NSIS 中的 NATFW 信令在移動 IPv6 下的研究.doc

精品論文nsis 中的 natfw 信令在移動 ipv6 下的研究溫興華 北京郵電大學信息與通信工程系，北京 (100876) e-mail: 摘要：隨著網(wǎng)絡(luò)技術(shù)特別是移動 ipv6 技術(shù)的發(fā)展，移動辦公己經(jīng)成為了生活工作的需要。為了網(wǎng)絡(luò)安全而廣泛應用的防火墻技術(shù)在與移動 ipv6 應用過程中出現(xiàn)了很多問題，本文對 防火墻技術(shù)在移動 ipv6 網(wǎng)絡(luò)環(huán)境中應用的過程中出現(xiàn)的問題進行了詳細的分析，對 nsis 協(xié)議進行了詳細的介紹，其中重點研究了 nsis 協(xié)議中的 natfw nslp 信令應用。natfw nslp 信令應用中提出可以通過信令改變信令所經(jīng)過的路徑上的防火墻的規(guī)則?？梢詰?natfw nslp 協(xié)議來解決防火墻穿越的問題。目前，網(wǎng)絡(luò)中部署的大部分防火墻不支持移 動 ipv6，利用 nsis 協(xié)議的 nat/fw nslp 配置防火墻策略是一種通過信令方式使移動 ip 消息穿越防火墻的方案，應用 natfw nslp 協(xié)議，參與通訊的節(jié)點發(fā)出信令，創(chuàng)建 nsis 會話，通過安全認證建立了 nsis 會話后，就可以通過對防火墻規(guī)則的改變來解決因為移動性而帶來的穿越問題。關(guān)鍵詞：移動 ipv6；nsis；natfw；防火墻穿越1.引言近幾年來，internet技術(shù)的迅速發(fā)展和網(wǎng)絡(luò)的日益普及使人們對計算機的傳統(tǒng)認識發(fā)生 了巨大的變化。人們傳統(tǒng)的生活、工作方式都收到internet的網(wǎng)絡(luò)化、信息化的巨大的影響， 并滲透到社會的各個方面，internet已成為人們的一種重要、有效的工具。e-mail, ftp,網(wǎng)絡(luò) 商城、各種信息的查詢與發(fā)布系統(tǒng)等已經(jīng)成為人們進行各種信息交流不可缺少的重要的工 具。然而，目前基于ipv4的互聯(lián)網(wǎng)在實際應用中越來越暴露出其不足之處。隨著人們對移動辦公的需要以及個人手提電腦的普及、無線技術(shù)的發(fā)展，無線互聯(lián)網(wǎng)逐 漸受到重視，己經(jīng)提到了議事議程。國內(nèi)外很多專家認為:筆記本電腦、掌上型電腦、個人 數(shù)字助理(pda)將代表連入internet的主流設(shè)備。越來越多的人成為了移動辦公的一分子，包 括遠程計算機人員、移動售貨員以及其它一些經(jīng)常需要跑來跑去的人，這些人急切的希望能 從企業(yè)網(wǎng)的計算機中或是互聯(lián)網(wǎng)上獲得所需的數(shù)據(jù)。不斷增加的移動辦公人群、對網(wǎng)絡(luò)越來 越強的依賴和移動計算技術(shù)的發(fā)展推動著移動計算機與其他計算機相連的需求的不斷發(fā)展。 移動計算機的優(yōu)點是用戶可以隨便改變他們的互聯(lián)網(wǎng)接入點，在這個基礎(chǔ)上，讓人們能夠隨 時、隨地訪問internet，這成為當前internet技術(shù)研究的一個熱點。在這種背景下出現(xiàn)了新的 互聯(lián)網(wǎng)協(xié)議ipv6。ipv6就是為了解決現(xiàn)行internet出現(xiàn)的問題而誕生的。ipv6繼承了ipv4的優(yōu)點，并根據(jù) ipv4多年來運行的經(jīng)驗進行了大幅度的修改和功能擴充，根據(jù)對移動性的需要更多地考慮到 了移動ip的實現(xiàn)，比ipv4處理性能更加強大、高效。與互聯(lián)網(wǎng)發(fā)展過程中涌現(xiàn)的其它技術(shù)概念相比，ipv6可以說是引起爭議最少的一個。人們也已形成共識，認為ipv6取代ipv4是必然發(fā)展趨勢?；趇pv6的移動ipv6可以使用戶在不中斷網(wǎng)絡(luò)連接的情況下隨意漫游，給用戶帶 來了極大的方便。但在移動ip的環(huán)境中。主機可以隨意進行移動，并且可以使用包括無線信 道在內(nèi)的多種傳輸媒介，由此也決定了它將面對更多的安全問題。