金夢然

（國家信息中心 北京市 100045）

IPv6 可以同時定義無狀態(tài)和有狀態(tài)的地址自動配置機(jī)制，進(jìn)而有效實現(xiàn)實際的分配和管理。其中，有狀態(tài)地址自動配置是使用DHVPv6 的協(xié)議來有效實現(xiàn)相關(guān)節(jié)點動態(tài)的IPv6 的地址和相關(guān)參數(shù)的分配；而無狀態(tài)的地址自動配置是利用鄰居發(fā)現(xiàn)協(xié)議來有效實現(xiàn)的，也就是其中的相關(guān)節(jié)點利用接收并存儲于本地鏈路上的路由器所發(fā)出的路由器通告內(nèi)容，充分結(jié)合本地接口的相關(guān)表示來生成一個全局式的單播公用地址。無狀態(tài)地址自動配置是不需要利用節(jié)點手工配置相關(guān)地址和參數(shù)的，也可以讓節(jié)點獲取相關(guān)地址，進(jìn)而實現(xiàn)真正意義上的即插即用。當(dāng)某一個站點的網(wǎng)絡(luò)前綴發(fā)生變化的時候，只需要在實際發(fā)送RA 相關(guān)消息的路由器上進(jìn)行地址前綴信息的重新編制，就可以重新定制通告的前綴，節(jié)點就可以方便進(jìn)行重新編制來完成切換，且并不會對網(wǎng)絡(luò)的連接出現(xiàn)影響。

1 IPv6節(jié)點無狀態(tài)地址自動配置過程

IPv6 節(jié)點在無狀態(tài)自動配置上重新定義了IPv6 節(jié)點在實際使用相關(guān)節(jié)點的可用信息和相關(guān)路由器所分發(fā)出的信息配置每個實際應(yīng)用范圍地址的必要過程，其在實際配置中，除了要使用路由器以外，是不需要任何的人為干預(yù)的，也并不需要任何一種類型的服務(wù)器。其在實際配置過程中會涉及三個部分的機(jī)制，即為路由器發(fā)現(xiàn)、重復(fù)性的地址檢測和前綴的地址新編。路由器的發(fā)現(xiàn)可以讓相關(guān)節(jié)點在實際獲取的鏈路上的相關(guān)前綴和路由器所發(fā)出的信息；重復(fù)地址檢測則保證了其實際配置的每一個IPv6 地址在鏈路上的唯一性；前綴重新編址則會在上述兩個機(jī)制的基礎(chǔ)上，進(jìn)行通告前綴的重新編制，進(jìn)而完成網(wǎng)絡(luò)前綴的自由切換。如圖1所示。

實際的配置過程主要是以鏈路本地地址的自動生成來時的，并在過程中啟用了IPv6 協(xié)議棧的節(jié)點，根據(jù)鏈路本地前綴FE80：：/64 和EUI-64 格式的接口標(biāo)識符號，從而生成一個臨時性的鏈路本地的地址；其次，使用重復(fù)地址檢測來有效檢驗此臨時鏈路在本地地址中的唯一性，在實際檢測過程中發(fā)出的臨時節(jié)點請求內(nèi)容的實際目標(biāo)地址字段的數(shù)值為臨時性的鏈路本地的地址；如果在實際接收中收到鄰節(jié)點的相關(guān)響應(yīng)請求內(nèi)容的時候。也說明了本地的鏈路上也有另一個節(jié)點在同時使用該臨時性的鏈路本地地址，此時地址將會自動的停止為其停止進(jìn)行配置，如果出現(xiàn)此種情況，就需要使用人為的方式為其進(jìn)行手動的配置；如果沒有收到鄰節(jié)點的響應(yīng)請求和公告內(nèi)容，此時的臨時性的鏈路的本地地址就看做其是唯一且有效的，接口的地址為鏈路本地的地址。

