1、第11章 IPv6安全管理技術(shù) 計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題涵蓋的范圍十分廣泛，有物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng) 用安全、安全管理等。關(guān)于安全體系結(jié)構(gòu)，OSI發(fā)布了IS07498-2標(biāo)準(zhǔn)。該安全體系結(jié)構(gòu) 主要包括三部分內(nèi)容：安全服務(wù)、安全機(jī)制、安全管理。 在IPv4設(shè)計(jì)之初，為了便于Internet網(wǎng)絡(luò)的普及和大眾化，著重考慮的是技術(shù)的開(kāi) 放性、使用的方便性、數(shù)據(jù)傳輸?shù)母咝裕鴮?duì)網(wǎng)絡(luò)信息安全問(wèn)題幾乎沒(méi)有考慮，而把 網(wǎng)絡(luò)安全問(wèn)題留給應(yīng)用程序去解決。為此，人們?cè)趹?yīng)用層增加許多安全措施與安全技術(shù)。 當(dāng)前，大多數(shù)網(wǎng)絡(luò)攻擊都在網(wǎng)絡(luò)層進(jìn)行，為了更有效地抵御各種網(wǎng)絡(luò)攻擊，IPv6在網(wǎng)絡(luò) 層實(shí)現(xiàn)了基本的安全功能，重

2、點(diǎn)是IPSec和QoS。在本章中，著重介紹IPv6常用的安全管 理技術(shù)。 本章的主要內(nèi)容有： AH協(xié)議及ESP協(xié)議； 密鑰交換與密鑰管理技術(shù)； SA與SP技術(shù)； IPSec技術(shù)； QoS技術(shù)。 11.1 AH11.1 AH協(xié)議及協(xié)議及ESPESP協(xié)議協(xié)議 11.2 IPv611.2 IPv6密鑰管理技術(shù)密鑰管理技術(shù) 11.3 IPv611.3 IPv6安全管理技術(shù)安全管理技術(shù) 第第11 11章章 IPv6IPv6安全管理技術(shù)安全管理技術(shù) 11.1 AH協(xié)議及協(xié)議及ESP協(xié)議協(xié)議 本節(jié)內(nèi)容：本節(jié)內(nèi)容： 11.1.1 AH11.1.1 AH協(xié)議協(xié)議 11.1.2 ESP11.1.2 ESP協(xié)議協(xié)議

3、 11.1.1 AH協(xié)議協(xié)議 認(rèn)證協(xié)議頭AH（AuthenticationHeader）是在所有數(shù)據(jù)包頭加入一個(gè)密碼。AH通過(guò) 一個(gè)只有密匙持有人才知道的“數(shù)字簽名”來(lái)對(duì)用戶進(jìn)行認(rèn)證。這個(gè)簽名是數(shù)據(jù)包通 過(guò)特別的算法得出的獨(dú)特結(jié)果；AH還能維持?jǐn)?shù)據(jù)的完整性，因?yàn)樵趥鬏斶^(guò)程中無(wú)論多 小的變化被加載，數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測(cè)出來(lái)。IPv6的驗(yàn)證主要由驗(yàn)證報(bào) 頭AH來(lái)完成。驗(yàn)證報(bào)頭是IPv6的一個(gè)安全擴(kuò)展報(bào)頭，它為IP數(shù)據(jù)包提供完整性和數(shù)據(jù) 來(lái)源驗(yàn)證、防止反重放攻擊、避免IP欺騙攻擊。 1.AH的功能的功能 AH主要用以對(duì)數(shù)據(jù)包提供信息源的身份認(rèn)證及數(shù)據(jù)完整性檢測(cè)。其主要功能如下。 為IP數(shù)據(jù)

4、報(bào)提供強(qiáng)大的完整性服務(wù)，AH可用于為IP數(shù)據(jù)報(bào)承載內(nèi)容驗(yàn)證數(shù)據(jù)； 為IP數(shù)據(jù)報(bào)提供強(qiáng)大的身份驗(yàn)證，AH可用于將實(shí)體與數(shù)據(jù)報(bào)內(nèi)容相鏈接； 如果在完整性服務(wù)中使用了公開(kāi)密鑰數(shù)字簽名算法，AH可以為IP數(shù)據(jù)報(bào)提供不可 抵賴(lài)服務(wù)； 通過(guò)使用順序號(hào)字段來(lái)防止重放攻擊； AH可以在隧道模式及傳輸模式下使用，既可用于為兩個(gè)節(jié)點(diǎn)間直接的數(shù)據(jù)報(bào)的傳送 提供身份驗(yàn)證和保護(hù)，也可用于對(duì)發(fā)給安全性網(wǎng)關(guān)或由安全性網(wǎng)關(guān)發(fā)出的整個(gè)數(shù)據(jù)報(bào) 流進(jìn)行封裝。 2. AH結(jié)構(gòu)結(jié)構(gòu) AH協(xié)議可以提供數(shù)據(jù)源身份認(rèn)證、數(shù)據(jù)完整性驗(yàn)證和抗重播 攻擊服務(wù)，確保IP數(shù)據(jù)報(bào)文的可靠性、完整性及保護(hù)系統(tǒng)的可用 性。RFC2402對(duì)AH頭格式、保護(hù)方

5、法、身份認(rèn)證的覆蓋范圍以及輸 入和輸出處理規(guī)則等做了詳細(xì)的規(guī)定。 AH協(xié)議分配的協(xié)議號(hào)為51，由AH報(bào)頭之前的擴(kuò)展頭或IPv6基 本頭的“下一報(bào)頭”域標(biāo)識(shí)。如果在IPv6數(shù)據(jù)報(bào)文中出現(xiàn)AH擴(kuò)展 報(bào)頭，AH報(bào)頭出現(xiàn)在IPv6基本報(bào)頭之后(在沒(méi)有其他擴(kuò)展報(bào)頭出現(xiàn) 的情況下)，或者出現(xiàn)在IPv6基本報(bào)頭、Hop-by-Hop選項(xiàng)報(bào)頭、路 由選項(xiàng)報(bào)頭、分片選項(xiàng)報(bào)頭之后，如圖11-1所示，AH報(bào)頭格式如 圖11-2所示。 IPv6基本報(bào)頭AH上層協(xié)議單元 IPv6基本報(bào)頭跳-跳路由報(bào)頭AH其他（ESP等）上層協(xié)議單元 下一報(bào)頭載荷長(zhǎng)度保留 安全參數(shù)索引 序列號(hào) 身份認(rèn)證數(shù)據(jù)（可變長(zhǎng)） 3.隧道模式下的隧

6、道模式下的AH報(bào)文結(jié)構(gòu)報(bào)文結(jié)構(gòu) 在任何一種情況下，AH都要對(duì)外部IP頭的固有部分進(jìn)行身份驗(yàn)證。 AH用于隧道模式時(shí)，它將自己保護(hù)的數(shù)據(jù)包封裝起來(lái)，另外，在AH頭之前，另添了 一個(gè)IP頭。“里面的”IP數(shù)據(jù)包中包含了通信的原始尋址，而“外面的”IP數(shù)據(jù)包則包含 了IPSec端點(diǎn)的地址。隧道模式可用來(lái)替換端對(duì)端安全服務(wù)的傳送模式，但是，由于這一 協(xié)議中沒(méi)有提供機(jī)密性，因此，就沒(méi)有通信分析這一保護(hù)措施。AH只用于保證收到的數(shù) 據(jù)包在傳輸過(guò)程中不會(huì)被修改，并保證它是一個(gè)非重播的數(shù)據(jù)包。 IP頭 載荷長(zhǎng)度 SPI 序列號(hào) TCP頭 認(rèn)證數(shù)據(jù) 4.傳送模式下的傳送模式下的AH報(bào)文結(jié)構(gòu)報(bào)文結(jié)構(gòu) 傳送模式下的

7、AH報(bào)文保護(hù)的是端到端的通信。通信的終點(diǎn)必 須是IPSec終點(diǎn)。AH頭被插在數(shù)據(jù)包中，緊跟在IP頭之后和需要保 護(hù)的上層協(xié)議之前，對(duì)這個(gè)數(shù)據(jù)包進(jìn)行安全保護(hù)。 傳送模式下的AH報(bào)文格式如圖11-4所示。 IP頭 載荷長(zhǎng)度保留 SPI 序列號(hào) TCP頭 數(shù)據(jù) 11.1.2 ESP11.1.2 ESP協(xié)議協(xié)議 封裝安全載荷ESP（EncapsulatingSecurityPayload）通過(guò) 對(duì)數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)行全加密來(lái)嚴(yán)格保證傳輸信 息的機(jī)密性，這樣可以避免其他用戶通過(guò)監(jiān)聽(tīng)來(lái)打開(kāi)信息交換 的內(nèi)容，因?yàn)橹挥惺苄湃蔚挠脩魮碛忻艹撞拍艽蜷_(kāi)相關(guān)的內(nèi)容。 此外，ESP還能提供認(rèn)證和維持?jǐn)?shù)據(jù)的完整

