前沿理论
D S T M过渡技术及其网络安全策略
DSTM概述
IPv4/IPv6过渡问题是一个相当复杂的问题 ,现在已经
提出了许多种不同的方法来解决这个问题 ,包括双栈、SIIT、
NAT—PT、S0CKS64、BIA、Tunnel Broker、6to4和 BIS
等等 ,这些方法各 自适用于过渡过程 中的不同情况。DSTM
(Dual Stack Transition Mechanism)的目标在于解决纯
IPv6网络中的主机与其他IPv4主机或应用的连接 问题 ,它
的 出发点是提供 IPv6节 点一个获得 IPv4地址 的方式,从而
使之能够与纯IPv4节点或者IPv4应用程序通信。DSTM技
术通过使用 IPv4一over—IPv6隧道 ,实现 了IPv4流量任纯
IPv6网上 的传输 ,同时也提供一个为IPv6/IPv4双栈节点分
配临时IPv4地址的方法。
DSTM 目前还处于IETF草案阶段 。使用DSTM机制的
节点必须是双栈节点 ,而且这种机制还必须要结合隧道技术
进行应用。
DsTM体系结构
DSTM的体 系结构(In图l所示)中包括三个主要组成部
分 :DSTM服务器、网关和 DSTM节点。其 中,DSTM服务
器负责为客户机节点分~gIPv4地址 ,它只需要保证在一定的
时间内IPv4地址的唯一性 ;网关作为隧道端点承担纯IPv6域
和外部 的IPv4 Internet或Intranet的边界路 由器的角色 ;
DSTM节点执 行封装/解封装数据包,完成收发过程。这里
有两点需要注意 :DSTM节点必须是双栈节点 ,纯IPv6的节
点不能使用DSTM;只有网关需要直接与IPv4连接并需要一
个永久IPv4地址。
图1:DSTM的体系结构
DSTM模型假定如下 :
1.DSTM域在Intranet~i不是Internet中。
2.IPv6节点平时不维护IPV4地址(除非是与纯IPv4节
信息产业部电信研究院通信标准研究所 徐贵宝
点通信或使用IPv4应用而临时分配地址 )。
3.临时IPv4地址 由DSTM服务器负责分配 ,分配 的协
议有多种选择(DHCPv6就是一个不错的选择)。由于服务器
和客户机是都是在同一个纯IPv6网络中,所以地址分配协议
要考虑这个限制。
4.作为地址分配功能的扩展 ,DSTM服务器还可以提
供一个端 口范围供客户机使用。这样就可以允许几个不同的
DSTM节点同时使用相同的IPv4地址 ,从而大大减小了所需
的IPv4地址池。
5.在DSTM域内,IPv4路 由表保留到最小,从而减少
了过渡时期所需要的IPv4网管工作。
6.一旦IPv6节点获得一个IPv4地址(也可能是一个端
口范 围),就会使用 4over6隧道将 包从该节 点转发到一个
DSTM TEP,在那里拆封后再使用IPv4转发。DSTM服务
器应为客户机提供所需TEP的IPv6地 址,这也 是地址分配
过程的一部分工作。
7.现有的IPv4应用不需任何修改就可以在DSTM节点
上 运行 。
8.只要 目的地址是TEP可达的纯IPv4主机,DSTM节
点就可以与它进行通信。
DsTM通信过程
DSTM节点与IPv4通信的过程如下 :
1.DSTM节点向DsrM服务器请求一个临时的IPv4地址。
2.DSTM服务器在地址池 中为该DSTM节点保留一个
IPv4地址,并在应答消息中将该地址和地址的有效时间以及
有关DSTM网关(也就是TEP)的信息发送给DSTM节点。
3.DSTM节点使用申请来的地址配置其IPv4堆栈 ,并
将所有IPv4包都通过IPv4 over IPv6隧道送到DSTM网关。
4.DSTM网关将包拆封成IPv4包发送 出去。DSTM网
