版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
《计算机网络》IPV6华南师范大学物理与电信工程学院第4部分IPv6分组及协议机制4.1IPv6分组格式4.2IPv6分组扩展首部使用的TLV可选项4.3跳到跳(Hop-by-Hop)选项扩展首部4.4源路由选择扩展首部4.5分片扩展首部4.6目的选项扩展首部4.7IPv6的安全体系IPsec—两个扩展首部4.8IPv4分组与IPv6分组首部的比较4.9IPv6下的域名系统DNS扩展4.1IPv6分组格式4.1.1IPv6分组首部4.1.2IPv6分组的扩展首部4.1.1IPv6分组首部20~60字节最长65535字节IPv4PacketDataUnitIPv4首部DataField定长40字节0ormoreTransport-levelPDUIPv6首部ExtensionHeaderExtensionHeaderIPv6PacketDataUnit最长65535字节有效载荷IPv6首部格式RFC2460描述的IPv6首部(40B):031VersionTrafficClassFlowLabelPayloadLengthNextHeaderHopLimit128bitSourceAddress128bitDestinationAddress4122416版本号业务类型流标签有效载荷长度下一首部跳数限制源地址目的地址IPv6首部字段含义Version(4bits):6forIPv6TrafficClass(8bits)≌typeofservices
inIPv4FlowLabel(20bits):支持资源预留。流是互联网上从特定源到特定目的的一系列分组(如实时音频视频),路径上的路由器都保证指明的服务质量。源通过label标示出相应的一系列分组。PayloadLength(16bits):除去首部外的总长度。指明IPv6数据报除首部以外的字节数(所有扩展首部都算在有效载荷之内),其最大值是64KB。IPv6首部字段含义IPv6首部字段含义HopLimit(8bits)≌TTLinIPv4。路由器在转发数据报时将跳数限制的值减1。当值减为0时,就要将此数据报丢弃。源地址(sourceaddress),128位。标识发送分组的节点的IPv6地址。目的地址(destinationaddress),128位。标识接收分组的节点的IPv6地址。4.1.2IPv6分组的扩展首部扩展首部及下一个首部字段IPv6将原来IPv4首部中选项的功能都放在扩展首部中,留给路径两端的源站和目的站的主机来处理。数据报途中经过的路由器都不处理这些扩展首部(只有一个首部例外,即逐跳选项扩展首部)。这样就大大提高了路由器的处理效率。4.1.2IPv6扩展首部在[RFC2460]中定义了六种扩展首部报文中各种扩展首部的出现顺序原则:在报文传送途中各个路由器需要处理的扩展首部出现在报文的前面只需要在目的节点处理的扩展首部放置在后面,从而提高路由器的处理效率.扩展首部在IPV6分组中的顺序IPv6首部逐跳选项首部(Hop-by-HopOptionsHeader),数字标识为0目的选项首部(DestinationOptionsHeader),数字标识为60源路由选择首部(RoutingHeader),数字标识为43分片首部(FragmentHeader),数字标识为44认证首部(AH:AuthenticationHeader),数字标识为51封装安全载荷首部,数字标识为50(ESP:EncapsulatingSecurityPayloadHeader)目的选项首部(DestinationOptionsHeader),数字标识为60上层协议首部唯一一个可出现两次的首部IPv6的扩展首部首部下一个首部=TCP/UDP首部下一个首部=路由选择源路由选择首部下一个首部=分片分片首部下一个首部=TCP/UDPTCP/UDP首部和数据(TCP/UDP报文段)有效载荷有效载荷TCP/UDP首部和数据(TCP/UDP报文段)无扩展首部有扩展首部扩展首部的“链”版本号(4位)流标识(20位)传输类别(8位)载荷长度(16位)下一首部(8位)跳数极限(8位)源地址(128位)031131下一首部首部长度下一首部首部长度……第一个扩展首部第二个扩展首部其它扩展首部或数据部分目的地址(128位)4.2IPv6分组扩展首部使用的
