（模式识别与智能系统专业论文）移动ipv6协议安全机制分析及实现.pdf

摘要 随着移动通信网 络的 发展以 及i p v 4 局限性的日 益突出， 移动i p v 6 ( mi p v 6 ) 协议在移动i p v 4 和i p v 6 的技 术基础上已 开始发展， 但目 前 仍然处于初始阶段。 阻 碍移动i p v 6 协议正式应用的一 个主要的原因， 就是在当前条件下其安全问题 还没有得到根本的 解决。 本文主要针对m i p v 6 协议在安全方面存在的问题进行 研究。 m i p v 6面临的主要安全威胁来自 绑定更新 ( b u )和路由 优化 ( r o )的 过程， 所以， 本文将重点放在对绑定更新提供安全 保护的i p s e c 协议和p b k协 议的 分析 及实现上， 并对p b k协议进行了 改进， 使之能抵 御中间人攻击。 由 于l i n u x 系统诸多的优势， 本文选择了 在l i n u x 系统下分析并实现m i p v 6 的i p s e c 和 p b k。 因为我们主要从安全角度考虑问题， 所以我们以已有的l i n u x 系统下m i p v 6 的实现m i p l ( m o b i l e i p v 6 f o r l i n u x ) 为基础， 在其上考虑安全 机制。 这里的i p s e 。 主要 考虑了mi p l 2 .0 r c 1 和u s a g i 项目 中x fr m系统， 对 其 进行了 功能 和结构上的分析。 由于移动i p 工作组仅给出了p b k协议的 框架， 本文针对改进后的p b k协议， 给出了 其在mi p l 上的实现。 最后， 通过测 试， 论证了 经过我们改进后的p b k协议成功 地抵御了中 间人攻击。 1 关键字l移动i p v 6 ，安全，mi p l , i p s e c , p b k abs tract w i t h t h e d e v e l o p m e n t o f m o b i l e c o m m u n i c a t i o n a n d t h e i n c r e a s i n g l i m i t a t i o n o f i p v 4 , mo b i l e i p v 6 ( mi p v 6 ) h a s b e e n p u t f o r wa r d o n t h e b a s i s o f i p v 6 a n d mo b i l e i p v 4 , t h o u g h i t i s s t i l l i n d e v e l o p me n t . t h e m a i n o b s t a c l e t o e mp l o y mi p v 6 f o r m a l l y i s t h e s e c u r i t y p r o b l e m . i n t h i s t h e s i s , w e e m p h as i z e o n t h e a n a l y s i s t o t h e s e c u r i t y o f m i p v 6 . mo s t o f t h e t h r e a t s t h a t f a c e m i p v 6 o n s e c u r i t y c o m e fr o m t h e b i n d in g u p d a t e ( b u ) a n d t h e r o u t e o p t i m i z a t i o n . s o , w e a n a ly z e t h e i p s e c p r o t o c o l a n d p b k ( p u r p o s e - b u i l t k e y s ) p r o t o c o l , w h i c h a r e u s e d t o s e c u r e t h e b i n d i n g u p d a t e i n m i p v 6 , a n d t h e n w e i m p r o v e t h e p b k p r o t o c o l s o t h a t i t c a n r e s i s t t h e m a n - i n - t h e - m i d d l e a t 扭c k. o w i n g t o t h e a d v a n t a g e s o f l i n u x o s , w e a n a l y z e a n d i m p l e m e n t i p s e c a n d p b k o f mi p v 6 i n r e d h a t l i n u x o n t h e b as i s o f m i p l ( m o b i l e i p v 6 f o r l i n u x ) , w h i c h i s t h e s y s t e m t o i m p l e m e n t m i p v 6 . w e a n a l y z e i p s e c i n mi p l 2 . 