碩士論文i p v6 網(wǎng) 絡(luò)的安全技術(shù)研究 a b s t r a c t t h eart i c l ef i r s ti n t r o d u c e dt h e1 p v 6n e t ， o r kr e l a t e db a c k 盯o u nd andt h e t e c h nol o g y ，and h avea n a l y z e dt h es e c u r i t y abi l i t y ，t h es e c u r i t ys y s t e 口c o n s t i t u t i o n a g r e e m e n tandt h ei pse cs e c uri t y o fi p v 6 : i pse cb a s i c8gr e e men taut h e n t i c a t i o n s a f e s e a l l o a d t e x t o f a t e l e 盯翻 ( esp ) : e x p a n s i o nt e x t and d e t a i li n t r o d u c e d o fat e l e 盯叨 ( 胡)and t h e s y s t 恤 o t h e r p art s o f i p v 6 s e c u r i t y ， e x a . p l e ， t h e s e c u r i t y pol i c y 、t h e e n c r y p t i o n and t h e aut h e n t i c a t i o n a 1 g o r i t 恤 t h ek e y. a n a g e 配n tands oo n ，t h eart i c l ed i s c u s s e dh ow t h em t o和r k ，t h e y mat c he a c ho t h e rt o盯o t e c tt h ei p v 6n e t ，or ko fs e c u r i t y .and a n a l y z e d c u r r e n ti p v 6n e t 份 o r ke x i s t e n c es o me l o o p h o 1 e sa n dt h ef 1 艦，a s，el la ss o 口 e t r adi t i o nals e c u r i t y t o o l su n d e r i p v 6 i 叩r o v e men t ， has s i mul t ane o u s l y i n t r o d u c e d t h es a f e a u d i t a n dt h e r i s ka n a l y s i s t h e o r yc o n s t r u c t si nt h en e x t g e n e rat i o n n e t ”r k d y n 陽(yáng)i c s e c u r i t y 咖d e l ; f i nal l y h a s c arr i e d o n t h e a n a l y s i s t ot h ei p v 6f i r e ， a l lr e a l i z a t i o np r o t e c t i o nn e t ， orks e c u r i t y ，h a s少o duc e d i nt h ef i r e w a l li nar e a l i z a t i o np r o t e c t i o n田 o d u l e ，h a dt ot h ef i r e w a l li n i p v 6 n e t ，or k pto t e c t i v e mea s ure h adf u r t h e r u n d e r s t o o d . t h e art i c l e c o n c l u s i o nhasc arr i e do nt h ef ore c a s tt ot h ei pv6d e v e 1 o p . e n t ，a n ds ome q u e s t i o n s 汕i c h n e e d s t oi . p r o v e t o t h e n e x t g e n e rat i o n n e t 和r ki n h ave c a r r i e d o nt he i n duc t i o ns u 田 田 a r y ，e x p 1 a i n e dt h er e s e arc hg o a 1 andt h eh arv e s t ， i t ， a s c l e ar abo u tt h ec o n s t r u c t e dt h en e ，s e c u r i t y.d e lfort h en e x tg e n e r a t i o n s e c u r i t ye x t r e m e l yi 帥ort a n t l yt os e n dt h es i g n i f i c anc e k e y，or d s : i p v 6 ，i ps e c ，s e c u r en e t 勸r k ，ah，a p p d r r ，f i r 昨a l l il 聲明 本學(xué)位論文是我在導(dǎo)師的指導(dǎo)下取得的研究成果，盡我所知，在本學(xué)位論 文中，除了加以標(biāo)注和致謝的部分外，不包含其他人已經(jīng)發(fā)表或公布過(guò)的研究 成果， 也不包含我為獲得任何教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過(guò)的材料。與我一 同 工作的同事對(duì)本學(xué)位論文做出的貢獻(xiàn)均己在論文中作了明 確的說(shuō)明。 研 究 生 簽 名 : 拜 扭 一盜 州 年 陰陽(yáng) 學(xué)位論文使用授權(quán)聲明 南京理工大學(xué)有權(quán)保存本學(xué)位論文的電子和紙質(zhì)文檔，可以借閱或_ 七 網(wǎng)公 布本學(xué)位論文 的部分或全部?jī)?nèi)容，可以向有關(guān)部門或機(jī)構(gòu)送交并授權(quán)其保存 、 借閱或上網(wǎng)公布本學(xué)位論文的部分或全部?jī)?nèi)容。對(duì)于保密論文，按保密的 有關(guān) 規(guī)定和程序處理。 研 究 生 簽 名 : 鬢 叢 法 一一 知刁年了 月7 日 碩士論文ipv6網(wǎng)絡(luò)的安全技術(shù) 研究 1緒論 在當(dāng)前計(jì)算機(jī)網(wǎng) 絡(luò)飛速發(fā)展的 步伐下，i p v4 的局限 性和缺點(diǎn) 越發(fā)明 顯， tcp / ip 的工程師和設(shè)計(jì)人員在20世紀(jì)80年代初期就意識(shí)到了到了對(duì)i p v4的升級(jí)需求，因 為當(dāng)時(shí)已 經(jīng)發(fā)現(xiàn) ip地址空間隨著 i nternet的發(fā)展只能支持很短時(shí)間，過(guò)去幾年中 i p v 4 地址資源的緊缺引發(fā)了一系列安全問(wèn)題， 盡管i p v6協(xié)議在網(wǎng) 絡(luò)安全上做了多項(xiàng) 改進(jìn)，但是其引入也帶來(lái)了新的安全問(wèn) 題。