TLV可选项允许通过跳到跳选项扩展首部和目的选项扩展首部来建立新的选项。使用选项首部扩展,很容易地实现新的选项功能。4.2.1TLV可选项及格式4.2.2TLV可选项的对齐表示4.2.3设计新的TLV可选项4.2.1TLV可选项及格式三元组格式包含三个字段,简称为TLV可选项(Type-Length-Value)。选项类型T(optiontype):8位标识符,指明选项的类型。即使目的节点不能够识别选项,也可以由该字段的前3位编码翻译出选项的类型。选项数据长度L(optiondatalenth):8位整数,以字节为单位表示选项数据字段的长度。该字段最大值为255。选项数据Value(optiondata):包含选项特定的数据,其长度不定,最大长度为255字节。该字段又可以划分为多个子字段。
选项类型选项类型(optiontype):8比特的类型标志符。高2位:表示对节点不能识别选项时的处理方法(看下页);第3位C(changeen-route):指示选项值在传输路径上是否能够改变。当C置“1”时,可以变化,计算校验和时要去掉这种选项;当C为“0”时,不能改变。从第4位到第8位:5位,是选项类型的编号。操作(2位)C(1位)类型(5位)源用高2位规定类型节点不能识别这些TLV选项时的处理方式。高2位处理动作00对该选项不予理睬,可以根据“选项数据长度”指示的长度跳过选项域,继续处理下一选项。01抛弃此IP分组,不再进行任何处理,也不回送ICMPv6报文。10抛弃此分组,向源回送ICMPv6差错报文(即使目的地址是多播地址也回送ICMPv6报文)11抛弃此IP分组,只要目的地址不是多播地址就向源回送ICMPv6差错报文。4.2.2TLV可选项的对齐表示RFC1883中定义了两个填充选项,用于确保扩展首部字段符合边界要求。“xn+y”表示对TLV可选项的对齐要求,指明该TLV可选项在扩展首部的位置,即处于距离它所在的扩展首部开始处“x字节的整数倍加上y字节”的位置上。也就是说,“选项类型”字段(不是选项数据)的位置应该是距离扩展首部x的整数倍加y字节处,其中,y是偏移量。1.pad1填充选项pad1填充选项无对齐要求,它是TLV可选项的一个特例。它没有选项数据长度字段和选项数据字段,仅仅包含一个字节长的类型字段,类型字段的值=0。pad1填充选项用于在扩展首部中填充一个字节。当需要填充多个字节来保证TLV可选项的对齐时,应该使用padN填充选项。2.padN填充选项padN填充选项能够填充任意字节。如果扩展首部需要N字节填充,则选项数据长度字段值为N-2,即选项数据字段占N-2个字节,全部置为0。再加上1字节的选项类型字段和1字节的选项数据长度字段,一共填充了N字节。4.2.3设计新的TLV可选项一个TLV可选项的设计思想:位于TLV可选项数据字段中的各个多字节子字段,应该在分组的自然边界上对齐。n字节子字段应该放置在距离扩展首部的开始处n的整数倍字节偏移的位置上,其中n=1,2,4或8。在遵循扩展首部长度为8的整数倍字节的前提下,跳到跳扩展首部和目的选项扩展首部占有尽可能少的空间。当一个扩展首部需要携带TLV可选项时,选项的数目应该尽可能少,通常限制在一个。TLV可选项的选项数据的对齐要求由短到长排列各个子字段子字段之间不能存在间隙根据最长子字段的对齐要求,来确定整个TLV可选项的对齐要求TLV可选项X例如,假设一个TLV可选项X要求有两个选项数据子字段,一个数据子字段长8字节,另一个数据子字段长4字节,则TLV可选项X的布局如图所示。可选项数据长度=12可选项类型=X携带TLV可选项X的扩展首部8字节的子字段要求落在从扩展首部开始的8的整数倍字节偏移处,所以整个TLV可选项的对齐要求为8n+2。在一个完整的跳到跳扩展首部或目的选项扩展首部中,TLV可选项X的位置如图所示。TLV可选项Y假设TLV可选项Y有三个选项数据子字段:一个数据子字段的长度为4字节一个数据子字段的长度为2字节一个数据子字段长1字节可选项类型=Y携带TLV可选项Y的扩展首部为什么加入Pad1可选项为什么加入PadN可选项?同时携带有TLV可选项X和Y,且可选项X在前的扩展首部结构同时携带有TLV可选项X和Y,且可选项Y在前的扩展首部结构4.3Hop-by-Hop选项扩展首部逐跳选项作用:携带在一个报文的传送途中的所有节点都必须检查处理的信息。逐跳选项只有在绝对必要的时候才会出现。逐跳选项格式:下一首部:8位无符号数,标识跟在该首部后面的下一首部。扩展首部长度:8位无符号整型数,以8字节为单位的扩展首部长度,不包括前8个字节。整个扩展首部的长度必须为8字节的整数倍。巨型载荷TLV可选项在跳到跳选项扩展首部中,除了pad1和padN之外,还定义了类型为194的巨型载荷TLV可选项。