（计算机应用技术专业论文）基于ipv6的安全协议ipsec的研究.pdf

硕士论文 基于i p 、，6 的安全协议i p s e c 的研究 摘要 i n t e m e t 已经进入了一个无处不在、无所不在的境地，经济、文化、军事和社会活 动将会强烈地依赖计算机网络。鉴于i n t e r n e t 的发展速度和广泛的应用领域，最初开发 的口v 4 网际协议已经表现出很多不足之处，很难满足今后的i n t e m e t 发展需要，新的网 际协议d v 6 在这样的呼声和时代背景下应运而生。 新的网际协议口v 6 有一个最大的优点就是安全性更好，通过i p s e c 实现p 层的安 全，为整个网络的安全又迸一步提供了保障。 本文详细介绍了下一代网络的发展状况、i p v 6 协议的基本内容，重点分析了p v 6 的安全协议i p s e c 。i p s e c 是一种协议套件，可以无缝地为p 引入安全，也可以为数据 源提供身份认证、数据完整性检查和机密性机制、防止数据受到攻击。i p s e c 对于d v 4 是可选项，而对口v 6 是必选项。i p s e c 可为运行于p 顶部的任何一种协议提供保护， 如t c p 、u d p 和i c m p 等。i p s e c 是目前最易于扩展、最完整的网络安全方案。论文详 细论述了i p s e c 的基本协议认证扩展报头( a h ) 、安全封装载荷报头( e s p ) ，以及i p s e c 安 全体系的其它组成部分如安全策略、加密和认证算法、密钥管理等如何合作，共同完成 对工p 报文的安全保护。并通过实验详细介绍了i p v 6 协议安装以及i p s e c 的配置。通过 网络嗅探器探测到数据包头，验证了i p s e c 提供的安全性。实验分析，使用i p s e c 实现 安全访问，一定程度上降低了网络性能。同时，进一步阐述和分析了i p c o m p 的相关理 论。由于i p s e c 对数据包的加密，致使t c p 层的端口号无法被防火墙访问到，这是i p s e c 与防火墙的矛盾点。文中提出了种解决方案，使i p s e c 与防火墙可以很好的协同工作， 共同实现对网络安全的保护。论文最后进行了归纳总结，指出了不足和改进，并对i p v 6 及i p s e c 进行了展望，指出i p s e c 是i p v 6 的核心，研究i p s e c 对下一代网络安全具有 十分重要的意义。 关键词：下一代网络i p v 6i p s e c 网络安全a he s p i k e a b s t r a c t i n t e m e th a se n t e r e dau b i q u i t o u ss t a t e a l lt h ea r e a sw i l lb es t r o n g l yd e p e n d e n t o nc o m p u t e r n e t w o r k s s u c ha se c o n o m i c ，c u l t u r a l ，m i l i t a r ya n ds o c i a l a c t i v i t i e s g i v e nt h ep a c eo f d e v e l o p m e n to f i n t e r n e ta n daw i d er a n g eo fa p p l i c a t i o n s ，t h ei n i t i a ld e v e l o p m e n to ft h ei p v 4 i n t e r n e tp r o t o c o lh a ss h o w nm u c hs h o r t c o m i n g ，i ti sd i f f i c u l tt om e e tt h ef u t u r ed e v e l o p m e n t o ft h ei n t e r a c t t h e r e f o r e ，t h en e wi n t e m e tp r o t o c o li p v 6w a sd e s i g n e da sas u c c e s s o ro f i p v 4 t h en e wi n t e m e tp r o t o c o li p v 6h a s8 1 1a d v a n t a g eo fb e t t e rs e c u r i t y i pl a y e rs e c u r i t yw a s a c h i e v e dt h o u g hi p s e ca n dp r o v i d e df u r t h e rp r o t e c t i o no f t h ew h o l en e t w o r k t h i sp a p e rd e s c r i b e st h ed e v e l o p m e n to fn e x tg e n e r a t i o nn e t w o r k s ，t h eb a s i cc o n t e n t so fi p v 6 ， a n df