0 r c i f u n c t i o n a l l y a n d s t r u c t u r a l l y , w h i c h i s b a s e d o n t h e x f r m s y s t e m d e v e l o p e d b y u s a g i p r o j e c t o f j a p a n . b e c a u s e t h e m o b i l e i p w o r k i n g c r o u p o n l y s h o w s t h e fr a m e o f p b k , w e i mp l e m e n t t h e p b k o n t h e b a s i s o f mi p l 2 . 0 r c i . a t l a s t , t h e t e s t f o r t h e i m p l e m e n t o f p b k s h o w s t h a t i t c a n r e s i s t t h e m a n - i n - t h e - m i d d l e a t t a c k s u c c e s s f u l l y . ke y wo r d s mo b i l e i p v 6 , s e c u r i ty , mi p l , i p s e c , p b k 西北工业大学硕十学位论文移动i p v 6协议安全机制分析及实现 第一章绪论 i . ， 选皿背景及意义 随着互联网发展的速度和规模远远超出二十多年前互联网的先驱们制定 t c p / i p 协议时的设想，并且仍在飞速增长，网络同人们的生活和工作已经密切 相关。同时互联网用户数膨胀所出现的问题也越来越严重。据预测，现有的 工 p 地址，即 i n t e r n e t 协议第4 版( i p v 4 ) ， 将在2 0 0 5 至2 0 1 2 年 左右消耗 殆尽 i 1 1 这个何题被称为 “ 网 络泰坦尼克危机犷 。 另外，目 前占 有互联网 地址的主要设备早己由2 0 年前的大型机变为p c 机， 并且在将来， 越来越多的 其他设备也会连接到互联网上，包括p d a 、汽 车、 手 机、各种家用电器等。特别是手机，为了向第三代移动通信标准靠拢，几乎所 有的手机厂商都在向 国际因特网 地址管理 机构i c a n n 申 请， 要给他们生产的每 一台手机都分配一个i p 地址。而 竞争 激烈的家电 企业也 要给每一台 带有联网功 能的电 视、空调、 微波炉等设置一 个 i p 地址。i p v 4 显然已 经无法满足这些要 求。于是，人 们开始研究下一代i p 协议。在众多方案中，i p v 6 协议被认为是现 有 i p v 4 协议最有可能的替代者，许多著名的通信公司如c i s c 。 公司，n o k i a公 司都在积极地推进 i p v 6的研发和产品化工作。 普遍认为移动通信网络 在未来的网络中 将扮演重要角色， 而i p v 6 协议 将首 先在移动通信网络中得到应用，因而 i p v 6 协议对移动性的支持显得特别重要， 允许主机在不同的1 p 网络间无 缝隙地漫游。对于i p v 6 协 议，移动性己 经是其不 可缺少的 组成部分。i e t f 的” o b i l e i p 工作组在研究移动i p v 4 的同时，投入大 量精力重点研究移动 i p v b 协议 ，即m 1 p v 6 e 而移动 i p v 6协议的重要应用之一无线局域网 ( w l a n )之所以发展缓慢，还 没有完全进入市场， 其中的 一个主要原因，就是其安全问 题得不到很好的解决。 下面，我们看一下 m i p v 6 协议的研究现状以及所要面对的问题。 西北工业人学顾 1: 学位论文移动 i p v 6协议安全机制分析及实现 1 . 2国内外研究现状 移动 i p v 6 协议还处在发展阶段， 移动 i p v 6 的最终目 标是实现全球范围的真 正的移动网 络， 它会满足 移动计 算和个人通信的所有要求。 要真正实现全球范围 内移动网 络， 还需要完成以 下几个方面的工作 2 1 , 1 . 在协议的发展方而， 还需要进一步完善 i m , m i p v 6 , i p s e c , s up 等 协议 2 .在协议的改 进方面，需要研究以下几个问题: 服务质量 ( q n , ) ,包括姜分服务质量和端到端服务质景的支持。 增强t c p 协议，以 支持移动 i p . t c p 假设所有的 数据段 丢失都是由 于拥塞引 起的， 这种假设在因特网中 大多数情况下是正确的， 但在无线和移动环境中 这个假设却不成立， 在这种环境中， t c p 的这个假设使得t c p 性能变得很差。 