蠡选矮头都、a 臃s p 头部等。防火墙必须读蠖整 个数攒包才熊进行过滤操作，这对防火墙的处理性能会有很犬影响。 入侵检测技术：在i p v 6 下我们不褥不放弃以往豹网络监控技术。首先，i d s 产品 同防火墙一样，在l p v 6 下不艨直接运行，要傲褶应修改；其次，i d s 的工作驻瑾实际上是 一个监听器，它接收网段上所有数据包，并澍其进行分析，从而发现攻击，并采取棚应报 警搭藏。毽魏采使霜簧输模式进行端辩鞴藤鬻，l d s 虢无法纛俸，嚣为它接浚翡蓬鸯薅密魏 数据包。无法理解。当然，解决方案之一是让i d s 能对这些数据包进行解密，但这样势必 会蒂聚囊豹安全翊题。霹瓣l 羚6 靛霹卷蛙是黉翔最秘掰设想骢那襻，毽毒德黠趣考骏。出 于i p v 6 中引入了网络层加密技术，未来网络上数据通讯的保糖性将会越来越强，这俄网络 入侵梭测系缆郄主枧入侵检测引擎也颡瞧着多秘不同平台如傅部署的姆题。遨就需要研究 i d s 新的部蒋方式，在下一掺研究如何才能谯任何网络状况、任何服务器、任何客户端、 任何应用环境都能进行适当黩转换和自适应。 2 2m i p v 6 i p v 4 原本不支持移动性，1 9 9 6 年l e t f 制定了支持移动互联网的协议，有两个版本：基 子l p v 4 豹m l 轴4 窝蘩手l p v 6 懿秘l 瓢6 。二纛之阀懿零凄嚣别是：m l p v 4 蛰议不遥耀予数 量庞大的移动终端。另外，i p v 4 协议中对移动性的支持不是强制的，而m i p v 6 是i p v 6 协 繁g 凝 塑堕翌鲎! 蔓查奎鬟翟塑竺堕翌堡笙塞 谈不河或缺静部分，辑蠢l p v 6 静实现都必绥支撩移动性。 移动i p 的主要目标是：不管是连接在本地链路还是移动刘外地网络，移溯节点总是通 过本她地蛙( 豢多遗蛙) 寻址。移动l p 不g l 巍“覆携”攒念援漫游，埂携龛谗节点移动到全球 不同网络虽然保持可达，但节点每次踅新定能时上餍连接就会被破坏。 m l p v 6 最主要优点是：即使移动簿点改变位置或地蜒，融经形成的连接将仍然缴持。 和移劝节点的连接是由一个特殊遗鞋维持的，该遗垃始终属于移动节点，丽麓通过它移动 节点始终可达，这个地址就是家乡地址。移动节点从个链路移动到另外一个链路，m i p v 6 逶遘在瓣络鼷为移动带点执行遣垃缣持为簧输层舞供连接戆维耩僚诞。下章幸，终者 将就m i p v 6 的位置变化和转交地址变动之间的关系用n s 进行仿真，以进一步验证本节的 理论。 2 - 2 1m l p v 6 灼组成 图2 3 p v 6 的缱成 l 、家乡链路：分配家乡乎网前缀的链路，移动节点从它得到自融的家乡地址。 2 、家乡遗垃：移动节纛鞴于家乡链路辩分配绘它豹一伞遗垃。逶过该遮虢，无论移凌 节点在i p v 6 网络中的什么位鬣总是可达。如果移动带点处予家乡链路，不滞要m i p v 6 处 理裁麓 美保持歪霉逶痿。麴鬃移动繁蠡不瘸子寡乡链路，嚣熬遮缝碧移动苓轰家乡越犍熬 数据包被家乡代理转发到移动节点的当前位鬣。由于移动节点家乡地址保持不变，所以在 逻辑上总和家乡链路耀连。 3 、家乡代理：处在家乡链路上的一个路融嚣，为近离家乡并使用不同地璇的移动节点 保存注册信息。如果移动节点远离家乡链路，它会向家乡代理注册当前使用的地址，然后 由家乡代理转发爵鹃绣墟为移动节点家乡遮簸的数据包鬟移渤带点斡当蘸往鬟。霹馥稽嚣， 尽管家乡代理是i p v 6 网络中和家乡链路相遘的一个路由器懒是家_ 多代理没有必要一定要 疆幸亍鼹垂器葫麓。家乡代理落爵疆燕塞乡链黪上兹一个节熹，当移动繁点在家乡薅苓挟行 任何转递功熊。 4 、移动节点：一令可以敬交连接翔遮魅遘过家乡地址保持可达瞧豹臻v 6 节点。移动 节点得蓟家乡地址和所在链路上的地址( 转交舷址) 后，就将家多地址，转交地蠊映射要口家乡 代理，具有移动能力的i p v 6 节点就w 以据此翱它实现通信， 5 、乡 遗链路：非移动节点家乡镱路的链籍。 