关保留一个含有intranet主机IPv4和IPv6地址的映射表,并
利用此映射表来执行IPv4包的封装和拆封。为保证双 向通
信 ,IPv4路 由必须要确保 目的地为A的任何包都经过 C。
DSTM节点要求
网络上 的每个主机都需要有一个DSTM主机应用。现
在 ,已经有支持 FreeBSD、Linux和 Microsoft Windows
维普资讯
前沿理论
DSTM 过渡技术及其网络安全策略
DSTM概述
IPv4/IPv6过渡问题是一个相当复杂的问题,现在已经
提出了许多种不同的方法来解决这个问题,包括双枝、SIIT 、
NAT-PT 、 SOCKS64 、 BIA 、 Tunnel Broker 、 6to4 和 BIS
等等,这些方法各自适用于过渡过程中的不同情况。DSTM
(Dual Stack Transition Mechanism)的目标在于解决纯
IPv6网络中的主机与其他IPv4主机或应用的连接问题,它
的出发点是提供IPv6节点 J个获得IPv4地址的方式,从而
使之能够与纯IPv4节点或者IPv4应用程序通信。 DSTM技
术通过使用 IPv4一over-IPv6隧道,实现了 IPv4流量在纯
IPv6网上的传输,同时也提供一个为IPv6/IPv4双枝节点分
配临时IPv4地址的方法。
DSTM 目前还处于IETF草案阶段。使用DSTM机制的
节点必须是双钱节点,而且这种机制还必须要结合隧道技术
进行应用。
DSTM 体系结构
DSTM的体系结构(如图 l所示)中包括三个主要组成部
分:DSTM服务器、网关和DSTM节点。其中, DSTM服务
器负责为客户机节点分配IPv4地址,它只需要保证在一定的
时间内IPv4地址的唯一性 g 网关作为隧道端点承担纯IPv6域
和外部的 IPv4 Internet 或 Intranet 的边界路由器的角色:
DSTM节点执行封装/解封装数据包,完成收发过程。这里
有两点需要注意 :DSTM节点必须是双钱节点,纯IPv6的节
点不能使用DSTM; 只有网关需要直接与IPv4连接并需要一
个永久IPv4地址。
纯IPv6网络
图 1: DSTM 的体系结构
DSTM模型假定如下:
IPv4. Int ernet
或Intranet
IPv4.应用域
1. DSTM域在Intranet丽不是Internet 中。
2. IPv6节点平时不维护IPv4地址(除非是与纯IPv4节
信息产业部电信研究院通信标准研究所 徐贵宝
点通信或使用IPv4应用而临时分配地址)。
3. 临时IPv4地址由DSTM服务器负责分配,分配的协
议有多种选择(DHCPv6就是→个不错的选择)。由于服务器
和客户机是都是在同一个纯IPv6网络中,所以地址分配协议
要考虑这个限制。
4. 作为地址分配功能的扩展, DSTM服务器还可以提
供一个端口范围供客户机使用。这样就可以允许几个不同的
DSTM节点同时使用相同的IPv4地址,从而大大减小了所需
的IPv4地址池。
5. 在DSTM域内, IPv4路由表保留到最小,从而减少
了过渡时期所需要的IPv4网管王作。
6. 一旦IPv6节点获得→个IPv4地址(也可能是一个端
口范围),就会使用 4over6 隧道将包从该节点转发到→个
DSTM TEP,在那里拆封后再使用 IPv4转发。 DSTM服务
器应为客户机提供所需TEP的 IPv6地址,这也是地址分配
过程的一部分工作。
7. 现有的IPv4应用不需任何修改就可以在DSTM节点
上运行。
8. 只要目的地址是TEP可达的纯IPv4主机, DSTM节
点就可以与它进行通信。
DSTM 通信过程
DSTM节点与IPv4通信的过程如下:
1. DSTM节点向DSTM服务器请求一个临时的1Pv4地址。