所以在擴展現(xiàn)有的ip網(wǎng)絡(luò)、 提供更多增強功能的同時，必須仔細地考慮它對網(wǎng)絡(luò)安全的影響，使得移動ip必須在實現(xiàn)的 過程中進行安全擴展、增加額外的安全措施，以防范可能的針對移動ip的攻擊；由于移動ip 必須與現(xiàn)有的ip網(wǎng)絡(luò)共存，因此移動ip不僅要解決現(xiàn)有的各種各樣安全手段帶來的不便，還 要盡可能的利用現(xiàn)有的安全手段保護移動ip的安全，這就需要調(diào)整、擴展基本的移動ip技術(shù)，-7-使之能夠與現(xiàn)有的安全手段很好的協(xié)同工作。本文首先在第2部分簡要介紹了在目前防火墻在應用過程中與移動ipv6產(chǎn)生的矛盾。第4 章介紹nsis的natfw nslp協(xié)議。第3章在對當前的存在的主要問題的分析后，提出基于 natfw nslp的解決方案。方案的核心就是應用natfw nslp改變防火墻的規(guī)則，解決由 于移動性而帶來的矛盾。第4章對提出的解決方案進行分析，給出簡單算法和模擬試驗。最 后一章是對全文的總結(jié)，并對下一步工作進行展望。2.移動 ipv6 下防火墻穿越需求作為一個重要的安全設(shè)備，防火墻被廣泛應用在現(xiàn)有的網(wǎng)絡(luò)中。然而當前的防火墻本質(zhì) 上都是為固定網(wǎng)絡(luò)而設(shè)計的，很難支持移動ipv61。在現(xiàn)有的典型的移動ipv6網(wǎng)絡(luò)中，我們 目前所研究和討論的各種情形都是不含有防火墻設(shè)備的理想情形，一旦在移動ipv6網(wǎng)絡(luò)中加 入現(xiàn)有的防火墻設(shè)備，那么移動ipv6的消息便被防火墻所阻塞。移動ipv6消息不能通過防火 墻的主要原因有兩個。一是，一旦mn移動到一個新的鏈路，發(fā)送或來自mn的數(shù)據(jù)通信由 于有新的轉(zhuǎn)交地址coa標識，這就引起通信被當作是一個新的連接。另一個主要的原因是防 火墻不能識別移動ipv6的控制消息，例如bu，ba，coti，hoti等等，其中的每一個消息都 將被防火墻認為是一個新的連接。2.1 移動節(jié)點在一個有防火墻保護的網(wǎng)絡(luò)內(nèi)假設(shè)移動節(jié)點a在一個有防火墻保護的網(wǎng)絡(luò)內(nèi)。（1）當移動節(jié)點連接到網(wǎng)絡(luò)時，它需要一個當?shù)豬p地址(coa)，根據(jù)當前的配屬點發(fā)送 綁定更新給家鄉(xiāng)代理。按照移動ipv6(mipv6)的說明，綁定更新和認證將由ipsec esp保護。 然而，作為一個默認的規(guī)則，很多防火墻會把esp包丟掉。這可能導致mn和ha之間的綁定 更新和認證會被丟掉。（2）現(xiàn)在假設(shè)網(wǎng)外的節(jié)點b嘗試和移動節(jié)點a建立一個連接。（a）b發(fā)送一個包給mn的家鄉(xiāng)地址；（b）這個包將被mn的ha截取，經(jīng)由隧道方式發(fā)送給mn的coa；（c）當?shù)竭_被防火墻保護的移動節(jié)點a時，包可能已被丟掉，因為進入的包可能不匹 配任何一個存在的狀態(tài)；（d）b將不能聯(lián)系到移動節(jié)點a而且不能建立連接。 盡管ha己經(jīng)更新了mn的位置，當mn在一個有防火墻保護的網(wǎng)絡(luò)內(nèi)時，防火墻可能還是阻止cn建立通訊。（3）假設(shè)一個在mn a和外部節(jié)點b的連接。mn a可能想使用最優(yōu)路徑(ro)，以便包 可以直接的在mn和cn之間進行交換不必經(jīng)由ha。然而防火墻保護的mn可能引出的問題 是，迂回路由過程(return routability procedure)必須在使用ro前完成。按照mipv6說明，迂 回路由測試(return routability test rrt)的家鄉(xiāng)測試(hot)消息必須用隧道模式由ipsec保護。 然而因為防火墻不能分析由esp加密的包，防火墻可能丟掉任何被esp保護的包。防火墻可 能會丟掉家鄉(xiāng)測試消息而且阻止rrt,程序的完成，使得rrt不能進行，從而不能實現(xiàn)最優(yōu)路 徑。