此选项打破了IPv6首部对载荷长度的限制。有效载荷大于65535字节的IP分组可使用特大载荷选项。这种分组的首部的有效载荷长度被置成“0”,在巨型载荷选项字段中置入载荷长度,即除40字节首部之外的IP分组的大小。包含巨型载荷选项的跳到跳扩展首部格式巨型载荷选项的选项数据长度字段为4字节,因此有效载荷长度最多可以为232-1个字节,超过了40亿字节(4,294,967,295字节)。IP设计者认为这一长度足够用了,如果长度还不够,只须追加其它选项。4.4源路由选择扩展首部源路由选择扩展首部用于指明在到达目的节点前报文必须经过的路由节点,其功能类似于IPv4中的松散源路由选择选项。IPv6中定义了路由类型为0和2的源路由选择扩展首部,本节介绍类型0。路由类型为2的源路由选择扩展首部,支持移动IPv6。路由类型为0源路由选择扩展首部格式还需要的路由跳数n最大为23字段的意义下一首部,8比特字段。含义与IPv6首部中的下一首部字段相同。扩展首部长度,8比特的无符号整数,表示该扩展首部的长度,8字节为单位。长度不包括前8字节。路由类型,8比特字段。表示所使用的源路由选择扩展首部的类型。剩余路由段数,8比特无符号整数。取值从0开始,最大为23。表示扩展首部中路由器的地址个数,这些路由器是在到达最终目的地的传送途中,所必须经过的节点数目。字段的意义(续)保留字段(reserved):32比特,置为全0,用于未来。可以使整个分组的长度为8的整数倍字节。地址向量表字段,可变长,其格式由路由类型决定。其长度应该保证整个源路由选择扩展首部的长度是8字节的整数倍。在路由类型为0的源路由选择扩展首部中,有n个IPv6地址组成的地址向量表,给出了IPv6分组需要经历的中间路由器的IPv6地址。n的最大值为23。路由类型为0的源路由选择扩展首部的操作过程由源节点构造地址向量表和类型为0的源路由选择扩展首部。源节点发送分组时,将首部的目的地址字段,设置为地址向量表中的第一个地址。该分组一直被转发,直到到达第一个节点,即目的地址指定的节点。只有该路由器才检查源路由选择扩展首部,沿途的该路由器之前的路由器都忽略源路由选择扩展首部。操作过程(续)在指定的节点中,路由器检查剩余路由段数,以确保其与地址向量表一致。若剩余路由段数的值等于0,则表示此节点是最终目的地,节点将继续对分组的其它部分进行处理。假定此节点不是最终目的地,它将从地址向量表中按序取出下一个地址,填入目的地址字段。节点将剩余路由段数减1。将分组发往下一节点。地址向量表中的其它节点重复此过程,直到分组到达最终目的地。一个例子:分析携带有0类型的源路由选择扩展首部的IPv6分组,从S到D的传输过程传输过程中首部和源路由扩展首部的变化情况SI1I2I3D可见,传输过程中,IPv6首部中的目的地址和地址向量表中的地址进行交换。IPv6源路由扩展首部与IPv4源路由选项区别:节点对IP分组的处理效率不同。IPv6分组传输途中,路由器仅在其IP地址与目的地址字段中的地址一致时,才加以处理;IPv4源路由选项嵌在首部中,虽然是一个可选项,但每个路由器都需要检查这个选项。4.5分片扩展首部作用:源节点传送的分组长度大于源到目的节点之间的链路的最大传输单元MTU时使用。IPv6与IPv4在分片机制上的本质区别:在IPv6中,路由器不负责对过长分组的拆分;对分组的拆分工作由发送分组的源节点完成。为保证分片与路径最大传输单元匹配,IPv6源节点必须知道路径的MTU。路径MTU发现技术。分片扩展首部(8字节)格式分片偏移(fragmentoffset)的功能与IPv4的偏移量类似。分片偏移以64比特(8字节)为单位,它指出该分片的起始字节在原分组中的位置。IPv6应将除最后一个分片之外,所有分片分割成8字节整数倍大小的数据块。M(Morefragment)比特在最后的分片中置成“0”,在其余的分片中置成“1”。标识(Identifier)与IPv4标识符的作用相同,但不是16比特而是32比特。标识由发送节点赋值,它应能在一定时段内唯一标识该分片所属的原分组。发送方对发往同一目的地的待拆分IP分组分别选取不同的标识,接收方利用此值识别并重组分片所属的原IP分组。分组的可分片和不可分片部分不可分片部分:IPv6首部,以及必须由路径的中间节点处理的扩展首部(所有源路由选择首部以前的扩展首部)。Hop-by-Hop选项首部(如果存在的话)源路由选择扩展首部。可分片部分:由分组的目的节点处理的扩展首部上层协议数据包。