2. DSTM服务器在地址池中为该DSTM节点保留一个
IPv4地址,并在应答消息中将该地址和地址的有效时间以及
有关DSTM网关(也就是TEP)的信息发送给DSTM节点。
3. DSTM节点使用申请来的地址配置其IPv4堆钱,并
将所有IPv4包部通过IPv4 over IPv6隧道送到DSTM网关。
4. DSTM网关将包拆封成IPv4包发送出去。DSTM网
关保留一个含有intranet主机IPv4和IPv6地址的映射表,并
利用此映射表来执行IPv4包的封装和拆封。为保证双向通
信, IPv4路由必须要确保目的地为A的任何包部经过C 。
DSTM 节点要求
网络上的每个主机都需要有一个 DSTM主机应用。现
在,已经有支持FreeBSD 、 Linux和 Microsoft Windows
Netinfo Security 31
安全监察
2000的DSTM 主机应用。芒机有IPv6连接能力,凶此住不
需要进行IPv4通信时也可 以有纯IPv6应用。例如,在DSTM
网络中,一些内部应用就可以使用纯IPv6的而不冉需要支持
IPv4。每个需要通过IPv4通信的应用都必须支持IPv6一IPv4
双栈。FreeBSD中ENST提供的主机应用需要 ‘个“gif”(隧
道)接 口来支持IPv4 over IPv6隧道 。
I Pv4协议栈的配置
只要通信是在本地IPv6中发生的 ,DSTM节点就不需
要使用IPv4地址。主机 只有在以下情况时才需要IPv4地址 :
1.DNS解析的结果表明 目的地址是一个IPv4地址 ;
2.当应用打开一个IPv4 socket;
3.一个IPv4数据包发往内核而又没有接口准备转发此包。
当第一个 IPv4包需要发送时,DSTM客户机 管通过
什么方式,必 须与DSTM服 务器取 得联 系。随后,客户机从
服务器那里获得一个临时的IPv4地址 以及 一个TEP的IPv6
地址。如果允许的话,服务器还可以提供所使用的端口范围。
这些信息都用来进 行4over6接 口的配置 。只有4over6的隧
道接 口配置后,IPv4协议栈的配置才宣告完成。
IPv4包转发
由于没有 IPv4路由设施 ,DSTM节点不能直接在网络
上发送IPv4包,所以DSTM节点必须能建立与隧道端点TEP
之间的4over6隧道 。DSTM节点将IPv4包封装进IPv6包后 ,
再通过该隧道发给隧道端点TEP(TEP可以看作是 一个特殊的
DSTM节点),TEP完成拆封工作后再将它们转发刨IPv4网
络 上。
在DSTM节点上,封装工作 是由4over6接[_I完成的。所
有的IPv4流量都可以通过 一个IPv4路由表项指向这个接口。
具体的4over6接 口和有关路由表项要视应用而定。
DSTM节点中lPv4包的处理
为 了保证IPv4的连通性 ,在纯IPv6域中的节点必 须能
动态配置他们的IPv4栈(通过 向服务器请求临时地址)。
当需要发送IPv4包时,DSTM节点会把包交给4over6
接 口。如果 4over6接 口还没有配置(也就是还没何 IPv4地
址),处理过程就暂时停在这里,然后节点 与DSTM~务器联
系请求获得一个临时地址。一旦得到IPv4地址 ,所有通过该
4over6接 口转发的包都 以这个lI缶时地址作为 IPv4源地址,
IPv4包的其他域正常处理。
I Pv6数据包结构
当4over6接 口将IPv4包封装f~IPv6包中,它必须确定
IPv6包的 目的地址 。通常这个地址是TEP地址 。在DSTM
节点处 ,TEP地址可以是静态配置的 ,也可以是节点获得
IPv4地址时从DSTM服务器动态获得的。
32 。:i 。。。。 i 。。
.