（4）假設(shè)mn a成功的發(fā)送了綁定更新給他的ha (cn)，問題1(問題3)被解決。接著從 ha(cn)發(fā)送消息到mn的coa。然而還是會因為沒有任何相應的狀態(tài)在防火墻使得防火墻將 進來的包丟掉。需要在防火墻創(chuàng)造適當?shù)臓顟B(tài)規(guī)則使得mn可以與其他節(jié)點進行通訊。（5） 當mn a移動時，它可能移動到一個被別的不同防火墻保護的網(wǎng)絡(luò)。mn a可能發(fā)送bu給它的cn。然而，進來的包都可能因為mn歸屬的新的網(wǎng)絡(luò)的防火墻沒有任何mn的安 全關(guān)聯(lián)被防火墻丟掉。2.2 通訊節(jié)點在一個有防火墻保護的網(wǎng)絡(luò)內(nèi)(1) mn b使用它的家鄉(xiāng)地址 hoa b在和一個cn(cn a)建立通訊連接時，如果mn(mn b)想利用移動ipv6協(xié)議提供的移動性支持建立與cn a的通訊。通訊狀態(tài)由被防火墻保護的 cn a創(chuàng)建，因此創(chuàng)建的狀態(tài)是基于a的ip地址的(ipa)和節(jié)點b家鄉(xiāng)地址(iphoab)。如果mn b決定發(fā)起和節(jié)點a的路由最優(yōu)化過程，而路由最優(yōu)化需要mn b發(fā)送綁定更新 到節(jié)點a，以便創(chuàng)建一個實體綁定高速緩沖器變換mn的家鄉(xiāng)地址為它當前的轉(zhuǎn)交地址。然 而，在綁定更新之前，移動節(jié)點必須首先完成rrt。mn b必須發(fā)送一個經(jīng)由ha的初始家鄉(xiāng)測試(home test init hoti)消息，和一個直接發(fā)送 給cn a的初始轉(zhuǎn)換測試(care of test init coti)消息。coti消息的發(fā)送使用b的coa當作源地 址。這樣的包不能匹配防火墻保護的任何實體，從而coti消息將被防火墻丟掉。hoti是一個移動包頭，協(xié)議類型不同于已存在的狀態(tài)，hoti也將被丟掉。這樣的結(jié)果 就是，rrt不能完成，路由最優(yōu)化不能實現(xiàn)。每個包必須通過節(jié)點b的ha，在b的ha和b之 間使用隧道。(2)假定對cn的綁定更新是成功的，防火墻仍可能丟掉一些包: (a)來自coa的，因為由coa發(fā)送過來的包不能匹配下層包過濾。(b) cn發(fā)給coa的包，如果上層包過濾己經(jīng)實現(xiàn)。發(fā)送給mn的coa的上層包不匹配上 層包過濾。由此可見發(fā)送到(來自)coa的通訊的包過濾需要創(chuàng)建防火墻規(guī)則。要求防火墻依照檢測 到的，來自外部，被防火墻保護的網(wǎng)絡(luò)節(jié)點的綁定更新消息更新連接狀態(tài)，可是因為當前的 防火墻沒有辦法檢查綁定更新的合法性所以不能安全的更改狀態(tài)信息。沒有合法性檢查的綁 定更新而改變防火墻的狀態(tài)可能導致dos攻擊。惡意的節(jié)點可能發(fā)送偽裝的綁定更新強制防 火墻改變它的狀態(tài)信息，從而導致防火墻丟掉來自合法地址的包。一個網(wǎng)絡(luò)入侵者可能可以使用一個地址更新使得它自己的通訊進入網(wǎng)絡(luò)。(3) 假設(shè)對cn的綁定更新是成功的，cn可能被不同的防火墻保護其結(jié)果可能是mn改變 ip地址，進入的包和出去的包可能可以通過不同的防火墻。新的防火墻可能沒有任何cn的 關(guān)聯(lián)狀態(tài)，進入的也包括出去的)通訊可能會在防火墻處被丟掉。2.3 家鄉(xiāng)代理在一個有防火墻保護的網(wǎng)絡(luò)內(nèi)假設(shè)mn移動到一個有防火墻保護的網(wǎng)絡(luò)，以下的幾種情況可能存在2:(1) 如果防火墻阻礙esp通訊，很多mipv6信令(例如綁定更新，hot)在防火墻會被丟掉。 因為綁定更新，hot和其它的mipv6信令必須由ipsec esp保護，防火墻將會阻止mn綁定更 新高速緩沖器和最優(yōu)路徑的實施。(2) 如果防火墻保護的ha阻礙未被要求進人的通訊，防火墻會丟掉建立連接要求的來 自的cn的包，還有來自mn的包。