圖1：IPv6 節(jié)點無狀態(tài)自動配置方式

圖2：地址狀態(tài)與生存周期之間的關(guān)系

節(jié)點接著會以鏈路自身的地址為基本地址向全部的路由器目的地址發(fā)送路由器的請求內(nèi)容（RS）。在路由器的偽周期性的地址發(fā)送路由器公告（RA）內(nèi)容的同時，節(jié)點也會發(fā)送路由器的請求內(nèi)容，并請求路由器能夠立即發(fā)送路由器公告內(nèi)容進(jìn)行積極的響應(yīng)，而不是等待一個偽周期所發(fā)出的路由器公告內(nèi)容。在默認(rèn)的情況之下，節(jié)點最多可以發(fā)送3 個路由器的請求內(nèi)容。如果沒有接收到有路由器所發(fā)出的公告內(nèi)容，節(jié)點就會使用原有的狀態(tài)地址自動的和其他的參數(shù)進(jìn)行配置；如果接收到了相關(guān)路由器所發(fā)出的請求內(nèi)容，節(jié)點會根據(jù)實際內(nèi)容類設(shè)置限制、可以到達(dá)的實際時間、重發(fā)定時器和MTU 等參數(shù)的數(shù)值。對于每一個接收到RA 中的前綴信息選項，如果在相關(guān)鏈路上的實際標(biāo)志是1，節(jié)點就會將內(nèi)容中的前綴添加到實際的前綴列表中去；如果自治配置的標(biāo)志是1，則會使用前綴和符合其接口的標(biāo)識符生成的一個臨時性的地址。接下來，所使用的重復(fù)地址檢測在唯一性方面的具體情況。如果臨時性的地址是正在使用中的狀態(tài)，就不會使用這一臨時性的地址來初始化接口；如果臨時性的地址并沒有被使用，則會根據(jù)實際情況來選擇這一臨時性的地址來初始化接口，實際也包括了根據(jù)請求內(nèi)容中的前綴信息選項的有效性和優(yōu)先的生存期字段的數(shù)值來設(shè)置相關(guān)地址的有效生存時間和優(yōu)先的生存時間。如果路由器的公告內(nèi)容中的實際管理地址配置標(biāo)志位是1 的話，就會使用有狀態(tài)的地址自動配置相關(guān)協(xié)議，進(jìn)而獲取其他的地址；如果路由器的公共內(nèi)容中有其他有狀態(tài)的配置標(biāo)志位且為1 的話，就會使用有狀態(tài)的地址自動配置協(xié)議來獲取除了地址以外的其他參數(shù)和配置。

節(jié)點的無狀態(tài)地址自動配置完成以后，在現(xiàn)階段的鏈路接口上就會存在一個鏈路本地范圍的鏈路本地地址和1 個全庫范圍之內(nèi)的公用IPv6 地址。自動配置的IPv6 全局地址有一個實際的生存周期，在這個生存周期中，這一地址會根據(jù)優(yōu)先時間和有效時間中間的關(guān)系，會劃分為臨時性的、優(yōu)先性的、反對性的無效性4 種狀態(tài)，如圖2所示。

其中臨時性狀態(tài)表示此時主機(jī)所獲得的地址正在被重復(fù)性的檢測；優(yōu)先狀態(tài)則表示通過重復(fù)性檢測出唯一性，該節(jié)點可以有效使用該地址所發(fā)送的和所接收到的內(nèi)容；在反對的狀態(tài)之下，相關(guān)協(xié)議則不建議使用這一地址去進(jìn)行通信，但原有的通信還是可以繼續(xù)使用這一反對狀態(tài)的地址的；無效狀態(tài)的節(jié)點是不可以再進(jìn)行相關(guān)內(nèi)容的接收和發(fā)送的。自動進(jìn)行配置的全局公用的IPv6 地址的缺省有效期為30 天左右，實際優(yōu)先的生存時間為7 天左右。

2 存在的問題

2.1 無狀態(tài)地址自動配置的私密性擴(kuò)展

無狀態(tài)地址的自動配置所產(chǎn)生的全局IPv6 地址的64 為接口標(biāo)識符是由EUI-64 這一格式產(chǎn)生的，而EUI-64 接口標(biāo)識符則是由節(jié)點MAC 地址進(jìn)行一對一的映射而得來的，不論相關(guān)路由器的所發(fā)出的內(nèi)容前綴是什么樣的，64 為接口的實際標(biāo)識符都是一樣的。也正是因為這樣，類似的地址一定會是全局性的且唯一性的，這樣的現(xiàn)象也被叫做全局應(yīng)用范圍的公用地址。對于其地址管理方面來講，利用IPv6 的相關(guān)數(shù)據(jù)包的原地址可以推斷出這部分的節(jié)點MAC 地址，前提是只要該節(jié)點MAC 地址是經(jīng)過注冊的，就可以從該IPv6數(shù)據(jù)包的原地址對應(yīng)到MAC 的實際注冊用戶。處于對IPv6 原地址安全性能的思考，IEEE 也制定了一個IPv6 無狀態(tài)地址自動配置的私密性擴(kuò)展的特性，啟用這一屬性的IPv6 節(jié)點會通過無狀態(tài)地址自動的配置從而獲得地址的接口標(biāo)識符。由多個通告的前綴將會產(chǎn)生多個有著同樣隨機(jī)接口標(biāo)識符的地址，這樣的地址也被叫做全局臨時地址。由節(jié)點所發(fā)起的向外部通信也會首選全局臨時性的地址作為原地址建立也一個有效的連接。臨時地址也同樣有著4 個地址的生存狀態(tài)和2 個生存周期，不同的是，其優(yōu)先生存期和實際的有效生存期全部小于全局公用的IPv6 地址。全局的臨時性的IPv6 地址的缺省有效生存期為7 天左右，優(yōu)先生存期限為1 天。