o c u so nt h es e c u r i t ya g r e e m e n ti p s e c i p s e ci sap a c k a g ea g r e e m e n tt h a t c a l lb e s e a m l e s s l yi n s e r t e di n t oi ps e c u r i t y i tc a np r o v i d e i d e n t i c a la u t h e n t i c a t i o n ，d a t ai n t e g r i t ya n d c o n f i d e n t i a l i t yo ft h ei n s p e c t i o nm e c h a n i s m ，s ot h a tt h ed a t ac a nb ep r e v e n t e dt oa t t a c k s i p s e ci so p t i o n a lf o ri p v 4 ，a n dac e r t a i n l yo p t i o nf o ri p v 6 i p s e c c a np r o v i d ep r o t e c t i o nf o r a n ya g r e e m e n tt h a tr u na b o v et h ei pl a y e r , s u c ha st c p , u d p a n di c m pa n ds oo n i p s e ci s e a s vt oe x p a n da n dt h em o s tc o m p r e h e n s i v en e t w o r ks e c u r i t y - c a s e t h i sp a p e r d i s c u s s e sa h a n de s pi nd e t a i l ，a l s oi p s e cs e c u r i t ys y s t e ma n do t h e rc o m p o n e n t so ft h es t r a t e g ys u c ha s s e c u r i t y , e n c r y p t i o na n da u t h e n t i c a t i o na l g o r i t h m s ，k e ym a n a g e m e n t ，e t c b ye x p e r i m e n t s ， d e s c r i b e di nd e t a i li p v 6p r o t o c o li n s t a l l a t i o na n dc o n f i g u r a t i o no fi p s e c t h r o u g ht h en e t w o r k s n i f f e rd e t e c t st h eh e a d e ro fp a c k a g e s ，a n dv e r i f yt h es e c u r i t yt h r o u g ht h ea n a l y s i so ft h e e x p e r i m e n t ，f o u n dt h a tt h eu s eo fi p s e ct o a c h i e v es e c u r i t yi sa tt h ee x p e n s eo fn e t w o r k p e r f o r m a n c ef o rt h ep 矗c e ，t h u s ，f u r t h e re l a b o r a t e dt h et h e o r yo fi p c o m p s i n c ei p s e c p a c k e t s o fd a t ae n c r y p t i o n ，t c pp o r tn u m b e rc a l ln o tb ea c c e s sb yf i r e w a l l ，t h i s i st h ep o i n to f c o n t r a d i c t i o no fi p s e ca n df i r e w a u i nt h i sp a p e r , as o l u t i o ni sp u t t e df o r w a r dt ol e tt h ei p s e c a n df i r e w a l lw o r kt o g e t h e rw e l lt oa c h i e v et h en e t w o r ks e c u r i t yp r o t e c t i o n c o n c l u d i n gp a r to f p a p e rw a ss u m m a r i z e dt h a tt h ee x p e r i e n c ea n dh a r v e s t , w h i l en o t i n gal o to fd e f i c i e n c i e s f