原分组原分组分片IPv6分片例子假设一个有效载荷为2902字节的原IPv6分组,没有扩展首部,需要通过以太网MTU=(1500B)传送。必须对该IPv6分组进行分片,分多少分片?虽然2902<3000B,但仍需分成3个分片。第1个分片的大小不能是1500B,只能是1496B(8B整数倍),其中有效载荷仅占1456B。有效载荷中分片扩展首部本身占8B,所以数据部分只有1448B。第2个分片的数据部分也是1448B。第3个分片中只包含剩余的6B。举例:6,TCP报文段44,分片扩展首部第1个分片第2个分片第3个分片分片扩展首部分片扩展首部首部1448/8=1812902/2=1448+6,划分3个分片目的端分片重组时应遵循以下原则只有源地址、目的地址及标识均相同的分片才能重组,从而恢复成原IPv6分组重组后的不可分片部分,由第1个分片的分片首部前面的所有首部(不含分片首部)组成,做两处修改:不可分片部分首部或最后一个扩展首部中的“下一个首部”字段值:从第1个分片的分片首部的“下一个首部”字段得到(例如6)。重新计算有效载荷长度:由不可分片部分的长度、最后一个分片的长度,以及偏移量计算出。分片重组从第1个分片首部的“下一个首部”字段,得到不可分片部分首部或最后一个扩展首部中的“下一个首部”字段值。重新计算“有效载荷长度”第1个分片的有效载荷长度重组分组的有效载荷长度计算第1个分片的有效载荷长度PL.first8字节第1个分片的分片长度FL.first?重组分组重组分组的有效载荷长度PL.orig=不可分部分的扩展首部长度+所有分片长度最后一个分片的分片长度FL.last必须由路径中的节点处理的扩展首部IPv6首部最后一个分片中分片首部的分片偏移量值FO.last重组包的有效载荷长度计算公式PL.orig=重组包的有效载荷长度字段。PL.first=第一个分片的有效载荷长度。FL.first=第一个分片中分片首部后面的分片长度。FO.last=最后一个分片中分片首部的分片偏移量值。FL.last=最后一个分片中分片首部后面的分片长度。PL.orig=PL.first-FL.first-8(分片扩展首部长度)必须由路径中的节点处理的扩展首部,即第一个分片中不可分部分的扩展首部+(8*FO.last)+FL.last分片长度总和最终重组后的包不含分片首部。目的端分片重组时应遵循以下原则在第一个分片到达目的端之后的60秒之内,如果检测到仍然有同类分片尚未到达,那么分片重组应强制取消,所有已经收到的分片(尽管它们是有效分片)必须抛弃,并且采取相应的措施通知源端。当接收到Morefragment值为1,但载荷长度不是8的整数倍的分片,则丢弃该分片,并用ICMPv6报文通知源端分片长度出错。如果接收端重组时发现重组的IP分组的有效载荷长度超过65535字节,则某分片的偏移量必然出错,分组被丢弃,目的端发送ICMPv6报文通知源端分片偏移量出错。关于MTU的说明IPv6要求因特网上所有链路的最大传输单元(MTU)至少为1280字节;对于有能力对MTU进行配置的链路,协议建议这些链路最好能将MTU配置到1500字节以上。协议强烈推荐IPv6节点使用MTU发现技术。4.6目的选项扩展首部目的选项首部用于携带只需由分组的目的节点检测的可选信息。目的选项首部具有如下格式:选项即是TLV可选项,可变长度,其长度须使整个目的地址选项首部的长度为8B的整数倍。4.7IPv6的安全体系IPsec
—两个扩展首部4.7.1计算机网络安全简介4.7.2安全关联SA4.7.3IPsec的认证机制 4.7.4IPsec的加密机制4.7.5AH和ESP保护区域的差别4.7IPv6的安全体系IPsec
—两个扩展首部:AH和ESPIPv6引入全新的IP层安全机制—IPsec。IPsec能用于IPv4和IPv6,但是在IPv6中得到了更好的实现。它为IP用户在IP层提供网络安全性。主要提供了两种网络安全机制:认证头(AH):提供了数据完整性保障和身份认证;加密头(ESP):提供了IP分组的数据加密。两种机制可以分开单独使用,也可以合在一起。IPsec没有定义自己的密钥管理机制,希望用户利用已有的密钥管理机制来实现密钥的分发与管理。两种安全模式隧道模式(tunnelmode)是把整个原IP分组都封装在新的IP分组中,然后,根据新IP分组的首部进行分组的传送。传输模式(transportmode)只封装IP分组的数据字段(例如,IP分组中所包含的TCP报文段和UDP数据报),然后,根据原IP分组的首部进行分组的传送。