利用重復(fù)檢測之后的全局臨時性的地址會首先進(jìn)入到有效的狀態(tài)中，實際可以使用的地址會在發(fā)送和接收IPv6 的數(shù)據(jù)包。在經(jīng)過了1 天的優(yōu)先生存期之后，節(jié)點將會從重新產(chǎn)生一個全新的隨機(jī)數(shù)值作為已有的前綴的全新的接口標(biāo)識符，而原有的全局臨時的地址則會就進(jìn)入一個反對的狀態(tài)中，全新的全局性的臨時地址在經(jīng)過了一天的優(yōu)先生存期之后，節(jié)點將會再產(chǎn)生一個全新的隨機(jī)的數(shù)值，并將其作為也一個已有的前綴新接口標(biāo)識符，新的全局性的臨時地址則又會進(jìn)入也一個反對的狀態(tài)中共。由于此時處于反對狀態(tài)的全局性的臨時性的地址在達(dá)到有效的生存期之后才會從節(jié)點之中刪除。所以，隨著時間的變化，會出現(xiàn)節(jié)點因為使用了多個有著不同隨機(jī)接口標(biāo)識符的IPv6 地址來接收和發(fā)送相關(guān)內(nèi)容。

啟用了IPv6 無狀態(tài)地址自動配置的私密性和擴(kuò)展性的節(jié)點地址也會隨著時間的變化而不斷的生產(chǎn)變化，這會給實際的地址管理帶來地址身份確認(rèn)上的諸多困難，也可以理解為低密性和擴(kuò)展性也有效提升了節(jié)點地址的實際安全性能，卻增加了在地址管理方面的資金投入。

2.2 安全隱患

利用相關(guān)協(xié)議有效實現(xiàn)IPv6 節(jié)點無狀態(tài)地址的自動配置，不僅實現(xiàn)了IPv6 節(jié)點的即插即用性能，也有著IPv6 在聯(lián)網(wǎng)上的方便簡潔性能。相關(guān)管理人員只需要對IPv6 的前綴與路由器進(jìn)行必要的規(guī)劃，并使用用戶方的路由器上的配置前綴的內(nèi)容，使用者皆可以實現(xiàn)接入本地鏈路并獲取地址，進(jìn)而訪問相關(guān)網(wǎng)絡(luò)。

但是這種方便操作和簡便性卻會帶來不同程度的安全隱患。針對IPv6 節(jié)點無狀態(tài)地址自動配置的三種配置機(jī)制，我們發(fā)現(xiàn)其中可能會存在相關(guān)的威脅，首先，路由器的發(fā)現(xiàn)機(jī)制，其主要是通過路由器的相關(guān)接受內(nèi)容來發(fā)現(xiàn)的，一些惡意的主機(jī)是可以偽裝成合法的路由器進(jìn)行相關(guān)內(nèi)容的發(fā)送和接受，在相關(guān)內(nèi)容中會修改默認(rèn)的路由器為級別比較高的優(yōu)先級，使用IPv6 節(jié)點在實際的默認(rèn)路由器的列表中選擇惡意的主機(jī)為缺省的網(wǎng)關(guān)，進(jìn)而達(dá)到實際的攻擊目的。其次，對于重復(fù)的地址進(jìn)行檢測，IPv6 節(jié)點在無狀態(tài)的自動配置鏈路本地或者全局單播地址的時候，是需要設(shè)置地址為臨時的狀態(tài)的。此時，惡意的主機(jī)將會針對相關(guān)內(nèi)容進(jìn)行假冒的限用，讓IPv6 節(jié)點的實際重復(fù)檢測失敗，進(jìn)而讓IPv6 節(jié)點不能正常運(yùn)行。最后，針對前綴的地址重新編制，惡意主機(jī)也會發(fā)送一個假冒的內(nèi)容，并虛構(gòu)一個假的前綴信息，其實際的優(yōu)先生存時間和有效的生存時間也會大于原來的合法的前綴。IPv6 節(jié)點在收到這樣的內(nèi)容之后，會出現(xiàn)將原來的前綴停止使用的現(xiàn)象，并重新得到一個虛假的前綴，一直到原有的前綴的有效生存時間遞減到0 的時候，合法的前綴就會被徹底作廢，進(jìn)而造成所使用的網(wǎng)絡(luò)中斷。

3 結(jié)束語

綜上所述，進(jìn)行IPv6 網(wǎng)絡(luò)的規(guī)劃和用戶的地址分配，IPv6 節(jié)點的無狀態(tài)地址自動配置系統(tǒng)有著非常強(qiáng)的優(yōu)勢，其有效實現(xiàn)了IPv6 用戶在實際訪問互聯(lián)網(wǎng)時候的即插即用。但與此同時，其也給IPv6 網(wǎng)絡(luò)帶來了附加的安全隱患，進(jìn)而提升了相關(guān)管理方面的成本投入。所以，必須要從實際的管理方向來看，深入分析實際無狀態(tài)地址進(jìn)行自動配置系統(tǒng)所存在的相關(guān)問題，進(jìn)而有針對性的提出相關(guān)策略，讓IPv6 節(jié)點可以更加方便又安全的進(jìn)行網(wǎng)絡(luò)訪問。