8、性的能力。ESP用 來(lái)為封裝的有效載荷提供機(jī)密性及數(shù)據(jù)完整性驗(yàn)證。AH和ESP 兩種報(bào)文頭可以根據(jù)應(yīng)用的需要單獨(dú)使用，也可以結(jié)合使用， 結(jié)合使用時(shí)，ESP應(yīng)該在AH的保護(hù)下。 1.ESP的主要功能的主要功能 封裝安全性載荷ESP主要提供IP層（網(wǎng)絡(luò)層）的數(shù)據(jù)加密，并進(jìn)行數(shù) 據(jù)源的身份認(rèn)證。 ESP頭被用于允許IP節(jié)點(diǎn)發(fā)送和接收凈荷經(jīng)過(guò)加密的數(shù)據(jù)報(bào)。更確切 一點(diǎn)，ESP頭是為了提供幾種不同的服務(wù)，其中某些服務(wù)與AH有所重疊。 ESP的主要功能如下。 通過(guò)加密提供數(shù)據(jù)報(bào)的機(jī)密性； 通過(guò)使用公開(kāi)密鑰加密對(duì)數(shù)據(jù)來(lái)源進(jìn)行身份驗(yàn)證； 通過(guò)由AH提供的序列號(hào)機(jī)制提供對(duì)抗重放服務(wù)； 通過(guò)使用安全性網(wǎng)關(guān)來(lái)提供有

9、限的業(yè)務(wù)流機(jī)密性。 ESP頭可以和AH結(jié)合使用。實(shí)際上，如果ESP頭不使用身份驗(yàn)證的機(jī)制， 可以將AH頭與ESP頭一起使用。 2. ESP結(jié)構(gòu)結(jié)構(gòu) RFC2406對(duì)ESP報(bào)頭格式、保護(hù)方法以及輸入和輸出處理規(guī)則做了詳細(xì)的定義。 ESP協(xié)議的協(xié)議號(hào)為50，由ESP頭之前的擴(kuò)展報(bào)頭或IPv6基本報(bào)頭的“下一報(bào)頭” 字段標(biāo)識(shí)，ESP的格式如圖11-5所示。ESP的結(jié)構(gòu)與所采用的加密算法有關(guān)，其默 認(rèn)加密算法是56位的DES算法，圖11-5所示的結(jié)構(gòu)也是針對(duì)該算法的結(jié)構(gòu)。 安全參數(shù)索引（SPI） 序列號(hào) 初始化向量IV 有效載荷（長(zhǎng)度可變） 填充填充長(zhǎng)度下一報(bào)頭 認(rèn)證數(shù)據(jù)（可變長(zhǎng)） 3.ESP報(bào)文的位

10、置報(bào)文的位置 與AH一樣，ESP也是既可以用于隧道模式，又可以用于傳送模 式。 在傳送模式中，如果有AH報(bào)頭，IP報(bào)頭和逐跳擴(kuò)展頭、選路頭 等在ESP報(bào)頭前，后面是AH報(bào)頭。ESP頭之后的擴(kuò)展頭將被加密。 使用隧道模式時(shí)，ESP報(bào)頭對(duì)整個(gè)IP包進(jìn)行加密，并作為IP報(bào) 頭的擴(kuò)展將數(shù)據(jù)包定向發(fā)送到安全性網(wǎng)關(guān)。安全性網(wǎng)關(guān)直接與節(jié)點(diǎn) 連接，同時(shí)連接到下一個(gè)安全性網(wǎng)關(guān)。對(duì)于單個(gè)節(jié)點(diǎn)，可以在隧道 模式中使用ESP，將所有流出網(wǎng)絡(luò)的數(shù)據(jù)包加密，并將其封裝在單 獨(dú)的IP包流中，再發(fā)送給安全性網(wǎng)關(guān)，然后由目的地的網(wǎng)關(guān)將業(yè)務(wù) 流解密，將解密后的IP包發(fā)給目的地。 4.隧道模式下的隧道模式下的ESP報(bào)文報(bào)文 隧道模

11、式下的ESP報(bào)文驗(yàn)證應(yīng)用于交付到外部IP目標(biāo)地址的整個(gè)IP包，且身份驗(yàn)證將 會(huì)在目標(biāo)節(jié)點(diǎn)執(zhí)行。整個(gè)內(nèi)部IP包將被加密機(jī)制保護(hù)，以交付到內(nèi)部IP目標(biāo)節(jié)點(diǎn)。 新的IP報(bào)頭其他擴(kuò)展頭ESP報(bào)頭原有IP報(bào)頭原IP包數(shù)據(jù) 5.傳送模式下的傳送模式下的ESP報(bào)文報(bào)文 傳輸模式下的ESP報(bào)文驗(yàn)證和加密應(yīng)用于交付到主機(jī)的IP有效載荷，但I(xiàn)P 報(bào)頭沒(méi)有保護(hù)。 IP報(bào)頭其他擴(kuò)展頭ESP報(bào)頭上層協(xié)議數(shù)據(jù) 11.2 密鑰管理技術(shù)密鑰管理技術(shù) 本節(jié)內(nèi)容：本節(jié)內(nèi)容： 11.2.1 11.2.1 密鑰管理的基本概念密鑰管理的基本概念 11.2.2 11.2.2 InternetInternet密鑰交換協(xié)議密鑰交換協(xié)議IKE

12、IKE 11.2.3 11.2.3 InternetInternet簡(jiǎn)單密鑰管理協(xié)議簡(jiǎn)單密鑰管理協(xié)議SKIPSKIP 11.2.4 11.2.4 InternetInternet安全互聯(lián)與密鑰管理協(xié)議安全互聯(lián)與密鑰管理協(xié)議ISAKMPISAKMP 11.2.1 11.2.1 密鑰管理的基本概念密鑰管理的基本概念 密鑰在數(shù)據(jù)加密鑰中扮演著十分重要的角色。密鑰一旦泄露，無(wú)論加 密算法有多強(qiáng)，也無(wú)論你的密鑰有多長(zhǎng)，系統(tǒng)的加密都將化為泡影。因此， 對(duì)于一個(gè)完善的加密系統(tǒng)來(lái)說(shuō)，密鑰的管理是十分重要的。 在一些小型系統(tǒng)中，可以通過(guò)手工來(lái)管理密鑰，其好處是簡(jiǎn)單、經(jīng)濟(jì)， 而且還可以作為某些自動(dòng)密鑰管理算法的補(bǔ)

13、充。通過(guò)在一些環(huán)節(jié)上采用手 工管理方法，還可以防止自動(dòng)管理中的一些安全漏洞。 正因?yàn)橛羞@樣一些優(yōu)點(diǎn)，所以IPSec規(guī)定，所有IPSec的實(shí)現(xiàn)都必須支 持手工密鑰管理。在大型系統(tǒng)中，依靠手工進(jìn)行密鑰的管理是不現(xiàn)實(shí)的， 只有借助于密鑰管理協(xié)議來(lái)完成對(duì)密鑰的管理。在IPv4協(xié)議中沒(méi)有定義自 己的密鑰管理協(xié)議，而是利用現(xiàn)有的協(xié)議來(lái)實(shí)現(xiàn)密鑰的管理。常用的密鑰 管理協(xié)議有：因特網(wǎng)簡(jiǎn)單密鑰管理協(xié)議SKIP(Simple Key for Internet Protocol)、因特網(wǎng)安全關(guān)聯(lián)與密鑰管理協(xié)議ISAKIMP(Internet Security Association and Key Manageme

14、nt Protocol)和Oakley密鑰確定協(xié)議。 現(xiàn)在存在的密鑰分發(fā)方法主要分為手工分發(fā)和通過(guò)受信任的第 三方分發(fā)密鑰。 l手工分發(fā)。A得到B的公鑰的安全辦法是B用另外的電子手段(例 如電子郵件)發(fā)送給A，然后A打電話給B確認(rèn)內(nèi)容。這種辦法在A已 經(jīng)認(rèn)識(shí)B，并可以在電話里確認(rèn)出他的聲音時(shí)才能使用。但當(dāng)有許 多人參與通信，都需要交換公鑰時(shí)，這種辦法就顯得有點(diǎn)笨拙了。 所以，手工分發(fā)的方法顯然是不適應(yīng)的，缺乏擴(kuò)展性。 l受信任的第三方分發(fā)。這種方式是從第三方那里以公鑰證書(shū) (Public Key Certificate)的形式獲得公鑰。 11.2.2 Internet11.2.2 Intern

15、et密鑰交換協(xié)議密鑰交換協(xié)議IKEIKE 為確保應(yīng)用數(shù)據(jù)在公共IP 網(wǎng)絡(luò)上通信的可靠性和完整性， IETF提出了一整套稱(chēng)之為因特網(wǎng)協(xié)議安全( IPSec) 的協(xié)議。 Internet 安全聯(lián)盟和密鑰管理協(xié)議ISAKMP 為Internet 團(tuán)體指定 了一個(gè)標(biāo)準(zhǔn)協(xié)議棧。IPSec 提供的安全服務(wù)需要使用共享密鑰以執(zhí) 行數(shù)據(jù)驗(yàn)證以及機(jī)密性保證任務(wù)。如果采用人工增加密鑰的方法， 可實(shí)現(xiàn)基本IPSec 協(xié)議間的互通性，但其難以擴(kuò)展。因此，需要定 義一種標(biāo)準(zhǔn)的方法，用以動(dòng)態(tài)地驗(yàn)證IPSec 參與各方的身份、協(xié)商 安全服務(wù)以及生成共享密鑰等等。這種密鑰管理協(xié)議稱(chēng)為 “Internet 密鑰交換”IKE(I