TEP的IPv6地址必须在DSTM节点接受临时IPv4地址
时由DSTM H}{务器提供。不过在使用DSTM早期 ,也可以手
工配置DSTM节点的TEP,这种方法不宜推广使用,也不推
荐作为长期角罕决方案。
封装 IPv4的包时 ,Next header type域填4。当隧道
乜到达IPv6终点 ,IPv6包头被去掉 ,由IPv4栈来处理解封
后的包。然后TEP将使用普通 IPv4的方法米转发拆封后得
纠的IPv4包。TEP应该缓存这种IPv4和IPv6源地址的对应
关 系。
一 个封装包的IPv6源地址应该是发送该IPv6包的物理
接 口的IPv6地址 。
DsTM服务器要求
DSTM服务器负责为节点分配临时的IPv4地址 ,并且
只需要在一定时间内保证该地址的唯一性。为了减少对IPv4
地址的需要,有些应用还 包括了一个端口范围作为分配过程
的一部分 ,这样不同节点就可以同时使用同一IPv4地址了。
DTSM服务器必 须要记录 申请地址的节点的IPv6地址
和临时分配给它的IPv4地址之 间的对应关系。服务器分配出
去的地址郜有一个使用期限,服务器把这个期限包含在回复
给节点的应答中。如果客户机需要长时间使用IPv4地址,就
得申请地址续租 了。
DSTM 服务器负责IPv4地址池分配 。系统管理 员要确
定地址池。隧道端点(TEP)IPv6地址的配置必须在DSTM服
务器上进行。
在IPv4的路南方面 ,必须保证DSTM服务器所管理 的
IPv4全球地址池 ,能被路 由到 一个或多个此 DSTM域中的
TEP。当分配一个地址给DSTM节点时 ,服务器消息应该包
括TEP的IPv6地址。并且 当TEP不能动态建立映射或者因
为安全原因取消动态映射,DSTM服务器可以负责配置TEP
中的IPv4/IPv6映射表。
DSTM 的客户端和服务器的通信必须是 IPv6方式。
DSTM 服务器也可以在没有客户端请求的情况下分配临时
IPv4地址。DTSM~务器应该能够对DTSM客户端进行认证。
DSTM的优点
DSTM适 用于IPv6域内的节点需要与域#bIPv4节点通
信的情况。如果应用层网关被适 当的运用 ,IPv4的连通性需
求将大大降低。常规的服务,比如HTTP、smtp就可 以利用
这个特点。DSTM在没有其他的解决方案(如:应用层网关)时
就可以布吾使用。DSTM允许双栈节点获得IPv4地址并且提
供 一个缺省路 由(通过4over6隧道)f~IPv4网关。如果采用上
维普资讯
安全监察
2000 的 DSTM主机应用。仨机有 IPv6连接能力,因此在1-
需要进行IPv4通信时也可以有纯IPv6/页用。例如.在DSTM
网络中.一些内部向用就可以使用纯IPv6的而不再需要支持
IPv4 0每个需要通过IPv4通信的应用都必须支持IPv6一IPv4
双钱。 FreeBSD 中 ENST提供的主机应用需要今个"gW(隧
道)接口来支持IPv4 over IPv6隧道。
IPv4协议榜的配置
只要通信是在本地IPv6 中发生的, DSTM -'r丁点就不需
要使用 IPv4地址。主机只有在以下情况时才甫要IPv4地址:
解析的结果表明目的地址是一个IPv4地址 g
2. 当应用打开一个IPv4 socket
3.-个IPv4数据包发往内核而又没有接口准备转发此包。
当第一个 IPv4 包需要发送时, DSTM客户饥1-管通过
什么方式,必须与DSTM服务器取得联系。随后,客户机从
服务器那里获得一个临时的IPv4地址以及 A 个TEP的IP喃
地址。如果允许的话,服务器还可以提供所使用的端口范圆。
这些信息都用来进行4over6接口的配置 o 只有 4over6的隧
道接口配置后, IPv4协议梭的配置才宣告完成。
IPv4包转发
由于没有 IPv4路由设施, DSTM节点不能直接在网络
上发送IPv4包,所以DSTM节点必须能建立与隧道端点TEP
之间的4over6隧道。 DSTM节点将IPv4包封装进IPv6包后.