i n a l l y , g a v et h ep r o s p e c to fi p v 6a n di p s e c i p s e ci st h ec o r eo fi p v 6 ；口s e co nt h en e x t g e n e r a t i o no f n e t w o r ks e c u r i t yi so fg r e a ts i g n i f i c a n c e k e y w o r d s ：n g n i p v 6i p s e es e c u r en e t w o r k a he s pi k e 声明 本学位论文是我在导师的指导下取得的研究成果，尽我所知，在 本学位论文中，除了加以标注和致谢的部分外，不包含其他人已经发 表或公布过的研究成果，也不包含我为获得任何教育机构的学位或学 历而使用过的材料。与我一同工作的同事对本学位论文做出的贡献均 已在论文中作了明确的说明。 研究生签名： 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅 或上网公布本学位论文的部分或全部内容，可以向有关部门或机构送 交并授权其保存、借阅或上网公布本学位论文的部分或全部内容。对 于保密论文，按保密的有关规定和程序处理。 研究生签名： 冽年占月雩日 硕士论文基于i p v 6 的安全协议i p s e c 的研究 1 绪论 1 1 研究背景 计算机网络是信息社会的基础，已经渗透到社会的各个角落，经济、文化、军事和 社会生活越来越多地依赖计算机网络。然而，因特网本身的开放性、跨国界、无主管、 不设防、无法律约束等特性，在给人们带来巨大便利的同时，也带来了一些不容忽视的 问题，网络安全就是其中最为显著的问题之一。许多在计算机网络中存储、传输和处理 的信息是政府宏观调控的决策、商业经济信息、银行资金转账、股票证券、能源资源数 据、科研数据等重要信息，其中很多是敏感信息甚至是国家机密。由于网络安全的漏洞， 导致敏感信息泄露、信息篡改、数据破坏、恶意信息发布、计算机病毒发作等，由此造 成的经济损失和社会不良影响难以估计。网络的安全问题正在面临着日益严重的威胁， 网络安全的研究刻不容缓。 现有的互联网主要是基于口v 4 ( r f c 7 9 1 ) 协议，这一协议的成功促成了互联网的 迅速发展。但是，随着互联网用户数量不断增长以及对互联网应用的要求不断提高，d v 4 协议的不足逐渐体现出来。首先最尖锐的问题就是不断增长的对互联网资源的巨大需求 与口v 4 地址空间不足的矛盾，目前可用的口v 4 地址已经分配了7 0 左右，其中，b 类 地址己经耗尽。随着接入i n t e r n e t 的设备和应用程序的数目日益增加，据i e t f ( i n t e r n e t e n g i n e e r i n gt a s kf o r c e ) 预测，基于口v 4 的地址资源将会在2 0 0 5 年- - 2 0 1 0 年枯竭；其 次由于口v 4 地址方案不能很好地支持地址汇聚，现有的互联网正面临路由表不断膨胀 的压力；最后，对于如何简便配置以及对服务质量、移动性和安全性等方面的需求都迫 切要求开发新一代口协议。 基于以上原因，i e t f 于1 9 9 4 年正式提出的i n t e r n e t 协议第六版( i p v 6 ) 作为下一代网络 协议。i p v 6 与i p v 4 相比，口v 6 有着许多i p v 4 所不具备的优势。球v 6 的提出使得基于i n t e r n e t 的网络应用在安全方面得到了极大的保障，然而新的网络协议使得安全体系不得不作出 重大调整，而且在面临错综复杂的网络环境时，仅基于口v 6 协议本身的网络仍将存在巨 大的安全问题，这些也成为制约i p v 6 网络迅速发展的关键因素。因此我们研究i p v 6 网络 安全技术，为礤v 6 进入大规模实用具有重要意义。 1 2i p v 6 在国内外发展状况 1 2 1 国外发展状况 目前i e t f 正在制定大量的i p v 6 相关标准，包括地址结构、域名解析、安全、自动配 置、邻居发现、路由协议等，为了对1 p v 6 协议特性进行研究并积累i p v 6 组网经验，i e t f 1 绪论硕士论文 于1 9 9 6 年建立了全球范围的试验床6 b o n e ，目前6 b o n e 己经扩展到全球许多个国家和地 区，并已经成为i p v 6 研究者、开发者和实践者的主要平台。2 0 0 0 年5 月，3 g 标准化组织 3 g p p ( t h i r dg e n e r a t i o np a r t n e r s h i pp r o j e c t ) 采纳i p v 6 为多媒体服务的必选协议，这意味着 3 g p p 移动网络中口多媒体领域将全部基于i p v 6 ，i p v 6 将在未来全蜂窝网络中发挥核心的 作用。 美国是i p v 4 的发源地，在地址资源和商业应用方面都占据了很大的优势，具有先进 的技术，研究和开发i p v 6 的主要组织如i e t f 、6 b o n e 等都在美国。