在这些背景之下， 有人提出了 对t c p 改进的方案，许多改进方案关系到协议 栈中各层( 数据链路层、 网 络层、 t c p和应用层) 协调 工作以达到最佳的性能. 因 此，对于移动功能来说，问题并不只是如何将数据包路由 到移动节点上， 移动 i p 提供了 这种数据包的路由能力，但它并未包括这些提供更完整的移 动功能的改进方案。 3 .在移动本身方面，还需要解决如下问题: a a a ( a u t h e n t i c a t i o n , a u t h o r i z a t i o n , a c c o u t i n g ) :它是指身份认证、授 权机制 、自动计费服务) 缓存管理 ( b u f f e r m a n a g e m e n 户:移动 i p v 6 中定义了多种数 据结构，在节 点中需要占用一 定的资 源， 如何有效地管理这些资源， 并使之不会对现有的 服务性能造成太大的影响，是一个需要研究的问题 与无线通信技术的 融合:工 n t e r n e t 技术的发展日 新月 异，无线通信技术如 a m p s 、 g s m , c d p d , g p r s , w a p , b h u e t o o t h . t u t - 2 0 0 0 , c d m .a 等层出不穷， 再加上移动通信设备的进一步完善，以移动无线 i n t e r n e t 为核心的移动计 算网络正在向我们走来，未来的网络将是一个无线、有线与互联网三者合一 的数字化的地球， 其覆盖将超越一切地理的障碍， 使得信息无处不在， 因此， 移动 1 p技术与无线通信技术的融合就变得是必不可少的了。 西北工业大学硕士学位论文移动i p v 6协议安全机制分析及实现 无缝切换 ( s e a m l e s s h a n d o v e r ) :本文所讲的移动 i p v 6的基础理论只是在 宏观的方面解决 移动 性问 题， 即它只是解决了 移动的 路由问题; 无缝切换是 为了解决节点移动过程中可能出现的问题而提出的，它把节点移动对通信产 生的影响减小到最小， 这是为了 提高 性能，在移动的微观方面所做的改 进。 无缝切换包括两个方面的内 容: 快速切换f a s t h a n d o v e r 和平滑切换s m o o t h h a n d o v e r ，现在解决快速切换和平滑切换都己经有人提出了一些万案，但是 大多数都还没有成为标准。 移动 1 p v 6的前 景是诱人的， 但是它的 发展还只是处 在起步阶段，前面介绍 的移动 i p v 6 的基础理论只是在宏观的方面解决 移动性问 题，即它所解决的问题 是:当 一个节点改变了 网络接入点以后，如何把数据包继续路由到 这个节点 上， 它并没 有考虑这个过程对其他方面的影响， 也没有过多 地考虑性能和服务 质量方 面的问题。实际上，要实现全球范围的真正的移动网络，需要整个移动 t p v 6的 体系结构的 协调， 除了解决路由问 题以外， 还有许多需要解决的问 题， 整个移动 i p v 6 体系的完善还有很长的路要 走。 目前世界上有很多组织或者机构在对移动 i p v 6 进行研究，并且已有了一些 在不同 操作系统上开发出来的实 验系统。 例如w i n d o w s 下的m i c r o s o f t m i p v 6 p r o j e c t ( m i p v 6 )实 验系统， f r e e b s d 下的c m u m o n a r c h p r o j e c t , k a m e p r o j e c t 实验系统，以及 l i n u x 下的l a n c a s t e r移动 i p v 6 , m i p l 移动 i p v 6 实验系统、 u s a g i ( u n i v e r s a i p l a y g r o u n d ) 等等1 3 1 1 . 3 研究内容和研究思路 本文从安全角度来分析移动 i p v 6协议:在现有移动 i p v 6协议的基础上对一 些安全机制进行分析和改进，并在l i n u x 环境下实现。由于现在已有 l i n u 、下实 现移动 i p v 6 的系统 mi p l ， 所以， 本文对移动 i p v 6的安全机制的实现是在 mi p l 2 .0 r c i 基础上进行的。全文的结构安排如下: 第二章论述移动 i p v 6协议。第三章分析移动 i p v 6协议面对的安全威胁及克 服威胁的安全机制。第四章分析移 动 i p v 6 在l i n u x 系统上的实现-m i p l , 第五 章主要分析 mi p v 6中的i p s e c 机制及实现。 第六章则论述了轻量级认证协议p b k 并对其进行改进。最后第七章对本文进行了总结。 3 西北工业大学硕士学位论文移动i p v 6协议安全机制分析及实现 无缝切换 ( s e a m l e s s h a n d o v e r ) :本文所讲的移动 i p v 6的基础理论只是在 宏观的方面解决 移动 性问 题， 即它只是解决了 移动的 路由问题; 无缝切换是 为了解决节点移动过程中可能出现的问题而提出的，它把节点移动对通信产 生的影响减小到最小， 这是为了 提高 性能，在移动的微观方面所做的改 进。 