NSIS 中的 NATFW 信令在移動(dòng) IPv6 下的研究.doc

精品論文nsis 中的 natfw 信令在移動(dòng) ipv6 下的研究溫興華 北京郵電大學(xué)信息與通信工程系，北京 (100876) e-mail: 摘要：隨著網(wǎng)絡(luò)技術(shù)特別是移動(dòng) ipv6 技術(shù)的發(fā)展，移動(dòng)辦公己經(jīng)成為了生活工作的需要。為了網(wǎng)絡(luò)安全而廣泛應(yīng)用的防火墻技術(shù)在與移動(dòng) ipv6 應(yīng)用過程中出現(xiàn)了很多問題，本文對 防火墻技術(shù)在移動(dòng) ipv6 網(wǎng)絡(luò)環(huán)境中應(yīng)用的過程中出現(xiàn)的問題進(jìn)行了詳細(xì)的分析，對 nsis 協(xié)議進(jìn)行了詳細(xì)的介紹，其中重點(diǎn)研究了 nsis 協(xié)議中的 natfw nslp 信令應(yīng)用。natfw nslp 信令應(yīng)用中提出可以通過信令改變信令所經(jīng)過的路徑上的防火墻的規(guī)則?？梢詰?yīng)用 natfw nslp 協(xié)議來解決防火墻穿越的問題。目前，網(wǎng)絡(luò)中部署的大部分防火墻不支持移 動(dòng) ipv6，利用 nsis 協(xié)議的 nat/fw nslp 配置防火墻策略是一種通過信令方式使移動(dòng) ip 消息穿越防火墻的方案，應(yīng)用 natfw nslp 協(xié)議，參與通訊的節(jié)點(diǎn)發(fā)出信令，創(chuàng)建 nsis 會(huì)話，通過安全認(rèn)證建立了 nsis 會(huì)話后，就可以通過對防火墻規(guī)則的改變來解決因?yàn)橐苿?dòng)性而帶來的穿越問題。關(guān)鍵詞：移動(dòng) ipv6；nsis；natfw；防火墻穿越1.引言近幾年來，internet技術(shù)的迅速發(fā)展和網(wǎng)絡(luò)的日益普及使人們對計(jì)算機(jī)的傳統(tǒng)認(rèn)識(shí)發(fā)生 了巨大的變化。人們傳統(tǒng)的生活、工作方式都收到internet的網(wǎng)絡(luò)化、信息化的巨大的影響， 并滲透到社會(huì)的各個(gè)方面，internet已成為人們的一種重要、有效的工具。e-mail, ftp,網(wǎng)絡(luò) 商城、各種信息的查詢與發(fā)布系統(tǒng)等已經(jīng)成為人們進(jìn)行各種信息交流不可缺少的重要的工 具。然而，目前基于ipv4的互聯(lián)網(wǎng)在實(shí)際應(yīng)用中越來越暴露出其不足之處。隨著人們對移動(dòng)辦公的需要以及個(gè)人手提電腦的普及、無線技術(shù)的發(fā)展，無線互聯(lián)網(wǎng)逐 漸受到重視，己經(jīng)提到了議事議程。國內(nèi)外很多專家認(rèn)為:筆記本電腦、掌上型電腦、個(gè)人 數(shù)字助理(pda)將代表連入internet的主流設(shè)備。越來越多的人成為了移動(dòng)辦公的一分子，包 括遠(yuǎn)程計(jì)算機(jī)人員、移動(dòng)售貨員以及其它一些經(jīng)常需要跑來跑去的人，這些人急切的希望能 從企業(yè)網(wǎng)的計(jì)算機(jī)中或是互聯(lián)網(wǎng)上獲得所需的數(shù)據(jù)。不斷增加的移動(dòng)辦公人群、對網(wǎng)絡(luò)越來 越強(qiáng)的依賴和移動(dòng)計(jì)算技術(shù)的發(fā)展推動(dòng)著移動(dòng)計(jì)算機(jī)與其他計(jì)算機(jī)相連的需求的不斷發(fā)展。 移動(dòng)計(jì)算機(jī)的優(yōu)點(diǎn)是用戶可以隨便改變他們的互聯(lián)網(wǎng)接入點(diǎn)，在這個(gè)基礎(chǔ)上，讓人們能夠隨 時(shí)、隨地訪問internet，這成為當(dāng)前internet技術(shù)研究的一個(gè)熱點(diǎn)。在這種背景下出現(xiàn)了新的 互聯(lián)網(wǎng)協(xié)議ipv6。