美国国防部计划至u 2 0 0 8 年实现从d v 4 到i p v 6 的完全过渡，为实现这一目标，国防部制定了与构成g i g ( 美国军方 的“全球信息网格计划”，g l o b a li n f o r m a t i o ng r i d ) 的所有信息技术( i t ) 和国家安全体系 ( n s s ) 相关的一系列政策。 欧洲是移动通信的领先者，把i p v 6 当成发展3 g 移动通信的工具，要想大规模发展 3 g ，必须将网络升级到i p v 6 。在2 0 0 5 年，欧洲推进名为e e u r o p e 2 0 0 5 项目的i t 推进计划， 要求在2 0 0 5 年以前普及i p v 6 。欧洲目前已经建立e u r 0 6 i x 和6 n e t 的i p v 6 试验网络，并进 行有关推广、部署i p v 6 的准备，以诺基亚、爱立信为代表的各大厂商也都加快了i p v 6 开 发和产品化进程，各种试验项目正逐步成熟。诺基亚、爱立信、法国电信、英国b tw i r e l e s s 等欧洲公司一直是i p v 6 研究方向的主要引导者。 日本是i n t e m e t 后起国家，由于p v 4 地址匾乏，电子设备和信息家电产业却高度发达， 因此在i p v 6 研究和应用方面发展速度很快，并且在p v 6 商业化推广方面走在世界前列。 日本e j a p a n 战略目标是从2 0 0 1 年起在5 年内成为世界上最尖端的i t 国家，其中向i p v 6 过 渡成为其重要内容。日立、n e c 、富士通等日本设备厂家都能提供i p v 6 的硬件设备支持， 还有多家i s p 提供i p v 6 业务。 为推动i p v 6 在全世界发展，由c i s e o ， n o r t e l ，m i c r o s o f t ，l u c e n t ，n o k i a ，3 c o r n 等 公司联合发起成立了i p v 6 论坛，从1 9 9 9 年开始，每年举行2 3 届i p v 6 全球峰会。到目前为 止，i p v 6 论坛分别在法国、美国、西班牙、日本、加拿大、中国召开了m v 6 全球峰会， 并与3 g p p 以及欧洲通信标准委员会建立了合作关系，这对普及i p v 6 产生了巨大推动作用 【l 】 o 1 2 2 国内发展状况 我国是i p 地址极其缺乏的国家之一，使用地址转换不仅严重影响互联网本身的效益 和安全，而且随着互联网和移动通信网的不断发展，地址转换的方法不能从根本上解决 问题，迫切需要i p v 6 ，从上世纪9 0 年代起，国家发展改革委员会、国家自然科学基金委 员会、信息产业部、教育部、国家互联网与信息安全中心等分别资助支持或者联合资助 支持立项了一批p v 6 关键技术国家重大研究课题，这些课题陆续取得了突破性成果，为 我国开展以i p v 6 为基础核心协议的下一代互联网的研究奠定了较好的基础。 2 硕士论文基于i p v 6 的安全协议i p s e e 的研究 在口v 6 试验床及实验网络建设方面，中国科学院、清华大学、北京邮电大学等多所 重点大学，华为、比威等设备厂商及各运营商积极探索、跟踪与关注，相继建成了中国 高速互联网研究实验网络n s f c n e t 、下一代口电信实验网6 t n e t 、湖南i p v 6 实验网、中国 电信集团i p v 6 实验网、中国高性能宽带信息网、中国教育与科研c e r n e ti p v 6 试验网和 中国科学院i p v 6 城域网等。 2 0 0 3 年，由信息产业部、科技部、国家发展和改革委员会、教育部、国务院信息化 工作办公室、中国科学院、中国工程院和国家自然科学基金委员会八个部委联合发起并 经国务院批准启动了国家级战略项目中国下一代互联网示范工程c n g i ( c h i n a n e x t g e n e r a t i o ni n t e m e t ) 。i p v 6 是c n g i 采用的一项重要技术。c n g i 建成后将成为全球最大的 纯i p v 6 商用网络。c n g i 项目的启动标志着我国i p v 6 进入了实质性发展阶段 2 1 。 2 0 0 4 年1 2 月，c n g i 核心网c e r n e t 2 正式开通并提供服务。c e r n e t 2 是中国下一代 互联网示范工程c n g i 最大的核心网和唯一的全国性学术网，也是目前所知世晃上规模 最大的采用纯i p v 6 技术的下一代互联网主干网。c e r n e t 2 主干网采用纯i p v 6 协议，为基 于口v 6 的下一代互联网技术提供了广阔的试验环境。c e r n e t 2 主干网连接分布在我国2 0 个主要城市的c e r n e t 2 核心节点，传输速率为2 5 1 0 g b p s ，将实现全国2 0 0 余所著名高 校的高速接入，同时为全国其他科研院所和研发机构就近接入提供条件【3 】。 目前i n t e r n e t 最大的问题是不安全，容易被攻击。中国下一代互联网示范工程核心网 设计了基于真实i p v 6 源地址的网络寻址体系结构，使互联网的真实源地址认证成为可 能，这将大大增强互联网使用的安全性【4 】。 