IPv6安全机制

IPv6安全机制（精选9篇）

IPv6安全机制 第1篇

如今，随着网络的日益膨胀，不论是出于对安全或者是信息私密性的考虑，越来越多的商业机构和政府部门都不再愿意在不安全的网络化上发送敏感的信息或者进行明文的直接交流。针对这样的不安定因素，加密和认证需求成为了众多用户的无奈选择。随着IP网络在商用和消费中的重要性与日俱增，网络的安全性问题变得日益突出，亟待改善。

二、认证报头的现实意义

从IPv6的诞生以来，它逐渐完善了安全性方面的机制。

IPv6的安全主要由IP的AH (Authentication Header)和ESP (Encapsulating SecurityPayload)报头的标记来标识。RFC1826 (IP认证报头) 中对AH进行了描述，RFC1827 (IP封装化安全净荷(ESP))对ESP报头进行了描述。

1. IPv6中定义了认证报头（Authentication Header, AH) IPsec提供了两种安全机制：加密和认证

(1) 加密是通过对数据进行编码来保证数据的机密性，以防止数据在传输过程中被他人截获而失密

解决的实际问题：明码传输和存储转发的数据传输方式，使得“中间人”篡改正在传输的数据成为可能;在开放的网络中，数据包可能经过任意数量的未知网络，任一个网络中都可能有包嗅探器在工作，以明文的形式在网络上传播数据也毫无机密性可言。

(2) 认证使得IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到破坏或改动

解决的实际问题：在现行的IP网络中，IPsec使用得并不普遍。所以在现在的网络中，伪装源地址是相当容易的，数据包的接收者根本就没有办法弄清楚数据包的源地址栏里所注明的主机是不是数据包的真正发出者。这使得恶意的用户可以冒充其他人得到有用的信息。如果经过仔细的伪装，恶意用户甚至可以取得服务器的控制权;

正是由于网络中存在的上述问题，从而在IPv6的报头中启用了IPsec协议，也使得IPv6在网络层的安全性上得到了很大的增强。

2. 封装化安全净荷（Encapsulating Security Payload, ESP)

解决的实际问题：由于协议分析仪或“sniffer”的大量使用，恶意的用户可以截取网络上的数据包并且可以从中窃取数据。

针对这一问题，IPv6还提供了一个标准的扩展头--封装化安全净荷(ESP)，在网络层实现端到端的数据加密，以对付网络上的监听。

ESP报头提供了几种不同的服务，其中某些服务与AH有所重叠：

(1) 通过加密提供数据包的机密性

(2) 通过使用公共密钥加密对数据来源进行身份验证

(3) 通过由AH提供的序列号机制提供对抗重放服务

(4) 通过使用安全性网关来提供有限的业务流机密性

IPv6所有的命令和执行都有安全方面的考虑。并且，提供了加密和认证机制。这些机制都是在网络层上实现的，对于网络层以上的应用是不可见的，也就是说应用程序就不必了解这些安全机制的细节了。

通过对IPv6所提供的新的安全机制的介绍，可以看到，IPv6可以进行身份认证，并且可以保证数据包的完整性和机密性。所以在安全性方面，用户已经感受到了质的飞跃。

三、IPv6安全机制的引入对于网络整体安全的影响

1. 对于网络层的安全性，有如下三个公认的指标：

身份验证:能够可靠地确定接收到的数据与发送的数据一致，并且确保发送该数据的实体与其所宣称的身份一致

完整性:能够可靠地确定数据在从源到目的地传送的过程中没有被修改

机密性:确保数据只能为预期的接收者使用或读出，而不能为其他任何实体使用或读出。使用公共密钥加密来实现，这样也有助于对源端进行身份验证

2. 在现今的网络中，确保数据的安全性，还应该解决如下威胁：

拒绝服务攻击：攻击者可能使某主机淹没于大量请求中，从而致使系统崩溃;或者重复传送很长的Email报文，企图以恶意业务流塞满用户或站点带宽。

愚弄攻击:即实体传送虚假来源的包。而现在的IP网络对这两个问题也无能为力，如果我们充分认识到上述安全问题的严重性，当今的网络安全机制明显不足。

四、防火墙的工作机制及IPv6的相关应对

当前的防火墙有三种类型：包过滤型、地址转换型和应用代理型(应用层)。

1. 地址转换型防火墙：

它可以使局域网外面的机器看不到被保护的主机的IP地址，从而使防火墙内部的机器免受攻击。但由于地址转换技术(NAT)和IPsec在功能上不匹配，很难穿越地址转换型防火墙利用IPsec进行通信。当采用AH进行地址认证时，IP报头也是认证的对象，因此不能做地址转换。当只用ESP对分组认证/加密时，因为IP报头不在认证范围内，乍一看地址转换不会出现问题，但即使在这种情况下也只能作一对一的地址转换。

而不能由多个对话共用一个IP地址。这是因为ESP既不是TCP也不是UDP，不能以端口号的不同进行区分的缘故。此外，在用UDP实现ESP的情况下，因双方都要求源端口号和目的端口号为500，如进行地址转换就要变换端口号，则不能正常工作。

(2) 包过滤型防火墙：基于IPv4的包过滤型防火墙是依据数据包中源端和目的端的IP地址和TCP/UDP端口号进行过滤的。在IPv4中，IP报头和TCP报头是紧接在一起的，而且其长度基本是固定的，所以防火墙很容易找到报头，并使用相应的过滤规则。然而在IPv6下TCP/UDP报头的位置有了变化，IP报头与TCP/UDP报头之间常常还存在其他的扩展报头，如路由选项报头，AH/ESP报头等。防火墙必须逐个找到下一个报头，直到TCP/UDP报头为止，才能进行过滤，这对防火墙的处理性能会有很大的影响。在带宽很高的情况下，防火墙的处理能力就将成为整个网络的瓶颈使用了IPv6加密选项后，数据是加密传输的，由于IPsec的加密功能提供的是端到端的保护，并且可以任选加密算法，密钥是不公开的。防火墙根本就不能解密。因此防火墙就无从知道TCP/UDP端口号。如果防火墙把所有的加密包都放行的话，其实也就为黑客穿刺防火墙提供了一条思路：防火墙不再能够限制外部的用户所能访问的端口号了，也就是不能禁止外部用户访问某些本不应该对外提供的服务了。

3. 应用代理型的防火墙工作于应用层，受到IPv6安全机制的影响较小。

五、IPv6依然有待解决的问题

我们了解了许多IPv6对于网络应用的优势，但这并不能说IPv6已经可以确保系统的安全了。这其中有很多原因，最重要的是安全包含着各个层次，各个方面的问题，不是仅仅由一个安全的网络层就可以解决的。如果黑客从网络层以上的应用层发动进攻，比如利用系统缓冲区溢出或木马的方法，纵使再安全的网络层也与事无补。

即使仅仅从网络层来看，IPv6也不是十全十美的。它毕竟同IPv4有着极深的渊源。并且，在IPv6中还保留着很多原来IPv4中的选项，如数据的分片，TTL。而这些选项曾经被黑客用来攻击IPv4协议或者逃避检测，很难说IPv6能够逃避得了类似的攻击。同时，由于IPv6引进了加密和认证，还可能产生新的攻击方式。比如大家都知道，加密是需要很大的计算量的。而当今网络发展的趋势是带宽的增长速度远远大于CPU主频的增长。如果黑客向目标发送大量貌似正确实际上却是随意填充的加密数据包，被害者就有可能由于消耗了大量的CPU时间用于检验错误的数据包而不能响应其他用户的请求，造成拒绝服务。

另外，当前的网络安全体系是基于现行的IPv4协议的。当前防范黑客的主要工具，有防火墙、网络扫描、系统扫描、Web安全保护、入侵检测系统等。IPv6的安全机制对他们的冲击可能是巨大的，甚至是致命的。

六、总结

综上论述，IPv6引入了两个新的扩展报头AH和ESP。它们帮助IPv6解决了身份认证，数据完整性和机密性的问题，使IPv6真正实现了网络层安全。但是，这些安全机制对于当前的计算机网络安全体系造成了很大的冲击。使对于IPv6加密数据包的过滤，入侵检测和取证都处于一种真空状态。为了适应新的网络协议和新的发展方向，寻找新的解决安全问题的途径变得非常急迫。而安全专家也应该面对新情况，进一步研究和积累经验，尽快找出合适的解决方法。

参考文献

[1]Silvia.IPv6精髓.清华大学出版社.2004

[2]周逊:IPv6——下一代互联网的核心[M]﹒北京:电子工业出版社

IPV6的安全性研究 第2篇

关键词：IPv4；IPV6；IPv6安全策略；安全性

中图分类号：TP393.08

1 IPv6的产生

目前，以TCP/IP协议簇为基本通讯机制的互联网取得了飞速发展。IPv4在互联网在实际应用中越来越暴露其脆弱性，成为制约互联网发展的瓶颈因素。比如地址空间有限、路由选择效率不高、缺乏服务质量保证、IPv4的安全性等等问题的存在，1994年7月，IETF决定以SIPP作为IPng的基础，同时把地址数由64位增加到128位。新的IP协议称为IPv6。IPv6继承了IPv4的优点，摒弃其缺点。主要体现在简化的报头和灵活的扩展、层次化的地址结构、即插即用的连网方式、网络层的认证与加密、服务质量的优化、对移动通讯更好的支持等几个方面。

2 IPv6的技术改进

IPv6协议对IPv4协议进行多方面的改进，下面从地址空间、高性能、安全性、业务性支持、配置和维护等角度分析IPV6的改进和增强：（1）在地址分配上支持长度为128位的单地址的网络寻址架构，该协议定义了全局聚合单播地址、本地链路地址多播、选播地址V6-V4兼容地址和测试地址等一系列地址类型。（2）提高了传输控制及路由交换的性能。IPv6通过对报头简化以及定义了扩展选项，对约束报文和分片控制进行管理，采用了可聚合的层级化寻址方式和路由方式，提高了更加适合交换式的高速网络环境。（3）IPv6协议提供了对IPSec4强制要求的规定，既要包括支持多种密钥加密方式的密钥交换——管理协议框架IKE。从而实现鉴别首部机制AH和安全负载封装机制ESP。（4）IPv6协议定义了移动IP场合的主机注册、代理转接和优化路由机制。任一IPv6的移动主机在漫游的同时均能保持其原有的IPv6地址。从而实现与接入方式无关的端对端无缝通信。（5）IPv6协议提供了流标签机制。服务优先级和路由策略等多种服务质量保障能力，实现了对分层编码，资源预留等实时网络控制的支持，具备综合集成的差异化数据服务提供能力。（6）IPv6协议采用基于IP的邻居发现协议替代链路层的ARP协议和部分ICMP功能，并提供了网络自动配置功能，从而增强网络维护管理机制的健壮性，提高网络配置管理的高效性。