再通过该隧道发给隧道端点TEP(TEP可以看作是」个特殊的
DSTM节点), TEP完成拆封工作后再将它们转发ìljIPv4网
络上。
在DSTM节点1::,封装工作是由4over6接口完成的。所
有的IPv4流量都可以通过 a个IPv4路由表项指向这个接口。
具体的4over6接口和有关路由表项要视应用}制定。
DSTM节点中 IPv4包的处理
为了保证IPv4的连通性,在纯IPv6域中的节点必须能
动态配置他们的IPv4钱(通过向服务器请求临时地址)。
当需要发送IPv4 包时, DSTM节点会把包交给4over6
接口。如果 4over6 接口还没有配置(也就是还没有 IPv4 地
址),处理过程就暂时停在这里,然后节点与DSTM服务器联
系请求获得一个临时地址。一且得到IJIPv4地址,所有通过政
4over6接口转发的包都以这个临时地址作为 IPv4源地址.
IPv4包的其他域正常处理。
IPv6数据包结构
当4over6接口将IPv4包封装歪IJIPv6包中,它必须确定
IPv6 包的目的地址。通常这个地址是 TEP地址 o 在 DSTM
节点处, TEP地址可以是静态配置的,也可以足节点获得
IPv4地址时从DSTM服务器动态获得的。
32 , ρ 二 n~O Sec0rity
TEP的IPv6地址必须在DSTM节点接受临时IPv4地址
时由DSTM服务器提供。不过在使用DSTM早期,也可以手
工配置DSTM节点的TEP,这种方法不宜推广使用.也不推
荐作为长期解决h案。
封装 IPv4 的包时, Next header type域填4。当隧道
包歪IJ达 IP\'ó终点, IPv6包头被去掉,由 IPv4钱来处理解封
后的包。然后TEP将使用普通 IPv4的方法米转发拆封后得
到的IPv4包 oTEP向该绥存这种IPv4和IPv6源地址的对向
关系。
一个封装包的IPv6源地址应践是发送该IPv6包的物理
接口的IP\'6地址。
DSTM 服务器要求
DSTM服务器负责为节点分配临时的 IPv4地址,并且
只市要在」寇时间内保证该地址的唯一性。为了减少对IPv4
地址的甫要.有些应用还包括了一个端口范围作为分配过程
的 A部分.这样不同节点就可以同时使用同一IPv4地址了。
DTSM服务器必须要记录申请地址的节点的 IP喃地址
和临时分配给它的IPv4地址之间的对应关系。服务器分配出
去的地址都有一个使用期限,服务器把这个期限包含在回复
给节点的应答中。如果客户机需要长时间使用IPv4地址,就
得申请地址续租了。
DSTM服务器负责 IPv4地址池分配。系统管理员要确
定地址池。隧道端点(TEP) IP喃地址的配置必须在DSTM服
务器上进行。
在IPv4的路由方面,必须保证DSTM服务器所管理的
IPv4全球地址池,能被路由到今个或多个此DSTM域中的
TEP。当分自己一个地址给DSTM节点时,服务器消息应该包
括TEP的IP忡地址 o 并且当TEP不能动态建立映射或者因
为安全原因取消动态映射,DSTM服务器可以负责配置TEP
中的IPv4/IPv6映射表。
DSTM 的客户端和服务器的通信必须是 IPv6 方式。
DSTM 服务器也可以在没有客户端请求的情况下分配临时
IPv4地址。 DTSM服务器应该能够对DTSM客户端进行认证。
DSTM 的优点
DSTM适用于IPv6域内的节点需要与域外IPv4节点通
信的情况。如果应用层网关被适当的运用, IPv4的连通性需
求将大大降低。常规的服务,比如HTTP , smtp就可以利用
这个特点。DSTM在没有其他的解决方案(如:应用层网关)时
就可以布署使用。DSTM允许双枝节点获得IPv4地址并且提
供 个缺省路由(通过4over6隧道)到IPv4网关。如果采用上