由于我國(guó)i p v4地址資源嚴(yán)重不足，除了 采用c i dr、 v lsm 和d h c p 技術(shù)緩解地址緊張問(wèn) 題， 更多的是 采用私有ip地址結(jié)合網(wǎng) 絡(luò)地址轉(zhuǎn)換( n a t / p a t ) 技術(shù)來(lái)解決這個(gè)問(wèn) 題。 比 如pstn、 adsl、 g p rs撥號(hào)上網(wǎng)、 寬帶 用戶以及很多校園網(wǎng)、 企業(yè)網(wǎng)大都是采用私有i pv4 地址， 通過(guò)n a t 技術(shù)接入互聯(lián)網(wǎng)， 這不僅大大降低了網(wǎng)絡(luò)傳輸?shù)乃俣?，且安全性等方面也難以 得到保障。從根本上看， 互聯(lián)網(wǎng)可信度問(wèn) 題、端到端連接特性遭受破壞、網(wǎng)絡(luò)沒有強(qiáng)制采用 ip s ec而帶來(lái)的 安全性問(wèn) 題，使i pv4 網(wǎng)絡(luò)面臨各種威脅。 i p 安全協(xié)議 ， ( i p s e c )i ps e c 是1 入4 的一個(gè)可選擴(kuò)展協(xié)議， 而在i p v 6 則是一 個(gè)必備組成部分。 ips ec協(xié)議可以“ 無(wú)縫”地為ip提供安全特性， 如提供訪問(wèn) 控制、 數(shù)據(jù)源的身份驗(yàn)證、 數(shù)據(jù)完整性檢查、 機(jī)密性保證， 以 及抗重播( r 印l ay) 攻擊等。 新 版路由 協(xié)議璐p f v3 和 r 工 p ng采用ip s ec來(lái)對(duì)路由 信息進(jìn)行加密和認(rèn)證， 提高抗路 由 攻擊的 性能。 需要指出的是， 雖然ips ec能夠防止多 種攻擊， 但無(wú)法抵御s nif fer 、 d o s 攻擊、 洪水( f i o od) 攻擊和應(yīng)用層攻擊。 i pv6 協(xié)議確實(shí)比i p v4 的安全性有所改進(jìn)，i pv4中常見的一些攻擊方式，將在 i pv6 網(wǎng)絡(luò)中失效， 例如網(wǎng)絡(luò)偵察、 報(bào)頭攻擊、 ic解攻擊、 碎片攻擊、 假冒 地址、 病 毒及蠕蟲等。 但數(shù)據(jù)包偵聽、中間人攻擊、 洪水攻擊、 拒絕服務(wù)攻擊、 應(yīng)用層攻擊等 一系列在i pv4 網(wǎng)絡(luò)中的問(wèn)題， i p v6仍應(yīng)對(duì)乏力， 只是在i p v6的網(wǎng)絡(luò)中事后追溯攻 擊的源頭方面要比 在i p v4中容易一些。i p v6是新的協(xié)議， 在其發(fā)展過(guò)程中必定會(huì)產(chǎn) 生一些新的安全問(wèn) 題，主要包括應(yīng)對(duì)拒絕服務(wù)攻擊( d os) 乏力、 包過(guò)濾式防火墻無(wú)法 根據(jù)訪問(wèn) 控制列表acl 正常工作、 入侵檢測(cè)系統(tǒng)( i d s)遭遇拒絕服務(wù)攻擊后失去作用、 被黑客篡改報(bào)頭等問(wèn)題。 向i p v 6 遷移的可能漏洞 由 于i pv6 與i p v4網(wǎng) 絡(luò)將會(huì)長(zhǎng)期共存，網(wǎng)絡(luò)必然會(huì)同 時(shí)存在兩者的安全問(wèn) 題， 或由 此產(chǎn)生新的安全漏洞。已 經(jīng)發(fā)現(xiàn)從i p v4 向 i p v6轉(zhuǎn)移 時(shí)出 現(xiàn)的一些安 全漏洞， 例如黑客可以 使用i p v6非法訪問(wèn) 采用了i p v4和i p v6兩種 協(xié)議的l an的網(wǎng) 絡(luò)資源， 攻擊者可以 通過(guò)安裝了 雙棧的使用i pv6 的 主機(jī)， 建立由i pv6 到i pv4 的隧道， 繞過(guò)防火墻對(duì)i pv4 進(jìn)行攻擊。向i p v6協(xié)議的轉(zhuǎn)移與采用其他任何 一種新的網(wǎng)絡(luò)協(xié)議一樣， 需要重新配置防火墻， 其安全措施必須經(jīng)過(guò)慎重的考慮和測(cè) 碩士論文ip v6 網(wǎng)絡(luò)的安全技術(shù)研究 試， 例如i pv4 環(huán)境下的i ds并不能直接支持i p v6， 需要重新設(shè)計(jì)， 原來(lái)應(yīng)用在i pv4 協(xié)議的安全策略和安全措施必須在i pv6 上得到落實(shí)。目 前，i p v4向i pv6 過(guò)渡有多 種技術(shù)， 其中 基本過(guò)渡技術(shù)有雙棧、 隧道和協(xié)議轉(zhuǎn)換， 但目 前這幾種技術(shù)運(yùn)行都不理 想。 由 此可見，分析和研究 i pv6在網(wǎng)絡(luò)運(yùn)行的安全問(wèn)題非常重要，可以為 ip s ec 的 制定提供完善的數(shù)據(jù)和可靠保證。 1 .1課題研究背景 在我國(guó) i p v6 的發(fā)展主要是教育網(wǎng)的發(fā)展，帶動(dòng)下一代網(wǎng)絡(luò)的發(fā)展， 目 前， cernetz 試驗(yàn)網(wǎng)以2 . sg的 速度連接北京、 上海和廣州三個(gè)cernetz 核心節(jié)點(diǎn)， 并與 國(guó)際下一代互聯(lián)網(wǎng)相連接， 開始為清華大學(xué)、 北京大學(xué)、 上海交通大學(xué)等一批 “ i p v6 常青藤”高校提供高速i pv6 服務(wù)。 它的開通也標(biāo)志著中國(guó)學(xué)術(shù)互聯(lián)網(wǎng)的i p v6之路已 經(jīng)踏上征程。 國(guó)外對(duì) i p v6 網(wǎng)絡(luò)安全的 研究起步較早，已經(jīng)有了一些基于i psec的試驗(yàn)v p n ， 但大都是在專用的平臺(tái)下實(shí)現(xiàn)， 與操作系統(tǒng)綁定得都比 較緊密， 有的甚至就是一個(gè)黑 盒子。 關(guān)于不同的ip s ec實(shí)現(xiàn)間的互操作性，目 前還有令人滿意的測(cè)試報(bào)告。具有 代表 性的 有 完 善i p v 6 中k a m e 計(jì) 劃， i k e 中 的a e s 一 c bc c i p h e r ，a e s 一 x c 硯一 p 即 一128 等算法以 及在v pn方面 應(yīng)用研究。 國(guó)內(nèi) 對(duì)i p v6網(wǎng)絡(luò)安全研究還處于初期， 主要是在理論方面， 完整地實(shí)現(xiàn)了i psec 整個(gè)協(xié)議的安全產(chǎn)品還比較缺乏。 研究單位主要是北京郵電大學(xué)和中國(guó)科技大學(xué)。 研 究領(lǐng)域集中 在a es算法， j f k 協(xié)議， adhoc 網(wǎng)絡(luò)安全系統(tǒng)， v pn防御加5 攻擊， ips ec一 n a t 兼容性穿越技術(shù)，移動(dòng)i pv6 ，嵌入式v pn安全以 及ip多媒體網(wǎng)絡(luò)等方面。 