3 IP安全协议（IP Sec）

IPSec主要由AH（Authentication Header，认证协议）、ESP（封装安全载荷，Encapsulating Security Payload）和IKE（Internet Key Exchange Secure Protocol，Internet密钥交换协议）等三个主要协议组成，提供了安全认证、保证数据完整性和机密性等保护形式，这三个安全协议将成为未来Internet安全标准。

IPSec为IPv6提供了网络安全保障，但IPSec目前还不完善，存在一些问题，主要表现在：（1）IP Sec作为网络层协议不能处理高层应用的安全性问题；（2）在部署和实施IP Sec协议时，需要路由系统和网络边界等外部环境的参与，限制了通用性；（3）IP Sec的API应用开发接口还不是标准化的，对其开发的应用较少；（4）IP Sec的IKE、拒绝服务攻击、防止流量分析等方面不完善。所以，IPSec协议还要其设备如防火墙、VPN、网络过滤、漏洞扫描等网络安全设备以及高层安全协议共同协调工作。

4 SA（Security Associations，安全联盟）

SA是IPSec协议的重要部分，用于在使用AH协议和ESP协议时提供保证，是这两个协议必须使用的，IPSec规定AH协议和ESP协议的实现必须支持SA。Internet密钥交换协议的主要功能之一就是对SA进行建立和维护。SA（安全联盟）能够采用单工的连接方式对在其上传输的数据信号提供安全服务。在信息传输的两个主机之间，或者两个安全网关之间，其认证通信时采用两个SA，分别用于通信的发送方和通信的接收方。根据所选的安全协议SA不同，提供不同的安全服务。比如可以选择AH或ESP等。

5 IPv6的加密机制

在IPv6中，IPSec协议在ESP字段中放入加密数据，实现了IP数据包在传输过程中的加密，保证了传输的安全性，还可以根据用户要求的不同，对用户的整个IP数据包或者只对IP数据包中的高层协议部分进行认证加密，也可以将ESP和AH组合或嵌套，提供了灵活性。比如可以对TCP或者UDP进行加密传输。提供了安全认证和数据完整检查，以及抗重放攻击等措施。

ESP主要用于对数据报进行加密以提供多种安全服务。比如可以保证IP数据包的机密性、认证数据源的身份、对抗重放攻击、提供业务流机密性等安全服务。ESP采用数据加密标准DES-CBC。ESP协议在进行数据传输时可以工作在隧道模式和传输模式两种模式下。IPSec协议在发送IP数据包之前，对ESP的各个字段进行计算，当接收端收到IP数据包之后，对原来IP数据包内容进行恢复。在隧道模式下时，ESP提供了原始IP数据包身份认证措施，还提供了对原始IP数据包和ESP尾部进行认证加密操作。在这种工作模式下，虽然既适合于主机，也适合于安全网关，但对于新的IP头不能进行保护，当ESP协议工作在安全网关时，只能采用隧道工作模式。表现出局限性。在传输工作模式下，该协议只对IP包中的传输层数据进行加密封装（如对IP包中TCP、UDP报文部分）。

6 IPv6的密钥管理机制

IKE（Internet密钥交换协议）是建立在ISAKMP（Internet Security Association and Key Management Protoco1，密钥管理协议）基础上的一种协议，该协议提供了在数据交换的通信双方，通过协商方式进行安全参数、安全协定等方面的框架建立，从而得到一个通过验证的“密钥”和建立在双方同意基础上的“安全协定”也就是SA。在这个安全协定中，包括了IP层服务、应用层或传输服务、自我保护传输等各种网络协议所涉及了一些重要信息。无论是AH或者ESP，IKE都是整个安全机制的关键部件。IKE只有在通信双方进行认证后才能协商建立SA。

IPv6就一种具有诸多优势和功能的新一代网络协议，为语音传输、数据、视频融合提供高品质的、多样化的通信服务，对于我们进行全方位、高品质的网络应用与服务提供广阔的前景。主要用于实现端到端实时通信、移动互联和宽带网络等方面。比如VOIP（Voiceover IP）电话业务、VOD视频点播、移动智能终端应用、无线网络应用等等。目前，在网络安全技术方面，国内已取得了很大发展，但面对新协议下日益复杂的入侵技术和多样性的恶意代码的存在，网络安全技术面临着巨大的挑战。本文对IPv6核心技术及安全性问题探讨，进一步梳理了IPv6的安全性问题。由于IPv4向IPv6的过渡是一个相对漫长的过程，IPv6环境下的网络安全性问题是很重要的一个环节，今后还有很多工作要做，本文的研究还存在很多不足之处，在将来IPv6将和具体的应用相结合之后，很多安全问题又会被发现，一些新的独特的网络安全问题也会被解决。

参考文献：

[1]Hagen5.Ipv6精髓[M].技桥.北京：清华大学出版社，2004，3.

[2]王志淳，吴峰.IPv6核心技术的分析[J].中国有线电视，2003，23.

[3]杜小丹，张凤荔，羊裔高，焉涛.基于移动IPv6的IPSec安全体系[J].电子科技大学学报，2004，8.

作者简介：贾山（1987-），男，河南开封人，河南中烟工业有限责任公司漯河卷烟厂，信息中心网络管理员，研究方向：网络工程。

IPv6安全机制 第3篇

IPv6协议在设计中增强了对安全的支持,使用IPSec协议实现认证和加密的安全功能。IPSec协议是目前唯一一个能够为任何Internet通信提供安全保障的协议,他可以为IP层以上或者以下的协议提供安全保护。IPSec作为网络的安全协议在IPv6下是强制实施的。IPSec为IP及上层协议提供了数据完整性、数据源身份认证、抗重播攻击、数据内容的机密性等安全服务。

1 IPSec工作模式的分析与建议

IPSec有两种模式:传输模式(transport)和隧道模式(tunnel)。有两种协议:AH和ESP。AH提供完整性保护、抗重播攻击和连接的访问控制;而ESP除提供AH提供的保护外,还提供机密性和一定程度的流量保护。由此可见,AH对网络流量提供的安全保护是ESP提供的保护的子集。这对于用户来说,似乎可以根据不同的情况做出不同的选择。然而,在实际应用中并不是都需要这四种组合。实际应用中这几种选择在认证功能上几乎没有什么差别,而且认证所花费的代价差别不大。允许多种选择只会使系统更加复杂,在实际应用中也会增加协商的开销,违背了越简单越安全的原则。

IPsec提供的传送模式适用于端主机的通信,而隧道模式主要用于网关之间或网关与主机之间,也适用于主机之间的通信。根据RFC2401的规定,这两种模式的区别是:传输模式中仅对上层协议的报文提供安全服务,而IP报头是不受保护的;而隧道模式是对上层协议和IP报头都提供安全服务。也就是说,两种模式的实质区别是对数据包保护的范围不同。然而,在实际的应用中,是对上层数据还是对整个数据包进行保护,其操作方式、执行效率和开销差别很小。再加上传输模式所能达到的保护目的,隧道模式也完全可以达到。虽然在使用隧道模式时因为要在数据包外层增加一个新1P头而比传输模式多占用一定的带宽,但我们可以使用一种特殊的头部压缩技术(IPCom P)来解决该问题。IPSec在VPN的应用中,由于路由器(网关)的存在,几乎都是使用隧道模式来保护数据。

基于以上分析,我们可以将传输模式和隧道模式进行统一,归并为隧道模式。这样一来,主机和路由器(网关)的概念在IPSec中得到了统一,为后面的IKE协商减少开销奠定了基础。

2 AH和ESP协议的分析与建议

ESP与AH的最大区别是ESP不认证IP头,即它的认证范围比AH的认证范围小。在实施IPSec时,AH和ESP可以单独使用,也可以结合使用。IPSec协议的制定者之所以对AH和ESP进行区分,主要是为了功能分配清晰,体现一定的灵活性。然而,这种区分在现实情况中完全没有必要。因为ESP除了在认证范围上与AH有一点区别外,没有任何资料显示它的认证安全性比AH差,它们所使用的认证算法和认证步骤都完全一样。这种区分会使实际操作更加繁琐。比如在IKE协商中需要SA双方协商是使用AH还是使用ESP,或者两者都使用,就必须分别为AH和ESP建立存储单元,记录对应的认证算法、使用的密钥和生存周期等等。

基于此,我们建议取消AH的概念,对ESP作出一定修改,使它在原有安全服务的基础上提供对整个数据包的认证。为了实施修改后的IP安全体系和ESP安全协议,我们作如下规定。因为在IPSec协议中,无论认证还是加密,其安全保护都是片面的。如果使用没有加密的认证,或者在传输时使用明文,那么对于第三者的截包和数据的泄露将无能为力,这对于许多公司和企业来说无疑是灾难。如果使用没有认证的加密,由于加解密将消耗大量的资源,对于数据包接收方来说,当接收到来自第三方恶意修改后的数据包时,不能辨别其真伪而进行解密,将消耗大量的系统资源,使系统性能急剧下降,甚至导致网络系统崩溃而终止服务。由此可见,单方面使用认证或加密都存在安全漏洞。所以,在IPSe C安全体系中,如果要使用安全服务,加密和认证必须强制使用,而且,应该是先加密后认证。此外,为了使接收方不遭受重播包的攻击,抗重播功能必须被强制使用,接收方必须使用滑动窗口机制启用抗重播服务。

3 针对IKE协议的改进建议

IKE协议的第一交换阶段是基于Deffie一Hellman(DH)密钥协商协议。由于DH协议自身无法抵御中间人攻击,因此,IKE协议通过提供身份认证来保护协议免受中间人攻击。在IKE协议密钥交换过程中,分别支持数字签名、公钥加密、改进的公钥加密和预共享密钥等四种身份认证方式。但这些身份认证方式中,很大的一部分都是基于公钥密码体制的,而公钥密码体制的实现通常包括大量的模指数运算。模指数运算计算量大,需要占用大量的计算资源。

同时,在一次密钥交换中,作为响应方的目标服务器通常还需要在内存中增加状态来保存一些与本次交换相关的参数。例如,与产生Cookie相关的时间参数和与Deffie一Hellman交换相关的参数。无论是数字签名认证方式还是公钥加密认证方式,攻击者都可以通过发送大量的伪造的请求来耗尽目标服务器的内存,使得目标服务器的内存无法再保存新的交换的参数。通过上述分析可以看出IKE协议中存在拒绝服务攻击可以分为两类,即CPU资源耗尽的拒绝服务攻击和内存资源耗尽的拒绝服务攻击。要想有效抵御这两类拒绝服务攻击,对原有协议的改进也应该相应地从两方面着手,一方面抵御CPU资源耗尽,另一方面是抵御内存资源的耗尽。