16、nternet Key Exchange) 。 IKE解決了在不安全的網(wǎng)絡(luò)環(huán)境中安全地建立和更新共享密鑰 的問(wèn)題。IKE是非常通用的協(xié)議，不僅可為IPsec協(xié)商安全關(guān)聯(lián)，而 且可以為SNMPv3、RIPv2、OSPFv2等任何要求保密的協(xié)議協(xié)商安全 參數(shù)。 IKE屬于一種混合型協(xié)議，由Internet安全關(guān)聯(lián)和密鑰管理協(xié)議和兩種密鑰交換協(xié)議 Oakley與SKEME組成。IKE創(chuàng)建在由ISAKMP定義的框架上，沿用了Oakley的密鑰交換模式以 及SKEME的共享和密鑰更新技術(shù)，定義了兩種密鑰交換方式：主要模式和積極模式。 主要模式： l協(xié)商安全機(jī)制； l身份認(rèn)證； l密鑰加密； l如同ISA

17、KMP一樣進(jìn)行密鑰交換。 積極模式： l身份認(rèn)證； l如同ISAKMP一樣進(jìn)行密鑰的積極交換。 IKE協(xié)議有以下3個(gè)基本功能： l用于通信雙方協(xié)商所使用的協(xié)議、加密算法以及密鑰等； l用于通信雙方進(jìn)行密鑰交換； l用于跟蹤對(duì)以上約定的參數(shù)的具體實(shí)施情況。 11.2.3 Internet11.2.3 Internet簡(jiǎn)單密鑰管理協(xié)議簡(jiǎn)單密鑰管理協(xié)議SKIPSKIP 該協(xié)議是由美國(guó)SUN公司推出的一個(gè)面向因特網(wǎng)的密鑰管理協(xié)議，是一種非 會(huì)話型的密鑰管理協(xié)議。 SKIP協(xié)議是基于Diffe-Hellman算法，使用無(wú)狀態(tài)數(shù)據(jù)報(bào)文服務(wù)，即密鑰信 息必須包含在被加密和認(rèn)證的報(bào)文中。含有SKIP的IPv6

18、報(bào)文結(jié)構(gòu)如圖11-8所示。 源主密鑰和目的主密鑰的長(zhǎng)度、值、計(jì)數(shù)器n、用于密鑰計(jì)算、加密、認(rèn)證以及 壓縮的算法標(biāo)識(shí)等信息都包含在SKIP報(bào)頭中。 IPv6基本報(bào)頭SKIP報(bào)頭AH報(bào)頭其他 IPv6基本報(bào)頭SKIP報(bào)頭ESP報(bào)頭其他 IPv6基本報(bào)頭SKIP報(bào)頭AH報(bào)頭ESC報(bào)頭其他 11.2.4 Internet11.2.4 Internet安全互聯(lián)與密鑰管理協(xié)議安全互聯(lián)與密鑰管理協(xié)議ISAKMPISAKMP 因特網(wǎng)安全互聯(lián)與密鑰管理協(xié)議ISAKMP為Internet的密鑰管理提供一種框架。 該協(xié)議支持密鑰信息的協(xié)商和安全關(guān)聯(lián)管理，定義了交換密鑰的產(chǎn)生方法和認(rèn)證 數(shù)據(jù)。它克服了SKIP使網(wǎng)絡(luò)負(fù)

19、擔(dān)過(guò)重的缺點(diǎn)，所有的ISAKMP報(bào)文都由一個(gè)頭部 和緊跟在其后的多項(xiàng)可選數(shù)據(jù)組成，其結(jié)構(gòu)如圖11-9所示。這些報(bào)文通過(guò)UDP的 500端口進(jìn)行交換。這樣，一次ISAKMP事務(wù)協(xié)商就可以確定多個(gè)安全關(guān)聯(lián)。 信源方“Cookie” 信宿方“Cookie” 下一有效凈荷VersXCHG標(biāo)志 長(zhǎng)度 11.3 IPv6安全管理技術(shù)安全管理技術(shù) 本節(jié)內(nèi)容：本節(jié)內(nèi)容： 11.3.1 SA11.3.1 SA技術(shù)與技術(shù)與SPSP技術(shù)技術(shù) 11.3.2 IPSec11.3.2 IPSec技術(shù)技術(shù) 11.3.3 QoS11.3.3 QoS技術(shù)技術(shù) 11.3.4 11.3.4 安全產(chǎn)品的改進(jìn)安全產(chǎn)品的改進(jìn) 11.3.

20、1 SA11.3.1 SA與與SPSP技術(shù)技術(shù) 1.安全關(guān)聯(lián)安全關(guān)聯(lián)SA 安全關(guān)聯(lián)SA(Security Association)是兩個(gè)通信實(shí)體經(jīng)協(xié)商建立的一個(gè)協(xié)定， 定義了用來(lái)實(shí)施IP數(shù)據(jù)包安全保護(hù)的安全協(xié)議、算法、算法密鑰及密鑰有效時(shí)間 等通信安全細(xì)節(jié)。 SA具有“單向”的特性，它是一條能夠?qū)υ谄渖蟼鬏數(shù)臄?shù)據(jù)信號(hào)提供安全服 務(wù)的單向傳輸連接。認(rèn)證AH與封裝安全載荷ESP都要利用安全關(guān)聯(lián)，它對(duì)收、發(fā) 雙方使用的密鑰、認(rèn)證和加密算法、對(duì)密鑰和組合整體的時(shí)間限制以及受保護(hù)數(shù) 據(jù)的密級(jí)作出規(guī)定。接收方僅當(dāng)擁有與到達(dá)的IP報(bào)文分組相符的安全關(guān)聯(lián)時(shí)，才 能對(duì)這些IP報(bào)文分組進(jìn)行認(rèn)證和解密。 一般來(lái)說(shuō)，

21、安全關(guān)聯(lián)應(yīng)該包含以下一些信息： l認(rèn)證所采用的算法和認(rèn)證模式； l認(rèn)證算法使用的密鑰； l所用的加密算法和模式； l加密算法使用的密鑰。 2. 安全策略安全策略SP 安全策略SP(Security Policy)是IP體系中很重要的一個(gè)組件。它定 義了兩個(gè)實(shí)體間的安全通信特性：是否應(yīng)用IPSec安全通信；在什么模式 下、使用什么安全協(xié)議實(shí)施保護(hù)和如何對(duì)待IP包。 在一個(gè)實(shí)體中，對(duì)所有IPSec實(shí)施方案所定義的SP都會(huì)保存到一個(gè)數(shù) 據(jù)庫(kù)中，稱(chēng)為安全策略數(shù)據(jù)庫(kù)SPD(Security Policy Database)。根據(jù) “選擇符”對(duì)SPD進(jìn)行檢索，獲取相應(yīng)的SP，從而獲得提供安全服務(wù)的有 關(guān)信

22、息。選擇符是從網(wǎng)絡(luò)層和傳輸層報(bào)頭內(nèi)提取出來(lái)的，具有幾個(gè)基本項(xiàng)： 源地址/子網(wǎng)前綴、目的地址/子網(wǎng)前綴、上層協(xié)議、端口。帶網(wǎng)絡(luò)前綴的 地址范圍用于安全網(wǎng)關(guān)，以便為隱藏在它后面的主機(jī)提供安全保護(hù)；無(wú)網(wǎng) 絡(luò)前綴的地址則標(biāo)明特定的SP實(shí)施主機(jī)。上層協(xié)議和端口可以是特定的， 也可以使用通配符。 SP是單向的、非對(duì)稱(chēng)的。SP(in)指定了對(duì)IPSec實(shí)施點(diǎn)上所有進(jìn)入的 IP數(shù)據(jù)報(bào)文的處理策略；SP(out)則指定了對(duì)外出的IP數(shù)據(jù)報(bào)文的處理策 略，因此，SPD又可區(qū)分為外出子庫(kù)和進(jìn)入子庫(kù)。 11.3.2 IPSec11.3.2 IPSec技術(shù)技術(shù) IPSec(Internet Protocol Secur

23、ity)作為Internet網(wǎng)絡(luò)的安全機(jī)制，在 IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)都得以實(shí)現(xiàn)，但在IPv4網(wǎng)絡(luò)中，IPSec是可選項(xiàng)，即不能有 效地保證IPSec的實(shí)施。而在IPv6網(wǎng)絡(luò)中，IPSec是必選項(xiàng)，也就是說(shuō)，在IPv6網(wǎng) 絡(luò)中是強(qiáng)制實(shí)行IPSec的，所以，IPv6的安全性比IPv4要強(qiáng)得多。 1. IPSec提供的網(wǎng)絡(luò)安全保障提供的網(wǎng)絡(luò)安全保障 IPSec主要提供以下網(wǎng)絡(luò)安全保障： (1)數(shù)據(jù)源地址認(rèn)證； (2)數(shù)據(jù)完整性驗(yàn)證； (3)數(shù)據(jù)加密； (4)抗重播保護(hù)。 作為網(wǎng)絡(luò)層的安全標(biāo)準(zhǔn)，IPSec為IP協(xié)議提供了一整套的安全機(jī)制。IPSec在 網(wǎng)絡(luò)層提供安全服務(wù)和密鑰管理，從而減少密鑰協(xié)