1 .zipv6 網(wǎng)絡(luò)存在的安全問(wèn) 題 目 前， i pv 6 網(wǎng) 絡(luò) 存 在的 安 全問(wèn) 題圖 主 要 有如 下 幾 個(gè) 方 面: 1 .ip網(wǎng)中許多不安全問(wèn)題主要是管理造成的。i pv6 的管理與i pv4 在思路上有 可借鑒之處。 但對(duì)于一些網(wǎng)管技術(shù)，如s n m p 等，不管是移植還是重新另搞，其安全 性都必須從本質(zhì)上有所提高。由 于目 前針對(duì)i p v6的網(wǎng)管設(shè)備和網(wǎng)管軟 件幾乎沒有成 熟產(chǎn)品出 現(xiàn)，因 此缺乏對(duì)i pv6 網(wǎng) 絡(luò)進(jìn)行監(jiān)測(cè)和管理的手段， 缺乏對(duì)大范圍的網(wǎng) 絡(luò)故 障定位和性能分析的 手段。 沒有網(wǎng)管， 何談保障網(wǎng) 絡(luò)高效、安全運(yùn)行? 2 .p ki管理在i pv6 中 是懸而未決的 新問(wèn) 題; 3 . i p v 6 網(wǎng)絡(luò)同樣需要防火墻、 v p n 、i ds、漏洞掃描、網(wǎng)絡(luò)過(guò)濾、防病毒網(wǎng)關(guān)等 2 碩士論文i p v 6 網(wǎng) 絡(luò)的安全技術(shù)研究 網(wǎng) 絡(luò)安全設(shè)備。 事實(shí) 上i p v6環(huán)境下的病毒己 經(jīng)出 現(xiàn)。 這方面的安全技術(shù)研發(fā)還尚 需 時(shí)日; 4 .ip v6協(xié)議 仍需 在實(shí) 踐中 完善， 例如i p v6組播 功能 僅僅規(guī)定了 簡(jiǎn)單的 認(rèn) 證功 能 所以 還難以 實(shí)現(xiàn)嚴(yán)格的 用戶限 制功能， 而移動(dòng)i p v6( mob i e l l pv6)也存在很多 新 的安全挑戰(zhàn)。 d h c p 必須經(jīng)過(guò)升級(jí)才可以 支持i p v6地址， dhc p v6仍然處于研究、 制訂 之中。 1 .3i pv6 網(wǎng) 絡(luò)安全研究意義 ipv6網(wǎng) 絡(luò)安全主要是以i psec作為基石， i p v6和 i p v4相比 具有諸多優(yōu)勢(shì): 地址 空間巨大， 支持分級(jí)路由 結(jié)構(gòu)， 能進(jìn)行有狀態(tài)和無(wú)狀態(tài)的地址培植， 具有內(nèi) 置的安全 策略( i psec) ，能更好地支持qos 以 及具有良 好的 可擴(kuò)展性等等。 2 0 03年 10月中國(guó) 宣布即將啟動(dòng)c n g i 項(xiàng)目( 中國(guó)下一代互聯(lián)網(wǎng)項(xiàng)目 ) ， 并在2 0 05年底建成世界上最大的 ipv6網(wǎng)。 cngi項(xiàng)目 將成為整個(gè)i p v6產(chǎn)業(yè)部署進(jìn)程的 孵化器和助推器。 在這種國(guó) 家大 力支持的大好形勢(shì)下， 利用我們自 身的科研資源和條件，努力抓住發(fā)展契機(jī)， 搭建 i pv6 的實(shí)驗(yàn)環(huán)境， 做一些i pv6 的研究， 推動(dòng)工 p v6的應(yīng)用，為i pv6 即將到來(lái)大規(guī)模 商用做好技術(shù)儲(chǔ)備是非常必要和有意義的。 而且， 現(xiàn)有安全體系并不能完全適應(yīng)i p v6 的許多新的應(yīng)用。 隨著i p v6的迅速發(fā)展， 基于i p v6的下一代互聯(lián)網(wǎng)的安全性研究就 更加突顯重要，切實(shí)地研究出新的安全方案以解決i pv6 和現(xiàn)有安全體系的兼容性問(wèn) 題，在當(dāng)前已成為了非常迫切的事。 1 .4本文研究?jī)?nèi)容 本文是在南京理工大學(xué)與cernetz 試驗(yàn)網(wǎng)成功連接及下一代網(wǎng)絡(luò)i p v6實(shí)驗(yàn)室建 設(shè)的基礎(chǔ)上， 全面認(rèn)識(shí)下一代網(wǎng)絡(luò)發(fā)展情況， 聯(lián)系目 前的網(wǎng)絡(luò)安全技術(shù)， 分析了i p v6 網(wǎng)絡(luò)運(yùn)行的安全體系，并指出了下一代網(wǎng)絡(luò)安全研究中的意義。詳細(xì)介紹了 i psec 各部分如ah、 e sp、 i ke及sa等; 并構(gòu)建了 下一代的網(wǎng) 絡(luò)安全模型， 然后， 介紹傳統(tǒng) 的防火墻在i p v6網(wǎng)絡(luò)環(huán)境下需要做出的一些的改進(jìn)， 并利用在i p v6環(huán)境中防火墻針 對(duì)地址限 制的一個(gè)模塊利用數(shù)據(jù)報(bào)頭分析的 技術(shù)實(shí)現(xiàn)在地址限 制; 最后對(duì)以 后 i pv6 網(wǎng)絡(luò)的發(fā)展存在的問(wèn) 題提出了一些建議， 并對(duì)以 后ipv6在校園網(wǎng)建設(shè)方面進(jìn)行展望。 1 .5本文結(jié)構(gòu) 第一章 緒論。 主要介紹了 本課題研究的背景， 以 及i pv6 網(wǎng) 絡(luò)安全在國(guó)內(nèi) 外的 研 3 碩士論文i p v 6 網(wǎng)絡(luò)的安全技術(shù)研究 究進(jìn)展與應(yīng)用情況， 并對(duì)下一代網(wǎng) 絡(luò)安全通信協(xié)議ips ec的實(shí) 驗(yàn)的 意義進(jìn)行了 概述， 最后對(duì)本文研究?jī)?nèi) 容和文章結(jié)構(gòu)進(jìn)行了 介紹。 第二章 i p v6網(wǎng) 絡(luò)技術(shù)。 主要介紹了i p v6的發(fā)展， 對(duì)i pv6 的發(fā)展進(jìn)行了 概述， 然后對(duì)i p v4和i p v6進(jìn)行了 對(duì)比 分析， 并對(duì)i p v6優(yōu)點(diǎn) 進(jìn)行了總結(jié). 最后對(duì)國(guó)內(nèi) 外i pv6 的發(fā)展做介紹。 第三章 基于ip s ec的i p v6安全機(jī)制。 分析了i pv6 的安全協(xié)議ip s ec的安全 能力、ip sec 的安全體系的構(gòu)成、ip s ec的 工作方式. 論 述了ipsec 在ip報(bào)文的 完整性、機(jī)密性、 數(shù)據(jù)來(lái)源誰(shuí)和抗重播等方面的能力，ip se。的 基本協(xié)議: 認(rèn)證擴(kuò) 展報(bào)頭 ( ah) 和安全封裝載荷報(bào)文頭 (es p) 與ips ec安全體系的其它組成部分如安 全策略、 加密和認(rèn)證算法、 密鑰管理等如何合作， 共同完成了 對(duì)ip報(bào)文的安全保護(hù)。 這些合ip s ec成為完整的網(wǎng)絡(luò)層協(xié)議， 對(duì)i p v6網(wǎng)絡(luò)安全的提供了 有效保證。 第四章 i p v6網(wǎng)絡(luò)運(yùn)行中的安全防御體系。 