3.1 抵御CPU资源耗尽改进

抵御CPU资源耗尽改进方法的基本思想:设法控制协议执行实体的计算量,一方面要尽量减少响应者一方的计算量,另一方面要适当增加发起者一方的计算量。目的是使得在双方计算能力可比的情况下,发起方的计算量大于或等于响应方的计算量。这样,攻击者在试图对目标服务器进行CPU资源耗尽的拒绝服务攻击时,将在目标服务器资源耗尽前,先耗尽自己的计算资源,从而有效地抵御这种攻击。

改进方案:使用计算机量控制参数法

计算量控制参数是一个随即的,时新的参数,由响应者一方产生,以密文的形式包含在响应者的响应消息中。在攻击者一方需要重建这个参数,而且这个重建的参数需要包含到响应者对攻击者的预验证机制中去,参数的产生和重建都是依赖于数字签名机制的。预验证机制是通过引入预验证HASH载荷实现的,预验证HASH载荷是由攻击者发给响应者的,其中包含了攻击者重建的计算量控制参数,也就是说攻击者必须先重建这个控制参数,然后才能计算出预验证HASH载荷。而响应者一方在进行验证攻击者签名的公钥运算前,先对这个预验证HASH载荷进行验证。

下面使用计算量控制参数法对积极模式下数字签名认证方式进行改进。IKE协议在阶段1密钥交换过程的基础是Diffie一Hellman密钥交换,积极模式需要在协议执行实体之间交换三条消息,在数字签名认证方式和公钥加密认证方式下,IKE的积极交换可概括如下:

1)必要的预计算

2)发起者使用自己的私钥或响应者的公钥进行计算

3)发起者将请求消息发给响应者

4)响应者使用自己的私钥或发起者的公钥进行计算

5)响应者将响应消息发给请求者

6)发起者使用自己的私钥或响应者的公钥进行计算

7)发起者将确认消息发给响应者

8)响应者使用自己的私钥或发起者的公钥进行计算

9)密钥交换完毕,共享密钥建立

依据抵御CPU资源耗尽的拒绝服务攻击的基本思想,在IKE的积极交换过程中通过引入计算量控制参数来控制计算量,以提供协议交换过程中的抗攻击能力。

具体改进如下:

1)在上述步骤4中尽量避免进行大量消耗系统资源的计算,例如模指数运算。

2)在上述步骤5中的响应消息中,引入计算量控制参数,并且在上述步骤6中,重建这个参数的操作要求具有较大的运算量。

3)计算量控制参数也包含到身份认证机制中去。

4)在上述步骤7的确认消息中,包含从重建的计算量控制参数中衍生出来的确认参数。

5)在上述步骤8中,首先对确认参数进行验证,并且验证确认参数的计算代价要小于上述步骤6中重建计算量控制参数时的计算代价。

3.2 抵御内存资源耗尽改进

抵御内存资源耗尽改进方法的基本思想:利用一种“无状态连接”的概念,不在内存中增加新的状态来保存参数,而是将这些可能在内存中增加状态的参数,使用一个本地的密钥进行加密,然后在协议的发起者和响应者之间随着交换的消息来回传递,需要这些参数的时候,就直接从消息里面提取出来。上述方法可以概括为“最少状态法”,在对IKE协议进行改进的时候,可以将与密钥交换有关的参数按照“最少状态法”附加在消息中传递,协议的执行实体不需要为保存这些参数在内存中分配空间。

参考文献

[1]严新.基于IPsec的IKE协议分析与改进[D].华中科技大学,2006.

IPV6校园网的网络安全研究 第4篇

【关键词】IPV6；校园网；网络安全；IPSec

高校校园网有不同于其他宽带网的独有特点，其承担着学校内容部的教学资源共享、教学视频上传、数字图书馆、校园IP监控等多方面与教育教学开展相关的专业应用。同时，由于高校学生接触网络知识面比较广，对校园网的实际应用远远超出教学限制范围，活跃的用户群体加上网络安全应用知识的淡薄，对校园网络安全带来的极大的挑战。IPV4的安全服务协议已然不能满足现代信息吞吐量所必须的安全匹配体制，针对IPV6的网络安全体制研究正在国内高校网络建设中广泛的开展。结合校园网所体现的应用功能性，利用现代计算机网络通信IPV6协议，引进IPSecurity（IPSec）作为安全防护协议，能够满足校园网用户对端到端服务可靠性和安全性的要求。

1.校园网安全特点及常见攻击

互联网的最早应用起源与高等你校园，校园网也一般集合了行业内较为先进的网络体系结构。高校内用着最密集的活跃用户群体，同时也为校园网的内部安全带来了诸多威胁，校园网的安全管理系统具有庞大和复杂的特点，其安全特点和常见的安全攻击如下所示：

1.1校园网的速度快， 规模大

校园网由于其自身实现的功能性，对传输速率和信息吞吐量要求较大，普遍使用以太网网数据传输技术，铺设千兆、万兆的传输网络。用户群体的密集和信息传输量的巨大对网络安全防御体制带来巨大的挑战。

1.2校园内部的网络安全管理体制的不健全，复杂的网络维护和设备购置管理往往责任分配不清楚，出现问题不能得以及时解决，使安全问题进一步扩大

1.3活跃的用户群体

用户群体的密集且对网络资源利用的廣泛性，部分学生的不良上网习性导致病毒和木马有机可乘。之前“风靡一时”的熊猫烧香病毒正是利用地点导致校园网的短时间瘫痪。另一方面，部分学生甚至自己学习和研究网络黑客攻击技术，转而攻击校园内部网络，对网络安全造成不同程度的负面危害。

1.4开放的网络环境

由于教学应用和科研的实际需求，决定了校园我网络是相对开放的，管理方式方面比较宽松，这对病毒入侵提供了可能性。

1.5盗版资源泛滥

由于部分教师和学生缺乏版权意识，寻求免费和便利的资源下载或在线浏览方式，导致盗版软件、影视资源在校园内使用泛滥，这些盗版软件和多媒体资源的现在占用了大量网络宽带，同时为病毒的入侵和传播敞开了大门。

以上种种因素都是校园网容易遭到安全攻击的诱发因素，也是容易被攻击和破坏的目标。

2.IPv6 报头潜在的安全问题

IPV6报头协议与IPV4相比，提高了数据包的传输安全协议和处理效率。同时，由于，IPV6报头结构比较复杂而且标准约束性较小，导致其合法性和安全性难以受到全面且深入的安全监控和检测。IPV6的报文字段受到攻击性而被破坏的可能性最大，其面临的主要安全威胁包括：①网络黑客能够利用数据链路层的字段的非相匹配来迷惑防火墙或者其他病毒防护软件。②黑客通过对源IP的伪造，来隐藏自己的身份对IP实施欺性攻击。③任何类型的扩展报头能够以确定的次数和不同的数据传输顺序出现在IPV6数据包中，这些不受明确且严格限制的特性容易导致多方面的网络系统安全攻击，如ARP欺骗攻击、ND攻击、DoS攻击、网络资源或系统资源的抢占等。任何类型的扩展报头能够以不同的顺序或是不确定的次数出现在IPv6 数据包中。这些不受约束的特性还可能存在如ND 攻击、ARP 欺骗攻击、DoS 攻击、系统资源和网络资源的抢占等。

3.IPSec 安全机制极其在校园网中的应用

IPSec网络传输协议为提IP协议的保密性和完善性而专门定制的。其实现的功能为解决网络层的安全。IPSec协议的结构特点能够有效的防护系统免受多方面的网络安全攻击，如保护IPV6报头免受安全攻击威胁等，能够提校园网的整体安全防水平。IPSec的安全特性属于IPV6协议的外在安全特性，它具有为IP写作提供无缝安全保障的功能特性，是IPV6的协议套件。IPSec 为TCP 等上层协议提供很强的加密认证服务，校园网在IPSec 报头的保护下更加安全IPV6的校园网络中IPSec的具体应用包含以下两方面：

3.1端到端的安全应用

端到端的网络信息传输机制配合其他安全体制，为校园网提供了数据传输的机密性和完整性保障。其技术原理为：将位于不同路由器（网关）的网络主体通过受保护的校园网进行相连，主机之间无需配置IPSec传输协议，不同主机之间配置IPSec利用IPV6传输协议进行数据的透明性传输。同时不同主机之间可以结合使用AH和ESP，在实际应用中，可以将AH在ESP之后进行封装，以提高数据包传输的安全性和完整性，使用的结构模式可以选择隧道模式和传输模式。其中传输模式的构建方式为：将主机的数据包首先进行AH和ESP加密认证，在传输过程中利用利用IPSec协议对数据包进行封装和匹配性修改，即在原有IP头IP和TCP协议中插入AH头或者ESP头，通过这种模式来抵御IPV6网络中诸如DOS攻击、ARP攻击等安全威胁，有效的保护TCP、UDP、SPX等上层协议，确保了校园网的安全。

3.2路由安全应用

IPV6与IPV4的动态地址大多是通过DHCP来获取的，IPSec协议在路由安全上的实际应用能够防止网络威胁对网关的攻击，提高网络控制报文协议的安全性。在校园网的是实际应用模式为：将主校区路由器、分校区路由器和公网路由设备分别配置IPSec安全协议。在嵌套式的隧道模式下，主机通过校园网向不安全的公用或专用网络中的分机发送邮件，首先需要将邮件发送至对应的网络路由器，通过IPsec封套成新的数据包并且配置新的IP头，然后通过受保护的隧道传送至核心路由器，分机路由器对收到的数据包进行处理，去除掉对应的新IP头，实现数据传输信息的解封，最终还原成邮件文本格式，转发给目标分机。整个数据传输过程中IP数据报头和上层协议都受到IPSec的安全保护，从而减少了IP地址欺骗，ARP攻击、AD攻击等威胁。

4.结语

IPV6在校园网的具体应用有着极大的可发展空间，其具有的大空间地址、灵活IP报文、高安全心性能等特点能满足现阶段校园网的实际需求。但是，IPV6的协议非绝对安全，如它对用户的限制性较低，与其它安全设备的兼容性较低，安全和管理机制尚不健全等问题对校园网的安全带来的潜在的威胁。因此，对于IPv6 的研究任重而道远，但是我们能看到基于IPV6的校园网建设将是未来的发展趋势，其中对于传输协议的研究和安全系统的保障是推动IPV6普及化发展的关键。 [科]

【参考文献】

[1]张伟.IPv6过渡技术发展历程分析[J].电信网技术，2011（06）.