24、商的開(kāi)銷(xiāo)，也降低了產(chǎn)生安全 漏洞的可能性。IPSec是Internet上提供安全保障最通用和最有效的技術(shù)。 2. IPSec結(jié)構(gòu)結(jié)構(gòu) 1993年IETF成立了IP協(xié)議安全工作組，即“IPSec工作組”，專(zhuān)門(mén)制定 Internet網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。IPSec就是IETF專(zhuān)門(mén)為提高IP協(xié)議安全性而制定的IP安 全標(biāo)準(zhǔn)。IPSec作為IPv6協(xié)議的有機(jī)組成部分，同時(shí)也可以作為IPv4的可選功能 而應(yīng)用于IPv4中。一系列RFC規(guī)范文檔詳細(xì)描述和定義了IPSec體系結(jié)構(gòu)，明確 IPSec的目的、原理和相關(guān)處理過(guò)程。相關(guān)的RFC文檔如下： lIPSec體系結(jié)構(gòu)(IPSec Architecture RFC2

25、401)； l載荷安全封裝(Encapsulating Security Payload RFC2406)； l認(rèn)證報(bào)頭(Authentication Header RFC2402)； l加密算法(Encryption Algorithm RFC2405)； l認(rèn)證算法(Authentication Algorithm RFC2403、RFC2404)； l密鑰管理(key Management RFC2408、RFC2409)； l解釋域(Domain of Interpretation RFC2407、RFC2411)。 3. IPSec的認(rèn)證機(jī)制的認(rèn)證機(jī)制 (1) 認(rèn)證過(guò)程 通常AH中的

26、認(rèn)證數(shù)據(jù)是通過(guò)對(duì)報(bào)文用一種安全性很強(qiáng)的單向函數(shù)計(jì)算而得，這些函數(shù)是認(rèn)證算法 的核心。 AH用于保護(hù)數(shù)據(jù)報(bào)的完整性以及證實(shí)其內(nèi)容在傳輸過(guò)程中未被修改。然而，IPv6數(shù)據(jù)報(bào)文在正常 的傳輸過(guò)程中，有時(shí)有些字段的值必須作修改。比如，對(duì)IPv6基本報(bào)頭中的“跳極限”字段，每過(guò)一 跳，該值就要減1。某些Hop-by-Hop選項(xiàng)在傳輸過(guò)程中也可能會(huì)被變更。 為了解決在傳輸過(guò)程中有些字段的值必須作修改的問(wèn)題，在計(jì)算認(rèn)證數(shù)據(jù)之前發(fā)送者就必須準(zhǔn)備 一個(gè)該報(bào)文的特殊版本，與傳輸中的轉(zhuǎn)換無(wú)關(guān)。將IPv6報(bào)頭中跳數(shù)設(shè)置為0，如果用到了路由選擇報(bào) 頭，IPv6的目的節(jié)點(diǎn)就設(shè)為最終的目的節(jié)點(diǎn)，路由選擇報(bào)頭的內(nèi)容設(shè)為它即將

27、到達(dá)的站點(diǎn)值，并對(duì)其 地址索引作相應(yīng)設(shè)置。 在每發(fā)送一個(gè)報(bào)文之前，要首先定位該數(shù)據(jù)報(bào)文所對(duì)應(yīng)的安全關(guān)聯(lián)。通常，安全關(guān)聯(lián)有兩種選擇 方法：面向進(jìn)程的選擇方法和面向主機(jī)的選擇方法。在面向進(jìn)程的選擇方法中，安全關(guān)聯(lián)的選取是根 據(jù)報(bào)文的目的地址和發(fā)送報(bào)文進(jìn)程的進(jìn)程號(hào)來(lái)進(jìn)行的。在這種情況下，同一進(jìn)程號(hào)發(fā)送到同一個(gè)目的 地址的IP報(bào)文都使用相同的關(guān)聯(lián)。在面向主機(jī)的選擇方法中，安全關(guān)聯(lián)的選取是根據(jù)報(bào)文的目的地址 和發(fā)送該報(bào)文的主機(jī)來(lái)進(jìn)去的。同一臺(tái)主機(jī)上發(fā)送到同一個(gè)目地址的IP報(bào)文都使用相同的安全關(guān)聯(lián)。 接受方收到報(bào)文后，根據(jù)AH中的SPI值找出對(duì)應(yīng)的安全關(guān)聯(lián)，再根據(jù)關(guān)聯(lián)中指定的認(rèn)證算法和認(rèn) 證密鑰計(jì)算出認(rèn)證

28、數(shù)據(jù)，與AH中所包含的認(rèn)證數(shù)據(jù)進(jìn)行比較，如果兩者相等，則可斷定滿足認(rèn)證和完 整性的要求，否則就可斷定不滿足認(rèn)證和完整性的要求。 (2) 認(rèn)證算法 在IPv6中，IPSec的默認(rèn)認(rèn)證算法是MD5算法，但用戶有特殊要 求時(shí)，也可以選擇其他合適的認(rèn)證算法來(lái)計(jì)算認(rèn)證數(shù)據(jù)。但是，每 一個(gè)支持IPSec的系統(tǒng)，都必須實(shí)現(xiàn)MD5算法。 MD5算法是由美國(guó)麻省理工學(xué)院Rivest教授根據(jù)原來(lái)的MD4 Hash算法改進(jìn)得到的。該算法的基本原理是對(duì)要保護(hù)的明文數(shù)據(jù)進(jìn) 行分塊和填充，以可變長(zhǎng)的受保護(hù)數(shù)據(jù)明文作為散列函數(shù)的輸入， 散列函數(shù)對(duì)其進(jìn)行計(jì)算、壓縮生成一個(gè)固定長(zhǎng)度的字串，即作為身 份認(rèn)證數(shù)值置于AH頭中。IP

29、數(shù)據(jù)報(bào)文接收端收到數(shù)據(jù)報(bào)文后，分離 出固定長(zhǎng)度的字串(身份認(rèn)證數(shù)值)與原數(shù)據(jù)，對(duì)數(shù)據(jù)報(bào)文明文用同 一個(gè)散列函數(shù)計(jì)算生成臨時(shí)固定長(zhǎng)度的字串，并將和AH中保存的 “身份認(rèn)證數(shù)據(jù)”進(jìn)行比較，以便驗(yàn)證IP地址及協(xié)議數(shù)據(jù)在傳輸過(guò) 程是否被篡改，從而實(shí)現(xiàn)數(shù)據(jù)源地址認(rèn)證及數(shù)據(jù)報(bào)文完整性的驗(yàn)證。 除了MD5算法外，還有一個(gè)類(lèi)似的算法SHA，也是根據(jù)MD4 Hash函 數(shù)改進(jìn)而來(lái)的。該算法對(duì)明文的處理過(guò)程也與MD5算法類(lèi)似。SHA與MD5 算法的主要區(qū)別如下： lMD5算法輸出的固定長(zhǎng)度字串為128比特長(zhǎng)，而SHA輸出的固定字串 長(zhǎng)度為160比特； lMD5的運(yùn)算步驟為64步(每次進(jìn)行4輪、每輪16回的雜湊運(yùn)算

30、)，而 SHA的運(yùn)算步驟為80步(每次進(jìn)行4輪、每輪20回的雜湊運(yùn)算)； lMD5認(rèn)證算法的常數(shù)數(shù)目為64個(gè)，SHA認(rèn)證算法的常數(shù)數(shù)目只為4個(gè)； lSHA認(rèn)證算法與MD5認(rèn)證算法的邏輯函數(shù)定義不一樣； lSHA認(rèn)證算法的雜湊計(jì)算的雜湊值為160位，要尋找一個(gè)具有給定 Hash值的計(jì)算難度是2160 （而MD5 Hash值的計(jì)算難度只有2120），比 MD5的抗攻擊能力更強(qiáng)，安全性更高。 4. IPSec的加密機(jī)制的加密機(jī)制 在IPSec協(xié)議中，通過(guò)ESP實(shí)現(xiàn)對(duì)數(shù)據(jù)報(bào)的加密。既可單獨(dú)使用，也可以與AH 聯(lián)合使用，實(shí)現(xiàn)身份認(rèn)證、數(shù)據(jù)完整性驗(yàn)證、抗重播攻擊以及IP數(shù)據(jù)報(bào)文加密。 (1) 數(shù)據(jù)加密的實(shí)

31、現(xiàn) ESP中指定強(qiáng)制實(shí)施的加密算法為DES，并且要求隨ESP使用的加密算法必須 以“加密算法塊鏈(CBC)”模式工作，一般稱(chēng)為DES-CBC加密算法。CBC模式要求 加密的數(shù)據(jù)量剛好是加密算法的塊長(zhǎng)度的整數(shù)倍。進(jìn)行加密時(shí)，可在數(shù)據(jù)尾填充 適當(dāng)?shù)臄?shù)據(jù)來(lái)滿足這項(xiàng)要求。隨后，填充數(shù)據(jù)會(huì)成為密文的一部份，而在接收端 完成IPSec處理后會(huì)予剔除。CBC模式中的加密算法要求一個(gè)初始化向量(IV)來(lái)啟 動(dòng)加密過(guò)程。DES-CBC加密算法由RFC2405詳細(xì)定義。 DES加密算法的密鑰長(zhǎng)度為64位，其中8位為奇偶校驗(yàn)位，密鑰的有效長(zhǎng)度實(shí) 際為56位。DES加密算法利用這有效的56位密鑰對(duì)每個(gè)輸入的64位明文