詳細(xì)闡述了在i pv4 向i pv6 過(guò)渡時(shí)期 一些安全工具如何實(shí)現(xiàn)改進(jìn)的， 對(duì)網(wǎng) 絡(luò)安全保障作用， 在原有模型a p p d rr網(wǎng) 絡(luò)安全 模型的 基礎(chǔ)上加入了 新的安全審計(jì)和ips ec安全體制， 構(gòu)建了 新一代網(wǎng)絡(luò)安全模型。 第五章 基于防火墻對(duì)i pv6 的安全研究。主要介紹了傳統(tǒng)防火墻在i p v6 網(wǎng) 存在 的問(wèn)題， 針對(duì)三種不同的防火墻的架構(gòu)模式進(jìn)行了分析， 并根據(jù)下一代網(wǎng)絡(luò)要求提出 了改進(jìn)方法。 第六章 基于ip地址限制的i pv6 防火墻實(shí)現(xiàn)。主要對(duì)防火墻程序中的一個(gè)模塊 進(jìn)行了闡述，主要的功能是實(shí)現(xiàn)對(duì)前后兩個(gè)ip地址進(jìn)行實(shí)時(shí)對(duì)比，從而實(shí)現(xiàn)對(duì)子網(wǎng) 的保護(hù)。 第七章 結(jié)論。對(duì)研究分析試驗(yàn)中的不足之處進(jìn)行歸納總結(jié)，說(shuō)明研究目 的與收 獲， 并對(duì)i p v6網(wǎng)絡(luò)安全進(jìn)行了展望。 并對(duì)下一步i p v6需要解決的問(wèn)題， 提出了自己 的看法和觀點(diǎn)。 碩士論文i p v6網(wǎng)絡(luò)的安全技術(shù)研究 z i p v 6 網(wǎng)絡(luò)技術(shù) 2 .i i p v 6 發(fā)展概述 隨著互聯(lián)網(wǎng)的迅速發(fā)展， 使用i nternet 技術(shù)的tcp / ip協(xié)議取得了巨大的成功。 但是， tcp / ip協(xié)議的研制者設(shè)有預(yù)料到i nternet 的規(guī)模會(huì)發(fā)展到今天這么大， 從而 使得現(xiàn)有的tcp/ip協(xié)議面臨 許多困 難。 1 9 87年， 人們便預(yù)計(jì)在1 9 96年i nternet 將 接入 1 00， 0 00個(gè)網(wǎng)絡(luò)， 這一預(yù)測(cè)看來(lái)是準(zhǔn)確的。 此外，雖然目 前使用的32 位 i pv4 地址結(jié)構(gòu)能夠支持40億臺(tái)主機(jī)和6 70萬(wàn)個(gè)網(wǎng) 絡(luò)，實(shí)際的地址分配效率，即使從理論 上說(shuō)也遠(yuǎn)遠(yuǎn)低于以上數(shù)值。使用a 、b 和c 類地址，使這種低效率的情形變得更為嚴(yán) 重。 自 八十年代后期，研究人員開始注意到了這個(gè)問(wèn) 題，并提出了 研究下一代 ip協(xié) 議的設(shè)想。1 9 9 0 年， 人們預(yù)計(jì)， 按照當(dāng)時(shí)的 地址分配速率到1 9 94年3 月b 類地址將 會(huì)用盡， 并提出了 最簡(jiǎn)單的補(bǔ)救方法: 分配多個(gè)c 類地址以 代替b 類地址。 但這樣做 也帶來(lái)新的問(wèn)題，即進(jìn)一步增大了已經(jīng)以驚人的速度增長(zhǎng)的主干網(wǎng)路由器上的路由 表。因此，i nternet 網(wǎng)絡(luò)界面臨著困難的選擇， 或者限制i nternet 的增長(zhǎng)率及其最 終規(guī)模，或者采用新的技術(shù)。 1 990 年后期，i etf 開始了一項(xiàng)長(zhǎng)期的工作，選擇接替現(xiàn)行i pv4 的協(xié)議。此后， 人們開展了 許多工作，以解決i pv4 地址的局限性， 同時(shí)提供額外的功能。 1 9 91年n 月，i etf 組織了路由選擇和地址工作組( r d a d ) ，以指導(dǎo)解決以上問(wèn)題。 1 9 92年9 月， r o a d 工作組提出了關(guān)于過(guò)渡性的和長(zhǎng)期的解決方案建議， 包括采用c i dr路由 聚集方 案以 降低路由 表增長(zhǎng)的 速度，以 及建議成立專門 工作組以 探索采用較大i nternet 地 址的不同方案。 1 993 年末，i etf 成立了i png 工作部，以 研究 各種方案， 并建議如何開展工作。 該工作部制訂了i png 技術(shù)準(zhǔn)則，并根據(jù)此準(zhǔn)則來(lái)評(píng)價(jià)己 經(jīng)提出的各種方案。在經(jīng)過(guò) 深入討論之后， 5 1 即( 5 1 帥l el n t e r n e tpro t o c o l p l u s ) 工作組提供t 一個(gè)經(jīng)過(guò)修改 的方案，i p ng工作部建議i e tf將這個(gè)方案作為i p ng的基礎(chǔ)，稱為i pv6 ，并集中精 力制定有關(guān)的文檔。自1 9 95年末起，陸續(xù)發(fā)表了i pv6 規(guī)范等一批技術(shù)文檔。 2 .zi p v 4 和 i p v 6的特點(diǎn) 20世紀(jì)的互聯(lián)網(wǎng)協(xié)議隨著移動(dòng)互聯(lián)網(wǎng)、 語(yǔ)音/ 數(shù)據(jù)的集成以 及嵌入式互連設(shè)備的 5 碩士論文ipv6網(wǎng)絡(luò)的安全技術(shù)研究 快速發(fā)展， 以 互聯(lián)網(wǎng) 為核心的 未來(lái)通信模式正在形成。 到目 前為止， 互聯(lián)網(wǎng) 取得了巨 大的 成功， 而這很大 程 度上歸 功于其核 心通信協(xié)議i p v4的 高 度可 伸 縮性。 i p v4的 設(shè) 計(jì)思想成功地造就了目 前的國(guó)際互聯(lián)網(wǎng)， 并容納了 過(guò)去十年中網(wǎng) 絡(luò)規(guī)模的 幾何級(jí)數(shù)增 長(zhǎng)， 其核心價(jià)值體現(xiàn)在簡(jiǎn)單、 靈活和開放性等方面。 但是， 新應(yīng)用的不斷涌現(xiàn)使互聯(lián) 網(wǎng)呈現(xiàn)出新的特征， 傳統(tǒng)的互聯(lián)網(wǎng)協(xié)議版本，即i p v4， 已 經(jīng)難以 支持互聯(lián)網(wǎng)的進(jìn)一步 擴(kuò)張和新業(yè)務(wù)的特性，比如實(shí)時(shí)應(yīng)用和服務(wù)質(zhì)量保證。 對(duì)于i p v4和工 p v6， 其特點(diǎn)比 較12 可 見如下: 1 .i p v 4 的特點(diǎn) i p v 4 的報(bào)頭格式如圖2 . 1 所示。 