第二部分:关于IPv6的技术情况
两个标题的叙述
开始进行关于IPv6的一个深入的调查研究的一个很好的方法是将新的流形式的IPv6域名于现有的IPv4域名相比较。两种域名都带有版本号码和源/目的地址,但是如图6所示,IPv6域名相当简化,这使得通过路由节点的处理更加有效。然而,IPv4长度上的可变性更大一些,因为所有的IPv6域名都有一个40字节的固定长度的限制。这就允许路由器软件设计者沿着固定的边界来优化分列IPv6的域名。通过减少IPv6中被要求的域名区的数量,附加的处理效率可以实现。典型的IPv4域名包含14区,而IPv6只要求8个区。
首先要被丢弃的IPv4的组件之一是域名的长度范围,因为所有IPv6数据包的域名长度被固定,所以这方面明显地不再被要求。IPv4的整个长度用表观IPv6的净载长度范围来维持。但是这个范围不包括IPv6域名的长度在内,它的长度通常被假定为40字节。新的净载范围可适合长达64KB的数据包。甚至更大的被称为“jumbograms”的数据包,如果净载长度区域被设定为零,并且被加上了一个专有的扩充域名,那么它也能被IPv6路由器转发,如下面讨论的这样。
IPv4的数据包的存在时间范围可通过一个跃出的现场可改变的控制元件字面而被告知,在IPv6中是以跃出的限制范围的形式表示。尽管两者的名称不同,但是,两者均被路由器用来降低跃出值的,每一条首尾相连的路径的跃出,跃出值就渐次地从最大值开始降低,每次降低值为1。跃出限定范围由源节点设定一个合适的值。当跃出限定范围内的值被降低到零的时候,数据包就丢失了。IPV6的跃出计数区域可保存多达8位也就是255次从跃出值,这应当比在可预见的将来的最大的网络所要求的数值还要大。
图6|IPv4和IPv6的域名格式
|
|
除了域名长度范围,IPv4的许多基本的区域也从IPv6中清除出去了:服务类型,碎片抵销,确认,标志,核对和,以及域名长度。IPv4的服务类型区域的功能被转换成IPv6的两个新的区域:流控制和优先顺序。IPv4的有关分段的区域(抵销,确认,以及标志)在IPv6中变成了可选的域名,这在下一部分讨论。最后,IPv4的核对和区域在IPv6中被丢弃,因为这个协议库的其它水平的错误核对大量存在。这是假定坏的数据包被下面的层级所检查,如在链路层级,或者是被上面的层级所检查,如在传输或更高层级。
那些特殊的扩展域名
为了使IPv4数据包的域名有运送可选的与路由程序或主机应用程序有关的信息的灵活性,IPv4的域名包括了一个可选的区域。所有的IPv4数据包都带有这个很少被用到的区域,它是用来传输有关安全,源的路由,以及其它一些可选的参数的信息的。IPv4中的这个选项区域在IPv6中被灵活的扩展域名所代替,扩展域名的传送在主要的IPv6域名传送之后,而在传输域名和应用程序净载的传送之前。IPv6的扩展域名是一个可选项,并且它能提供一种强有力的方法来支持传输安全,分段整理,源路由,网络管理,以及其它一些功能。事实上,一个IPv6数据包可以在原域名和较高层级的净载之间带有任何数目的扩展域名。图7表示了有关保密和分段的域名在主IPv6域名之后,在Transmission Control Protocol(TCP)域名之前被传送。
图7|IPv6的扩展域名
|
|
IPv6的扩展域名结构代替了IPv4的选项区域Option域,并且也影响了协议类型区域,这个区域现在被用来指出在数据电报中的协议类型,例如,TCP或User Datagram Protocol(UDP)。IPv6在较次的扩展域名或净载域名(如,一个TCP/UDP域名或一个IPv6可选域名)中,用一个指出所运送的协议的较次的区域来代替协议类型区。
IPv6的标准组群已经定义了许多的域名,并且也已经为域名插入的顺序创建了建议式的(而不是命令式的)指导路线。
建议扩展域名顺序如下:
(主IPv6域名)
一跃一跃的选项域名
目的地选项域名-1
源路由域名
分段整理域名
鉴定域名
IPv6保密域名
目的地选项域名-2
(较高层级域名)
(净载)
除目的地域名之外,每一个扩展域名在一个给定的数据包中都仅仅只出现一次,如上面所示。
一跃一跃的选项域名当这个域名出现时,这个域名就会带有一些选项,而这些选项会被转发路径上的中间节点所检查。它必须紧跟在原IPv6域名之后。因为路径中的所有路由器都要读到这个域名,所以它可用来传送对路由器的管理信息或测试命令。一个现在被定义的一跃一跃的扩展域名的应用程序是Router Alert选项,它通知路由器说,在这个数据包被转发给下一个跃线之前,数据包应当被完全地处理了。这样的数据包的一个例子就是一个RSVP的资源保留信息。