[2]李哲夫.基于IPv6的校园网用户管理系统设计[J].微计算机应用，2011（04）.

IPv6安全机制 第5篇

1 网络安全威胁

IPv6的地址空间增加到128位，远远超过IPv4的地址容量。而且，IPv6子网的缺省大小是64位，远大于大多数IPv4的8位子网空间，这种变化使得传统的基于网络层的随机扫描和顺序扫描策略在IPv6下较难实现。

1.1 基于EUI-64地址的网络嗅探

通常情况下IPv6地址的接口ID为64位，IPv6报头格式如图1所示：

因而，对于IPv6下的网络扫描不宜采用IPv4下的随机扫描和顺序扫描策略。但是IPv6地址的64位接口ID并非任意生成，多数情况下它由节点的EUI-64地址转换而成，而EU-I-64地址则由节点的IEEE 802 MAC地址转换而成。这样IPv6地址的64位接口ID最终可由节点的IEEE 802 MAC地址转换生成，具体方法为:首先在节点的48位MAC地址的正中间插入两个字节FFFE，得到EUI-64地址，然后对该地址的首字节的第7个比特位(本地/全球位)进行取反，就可以得到最终的64位接口ID[1]。显然，64位的接口ID的中间两个字节FFFE是已知的，未知部分为48位的MAC地址。

1.2 路径PMTU发现的攻击

PMTU是IPv6引入的一种新的机制，它是在源节点和目标节点之间的路径上的任一链路所能支持的最小链路MTU。链路MTU是指能够在这个链路上传送的最大长度的链路层有效载荷。与IPv4不同的是，IPv6的分片和重组只能在源节点和目的节点进行，中间节点不再参与这一工作。PMTU一方面能够提高路由器等中间节点的转发效率，另一方面使得使用这一机制的源节点容易遭到攻击。因为攻击者可以伪造路由器等中间节点发送虚假的ICMPv6数据包过长报文，由此导致两种结果：如果报文中指示的PMTU值太小，将使源节点对于每个待发数据包过度进行分片，增加处理开销，降低系统性能;如果报文中指示的PMTU值太大，将使源节点发出的数据包到达某个特定的路由器后被丢弃，从而中断源、目标节点之间的通信，造成拒绝服务攻击[2]。

除了网络嗅探、路径PMTU发现的攻击，IPv6环境下还存在着针对ICMPv6协议、邻居发现协议等攻击，另外，网络方面其他的扫描探测等也给IPv6环境造成影响。

2 网络安全机制

目前，随着IPv6协议的应用，提供了一系列安全机制来保护节点与其他节点之间的通信。根据上述IPv6环境下的主要网络安全分析，本节研究有关IPv6协议所提供的安全机制。

2.1 IPsec保护通信机制

在IPv6中新增了两个扩展报头：认证头和封装安全载荷。IP数据包本质上是不安全的，如伪造IP地址，篡改IP数据报的内容等。因此，既不能保证一个IP数据报确实来自它声称的来源，也不能保证IP数据报在从源到目的地传输过程中没有被第三方篡改或者窥视。设计IPsec是为了防止IP地址欺骗，防止任何形式的IP数据报篡改和重放，并为IP数据报提供保密性和其他的安全服务。IPsec所提供的安全服务是通过使用密码协议和安全机制的联合实现的。IPsec能够让系统选择所需的安全协议，选择所希望的与已选择的安全协议一起使用的密码算法，同时生成为提供这些请求的服务所必需的密钥并将它们放在合适的位置。

另外，IPsec提供的安全服务包括对网络单元的访问控制，数据源认证，提供用于无连接服务的协议(如UDP协议)的无连接完整性检验，对重放数据报进行监测和拒绝，使用加密来提供数据流保密。同时，针对Ipsec的安全服务，任何上层协议或者任何应用层协议都可以使用这些服务。

设计IPsec是为了给IPv4和IPV6数据包提供高质量的、可互操作的、基于密码学的安全性。IPsec通过使用认证头(AH,Authentication Header)和封装安全载荷(ESP,Encapsulating Security Payload)以及像Internet密钥交换(IKE)协议这样的密钥管理过程和协议来达到这些目标[3]。IPsec安全体系结构主要由五部分构成，如图2所示。

安全协议:包括验证头协议(AH)和封装安全载荷协议(ESP)。AH协议可以为IP数据报提供无连接完整性、数据起源地验证和抗重放攻击等保护服务。ESP协议可以对IP数据报进行数据加密、数据起源地验证、无连接的完整性、反重放攻击和有限的数据流机密性等安全保护。

安全策略:安全策略指定了处理特定IP数据流的方式。绕过IPsec协议、使用IPsec协议进行安全保护、直接丢包。

安全联盟:两个IPsec通信实体经协商建立起来的一种协定，在其中保存了用来保护数据包安全的IPsec协议、算法、密钥以及密钥的有效存在时间等参数。

密钥管理：在IPsec安全体系中，可以采用手动或动态两种方式完成密钥管理工作。手动创建密钥需要网络管理人员亲自动手将信息注入相应的数据库，并定期修改维护，适用于试验性的网络或相互信任且规模较小的网络。对于规模较大的实际网络，必须借助于动态方式完成密钥管理工作。密钥交换协议IKE是IPsec体系规定的动态密钥管理协议，使用者也可以采用其它的密钥分配技术来完成密钥的自动管理。

加密算法和验证算法：IPsec协议体系是一个多服务、多算法、多粒度的安全框架，与具体的密码算法无关。采用这样的设计思路，即使使用的加密算法或验证算法被攻破，IPsec体系仍然能够保存下来。

2.2 时间戳重放保护机制

IPv6协议的时间戳重放保护机制是强制的，能对注册请求进行抗重放攻击保护，实现过程中必须将标识号的32位从注册请求原封不动地复制到注册应答。同时，新的注册请求中的标识号不能与前一个请求中的编号相同。时间戳重放保护的基本原理是发送方在消息中插入当前时间，接收方检验时间戳是否足够接近它自己的日期时间。通信双方的时钟必须足够同步，才能保证时间戳的验证有意义。如果实现了时间戳，节点必须按网络时间协议(NTP,Network Time Protocol)规定的格式设置标识字段的64位值，其中低32位代表秒的小数部分，其余32位应该由好的随机源生成[4]。

当使用时间戳时，节点发出的注册请求中的标识号必须大于任何前面注册请求使用的编号。如果没有这样的序列号，可能会遭受重放攻击。攻击者将早先的注册的请求复制，并在要求的时钟同步范围内发送请求，如果这时原先节点己经离开了原来的位置，那么，绑定的节点转交地址是错误的。

当收到具有认证扩展的注册请求时，必须检查标识号的有效性。标识号中的时间戳必须足够接近日期时间，并且时间戳必须大于所有己经接收的请求节点的时间戳。如果时间戳有效，即可将标识号字段拷贝到应答节点的注册应答。如果时间戳无效，则必须拒绝该注册，在注册应答中返回编号133，表示匹配错误。

2.3 虚拟专用网机制

虚拟专用网(VPN,Virtual Private Network)，是用户利用公用通信网资源，如传输线路、网络模块、交换机、网络端口等组成的一个逻辑上的专用网络。在虚拟专用网中可以使用公用网提供的所有业务。

由于用户在虚拟专用网中传送的信息往往涉及公司或组织的机密，所以，拟专用网必须是安全的。虚拟专用网主要采用隧道机制来提供网络的安全性。道机制的实现有很多种方法，目前主要有LZTP、IPsec、Socks等。IPsec是在层提供网络隧道机制，互操作性比较好，是比较流行的构建虚拟专网的方法，用IPsec协议，可以在两个或多个网络之间建立起安全通道，完成机密通信所需的认证和机密等功能[5]。基于IPsec技术的VPN的一般模型如图3所示。

结合图3简要介绍一下在虚拟专用网中的通信过程。图3中安全网关是IPsec隧道的端点，完成IPsec的加密、解密、认证等功能。两个安全网关之间首先建立必要的安全关联，然后，才能为所在网络的主机提供安全通信服务。当主机1向主机2发送数据时，其通信过程如下所述：

(1)当主机1首先生成一个IP分组，源地址是主机1的IP地址，目的地址是主机2的IP地址。

(2)该IP分组接着路由到安全网关1。

(3)安全网关1在IP分组前面加上AH或者ESP头，并且对原始IP包头和净荷进行加密。安全网关1再把IPsec头和加密后的原始分组封装在一个新的IP分组中。新的IP分组的源地址是安全网关1的IP地址，目的地址是安全网关2的IP地址。

(4)新的IP分组穿过Internet，路由到安全网关2。

(5)安全网关2对新的IP分组中的外部分组头进行处理，并且检查IPsec头，完成解密功能，获得原始的IP分组。

(6)安全网关将解密后的原始分组转发到主机2。

2.4 返回路径可达机制

为了解决IPv6中的身份验证，IETF在绑定更新时，采用了无须证书的无认证框架的返回路径可达过程，称为RRP。RRP被作为IPv6的安全绑定更新的临时默认的机制，能够使通信对端获得一定的程度的安全保证，即与之通信的节点对外宣称的转交地址是路径可达的。在这种保证情况下，对端接收节点发送过来的绑定更新消息，建立绑定缓存条目后，将发送给的数据源直接发送给节点宣称的转交地址。

而RRP的本质是在网络通信的过程中，节点请求通过对端测试其对外宣称的地址路由是否可达，间接使通信对端相信节点对地址的合法拥有权。通过RRP机制，最大的优点就是不需要手工配置和其他协议的支持，这个特点可以方便IPv6的快速部署。

3 结语

IPv6协议的设计目的在于解决现有IPv4版本所具有的各种问题，包括地址数量限制、安全性、自动配置、移动性和可扩展性等方面，因此IPv6为各种价值应用构想提供了强大的技术支持，尤其对视频、语音、移动和安全等业务的发展有极大的促进作用。随着IPv6应用探索的进一步深入，IPv6在网络通信行业以及人们日常生活中具有广阔的应用前景。

摘要：IPv6是下一代互联网的核心协议。本文在分析了IPv6网络安全隐患分析的基础上,重点研究了IPv6的网络安全机制,包括IPsec保护通信机制、时间戳重放保护机制、虚拟专用网机制以及返回路径可达机制等,为IPv6在通信网络中的应用提供一定的参考价值。

关键词：IPv6,网络安全机制,IPsec

参考文献

[1]阎广军.IPv6及下一代互联网.沧州师范专科学校学报,2007,(01):54-55.