32、塊進(jìn)行置 換、按模2加和迭代等運(yùn)算，產(chǎn)生64位的密文，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密。 (2)認(rèn)證與加密 認(rèn)證與加密是兩種不同的服務(wù)。前者的任務(wù)主要是保證報(bào)文來(lái)自正確 的源并且在傳輸過(guò)程中沒(méi)有被替換；后者的任務(wù)主要是保證報(bào)文在傳輸過(guò) 程中不會(huì)被第三方竊聽(tīng)。當(dāng)同時(shí)要求具有認(rèn)證和加密功能時(shí)，可以同時(shí)使 用AH和ESP。 AH與ESP的組合有兩種方法：AH將認(rèn)證整個(gè)IP報(bào)文，此時(shí)AH報(bào)頭應(yīng)位于 ESP之前，認(rèn)證信息通過(guò)計(jì)算整個(gè)IP報(bào)文得到；只認(rèn)證原來(lái)的IP報(bào)文，這通 常是在隧道模式下的情況，將AH包含在ESP的加密數(shù)據(jù)區(qū)域中。 對(duì)第一種情況，目的節(jié)點(diǎn)收到報(bào)文后，先根據(jù)認(rèn)證算法對(duì)整個(gè)IP報(bào)文 進(jìn)行認(rèn)證計(jì)算，如果

33、通過(guò)了認(rèn)證，再對(duì)報(bào)文進(jìn)行解密處理。在第二種情況 下，目的節(jié)點(diǎn)收到報(bào)文后，先對(duì)報(bào)文作解密處理，然后再對(duì)解密后的報(bào)文 進(jìn)行認(rèn)證。 5.IPSec的應(yīng)用的應(yīng)用 IPv6通過(guò)IPSec在IP層提供安全服務(wù)，用戶可以在許多應(yīng)用中利用IP層的安 全服務(wù)，比如防火墻之間的應(yīng)用等。 （1） 防火墻與安全通道 防火墻是目前互聯(lián)網(wǎng)上一種重要的安全機(jī)制，是一種隔離控制技術(shù)，主要用 于兩個(gè)網(wǎng)絡(luò)之間的訪問(wèn)控制策略，它能限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者 與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作。可以作為不同網(wǎng)絡(luò)安全域之間信息 的出入口，其本身具有較強(qiáng)的抗攻擊能力。 IPv6的AH和ESP可用于在兩個(gè)遠(yuǎn)距離防火墻之間建立

34、安全通道，起到VPN的作 用。如圖11-11所示。 兩個(gè)內(nèi)部網(wǎng)絡(luò)需要交換的數(shù)據(jù)將被封裝在IPv6數(shù)據(jù)報(bào)文中，從一個(gè)防火墻傳 送到另一個(gè)防火墻。若僅要求進(jìn)行認(rèn)證，則使用AH報(bào)頭；如果需要對(duì)數(shù)據(jù)進(jìn)行加 密，則將使用ESP。假設(shè)在圖11-11的兩個(gè)內(nèi)部網(wǎng)絡(luò)中，有兩臺(tái)主機(jī)H1和H2要進(jìn)行 通信，主機(jī)H1發(fā)送的IP報(bào)文先經(jīng)過(guò)防火墻1，用AH或ESP對(duì)IP報(bào)文進(jìn)行封裝，通過(guò) 網(wǎng)絡(luò)傳送到防火墻2。防火墻2將AH或ESP報(bào)頭除去后再傳送給主機(jī)H2。 （2） 安全主機(jī) 所謂“安全主機(jī)”，主要指在互聯(lián)網(wǎng)上沒(méi)有受到防火墻保護(hù)的 主機(jī)。為了保證沒(méi)有受防火墻保護(hù)的主機(jī)的安全性，可以直接在主 機(jī)上設(shè)置IPSec安全協(xié)議。

35、通過(guò)主機(jī)上的Socket擴(kuò)展的關(guān)于安全的 應(yīng)用程序接口API，很容易開(kāi)發(fā)一個(gè)保護(hù)主機(jī)安全的安全程序。 6. IPSec的實(shí)現(xiàn)技術(shù)的實(shí)現(xiàn)技術(shù) IPSec可在終端主機(jī)、網(wǎng)關(guān)/路由器或兩者中同時(shí)進(jìn)行實(shí)施。 (1)IPSec在主機(jī)上實(shí)施技術(shù) 主機(jī)是數(shù)據(jù)包的源節(jié)點(diǎn)設(shè)備，在主機(jī)實(shí)施IPSec有下列好處。 l能保證端到端的安全性； l能夠?qū)崿F(xiàn)所有的IPSec安全模式； l能夠?yàn)閿?shù)據(jù)流提供安全保障； l在建立IPSec的過(guò)程中，能維持用戶身份驗(yàn)證的“場(chǎng)景”。 主機(jī)的實(shí)施可以分為兩類(lèi)：一類(lèi)可以通過(guò)與操作系統(tǒng)集成實(shí)施，把協(xié)議作為 網(wǎng)絡(luò)層的一個(gè)特性，這樣可以保證較高的效率，其缺點(diǎn)是，IPSec協(xié)議的各種配 置特性是

36、由廠商決定的，限制了用戶的一些高級(jí)方案的實(shí)施；第二類(lèi)就是把 IPSec協(xié)議作為網(wǎng)絡(luò)層與應(yīng)用層之間的一個(gè)“楔子”來(lái)使用。圖1O-12和圖10-13 分別表示了兩種不同的方案。 （2）IPSec在路由器上的實(shí)現(xiàn)技術(shù) IPSec在路由器中實(shí)施有下列優(yōu)點(diǎn)。 l能對(duì)通過(guò)公用網(wǎng)絡(luò)(比如互聯(lián)網(wǎng))在兩個(gè)子網(wǎng)之間流動(dòng)的數(shù)據(jù)提供安全保護(hù)。 l能進(jìn)行身份驗(yàn)證，并授權(quán)用戶進(jìn)入私用網(wǎng)絡(luò)。 許多公司都利用這一點(diǎn)允許員工在互聯(lián)網(wǎng)上通過(guò)遠(yuǎn)程通信建立VPN或內(nèi)聯(lián)網(wǎng)。 IPSec在路由器上的實(shí)施方案有三種。 l原始實(shí)施方案。等同于在主機(jī)上進(jìn)行的OS集成實(shí)施方案。在這種情況下，IPSec是集 成在路由器軟件中的，IPSec與操作系

37、統(tǒng)集成實(shí)施。IPSec可當(dāng)做網(wǎng)絡(luò)層的一部分來(lái)實(shí)現(xiàn)， IPSec需要IP層的服務(wù)構(gòu)建IP頭。如圖10-14所示。 lBITS方案。BITS的含義是“堆棧中的塊”(Bump-in-the-stack )，其實(shí)現(xiàn)方法是，修 改通訊協(xié)議棧，把IPSec插入IP協(xié)議棧和鏈路層之間。不需要處理IP源代碼，適用于對(duì)原 有系統(tǒng)的升級(jí)改造，通常用在主機(jī)方式中。 lBITW方案。BITW（Bump-in-the-wire）稱(chēng)為“線纜中的塊”，在BITW模式下，IPSec作為 一個(gè)“契子”插入在協(xié)議堆棧的網(wǎng)絡(luò)層與數(shù)據(jù)鏈路層之間實(shí)施，用通俗的話說(shuō)就是，把IPSec 作為一個(gè)插件，在一個(gè)直接接入路由器或主機(jī)的設(shè)備中實(shí)現(xiàn)

38、。IPSec的實(shí)現(xiàn)在一個(gè)設(shè)備中 進(jìn)行，該設(shè)備直接接入路由器的物理接口上，如圖10-15所示。BITW技術(shù)可以在主機(jī)、路 由器或防火墻等設(shè)備上使用。 11.3.3 QoS11.3.3 QoS技術(shù)技術(shù) 1. QoS簡(jiǎn)介簡(jiǎn)介 （1）QoS的基本概念 QoS的英文全稱(chēng)為：“Quality of Service”，意為“服務(wù)質(zhì)量”。 QoS是網(wǎng)絡(luò)的一 種安全機(jī)制，是用來(lái)解決網(wǎng)絡(luò)延遲和阻塞等問(wèn)題的一種技術(shù)。現(xiàn)在的路由器一般均支持 QoS。隨著IP技術(shù)和網(wǎng)絡(luò)的發(fā)展，世界各國(guó)的運(yùn)營(yíng)商基于IP網(wǎng)絡(luò)已經(jīng)開(kāi)發(fā)出多種多樣的新 業(yè)務(wù)，IP網(wǎng)正在從當(dāng)初單純傳送數(shù)據(jù)向可傳送數(shù)據(jù)、話音、活動(dòng)/靜止圖像的多媒體網(wǎng)絡(luò) 轉(zhuǎn)變。終端