无缝切换包括两个方面的内 容: 快速切换f a s t h a n d o v e r 和平滑切换s m o o t h h a n d o v e r ，现在解决快速切换和平滑切换都己经有人提出了一些万案，但是 大多数都还没有成为标准。 移动 1 p v 6的前 景是诱人的， 但是它的 发展还只是处 在起步阶段，前面介绍 的移动 i p v 6 的基础理论只是在宏观的方面解决 移动性问 题，即它所解决的问题 是:当 一个节点改变了 网络接入点以后，如何把数据包继续路由到 这个节点 上， 它并没 有考虑这个过程对其他方面的影响， 也没有过多 地考虑性能和服务 质量方 面的问题。实际上，要实现全球范围的真正的移动网络，需要整个移动 t p v 6的 体系结构的 协调， 除了解决路由问 题以外， 还有许多需要解决的问 题， 整个移动 i p v 6 体系的完善还有很长的路要 走。 目前世界上有很多组织或者机构在对移动 i p v 6 进行研究，并且已有了一些 在不同 操作系统上开发出来的实 验系统。 例如w i n d o w s 下的m i c r o s o f t m i p v 6 p r o j e c t ( m i p v 6 )实 验系统， f r e e b s d 下的c m u m o n a r c h p r o j e c t , k a m e p r o j e c t 实验系统，以及 l i n u x 下的l a n c a s t e r移动 i p v 6 , m i p l 移动 i p v 6 实验系统、 u s a g i ( u n i v e r s a i p l a y g r o u n d ) 等等1 3 1 1 . 3 研究内容和研究思路 本文从安全角度来分析移动 i p v 6协议:在现有移动 i p v 6协议的基础上对一 些安全机制进行分析和改进，并在l i n u x 环境下实现。由于现在已有 l i n u 、下实 现移动 i p v 6 的系统 mi p l ， 所以， 本文对移动 i p v 6的安全机制的实现是在 mi p l 2 .0 r c i 基础上进行的。全文的结构安排如下: 第二章论述移动 i p v 6协议。第三章分析移动 i p v 6协议面对的安全威胁及克 服威胁的安全机制。第四章分析移 动 i p v 6 在l i n u x 系统上的实现-m i p l , 第五 章主要分析 mi p v 6中的i p s e c 机制及实现。 第六章则论述了轻量级认证协议p b k 并对其进行改进。最后第七章对本文进行了总结。 3 西北工业大学硕士学位论文移动 ! p v 6协议安全机制分析及实现 第二章移动 i p v 6 协议 2 . 1 移动i p协议的产生 在 i n t e r n e t上，侮个卞机分配有唯一的 i p地址或动态 i p地址。由于 i n t e rne t 是基于网络前缀的路由，i p数据分组首先路由到 i p地址网络前缀对应的网段， 然后转发到日的主机，因此，i p地址不仅标识台主机，也表示这台主机的啊 理网络位置。当移动主机在不同的网络间移动时，它的 i p地址己经不能表示其 物理网络地址，发送给移动主机的 i p分组不能被正确转发给目的节点，移动主 机因而不能正常地接入i n t e rn e t 获得网络服务。 为了实现移动主机接入i n t e rn e t , 曾经提出下 面的几种方案 倒 。 在移动节点每次变换位置时， 改变其 i p地址。这种方法对上 层协议不能提 供移动的透明性，不能保持通信的连续性，特别当移动节点在两个子网之间 漫游时，由于其i p 地址不断变化，将导致移动节点无法与 其他用 户通信。 根据特定主 机地址进行路由 选择。这种方法将大量浪费路由 器的有限 资源， 对每个数据分组 选路时， 路由器都要搜索大量的主机地址入口 ， 系统的可扩 展性差，不能满足大规模网络互联的要求。 在链路层使用蜂窝数字分组数据等标准蜂窝数字分组数据标准提供 1 1 k b / s 的传输速率且支持多种协议，但它需要新的网络基础设施和大量管理维护费 用，无法与现存的互联网兼容。 以上这些方案都 存在问题，因 此必须寻找一 种新的机制， 解决主机能够在不 h j 1 1 络间的自 由移动问题。 为此， i n t e r n e t 工程任务组 i e t f ( i n t e r n e t e n g i n e e r i n g t a s k f o r c e ) 下属的移动i p 工作组在 1 9 9 2 年制定了 移动工 p 的最初标准草案， 主 要包括下面的r f c文档: r f c 2 0 0 2 :定义了移动 i p协议。 r f c 2 0 0 3 , 2 0 0 4 , 1 7 0 1 :定义了 移动i p 中用到的三种隧道技术。 r f c 2 0 0 5 :定义了移动 i p的应用。 - r f c 2 0 0 6 : 定义了移动i p 的管理信息14 毛 m i b ( m a n a g e m e n t i n f o r m a t i o n b a s e ) . 西北工业大学硕士学位论文移动 ! p v 6协议安全机制分析及实现 第二章移动 i p v 6 协议 2 . 1 移动i p协议的产生 在 i n t e r n e t上，侮个卞机分配有唯一的 i p地址或动态 i p地址。由于 i n t e rne t 是基于网络前缀的路由，i p数据分组首先路由到 i p地址网络前缀对应的网段， 然后转发到日的主机，因此，i p地址不仅标识台主机，也表示这台主机的啊 理网络位置。当移动主机在不同的网络间移动时，它的 i p地址己经不能表示其 物理网络地址，发送给移动主机的 i p分组不能被正确转发给目的节点，移动主 机因而不能正常地接入i n t e rn e t 获得网络服务。 为了实现移动主机接入i n t e rn e t , 曾经提出下 面的几种方案 倒 。 在移动节点每次变换位置时， 改变其 i p地址。这种方法对上 层协议不能提 供移动的透明性，不能保持通信的连续性，特别当移动节点在两个子网之间 漫游时，由于其i p 地址不断变化，将导致移动节点无法与 其他用 户通信。 根据特定主 机地址进行路由 选择。这种方法将大量浪费路由 器的有限 资源， 对每个数据分组 选路时， 路由器都要搜索大量的主机地址入口 ， 系统的可扩 展性差，不能满足大规模网络互联的要求。 在链路层使用蜂窝数字分组数据等标准蜂窝数字分组数据标准提供 1 1 k b / s 的传输速率且支持多种协议，但它需要新的网络基础设施和大量管理维护费 用，无法与现存的互联网兼容。 以上这些方案都 存在问题，因 此必须寻找一 种新的机制， 解决主机能够在不 h j 1 1 络间的自 由移动问题。 为此， i n t e r n e t 工程任务组 i e t f ( i n t e r n e t e n g i n e e r i n g t a s k f o r c e ) 下属的移动i p 工作组在 1 9 9 2 年制定了 移动工 p 的最初标准草案， 主 要包括下面的r f c文档: r f c 2 0 0 2 :定义了移动 i p协议。 r f c 2 0 0 3 , 2 0 0 4 , 1 7 0 1 :定义了 移动i p 中用到的三种隧道技术。 r f c 2 0 0 5 :定义了移动 i p的应用。 - r f c 2 0 0 6 : 定义了移动i p 的管理信息14 毛 m i b ( m a n a g e m e n t i n f o r m a t i o n b a s e ) . 西北工业大学硕士学位论文 移动 ip v 6协议安全机制分析及实现 i n t e r n e t 1 程指导小组i e s g ( i n t e r n e t e n g i n e e r i n g s t e e r i n g g r o u p ) 在 1 9 9 6 年 6月通过了移动 i p标准草案，在 1 9 % 年 1 1月公布了 建议标准 ( p r o p o s e d s t a n d a r d ) ，为移动i p 成为i n t e r n e t 正式标准打下了 基础，对移动i p 的发展起了 关键作用。 2 .2 i m协议简述 i p v 6 协议i4 1对移动性的 支持， 主要体现在: 自 动配置功能:节点改变网络接入点后能够保持网 络连接 5 1 1 6 1 扩展报头机制:i p v 6 的移动 选项可以放在扩展报头中 6 1 下面，我们将概要的介绍一下 i p v fi协议。 卜卜 2 .2 . 1 i p v 6 协议的结构 在r f c 2 4 6 0 中定 义了i p v 6 数据包的 报头结构。 该 报头固定为4 0 字 节长。 源 和目的地址各占1 6 字节 ( 1 2 8 位) ， 因此， 只有8 字节 是用于 普通报头信息的 4 1 详见图 2 . 1 : 0 0 1 2 3 4 5 6 版本号 业 1 0 1 2 3 4 5 71 流类里 荷 长度 2 3 4 5 6 流标签 下一个头 3 0 1 2 3 4 5 源 i p 地址 1 2 8 价 目的i p 地址 1 2 8 丁 方 图2 . 1 i m 数据报报头结构 而 i p v 4报头的长度可以从最小的 2 0字节扩展为 6 0字节，以便指定选项， 如安全选项( s e c u r i t y o p t i o n ) , 源路由( s o u r c e r o u t i n g ) 或时f o l 戳 ( t i m e s t a m p ) . 这项功能很少使用，因为会降份阵能。数据包的报头越简单，处理过程就越快。 t w v 6米川一种新力法未处理 选项，显著的改善丁 处理速度。 