目的地选项域名这个域名有两种不同的形式,每一个都在数据包中有其独特的位置。这个区域的第一个范围是用来运送信息到IPv6地址区域列表中的第一个目的地。这个域名也能被源路由域名地址区域的后来的目的地阅读到。这个区域的第二个范围是用来传送只被最终的目的地所阅读的可选信息。为了更有效地传送,第一个这种域名排列在域名链的前面,直接跟在一跃一跃的域名(如果有的话)之后。第二个这种域名被排列在扩展域名链的末端,因为它是传输和净载之前IPv6的最后一个可选域名。
源路由域名IPv6的路由扩展域名是现在的IPv4所支持的源路由功能的一个体现。这个可选的域名允许源节点指定一张IP地址的列表,在列表上指出数据包将被传送的路径。IETFRFC1883定义了这种路由域名的一个版本,被称为"Type0,"在每一个数据包的路径上,它都能给发送的节点大量的控制信息。Type0路由域名包含一个24-位的区域,该区域可指出中间节点怎样才能转发一个数据包给路由域名中的下一个地址。在这24-位区域中的每一位都指出下一个应答目的地址是否必须是与前一个地址相邻的地址(1=严格的,必须是相邻的地址,0=宽松的,不必是相邻的地址)。
当路由域名用于"严格的"转发时,数据包就只能访问路由域名列表中的路由器(参见图8)。进行"宽松的"转发时,数据包还能访问列表中没有的路由器。所以,如果路由器B和C被列为严格的地址但却又彼此不相连(也就是说,要从B到C,数据包必须经过一些其它的路由器),数据包就将被在路由器B处挂断。当安全保障和通信控制要求数据包经过一条被严格确定的路径时,这一性能就能发挥很大的作用。这个严格/宽松性能与路由域名的另一个区域一起发挥作用,那个区域包含了一个数值等于保留在源路径中的总数量的分节段。跃动每进行一次,这个"剩余的分节段"区域的数量就要有一些减少。
图8|源路由扩展域名
|
|
在Type0路由域名被使用时,原IPv6域名就在源路径中包含了第一个路由器的目的地地址,而不是最终的目的地地址。在每一次跃动时,中间节点都要用下一个路由节点的目的地地址来代替这个目的地地址,并且这个"剩余的分节段"区域就要减少了。
分段域名IPv4能够在路径中的任何一点对数据包进行分段,这取决于所利用的链路的传输能力。这个性能在IPv6中被丢弃,IPv6更喜欢采用首尾相连的分段/重装配这个功能,它只在IPv6的源节点和目的地节点上被执行。数据包的分段在IPv6的中间节点上是不允许进行的。这个分段区域的消除,在大多数不要求分段的情况下,能够使数据包的装配更合理,以及使路由器的表现更佳。今天的网络通常都能够支持运送典型的没有分段的IP数据包。在要求分段的时候,IPv6提供一个可选的扩展域名,这个域名可被源节点用来将数据包分成任意数量的较小单元。
IPv6的分段域名包含识别一个数据包的一组分节段并分配给它们序列号码的区域。因为IPv6路由器不在两端的节点之间对数据包进行分段,发送正确的规格的数据包就有源节点负责,源节点需要确定在这条首尾相连的路径中所有链路的Maximum Transmission Unit(MTU最大传输单元)。例如,如果两个带有4500-字节MTUs的FDDI网络被一个带有1500MTU的Ethernet连接,那么,源工作站发送的数据包就不能大于1500。
如果较高层级的应用程序正使用较大的净载,源节点就能利用IPv6的分段扩展域名来将大的数据包分成1500-字节的单元,以便网络的传输。IPv6的目的地节点将采用一种对较高层级的协议和应用程序透明的方式来重新装配这些分节段。执行分段的终端节点能够用MTU路径发现程序(例如,RFC1191,参见图9)。
来决定一条路径中的最小的MTU。典型地,使用这个技术,源节点可以发送出当地接口所能处理的最大的MTU的数据包。所提供的信息将包含一个数据包过大的指示器和被影响链路的MTU。然后,源节点根据信息向下调整(分段)数据包的大小规格,并重新传送另一个数据包。这个过程一直被重复到一个数据包全部蹋上了去目的地节点的路途为止。这个被发现的MTU随后被用于分段。尽管基于源的分段在IPv6中被完全支持,我们还是推荐用网络应用程序来调整数据包的规格以适合路径中的最小的MTU。这将可以避免在源节点和目的地节点上与分段/重装配有关的开销。
图9|MTU的发现过程s
|
|