4.7.1计算机网络安全简介计算机网络安全包括:保密性(confidentiality):只有授权的访问者才能够访问系统中的信息,未被授权的访问者或者被禁止接触这些信息,或者即使接触到这些信息也不能获知它们的真实含义。真实性(reality):确认消息的真实来源。完整性(integrity):信息只能被授权用户修改,即使非授权用户以某种方式修改了信息,也能被合法用户发现。可用性(availability):在需要时,计算机资源对授权用户应该是可用的。四种攻击方式4种攻击方式:保密性攻击、真实性攻击、完整性攻击和可用性攻击。保密性攻击:窃听。攻击者通过某种手段,监听到从某个信息源发往某个信息目的地的全部或部分信息。防范措施:对物理设备进行妥善的管理、加密。真实性攻击:身份伪造。例如,有的攻击者利用某种手段冒充用户A的身份,向用户B发送e_mail;有的攻击者伪造用户A的IP地址向网络发送IP分组等等。防止身份伪造的主要措施是身份认证。四种攻击方式(续)完整性攻击:攻击者可以截获发送方发送的信息,然后对这些信息做篡改后,再发送给接收方。可用性攻击:DoS。这是一种近年来比较流行的一种网络攻击手段。例如,一些攻击者利用TCP中的三次握手,与被攻击者的服务器建立大量的半连接,达到消耗服务器的资源,使合法用户无法与服务器建立正常连接的目的。4.7.2安全关联SA安全关联(SecurityAssociation,SA)。SA对发送方和接收方所使用的加密/认证算法、加密/认证模式、加密/认证密钥、对密钥和组合整体的时间限制,以及对受保护数据的密级做出规定。接收方仅当拥有与到达的IP分组相符合的SA时,才能对这些IP分组进行认证和解密。因为每台计算机上可能保存有很多个SA,每个SA可以通过一个“安全参数索引(SecurityParameterIndex,SPI)”来查找。给定目的主机的IP地址和SPI,发送方确定SA中的安全参数为IP分组加密;接收方根据收到的分组中的SPI和源IP地址,确定使用SA中的安全参数为分组解密。4.7.3IPsec的认证机制原理:IPv6分组有一个认证AH扩展首部,用于认证IPv6分组,保障数据的完整性和身份认证。发送IPv6分组前,发送方用认证密钥对IP分组做计算,计算的认证信息存放在AH中,发送到接收方。接收方用自己保存的认证密钥对接收到的IPv6分组做相同的计算。若结果与AH中的认证信息相同,可证明没被人篡改(否则不会相等),也不是其他人伪造(伪造者不知道密码,不可能会生成正确的认证信息)。含有AH的IPv6分组形式示例上层协议AHIPv6首部1、认证扩展首部AH格式认证数据长度:8位,4字节为单位(值:0~255)保留:16位,必须置为0SPI:32位。指定所使用的安全关联的伪随机数。与目的IP地址及安全协议相结合,能唯一确定该报文的安全组合。若SPI=0,表明没有安全关联与该IPv6分组相对应。下一首部认证数据长度保留=0SPI(SecurityParametersIndex)序号认证数据(变长)认证扩展首部AH格式(续)序号:32比特,单调递增无符号计数值,用于防止重发攻击(anti-replayattack)。必须唯一,必须携带(由接收方决定是否使用),不能循环。认证数据:长度可变。包含该IP分组的完整性检查值(ICV:IntegrityCheckValue)。该域的长度必须是32比特的整数倍,可以包含填充域。是利用协商的密钥对数据载荷和IPv6首部,按照某种认证算法进行计算而得到的认证信息。2、认证数据的计算默认的认证算法——MD5(MessageDigest5)。每一个支持IPv6的系统都必须实现MD5算法。RFC1321给出了用C语音编写的MD5算法的实用软件。但是,IPsec并没有把认证算法限定为MD5,通信双方如达成共识,用户也可以把其他认证算法加入到IPsec中,用它们来实现IP分组的认证。认证首部的设计,保证了IP分组在传输过程中不被篡改,从而维护整个IP分组的完整性。认证数据的计算(续)IPv6分组中的某些字段在是变化的:每通过一个节点,IPv6首部中的跳数限制域HL的值减1;源路由选择扩展首部,在不同的链路上,IPv6首部中的目的地址和源路由选择扩展首部的地址向量表中的地址进行交换,并对剩余路由段数减1;在Hop-by-Hop选项扩展首部,若设置了在传输路径上可以改变选项数据的变更比特C时,在传输过程中选项数据就有可能改变。认证数据的计算(续)因此,发送方在计算认证数据之前,应生成与上述传输中变化无关的特殊消息,具体地说:⑴将IPv6首部中的跳数限制置“0”;⑵如使用源路由选择扩展首部,在IPv6首部的目的地址中置入最终的目的地址,源路由选择扩展首部设置成与接收方接收时相同的值,剩余路由段数置成“0”;⑶C比特的选项不作为校验和的对象,这类选项值全部填“0”。