1 3 本文主要研究内容 本文详细分析了i p v 6 的安全协议i p s e c ，论述了i p s e c 的基本协议认证扩展报头 ( a i q ) 、安全封装载荷报头( e s p ) ，以及i p s e c 安全体系的其它组成部分如安全策略、加 密和认证算法、密钥管理等如何合作，共同完成对口报文的安全保护。并通过实验详 细介绍了i p v 6 协议安装以及i p s e c 的配置。通过网络嗅探器探测到数据包头，验证了 i p s e c 提供的安全性。并对i p s e c 实现安全访问进行了实验分析，同时，进一步阐述和 分析了i p c o m p 的相关理论。i p s e c 和防火墙是实现网络安全的两个很重要的方面，由 于i p s e c 与防火墙之间存在着矛盾，设计了一种解决这种矛盾的方案，使i p s e c 与防火 墙协同工作，共同完成对网络的安全保护。此外，对口v 6 及i p s e c 进行了展望，指出 i p s e c 是d v 6 的核心。 1 4 本文结构 第一章绪论。主要介绍了本课题的研究背景，以及i p v 6 在国内外的研究进展和应 用情况。阐述了本文主要研究的内容以及文章的结构。 3 1 绪论 硕士论文 第二章i p v 6 协议基本介绍。本章节对口v 6 的基本知识进行了分析，包括i p v 6 的特点、 i p v 6 报头格式、i p v 6 地址等。同时还分析了i c m p v 6 、多播侦听者发现、邻居发现协议、 地址自动配置、i p v 6 路由技术等i p v 6 相关技术。 第三章i p s e c 分析。分析了目前网络存在的安全问题，提出引入i p s e c 的重要性和必 要性。对i p s e c 的组成部分进行了概述，详细介绍了i p s e c 的安全体系结构。对i p s e c 的重 要部分安全关联、验证头a h 、封装安全载荷e s p 、i n t e r n e t 密钥交换协议i k e 、i p s e c 策略 进行了详细的论述，并阐明了他们之间是如何合作完成对i p 报文的保护，实现安全功能。 另外，还说明了i p s e c 的实施方案。 第四章基于i p s e c 的应用的实验。在w i n d o w s 上实现i p s e c ，通过端到端的实验，验 证i p s e c 在w i n d o w s 上提供的安全性，并对端到端安全保护的缺点进行分析和说明。应用 o p n e tm o d e l e r 仿真软件仿真隧道模式的i p s e c ，为连接在p v 4 主干网的两端的网关配置 i p s e e 协议，使两个i p v 6 子网实现隧道模式的安全传输。听提出了端到端安全的问题，以 及解决i p s e e 和n a t 的方案。由于实验得出的结论，i p s e c 的应用会降低网络的性能，由 此迸一步阐述i p c o m p 相关原理，并提出应用i p c o m p 注意的问题。 第五章i p s e c 与防火墙协同工作的研究。分析了传统防火墙的基本原理和实现技 术，并设计实施了基于l i n u x 下个i p v 6 防火墙系统。由于i p s e c 与防火墙应用存在着矛盾 点，而它们又是实现网络安全不可或缺的组成部分，由此设计了i p s e c 和防火墙可以协 同工作的系统。 第六章结论及展望。对研究分析及实验中的不足之处进行了归纳总结，说明了研 究的目的和收获，并对i p v 6 发展前景进行了展望，并提出了自己的看法和观点。 4 硕士论文基于m v 6 的安全协议i p s e c 的研究 2i p v 6 协议基本介绍 2 1i p v 6 报头格式 2 1 1i p v 6 数据包结构 i p v 6 数据包由一个i p v 6 基本报头、多个扩展报头和个上层协议数据单元组成。如 图2 1 1 1 所示。 图2 1 1 1i p v 6 报头基本格式 ( 1 ) p v 6 基本报头 i p v 6 基本报头总是存在的，其长度固定为4 0 字节。 ( 2 ) 扩展报头 i p v 6 报头可以包含零个或多个扩展报头。这些扩展报头可以具有不同的长度。 ( 3 ) 上层协议数据单元 上层协议数据单元一般由上层协议报头和它的有效载荷( 有效载荷可以是一个 i c m p v 6 报文、一个t c p 数据段、或者一个u d p 报文) 组成。 2 1 2i p v 6 基本报头 图2 1 2 1 列出了d v 6 的报头格式。 0381 2 1 62 43 l 版本流量类型 流标签 有效载荷长度下一报头跳数限制 源地址( 1 2 8 位) 目的地址( 1 2 8 位) 图2 1 2 1i p v 6 基本报头 对于i p v 6 报头字段说明如下： 1 版本( v e r s i o n ) 这是一个4 位长的字段，指示协议的版本，如使用的是i p v 4 ，该字段的值为4 ；i p v 6 中，该字段的值为6 。网络层将利用此版本来决定对分组的处理。 2 流量类别( t r a f f i cc l a s s ) 此字段为1 个字节，8 位。用于协助处理实时数据以及需要特别处理的数据，其中包 括了定义的类别和优先级，发送主机和转发路由器可以通过这些字段来识别和分辨数据 包。 