已 在附 加的 打展报 头中对这些选项进行处理 西北工业大学硕士学位论文 移动 ip v 6协议安全机制分析及实现 i n t e r n e t 1 程指导小组i e s g ( i n t e r n e t e n g i n e e r i n g s t e e r i n g g r o u p ) 在 1 9 9 6 年 6月通过了移动 i p标准草案，在 1 9 % 年 1 1月公布了 建议标准 ( p r o p o s e d s t a n d a r d ) ，为移动i p 成为i n t e r n e t 正式标准打下了 基础，对移动i p 的发展起了 关键作用。 2 .2 i m协议简述 i p v 6 协议i4 1对移动性的 支持， 主要体现在: 自 动配置功能:节点改变网络接入点后能够保持网 络连接 5 1 1 6 1 扩展报头机制:i p v 6 的移动 选项可以放在扩展报头中 6 1 下面，我们将概要的介绍一下 i p v fi协议。 卜卜 2 .2 . 1 i p v 6 协议的结构 在r f c 2 4 6 0 中定 义了i p v 6 数据包的 报头结构。 该 报头固定为4 0 字 节长。 源 和目的地址各占1 6 字节 ( 1 2 8 位) ， 因此， 只有8 字节 是用于 普通报头信息的 4 1 详见图 2 . 1 : 0 0 1 2 3 4 5 6 版本号 业 1 0 1 2 3 4 5 71 流类里 荷 长度 2 3 4 5 6 流标签 下一个头 3 0 1 2 3 4 5 源 i p 地址 1 2 8 价 目的i p 地址 1 2 8 丁 方 图2 . 1 i m 数据报报头结构 而 i p v 4报头的长度可以从最小的 2 0字节扩展为 6 0字节，以便指定选项， 如安全选项( s e c u r i t y o p t i o n ) , 源路由( s o u r c e r o u t i n g ) 或时f o l 戳 ( t i m e s t a m p ) . 这项功能很少使用，因为会降份阵能。数据包的报头越简单，处理过程就越快。 t w v 6米川一种新力法未处理 选项，显著的改善丁 处理速度。 已 在附 加的 打展报 头中对这些选项进行处理 西北工业大学硕士学位论文 移动 ip v 6协议安全机制分析及实现 i n t e r n e t 1 程指导小组i e s g ( i n t e r n e t e n g i n e e r i n g s t e e r i n g g r o u p ) 在 1 9 9 6 年 6月通过了移动 i p标准草案，在 1 9 % 年 1 1月公布了 建议标准 ( p r o p o s e d s t a n d a r d ) ，为移动i p 成为i n t e r n e t 正式标准打下了 基础，对移动i p 的发展起了 关键作用。 2 .2 i m协议简述 i p v 6 协议i4 1对移动性的 支持， 主要体现在: 自 动配置功能:节点改变网络接入点后能够保持网 络连接 5 1 1 6 1 扩展报头机制:i p v 6 的移动 选项可以放在扩展报头中 6 1 下面，我们将概要的介绍一下 i p v fi协议。 卜卜 2 .2 . 1 i p v 6 协议的结构 在r f c 2 4 6 0 中定 义了i p v 6 数据包的 报头结构。 该 报头固定为4 0 字 节长。 源 和目的地址各占1 6 字节 ( 1 2 8 位) ， 因此， 只有8 字节 是用于 普通报头信息的 4 1 详见图 2 . 1 : 0 0 1 2 3 4 5 6 版本号 业 1 0 1 2 3 4 5 71 流类里 荷 长度 2 3 4 5 6 流标签 下一个头 3 0 1 2 3 4 5 源 i p 地址 1 2 8 价 目的i p 地址 1 2 8 丁 方 图2 . 1 i m 数据报报头结构 而 i p v 4报头的长度可以从最小的 2 0字节扩展为 6 0字节，以便指定选项， 如安全选项( s e c u r i t y o p t i o n ) , 源路由( s o u r c e r o u t i n g ) 或时f o l 戳 ( t i m e s t a m p ) . 这项功能很少使用，因为会降份阵能。数据包的报头越简单，处理过程就越快。 t w v 6米川一种新力法未处理 选项，显著的改善丁 处理速度。 已 在附 加的 打展报 头中对这些选项进行处理 西北工业大学硕i s 学位论文移动i m协议安全机制分析及实现 当 前的i p v 6 规范 ( r f c 2 4 6 0 ) 定义了 六个扩展报头 4 1 . h o p - b y - h o p o p t i o n s ( r f c 2 4 6 0 ) r o u t i n g ( r f c 2 4 6 0 ) f r a g m e n t ( r f c 2 4 6 0 ) d e s t i n a t i o n o p t i o n s ( r f c 2 4 6 0 ) au t h e n t i c a t i o n ( rf c 2 4 0 2 ) e n c r y p t e d s e c u r i ty p a y l o a d ( r f c 2 4 0 6 ) 在 i m 报头和上层协议报头之间可以有一个或多个扩展报头，也可以没有。 