3.两种不同模式下的AH的认证范围AH可以在传输模式或隧道模式下使用。IPv6中的AH扩展首部必须置于由中间路由器处理的扩展首部之后,以及只能由目的节点处理的扩展首部之前。即,AH应该置于跳到跳选项扩展首部、源路由选项扩展首部或分片扩展首部之后。根据不同情况,AH扩展首部可以在目的选项扩展首部之前,也可在其后。传输模式没有增加AH之前的原IPv6分组的结构在传输模式中,当计算和增加AH时,IP分组的变化情况。目的选项扩展首部也可以置于AH之前。对于目的IP地址和扩展首部,仅在跳到跳转发它们时不发生变化的情况下,才能得到保护。被认证的信息(不包括传输过程中变化的字段)隧道模式当AH用于隧道模式中时,使用方法与传输模式不同。整个原IP分组被封装在新IP分组中。隧道模式下的AH,既保护新IP分组首部字段,也保护原IP首部的某些字段,即在传输过程中保持不变的字段。被认证的信息(不包括传输过程中改变的字段)原IP分组4.7.4IPsec的加密机制原理:IPsec加密数据放置在ESP中来实现IP分组的加密传送。根据用户的要求,IPsec既可以只加密IP分组中的某些部分,也可以对整个IP分组全部加密。两种加密模式:隧道模式和传输模式。隧道模式:整个IP分组都封装在ESP的加密数据域中;传输模式:只封装IP分组的数据域。IPsec的默认加密算法——DES-CBC含有ESP的IP分组将SPI和序号设计成明文,其它部分设计成密文。IP首部加密后的数据ESP首部其它扩展首部明文密文IP首部TCP首部TCP数据区ESP首部ESP尾部ESP认证数据AH首部……AH认证保护区ESP加密保护区ESP认证保护区AH和ESP保护区域的差别1.ESP加密扩展首部格式下一首部填充长度填充0-255字节SPI(32位)序号(32位)有效载荷(上层数据)ESP认证数据
(可选,可变长,32比特的整数倍)
加密范围认证范围ESP尾部ESP首部ESP有效载荷ESP加密扩展首部格式(续)安全参数索引(SPI:SecurityParametersIndex):作用与AH首部的SPI相同。由于SPI被用来指定加密算法和密钥,所以SPI不被加密。如果SPI被加密,接收方就无法确定SA。序号:作用与AH相同,也不被加密。因为序号用于抵抗重播的攻击,在解密前就能判断出一个包是否重复,从而节省为解密花费的CPU开销。有效载荷(PayloadData):长度为任意字节。在该字段中存放了上层协议数据或者被保护的IPv6分组(隧道模式)。ESP加密扩展首部格式(续)填充(Padding):填充字段主要有三个作用:如果算法要求明文为某些字节的整数倍,填充字段用于扩展明文直到需要的长度;ESP要求密文必须是32比特的整数倍,填充字段用于保证对齐;通过填充来隐藏有效载荷的真实长度,从而提供部分的通信流量机密性。该字段被加密。填充长度(PaddingLength):表示填充字节的长度,接收方利用它来恢复有效载荷的真实长度。该字段被加密。ESP加密扩展首部格式(续)下一首部:作用与AH相同。该字段被加密。认证数据:在该字段中存放根据ESP分组(不包含认证数据本身)算出的认证用的完整性检查值(ICV:IntegrityCheckValue)。长度可变,根据所用的算法而异。如果该安全关联SA没有选择认证功能,则没有该字段。ESP首部的加密和认证功能都是可选择的ESP首部将有效载荷、填充字段、填充长度字段以及下一个首部字段加密后,将密文与其他部分重新组成IPv6分组进行发送。ESP首部的加密功能和认证功能都是可选择的,ESP首部协议定义了零加密和零认证方式,即可以只选择加密功能或者只选择认证功能,但是不能同时选择零加密和零认证方式,加密和认证功能二者至少选择其一。同时进行加密和认证时,先加密,后认证。2.加密数据的计算IPsec中一般使用DES-CBC作为默认的加密算法。DES-CBC是对称的分组密码算法,使用共享密钥,分组长度为64比特。CBC模式下的DES需要有一个外在的初始化向量(IV:InitializationVector)。IV必须是随机选择的一个随机数,字长8字节(64比特)。IV紧随ESP首部之后,直接位于受保护有效载荷的前面。IV以明文传输,以便接收时初始化CBC模式的初始化向量。DES-CBC下的ESP首部格式安全参数索引(32)序列号(32)ESP认证数据(可选,可变长,32比特的整数倍)被加密的有效载荷(可变长)
填充(可变长)