[2]silvia Hagen.技桥(译).IPv6精髓.北京:清华大学出版社,2004,(05):33-36.

[3]孙为.纯IPv6网络中IPsec的研究与应用.兰州理工大学硕士学位论文,2003.5.

[4]Yuiehiro Hei Katsuyuki Yamazaki.A ProPosal of Configuring IPv6End-to-End Secure Channels for Closed Members.In Proeeedings of SAINT2005Workshops.Jan,2005:6-9.

IPv6安全机制 第6篇

当今世界, 因特网的规模正以惊人的速度不断扩大, 同时移动通信也在突飞猛进地向前发展。越来越多的移动用户都希望能够以更加灵活的方式接入因特网, 能够随时、随地访问Internet而不受时空的限制。因此网络对移动性的支持显得越来越重要。移动IPv6技术正是为适应这种需求而产生的一种新的支持移动用户和因特网连接的互连技术。它能够使移动用户在移动自己位置的同时, 正在进行的网络通信不被中断, 因此成为当前业界研究的热点问题。

移动IPv6是一个庞杂的协议, 包含的内容非常多, 而且目前还在继续发展。移动IPv6又是一个设计精巧的协议, 虽然目前还有一些缺陷, 但我们可以看到, 移动IPv6协议的前景是非常光明的。在可以预见的未来, 我们将可以充分享受移动IPv6给我们带来的便捷, 自由徜徉在移动信息的世界里。然而现有的移动IPv6技术还有很多不足之处, 比如由它引起的“三角路由”问题就是一个亟待解决的问题, 它极大地浪费了网络资源, 并增加了因家乡代理和家乡链路故障而造成的影响。路由优化是解决三角路由的关键技术。本文综合考虑路由优化需要注意的安全问题、代价问题、数据包失序问题以及路由优化时机的选择问题, 提出了一种基于时延的路由优化方案。

2 基于IPV6时延的路由优化机制

2.1 路由优化时机的选择

路由优化避免了“三角路由”问题, 减小了传输时延, 提高了网络性能, , 在实际应用中并非所有的直接路径都比间接路径理想;而且路由优化本身也会带来一定的资源消耗。因此, 只有在直接路径比间接路径理想时, 才有必要进行优化, 直接路径不如间接路径理想, 无需进行路由优化。所以不能对所有的情况都进行路由优化, 而应对直接路径和间接路径进行比较选择。在本文机制中利用返回路由可达过程对直接路径和间接路径的传输时延分别进行测量。若直接路径的传输时延小则进行路由优化, 否则不进行路由优化。

2.1.1 对端节点的操作

返回路由可达过程中共由四条消息组成:家乡测试初始 (Ho TI) 消息, 转交测试初始 (Co TI) 消息, 家乡测试 (Ho T) 消息和转交测试 (Co T) 消息。这四条消息具有不同的传输路径, 可测试不同的传输时延。Ho TI消息是从移动节点发送经家乡代理转发至对端节点, 可用于测量从移动节点到对端节点间接路径的传输时延。Co TI消息是从移动节点直接发送至对端节点, 可用于测量从移动节点到对端节点的直接路径的传输时延。Ho T消息是从对端节点发送经家乡代理转发至对端节点, 可用于测量从对端节点至移动节点间间接路径的传输时延。Co T消息是从对端节点直接发送至移动节点, 可测量从对端节点至移动节点直接路径的传输时延。

2.1.2 动节点的操作

每个移动节点都必须维护一个绑定更新列表。绑定更新列表记录该移动节点发送的每一个绑定更新消息, 其中绑定的生存周期尚未过期。绑定更新列表中包括所有与移动节点通信的节点。每个绑定更新列表条目包含有以下字段:目的节点IP地址、为之发送的家乡地址、转交地址、生存周期初始值、剩余的生命周期及发送绑定更新的最后时间等。

2.2 数据包失序的消除

数据包失序是指数据包未按发送顺序到达的现象。大量的数据包失序会导致接收方发送大量的重复确认帧。而连续的三个重复确认帧会使发送方误认为网络中发生拥塞而启动拥塞控制机制, 减小发送窗口。而实际上, 此时网络上并未发生拥塞。因此, 数据包失序会引起网络资源的浪费, 降低网络性能。在本文机制中, 采用了双缓存这方法来消除数据包失序现象, 改善网络性能。

双缓存机制的主要思想是, 进行路由优化后, 将从直接路径发送的数据包暂缓存。待间接路径的数据包都到达移动节点后, 再将缓存的直接路径的数据包转发给移动节点。通过这种方式, 就可以基本上避免数据包失序问题。

因此, 在本文的机制中, 将直接路径的数据包缓存于移动节点的接入路由器。移动IP技术会带来“三角路由”问题, 即对端节点发送的数据不能直接发送给移动节点而必须经家乡代理转发。这造成了一定的资源浪费。路由优化技术是解决“三角路由”问题的关键技术。本文综合考虑进行路由优化需注意的几个问题, 提出一种基于时延的路由优化机制。该机制对RRP过程的Ho T消息和Co T消息加盖发送时间戳, 测量直接路径和间接路径的传输时延, 以决定是否进行路由优化。

摘要：随着便携计算机的普及和无线局域网技术的不断成熟, 网络对移动性的支持显得越来越重要。移动IPv6技术正是为适应这种需求而产生的一种新的支持移动用户和因特网连接的互连技术。它是为支持移动用户和主机通信而产生的新型IP协议, 使移动用户在移动自己位置的同时无需中断正在进行的网络通信。移动IPv6协议是重要的IP层协议, 但移动IP会带来三角路由问题, 引起网络开销增加和性能下降。路由优化技术是解决三角路由的关键技术, 已成为当前业界研究的热点问题。本文通过对移动IPv6路由优化技术进行深入的研究, 针对进行路由优化需要注意的安全问题、代价问题、数据包失序问题以及路由优化时机的选择等问题, 提出了一种基于时延的路由优化机制。

关键词：IPV6,时延,路由优化机制

参考文献

[1]余政, 宋健, 袁占亭, 罗晓娟.移动IP综述[J], 计算机工程, 2002, 28 (7) :5-7.[1]余政, 宋健, 袁占亭, 罗晓娟.移动IP综述[J], 计算机工程, 2002, 28 (7) :5-7.

[2]唐宏, 龚涛, 董会宁.移动IP研究中的关键问题[J], 重庆邮电学院学报, 2004, 16 (3) :91-94.[2]唐宏, 龚涛, 董会宁.移动IP研究中的关键问题[J], 重庆邮电学院学报, 2004, 16 (3) :91-94.

[3]蒋亮, 郭健, 等.下一代网络移动IPv6技术[M], 北京:机械工业出版社, 2005:60-61.[3]蒋亮, 郭健, 等.下一代网络移动IPv6技术[M], 北京:机械工业出版社, 2005:60-61.

IPv6安全机制 第7篇

IP地址是IP网络的最基础地址资源。伴随着国内信息化进程的加速,IPv4地址资源呈现快速消耗的趋势,使得可用的IPv4地址资源越来越少,濒临枯竭,这将直接阻碍当前“三网融合”的进程。为此,由IPv4向IPv6平稳过渡成为了各界关注的焦点,国内各大运营商正在积极推动IPv6的部署和应用。但是,受诸多因素的影响,特别是终端用户基于IPv6的多业务应用及产业链上游的CP/SP基于IPv6的多业务提供能力导致迁移乏力,造成了目前IPv6部署和应用推进受阻的局面。本文主要研究IPv6的多业务承载技术及其在CESP(电信级以太网平台)上的实现,在兼容现网IPv4的前提下,实现从IPv4向IPv6的过渡。

2 IPv6的多业务承载机制

2.1 IPv6协议的特点

IPv6保持了IPv4的许多优点,如支持无连接的传送,允许发送方选择数据包的大小,需要发送方指明数据包在到达目的站点前的最大跳数,还保留了IPv4中的分段和原路由选择。另外,IPv6相对于IPv4还有较为显著的优势:1)地址容量大大扩展,由原来的32位扩充到128为,彻底解决了IPv4地址不足的问题;支持分层的地址结构,从而更易于寻址;扩展支持多播和任意播地址,这使得数据包可以发送给任何一个或一组节点。2)简化的报文结够:在IPv6中,报文头包括固定头部和扩展头部,对于一些非根本性的和可选择行的字段被移到了IPv6协议头之后的扩展协议头中,这就使得网络中的中间节点在处理IPv6协议头时,有更高的效率。3)流标签字段使得网络节点可以对属于一个流的数据包进行识别并可以提供特殊处理。用这个标签,网络节点可以不打开传送的内层数据包就识别流,这就使得即使数据包的有效载荷已经用IPsec和ESP进行了加密,仍然可以实现对QoS的支持。4)认证与私密性:IPv6协议本身就支持IPsec,在网络层进行IPsec认证与加密,能够提供端到端的安全保障。这就为网络安全提供了基于标准的一种解决方案,增强了不同IPv6网络实现方案之间的互操作性。5)IPv6在移动网络和实时通信方面有很多改进,IPv6具有强大的自动配置能力,从而简化了移动主机和局域网的系统管理。

2.2 Ipv6的多业务承载

建设统一的多业务IP承载网已经成为运营商的共识,但是由于传统IP网络尽力而为的QoS服务模式,如何满足各种业务对QoS的要求,一直是多业务IP承载网建设中的难题。运营商不但需要承载网设备提供对Diff-Serv的支持,更需要一种低成本、易布置的协议来标记报文的服务类型、优先级,并且能够携带标记从发送端到达接收端,以便沿途的所有设备都能识别并执行相应的转发优先级,无论是IPv4还是MPLS,目前都还不能完全满足这样的要求。而在IPv6中,新定义了流类型(Traffic Class)和流标签(Flow Label)字段来解决这些问题。下文将对IPv6如何通过流类型和流标签来解决这一问题进行具体阐述。

2.2.1 流类型

从应用的角度看,现网中的业务主要分为:信令业务、语音业务、视频业务和数据业务,这几类业务根据应用的场景不同,具有不同的QoS特征。对带宽、时延、时延抖动、差错率和丢包的敏感性是区分各类业务QoS级别的重要原则。信令业务对带宽要求相对于其他业务流相比是很小的,延时要求比语音业务低,但差错率要求较高。语音业务对于时延和时延抖动最为敏感,丢包也会对它造成影响。数据业务具有非实时性和突发性的特点,对时延、时延抖动要求低,但要求差错率低,对带宽也有较高要求。