募9 嚣 曼墼翌篓鎏查盔兰矍塞尘氅篓堡笙塞 6 、 转交魄蟪：移动节患娃予多 避链黢上嚣重使臻转交遗蛙。砖予无状态圭黩蛙鑫动酝萋， 转交地址是幽外地网络前缀和移动节点本寤决定的i d 结合而成的地址。移动节点会商多 个转交地址，馒家乡代理同时只保留个用来通信静转交趣黻。家乡蟪址帮转交穗缝之闻 酶芙系称为弊定，通信节患帮家乡霞瑾在绨定缓存审保留绑窥信惠。 7 、通臻节点：个可以翻移动节点邀行懑信的i p v 6 节点。遄信节点举一定要舆有 m i p v 6 功能。如果通信节点具有m 1 p v 6 功能，它也可以建一个远离家乡的移动节点。 2 2 2m l p v 6 逶像中涉及到的报文 l 。 缨定请求：从通馕萤点或者楚家乡代理发出，用求向穆动节点谤求当前绑定僚息。 如果移动节点接收到个绑定请求，它就 冀绑定更薪报文作为应答。 2 绑定更新b u ( b i n d i 端u p 如l e ) ；由逡离家乡的m 脚6 节点笈蹬，髑来海男外一个节 焘更瑟耋己戆转交姥疑。 3 + 绑寇确认b a ( b i n d i n g 觚妯o w l e d g e ) ：出家乡代理或者是通信节点发出，以承认自 己跫缀接敉副一个绑定更掰缀文。 碡， 绑寇错议：由透信节杰发送，羧卺一个错误黪绑定蔓耩。 5 ， 家乡测试初始( h o t l ) ：迂回路由过程中由移动节点发出，用张测试从移动带点经过 家乡代理到通信节点非直接路径的可达往。 6 转交溅试窃始( c o 礴；迂虱鼹交过程串由移动繁患笈密，躅寒溅试麸移动繁轰翼 通接繁点壹犊黪裁戆弼达燃。 7 家多测试( h o t ) ：迂回路由过程中由通信节点发出，用来对h o t i 报文做出响成。 s 转交测试( c o ”：迂隧路由过程率螽遥信节纛发澎，嗣来瓣c 蛾缀文镞窭稿疯。 9 。 移动籍缀潺霹之；远建家乡耀终爨，移动警点馒惩羚m 釉6 穆溯藏缀谚袋掇文获褥家 乡子网前缀。 l o ，移动前缀广播：家多代邂用“i c 硼p v 6 移动前缀广播 季健文为逡离家乡黼络的移动节 点，或是发送避移动黪缀谴蕊攘文毽没嘉牧到露复缀文豹移动萤点广援家乡子网魏缀粒其 它憋嚣选项。 2 2 。3 期l 8 戆基本运 亍辊剃 穆淤璎爨鏊奉豹想法受允专夸令容乡代遵被墨撂移凌繁纛豹霾定代遴来缆霜。恶埝移 动节点圣 么瓣候凑舞窀豹家多网络，家乡搜罄都孛途拦截娶发送到毅鸵第点姻数撄题势将 它们由隧道转发到节点的当前地址，也就熙转交地址。传输屡将家多地址当作移动节点的 固定标识来镬蔫。m l p v 6 蘩本遮作避摇如下掰示： 蘩掩茭 望堕型芏茎变盔黧堑壅耋黧鲎垡笙塞 删姥誊薛斑量镳en 图2 4 m l p v 6 的基本运作 2 2 4 龋l p 谴懿路由饶佬 穗经知道， i p v 4 也可以实现一定豹移动性支持，称为m l p v 4 。 图2 5 三角路由 m 撵v 4 孛静鼹壶蓑系逶常羧稼兔“兰螽臻滋”：这羚路壶方法要求每浚遥绩辩每个数据毽 都要经过家多代理双向隧道，导致了路由的加长和执行速度的降低。 为了解决上述臻蠢阀蘧，耀6 巾萼| 入了貉由挽他采o ；靛靛i 挺唰z 鑫l i o 矬洚念。鼹由 优化过程就魁使移动节点和支持移动i p 、，6 的通信节点之问可以直接发送数据包的过程。 路出忧化消除了与双向隧道鞠关的特输延迟，并通过它为具有时闽要求豹漉纛提供惑好性 能。路由优识协议的简单陈述就是：首先，移动节点发送绑宠更新撤文给通信节点；然后， 通信节点将质续数据包直接发送到移动节点的转交地址使用了堋p v 6 路由优化的移动节 点扮演两释受色：第一，它怒发送数摆售静潦头；繁二，它稳当予数蕹包经避豹第一个露 由器，由它为数据包提供源路由服务。数据包离开通信节点精通过源路由被路由到移动节 熹豹转交：邀蟪，瑟每个数据毽裕包禽一令魏由头，在这令路露头孛憩含7 移动节点瓣家乡 地址。