下一首部(8)填充长度(8)ESP首部ESP有效载荷ESP尾部ESP认证数据初始化向量IV(64)(明文)3.两种不同模式下的ESP的加密范围ESP使用传输和隧道两种加密模式。传输模式只封装IP分组的数据字段(例如,IP分组中所包含的TCP报文段和UDP数据报)。隧道模式是把整个IP分组都封装在ESP的加密数据字段中。无论哪种模式,IPsec都要在发送IP分组前,计算好ESP的各个字段。在收到分组后,再恢复出原分组。传输模式下的ESP在传输模式下,ESP首部插入在IP首部之后(如果有其它扩展首部的话,可以插在任意一个扩展首部的后面)。ESP不对IP分组首部加密。若对IP分组首部进行加密,路由器将不能识别IP分组首部。ESP首部的SPI字段和SN字段,以明文方式存在,以保证到达的分组可以按照所属的安全关联分类。这可以保护分组免遭未授权复制。加密部分被认证的信息隧道模式下的ESP在隧道模式下,ESP首部加在原IP分组前面,并在ESP首部的前面增加了一个新IP首部。原IP分组能够被ESP保护。新IP分组的首部不受保护。加密部分被认证的信息4.7.5AH和ESP保护区域的差别AH可保障数据的完整性,以及防止相同分组的不断重放。ESP除了AH的所有功能外,还可以选择保障数据的机密性。AH和ESP对数据的认证范围不同。AH能够对IP首部的所有部分进行认证,而ESP只是对部分信息进行认证。ESP加密保护区ESP认证保护区AH认证保护区4.8IPv4分组与IPv6分组首部的比较4.8.1简化的首部4.8.2修改的字段4.8.3新导入的字段4.8IPv4分组与IPv6分组首部的比较IPv6首部的结构简单。IPv4--12个固定长度字段和若干个选项,IPv6中只有8个字段。在以太网上传送IPv6分组时,以太网的帧类型是0x86DD。在以太网上传送IPv4分组时,以太网的帧类型是0x8000。IPv4的首部长度、服务类型、标识符、标志、分片偏移量和首部校验和这6个字段被删除。总长度、协议类型和生存时间这3个字段的名称和部分功能进行了修改,选项→扩展首部。新增加了两个字段:传输类别和流标识字段。IPv4首部格式:最少20字节、12个字段031VerIHLTotalLengthIdentifierFlagsFragmentOffset32bitSourceAddress32bitDestinationAddress482416ServiceTypeOptionsandPaddingTimetoLiveHeaderChecksumProtocol移走的修改的IPv6与IPv4首部格式比较4.9IPv6下的域名系统DNS扩展4.9.1新的资源记录类型4.9.2逆向指针资源记录4.9.3对查询过程的修改4.9IPv6下的域名系统DNS扩展新的DNS系统主要做了3点修改:定义了两个新的资源记录类型AAAA和A6,它可以将一个域名映射到一个IPv6地址上。IPv4资源记录使用A类记录类型。定义了两个新的域和
,它支持逆向域名解析,即由IPv6地址映射为域名。IPv4地址也有类似的类型,即.。重定义了支持附加信息的查询过程,使之不仅能定位或处理IPv4地址,同样也能处理IPv4和IPv6地址共存的情况。IPv6域名系统的扩展为了域名系统实现域名到IPv6地址的正向解析,域名系统中增加了两种新的资源记录类型:“AAAA”和“A6”。AAAA资源记录是在IPv6协议出现的早期,为实现域名到IPv6地址的正向解析而提出的一种资源记录,它只是对原A资源记录的一种简单扩展,因此不具有对IPv6的多层次地址结构特性的支持,以后会逐步被淘汰。A6在RFC2874中定义,是一种能比AAAA更好地实现域名到IPv6地址映射的资源记录类型。对使用A6资源记录的域名进行查询时,将得到一个或多个完整的A6记录链。每个记录链都以给定域名的记录开始,并包括那个记录中前缀名字对应的记录,递归地以前缀长度为0的A6记录结束。域名系统中增加了两个新域为了使目前的域名系统能正确实现IPv6地址到域名的反向解析,域名系统中增加了两个新域:和。它们与正向解析中的资源记录AAAA和A6相对应。在域中,采用了一种称为半位元(nibble)的标记类型来表示一个IPv6地址,并以.作为其后缀;在域中,采用了一种称为“位串标记”(bit-stringlabel)的标记类型。这种标记表示为一种专用的位串。位串中的x表示为16进制。在“[”和“]”之间,包含有若干个有序的16进制数。4.9.1新的资源记录类型AAAA和A6资源记录用于将一个主机名映射到一个IPv6地址。