IPv6包头中包含8bits流类型字段,可以为IPv6数据包定义2Λ8共256种类别或优先级。将不同的业务封装到IPv6实质是根据业务对网络的要求分配相应的优先级。为了与802.1p推荐的流量分类相对应,本文将256种优先级分为8个服务等级,每个服务等级对应于一种应用,如表1所示。

每个服务等级可以细分为32个不同优先级,运营商可以根据客户的实际情况提供相应的服务等级。保留的服务等级为将来的新业务所使用。

2.2.2 流标签

IPv6报头中包含的20bits流标签字段,用于标识属于同一个业务流的包,一个节点可以同时作为多个业务流的发送源。流标签、源节点地址和目的节点地址可以唯一标识一个业务流,网络节点设备根据预先设置的处理规则对不同的业务流采取不同的行为。

流标签由流的源节点负责分配,流标签必须在1到FFFFF之间随机选择。属于同一流的所有分组必须具有相同的源地址、目的地址和流标记,如果流中有某个分组包含逐跳选项,则流中所有其余分组都必须具有相同的逐跳选项内容,如果流中有某个分组包含路由选项,则流中所有其余分组都必须在扩展头标中包含相同的内容,并且具有相同的路由选项。网络节点或目标地址允许验证这些条件是否满足,如果检验到错误,网络通过ICMP6将出错消息报告给源地址,指出出错的流标签字段。流状态建立机制中必须明确流处理状态的最大生命期,节点必须保证不使用先前已在使用、现仍在生命期之内的流标签。

流标签的结构和使用尚未形成标准,设备商可根据实际情况设计自己的使用方案。本文用流标签字段反映TCP/UDP及端口号信息。如图1所示。

传输层协议目前已知的仅有TCP和UDP两种,所以可以用1bit区分传输层协议,用16bits表示服务端口号(为了表示IANA已知的端口号),保留3bits将来做扩展用。常见的应用其端口号是固定的,如基于H323协议族的实时业务TCP使用端口号1503、1720,UDP使用端口号1718、1719;FTP控制连接使用TCP端口号21,数据连接使用TCP端口号20等等。根据协议号和端口号可以确定传输的数据是什么业务,从而给数据分配相应的资源,如优先级和保证带宽。分配优先级的策略和修改的IPv6流类型字段值与表1一致,这里不再重复叙述。

2.3 IPv4与IPv6之间的业务映射

IPv4包头包含8bits的ToS字段,1981年制定的RFC791中建议只使用其中的3bits来标识业务类别(称作IP Precedence标识)。这3bits只能表示8个IP优先级,无法满足现代多业务的需求,因此QoS工作组中的差分服务工作组制定了新的标准,将3bits的Precedence扩展为6bits的DSCP。对报文进行分类处理时,通常同时标记IP优先级和DSCP,这样,在网络内部就可以简单的使用IP优先级或DSCP作为队列调度的标准。

IPv4优先级分别是0-7,其中6和7一般保留,常用的是0-5。DSCP通常被分成2个3 bits,高3 bits表示服务类别,低3bits表示优先级。高3bits的典型值有000、001、010、011、100和101,000表示尽力而为的业务,101表示高QoS等级的业务,剩余值表示的业务介于两者之间。IPv4与IPv6之间的优先级关系如图2所示。

3 IPv6多业务承载在CESP上的实现

在为不同的业务流量分配优先级之前,需要对它们进行识别和分类,大多数报文都会包含一个特殊的字段,用于标识这些报文的服务需求。本文选择较为典型的标识字段,IPv4报头中IP优先级、DSCP字段,802.1p优先级,802.1Q标签和IPv6流标签。当数据包携带了以上多个标识字段时,需要设置各个标识字段生效的优先级。本文所设置的优先级从高到低依次为:匹配Ipv6流标签、匹配DSCP、匹配IP优先级、匹配802.1p优先级、匹配802.1Q标签。802.1p优先级由3个bit构成,共8个服务级别,与IP优先级类似,只使用0-5,6-7并不使用。优先级0-7正好对应于前文IPv6流类型的分类。802.1Q与服务类别没有直接的对应关系,用户可以按需要进行灵活的分类。

CESP接收到数据包后,根据标识字段修改IPv6报头中的流类型字段。流程如图3所示。

通常CESP采用ACL方式实现上述流程,标识字段的优先级可以通过指定对应ACL条目的优先级解决。

业务流被分解以后,内容感知的智能选择器根据已经配置的规则形成key,各个查找引擎将key值与CAM表项中的内容比较,如果存在匹配的条目则相应的行为引擎选择统计、计数表项对匹配的包的数量进行统计。当各个条目的行为不冲突时,所有的行为都会执行,而当行为相互冲突如本文中所述的每个条目均为跟改Ipv6流类型字段值,这时行为判决器将根据匹配的条目的优先级做出仲裁。

经过ACL处理后的数据包根据Ipv6的流类型进入相应的队列。假设CESP支持8个转发等级0-7,IPv6的8种流类型对应8个转发等级。对应关系如下:

(图中,Wn表示权重,MAXn表示最大保证带宽,MINn表示最小保证带宽,0芨n芨7)

调度器可以选择SP、rr、Drr、Wrr、SP+rr/Drr/Wrr调度算法对队列进行调度。对于每一个转发等级中的流量可以进一步区分为两类不同的队列优先级:高优先级和低优先级。对于每一个转发等级的权重、最小/最大保证带宽都可以根据实际需求进行配置。如果CESP具有足够的保障带宽,所有高低优先级的数据包都可以被送往下一个节点。当流量较大发生拥塞时,低转发等级的数据包将先于高转发等级的数据包被丢弃,为了资源的更有效利用,可以启用RED等早期丢弃算法对包进行处理。

4 结束语

实际应用中,从用户设备和网络传来的数据包并不都是带有标识它业务需求的标记,或者带有的标记是不可信的(或者不符合承载网络的统一规划)。这些需要CESP不仅具备根据标准标识进行流分类的能力,还要求能够基于报文中的其它信息和报文的流量规律进行流量分类,因此使用Ipv6承载多业务仍有大量的工作要做。

摘要：IPv6流类型和流标签的研究尚处于实验阶段,目前还没有正式的规范。本文从一个可能的发展方向上说明了流类型和流标签字段在多业务承载中的作用以及Ipv6与IPv4的业务映射方法。最后本文详细介绍了在CESP中,如何实现业务优先级的分配和调度,从而保证业务的QoS和带宽的有效利用。

关键词：IPv6,多业务,流类型,流标签,优先级

参考文献

[1]文一,方圆.流量识别和QoS控制在IP/MPLS业务路由器的实现[DB].http://www.cnki.net,2009.

[2]孙有越,雷振明.Ipv6过渡机制的QoS[J].计算机工程,2005年8月.

[3]李晨.Ipv4协议和Ipv6协议的比较[J].学术探讨,2010.

[4]张圣亮.使用流标签字段为IPv6提供更好的QoS[DB].http://www.paper.edu.cn,2008.

IPv6安全机制 第8篇

随着无线网络技术和移动手持设备的发展,人们期望一种无处不在的接入方式,即在任何时间、任何地点接入Internet。IETF提出的移动IP[1]机制是其中一种解决方法。在移动IP中,在网络层解决移动性问题。与链路层移动性[2]、会话层移动性[3]、应用层移动性[4]管理方案相比,我们认为移动IP是最为强健的方案。这主要有以下几个原因:移动IP独立于具体的接入技术,适用于各种无线接入方式;移动IP对上层协议(如传输层和应用层)透明;普通的Internet主机不需要进行任何修改就可以实现与MN(移动节点)的通信,并支持切换。

但是,移动IP也存在一些问题,如切换时延、传输效率、信令开销等。因此,基本移动IP协议不足以支持诸如VoIP等实时应用。

一般认为,移动IP适用于切换发生不频繁的宏观移动性情况。为了减小信令开销和切换时延,目前已经提出了一些微观移动性管理协议[5,6]和快速切换机制[7],以便优化移动IP性能。

本文提出了一种动态HA(家乡代理)机制,并且给出了基于该机制的全IP无线网络结构。同时,为了减小域间切换时延,还提出了一种AAA上下文预转移机制。

1 全IP无线网络框架

与其他无线蜂窝网络类似,基于动态HA机制的全IP无线网络也包括接入网和核心网两部分。为了便于用户的集中管理,AAAh(家乡AAA服务器)和DNS(域名服务器)位于核心网,其中,AAAh用于存储用户的AAA信息,而DNS用户记录用户的位置信息。在本设计中,AAA采用Diameter协议[8,9]。与Radius协议相比,Diameter协议适合于新出现的接入技术,比如宽带无线接入、DSL接入以及移动IP。在接入网络中,我们采用二级的层次移动IPv6(HMIPv6)[10]。

动态HA机制与传统移动IPv6[11]的区别在于不必为MN静态HA地址和家乡地址,因此简化了网络管理,并且优化了网络性能。由于MN的家乡地址不再固定,为此,采用NAI[12](网络接入识别器)来唯一标志MN。另外,MN与AAAh之间、MN与家乡DNS之间分别具有安全关联,以便进行接入控制和动态DNS更新[13,14]。

下面首先介绍域的概念。在基于HMIPv6的网络结构中,存在两种域:MAP(Mobility Anchor Point)域和管理域。在一个MAP域中,AR(接入路由器)的RA(路由器公告)报文中包含相同的MAP域选项,MAP域的范围即是这些AR所辖区域的集合;一个管理域则由属于同一个运营商的若干个MAP域组成。

当MN开机时初次接入网络或者MN移动至另外一个MAP域,该域的MAP成为MN的当前HA。另外,通过动态DNS更新,MN在该域配置的RCoA(区域转交地址)成为当前家乡地址。这种机制使得HA总是距离MN较近,因此降低了端对端时延,而提高了路由效率。

全IP无线网络结构如图1所示。

2 具体过程

下面分别就开机过程、域内切换过程、域间切换过程对上述方案进行阐述。

2.1 开机

当MN在某个MAP域内开机时,该MAP域即成为MN的当前家乡域。图2(a)是这种情况下的消息时序图。图中:AAAv为外地网络的AAA服务器;AAAh为家乡网络的AAA服务器,ARR为AA-注册请求;ARA为AA-注册应答;BS为基站。