(3) 如果ha在網(wǎng)絡(luò)內(nèi)被幾個防火墻保護，mn/cn的ip地址改變可能導致在到ha或來自ha的通訊通過一個不同的防火墻，對數(shù)據(jù)流它沒有相應的狀態(tài)對應。防火墻會將包丟掉。 因此，我們急需一種在移動 ipv6 網(wǎng)絡(luò)環(huán)境中的一個防火墻的穿越機制。3.nsis 解決方案及在移動 ip 環(huán)境下穿越防火墻2001年11月ietf成立了nsis（next steps in signaling）工作組，致力于研究下一代信令 的需求、體系結(jié)構(gòu)以及協(xié)議實現(xiàn)等問題。nsis工作組提出通用的ip層信令框架，并為網(wǎng)絡(luò)實 體提供模型。它主要解決沿著數(shù)據(jù)路徑的網(wǎng)絡(luò)控制狀態(tài)建立問題，并根據(jù)模塊化的要求將信 令協(xié)議分成了兩層，這種體系結(jié)構(gòu)在很大程度上決定了nsis的靈活性和可擴展性。nsis基本的設(shè)計思想是把信令傳輸和信令應用分離開來，將信令協(xié)議分為兩層：信令應用層3（nslp，nsis signaling layer protocol）和信令傳輸層4（ntlp，nsis transport layerprotocol）。其協(xié)議體系結(jié)構(gòu)如圖1所示：圖1 nsis協(xié)議體系結(jié)構(gòu)nsis natfw信令的主要目的是能夠進行通訊5，穿過即使是有nat和防火墻的網(wǎng)絡(luò)。 nsis natfw nslp信令可用來沿著數(shù)據(jù)路徑動態(tài)的在所有natfw中間盒中安裝增加的政 策規(guī)則。配置防火墻匹配nslp提供的政策規(guī)則以便可以向前發(fā)送數(shù)據(jù)包。配置nat匹配由 nslp信令提供的政策規(guī)則來翻譯數(shù)據(jù)包。除nsis natfw信令主要目的外，nsis natfw 節(jié)點還可以要求阻塞特定的數(shù)據(jù)流，nilp為下層傳輸層使用協(xié)議gist6。應用本方案主要解決在移動ipv6環(huán)境下，mn、ha、cn分別或同時處于防火墻后，由 于地址改變引起的移動ip信令或數(shù)據(jù)無法穿越防火墻的問題7。在本部分的余下內(nèi)容，用于分析本方案在用于移動ip環(huán)境下mn、ha、cn分別處于防 火墻之后的信令流程的操作步驟，在這其中又分為mn向cn發(fā)送數(shù)據(jù)（mn位數(shù)據(jù)發(fā)送方ds） 和cn向mn發(fā)送數(shù)據(jù)（cn為數(shù)據(jù)發(fā)送方ds）兩種情況，共六種操作流程8 。4.實驗及結(jié)果分析我們在ns2平臺上完成了nsis協(xié)議的仿真實現(xiàn)，ns2版本使用allinone-2.29，移動ipv6的環(huán)境使用mobiwan補丁，在此之上實現(xiàn)ntlp和nslp兩層信令的狀態(tài)機。具體的源代碼可以獲得下載。下面是一個具體的仿真情形，其拓撲結(jié)構(gòu)如下：圖2 仿真拓撲圖在1.0.0、1.1.0、1.2.0分別仿真設(shè)計一個防火墻，其規(guī)則設(shè)置為“all deny”mn移動前，cn 與mn進行通信，開始數(shù)據(jù)流被防火墻阻擋，在cn向mn的nsis信令發(fā)送后，nsis的nat/fw nslp在各個節(jié)點狀態(tài)的建立，防火墻規(guī)則被修改，使移動前cn與mn通信的數(shù)據(jù)流正常通 過。各狀態(tài)建立時間如下圖表所示：表 1 mn 移動前各節(jié)點建立狀態(tài)時間圖3 mn移動前為數(shù)據(jù)進行穿越的nsis信令狀態(tài)建立時間圖mn移動后，在11.502時獲得轉(zhuǎn)交地址，轉(zhuǎn)交地址coa為1.2.6，同時向ha發(fā)送bu消息， 為使bu消息通過路徑上的防火墻，同樣需要利用nsis協(xié)議進行防火墻穿越。