ipv6下动态主机配置协议的研究与设计实现.pdf

《ipv6下动态主机配置协议的研究与设计实现.pdf》由会员分享，可在线阅读，更多相关《ipv6下动态主机配置协议的研究与设计实现.pdf（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 收稿日期:2003-04-07 作者简介:楼俊青(1978-),男,浙江杭州人,硕士研究生,主要研究方向:计算机网络、网络安全;潘雪增(1942-),男,浙江温岭人,教授,博士生导师,主要研究方向:安全模型、网络信息安全、ASIC;平玲娣(1946-),女,教授,博士生导师,主要研究方向:安全模型、操作系统安全.文章编号:1001-9081(2003)09-0079-03IPv6下动态主机配置协议的研究与设计实现楼俊青,潘雪增,平玲娣(浙江大学 计算机科学与技术学院,浙江 杭州310027)摘 要:IPv6下的动态主机配置协议DHCPv6还在研究和制订中,参考相关草案和协议,设计并实现了一套

2、基于客户 服务器的DHCPv6系统,应用于IPv6试验网,并对其中的安全问题作了一些探讨和实践。关键词:IPv6;DHCPv6;地址自动配置中图分类号:TP393.04 文献标识码:AStudy and Implementation of Dynamic Host Configuration Protocol for IPv6LOU Jun2qing,PAN Xue2zeng,PINGLing2di(College of Computer Science,Zhejiang University,Hangzhou Zhejiang310027,China)Abstract:This articl

3、e discusses the study and implementation of the Dynamic Host Configuration Protocol for IPv6,DHCPv6.Nowadays,the study of DHCPv6 is under process.We referred some drafts and protocols to summarize the scheme of DHCPv6,thendesigned and realized a practical DHCPv6 system based on the clientserver arch

4、itecture for IPv6 network experiment.Besides,wehave paid great attention to the security of DHCPv6,and made some study and efforts.Key words:IPv6;DHCPv6;address autoconfiguration1 引言IPv6(Internet Protocol version 6)是Internet网络协议版本6的简称,它是现在广泛使用的IPv4的升级替换版本。IPv6克服了IPv4的诸多弊端,提供了更为广泛的地址空间,支持新的网络服务(QoS等)

5、,增强了移动性和安全性,是下一代互联网的核心协议。现在,从IPv4升级过渡到IPv6的工作已经在世界各地广泛展开了。IPv6下的网络地址(IP地址)除了手工分配以外,还有两种自动配置方式:无状态地址自动配置(Stateless AddressAutoconfiguration)和全状态地址自动配 置(Stateful AddressAutoconfiguration)。无状态地址自动配置主要靠主机监听路由器公告得到全局地址前缀,再加上自己的接口ID生成一个全局地址(本文不详细讨论这种方式)。全状态地址自动配置是由IPv4下的动态主机配置协议(Dynamic Host Configuration

6、 Protocol,DHCP)转化而来。IPv4下的动态主机配置协议实现了主机IP地址及其相关网络信息的自动配置。一个DHCP服务器拥有一个IP地址池,主机从DHCP服务器租借IP地址并获得相关的配置信息(如缺省网关和DNS服务器地址等),达到网络自动配置的目的。IPv6继承并改进了IPv4的这种自动配置服务,并将其称为全状态地址自动配置。DHCPv6(Dynamic Host Configuration Protocol for IPv6)是IPv6下的动态主机配置协议,它属于全状态地址自动配置协议。与IPv4下的DHCP协议类似,DHCPv6也是一种提供网络配置信息的客户 服务器类型的协议

7、。不同之处是,DHCPv6重新定义了消息类型和消息处理方式,并加强了安全性。本文讨论了DHCPv6协议的关键技术和DHCPv6系统的设计方案,并给出了一个试验性系统的实例。2DHCPv6系统设计2.1 系统基本构成从构成上可将DHCPv6系统分为三个部分:DHCP服务器、DHCP客户端以及DHCP转发代理,如图1所示。图1DHCPv6系统的构成DHCP服务器:负责IP地址的分配及回收,提供网络配置信息;DHCP客户端:完成对IP地址的申请、释放,向DHCP服务器进行网络信息咨询等功能;DHCP转发代理:一般运行在网关 路由器上,当客户端和服务器不在同一链路上时,转发客户端和服务器之间的初始化消