AAAA资源记录是为实现域名到IPv6地址的正向解析而提出的一种资源记录,它是对原A资源记录的一种简单扩展,不具有对IPv6的多层次地址结构的支持,逐步被淘汰。A6是比AAAA更好的资源记录类型。AAAA记录格式假设一台主机的域名为,其IPv6地址为2001:410:1:1:250:3EFF:FFE4:1,则与该主机相对应的AAAA记录:86400INAAAA2001:410:1:1:250:3EFF:FFE4:1这条AAAA记录的意义:第1个域表示主机域名为;第2个域表示它的缓存过期时间是24小时(86400秒);第3个域表示该记录是有关因特网的信息;第4个域表示这是一条AAAA记录;最后一个域记录该主机的IPv6地址为2001:410:1:1:250:3EFF:FFE4:1。A6资源记录格式A6记录格式由前缀长度、IPv6地址后缀和域名前缀组成当前缀长度为0时,域名前缀为空,IPv6地址被保存为一个A6记录。当前缀长度不为0时,一个IPv6地址与多个A6记录关联,每个A6记录只包含了IPv6地址的一部分,结合后组装成一个完整的IPv6地址。例如:PC1..INA664::248:43FF:FE53:D3EE.INA648::ISP.ISP..INA602001.238.882::从例子可知,IPv6地址被保存为多条A6资源记录使用A6记录的正向地址解析若使用的是A6资源记录,在进行解析时将会得到一个或多个A6记录链,并且每一条A6记录链都包含了IPv6地址的一部分。例如:一个网络中间服务商M给网络中的一个站点S分配了标识“01”。host是站点S的一个节点,分配到子网号“abcd”。host的接口标识为1:2:3:4。中间服务商M上面有两个网络传输服务提供商X和Y;且X、Y具有相同的顶级聚类TOP-TLA.ORG,并以“2345”作为其标识(包括格式前缀)。TOP-TLA.ORG分别给服务商X、Y分配了次级聚类前缀2345:1111::/32和2345:2222::/32。同时,X为M分配了次级聚类前缀2345:1111:1100::/40,Y为M分配了次级聚类前缀2345:2222:2200::/40。节点host将拥有两个不同的IPv6地址:2345:1111:1101:abcd:1:2:3:4和2345:2222:2201:abcd:1:2:3:4在域名系统中,域名EXAMPLE.NET标识站点S;中间服务商M和传输服务商X、Y分别用M.NET、X.NET、Y.NET标识。节点host由HOST.EXAMPLE.NET标识。域名服务器中包含的有关记录HOST
INA6
64
::1:2:3:4
IP6.SUBNET.NET.IP6
IN
A6
480:0:0:abcd::
IP6.M.NET.IP6
IN
A6
400:0:0001::
IP6.X.NET.IP6
IN
A6
400:0:0001::
IP6.Y.NET.IP6
IN
A6
320:0:1100::
X.TOP-TLA.ORG.
IP6
IN
A6
320:0:2200::
Y.TOP-TLA.ORG.X
IN
A6
0
2345:1111::Y
IN
A6
0
2345:2222::对域名进行解析.
86400
IN
A6
64::1:2:3:4..
86400
IN
NS
..
86400IN
A6
480:0:0:abcd::..
86400IN
A6
400:0:1::..
86400IN
A6
40
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 机械工程中的机械表面处理规范要求
- 民主生活会征求意见表
- 关于质量、工期、服务等方面的承诺及合理化建议
- 二零二五年度高铁站灯箱广告经营权竞拍合同3篇
- 二零二五年度股权众筹项目分配协议书范本3篇
- 2024年清远职业技术学院高职单招职业适应性测试历年参考题库含答案解析
- 2024年海南软件职业技术学院高职单招职业适应性测试历年参考题库含答案解析
- 语文S版六下《鲧禹治水》课件知识分享
- 资产监督检查研究报告
- 学习进口合同的履行讲义资料
- 公司物流仓储规划方案及建议书
- 智能扫地机器人毕业设计
- 佳能EOS7D数码单反相机说明书
- 大型焰火燃放活动方案审批表
- 管道保温层厚度的计算方法
- 喷嘴压力计算表及选型
- 行车吊装培训PPT课件
- 智能交通施工组织设计39页
- 放射安全事件应急演练
- 第八届青年教师教学竞赛规则解读PPT课件
- 双淘汰制(16队)对阵图
评论
0/150
提交评论