每个扩展报头由前面报头的 n e x t h e a d e r 字段标识。 扩展 报头只被 i m 报头的 d e s t i n a t i o n a d d r e s s 字 段所标识的节点进行检查或处理， 除了h o p - b y - h o p o p t i o n s 报头，其承载的信息必须被数据包经过路径上的每个节点检查和处理， 且必须紧 跟在 i m 报头之后。i m 报头的 n e x t h e a d e r 字 段中用。来表示 h o p - b y - h o p o p t i o n s 报头。 2 . 2 .2 i p v 6 地址类型 i p v 6 地址有三种类型:单播地址、多 播地 址、泛播地址 4 1 单 播地址 ( u n i c a s t a d d r e s s ) 多 播 地址 ( m u lt ic a s t a d d r e s s ) 泛播地址 ( a n y c a s t a d d r e s s ) 一个典型的 i p v 6地址由三个部分组成:全局路由前缀 ( g l o b a l r o u t i n g p r e f i x ) 、 子网i d ( s u b n e t i d ) 和接口i d ( i n t e r f a c e i d ) 。 全局路由 前缀用 来识别 分配给一 个站点的某个特殊地址 ( 比如多 播) 或一个地址范围。子网 i d( 也可 称为子网前缀 )用来识别站点中的某个链接，一个子网 i d与一个链接相关联。 可以将多 个子网i d分配给 个链接， 接日i d则用来识别链接上的某个接口， 并 且接口i d在该链接上必须是唯一的。 注意的是在i m 的地址表示中， 双冒号可以 代替地址中连续的0 ， 或开头 和 结尾的 0 ，但是双 冒号在一个地址中只能出现一次。 在和i p v 4 和 i p v 4 节点同时存在的情况下， i m 地址的另一种表示方 法是把 i p v 4 地址放到该地址的 4 个低字节块中，如: 二 1 9 2 . 1 6 8 . 0 . 2 . 6 西北工业大学硕i s 学位论文移动i m协议安全机制分析及实现 当 前的i p v 6 规范 ( r f c 2 4 6 0 ) 定义了 六个扩展报头 4 1 . h o p - b y - h o p o p t i o n s ( r f c 2 4 6 0 ) r o u t i n g ( r f c 2 4 6 0 ) f r a g m e n t ( r f c 2 4 6 0 ) d e s t i n a t i o n o p t i o n s ( r f c 2 4 6 0 ) au t h e n t i c a t i o n ( rf c 2 4 0 2 ) e n c r y p t e d s e c u r i ty p a y l o a d ( r f c 2 4 0 6 ) 在 i m 报头和上层协议报头之间可以有一个或多个扩展报头，也可以没有。 每个扩展报头由前面报头的 n e x t h e a d e r 字段标识。 扩展 报头只被 i m 报头的 d e s t i n a t i o n a d d r e s s 字 段所标识的节点进行检查或处理， 除了h o p - b y - h o p o p t i o n s 报头，其承载的信息必须被数据包经过路径上的每个节点检查和处理， 且必须紧 跟在 i m 报头之后。i m 报头的 n e x t h e a d e r 字 段中用。来表示 h o p - b y - h o p o p t i o n s 报头。 2 . 2 .2 i p v 6 地址类型 i p v 6 地址有三种类型:单播地址、多 播地 址、泛播地址 4 1 单 播地址 ( u n i c a s t a d d r e s s ) 多 播 地址 ( m u lt ic a s t a d d r e s s ) 泛播地址 ( a n y c a s t a d d r e s s ) 一个典型的 i p v 6地址由三个部分组成:全局路由前缀 ( g l o b a l r o u t i n g p r e f i x ) 、 子网i d ( s u b n e t i d ) 和接口i d ( i n t e r f a c e i d ) 。 全局路由 前缀用 来识别 分配给一 个站点的某个特殊地址 ( 比如多 播) 或一个地址范围。子网 i d( 也可 称为子网前缀 )用来识别站点中的某个链接，一个子网 i d与一个链接相关联。 可以将多 个子网i d分配给 个链接， 接日i d则用来识别链接上的某个接口， 并 且接口i d在该链接上必须是唯一的。 注意的是在i m 的地址表示中， 双冒号可以 代替地址中连续的0 ， 或开头 和 结尾的 0 ，但是双 冒号在一个地址中只能出现一次。 