8、息。客户端与服务器之间通过UDP协议来交换消息。客户端使用链路本地地址发送和接收消息。服务器使用一个保留的链路范围内的多播地址从客户端接受消息。在获得服务器地址之前,一个DHCP客户端将大多数的消息发送到这个多第23卷第9期2003年9月计算机应用Computer ApplicationsVol.23,No.9Sept.,2003 1995-2006 Tsinghua Tongfang Optical Disc Co.,Ltd.All rights reserved.播地址。客户端与服务器不在同一链路上时,由于路由器 网关不会转发(路由)多播地址的数据包,所以在客户端链路的路由器 网关上就需要

9、一个转发代理,在客户端与服务器端之间转发初始化消息。这个转发代理对于客户端是透明的。一旦客户端得到了服务器的全局地址(从服务器的回答消息包中得到),它就可以向服务器的全局地址发送消息,不用向多播地址发送,也不需要转发代理来中转了。当然,也可以不用转发代理,在每个子网都放置一台DHCP服务器。不过这种方式将增加地址管理的复杂度,也不利于硬件资源的有效利用。2.2 定义的常量1)DHCP服务器的多播地址DHCP服 务 器 的 多 播 地 址:All-DHCP-Relay-Agents-and-Servers(FF02:1:2)。这是一个客户端使用的与邻近的服务器或转发代理进行通信的链路范围的多播地

10、址,所有的服务器与转发代理都是这个组的成员,在客户端不能确定服务器地址时,将使用这个多播地址。2)UDP端口分配客户端在UDP端口546监听DHCP消息;服务器与转发代理在端口547监听DHCP消息。3)DHCP消息类型及功能(每一种消息类型的数值编码列在括号中)SOLICIT(1):客户端发送一个请求消息来定位服务器;ADVERTISE(2):服务器发送一个Advertise消息来应答客户端的Solicit消息,表明它的DHCP服务可用;REQUEST(3):客户端发送一个Request消息,要求服务器分配地址和提供配置参数;CONFIRM(4):客户端向可用的服务器发送一个Confirm消

11、息,询问它的地址是否可用;RENEW(5):客户端向分配给它地址的服务器发送一个Renew消息,延长地址的使用时间和更新网络配置信息;REBIND(6):如果客户端没有收到对Renew消息的应答,就向任何可用的服务器发送一个Rebind消息,以延长地址和更新网络配置信息;REPLY(7):这是服务器对大多数客户端消息的回答消息;RELEASE(8):客户端向分配给它地址的服务器发送一个Release消息,表示不再使用本地址;DECLINE(9):客户端向服务器发送一个Decline消息,表示服务器分配给它的一个或多个地址已经在与它相连的线路上使用;RECONFIG URE(10):当网络配置信

12、息被更新时,服务器向客户端发送一个Reconfigure消息,通知客户端向服务器发起一个RenewReply或Information2requestReply消息交换来更新配置信息;INFORMATION2REQUEST(11):客户端向服务器发送一个Information2request消息,要求得到网络配置参数,但无需分配网络地址;RE LAY2FORW(12):转发代理发送一个Reply2forward消息,直接地或通过另外一个转发代理向服务器转发消息。客户端的消息被包在新生成的Reply2forward消息中;RELAY2REPL(13):服务器向转发代理发送一个含有要传递给客户端信息

13、的Relay2reply消息。Relay2reply消息可由其它的转发代理继续转发给目标转发代理。服务器将客户消息包含在Relay2reply消息的一个选项中,转发代理可以提取并将它转发给客户端。2.3 客户 服务器消息交互过程2.3.1 初始化阶段客户端与服务器的消息交换1)客户端与服务器只涉及两个消息的交换一种情况是客户端已经手工(静态)分配了自己的IPv6地址,不需要DHCP服务器来动态分配地址,但是却需要得到其它网络配置信息(比如DNS地址、网关地址等)。为了获得配置信息,客户端先向服务器多播地址发送一个Information2request消息,这个消息包里指出了客户端需要哪些网络配