5 2i p v 6 协议基本介绍硕士论文 3 流标签( f l o wl a b e l ) 此字段有2 0 位，数据流由流标签和源节点的地址标识，并不是所有的节点都支持该 标识，不支持该功能的节点在转发数据包时不加改变的传递该字段，目的主机接收时， 忽略该字段。发送主机能够选用一组数来标记数据包的顺序，路由器对这些属于相同数 据流的数据包不需再重新处理每个数据包的报头，从而能够更有效的处理实时性的流 量。 4 有效载荷长度( p a y l o a dl e n g t h ) 此字段共2 字节，l6 位。所谓有效载荷，就是i p 报头后的数据长度，与i p v 4 报头中的 l e n g t h 字段不同，i p v 4 的l e n g t h 字段包括了碑v 4 报头的长度，而n , v 6 q 的p a y l o a dl e n g t h 字段仅包括i p v 6 标准报头后的数据，扩展报头被认为是有效载荷的一部分，要加以计算。 5 下一报头( n e x th e a d e r ) 此字段为1 9 节，8 位。在邛v 4 中，此字段标识协议类型，i p v 6 涵盖了此功能，同时， 定义了很多新的类型。如o 表示下一报头为h o p - b y h o p 选项报头，l 表示为i c m p 协议 ( i p v 4 ) ，2 表示i g m p 协议等等。 6 跳数限制( h o pl i m i t ) 此字段为1 字节，8 位。与口v 4 中的t t l 字段功能相同，所不同的在于i p v 4 中，将寿 命解释为跳数和最长时间的组合，而i p v 6 将该值解释为数据报在被丢弃之前可以进行的 最大跳数。该值在每个转发节点减1 ，数据报在跳数限制减到o 时被丢弃。 7 源地址( s o u r c ea d d r e s s ) 此字段为1 6 字节，1 2 8 位。包含发送主机的i p 地址。 8 目的地址( d e s t i n a t i o na d d r e s s ) 此字段为1 6 字节，1 2 8 位。包含了目的接收者的i p 地址，对于i p v 6 的路由报头，则此 地址未必是最终地址。 2 1 3i p v 6 扩展报头 i p v 6 使用扩展报头的方法来处理选项，当前的i p v 6 规范定义了如下6 种扩展报头： ( 1 ) 逐跳选项报头( h o p - b y - h o po p t i o n sh e a d e r ) 。该报头携带的信息供路径选择 检查。 。 ( 2 ) 路由报头( r o u t i n gh e a d e r ) 。通过这一扩展报头，发送者可以指定到达分组 目的地途中必须要访问的节点，或者记录路由。这与m v 4 选项中源路由和记录路由的功 能类似。 ( 3 ) 分段报头( f r a g m e n th e a d e r ) 。当数据包过大需要进行分片，实现与i p v 4 中相 同的分片重组功能。不同的是p v 4 中分片是在转发过程中当数据包大于要转发网络的 m t u 时由路由器进行，在目的主机处进行重组，并且v 4 的报头中有专门的字段表示。 6 硕士论文基于m v 6 的安全协议i p s c c 的研究 在i p v 6 中简化了这一过程，分片和重组是端到端的。 ( 4 ) 认证报头( a u t h e n t i c a t i o nh e a d e r ) 。这一扩展报头提供无连接完整性和数据源 认证。 ( 5 ) 封装安全载荷报头( e n c a p s u l a t e ds e c u r i t yp a y l o a dh e a d e r ) 。这一扩展报头提 供机密性，也可提供无连接完整性和数据源认证。 ( 6 ) 目的选项报头( d e s t i n a t i o nh e a d e r ) 。这一扩展报头携带了在到达目的主机后， 目的主机检查的信息。 这些扩展报头被置于口v 6 报头和上层协议报头之间，由普通报头中的n e x th e a d e r 字段标识。需要说明的是，扩展报头只在目的主机处进行检查和处理，在转发节点将跳 过这一字段，当然，如果目的地址为多播地址，所有属于该多播组的节点都将对它进行 检查和处理。 口v 6 的扩展报头的模式与d v 4 的任选项相似，发送者可以选择在一个给定的数据包 中要包含或者忽略哪些扩展报头，体现了i p v 6 的灵活性。 各个扩展报头以及基本报头都包含了下一个报头( n e x th e a d e r ) 字段，通过这一字 段的值来确定下一个报头的类型，路由器以及目的主机的软件需要对数据包进行处理， 它们必须使用这一字段的值来对数据包进行分析，一个i p v 6 分组可以携带任意数量扩展 报头。 i p v 6 基本报头或者任何扩展报头中n e x th e a d e r 字段的值为5 9 则表明没有下一个报 头，如果i p v 6 基本报头中的有效载荷长度字段指出n e x th e a d e r 字段为5 9 的报头的终点后 还有数据，这些数据在转发时，不作处理原封不动地传递。 