述机 制 , 眸且 DSTM 被 配 置 吱能 分配 公 有 IPv4地 址 ,邯 么
任何纯IPv4应用部可以在IPv6网络上运行,征域 内的主机
将能 Internet L任何其他的主机通信。
DSTM 核心没想是对应用层透明,应用 呵以继续使 用
IPv4地址 ;而且对于承载网络也是透明的IPv6的包。能保证
一 些在净核中包含IPv4地址的应用包能够继续正确地被传送
(如 IPsec 和 H .323等 )。
使 用DSTM 何 如下 几种 好处 :
l、纯 IPv6芒机可以到达 全球 hlternet上的相应的纯
IPv4节点 。虽然足纯 IPv6环境 ,但 是主机并没有游离在
Internet之外。
2.还没有支持IPv6的应用可以直接运行在纯IPv6fl9书
机和网络上。所 有IPv4流量都通过隧道(IPv4 over IPv6)
发往DSTM网关。
3.网络 需要配置IPv6。不需要配置IPv4的地址和路
由。因为网络管理员不再需要关心 IPv4,网络配置只需要
IPv6的就可以了,所以网络监控工作就变得容 易得多了。
4.减少了IPv4伞球地址的需要。只有在需要地址时才
分配 一个临时的地址使用。
5.任何类型的协议 和应用都被透明地转发。无需 采用
NAT技术即可实现IPv6节点与IPv4节点的互通。
安全策略
DSTM机制可以使用所有已经定义的安伞规范 。对于
DNS,可 以使用DNS安全扩展/更新。而在地址分配方面 ,
当连接足由DSTM节点触发时 ,因为DSTM是 一个Intranet
环境 ,所以对地址池的 DOS危险是也很 有限。hatranet
DSTM 中,如果布罟了DHCPv6,则可以使用DHCPv6从
证消息 ,ifii且 由于TEP都位于Intranet中,他们 作为开放
的中继。最后,对于 DSTM 节点的 IPv4通信, 一旦节点具
有IPv4地址 ,IPSec就能被使用 ,因此DSTM 会破坏 在任
何点的端到端的通信安全。
控制有权接入业务的人
在 DSTM眼 务器上过滤
对网络管理员来蜕,确保使用DSTM服务器的主机允许
控制有权接入该 务的人非常重要。下面的过滤策略就应该
应用到DSTM服务器上 :
allo x~’iI)、’h ttnIIlel I_equest f FOIII allo x~ed
— hOStS IO 1)S1、M I1、er
_I10、、 iI)v tuIIileI I‘equcst f FOl_】DSTM set;el IO I’EI
aIIf)v,I1)、’ I⋯IIlel lJJ、 h0111 1)S11M ‘c r、OF t0 aIlo、、 【】__OM
alI()、、 il)、 tuIliiC]
一 delete rl'ol/t l】S rhI r\cI 【(1 atIo\~ ‘} |!u l
all()w i¨ 、 tuIII l (I le_l,fI_0II】I)Sl’M ‘P r\er l0 TEP
del1、 11)、O 1lOIIl al】、’ to aI1、
现在还没有使用认证 ,因为基于RCP的应用不支持认
址。将来汁划使用隧道配置协议 (TSP)和DHCPv6 的应用
应 该支 持 认证。
DTl问题
日 ,ENST提供的DSTM应用需要 DSTM 服务器和
TEP在 一台机器上来保证TEP k的隧道与服务器的分配相
·致。这些DSTM应用主要是丛干RPC的。现在,已经有
了一些用于服务器fnTEP之间建立隧道的通信协议的实际应
用,虽然有些 是预 见性 的想法(TSP alld DHCPv6)。
如果TEP与DSTM服务器在物理上不是安装在同一台
主机 卜,那么它就使用动态隧道接 口(DTI)米建立隧道。这个
机制很简单:当TEP收到有协议4的IPv6包时(也就 是携带