2.1.1 接入认证和绑定更新

MN开机后,根据接收到的RA报文配置LCoA(链路转交地址)和RCoA(区域转交地址)。接入网络将会根据AAA架构验证MN的身份,并且实现MAP节点与MN之间会话密钥的建立和分发。当MN认证成功后,MN向其当前HA(即MAP节点)发送绑定更新BU消息,请求HA为MN建立绑定表项,表项中的家乡地址为RCoA,转交地址为LCoA。在本方案中,为了减小信令开销和注册时延,BU包含在AAA消息中。

2.1.2 动态DNS更新

如果MN收到的AAA_rep消息表明绑定更新成功,MN进行DNS更新,从而将家乡DNS中该MN对应的DNS记录更新为RCoA。这样,如果其他主机欲与MN进行通信,这些主机总可以获得MN最新的家乡地址。

DNS更新采用了一种安全、动态的方式。在图2(a)中,MN与家乡DNS之间的共享密钥可以保护DNS更新请求(DNS-update-req)报文和DNS更新应答报文(DNS-update-rep)。

2.2 MAP域内切换

域内切换是指MN在属于同一个MAP域的两个不同接入路由器之间切换的情况。这时,MN应当通知MAP节点更新绑定表项,使其中的转交地址为新配置LCoA。由于RCoA保持不变,因此,域内切换对于通信对端和家乡DNS透明。

在移动IPv6中,切换时延包括链路层切换时延和网络层切换时延。本文中集中于减小网络层切换时延。本文提出一种基于链路层触发信号的快速切换机制,这种触发信号为LINK-UP,即当链路层切换完成并与新基站建立两层连接后产生的一种两层信号。图2(b)是快速域内切换的时序图,过程如下:

当MN从链路层收到链路层触发信号后,MN立即向AR发送RS(路由器请求)报文。根据RFC2462[15],为了避免冲突,路由器在回复RA报文前随机延迟0～0.5 s。文献[16]提出了一种路由器立即响应RS请求的机制。文中引用了这种机制。

MN根据收到的RA报文判断是否发生了MAP域内切换。如果发生了域内切换,则配置新的LCoA。为了减小DAD(重复地址检测)过程的时延,引入了一种优化DAD[17]机制。

配置LCoA后,MN向新的接入路由器nAR发送AAA_req报文,开始进行接入认证和绑定更新。至此,域内切换过程完成,发向MN的报文最终由nAR转发至MN。注意,切换完成后AAAv不需要为MN和MAP节点重新分发密钥,这是由于之前的密钥仍然有效。

2.3 MAP域间切换

MAP域间切换是指当MN从一个MAP域移动至另一个MAP域时的情形。为了减小切换时延,采用了一种上下文预转移机制,其主要思想是在实际切换发生之前就将用户AAA信息提前转移至该用户可能切换到的MAP域。

2.3.1 AAA上下文预转移

在本方案中,AR仅为所辖无线AP(接入点)中位于该MAP域边缘的AP创建邻居表项。每个邻居表项的内容包括AP的MAC地址和与该AP相邻的MAP域标志ID。MAP域的ID是该域所使用的NAI中“realm”对应的部分。该ID包含在RA中,因此,MN可以通过广播的RA获得所在域的ID。AR上的邻居表可以通过一种动态的方式建立,其建立过程可以参考文献[18],在此不再赘述。

当MN两层切换完成后,MN将向AR发送RS报文,其中包含当前AP的MAC地址。AR收到上述RS报文后,从中提取AP的MAC地址,然后遍历邻居表。如果邻居表中包含该AP,则说明该AP位于MAP域的边缘,即位于此AP范围内的MN有可能发生域间切换。这时,就需要进行AAA上下文域转移。其过程如下:AR判断MN有可能发生域间切换后,向当前域的AAAv服务器c-AAAv发送消息,其中包含邻居域ID;c-AAAv通过DNS机制[19]获得该邻居MAP域的AAAv服务器n-AAAv地址,然后直接将用户的AAA信息传递至n-AAAv。由于在同一个管理域中的两个相邻MAP域的AAA服务器之间可以通过动态或者静态的方式建立安全关联,因此AAA上下文转移得以安全进行。

2.3.2 快速域间切换

快速域间切换的时序图见图3。图中,第1个BU报文请求新MAP节点nMAP为MN建立绑定表项,其中,家乡地址使新配置的区域转交地址nRCoA,转交地址为新配置的链路转交地址nLCoA;第2个BU报文请求前的MAP节点pMAP更新MN的绑定表项,即将转交地址更新为nRCoA,家乡地址保持不变。

此后,通信得以恢复,其数据转发过程如图4所示。pMAP收到发向MN的目的地址为pRCoA的报文后,对这些报文进行IP隧道封装(外层IPv6首部的目的地址是nRCoA)后转发至nMAP,然后nMAP再次进行隧道封装(外层IPv6首部的目的地址是nLCoA),最终发送至MN。

如果通信对端CN支持移动IPv6,则可以采用优化路由的方式。MN向CN发送BU报文,在 pRCoA与nRCoA之间建立绑定关系。这样,CN发向MN的报文就可以直接发送至nMAP,而不用通过pMAP进行中转。这时,对于CN来说,pRCoA相当于MN的家乡地址,而nRCoA相当于MN的转交地址。

当MN完成快速切换后,MN可以执行动态DNS更新,将家乡DNS服务器中MN对应的记录更新为nRCoA。然后,当其他主机欲与MN通信时,就通过DNS获得MN最新的转交地址,因此就可以直接与MN进行通信,如图4所示。注意,这时MN同时具有两个家乡代理:pMAP和nMAP。对于nMAP来说,nRCoA是MN的家乡地址;而对于pMAP来说,nRCoA则是转交地址。

由于在域间切换期间接入认证过程在本地进行,并且nMAP和pMAP节点在地理位置上比较接近,因此有效减小了切换时延,尤其是MN距离AAAh较远时。

3 讨论和相关工作

3.1 动态DNS更新方法的可扩展性

利用动态DNS更新机制可以有效、便捷地跟踪MN的位置信息。这时,为了避免DNS记录被其他DNS或者主机缓存而影响正确反映MN的位置信息,通常情况下DNS记录的TTL值被设置为0。在某种程度上,这种做法有助于避免使用过期的家乡地址。然而,由于家乡DNS需要被频繁访问,这可能导致可扩展性问题;另外,CN与MN建立连接的时延也会增加。在本方案中,TTL值可以被设置为某一个大于0的值tTTL,这是由于发向过期的家乡地址pRCoA的报文可以通过隧道由pMAP节点转发至MN,因此在一定程度上解决了上述问题。

3.2 家乡地址的生存期

为讨论方便,假设从MN完成动态DNS更新到当前时刻的时间间隔为t,这时仍在使用pRCoA与MN通信的主机数目为n。如果n=0,并且t>tTTL,则MN可以从接口地址中删除pRCoA,并不再向pMAP节点发送BU报文进行绑定更新。因此,当pRCoA过期后,pMAP将会删除该表项。当n>0,并且t>tTTL,如果上述n个主机都使用路由优化方式与MN通信,则MN可以停止向pMAP发送BU报文,但是MN不能从接口地址中删除pRCoA,因为通信对端CN仍在使用pRCoA。在其他情况下,MN必须保持pRCoA有效,并且周期性地向pMAP节点发送BU报文。

3.3 相关工作

文献[20]提出了一种基于移动IPv4的动态HA机制。在该文献中,动态HA地址是由AAA服务器指定的;而在本文提出的方案中,MN可以通过HMIPv6中定义的MAP发现机制动态地获得HA地址。据我们所知,目前还没有其他文献提出HMIPv6环境中的动态HA机制。

文献[21]是IETF提出的草案,其中定义了针对动态HA分配和HA重定向的消息传递机制。其主要目的是鉴于HA负载均衡、管理策略等原因去优化分配HA。但是,在该草案中并没有提出一个明确的HA发现机制。

文献[22]提出了预注册概念,以便于减小移动IPv4中的切换时延。在该方案中,AAAh负责将用户的AAA上下文信息提前转移至可能切换到的邻居域。因此,AAAh服务器有可能成为瓶颈。在本文中,AAAh能够直接将用户信息转移到邻居域。

4 结束语

IPv6安全机制 第9篇

关键词：移动IPv6,切换,自适应主动预测,邻居单播

0 引言

随着IPv6技术的不断发展, 基于下一代Internet协议版本的移动IPv6越来越受到重视。移动IPv6可以使移动设备在移动计算环境中自由移动, 不用手工配置任何网络信息就能够继续通信, 并保持网络连接不被中断。切换问题是移动计算环境中的关键问题:当移动主机从家乡链路或当前链路漫游到外地链路时, 被动的通过路由广播消息发现自己改变了子网, 然后再向家乡代理注册, 这样造成了很大切换时延和分组丢失, 影响了无线网络的性能。

本文在层次管理的基础上, 提出采用自适应移动预测与邻居单播相结合的自适应主动预测邻居单播移动IP切换方案AIPNU-MIP (adaptive initiative predictive neighbor unicast mobile IP) , 大大减小切换延迟以及移动主机频繁运动时的切换次数, 保证分组的按时到达, 提高系统的切换性能, 保证系统的QoS。

1 自适应主动预测邻居单播移动IP切换方案

层次化移动IPv6管理的思想, 把移动性问题分成微观移动 (micro mobility) 和宏观移动 (macro mobility) 。引入移动IPv6节点区域锚点 (RAP) 作为移动主机的当地家乡代理。在一定区域内, 由RAP实现家乡代理或通信对端和移动主机之间的映射并进行隧道转发。如果移动主机只是在同一个区域内改变它的当前位置, 它无须向家乡代理和通信对端注册, 只需把当前在线转交地址向RAP注册即可, 这样大大减小了切换延迟和Internet以及家乡代理的负担。

为了取得平滑切换, 采用区域邻居单播的方法, 由RAP同时单播分组给移动主机即将到达的新基站路由器 (BR) , 新BR预先缓存分组, 当移动主机切换到该子网时, 新BR将移动主机还没有接收到的分组转发给该移动主机, 可以取得切换时的零分组丢失。AIPNU-MIP提出一种预测邻居单播方案, 通过一个物理信令基站路由器框架提前发现移动主机即将前往的下一个基站路由器, 并计算节点离开当前子网的时间, 在该时间通知RAP, 要求RAP同时单播分组到该基站路由器, 从而减小无线域的负担。

1.1 IPsec的安全关联自适应预测移动检测框架

由于移动主机的活动通常有一定的规律性, 移动主机的速度与方向也不会突然的发生很大的变化, 因此可以根据移动主机的运动情况对节点发起切换的时机进行预测。研究表明, 可以用接收信号强度、误比特率、帧差错率、信纳比这几个指标判断移动主机运动情况。