在各個節(jié)點狀態(tài)的建立時間如下：表 2 mn 移動后向 ha 發(fā)起信令各節(jié)點建立狀態(tài)時間圖4 mn移動后為bu進行穿越的nsis信令狀態(tài)建立時間圖之后的hoti和hot消息以及三角路由的數(shù)據(jù)包與上圖中的路徑相同，同樣需要nsis協(xié) 議對防火墻進行穿越，與為bu消息的穿越類似。rtt過程中的coti、cot消息，mn發(fā)送給 cn的bu消息，需要nsis協(xié)議在新的路徑上穿越防火墻，具體的防火墻探測和狀態(tài)建立時間 如下圖：表 3 mn 移動后向 cn 發(fā)起信令各節(jié)點建立狀態(tài)時間5.結(jié)論圖5 mn移動后在新路徑進行穿越的nsis信令狀態(tài)建立時間圖本文通過詳細介紹了nsis信令協(xié)議nslp，它允許主機依照數(shù)據(jù)流的需要沿著路徑發(fā)送 信令配置防火墻。natfw nslp處理在數(shù)據(jù)路徑上的動態(tài)配置的請求。在研究了眾多的穿 越防火墻的方法后選取使用nsis信令協(xié)議解決防火墻穿越的問題。當防火墻是nsis可以識 別的，允許nsis信令通過的時候，可以通過信令的發(fā)送便得防火墻外面的節(jié)點通過網(wǎng)內(nèi)節(jié) 點的認證與授權(quán)，允許經(jīng)過認證和授權(quán)的網(wǎng)外的節(jié)點可以獲得通過防火墻的權(quán)利，并可以通 過信令改變防火墻的規(guī)則，使得防火墻的穿越問題得以解決。參考文獻1 f. le s. faccin. rfc4487-mobile ipv6 and firewalls problem statement. may 20062 f. bao y. qiu. solution of mipv6 friendly firewall.draft-qiu-mip6-friendlyfirewall-01.april 20073 m. stiemerling h. tschofenig. nat/firewall nsis signaling layer protocol(nslp). draftietf-nsis-nslpnatfw-14. march 5, 20074 h. schulzrinne r.hancock.gist: general internet signaling transport. draft-ietf-nsis-ntlp-13. april 2007 5 yang shen miao fuyou. firewall traversal for mobile ipv6. draft-miao-mip6-ft-02.may, 20066 h.tschofenig f. le mobile ipv6 - nsis interaction for firewall traversal. draft-thiruvengadam-nsis-mip6-fw-06. march 2, 20077 x. fu c. werner. nat/fw nslp state machine. draft-werner-nsis-natfw-nslpstatemachine-01. july 17, 2005 8 t. sanda x. fu. applicability statement of nsis protocols in mobile environments. draft-ietfnsis-applicabilitymobility-signaling-06. march 5, 2007an application of firewall traversal based on nsis inmipv6 environmentwen xinghuadepartment of information and telecommunication engineering, beijing university of posts andtelecommunications, beijing (100876)abstractwith the development of network technology especially the mobile ipv6, mobile work became moreand more important to peoples life and work. now, although firewalls are deployed wi