14、置信息。服务器以一个包含配置信息的Reply消息回答客户端。另一种情况是服务器地址池中已经有了这个客户端的注册信息,IPv6地址和其它网络配置信息已经预先分配给它(在服务器端配置,根据客户端的MAC地址来区分不同的客户端)。那么,客户端向服务器多播地址发送一个Solicit消息,请求地址与其它配置信息的分配。愿意向客户端分配地址的服务器会立即应答一个Reply消息。客户端可以立即使用在这个Reply消息中的地址与配置信息。2)客户端与服务器涉及四个消息的交换如果客户端没有可用的全局地址,为了请求分配一个或更多的IPv6地址,客户端向服务器多播地址地址发送一个Solicit消息,寻找可用的DHC

15、P服务器。任何符合客户端请求的服务器以一个Advertise消息应答。客户端从中选择一个服务器,向它发送一个Request消息请求分配地址与其它网络配置信息。服务器应答一个包含被确认的地址与配置信息的Reply消息。2.3.2 续租消息每一个分配给客户端的地址都有由服务器指定的更新时间和有效时间。完成上述的初始化阶段后,到了更新时间,为了延长地址的使用时间,客户端向服务器发送一个Renew消息来续租地址。服务器向客户端发送一个带有新的更新时间的Reply消息,允许客户端不中断地继续使用那个地址。如果客户端过了有效时间客户端还未能更新(续租)地址,老的地址应该作废,要重新寻求服务器来提供服务。2

16、.3.3 其它消息限于篇幅,其它的DHCP消息省略,详见参考文献1。2.4ClientServer消息包的格式图2DHCP消息包格式所有的DHCP消息都使用如图2格式的消息包。msg2type是消息类型;transaction2id是随机生成的事务编号,用来标识一次消息交换;附加选项则是DHCP消息的实际内容,根据需求来设定有哪些内容,具体可以参考文献1。2.5 安全性现在网络安全已经成为一个很重要的课题,所有的网络服务和应用程序都必须考虑到可能存在的安全问题,提前做好防范措施,从而避免不必要的损失。2.5.1 攻击方式08计算机应用2003年 1995-2006 Tsinghua Tongf

17、ang Optical Disc Co.,Ltd.All rights reserved.DHCP服务器也是网络上较容易被攻击的服务器。黑客通过伪装DHCP服务器可以把错误的配置信息,比如不安全(被黑客控制)的DNS服务器地址发送给客户端,客户端向不安全的DNS服务器请求域名解析时,就会被引导到不安全的网站,从而使黑客有机会骗取客户的私人资料(比如信用卡号和密码等)。另外,也可能恶意抢占地址资源,让DHCP服务器地址资源耗尽,无法向合法的客户端提供正常服务。所以,有必要对DHCP消息的来源和内容提供身份认证和完整性保护。2.5.2 安全防范措施客户端和服务器发出的DHCP消息中的所有数据都用H

18、MAC2MD5算法加上数字签名。在接收端要检查收到的消息的签名数据,未能通过验证的消息应该被丢弃。这样可以防止假冒的DHCP服务器或客户端,也可以防止第三者篡改消息内容。在DHCP服务器和转发代理之间需要更强的安全措施。我们使用IPv6中的IPSec协议,配置静态手工密钥来提供端到端的加密(IPSECESP)和认证(IPSECAH),从而防止黑客篡改消息内容和得到子网内主机的网络信息(DNS服务器地址、客户端的IPv6地址等),减少黑客对子网内的主机发起攻击的可能性。通过以上措施,可以在一定程度上保证DHCP消息的安全性和正确性。然而,如果DHCP服务器被黑客控制的话,仍然无法保证DHCP消息