版本號(hào) ( 4bi t ) 頭 標(biāo) 長(zhǎng) 度 ( 4 b i t ) 服 務(wù)類 型 ( s b i t ) 數(shù)據(jù)包長(zhǎng) 度( 1 6bi t) 標(biāo)識(shí) ( 1 6 b i t )d f吐 標(biāo)準(zhǔn)偏移t 生存時(shí)間 ( 肋 i t ) 傳輸協(xié)議 ( s b i t )頭標(biāo)校驗(yàn)和 (16bi t) 發(fā)送地址 ( 3 2 b i t ) 信宿地址 ( 3 2 b i t ) 選項(xiàng)( s b i t ) 填充 圖2 . ii pv4 的報(bào)頭格式 ip v4的 特點(diǎn)l21 體 現(xiàn) 在以 下方面: ( 1) 有限的地址空間i p v4協(xié)議中每一個(gè)網(wǎng)絡(luò)接口由長(zhǎng)度為32位ip地址標(biāo)識(shí)， 這決定了i p v4的 地址空間為2 32， 大約理論上可以 容納43億個(gè)主機(jī)， 這一地址空間 難以 滿足未來(lái)移動(dòng)設(shè)備和消費(fèi) 類電 子設(shè)備對(duì)ip地址的巨 大需求量。 加之存在地址分 配的大量浪費(fèi)，有預(yù)測(cè)表明，以目 前 i nternet發(fā)展速度計(jì)算，所有 i pv4 地址將在 2 0 0 5 2 0 1 0 年間分配完。 在二十世紀(jì)九十年代的研究人員己 經(jīng)意識(shí)到了 ip 地址空間以 及分配存在的問(wèn) 題， 并開發(fā)了 一些新技術(shù)來(lái)改善地址分配和減緩ip地址的需求量， 比 如c i dr和n a t . 這些技術(shù)一定程度上緩解了地址空間被耗盡的危機(jī)，但為基于ip的網(wǎng)絡(luò)增加了復(fù)雜 性，并且破壞了一些ip協(xié)議的核心特性，比如端到端原則，因此不能從根本上解決 i p v 4 面對(duì)的困難。 (2) 路由 選擇效 率 不高i pv4 的 地址由 網(wǎng) 絡(luò)和主 機(jī)地 址兩 部分構(gòu) 成， 以 支 持層次 型的路由結(jié)構(gòu)。 子網(wǎng)和cidr 的引入提高了路由 層次結(jié)構(gòu)的靈活性。但由于歷史的原 因， i pv4 地址的層次結(jié)構(gòu)缺乏統(tǒng)一的分配和管理， 并且多數(shù)ip地址空間的 拓?fù)浣Y(jié)構(gòu) 只有兩層或者三層， 這導(dǎo)致主干路由 器中 存在大量的路由 表項(xiàng)。 龐大的 路由 表增加了 6 碩士論文i p v 6 網(wǎng)絡(luò)的安全技術(shù)研究 路由 查找和存儲(chǔ)的開銷， 成為目 前影響提高互聯(lián)網(wǎng)效率的一個(gè)瓶頸.同時(shí)，i p v4 數(shù) 據(jù)包的 報(bào)頭長(zhǎng)度不固 定， 因 此難以 利用硬件對(duì)提取、 分析路由 信息， 這對(duì)進(jìn)一步提高 路由器的數(shù)據(jù)吞吐率也是不利的。 ( 3 ) 缺乏服務(wù)質(zhì)量保證i p v4遵循b est e f f or七 原則， 這一方面是一個(gè)優(yōu)點(diǎn)，因 為它使i p v 4 簡(jiǎn)單高效; 另一方面它對(duì)互聯(lián)網(wǎng) 上涌 現(xiàn)的新的業(yè)務(wù)類型缺乏有效的 支持， 比 如實(shí)時(shí) 和多 媒體應(yīng)用， 這些應(yīng)用要求提供一定的服務(wù)質(zhì)量保證， 比 如帶寬、 延遲和 抖動(dòng)。 研究人員提出了 新的協(xié)議在i p v4網(wǎng)絡(luò)中 支持以 上應(yīng)用， 如執(zhí)行資源預(yù)留的r s vp 協(xié)議和支持實(shí)時(shí)傳輸?shù)膔tp/rtcp協(xié)議。 這些協(xié)議同 樣提高了規(guī)劃、 構(gòu)造ip網(wǎng)絡(luò)的成 本和復(fù)雜性。 i pv6 是i ntern et協(xié)議的一個(gè)新版本，其設(shè)計(jì)思想是對(duì) i pv4 加以改進(jìn)，而不是 對(duì)其進(jìn)行革命性的改 造。 在i p v4 中 運(yùn)行良 好的功能 在i p v6 中都給予保留， 而在工 p v4 中不能工作或很少使用的功能則被去掉或作為選項(xiàng)。 為適應(yīng)實(shí)際應(yīng)用的要求， 在i p v6 中增加了一些必要的新功能。 2 .i p v 6 的主要特點(diǎn) i pv6 的報(bào)頭格式如圖2 . 2 所示。 圖2 . zi pv6 的報(bào)頭格式 i p v 6 的 特點(diǎn)體現(xiàn)在以下方面: ( 1) 經(jīng)過(guò)擴(kuò)展的地址和路由 選擇功能。ip地址長(zhǎng)度由32位增加到1 28位，可支 持?jǐn)?shù)量大得多的可尋址節(jié)點(diǎn)、 更多級(jí)的地址層次和較為簡(jiǎn)單的地址自 動(dòng)配置。 改進(jìn)了 多目( nnjlti c a st) 路由 選擇的規(guī)?？烧{(diào)性， 因?yàn)樵诙嗄?地址中 增加了 一個(gè)“ s cope” 字 段。 (2 )定義了 任一成員( anycast) 地址， 用來(lái)標(biāo)識(shí)一組接口， 在不會(huì)引起混淆的情 況下將簡(jiǎn)稱“ 任一地址” ，發(fā)往這種地址的分組將只發(fā)給由 該地址所標(biāo)識(shí)的一組接口 中的一個(gè)成員。 (3 )簡(jiǎn)化的首部格式。i pv4首部的某些字段被取消或改為選項(xiàng)，以減少報(bào)文分 組處理過(guò)程中常用情況的處理費(fèi)用，并使得i p v6首部的帶寬開銷盡可能低，盡管地 址長(zhǎng)度增加了。 雖然i p v6地址長(zhǎng)度是i p v4地址的四倍，i p v6首部的長(zhǎng)度只有i pv4 首部的兩倍。 (4 )支持?jǐn)U展首部和選項(xiàng)。 i p v6的選項(xiàng)放在單獨(dú)的首部中， 位于報(bào)文分組中i p v6 7 碩士論文ipv6網(wǎng)絡(luò)的安全技術(shù)研究 首部和傳送層首部之間。因?yàn)榇蠖鄶?shù)i pv6 選項(xiàng)首部不會(huì)被報(bào)文分組投遞路徑上的任 何路由 器檢查和處理， 直至其到達(dá)最終目 的 地， 這種組織方式有利于改 進(jìn)路由 器在處 理包含選項(xiàng)的報(bào)文分組時(shí)的性能。 i p v6的另一改進(jìn)， 是其選項(xiàng)與i pv4 不同， 可具有 任意長(zhǎng)度，不限于40字節(jié)。 (5 )支持驗(yàn)證和隱私權(quán)。 i p v6定義了 一種擴(kuò)展， 可支持權(quán)限驗(yàn)證和數(shù)據(jù)完整性。 這一擴(kuò)展是i p v6的基本內(nèi) 容， 要求所有的實(shí)現(xiàn)必須支持這一擴(kuò)展。 i p v6還定義了 一 種擴(kuò)展，借助于加密支持保密性要求。 (6 )支持自 動(dòng)配置。 i p v6支持多 種形式的自 動(dòng)配置， 從孤立網(wǎng) 絡(luò)節(jié)點(diǎn) 地址的“ 即 插即 用”自 動(dòng)配置， 到d h c p 提供的 全功能的 設(shè)施。 (7 )服務(wù)質(zhì)量能力。i p v6 增加了一種新的能力， 如果某些報(bào)文分組屬于特定的 工作流， 發(fā)送者要求對(duì)其給予特殊處理， 則可對(duì)這些報(bào)文分組加標(biāo)號(hào)， 例如非缺省服 務(wù)質(zhì)量通信業(yè)務(wù)或 “ 實(shí)時(shí)” 服務(wù)。 