ipv6就是為了解決現(xiàn)行internet出現(xiàn)的問題而誕生的。ipv6繼承了ipv4的優(yōu)點(diǎn)，并根據(jù) ipv4多年來運(yùn)行的經(jīng)驗(yàn)進(jìn)行了大幅度的修改和功能擴(kuò)充，根據(jù)對移動(dòng)性的需要更多地考慮到 了移動(dòng)ip的實(shí)現(xiàn)，比ipv4處理性能更加強(qiáng)大、高效。與互聯(lián)網(wǎng)發(fā)展過程中涌現(xiàn)的其它技術(shù)概念相比，ipv6可以說是引起爭議最少的一個(gè)。人們也已形成共識(shí)，認(rèn)為ipv6取代ipv4是必然發(fā)展趨勢?；趇pv6的移動(dòng)ipv6可以使用戶在不中斷網(wǎng)絡(luò)連接的情況下隨意漫游，給用戶帶 來了極大的方便。但在移動(dòng)ip的環(huán)境中。主機(jī)可以隨意進(jìn)行移動(dòng)，并且可以使用包括無線信 道在內(nèi)的多種傳輸媒介，由此也決定了它將面對更多的安全問題。所以在擴(kuò)展現(xiàn)有的ip網(wǎng)絡(luò)、 提供更多增強(qiáng)功能的同時(shí)，必須仔細(xì)地考慮它對網(wǎng)絡(luò)安全的影響，使得移動(dòng)ip必須在實(shí)現(xiàn)的 過程中進(jìn)行安全擴(kuò)展、增加額外的安全措施，以防范可能的針對移動(dòng)ip的攻擊；由于移動(dòng)ip 必須與現(xiàn)有的ip網(wǎng)絡(luò)共存，因此移動(dòng)ip不僅要解決現(xiàn)有的各種各樣安全手段帶來的不便，還 要盡可能的利用現(xiàn)有的安全手段保護(hù)移動(dòng)ip的安全，這就需要調(diào)整、擴(kuò)展基本的移動(dòng)ip技術(shù)，-7-使之能夠與現(xiàn)有的安全手段很好的協(xié)同工作。本文首先在第2部分簡要介紹了在目前防火墻在應(yīng)用過程中與移動(dòng)ipv6產(chǎn)生的矛盾。第4 章介紹nsis的natfw nslp協(xié)議。第3章在對當(dāng)前的存在的主要問題的分析后，提出基于 natfw nslp的解決方案。方案的核心就是應(yīng)用natfw nslp改變防火墻的規(guī)則，解決由 于移動(dòng)性而帶來的矛盾。第4章對提出的解決方案進(jìn)行分析，給出簡單算法和模擬試驗(yàn)。最 后一章是對全文的總結(jié)，并對下一步工作進(jìn)行展望。2.移動(dòng) ipv6 下防火墻穿越需求作為一個(gè)重要的安全設(shè)備，防火墻被廣泛應(yīng)用在現(xiàn)有的網(wǎng)絡(luò)中。然而當(dāng)前的防火墻本質(zhì) 上都是為固定網(wǎng)絡(luò)而設(shè)計(jì)的，很難支持移動(dòng)ipv61。在現(xiàn)有的典型的移動(dòng)ipv6網(wǎng)絡(luò)中，我們 目前所研究和討論的各種情形都是不含有防火墻設(shè)備的理想情形，一旦在移動(dòng)ipv6網(wǎng)絡(luò)中加 入現(xiàn)有的防火墻設(shè)備，那么移動(dòng)ipv6的消息便被防火墻所阻塞。移動(dòng)ipv6消息不能通過防火 墻的主要原因有兩個(gè)。一是，一旦mn移動(dòng)到一個(gè)新的鏈路，發(fā)送或來自mn的數(shù)據(jù)通信由 于有新的轉(zhuǎn)交地址coa標(biāo)識(shí)，這就引起通信被當(dāng)作是一個(gè)新的連接。另一個(gè)主要的原因是防 火墻不能識(shí)別移動(dòng)ipv6的控制消息，例如bu，ba，coti，hoti等等，其中的每一個(gè)消息都 將被防火墻認(rèn)為是一個(gè)新的連接。2.1 移動(dòng)節(jié)點(diǎn)在一個(gè)有防火墻保護(hù)的網(wǎng)絡(luò)內(nèi)假設(shè)移動(dòng)節(jié)點(diǎn)a在一個(gè)有防火墻保護(hù)的網(wǎng)絡(luò)內(nèi)。