39、軟硬件的不斷發(fā)展使得很多終端己能夠滿足多媒體應(yīng)用的需要，因此，在IP網(wǎng) 上實(shí)現(xiàn)類(lèi)似語(yǔ)音、傳真、會(huì)議等實(shí)時(shí)多媒體應(yīng)用的問(wèn)題焦點(diǎn)便集中在了如何傳輸這些時(shí)延 敏感的業(yè)務(wù)上。而目前的IPv4網(wǎng)絡(luò)所提供的是一種“盡力而為”的QoS服務(wù)，無(wú)法保障實(shí) 時(shí)多媒體業(yè)務(wù)服務(wù)質(zhì)量，因此在IP網(wǎng)上實(shí)現(xiàn)QoS的機(jī)制已成為網(wǎng)絡(luò)研究熱點(diǎn)。 與IPSec技術(shù)一樣，QoS在IPv4網(wǎng)絡(luò)中是可選項(xiàng)，而在IPv6網(wǎng)絡(luò)中是必選項(xiàng)，即在IPv6 網(wǎng)絡(luò)中QoS是得到有效的保證的。 IPv6數(shù)據(jù)包中包含一個(gè)8位的業(yè)務(wù)流類(lèi)別（Traffic Class）和20位的流標(biāo)簽（Flow Label）。在RFC1883中定義了4位的優(yōu)先級(jí)字段，可以

40、區(qū)分16個(gè)不同的優(yōu)先級(jí)。其目的是 允許發(fā)送業(yè)務(wù)流的源節(jié)點(diǎn)和轉(zhuǎn)發(fā)業(yè)務(wù)流的路由器在數(shù)據(jù)包上加上標(biāo)記，并進(jìn)行對(duì)不同的流 進(jìn)行不同的處理。一般來(lái)說(shuō)，在所選擇的鏈路上，可以根據(jù)開(kāi)銷(xiāo)、帶寬、延時(shí)或其他特性 對(duì)數(shù)據(jù)包進(jìn)行特殊的處理。 （2）QoS的主要參數(shù) QoS的3個(gè)主要參數(shù)為丟失、延遲和延遲變量(抖動(dòng))。有效地控制這3個(gè)參數(shù)，就能夠提供高效的 QoS。 l丟失：指丟包率。在高質(zhì)量的網(wǎng)絡(luò)中，包丟失率應(yīng)小于1%。話音網(wǎng)絡(luò)應(yīng)達(dá)到近0%的丟包率。 l延遲：指數(shù)據(jù)包從源到達(dá)目的地所用的時(shí)間。延遲包括固定延遲及可變延遲(由網(wǎng)絡(luò)擁塞引起的 延遲)。話音數(shù)據(jù)包到達(dá)目的地的總時(shí)間不得超過(guò)150ms。 l延遲變量(或抖動(dòng))

41、：指不同數(shù)據(jù)包間延遲時(shí)間的差別。抖動(dòng)緩沖用來(lái)平均延遲時(shí)間，但抖動(dòng)緩沖 平滑延遲時(shí)間既有瞬時(shí)限制、又有總量限制。話音網(wǎng)絡(luò)的延遲不得超過(guò)30ms。 （3）QoS的實(shí)現(xiàn)步驟 要實(shí)現(xiàn)QoS控制，一般有以下3個(gè)步驟。 第1步：設(shè)置路由器。確保為所有的應(yīng)用及報(bào)頭開(kāi)銷(xiāo)提供所需帶寬的流程； 第2步：分類(lèi)數(shù)據(jù)包。為數(shù)據(jù)包標(biāo)記優(yōu)先級(jí)，這些標(biāo)記指示該數(shù)據(jù)包需要網(wǎng)絡(luò)為它提供的特殊服 務(wù)要求，可在第二或第三層完成。通常的分類(lèi)規(guī)則包括關(guān)鍵(話音和關(guān)鍵任務(wù)數(shù)據(jù))、高(視頻)、一般 (電子郵件及互聯(lián)網(wǎng)接入)以及低(傳真及FTP)等優(yōu)先級(jí)； 第3步：調(diào)度。調(diào)度是基于分類(lèi)將數(shù)據(jù)包分配到不同的隊(duì)列進(jìn)行優(yōu)先處理的流程。 2. QoS

42、的實(shí)現(xiàn)機(jī)制的實(shí)現(xiàn)機(jī)制 目前的QoS實(shí)現(xiàn)機(jī)制包括報(bào)文分類(lèi)、擁塞管理、擁塞避免、策略制訂和流量整形、信 令、鏈路效率機(jī)制等。 （1）報(bào)文分類(lèi) 在網(wǎng)絡(luò)中，業(yè)務(wù)(服務(wù))信息就是數(shù)據(jù)報(bào)文流。在提供業(yè)務(wù)的端對(duì)端的QoS服務(wù)前，需 要對(duì)進(jìn)入網(wǎng)絡(luò)中的“報(bào)文流”和“標(biāo)記”進(jìn)行分類(lèi)，以保證特殊的數(shù)據(jù)包能夠得到特殊的 處理。 報(bào)文分類(lèi)是將報(bào)文劃分為多個(gè)優(yōu)先級(jí)或多個(gè)服務(wù)類(lèi)，在IPv4中，使用IP報(bào)文頭的TOS 字段的3個(gè)優(yōu)先級(jí)位，可以定義8個(gè)優(yōu)先等級(jí)。對(duì)于IPv6，有兩個(gè)字段與QoS有關(guān)，分別為 流量類(lèi)別TC和流標(biāo)簽FL字段。在對(duì)報(bào)文進(jìn)行分類(lèi)后，就可以使用QoS技術(shù)制定適當(dāng)?shù)耐ㄐ?流處理策略，如對(duì)于某個(gè)通信流等級(jí)的擁

43、塞管理、帶寬分配以及延遲限制。 一般報(bào)文分類(lèi)策略包括以下幾個(gè)部份。 l基于端口的分類(lèi)。包括物理端口分類(lèi)和邏輯端口分類(lèi)； l基于MAC地址的分類(lèi)。支持基于IEEE802.1q策略； l基于IP地址的分類(lèi)。可以基于源IP地址分類(lèi)，也可以基于目的IP地址分類(lèi)； l基于應(yīng)用的分類(lèi)。根據(jù)應(yīng)用程序進(jìn)行分類(lèi)。 （2）擁塞管理技術(shù) 擁塞管理是指當(dāng)網(wǎng)絡(luò)發(fā)生擁塞時(shí)，網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備對(duì)報(bào)文流如何進(jìn)行管理和控 制，以滿足業(yè)務(wù)的服務(wù)質(zhì)量要求。 實(shí)現(xiàn)擁塞管理的有效處理方法是使用隊(duì)列技術(shù)。擁塞管理的處理，包括隊(duì)列 的創(chuàng)建、報(bào)文的分類(lèi)、將報(bào)文送入不同的隊(duì)列、隊(duì)列調(diào)度等。 一般提供的隊(duì)列技術(shù)QT(Queuing Technique

44、)包括以下幾種： l先進(jìn)先出隊(duì)列FIFOQ（First In First Out Queuing）； l優(yōu)先隊(duì)列PQ（Priority Queuing）； l定制隊(duì)列CQ（Custom Queuing）； l基于流的加權(quán)公平隊(duì)列FBWFQ或WFQ（Flow Based weighted Fair Queuing）； l基于類(lèi)的加權(quán)公平隊(duì)列CBWFQ（Class Weighted Fair Queuing）； l分布式加權(quán)公平隊(duì)列DWFQ（Distributed Weighted Fair Queuing）。 （3）擁塞避免技術(shù) 網(wǎng)絡(luò)擁塞會(huì)導(dǎo)致網(wǎng)絡(luò)性能的降低和帶寬得不到高效的使用。為了避免擁塞，

45、 隊(duì)列可通過(guò)丟棄數(shù)據(jù)包的措施來(lái)避免出現(xiàn)擁塞。隊(duì)列選擇丟棄的策略包括簡(jiǎn)單丟 棄SD(Simple Detection)、隨機(jī)早期檢測(cè)丟棄RED（Random Early Detection）、 加權(quán)隨機(jī)早期檢測(cè)丟棄WRED（Weighted Random Early Detection）。 簡(jiǎn)單丟棄SD 簡(jiǎn)單丟棄是當(dāng)隊(duì)列緩沖區(qū)滿以后，對(duì)后面到來(lái)的并需要入隊(duì)列的數(shù)據(jù)包進(jìn)行 丟棄。 簡(jiǎn)單丟棄可能引起“TCP全球同步”現(xiàn)象的產(chǎn)生。報(bào)文丟棄是基于利用TCP通 信流的適應(yīng)性的，通過(guò)丟棄數(shù)據(jù)包引發(fā)TCP的慢啟動(dòng)和擁塞避免機(jī)制來(lái)降低TCP傳 輸速率。但是當(dāng)隊(duì)列同時(shí)丟棄多個(gè)TCP連接的報(bào)文時(shí)，這些TCP連接發(fā)向

46、隊(duì)列的報(bào) 文將同時(shí)減少，使得發(fā)向隊(duì)列的報(bào)文的速度不及線路發(fā)送的速度，減少了線路帶 寬的利用。當(dāng)開(kāi)始同時(shí)重新發(fā)送時(shí)，會(huì)再次引起擁塞丟棄，導(dǎo)致網(wǎng)絡(luò)波浪式的擁 塞，即“TCP全球同步”。用交通的概念來(lái)舉例，當(dāng)擁塞發(fā)生時(shí)，所有的交通工 具都必須停下來(lái)，大家的等待時(shí)間是相同的，之后，在某一時(shí)刻，大家又再次一 同啟動(dòng)的時(shí)候，就會(huì)再度出現(xiàn)擁塞的現(xiàn)象。 隨機(jī)早期檢測(cè)丟棄RED RED解決了簡(jiǎn)單丟棄引起的“TCP全球同步問(wèn)題”。 RED算法通 過(guò)對(duì)隊(duì)列緩沖的長(zhǎng)度進(jìn)行監(jiān)視并對(duì)選定的數(shù)據(jù)包(以及選定的連接) 執(zhí)行早期丟棄，只有少量的TCP發(fā)送方會(huì)出現(xiàn)退回和重發(fā)的現(xiàn)象。 RED通過(guò)設(shè)置輸出緩沖區(qū)的最小和最大隊(duì)列長(zhǎng)度閾