總之，i pv6 高效的互聯(lián)網(wǎng)引擎引人注目 的是，i pv6 增加了許多新的特性，其中 包括: 服務(wù) 質(zhì)量 保證、自 動(dòng)配置、 支持移 動(dòng)性、 多 點(diǎn)尋 址 ( mul t i cast) 、 安 全性。 基于以上改進(jìn)和新的 特征，i pv6為互聯(lián)網(wǎng)換上一個(gè)簡(jiǎn)捷、高效的引擎，不僅可 以 解決i p v4 目 前的 地址短缺難題，而且可以使國(guó)際互聯(lián)網(wǎng)擺脫日 益復(fù)雜、難以管理 和控制的局面，變得更加穩(wěn)定、可靠、高效和安全。 2 .3i pv6 數(shù)據(jù)報(bào)格式 ip v6數(shù) 據(jù) 報(bào)5 的 首 部 雖 然比i p v4首 部 長(zhǎng) ， 但 卻 大 大 地 簡(jiǎn) 化了 . i p v4首 部 中 的 一 些功能被放在擴(kuò)展首部中或取消了。 ( 1 )版本 ( v e r s i o n ) 。i n t e r n e t 協(xié)議版本號(hào)，i png 版本號(hào)為6 。( 4 位字段) (2 )流標(biāo)號(hào) ( flo 比b e l)。 如果一臺(tái)主機(jī)要求網(wǎng)絡(luò)中的路由 器對(duì)某些報(bào)文進(jìn)行 特殊處理， 如非缺省服務(wù)質(zhì)量通信業(yè)務(wù)或?qū)崟r(shí)服務(wù)， 則可用這一字段對(duì)相關(guān)的報(bào)文分 組加標(biāo)號(hào)。(2 4 位字段) (3 )負(fù)荷長(zhǎng)度 ( p a y l o a dl eng th) 。i p v 6 首部之后， 報(bào)文分組其余部分的長(zhǎng)度， 以 字節(jié)為單位。為了允許大于64k 字節(jié)的負(fù)荷， 如本字段的值為0 ，則實(shí)際的報(bào)文分 組長(zhǎng)度將存放在逐個(gè)路段( ho獷b y 一叩) 選項(xiàng)中。 ( 4 )下一首部 ( n e x th e a d e r ) 。標(biāo)識(shí)緊接在 ( 16位無(wú)符號(hào)整數(shù)) i p v 6 首部之后的下一首部的類型。 下一首部字段使用與i pv4 協(xié)議相同的值。(8位選擇字段) (5 )路徑段限 制 ( h o p l i 耐t)。 轉(zhuǎn)發(fā)報(bào)文分組的 每個(gè)節(jié)點(diǎn)將路徑段限 制字節(jié)值減 一，如果該字段的值減小為零，則將此報(bào)文分組丟棄。(8位無(wú)符號(hào)整數(shù)) 碩士論文ip浦網(wǎng)絡(luò)的安 全技術(shù)研究 (6 )源地址。 報(bào)文分組起始發(fā)送者的地址。( 12 8 位字段) ( 7) 目 的地址。報(bào)文分組預(yù)期接收者的地址 ( 如果有一個(gè)可選的路由 選擇首部， 有可能不是最終接收者) 。( 1 28位字段) 在 i pv6中，i nternet 層選項(xiàng)信息存放在單獨(dú)的首部中， 位于報(bào)文分組的i pv6 首部和傳送層首部之間. 現(xiàn)已 定義了 幾個(gè)這種擴(kuò)展首部， 各由 一個(gè)下一首部值來(lái)標(biāo)識(shí)， 包括逐個(gè)路段路由 選擇、分片、 驗(yàn)證、隱 私權(quán)和端到端( e nd一 t 少e nd) 等選項(xiàng)首部。 2 .4i pv4 和 i p v 6 共存 針對(duì)目 前i nternet 上的各種i pv4 與i pv6 之間通信的 情況，人們己 經(jīng)開發(fā)出了 許多有效的過(guò)渡機(jī)制31 。 1 .i pv6 的小島 之間 通信的情況 針對(duì)這一類問(wèn)題，又可以劃分多種情況: ( 1) 手工配置多條隧道， 適用于具備雙協(xié)議棧的站點(diǎn) ( s i t e s )之間通信。所謂 站點(diǎn)，既可以是一臺(tái)主機(jī)，也可以是一系列主機(jī)。 (2 )自 動(dòng)隧道配置如t unne1broker，適用于具備雙協(xié)議站的主機(jī)之間通信。 (3 )6 t o 4機(jī)制，適用于站點(diǎn)之間通信，為了實(shí)現(xiàn)這個(gè)機(jī)制，每個(gè)站點(diǎn)內(nèi)部的主 機(jī)可以僅僅配置i pv6 協(xié)議棧，但是每個(gè)站點(diǎn)必須至少有一臺(tái)， 6to4， 的路由器作為出 入口，支持全球統(tǒng)一的6to4 t la ( topleye1 a g gregati on)前綴格式，并實(shí)施特殊 的封裝和轉(zhuǎn)發(fā)機(jī)制。 (4 )6ov e r 4機(jī)制，適用于具備雙協(xié)議棧的主機(jī)之間通信。它利用 i pv4的 inulti c a st機(jī)制來(lái)創(chuàng)建虛擬鏈路而不是顯式的隧道。 2 .i p v 6 小島與i p v 4 海洋之間 通信的 情況 這一類問(wèn) 題下同樣有多種情況，目 前的過(guò)渡機(jī)制都是通過(guò)以 下途徑實(shí)現(xiàn)的: 應(yīng)用 級(jí)轉(zhuǎn)發(fā);網(wǎng)絡(luò)層翻譯:為i pv6 節(jié)點(diǎn)暫時(shí)分配i p v 4 地址. ( 1) 雙協(xié)議棧有限雙協(xié)議棧，適用于具備雙協(xié)議棧的站點(diǎn)的通信。 ( 2 )s o c k s 6 4( s o c k e t6t o4 ) 機(jī)制， 適用于i p v 6 的 站點(diǎn) 和i p v 4 站點(diǎn)的通信。 它實(shí)際上是一種網(wǎng)關(guān)的轉(zhuǎn)發(fā)機(jī)制，實(shí)施s ocks64的網(wǎng)關(guān)為i pv6 的節(jié)點(diǎn)提供分組的 轉(zhuǎn) 發(fā)和翻譯。 ( 3 )s l l t( s t a t e l e s si p/i c mp t r a n s l a t o r )機(jī)制，適用于i p v 6 的站點(diǎn)和i pv4 站點(diǎn)的 通信. 它實(shí)際上在i p v4和i pv6 的分組報(bào)頭之間 進(jìn)行翻譯， 使用i pv4 映射的 i pv6 地址進(jìn)行通信。 ( 4 )n a t 一 pt ( n e t ， o r ka d d r e s st r ans l a t i on 一pro t o c o ltra n s l a t i o n )機(jī)制， 碩士論文 ipv6網(wǎng)絡(luò)的安全技術(shù)研究 適用于i p v 6 o n l y 站點(diǎn) 和i p v 4 o n l y 站點(diǎn)之間的 通信。 它進(jìn)行i p v 6 和i p v 4 地址之間 的翻譯。 (5 )bis(bu mp一 i n-the 一 stack) 機(jī)制， 適用于具備雙協(xié)議棧的主機(jī)與i pv4 的 世 界通信。