（1）當(dāng)移動(dòng)節(jié)點(diǎn)連接到網(wǎng)絡(luò)時(shí)，它需要一個(gè)當(dāng)?shù)豬p地址(coa)，根據(jù)當(dāng)前的配屬點(diǎn)發(fā)送 綁定更新給家鄉(xiāng)代理。按照移動(dòng)ipv6(mipv6)的說明，綁定更新和認(rèn)證將由ipsec esp保護(hù)。 然而，作為一個(gè)默認(rèn)的規(guī)則，很多防火墻會(huì)把esp包丟掉。這可能導(dǎo)致mn和ha之間的綁定 更新和認(rèn)證會(huì)被丟掉。（2）現(xiàn)在假設(shè)網(wǎng)外的節(jié)點(diǎn)b嘗試和移動(dòng)節(jié)點(diǎn)a建立一個(gè)連接。（a）b發(fā)送一個(gè)包給mn的家鄉(xiāng)地址；（b）這個(gè)包將被mn的ha截取，經(jīng)由隧道方式發(fā)送給mn的coa；（c）當(dāng)?shù)竭_(dá)被防火墻保護(hù)的移動(dòng)節(jié)點(diǎn)a時(shí)，包可能已被丟掉，因?yàn)檫M(jìn)入的包可能不匹 配任何一個(gè)存在的狀態(tài)；（d）b將不能聯(lián)系到移動(dòng)節(jié)點(diǎn)a而且不能建立連接。 盡管ha己經(jīng)更新了mn的位置，當(dāng)mn在一個(gè)有防火墻保護(hù)的網(wǎng)絡(luò)內(nèi)時(shí)，防火墻可能還是阻止cn建立通訊。（3）假設(shè)一個(gè)在mn a和外部節(jié)點(diǎn)b的連接。mn a可能想使用最優(yōu)路徑(ro)，以便包 可以直接的在mn和cn之間進(jìn)行交換不必經(jīng)由ha。然而防火墻保護(hù)的mn可能引出的問題 是，迂回路由過程(return routability procedure)必須在使用ro前完成。按照mipv6說明，迂 回路由測試(return routability test rrt)的家鄉(xiāng)測試(hot)消息必須用隧道模式由ipsec保護(hù)。 然而因?yàn)榉阑饓Σ荒芊治鲇蒭sp加密的包，防火墻可能丟掉任何被esp保護(hù)的包。防火墻可 能會(huì)丟掉家鄉(xiāng)測試消息而且阻止rrt,程序的完成，使得rrt不能進(jìn)行，從而不能實(shí)現(xiàn)最優(yōu)路 徑。（4）假設(shè)mn a成功的發(fā)送了綁定更新給他的ha (cn)，問題1(問題3)被解決。接著從 ha(cn)發(fā)送消息到mn的coa。然而還是會(huì)因?yàn)闆]有任何相應(yīng)的狀態(tài)在防火墻使得防火墻將 進(jìn)來的包丟掉。需要在防火墻創(chuàng)造適當(dāng)?shù)臓顟B(tài)規(guī)則使得mn可以與其他節(jié)點(diǎn)進(jìn)行通訊。（5） 當(dāng)mn a移動(dòng)時(shí)，它可能移動(dòng)到一個(gè)被別的不同防火墻保護(hù)的網(wǎng)絡(luò)。mn a可能發(fā)送bu給它的cn。然而，進(jìn)來的包都可能因?yàn)閙n歸屬的新的網(wǎng)絡(luò)的防火墻沒有任何mn的安 全關(guān)聯(lián)被防火墻丟掉。2.2 通訊節(jié)點(diǎn)在一個(gè)有防火墻保護(hù)的網(wǎng)絡(luò)內(nèi)(1) mn b使用它的家鄉(xiāng)地址 hoa b在和一個(gè)cn(cn a)建立通訊連接時(shí)，如果mn(mn b)想利用移動(dòng)ipv6協(xié)議提供的移動(dòng)性支持建立與cn a的通訊。通訊狀態(tài)由被防火墻保護(hù)的 cn a創(chuàng)建，因此創(chuàng)建的狀態(tài)是基于a的ip地址的(ipa)和節(jié)點(diǎn)b家鄉(xiāng)地址(iphoab)。如果mn b決定發(fā)起和節(jié)點(diǎn)a的路由最優(yōu)化過程，而路由最優(yōu)化需要mn b發(fā)送綁定更新 到節(jié)點(diǎn)a，以便創(chuàng)建一個(gè)實(shí)體綁定高速緩沖器變換mn的家鄉(xiāng)地址為它當(dāng)前的轉(zhuǎn)交地址。