47、值，路由器 隨后在做出數(shù)據(jù)包轉(zhuǎn)發(fā)決策的同時(shí)對(duì)這些閾值進(jìn)行監(jiān)視。數(shù)據(jù)包交 換決策過(guò)程負(fù)責(zé)對(duì)平均隊(duì)列長(zhǎng)度進(jìn)行檢查。如果平均隊(duì)列長(zhǎng)度小于 最小閾值，數(shù)據(jù)包將進(jìn)入隊(duì)列，隨后會(huì)被交換；如果平均隊(duì)列長(zhǎng)度 超過(guò)最小閾值而小于最大閾值，數(shù)據(jù)包將按照一定的概率被丟棄； 如果平均隊(duì)列長(zhǎng)度超過(guò)了最大閾值，所有數(shù)據(jù)包都將被丟棄。 加權(quán)隨機(jī)早期檢測(cè)丟棄WRED WRED將IP優(yōu)先級(jí)和RED結(jié)合起來(lái)，為優(yōu)先通信流(高優(yōu)先級(jí))提供與標(biāo) 準(zhǔn)通信流(優(yōu)先級(jí)較低)有差別的丟棄閾值。換句話說(shuō)，WRED根據(jù)IP優(yōu)先級(jí) 對(duì)數(shù)據(jù)包進(jìn)行有選擇的丟棄。WRED策略實(shí)現(xiàn)的差別丟棄閾值如圖11-16所 示。 WRED用以監(jiān)視路由器中隊(duì)列的平均長(zhǎng)

48、度，并根據(jù)隊(duì)列長(zhǎng)度決定什么時(shí) 候開(kāi)始丟棄數(shù)據(jù)包。隊(duì)列的平均長(zhǎng)度是隊(duì)列長(zhǎng)度被低通濾波后的結(jié)果，既 反映了隊(duì)列的變化趨勢(shì)，又弱化了隊(duì)列長(zhǎng)度的突發(fā)變化，避免了對(duì)突發(fā)性 數(shù)據(jù)流的不公正的待遇。 WRED的基本原理是，當(dāng)平均隊(duì)列長(zhǎng)度超過(guò)用戶規(guī)定的“最小閾值”時(shí)， WRED開(kāi)始按照一定的比例丟棄數(shù)據(jù)包(包括TCP包和UDP包)；如果平均隊(duì)列 長(zhǎng)度超過(guò)用戶規(guī)定的“最大閾值”，則WRED轉(zhuǎn)為“后來(lái)(數(shù)據(jù)包)丟棄”， 即所有后面到達(dá)的數(shù)據(jù)包都將被丟棄。 WRED的目的就是將隊(duì)列長(zhǎng)度維持在最小閾值和最大閾值之間的一個(gè)適 當(dāng)?shù)乃缴稀?圖11-16WRED差別丟棄閾值 圖11-17WRED與隊(duì)列機(jī)制的關(guān)系 當(dāng)隊(duì)列采

49、用FIFOQ、PQ、CQ機(jī)制時(shí)，可以為每個(gè)隊(duì)列設(shè)定不同的隊(duì)列長(zhǎng)度濾波系數(shù)， 閾值下限、閾值上限、數(shù)據(jù)包丟棄率，為不同類(lèi)別的報(bào)文制定不同的丟棄規(guī)則。 當(dāng)隊(duì)列機(jī)制采用WFQ時(shí)，可以為不同優(yōu)先級(jí)的報(bào)文設(shè)定不同的隊(duì)列長(zhǎng)度濾波系數(shù)、閾 值下限、閾值上限、數(shù)據(jù)包丟棄率，對(duì)不同優(yōu)先級(jí)的報(bào)文制定不同的丟棄規(guī)則。 當(dāng)WRED和WFQ配合使用時(shí)，可以實(shí)現(xiàn)基于流的WRED。這是因?yàn)樵谶M(jìn)行分類(lèi)的時(shí)候，不 同的流有自己的隊(duì)列，對(duì)于流量小的流，由于其隊(duì)列長(zhǎng)度比較小，所以丟棄的概率將比較 小。而流量大的流將會(huì)有較大的隊(duì)列長(zhǎng)度，從而會(huì)丟棄較多的報(bào)文。 即使WRED和其他的隊(duì)列機(jī)制配合使用，對(duì)于流量小的流，由于其報(bào)文的個(gè)數(shù)較少

50、，所 以從統(tǒng)計(jì)概率來(lái)說(shuō)，其被丟棄的概率也會(huì)較小。 （4）流量策略制訂 流量策略的制定有利于保證QoS的實(shí)現(xiàn)，通過(guò)進(jìn)行流量監(jiān)管可以限制進(jìn)入某一網(wǎng)絡(luò)的 某一連接的流量與突發(fā)。一般使用承諾接入速率CAR（Committed Acemss Rate）來(lái)限制某 類(lèi)報(bào)文的流量。 CAR是一種速率限制或策略制訂工具，可以使用速率限制工具來(lái)限制進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù) 流的速率，也可以加強(qiáng)服務(wù)級(jí)別協(xié)議(SLA)，如圖11-18所示。 CAR利用令牌桶TB（Tocken Bucket）進(jìn)行流量控制，其工作原理如圖11-19 所示。 令牌桶工作原理如下： 首先，根據(jù)預(yù)先設(shè)置的匹配規(guī)則來(lái)對(duì)報(bào)文進(jìn)行分類(lèi)，如果是沒(méi)有規(guī)定流量特

51、性的報(bào)文，就直接繼續(xù)向前發(fā)送，并不需要經(jīng)過(guò)令牌桶的處理；如果是需要進(jìn)行 流量控制的報(bào)文，則會(huì)進(jìn)入令牌桶中進(jìn)行處理。令牌桶按照用戶規(guī)定的速度向桶 中放置令牌，并且用戶可以設(shè)置令牌桶容量，當(dāng)桶中令牌的數(shù)量超出桶的容量時(shí)， 不再增加令牌。當(dāng)報(bào)文被令牌桶處理的時(shí)候，如果令牌桶中有足夠的令牌可以用 來(lái)發(fā)送報(bào)文，則報(bào)文可以通過(guò)，并可以被繼續(xù)發(fā)送下去，同時(shí)令牌桶中的令牌量 按報(bào)文的長(zhǎng)度做相應(yīng)的減少。當(dāng)令牌桶中的令牌少到報(bào)文不能再發(fā)送時(shí)，報(bào)文就 會(huì)被丟棄。 令牌桶是一個(gè)控制數(shù)據(jù)流量的工具。當(dāng)令牌桶中充滿令牌的時(shí)候，桶中所有 附在令牌上的報(bào)文都可以被發(fā)送，這樣可以允許數(shù)據(jù)的突發(fā)性傳輸。當(dāng)令牌桶中 沒(méi)有令牌的時(shí)候

52、，報(bào)文將不能被發(fā)送，只有等到桶中生成了新的令牌后，報(bào)文才 可以被發(fā)送。這樣就可以限制報(bào)文的流量只能是小于等于令牌生成的速度，以達(dá) 到限制流量的目的。 圖11-19CAR令牌桶工作原理 （5）流量整形技術(shù) 流量整形GTS(Generic Traffic Shaping)是一種抑制數(shù)據(jù)包傳 輸速度的方法，也是令牌桶的一種改進(jìn)技術(shù)。如果遠(yuǎn)程辦公室間出 現(xiàn)線路速度不匹配情況，提供這些辦公室相連接線路的服務(wù)供應(yīng)商 將強(qiáng)迫丟棄發(fā)送到更慢速鏈路的數(shù)據(jù)包。為了防止丟棄高優(yōu)先級(jí)或 丟棄敏感數(shù)據(jù)包，可通過(guò)流量整型技術(shù)來(lái)避免由于流量過(guò)多而被發(fā) 送到慢速鏈路中。流量整形還使企業(yè)能夠決定在瞬時(shí)擁塞時(shí)應(yīng)丟棄 哪些數(shù)據(jù)包(

53、低優(yōu)先級(jí)數(shù)據(jù)包)，其功能是限制流出某一網(wǎng)絡(luò)的某一 連接的流量與突發(fā)，使這類(lèi)報(bào)文以相對(duì)均勻的速度向外發(fā)送。GTS 可以對(duì)不規(guī)則或不符合預(yù)定流量特性的流量進(jìn)行整形，以利于網(wǎng)絡(luò) 上下游之間的帶寬匹配。該技術(shù)通常在以下情況中使用。 l線路速度不匹配； l遠(yuǎn)程到中央站點(diǎn)的過(guò)多復(fù)用； l承諾速率之上的突發(fā)流量(CIR)。 GTS通常使用“緩沖區(qū)+令牌桶”的技術(shù)來(lái)完成，當(dāng)報(bào)文的發(fā)送速 度過(guò)快時(shí)，先在緩沖區(qū)進(jìn)行緩存，在令牌桶的控制下，再均勻地發(fā)送 存放在緩沖區(qū)中的報(bào)文。如圖11-20所示。 GTS提供了一種在某一特定接口上對(duì)數(shù)據(jù)報(bào)文流進(jìn)行控制的機(jī)制。 當(dāng)報(bào)文到來(lái)的時(shí)候，首先對(duì)報(bào)文進(jìn)行分類(lèi)，如果報(bào)文不需要進(jìn)行G