它在i pv4 的協(xié)議棧中 插入三個(gè)模塊: 域名解析器、 地址映射器和翻譯器。 3 .過(guò)渡過(guò)程的產(chǎn)生背景 ip協(xié)議是互聯(lián)網(wǎng) 體系結(jié)構(gòu)的核心， 它必須具備相對(duì)的 穩(wěn)定性. i p v6作為i nternet pro t o c ol的 新版本， 其根本目 的是繼承和取代i p v4。 因此， 人們?cè)谝?guī)劃i p v6的時(shí)候， 就把眼光投向了包括地址在內(nèi)的上述重要需求， 希望能夠解決這些目 前已 經(jīng)出現(xiàn)和將 來(lái)可能出 現(xiàn)的問(wèn)題。 從i p v4到i p v6的改變將不可避免的帶來(lái)i nternet 上新的革命， 無(wú)論是硬件還是軟件都將有全新的發(fā)展。但是，原有的i pv4 協(xié)議己 經(jīng)成功的實(shí)施了 將近二 十年， 在i n t e r n e t 上， 甚至有 許多通信 協(xié)議標(biāo) 準(zhǔn)比i n t e r n e t 還 要 早， i n t e r n e t 協(xié)議和標(biāo)準(zhǔn)化是有一個(gè)簡(jiǎn)單的原則的圈。 只要可以 應(yīng)用現(xiàn)有的 協(xié)議標(biāo)準(zhǔn)， 就使用它們; 只有當(dāng) 現(xiàn)有的 標(biāo)準(zhǔn)不夠時(shí)才制定新 的協(xié)議， 而且只要能夠得到這些新的標(biāo)準(zhǔn)， 而它們又能夠提供等價(jià)的功能， 就使用這 些新的標(biāo)準(zhǔn)。 所以i pv6 協(xié)議的意圖并不是排斥和避免己 有的標(biāo)準(zhǔn)。它的產(chǎn)生只是因?yàn)閭鹘y(tǒng)的 i p v4不能 滿足需要。 在i p v6完全取代i pv4 之前， 不可避免的， 這兩 種協(xié)議要有一 個(gè)可能是相當(dāng)長(zhǎng)的共存時(shí)期， ipv6可能需要在研究所和學(xué)術(shù)機(jī)構(gòu)中進(jìn)行足夠的試驗(yàn)， 才能像i p v4一樣成功的投入商業(yè)運(yùn)營(yíng)。因此，從i pv4 到i p v6要有一個(gè)過(guò)渡時(shí)期。 i p v 6 在i p v4 的基礎(chǔ)上進(jìn)行改進(jìn)，它的一個(gè)重要的設(shè)計(jì)目 標(biāo)是與i pv4 兼容。制 訂i p v 6 時(shí)， i e t f 致力于產(chǎn)生一種開放的 標(biāo)準(zhǔn)， 因 此他們邀請(qǐng)了 許多團(tuán) 體來(lái)參加標(biāo)準(zhǔn) 的制訂過(guò)程， 研究人員、計(jì)算機(jī)制造商、程序設(shè)計(jì)人員、管理人員、 用戶、電話公司 以及有線電視產(chǎn)業(yè)都對(duì)下一代ip提出了他們的要求和建議。 但是作為一種新的協(xié)議， 從誕生于實(shí)驗(yàn)室和研究所到實(shí)際應(yīng)用于i nternet 是有很大距離的。不可能要求立即 將所有節(jié)點(diǎn)都演進(jìn)到新的協(xié)議版本， 所以在一定的時(shí)間內(nèi)，i p v6將和i p v 4 共同存在 共同運(yùn)行。如果沒有一個(gè)過(guò)渡方案，再先進(jìn)的協(xié)議也沒有實(shí)用意義，因此從i p v4 網(wǎng) 絡(luò)向i p v6網(wǎng)絡(luò)過(guò)渡的問(wèn) 題從一開始就列入了開發(fā)者的日 程表。 在相當(dāng)時(shí)間內(nèi)， i pv6 節(jié)點(diǎn)之間的通信還要依賴于原有i p v4網(wǎng) 絡(luò)的設(shè)施， 而且i p v6 節(jié)點(diǎn)也必不可少的要與i p v4節(jié)點(diǎn)通信，我們希望這種通信能夠高效的完成， 對(duì)用戶 隱藏下層細(xì)節(jié)。 同時(shí)，i pv4 己 經(jīng)應(yīng)用了十多年， 基于i pv4 的應(yīng)用程序和設(shè)施已 經(jīng)相 當(dāng)成熟而完備， 我們希望以 最小的代價(jià)來(lái)實(shí)現(xiàn)這些程序在i pv6 環(huán)境下的應(yīng)用。 所有 這些都提出了 從i pv4 網(wǎng) 絡(luò)向i p v6網(wǎng) 絡(luò)高效無(wú)縫互 連的問(wèn) 題。 對(duì)于過(guò)渡問(wèn) 題和高效 無(wú)縫互連問(wèn) 題的 研究己 經(jīng)取得了 許多成果， 形成了 一系列的 技術(shù)和標(biāo)準(zhǔn)。 碩士論文i p v6 網(wǎng) 絡(luò)的安全技術(shù)研究 2 .5國(guó)際ipv6 網(wǎng)絡(luò)的互聯(lián) 一個(gè)純i p v6網(wǎng)絡(luò)的實(shí)現(xiàn)與原來(lái)i p v4網(wǎng)絡(luò)并沒有差別， 在路由 協(xié)議和域名解析上 也不需要特定的機(jī)制來(lái)支持， 僅僅需要對(duì)原來(lái)的協(xié)議和應(yīng)用程序進(jìn)行修改就可以了。 但是對(duì)于一臺(tái)主機(jī)或者一個(gè)網(wǎng)絡(luò)在不同協(xié)議之間的通信來(lái)說(shuō)， 情況就發(fā)生了 變化。 由 于報(bào)文在傳輸中要經(jīng)過(guò)兩種運(yùn)行在不同協(xié)議下的網(wǎng)絡(luò)環(huán)境，報(bào)文的翻譯是一個(gè)問(wèn)題， 同時(shí)由 于兩種協(xié)議表示地址的方法不同， 如何在協(xié)議地址之間標(biāo)示信源和信宿也是必 須處理的。 在工 p v 6 的網(wǎng)絡(luò)流行于全球之前， 總是有一些網(wǎng)絡(luò)首先具有i pv6 的協(xié)議棧。 這時(shí)， 這些網(wǎng) 絡(luò)就像i p v4海洋中的小島。 過(guò)渡的問(wèn) 題可以 分成如下兩大類: ( 1) 第一類就是解決這些i p v6的小島 之間 互相通信的問(wèn) 題; (2) 第二類就是解決i pv6 的小島與i pv4 的海洋之間通信的問(wèn) 題。 解決過(guò)渡問(wèn) 題的兩種最基本的 技術(shù): 雙協(xié)議棧 ( dualstack) 和隧道 (tu nnel) 。 我們所討論的過(guò)渡機(jī)制 ( t ransi tionm ech anism) 都是在這兩種技術(shù)的基礎(chǔ)之上針對(duì) 特定的問(wèn)題的解決方案。 但是目 前還沒有一種機(jī)制能夠一勞永逸的解決這個(gè)問(wèn)題， 每 一種具體的機(jī)制都是針對(duì)具體的情況的。 雙協(xié)議棧 在實(shí)踐當(dāng)中最典型的是i etf 提出的叫 雙協(xié)議棧 的方案。 需要提前說(shuō) 明的是， 雙協(xié)議棧技術(shù)并不具備創(chuàng)建隧道的能力; 但是， 后面提到的 創(chuàng)建隧道的能力 則必須要求有雙協(xié)議棧技術(shù)的支持。 