然 而，在綁定更新之前，移動(dòng)節(jié)點(diǎn)必須首先完成rrt。mn b必須發(fā)送一個(gè)經(jīng)由ha的初始家鄉(xiāng)測試(home test init hoti)消息，和一個(gè)直接發(fā)送 給cn a的初始轉(zhuǎn)換測試(care of test init coti)消息。coti消息的發(fā)送使用b的coa當(dāng)作源地 址。這樣的包不能匹配防火墻保護(hù)的任何實(shí)體，從而coti消息將被防火墻丟掉。hoti是一個(gè)移動(dòng)包頭，協(xié)議類型不同于已存在的狀態(tài)，hoti也將被丟掉。這樣的結(jié)果 就是，rrt不能完成，路由最優(yōu)化不能實(shí)現(xiàn)。每個(gè)包必須通過節(jié)點(diǎn)b的ha，在b的ha和b之 間使用隧道。(2)假定對cn的綁定更新是成功的，防火墻仍可能丟掉一些包: (a)來自coa的，因?yàn)橛蒫oa發(fā)送過來的包不能匹配下層包過濾。(b) cn發(fā)給coa的包，如果上層包過濾己經(jīng)實(shí)現(xiàn)。發(fā)送給mn的coa的上層包不匹配上 層包過濾。由此可見發(fā)送到(來自)coa的通訊的包過濾需要?jiǎng)?chuàng)建防火墻規(guī)則。要求防火墻依照檢測 到的，來自外部，被防火墻保護(hù)的網(wǎng)絡(luò)節(jié)點(diǎn)的綁定更新消息更新連接狀態(tài)，可是因?yàn)楫?dāng)前的 防火墻沒有辦法檢查綁定更新的合法性所以不能安全的更改狀態(tài)信息。沒有合法性檢查的綁 定更新而改變防火墻的狀態(tài)可能導(dǎo)致dos攻擊。惡意的節(jié)點(diǎn)可能發(fā)送偽裝的綁定更新強(qiáng)制防 火墻改變它的狀態(tài)信息，從而導(dǎo)致防火墻丟掉來自合法地址的包。一個(gè)網(wǎng)絡(luò)入侵者可能可以使用一個(gè)地址更新使得它自己的通訊進(jìn)入網(wǎng)絡(luò)。(3) 假設(shè)對cn的綁定更新是成功的，cn可能被不同的防火墻保護(hù)其結(jié)果可能是mn改變 ip地址，進(jìn)入的包和出去的包可能可以通過不同的防火墻。新的防火墻可能沒有任何cn的 關(guān)聯(lián)狀態(tài)，進(jìn)入的也包括出去的)通訊可能會(huì)在防火墻處被丟掉。2.3 家鄉(xiāng)代理在一個(gè)有防火墻保護(hù)的網(wǎng)絡(luò)內(nèi)假設(shè)mn移動(dòng)到一個(gè)有防火墻保護(hù)的網(wǎng)絡(luò)，以下的幾種情況可能存在2:(1) 如果防火墻阻礙esp通訊，很多mipv6信令(例如綁定更新，hot)在防火墻會(huì)被丟掉。 因?yàn)榻壎ǜ?，hot和其它的mipv6信令必須由ipsec esp保護(hù)，防火墻將會(huì)阻止mn綁定更 新高速緩沖器和最優(yōu)路徑的實(shí)施。(2) 如果防火墻保護(hù)的ha阻礙未被要求進(jìn)人的通訊，防火墻會(huì)丟掉建立連接要求的來 自的cn的包，還有來自mn的包。(3) 如果ha在網(wǎng)絡(luò)內(nèi)被幾個(gè)防火墻保護(hù)，mn/cn的ip地址改變可能導(dǎo)致在到ha或來自ha的通訊通過一個(gè)不同的防火墻，對數(shù)據(jù)流它沒有相應(yīng)的狀態(tài)對應(yīng)。防火墻會(huì)將包丟掉。 因此，我們急需一種在移動(dòng) ipv6 網(wǎng)絡(luò)環(huán)境中的一個(gè)防火墻的穿越機(jī)制。3.nsis 解決方案及在移動(dòng) ip 環(huán)境下穿越防火墻2001年11月ietf成立了nsis（next steps in signaling）工作組，致力于研究下一代信令 的需求、體系結(jié)構(gòu)以及協(xié)議實(shí)現(xiàn)等問題。nsis工作組提出通用的ip層信令框架，并為網(wǎng)絡(luò)實(shí) 體提供模型。它主要解決沿著數(shù)據(jù)路徑的網(wǎng)絡(luò)控制狀態(tài)建立問題，并根據(jù)模塊化的要求將信 令協(xié)議分成了兩層，這種體系結(jié)構(gòu)在很大程度上決定了nsis的靈活性和可擴(kuò)展性。