54、TS處 理，就不需要經(jīng)過(guò)令牌桶的處理而繼續(xù)發(fā)送；如果報(bào)文需要進(jìn)行GTS處 理，則與令牌桶中的令牌進(jìn)行比較。令牌桶按用戶事先的速率向桶中 放置令牌，如果令牌桶中有足夠的令牌可以用來(lái)發(fā)送報(bào)文，則報(bào)文可 直接發(fā)送，同時(shí)，令牌桶中的令牌量按報(bào)文的長(zhǎng)度做相應(yīng)的減少。 當(dāng)令牌桶中的令牌少到報(bào)文不能再發(fā)送時(shí)，報(bào)文將被緩存入GTS隊(duì) 列中。當(dāng)GTS隊(duì)列中有報(bào)文的時(shí)候，GTS按一定的周期從隊(duì)列中取出報(bào) 文進(jìn)行發(fā)送，每次發(fā)送都會(huì)與令牌桶中的令牌數(shù)作比較，直到令牌桶 中的令牌數(shù)減少到隊(duì)列中的報(bào)文不能再發(fā)送或是隊(duì)列中的報(bào)文全部發(fā) 送完畢為止。 圖11-20流量整形 （6）信令 實(shí)現(xiàn)QoS保證需要信令傳遞QoS服務(wù)參數(shù)

55、。它協(xié)調(diào)了端到端服務(wù)所要經(jīng)過(guò)的網(wǎng)絡(luò)中間節(jié)點(diǎn)，包括交 換機(jī)、路由器等，為服務(wù)提供重要的保障。一般信令技術(shù)包括帶內(nèi)(In-Band)和帶外(Out-Band)兩種 信令技術(shù)。 帶內(nèi)信令使用的是IP優(yōu)先級(jí)，通過(guò)每個(gè)IP包攜帶的IP優(yōu)先級(jí)，通知網(wǎng)絡(luò)節(jié)點(diǎn)為這個(gè)報(bào)文提供相應(yīng) 服務(wù)。帶外信令則是通過(guò)一個(gè)獨(dú)立的協(xié)議RSVP（資源預(yù)留協(xié)議）來(lái)為不同的報(bào)文流申請(qǐng)網(wǎng)絡(luò)資源。 IP優(yōu)先級(jí)和RSVP協(xié)議為端到端的QoS信令提供了靈活的解決方案。 lIP優(yōu)先級(jí)； l資源保留協(xié)議RSVP。 （7）鏈路效率機(jī)制 鏈路效率機(jī)制包括物理接口總速率限制LR（Line Rate）、傳輸壓縮協(xié)議、鏈路分段和交叉等方 面，通過(guò)這些技術(shù)能

56、保證數(shù)據(jù)報(bào)在物理鏈路有效傳輸。 （8）鏈路包拆分和重組 除網(wǎng)絡(luò)擁塞外，造成延遲和抖動(dòng)的另一個(gè)重要因素便是順序化延遲。其原因通常是敏感的數(shù)據(jù)包 被“阻塞”在FTP等大型數(shù)據(jù)包的后面。鏈路包拆分是用于分解大型據(jù)包的流程，旨在允許及時(shí)傳輸 規(guī)模更小、對(duì)時(shí)間更敏感的數(shù)據(jù)包。包重組是將時(shí)間敏感型數(shù)據(jù)包“重組”到拆分?jǐn)?shù)據(jù)包隊(duì)列中的流 程。 3. QoS標(biāo)準(zhǔn)標(biāo)準(zhǔn) （1）IETF關(guān)于QoS的標(biāo)準(zhǔn) IETF在IP網(wǎng)絡(luò)的QoS方面建議了一些服務(wù)模型和機(jī)制，其中最基本的是綜合業(yè)務(wù)RSVP模型 (IntServ)和區(qū)別型(DiffServ)業(yè)務(wù)模型。 綜合業(yè)務(wù)模型(IntServ) 綜合業(yè)務(wù)模型使用資源預(yù)留(RSVP

57、)協(xié)議。這一模型的思想是“為了特定的客戶包流提供特殊的 QoS，要求路由器必須能夠預(yù)留資源，反過(guò)來(lái)要求路由器中要有特定流的狀態(tài)信息”。 綜合業(yè)務(wù)模型的優(yōu)點(diǎn)是能夠提供絕對(duì)有保證的QoS。RSVP運(yùn)行在從源端到目的端的每個(gè)路由器上， 可以監(jiān)視每個(gè)流，以防止其消耗比其請(qǐng)求、預(yù)留和預(yù)先購(gòu)買(mǎi)的要多的資源。該模型的缺點(diǎn)主要有伸縮 性不好、對(duì)路由器的要求過(guò)高、無(wú)法在大網(wǎng)上實(shí)施。 區(qū)別型業(yè)務(wù)模型(DiffServ) 區(qū)別型業(yè)務(wù)模型定義了TOS字節(jié)的格式(又稱(chēng)DS字段)以及一個(gè)包轉(zhuǎn)發(fā)處理庫(kù)的集合(又稱(chēng)Per-Hop 行為，或PHB)。通過(guò)對(duì)一個(gè)包DS字段的不同標(biāo)記，以及基于DS字段的處理，能夠產(chǎn)生不同的服務(wù)級(jí)別

58、。 因此，區(qū)別型業(yè)務(wù)模型本質(zhì)上是一種相對(duì)優(yōu)先級(jí)策略。 區(qū)別型業(yè)務(wù)模型的優(yōu)點(diǎn)是便于實(shí)現(xiàn)，只在網(wǎng)絡(luò)的邊界上才需要復(fù)雜的分類(lèi)、標(biāo)記、管制和整形操 作，ISP核心路由器只需要實(shí)現(xiàn)行為聚合(BA)的分類(lèi)，因此，實(shí)現(xiàn)和部署區(qū)別型業(yè)務(wù)模型都比較容易。 區(qū)別型業(yè)務(wù)模型本質(zhì)上只是實(shí)現(xiàn)了一種相對(duì)優(yōu)先級(jí)策略，因此，并不能?chē)?yán)格保證業(yè)務(wù)端到端的 QoS。 （2）ITU-T關(guān)于QoS的標(biāo)準(zhǔn) ITU-T建議E.800中把QoS定義為“決定用戶滿意程度的服務(wù)性能的綜 合效果”。E.800考慮到服務(wù)性能所有部分的支持能力、操作能力、業(yè)務(wù) 能力和安全性，是對(duì)QoS的綜合定義。ITU-T建議G.1000對(duì)E.800作了擴(kuò)展， 把服

59、務(wù)性能(或服務(wù)質(zhì)量)分成不同的功能部分，并將它們與相應(yīng)的網(wǎng)絡(luò)性 能聯(lián)系起來(lái)。G.1010對(duì)G.1000作了補(bǔ)充，提出了一種可滿足以端用戶為中 心的應(yīng)用要求(如交互性、容錯(cuò)能力)的結(jié)構(gòu)框架。考慮到特定應(yīng)用和功能 參數(shù)，ITU-T建議M.1079定義了端到端的話音和數(shù)據(jù)質(zhì)量以及IMT-2000接 入網(wǎng)的性能要求，而G.114則定義了跨接數(shù)據(jù)網(wǎng)的范圍。 ITU-T關(guān)于IP業(yè)務(wù)性能指標(biāo)的建議Y.1541“IP通信業(yè)務(wù)-IP性能和可用 性指標(biāo)和分配”(原I.381)將IP性能建議以類(lèi)似ATM層性能建議I.356的方 式來(lái)規(guī)范，將IP業(yè)務(wù)QoS分為6類(lèi)(Class0-Class5)，關(guān)于IP分組傳送時(shí)延，

60、 第零類(lèi)(Class0)要求為l00ms，第1類(lèi)(Class1)要求為400ms，第2類(lèi) (Class2)為100ms，第3類(lèi)為400ms，第4類(lèi)為1s，第5類(lèi)為2s。IP分組時(shí)延變 化IPDV對(duì)Class0和Class1都規(guī)定為50ms，其余類(lèi)別還沒(méi)有規(guī)范。 4. IPv6下實(shí)現(xiàn)下實(shí)現(xiàn)QoS （1）“業(yè)務(wù)流類(lèi)別”與“流標(biāo)簽” 從圖5-5可看出，IPv6報(bào)頭中包含了一些控制QoS的信息（業(yè)務(wù)流類(lèi)別和流標(biāo)簽），通過(guò)路 由器的配置可以實(shí)現(xiàn)優(yōu)先級(jí)控制和QoS保證，極大地改善了服務(wù)質(zhì)量，保障從VOIP到視頻流的高 質(zhì)量傳輸。 “業(yè)務(wù)流類(lèi)別”字段。該字段的設(shè)計(jì)是為了源端機(jī)器能夠給不同的分組指定不同的優(yōu)先