在和i p v 4 和 i p v 4 节点同时存在的情况下， i m 地址的另一种表示方 法是把 i p v 4 地址放到该地址的 4 个低字节块中，如: 二 1 9 2 . 1 6 8 . 0 . 2 . 6 西北工业人学硕士学位论文移动i p v 6协议安全机制分析及实现 r f c 2 3 7 3 列出了一些用来识别 特殊地址的 格式前 缀 ( 也 称全局路山 前缀) 。 其中: 前八位二进制为0表示保留地址: 前三位二进制为 0 0 1表示可聚类的全球单播地址: 前八位二进制为 1 1 1 1 1 1 1 1表示多播地址:f f 0 0 : : / 8 前十位二进制为 1 1 1 1 1 1 1 0 1 0表示木地链路单播地址:f e 8 0 : : / 1 0 前十位二进制为 1 1 1 1 m ol l表示本地站点单播地址:f e c o : : / 1 0 环回地址: : 1 i p v 6 分配了两个单独的地址空间供本地链路和本地站点是用， 两者都是通过 它们的前缀来识别。一个本地链路 地址只能用于 单个的链路， 绝对不能被路由。 它可以用来作为自 动配置 机制， 用于网络邻居发现， 以 及用在没 有路由器的网 络 上木地站点地址在地址内包含了子网信息， 它们可以在一个站点内被路由， 但 是路由器不能把它们转发到站外。这两种地址类型无需全局前缀即可使用。 2 . 3 移动i m协议概述 在 i n t e r n e t网络协议中，网络层协议负责将网络数据正确转发到相应的目的 地址，其主要部分就是路由协议。路由协议通过路由器之间交换路由信息，建立 用于转发分组的路由表，路由器根据接收分组的目的 i p地址查找路由表，转发 分组到相应的端c。移动 i p是网 络层的支持主机移动的 解决方案，目 的是 把数 据分组发送到可能不断改变接入位置的移动主机。因此，采用移动 i p功能的移 动主机可以从一个网段移动到另一个网段， 甚至是从一种介质的网络移动到另一 种介质的网络而保持己有连接的通信， 这种在不同网络、 介质间移动同时保持已 有通信的功能是移动 1 p的重要标志。 作为网络层的一个协议， 移动 1 p协议与 下层数 据链路层协议无关， 也与物 理传输介质无关。移动 i p是文持主机移动的 i p分组转发的网络层标准，对t c p 层及上层协议的改进不属于移动 i p的研究范围. 移动i p 协议的设计应该清足如下的要求侧 : 移动节点在改变数据链路层接入点后，应该能够保持与 i n t e r n e t 上其他节点 的连续通信 7 西北工业人学硕士学位论文移动i p v 6协议安全机制分析及实现 r f c 2 3 7 3 列出了一些用来识别 特殊地址的 格式前 缀 ( 也 称全局路山 前缀) 。 其中: 前八位二进制为0表示保留地址: 前三位二进制为 0 0 1表示可聚类的全球单播地址: 前八位二进制为 1 1 1 1 1 1 1 1表示多播地址:f f 0 0 : : / 8 前十位二进制为 1 1 1 1 1 1 1 0 1 0表示木地链路单播地址:f e 8 0 : : / 1 0 前十位二进制为 1 1 1 1 m ol l表示本地站点单播地址:f e c o : : / 1 0 环回地址: : 1 i p v 6 分配了两个单独的地址空间供本地链路和本地站点是用， 两者都是通过 它们的前缀来识别。一个本地链路 地址只能用于 单个的链路， 绝对不能被路由。 它可以用来作为自 动配置 机制， 用于网络邻居发现， 以 及用在没 有路由器的网 络 上木地站点地址在地址内包含了子网信息， 它们可以在一个站点内被路由， 但 是路由器不能把它们转发到站外。这两种地址类型无需全局前缀即可使用。 2 . 3 移动i m协议概述 在 i n t e r n e t网络协议中，网络层协议负责将网络数据正确转发到相应的目的 地址，其主要部分就是路由协议。路由协议通过路由器之间交换路由信息，建立 用于转发分组的路由表，路由器根据接收分组的目的 i p地址查找路由表，转发 分组到相应的端c。移动 i p是网 络层的支持主机移动的 解决方案，目 的是 把数 据分组发送到可能不断改变接入位置的移动主机。因此，采用移动 i p功能的移 动主机可以从一个网段移动到另一个网段， 甚至是从一种介质的网络移动到另一 种介质的网络而保持己有连接的通信， 这种在不同网络、 介质间移动同时保持已 有通信的功能是移动 1 p的重要标志。 作为网络层的一个协议， 移动 1 p协议与 下层数 据链路层协议无关， 也与物 理传输介质无关。移动 i p是文持主机移动的 i p分组转发的网络层标准，对t c p 层及上层协议的改进不属于移动 i p的研究范围. 移动i p 协议的设计应该清足如下的要求侧 : 移动节点在改变数据链路层接入点后，应该能够保持与 i n t e r n e t 上其他节点 的连续通信 7 1 北1 一 业大学硕 l 学位论文 移动 i p v 6协议安全机制分析及实现 v 移动节点无论连接到任何接入点，应该能够用原来的 i p 地址进行通信 移动节点应该能够与