nsis基本的設(shè)計(jì)思想是把信令傳輸和信令應(yīng)用分離開來，將信令協(xié)議分為兩層：信令應(yīng)用層3（nslp，nsis signaling layer protocol）和信令傳輸層4（ntlp，nsis transport layerprotocol）。其協(xié)議體系結(jié)構(gòu)如圖1所示：圖1 nsis協(xié)議體系結(jié)構(gòu)nsis natfw信令的主要目的是能夠進(jìn)行通訊5，穿過即使是有nat和防火墻的網(wǎng)絡(luò)。 nsis natfw nslp信令可用來沿著數(shù)據(jù)路徑動(dòng)態(tài)的在所有natfw中間盒中安裝增加的政 策規(guī)則。配置防火墻匹配nslp提供的政策規(guī)則以便可以向前發(fā)送數(shù)據(jù)包。配置nat匹配由 nslp信令提供的政策規(guī)則來翻譯數(shù)據(jù)包。除nsis natfw信令主要目的外，nsis natfw 節(jié)點(diǎn)還可以要求阻塞特定的數(shù)據(jù)流，nilp為下層傳輸層使用協(xié)議gist6。應(yīng)用本方案主要解決在移動(dòng)ipv6環(huán)境下，mn、ha、cn分別或同時(shí)處于防火墻后，由 于地址改變引起的移動(dòng)ip信令或數(shù)據(jù)無法穿越防火墻的問題7。在本部分的余下內(nèi)容，用于分析本方案在用于移動(dòng)ip環(huán)境下mn、ha、cn分別處于防 火墻之后的信令流程的操作步驟，在這其中又分為mn向cn發(fā)送數(shù)據(jù)（mn位數(shù)據(jù)發(fā)送方ds） 和cn向mn發(fā)送數(shù)據(jù)（cn為數(shù)據(jù)發(fā)送方ds）兩種情況，共六種操作流程8 。4.實(shí)驗(yàn)及結(jié)果分析我們在ns2平臺(tái)上完成了nsis協(xié)議的仿真實(shí)現(xiàn)，ns2版本使用allinone-2.29，移動(dòng)ipv6的環(huán)境使用mobiwan補(bǔ)丁，在此之上實(shí)現(xiàn)ntlp和nslp兩層信令的狀態(tài)機(jī)。具體的源代碼可以獲得下載。下面是一個(gè)具體的仿真情形，其拓?fù)浣Y(jié)構(gòu)如下：圖2 仿真拓?fù)鋱D在1.0.0、1.1.0、1.2.0分別仿真設(shè)計(jì)一個(gè)防火墻，其規(guī)則設(shè)置為“all deny”mn移動(dòng)前，cn 與mn進(jìn)行通信，開始數(shù)據(jù)流被防火墻阻擋，在cn向mn的nsis信令發(fā)送后，nsis的nat/fw nslp在各個(gè)節(jié)點(diǎn)狀態(tài)的建立，防火墻規(guī)則被修改，使移動(dòng)前cn與mn通信的數(shù)據(jù)流正常通 過。各狀態(tài)建立時(shí)間如下圖表所示：表 1 mn 移動(dòng)前各節(jié)點(diǎn)建立狀態(tài)時(shí)間圖3 mn移動(dòng)前為數(shù)據(jù)進(jìn)行穿越的nsis信令狀態(tài)建立時(shí)間圖mn移動(dòng)后，在11.502時(shí)獲得轉(zhuǎn)交地址，轉(zhuǎn)交地址coa為1.2.6，同時(shí)向ha發(fā)送bu消息， 為使bu消息通過路徑上的防火墻，同樣需要利用nsis協(xié)議進(jìn)行防火墻穿越。在各個(gè)節(jié)點(diǎn)狀態(tài)的建立時(shí)間如下：表 2 mn 移動(dòng)后向 ha 發(fā)起信令各節(jié)點(diǎn)建立狀態(tài)時(shí)間圖4 mn移動(dòng)后為bu進(jìn)行穿越的nsis信令狀態(tài)建立時(shí)間圖之后的hoti和hot消息以及三角路由的數(shù)據(jù)包與上圖中的路徑相同，同樣需要nsis協(xié) 議對防火墻進(jìn)行穿越，與為bu消息的穿越類似。