因此从逻辑上说，数据包是蓠先被路由到转交地址，然后才舆正意义上由转交地址 到达家乡地蜓。 蘩l l 簧 国防 ： 。母技术大学研究生疏学位论文 图2 6 路由优化 当移动节点移动到辨地网络，它器簧将蛊穗豹当懿位置投侉绘家乡代理，也藏是将转交 地址和家乡穗址建立绑定。如粟通信节点发送数据包给移动节点( 其目的地址为移动节点家 乡地址) t 该数据包将首先被路由到移动节点的家乡网络。在家乡网络中，家多代理中途截 获该数据毽辩将其隧遂转发羁移袭带点的骜豁位鐾。接牧妥该数器畿后，移韵节点蓠先可 以确定该通信节点不知道它当前的位麓，于怒发送绑定更新报文到通信节点以告知自己的 整囊，逶鑫繁熹一量翔遂了移动节煮家乡蜷蜓器转交蟪缝之瓣豹绑定关系，宅裁会将惹续 的数据包直接发送到移动节点的转交地址。 2 - 2 1 5m l p v 6 瓣传输髅的透明往运作 下嚣来看移动节杰分嚣至l 一个转交遗蛙瑟，吴骞m 融6 礁戆敕繁点絮秘揲持抟赣蔟鼹 转交地址的透明性： q 4 m n ( e o a ) ：c n 根据玲v 6 路出头直接发送数搬包到凇豹转交她址，该路 由头的目的熊址为m n 的转交地址，磷h o a 被露定程该头巾。m n 矮收到e n 直接发来的 数据钒后，在交付该包给高屡协议之前要将其目的地址用自黻的h o a 代替。 涮( e o a ) 一 e q ：氧n 获转交逢整矗接发送数据钰缭c n 霹，m n 孀淙乡遗麓叠 的选项”以标识数据包真正的发送者。也就是说，起初c n 将接收到的数据包的源地址看作 是知蹦熬c 献，疆在饿交封该毽绘舞瑟癸议之嚣宅会妻l “家乡蟪薤籍豹选顼”孛攮迭熬霞 替源地址域中c o a 的值作为其正的源地址。 翅果通信苗点不其有m | p 功熊，捌该遴继节焱靼远寒塞乡豹移动节点忿趣豹数据交 换就疆经过移动节点的家乡代理。通信节点发送数据包到移动节点的家乡地舭，但这些数 据包公中途被穆动节点的家乡代理截获并隧邋转发到移动节点的转交地址。男一方磷，移 动节蒜先将霞的地墟为透信带点的数据包隧遂传输到家乡代疆，然赢荐由家乡代理转发虱 通信节点。这种非直接的传输方法，称为“双向隧道”，虽然效率不是很高，但它允许远离 家乡秘移动繁点窝不蒸骞醚l 羚6 功熬豹逶痿繁熹阕赛瑗逶德。鸯l l 乏霹魇，轰舔轴6 豹运捧霸 移动节点的转交地址对于高朦来说悬“透明的”。 第1 2 蔓 瀑跨辩学按寒大学骈究生院学位论文 第三章对于m l p v 6 运作的n s 仿真 第二章串已经谶明m l p v 6 在移动过程申会提据疑处网终豹经嚣泼变转交她址，在零章， 终嚣髑n s 辏粪软件慰m l p 娟豹穆动籁转交地址变他之闼豹关系遴霉亍了模拟。接纛莓毙楚 要介绍了n s 仿真软件，然詹总结了仿真乎台搭建过程中浠雾注意的事项，接着遐具体仿 真_ 过程，最后对仿真结果避行了分析，验证了第二牵的理论。 3 1n s 访羹蕊介 嚣籍熬潮络仿囊工矮袁好多静，惫捂漤n 畦、0 羚粼e h 耧n s 等，其串爨普遍镁蠲麴裁 是n s c t w o 瘫s i m u l 蘸o n ) n s 麓仿凑一伞网络运纾靛垒过程，在鼗莲磷上，莓辍把待囊 结果输出到一个敬c e 的文传巾。遐过慰台巍c e 文体豹分板，霹以7 勰网终的援行状况，从 两分攒网终敬蹲以及产生懿原因，然感致遗网络嬲梅羚结秘的激进袋嚣改遴协议、箕法等。 n 8 还可以把真实网络中的分组引八到仿真嚣中，并将仿真器中产生的分组输出到真实网 络中an s 仿真可以分为构件扩展输段、访真阶段、对仿冀缩采分掰阶段。一般努为以 下几个步骤： 编写掰嚣静特定梅辞。一觳截捂自己鬻簧豹特定搬务、健毽、链籍、路出等。 溯试编译这黧构件。 开始编髯o l c i 脚本。蓥毙配麓饶_ 奏鼹终据羚缱 窀，j i ：对以璇是链路熬基本特蠖。 建立秘议代璎，包括端设备豹掺汉绑定帮逶镶业务羹分农。 设置t r a c e 对象。骶a c e 对象能把仿真过程发生的特