IPv4包的数据),它就 自动使用包内携带的信息(IPv6和IPv4
源和目的地址)创建一个IPv4 in IPv6隧道。注意 ,这种情
况下还没有方法检查TEP所建立的隧道与DSTM服务器的分
配 的对应关 系,这一点非常重要。可能会出现下面 的情况 :
· 个主机(A)被分给 一个IPv4地址与IPv4网络通信使用用
TEP的DTI创建的IPv4 over IPv6隧道 ,如果另一个主机
(B)使用 A相同的 IPv4源地址发 了一个 IPv4 iI1 IPv6的
包,TEP和A之『日J的隧道就会被破坏掉 了而备TEP和B之问
的隧道所代替。这个弱点可能会被用于地址欺骗攻击。不过
目前正在考虑是否可以通过使用认证头(AH)协议来解决这个
问题。
网络中的过滤策略
支持DSTM、 务的IPv6网络中的所有设备都必须允许
IPv4按照IPv4 in IPv6隧道方式传输。
监控
为了监控一个DSTM激活的网络 ,系统管理员应该监测
任TEP卜创建的隧道fnDSTMIN务器所做的分配。系统应该
能检查 与DSTM服务器所做分配相对应的隧道 ,并在出现错
误时发出警 告消息。
虽然 日前DSTM还处于IETF草案阶段 ,技 术还远远没
仃成熟 ,尤其是在安全方面还有许 多问题值得探讨 ,但是通
过使用DSTM技术 ,可以明显地减少对IPv4地址的需要、可
以使IPV4的应用不需要进行修改就能直接运行在IPv6主机
上、不需要对IPv4进行任何管理 、可以透明地转发任何类型
的协议 和应用。也正是由于这种方法有着诸 多的优点 ,所以
它才 日益引人注 目。随着DSTM技 术的 日益成熟,相信它能
够IPv4/IPv6过渡方面发挥 更大的作用。
Ne : n f。 se cu r1ty 2。。4 .1 33
维普资讯
述机制,并且DSTM被配置成能分配公有 IP\'4 地址,那么
任何纯IPv4应用都口I以在IPv6网络上运行,在域内的主机
将能与InternetJ:.任何其他的主机通信。
DSTM 核心设想是;对应用层透明,应用可以继续使用
IPv4地址号而且对于承载网络也是透明的IPv6的包。能保证
一些在净核中包含IPv4地址的应用包能够继续正确地被传送
(如 IPsec 和 等)。
使用DSTM有如p几种好处:
l 、纯 IPv6 主机可以到达全球 Internet 上的相应的纯
IPv4 节点。虽然是纯 IPv6 环境,但是主机并没有游离在
Internet之外。
2. 还没有支持IPv6的应用可以直接运行在纯IPv6的主
机和网络上。所有 IPv4流量都通过隧道(IPV4 over IPv6)
发往DSTM网关。
3. 网络只需要配置IPv6。不需要配置IPv4的地址和路
由。因为网络管理员不再需要关心 IPv4 ,网络配置只需要
IPv6的就可以了、所以网络监控王作就变得容易得多了。
4. 减少了 IPv4全球地址的需要。只有在需要地址时才
分配」个临时的地址使用。
5. 任何类型的协议和应用都被透明地转发。无需采用
NAT技术即可实现IPv6节点与IPv4节点的豆通。
安全策略
DSTM 机制l可以使用所有已经定义的安全规范。对于
DNS、可以使用 DNS安全扩展/更新。而在地址分配方面、
当连接是由DSTM节点触发时,因为DSTM是-个Intranet
环境,所以对地址池的 DOS 危险是也很有限。 Intranet
DSTM 中,如果布署了 DHCPv6,则可以使用 DHCPv6 认
证消息,而且由于TEP部位于Intranet 中,他们1-作为开放
的中继。最后,对于DSTM节点的 IPv4 通 fð , . - 1:1节点具
有IPv4地址, IPSec就能被使用,因此DSTM不会破坏在任
何点的端到端的通信安全。
控制有权接入业务的人