19、的安全性和正确性。3 系统实现本系统的服务器和转发代理在Linux平台下实现,客户端在Linux和Windows2000平台下实现,均使用Socket编程。3.1 服务器端的实现图3 服务器端系统框架结构服务器端系统框架结构如图3所示,其中:网络监听模块 负责监听收到的DHCP消息包,放到消息队列中。网络发送模块 将服务器端消息交给网络层发送出去。消息队列 存放收到的DHCP消息,等待处理。消息包处理模块 从消息队列提取消息包,负责对收到的消息进行分类识别,交给上层不同的DHCP协议处理模块来处理。它还负责组织生成服务器端的消息包,交给网络发送模块,发送给客户端。如果有安全选项,在收到数据包时

20、,要检验认证数据,只有通过认证的消息才能交给上层模块处理;同样,发送数据时,也要加上认证数据,再发给客户端。DHCP协议处理模块 由7个子模块组成,负责处理不同的DHCP消息。地址池 包含了IP地址资源信息、已经分配的客户端信息等。它可以从空闲地址队列中分配一个地址给客户端,并记录下这个客户端的一些基本信息(如MAC地址)。当释放地址时,把回收的地址重新放到空闲地址队列中。地址池要保证地址分配的不重复性(一个地址不能同时分配给两个客户端)、可分配性(如果有空闲地址就应该能分配出去)和可重用性(客户端已经释放的地址应该能够再分配给其它客户端使用)。定时器 是一个单独的线程,负责检查分配给客户端的

21、地址资源的有效期,如果发现某个客户端已经失效了(客户端没有及时续租),那么就释放分配给这个客户端的地址资源。3.2 客户端客户端系统相对较为简单,由以下模块组成:网络发送接受模块 负责发送和接受DHCP消息。控制模块 负责DHCP消息交换过程,协调各个模块工作。定时器模块 客户端从DHCP服务器分配到地址以后,将得到一个地址更新期和地址有效期。在地址更新期到了以后,要向DHCP服务器发送Renew消息续租地址。如果到了地址有效期,地址还没有被续租(可能Renew失败),则释放被分配的地址资源,重新寻找DHCP服务器,请求一个新地址。3.3 转发代理转发代理一般运行在网关。当它监听到来自本地子网

22、客户端的DHCP请求以后,在消息包最前面加上转发头组成新的转发请求包(类型是RELAY2FORW),转发到DHCP服务器。DHCP服务器收到转发包以后,把回答信息组成转发回答(类型是RELAY2REPL)包发给转发代理。然后,转发代理去掉转发头,再组织成新的DHCP回答包发给客户端。转发代理对客户端来说是透明的,无需客户端作特别的设置。4 系统功能和使用环境示例本系统完成了DHCPv6系统的一些核心功能,如DHCP服务器的寻找和回应、地址自动分配和释放、地址续租和重配置等,还有相关网络信息如主DNS和辅DNS地址、缺省的网关(或路由)等的自动配置。客户端和服务器端通讯数据加有数字签名,提供了身

23、份认证功能。转发代理和和服务器之间使用IPSec来提供安全性。图4 系统使用环境我们在IPv6试验网下的DHCPv6系统使用环境如图4所示,本地网络由局域网甲和局域网乙组成。局域网甲通过外网路由器(网关)与InternetCERNET相连,局域网乙通过子网路由器(网关 转发代理)与局域网甲相连。DHCP服务18第9期楼俊青等:IPv6下动态主机配置协议的研究与设计实现 1995-2006 Tsinghua Tongfang Optical Disc Co.,Ltd.All rights reserved.文章编号:1001-9081(2003)09-0082-03微型TCPIP协议栈的设计与实

24、现姚光开,于永棠,柴乔林(山东大学 计算机科学与技术学院,济南 山东250061)摘 要:TCPIP协议已经成为当今开放互联网络系统中不可缺少的部分,详细说明了微型TCPIP协议栈的设计方法,它具有紧凑、轻便、模块化、高效和可升级等特点,实现了标准TCPIP协议栈的主要功能,但对系统资源的要求少,可以用于系统资源少的嵌入式系统进行网络通讯。关键词:微型TCPIP;以太网控制器;协议栈中图分类号:TP393 文献标识码:ADesign and Realization of Tiny TCPIP StackY AO Guang2kai,Y U Y ong2tang,CHAI Qiao2lin(Sc