i p v 6 现有规定的6 种扩展报头，当同一个分组中使用了多个扩展报头时，这些报头 应该按如下顺序出现【6 】= ( 1 ) i p v 6 基本报头； ( 2 ) 逐跳选项报头； ( 3 ) 目的选项报头l ； ( 4 ) 路由报头； ( 5 ) 分段报头； ( 6 ) 认证报头； ( 7 ) 封装安全载荷报头； ( 8 ) 目的选项报头2 ； ( 9 ) 高层报头。 除了目的选项报头至多可以出现两次外，所有的扩展报头最多出现一次，这两个目 的选项报头的处理是不同的。 目的选项报头1 ，这个报头的处理由目的选项报头中的地址节点依次进行处理；目 7 2i p v 6 协议基本介绍硕士论文 的选项报头2 ，这个报头仅由i p v 6 基本报头中的目的节点处理。 如果高层报头是一个i p v 6 报头( 封装) ，则此高层报头之后可以紧随它自己的扩展 报头，这些扩展报头也遵循以上的顺序。 固定为4 0 字节，去掉了i p v 4 报头中的一些字段，或者将其变为可选项，这样处理节 点可以更快的对数据包进行操作。可选项以扩展报头的形式在有必要的情况下插入到 i p v 6 报头和实际数据之间。这样数据包的生成变得更加灵活和高效，有利于提高转发效 率和新选项的集成。 2 2i p v 6 地址 i p v 6 最主要的改变之一就是地址长度：1 2 8 位地址。这是一个m v 4 地址长度的4 倍。 i p v 6 地址数目大约是3 4 x 1 0 3 8 个。这样大的地址空间在可预见的未来可以承受任何合理 的地址分配策略。 2 2 1i p v 6 地址表示方法 现有的p v 4 地址是用4 段十进制的数字，用“”号隔开来表示的。i p v 6 中，口地址的 表示方法不是这样的。i p v 6 的地址在表示和书写时，用冒号将1 2 8 位分割成8 个1 6 位的段， 每个段包括4 位的1 6 位进制数字，例如：1 0 8 0 ：0 0 0 0 ：0 0 0 0 ：0 0 0 0 ：0 0 0 8 ：0 8 0 0 ：2 0 0 c ： 1 2 3 a 。每个段包括4 位一组的1 6 位进制数中，如其高位为0 ，则可省略，这一点与口v 4 规定的一样。所以1 0 8 0 ：0 0 0 0 ：0 0 0 0 ：0 0 0 0 ：0 0 0 8 ：0 8 0 0 ：2 0 0 c ：1 2 3 a 可缩写成1 0 8 0 ： o ：o ：0 ：8 ：8 0 0 ：2 0 0 c ：1 2 3 a 。还可以进一步简化，规范中导入了重叠冒号的规则， 即用重叠冒号置换地址中的连续1 6 位的o 。所以上述地址最终可以简化为如下的形式： 1 0 8 0 ：8 ：8 0 0 ：2 0 0 c ：1 2 3 a 。但冒号规则在一个地址中只能使用一次，也就是说在不 连续段中不能重复用来替换其中的多个“o 。 2 2 2i p v 6 地址分类 在i p v 4 种，一台主机只有一个地址( 环回地址除外，一般是1 2 7 0 0 1 ) 。但是在m v 6 中，一台主机可以有多个地址。这是，就要提到接口( i n t e r f a c e ) 这个概念。可以把网 络中的一台主机或路由器看作一个节点，一个节点可以拥有多个接口，一个接口又可以 有多个i p v 6 地址。i p v 6 的地址，不是分配给节点的，而是分配给接口的 刀。 i p v 6 地址分为单播地址、多播地址和任播地址三种。 1 单播地址( 咖c a s ta d d r e s s ) 一个单播地址只能标识一个唯一的接口。i p v 6 单播地址可以像c d r 的p v 4 地址一 样，根据前缀进行聚合。 单播地址有以下几种形式：全球单播地址、未指定地址、环回地址、嵌入口v 4 地址 的口v 6 地址等。 8 硕士论文基于i p v 6 的安全协议i p s e e 的研究 全球单播地址的格式，如图2 2 2 1 所示。 11位m位1 2 8 - n - m 位 l 全球路由前缀 l 子网i d l接d i dl 图2 2 2 1 全球单播地址的一般格式 全球路由前缀：典型的分层结构，用来分配给站点。站点是子网链路的集合。 子网i d ：站点内子网的标志符，由站点的管理员分层地构建。 接口i d - 用来标识链路上的接口。在同一子网内是唯一的。 除了以0 0 0 开头的单播地址外，所有的全球单播地址都要有6 4 位长度的接口d ，也 就是说，其中的n + m = 6 4 。 在现阶段，i p v 4 与i p v 6 需要共存，那么，i p v 6 的传输机制包含一项可以在i p v 4 网络 上传输i p v 6 数据包的技术，这些路由器既支持i p v 4 ，也支持i p v 6 。要使用这项技术，就 要给碑v 6 节点分配一个嵌入d v 4 地址的i p v 6 地址，称为口v 4 兼容地址。该地址前8 0 位都 是0 ，第8 1 9 6 位是0 0 0 0 ，最低3 2 位是i p v 4 地址。其格式如图2 2 2 2 所示。 8 0 位1 6 位3 2 位 1 0 0 0 0 0 0 0 0 1 0 0 0 0 i i p v 4 地址 l 图2 2 2 2 口v 4 兼容地址的格式 还有一种嵌入i p v 4 地址的i p v 6 地址称为i p v 4 映射地址，用来把i p v 4 地址映射为i p v 6 地址。