tE DSTM放多f!JJ:丘擂
对网络管理员来况,确保使用DSTM服务器的主机允许
控制有权接入该收务的人非常重要。下面的过滤策略就向该
应用歪qDSTM服务器上 z
allü 飞飞 IJ川 h tU I1I1L'LrL'q l1 L'~1 fro ll1 allo 飞飞 cd 110、t、 10 I)ST~I 、仁 t 飞 er
~dlo\\- ij民 h tUllllcLreqlH.' !-, t 1 ro川 nSTM 、cr飞 er 10 TEP
.111υ\\. '1'γh Ill l1 11 l' L rl'pl 飞 11υ 1I 1IbT l\ 1 、cr飞l' r (1) .1 110\\ l'd 11 1)飞 1 、
L111n飞飞 1\\飞 h tU lIlIl' l_d l'll.è ll' trnlll lJ ST l\ l 、C' I 飞 cr \'l ~Jl lo 飞飞 cd (\(J、1 飞
3110飞飞 I j\飞 h tUll l1 vl d l'kle frolll nST l\I 、l' 1 飞l' r I() TEP
<!l'11 飞 1 \1飞们 11'0111 Llll 飞 to .111 飞
j J. iiI
现在还没有使用认证,因为基于 RCP的向用不支峙认
证。将未 ll- 削使用隧道配置协议 (TSP)和DHCPv6 的应用
应该支持认证。
DTI 问题
Fl I沛, ENST提供的 DSTM 应用需要 DSTM服务器和
TEP在同」台机器上来保证TEPJ:.的隧道与服务器的分配相
-致。这些 DSTM 应用主要是基于 RPC 的。现在、已经有
了-些用于服务器和TEP之 IAJ建立隧道的通信协议的实际向
用,虽然有些只是预见性的想法(TSP and DHCPv6) 。
如果TEP 与DSTM服务器在物理上不是安装在同一台
主机七那么它就使用动态隧道接口(DTI)米建立隧道。这个
机制l很简单 t 当 TEP收到有协议4的 IPv6包时(也就是携带
IPv4包的数据),它就自动使用包内携带的信息(IPv6和IPv4
源和目的地址)创建一个IPv4 in IPv6隧道。注意,这种情
况下还没有方法检查TEP所建立的隧道与DSTM服务器的分
配的对应关系,这一点非常重要。可能会出现下面的情况:
·个主机(A)被分给一个IPv4地址与 IPv4 网络通信使用用
TEP的 DTI创建的IPv4 over IPv6隧道,如果另一个主机
(B)使用 'jA 相同的 IPv4源地址发了一个 IPv4 in IPv6 的
包, TEP和A之间的隧道就会被破坏掉了而备TEP和B之间
的隧道所代替。这个弱点可能会被用于地址欺骗攻击。不过
目前正在考虑是否可以通过使用认证头(AH)协议来解决这个
问题。
网络中的过;膏、策略
支持DSTM业务的IPv6网络中的所有设备都必须允许
IPv4按 l阿 IPv4 in IPv6隧道方式传输。
监控
为 r监控」个DSTM激洁的网络,系统管理员应该监测
在TEP 1::.创建的隧道和DSTM服务器所做的分配。系统应该
能检查与DSTM服务器所做分配相对应的隧道,并在出现错
误时发出警告消息。
虽然日前DSTM还处于IETF草案阶段,技术还远远世
11 成熟,尤其是在安全方面还有许多问题值得探讨,但是通
过使用DSTM技术,可以明显地减少对IPv4地址的需要、可
以使IP刊的应用不需要进行修改就能直接运行在IPv6主机
上、不需雯对IPv4进行任何管理、可以透明地转发任何类型
的协议和应用。也正是由于这种方法有着诸多的优点,所以
它;t日益引人注 H 。随着DSTM技术的日益成熟,相信它能
够IPv4. IPv6过渡方面发挥更大的作用。
:'Je":~nfo Secur工巳y 20ù .J. 33