鉴定域名现有的对被标准化的网络-层级安全方案的缺乏是IPv4Internet最引人注目的不足之一。经常出版的有关电脑黑客诳骗服务器和窥探数据流的报告成了对某些危险的经常性的提醒,这些危险可能是针对基于IP的组织网络。这个IPv6标准根据这种情形,采用了两个重要的扩展域名,一个用于安全的目的,能鉴定IP通信,而另一个则用于完全地或部分地保密IP数据包。在IP水平上,安全措施的执行除了对那些不能清楚地充分利用安全性能的"无视安全"的应用程序有益外,对那些"注意安全"的应用程序也有益。
IPv6的鉴定扩展域名能给网络应用程序一个数据包确实来自于一个可靠的源节点的保证。这就有力地反对了当前渐增地发生的电脑黑客配置IP主机来伪装真正的同类,以获得访问保密的资源的能力的这类情况的发生。那种窥探可被用来获得有价值的金融和组织的数据,并且可以让企业的服务器控制之外的个人达到他罪恶的目的。采用IPv6的鉴定域名,主机会建立一个基于标准的安全协会,这个协会是以交换独立的运算法则的秘密线索(例如,MD5)为基础的。
例如,在一个客户机/服务器部分,客户机和服务器两者都需要了解这个线索。在每一个数据包被发送之前,IPv6的鉴定域名在结合数据包的全部内容的线索的基础上创建一个核对和。然后这个核对和就被在接收边重复允许和比较。这个方法提供了发送者的鉴定和数据包中的数据不会被一个插入部分所改变的保证。鉴定可以发生在客户机和服务器之间,或者是客户机和组织骨干网上的多个客户机之间。它也可以在远程工作站和组织拨入服务器之间被用来保证组织安全的周界不被破坏。
IPv6的保密域名鉴定域名消除了大量的主机窥探和数据包改动行为,但是,当数据包在Internet和组织骨干网络上被传输的时候,它们不能阻止对数据包中的内容进行非破坏性的阅读(嗅探,窥探)。这方面的问题被IPv6的Encapsulating Security Payload(ESP装入安全净载)服务------另一个可选的控制域名解决了。被ESP保密技术保护的数据包能够用于很高水平的保密性和完整性------除非使用特定的安全保证应用程序(例如,保密的电子邮件和安全的HTTP Web服务器),这种功能还不能用现有的Internet来广泛获得。ESP提供网络层级的保密,这使得它能够应用于高度标准化的形态中的所有应用程序。
IPv6ESP被用来保密传输层级的域名和净载(例如,TCP,UDP),或者是整个的IP数据报。这两种方法都用一个运送首尾相连的保密参数和线索的ESP扩展域名来完成。当传输净载要被保密时,这个ESP域名在数据包中就被直接插在TCP或其它传输域名之前。在这种情况下,位于ESP域名之前的域名不被保密,而在ESP域名之后的域名和净载则被保密。这就是被称为"传输模式"的保密。如果想用它来保密整个的IP数据报,一种新的IPv6ESP域名能包括数据包的所有区域(包括原地址在内)。完全的数据报保密有时被称为"通道模式"保密,因为数据报的内容只在安全通道的端点才能看见(参见图10)。
图10|IPv6保密的通道模式和传输模式
|
|
被完全保密的数据报在某些情况下比传输模式的保密更安全,因为被完全保密的数据包的域名不能被通信分析装置所获得。
例如,完全通道模式保密允许在IPv6源路由域名中保护的地址,从用于路径的公用部分的嗅探装置中隐藏起来。对完全保密有一种相当可观的处罚,因为总的开销和添加一个额外的IPv6域名给每一个数据报的处理费用都很多。尽管它的费用高昂,完全的ESP保密对在两个远程节点的防火墙之间创建一条安全通道(钢管)还是特别有用(参见图11)。在通道中完全的数据报保密保证了被保密的数据包的不同的域名和地址区域,在通信被公用的Internet传送时将不被看见。一旦穿过了通道并安全地进入到防火墙之内,这个引导的ESP域名就被拆开,数据包重又变得可以看见,当然包括完成路径所需要的任何路由域名在内。
图11|防火墙和钢管
|
|
IPv6的保密和鉴定服务手拉着手般地发挥作用,以用来建立起一种灵活而有力的安全保障解决方案。在某些情况下,一个鉴定域名将在一个被完全保密或部分保密的数据报中被运送,但它仍可提供一个数据完整的额外层级和发送者的鉴定域名的核对功能。在另一些情况下,鉴定域名被放置在数据包的被保密的传输模式部分的前部。当在接收端的鉴定发生在解保密之前时,在很多情况下这是一个合乎逻辑的顺序,人们就会想要这样一种方法。总而言之,IPv6的鉴定和保密服务提供了一种健康的,基于标准的安全保障机制,这将在基于IP的网络结构上的连续的贸易扩张和组织操作中扮演重要的角色。