它的格式与i p v 4 兼容地址的格式类似，只是第8 l 9 6 位是f f f f , 其格式如图2 2 2 3 所示。 8 0 位1 6 位3 2 位 l 0 0 0 0 0 0 0 0 l 筒 l i p v 4 地址 l 图2 2 2 3i p v 4 映射地址的格式 未指定地址被定义为o ：0 - 0 ：0 ：0 ：0 ：0 ：0 ( 也可记做：) 。该地址不能分配给 任何节点。环回地址被定义为0 ：0 ：o ：o ：0 ：0 ：0 ：1 ( 也可记做：1 ) 。环回地址就 相当于接口本身。 单播地址在本地使用时，可以用作链路本地地址。链路本地地址前1 0 位是 1 1 1 1 1 1 1 0 1 0 ，中间5 4 位全是o ，最后6 4 位是接口标识。所以链路本地地址是以f e 8 0 开头。 链路本地地址在单一网络内部唯一地标识接口，用于自动地址配置、邻居发现和其他没 有路由器的情况。每个接口至少有一个链路本地地址。 2 多播地址( m u l t i c a s ta d d r e s s ) 一个多播地址用来标识多个接口，而这些接口通常属于不同节点。如果向一个多播 地址发送数据报，那么包含在该多播地址中的所有接口( 节点) 都能收到该数据报。多 9 2i p v 6 协议基本介绍硕士论文 播地址以1 1 1 1 1 1 1 1 开头，即f f 。多播地址的格式如图2 2 2 4 所示。 8 位4 位4 位1 1 2 位 i 1 1 1 1 1 1 1 1i 标识字段l 范围字段f 组标识符 i 图2 2 2 4多播地址的格式 标识字段：由4 个单个位标志组成。目前只指定了第4 位，该位用来表示该地址是由 i n t e m e t 编号机构指定的熟知的组播地址，还是特定场合使用的临时组播地址。如果该标 志位为“0 ”，表示该地址为熟知地址；如果该位为“l ”，表示该地址为临时地址。其他3 个标志位保留将来用。 范围字段：长4 位，用来表示组播的范围。即，组播组是只包括同一本地网、同一 站点、同一机构中的节点，还是包括i p v 6 全球地址空间中任何位置的节点。该4 位的可 能值为0 一1 5 。 组标识符字段：长1 1 2 位，用于标识组播组。根据组播地址是临时的还是熟知的以 及地址的范围，同一个组播标识符可以表示不同的组。永久组播地址用指定的赋予特殊 含义的组标识符，组中的成员既依赖于组标识符，又依赖于范围。 3 任播地址( a n y c a s ta d d r e s s ) 任播地址也是用来标识多个接口的，通常这些接口也是属于不同节点。但是与多播 地址不同，如果向任播地址发送数据报，那么包含在该任播地址中的，与源节点最近的 一个接口( 节点) 将响应该数据报。如何确定这个最近的接口，由路由选择协议确定。 任播地址是从单播地址空间中划分出来的，所以它与单播地址有相同的形式。因此，当 一个单播地址属于多个接口时，它就是任播地址。但是，任播地址不能作为i p v 6 数据报 的源地址。它也只能分配给路由器，而不能分配给主机。 2 3i c m p v 6 简要分析 i c m p v 6 的全称是i p v 6 的互联网控制报文协议( i n t e m e tc o n t r o lm e s s a g ep r o t o c o lf o r i p v 6 ) 。它是整个i p v 6 的一个组成部分，每个i p v 6 节点都必须完全实现i c m p v 6 。 i c m p v 6 报文分为两类：错误报文( e r r o rm e s s a g e ) 和信息报文( i n f o r m a t i o n a l m e s s a g e ) 。 2 3 1i c m p v 6 基本报文格式 i c m p v 6 报文的通用格式如图2 3 1 1 。其中： 0781 51 6。3 1 l o 图2 3 i 1i c m p v 6 报文的通用格式 硕士论文 基于i p v 6 的安全协议i p s e e 的研究 8 位类型字段描述了报文的类型。它的值决定了后面数据的格式。最高位为0 代表错 误报文，最高位为1 代表信息报文； 8 位代码字段是依赖于报文类型的。在报文类型的基础上，它被用来在基本的类型 基础上创建更细的报文等级。若某一给定类型只有一条报文，则代码为0 ； 校验和字段是用来在i c m p v 6 报文中检验数据的完整性和部分i p v 6 首部。 2 3 2i c m p v 6 报文类型及分析 1 i c m p v 6 错误报文 i c m p v 6 错误报文类似于i c m p v 4 错误报文，分属于以下4 种范畴：目的不可达、数 据包过大、超时和参数问题。 ( 1 ) 目的不可达 目的不可达消息的类型字段值为1 ，表示这是个错误报文，代码字段取值范围叫。 在校验和字段之后是一个3 2 位未用字段和引发i c m p v 6 目的不可达消息的，即被抛弃的 i p v 6 包的第一部分。 ( 2 ) 数据包过大 当p v 6 数据包大小超过链路最大传输单元m t u 无法转发时，发送数据包过大消息。 数据包过大报文用于i p v 6m t u 路径发现过程。 ( 3 ) 超时 i c m p v 6