设i为移动主机当前所处的子网, i∈I, I是网络中所有的子网;j为移动主机当前的接收信号强度, j∈J, J是移动主机可以测量的接收信号强度范围, Dj表示接收信号强度变化率;w为当前的误比特率, w∈W, W是误比特率的范围, Dw为误比特率的变化率;z为当前帧差错率, z∈Z, Z是帧差错率的范围, Dz为帧差错率的变化率;x为当前的信纳比;x∈X, X是信纳比的范围, Dx为信纳比的变化率;Th为数据包从移动主机发到家乡代理的时间, Tf为数据包从移动主机发送到基站路由器所需的时间。同时假设移动主机记录其最近经过的M个子网, 该M个子网及上述各种信息记为移动主机的移动状态s, s∈S, S为s的所有可能取值, s为一个{j, Dj, w, Dw, z, Dx, x, Th, Tf}的十元组。

用N表示子网i的相邻区域的数目, 则在移动状态s下, 移动主机移动到相邻蜂窝的转移概率为:

Psi表示移动主机在移动状态下, 从当前子网i移动到子网j的概率。当移动主机运动到子网边缘时, 通过计算接收信号强度、误比特率、帧差错率、信纳比以及它们的变化率按照相应的优先级和权值与各自相应的阈值比较, 由此判断是否要进行切换, 并根据移动主机主动发起切换的结果对各种判断想的优先级和权值进行调整, 以适应系统需求。

自适应主动预测算法:

Step1:移动主机定时监测记录接收线号强度、误比特率、帧差错率、信纳比;设移动主机第一次被动切换时记录的接收信号强度、误比特率、帧差错率、信纳比分别为J0, W0, Z0, X0, 作为整个系统的各指标的初始阈值。权值为

Step2:if (移动主机运动到子网边缘) {依序对下式进行判断:

本根据检测结果对算法参数进行调整。

(1) 如式不成立, 则移动主机向新的外地代理发起注册, 如果这时移动主机已经移动东新的外地代理覆盖的子网的区域内, 则可以与新的外地代理进行注册, 完成切换, 同时对算法进行相应调整:其中in-1为上一次移动主机检测信号测量的值, 提高该指标的检测优先级。如注册失败, 表明移动主机还未进入新的外地代理覆盖的子网区域内, 不能与新的外地代理进行注册操作, 则开始校验下一个式子, 同时对算法进行相应调整:降低该指标的检测优先级。依此类推, 一次对式 (3) 进行校验, 根据校验结果对算法进行相应的调整。

(2) if (式 (2) 、 (3) 成立) {系统一次校验下式:

并根据检测结果对算法参数进行调整。}

如不成立, 则移动主机向新的外地代理发起注册, 如果这时移动主机已经移动到新的外地代理覆盖的子网的区域内, 则可以与新的外的代理进行注册, 完成切换, 同时对算法进行调整:提高该指标的检测优先级, 使移动主机可以更早的进行切换注册。如注册失败, 表明移动主机还未进入新的外地代理覆盖的子网区域内, 则开始校验下一个式子, 降低该指标的检测优先级:系统应根据下一次检测信号时信号的情况进行切换动作。依此类推, 一次对式 (4) 进行校验, 根据校验结果对算法进行相应的调整。

Step3:移动主机同时保存最近发起过的切换信息, 如果根据这些信息发现移动主机实在子网边缘来回移动, 则降低系统的灵敏度, 采用移动主机注册生存域进行被动的移动检测, 防止乒乓效应。

由上可知, 自适应主动预测算法有效的保证了移动主机适时选择切换时机, 实现快速平滑的切换。

1.2 邻居发现与预测单播框架

层次移动IPv6管理将无线域划为两层:基站代理BA, 负责移动主机的无线接入;域外地代理RAP, 为无线域接入网络的网关。当移动主机进入一个归属网络以外的无线域时, 通过BA向RAP注册。如果移动主机已在RAP注册, 则RAP向当前BA返回注册响应, 否则中转注册请求到家乡代理, 家乡代理以RAP地址为移动IP的CoA, 完成注册。在无线域内的移动, 只需要向R A P注册, 大大减少了切换的时延和Internet及家乡代理的负担。

为了实现平滑切换, 保证无线网络的覆盖区域, 在子网的边缘, 移动主机可以收到一个或一个以上的其他外地代理的信号。当移动主机运到网络边缘, 移动主机可以利用物理层或数据链路层的信息, 预测即将切换至的下一外地代理, 并提前通知RAP, RAP将单播分组到可能的BA, 减少了无线域的负担, 改善了QoS。

邻居发现机制:

Step1:if (BA检查该移动主机是新注册) {在其访问者列表中存储该移动主机地址, 在原始邻居列表基础上产生单播邻居列表, 并转发该注册请求到上一层次RAP;}

Else{基站代理检查是否到了通知RAP时间, 如果是, 则把单播邻居列表附在注册信息中转发给RAP, 否则, BA响应该注册请求, 向移动主机发送注册响应信息。}

Step2:如果移动主机是新注册, 则在其访问者列表中存储该移动主机地址, 从注册信息中取得单播邻居列表, 并向家乡代理转发该注册请求;否则, RAP响应该注册请求, 向BA发送注册响应信息。BA接收到该移动主机的第一次注册响应时, 检查其缓存区, 如有该移动主机的分组, 则转发。

移动主机移动到子网边缘时, 通过当前的状态信息, 运行邻居预测算法进行判断, 决定什么时候进行切换, 并根据切换的结果, 对算法进行调整。

算法的核心思想;记录移动主机第一次被动切换时, 到达了一个新的子网时的接收信号强度, 误比特率, 帧差错率, 信纳比, 并分别记为J0, W0, Z0, X0作为整个系统的各指标的初始阈值。设各指标测得的切换时间分别是tx, tz, tw, tj, 则

则切换时间T为

其中:?tx, ?tz, ?tw, ?tj为权值, 初始值为1。

系统根据预测结果与实际结果进行比较, 并对算法的权值进行调整。设t时刻后发生切换, 如果预测的时间偏长, 则减小各项权值并调整, 否则增大各项权值并调整。系统同时保存最近发起过的切换动作的信息, 如果根据这些信息发现移送节点是在子网边缘来回移动, 则降低系统的灵敏度, 防止乒乓效应。

2 仿真试验与结果分析

该试验在Linux下, 使用扩展的NS仿真平台, 对自适应主动预测邻居单播切换机制 (AIPNUMIP) 进行仿真。采用如图1所示的网络拓扑结构。

假设Internet内部和RAP的接入链路带宽为0.5Mbps, BR以及RAP之间的链路带宽为100kbps, 无线链路为2kbps。子网为蜂窝结构, 各基站路由器覆盖的范围半径为500m, 相互之间相距1000m。设BR以及RAP之间的链路的时延为0.5ms, Internet内部和RAP的接入链路时延小于等于200ms, 无线链路为0.75ms, 代理广播消息的发布时间间隔为1s, 移动主机的注册生存域为3s。我们对基本移动IP (MIP) 、层次管理方案 (LMMIP) 和自适应主动预测邻居单播移动IP (AIPNUMIP) 3种切换机制进行仿真实验, 并对切换时延, 切换次数, 分组丢失和及转发时延和分组到达时间间隔进行比较分析。

2.1 切换时延

切换时延包括移动检测时延和从移动主机发送注册请求到接收到注册响应的注册时延。MIP和LMMIP采用相同的移动检测方法, 都有较大的检测时延。AIPNUMIP采用自适应的主动预测算法进行移动检测, 检测时延大大小于MIP和LMMIP的检测时延。注册时MIP需要通过家乡地址进行注册, 而LMMIP和AIPNUMIP通过RAP进行注册, 比MIP的注册时延小很多 (如图2) 。

2.2 切换次数

移动主机的速度为10m/s。当移动主机正常运动时, 两种切换机制进行切换的次数一致, 均为5次, MIP切换时间稍晚于AIPNUMIP。但是当移动主机在BR2和BR3子网边缘往复运动时, MIP频繁发生切换, 而AIPNUMIP在BR2和BR3进行切换了两次后, 便智能意识到移动主机的往复运动, 停止频繁切换, 大大减少了网络的负担 (如图3) 。

2.3 分组丢失与缓存

当切换时延大于分组到达间隔, 分组就开始丢失, 且分组丢失与切换时延成正比。对Internet内部和RAP接入链路不同时延, 各进行10次试验, 各切换机制的丢包数去平均值。如图4, MIP和LMMIP都存在比较大的丢包现象, AIPNIMIP丢包数平均为5。将AIPNUMIP缓存区设为8即可基本保证没有数据包丢失。

2.4 分组到时间间隔

对于实时业务来说, 分组到达的时间间隔是Qo S的保证。图5为分组到达时间间隔在移动主机发生切换时发生很大突变的情形, 而且分组的到达时间间隔最大值为53ms, AIPNUMIP可以很好的保证网络的QoS, 满足实时性要求, 其综合性能优于MIP和LMMIP。

3 结论

我们提出的基于移动IPv6自适应主动预测邻居单播切换机制能够主动预测移动主机的切换情况, 并根据网络情况和移动主机的运动情况以及发起注册动作的结果反馈动态调整算法;同时结合层次管理的方法, 减小注册时延, 采用预测邻居单播缓存转发分组, 避免了分组的丢失。我们对三种切换机制进行仿真实验, 并对切换的时延、切换的次数、分组丢失及转发时延和分组到达的时间间隔等参数比较分析, 得到结论:自适应主动预测邻居单播移动IPv6切换机制能够有效地减小切换时延和切换次数, 避免分组的丢失, 减小切换时分组到达的时间间隔, 提高了系统的切换性能, 保证了网络的QoS。

参考文献

[1]Kyungjoo Suh.Regional mobile IPv6mobility management.http://www.ietf.org/internet.internet-draft/draft-sulrrmnr00.txt.2002.

[2]Hesham Soliman, Claude Castelluccia, Karim EI-Malki, et al.Hierarchi-cal mobile IPv6mobility management (HMIPv6) [EB/OL].2003.

[3]Shim E, Wei H Y, Chang Y S, et al.Low Latency handoff for wire-less IP QoS with neighbor casting[A].IEEE International Confer-ence on Communications.New York.2002.

[4]Deering S, Hinden R.Internet Protocol.Version6 (IPv6) Specification.RFC2460[S].1998.

[5]孙利民, 阚志刚, 郑建平等.移动IP技术[M].北京:电子工业出版社.2003.