rtt過程中的coti、cot消息，mn發(fā)送給 cn的bu消息，需要nsis協(xié)議在新的路徑上穿越防火墻，具體的防火墻探測和狀態(tài)建立時(shí)間 如下圖：表 3 mn 移動(dòng)后向 cn 發(fā)起信令各節(jié)點(diǎn)建立狀態(tài)時(shí)間5.結(jié)論圖5 mn移動(dòng)后在新路徑進(jìn)行穿越的nsis信令狀態(tài)建立時(shí)間圖本文通過詳細(xì)介紹了nsis信令協(xié)議nslp，它允許主機(jī)依照數(shù)據(jù)流的需要沿著路徑發(fā)送 信令配置防火墻。natfw nslp處理在數(shù)據(jù)路徑上的動(dòng)態(tài)配置的請求。在研究了眾多的穿 越防火墻的方法后選取使用nsis信令協(xié)議解決防火墻穿越的問題。當(dāng)防火墻是nsis可以識(shí) 別的，允許nsis信令通過的時(shí)候，可以通過信令的發(fā)送便得防火墻外面的節(jié)點(diǎn)通過網(wǎng)內(nèi)節(jié) 點(diǎn)的認(rèn)證與授權(quán)，允許經(jīng)過認(rèn)證和授權(quán)的網(wǎng)外的節(jié)點(diǎn)可以獲得通過防火墻的權(quán)利，并可以通 過信令改變防火墻的規(guī)則，使得防火墻的穿越問題得以解決。參考文獻(xiàn)1 f. le s. faccin. rfc4487-mobile ipv6 and firewalls problem statement. may 20062 f. bao y. qiu. solution of mipv6 friendly firewall.draft-qiu-mip6-friendlyfirewall-01.april 20073 m. stiemerling h. tschofenig. nat/firewall nsis signaling layer protocol(nslp). draftietf-nsis-nslpnatfw-14. march 5, 20074 h. schulzrinne r.hancock.gist: general internet signaling transport. draft-ietf-nsis-ntlp-13. april 2007 5 yang shen miao fuyou. firewall traversal for mobile ipv6. draft-miao-mip6-ft-02.may, 20066 h.tschofenig f. le mobile ipv6 - nsis interaction for firewall traversal. draft-thiruvengadam-nsis-mip6-fw-06. march 2, 20077 x. fu c. werner. nat/fw nslp state machine. draft-werner-nsis-natfw-nslpstatemachine-01. july 17, 2005 8 t. sanda x. fu. applicability statement of nsis protocols in mobile environments. draft-ietfnsis-applicabilitymobility-signaling-06. march 5, 2007an application of firewall traversal based on nsis inmipv6 environmentwen xinghuadepartment of information and telecommunication engineering, beijing university of posts andtelecommunications, beijing (100876)abstractwith the development of network technology especially the mobile ipv6, mobile work became moreand more important to peoples life and work. now, although firewalls are deployed wi