雙協(xié)議棧方案的工作方式如下: ( 1) 如果應(yīng)用程序使用的目 的 地址是i p v 4 地址， 則使用i p v4協(xié)議。 (2 )如果應(yīng)用程序使用的目 的地址是i p v6中的i pv4 兼容地址， 則同樣使用ipv4 協(xié)議， 所不同的是， 此時(shí)i p v 6 就封裝 ( e n c sps u l a t e d ) 在i p v 4 當(dāng)中。 (3 )如果應(yīng)用程序使用的目 的地址是一個(gè)非i p v4兼容的i pv6 地址， 那么此時(shí)將 使用i p v6協(xié)議， 而且很可能 此時(shí) 要采用隧道等機(jī)制來(lái)進(jìn)行路由、 傳送。 (4 )如果應(yīng)用程序使用域名作為目 標(biāo)地址， 那么此時(shí)先要從dns 服務(wù)器那里得到 相應(yīng)的i pv4 /ipv6 地址，然后根據(jù)地址的情況進(jìn)行相應(yīng)的處理。 對(duì)目 前的環(huán)境來(lái)說(shuō)，要實(shí)現(xiàn)純粹 i pv6的路由 是很困 難的，因此， 人們一般采用 ipv6 over i pv4的點(diǎn)對(duì)點(diǎn)隧道技術(shù)。 將i p v6分組打包，放入i pv4 分組的數(shù)據(jù)區(qū)， 加上 i p v 4的 報(bào)頭， 在 i p v4互聯(lián)網(wǎng) 世界中進(jìn)行路由， 到達(dá)目 的 地后再把數(shù)據(jù)區(qū)中的 i pv6分組取出來(lái)做相應(yīng)的處理，該繼續(xù)路由的路由，該收發(fā)的收發(fā)。 這樣，就可以 實(shí) 現(xiàn)“ 雙協(xié) 議?！?的 過(guò)渡方案. 最 后， 對(duì)于實(shí) 現(xiàn)i p v6協(xié)議 棧， 盡管 在 細(xì)節(jié)上， i p v6 和i p v4有很大的 不同， 但是從原理和它們?cè)诰W(wǎng) 絡(luò)體系結(jié)構(gòu)中的位置 來(lái)看，是相當(dāng)?shù)?碩士論文ipv6網(wǎng)絡(luò)的安全技術(shù)研究 一致的。 這些一致使得開發(fā)人員只需要很小的付出 就可以 實(shí) 現(xiàn)從i p v4到i p v6協(xié)議棧 的轉(zhuǎn)換。 隧道技術(shù)， 就是將具有自 身協(xié)議的復(fù)雜網(wǎng)絡(luò)作為一般的硬件傳輸系統(tǒng)對(duì)待。 前文 己經(jīng)提到， 在i p v6的網(wǎng)絡(luò)流行于全球之前， 總是有一些網(wǎng)絡(luò)首先具有i pv6 的協(xié)議棧， 這些網(wǎng)絡(luò)就像i p v4海洋中的小島，隧道就是通過(guò)， 海底尸 連接這些小島的通道，因此 而得其名。由于隧道上的鏈路是邏輯的， 或稱為虛擬的，因此， 這些“ 小島” 所互連 而成的網(wǎng) 絡(luò)就被看作是一個(gè)虛擬網(wǎng) 絡(luò). 在i p v6n ati ven et賈 ork 之間需要通信或i pv6 節(jié)點(diǎn)需要與i p v4 的節(jié)點(diǎn)通信時(shí)，i p v4協(xié)議就被當(dāng)作i pv6 數(shù)據(jù)傳輸?shù)囊粋€(gè)隧道。 通 過(guò)隧道，i p v6 分組被作為無(wú)結(jié)構(gòu)無(wú)意義的數(shù)據(jù)，封裝在 i p v4 數(shù)據(jù)報(bào)中，被 i p v4 網(wǎng) 絡(luò)傳輸。 由于i p v4網(wǎng)絡(luò)把i p v6數(shù)據(jù)當(dāng)作無(wú)結(jié)構(gòu)無(wú)意義數(shù)據(jù)傳輸， 因此不提供幀自 標(biāo) 識(shí)能力， 所以只有在i pv4 連接雙方都同意時(shí)才能交換i pv6 分組， 否則收方會(huì)將i pv6 分組當(dāng)成i pv4 分組而造成混亂。網(wǎng)絡(luò)從i p v4 向i pv6 演進(jìn)的過(guò)程就是這些 “ 小島” 漸漸擴(kuò)大而成為 “ 大陸”的過(guò)程。 2 .6i pv6 網(wǎng)絡(luò)在中國(guó)的發(fā)展 隨著i pv4 地址空間耗盡的迫近， 人們加緊了對(duì)下一代互聯(lián)網(wǎng)協(xié)議即i p v6的研究; 到2 0 01年年初， i p v6協(xié)議的基本框架已 經(jīng)逐步成熟， 在越來(lái)越廣泛的范圍內(nèi) 得到實(shí) 踐。由 于i p v6和i pv4 在協(xié)議頭格式上不兼容， i etf 成立了 專門的工作組一ngtrans 研究從現(xiàn)有的i p v4網(wǎng) 絡(luò)向i pv6 網(wǎng)絡(luò)的過(guò)渡策略和必要的技術(shù)。 作為向下一代互聯(lián)網(wǎng) 絡(luò)協(xié)議過(guò)渡的 重要步驟， 國(guó)際的i p v6試驗(yàn)網(wǎng) 一6bone 在1 9 96年成立了。 現(xiàn)在， 6 b one 已經(jīng)擴(kuò)展到全球50多個(gè)國(guó)家和地區(qū)， 成為i p v6研究者、 開發(fā)者和實(shí)踐者的主要平臺(tái)。 中國(guó)教育和科研計(jì)算機(jī)網(wǎng)cernet是中國(guó)開展下一代互聯(lián)網(wǎng)研究的試驗(yàn)網(wǎng) 絡(luò)，它 以 現(xiàn)有的網(wǎng) 絡(luò)設(shè)施和技術(shù)力量為依托， 建立了 全國(guó) 規(guī)模的 i p v6 試驗(yàn)床， ， .1 9 98 年 c e rnet正式參加下一代ip協(xié)議(ipv6)試驗(yàn)網(wǎng)6bone ， 同 年n月成為其骨千網(wǎng) 成員。 cernet在全國(guó)第一個(gè)實(shí)現(xiàn)了 與國(guó)際下一代高速網(wǎng)i nte rnetz的互聯(lián)，目 前國(guó)內(nèi) 僅有 cernet的 用戶可以 順利地直接訪問(wèn)i nte rnetz 。 為致力于面向21世紀(jì)網(wǎng) 絡(luò)技術(shù)的 個(gè) 人和團(tuán)體提供全真的網(wǎng)絡(luò)平臺(tái)， 用于研究同下一代互聯(lián)網(wǎng)有關(guān)的網(wǎng)絡(luò)技術(shù)， 特別是安 全、 服務(wù)質(zhì)量和移動(dòng)計(jì)算: 開發(fā)新型的網(wǎng) 絡(luò)應(yīng)用， 這些應(yīng)用在傳統(tǒng)的互聯(lián)網(wǎng)上是幾乎 不可能或不易實(shí)現(xiàn)的; 示范上述技術(shù)和應(yīng)用， 以及從傳統(tǒng)的互聯(lián)網(wǎng)向下一代網(wǎng)絡(luò)過(guò)渡 的方法. 總體拓?fù)湓囼?yàn)床分成相對(duì)獨(dú)立而又互連互通的兩個(gè)部分