3.IPv6寻址策略
IPv6是新一代互联网网络层的核心技术,在地址空间、报文格式、安全性方面具有较大的优势。IPv6寻址策略技术通过在网络层和数据链路层之间引入适配层,实现基于IEEE 802.15.4 通信协议的底层网络与基于IPv6协议的互联网的相互融合,适配层主要完成接入过程中的以下功能:①为了高效传输对IPv6数据包进行分片与重组;②网络地址自动配置;③为了降低IPv6开销对IPv6分组进行报头压缩;④有效路由算法。其中,网络地址自动配置功能,对于识别接入物联网的每个终端节点,使节点间能够相互进行资源共享和信息交换具有最为重要的意义,因此本文围绕网络地址自动配置这个问题,提出了基于物联网的IPv6寻址策略4 种解决方案,实现了物联网中基于IEEE 802.15.4 通信协议的底层异构网络与基于IPv6协议的互联网的统一寻址,保证了物联网时代网络层向传输层提供灵活简单、无连接、满足QoS 需求的数据报服务。这4种解决方案分别是:
3.1静态地址绑定及验证方式
节点静态地址绑定适用于物联网规模节点不是很多,网络管理员可以将每个节点的地址事先配置,然后再进行部署。可以通过以下方式进行源地址合法性验证:管理员事先在可路由节点中建立传感器节点的绑定属性关系并生成过滤表,匹配的IP数据包可以直接转发,不匹配的或不存在于过滤表中的IP地址将被过滤。
3.2 SLAAC地址分配及验证方式
SLAAC 无状态地址分配是一种无状态、采用ICMPv6 进行的地址配置方式。该方式分2 个过程分配地址:①终端请求配置网络参数,有路由器返回64位的NA(Neighbor advertisement)前缀。②终端将自己的MAC 地址映射为64 位的IEEE EUI-64 地址后,再与NA 一起形成128 位的IP 地址进行配置。可以通过以下方式进行源地址合法性验证:通过可路由节点充当DAD-Proxy,向源地址验证服务器中继请求,并由源地址验证服务器返回正确的验证后,覆盖该传感器节点的可路由节点,建立与该传感器的绑定,并通过过滤表项来进行合法性验证。
3.3 DHCPv6地址分配及验证方式
DHCPv6 是一种有状态、采用C/S 模式和UDP报文交互的地址分配方式,DHCPv6 分3 个过程获取地址:①传感器节点以单播方式发出DHCP 请求包至DHCPv6 服务器。②DHCPv6 服务器将配置信息应答给请求传感器节点。③传感器节点收到配置信息后发出DAD-NS 报文进行重复地址恳请,在一段时间内无响应后即可使用该地址。在最后DAD-NS 超时无回复情况下建立绑定关系并生成过滤表项,并通过过滤表项来进行合法性验证,具体验证过程如图2。
图2 物联网节点DHCPv6 源地址验证状态变迁图
3.4 SLAAC与DHCPv6结合地址分配方式
这是一种介于有状态和无状态之间的地址管理方式,即主机首先通过SLAAC 方式获取IPv6地址,然后使用DHCPv6 获取除地址以外的其他网络配置参数,如DNS、网关、域名后缀等。这种混合模式下,节点获取地址的方式依托的是SLAAC,故这种混合方式下的源地址验证仍采用SLAAC 验证方式。
4.总结与展望
云计算平台下物联网是在传感器网络基础上融合了互联网的新一代智能感知网络,也是近年来世界各国大力研究和发展的重点。目前,研究大多聚焦在物联网的体系结构、路由机理、协议简化以及与互联网互联互通的机制等方面。而物联网节点IPv6寻址策略及合法性验证方式就变得尤为重要,否则现有互联网(包括地址欺骗,数据篡改在内)的众多安全问题将会在物联网中继续出现。
从云计算融合物联网角度出发,并结合物联网运用IPv6的基本知识,提出了融合物联网的新一代互联网节点IPv6寻址的策略及验证方式,并讨论了静态绑定、SSLAC、DHCPv6、SSLAC 与DHCPv6 混合4种地址分配情况下的场景交互、过程时序等细节。通过在可路由节点上建立传感器节点的绑定表和过滤表,建立了分布式源地址验证机制。展望下一步工作我们主要应集中在这两个方面进行深入探索:①地址分配过程的报文交互安全性有待加强。②多协议网关翻译机制需要进一步研究。