25、hool of Computer Science and Technology,Shandong University,Jinan Shandong250061,China)Abstract:TCPIP has been an indispensable part of the current open internetworking system.This article describes the designmethods of tiny TCPIP stack in detail.The tiny TCPIP stack is compact,light,modularized,eff

26、icient and upgradable.It realizesthe main functions of the standard TCPIP stack with little requirement for system resource,so that it can be used for networkcommunication in embedded system with little system resource.Key words:tiny TCPIP;Ethernet controller;protocol stack1 前言随着Internet网络软、硬件的快速发展,

27、互联网用户正在以指数增长。以太网经过20多年的发展,已经成为当今互联网络中底层链接不可缺少的部分;TCPIP协议栈1是一个非常复杂和庞大的系统,它是Internet互联网安全可靠通讯的重要组成部分,通常在通用计算机系统和操作系统下实现。而各种家电设备、PDA、仪器仪表、工业生产中数据的采集与控制等设备也正在逐渐地走向网络化,以便共享互联网络中庞大的资源。在某些应用领域,嵌入式设备在价格、体积及实时性等方面,有着通用计算机无法比拟的优点,因此,嵌入式设备的网络化开发有着广阔的前景。为了实现各种小型设备能够通过互联网进行远程监控,除了在网络硬件接口建设方面的开发以外,一个重要的问题就是根据嵌入式系

28、统的资源有限,功能单一的特点开发一套微型TCPIP互联网络协议。如何在价格低廉、资源有限的嵌入式系统的环境中实现网络通讯功能,已经成为嵌入式网络开发人员面对的重要问题。我们设计的微型TCPIP协议栈能满足这一需要,能够完成常用的网络通讯功能。2 微型TCPIP协议栈的特点和实现2.1 微型TCPIP协议栈的特点TCPIP协议栈已经成为开放系统互联的标准,与其它任何协议相比,TCPIP协议能够提供更好的交互操作性能,可以在大多数系统中使用,并且它可兼容多种网络技术,因而TCPIP非常流行并且已经得到了广泛使用。微型TCPIP协议栈具有TCPIP协议栈的最基本功能,运行于以太网环境下,底层可 以处

29、理ARP请求;IP层支持ICMP、TCP和UDP三种协议。收稿日期:2003-03-24 作者简介:姚光开(1974-),男,山东德州人,讲师,主要研究方向:计算机网络应用;于永棠(1973-),男,山东青岛人,讲师,主要研究方向:网络数据库应用;柴乔林(1956-),男,山东青岛人,教授,主要研究方向:计算机网络及应用、神经网络应用.器在局域网甲,客户端A与它在同一个子网内,可以直接与它通讯。客户端B和客户端C与DHCP服务器不在同一个子网,它们与DHCP服务器通讯的初始化阶段必须由子网路由器上的转发代理来转发消息包。5 不足与展望本系统初步实现了DHCPv6的部分功能,但还有一些实用的功能

30、有待完善。比如对DDNS(动态DNS)和其它的一些网络配置信息(如NTP网络时间协议)的支持还没有,在地址冲突检测方面也没有很好的处理。另外,全状态和无状态地址自动配置这两种方式可以配合使用,由无状态配置协议生成地址,然后由全状态配置协议提供其它网络信息,这样将简化配置,提高网络效率。参考文献1Droms R,Bound J,Volz B,et al.Dynamic Host Configuration Protocolfor IPv6(DHCPv6)S.draft2ietf2dhc2dhcpv6228.txt,2002.2Droms R.Dynamic Host Configuration Protocol S.RFC2131.IETF,1998.3Ldshin P.IPv6详解M.沙斐,等译.北京:机械工业出版社,2000.4Naganand D,Dan H.IPSec 新一代因特网安全标准M.京京工作室,译.北京:机械工业出版社,2000.第23卷第9期2003年9月计算机应用Computer ApplicationsVol.23,No.9Sept.,2003 1995-2006 Tsinghua Tongfang Optical Disc Co.,Ltd.All rights reserved.