📄 rfc1752.txt
字号:
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 认证 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
* 下一个头――紧接片断头的头类型的认证。它同IPv4协议使用同样的值。(8位选择器)
保留域的(Reserved), Res-将传送、忽略和接收初始化为0。
* 碎片偏移――偏移量,占8个8位字节的单元,随带的有效负荷,相对于初始的整体的有效负荷。(13位无符号的整数)
* M标志――1=更多的碎片;0=最后的碎片
* 认证――指派给初始有效负荷的值,不同于当前发送给带有同样IPv6源地址、IPv6的目的地址,和片段下一个头值的别的有效负荷。(如果一个路由头当前存在,则IPv6的目的地址就是那个最终的地址)鉴定值放在所有最初的有效负荷的片段的头部分,并且目的单元被用来证实所有的属于同样初始有效负荷的片段。(32位单元)
12.2.5鉴定头
鉴定头被用来提供鉴定和确保IPv6信息包的完整性。Non- repudiation可被提供作为带有认证头的鉴定法则,但是,它不提供这个头使用的所有的鉴定法则。在紧接处理的头里,认证头被值为51的下一个头所鉴定,它有如下格式:
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 下一个头 | Auth 数据长度 | 保留域部分 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 安全的联合ID |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
. .
. 鉴定数据 .
. .
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
* 下一个头――紧接鉴定头的头认证类型。与IPv4协议域使用同样的值。(8位选择器)
* Auth数据类型――在8个8位字节的单元里的鉴定数据域的长度。(8位无符号的整数)
* 保留域――将传送、忽略和接收初始化为0。
* 安全的协会身份(Security Assoc ID)――IPv6源地址的组合,确认信息包属于起先建立安全联合的哪一个接收器。(32位单元域)
* 鉴定数据――指定的运算法则,要求用于鉴定信息包源和确保该信息包的完整。(可变长度单位域,一个8位字节倍数的整数。)
12.2.6隐秘头(Privacy Header)
隐秘头的作用是使待加密数据具有机密性和完整性,同时保护和发送隐秘头数据部分的加密数据。不但可在传送层(如UDP或TCP)体制上进行加密,而且一个完整的带自动寻址的IPv6也可被加密,这由用户的安全要求决定的。这种压缩的处理方式必须为整个初始的带自动寻址的信息包提供机密性。如果是在目前,该隐秘头就是一个信息包最后的单位元,它是没有被加密的。
隐秘头工作在主机之间、主机和安全网卡之间、或安全网卡之间。对安全网卡的支持允许可信赖的网络在没有安全的货币代价执行的情况下存在,同时对不可信赖的网络段的传送提供安全。
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 安全联合身份(SAID) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
. 初始化向量 .
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 下一个头* | 长度 | 保留单元* |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
| 被保护的数据* +-+-+-+-+-+-+-+-+-+-+
| | 跟踪单元* |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
*被加密的
安全联合身份(SAID)――为这种自带寻址信息包提供的安全联合标志符。如果没有建立安全的联合,该单元的值就应当为0x0000。安全联合正常情况下是单信道的。正常情况下两个主机间的鉴别通信单元在使用中有两个SAID。(每个方向一个)接收信号的主机使用SAID的联合值和初始地址来区别当前的联合。(32位单元)
初始化向量――这个单元是可选的并且它的值依靠使用中SAID。例如,该单元可以容纳用加密算法加密的一块同步加密数据。也可以被用来容纳带有加密的一组初始化向量。通常,隐秘头的执行是对SAID值的使用,来确认是否该单元就是当前单元,和该单元的使用情况。(它的存在和长度依靠于SAID)
* 下一个头――被加密的――紧接隐秘头的之后的头类型标志符。于IPv4协议单元使用同样的值。(8位选择器)
* 保留单元――被加密的――在接收中被忽略。
* 长度――被加密的――在8个八位字节单元里隐秘头的长度。不包括起初的8位字节。(8位无符号的整数)
* 被保护的数据――被加密的--该单元可以容纳一个完整的压缩型的IPv6自带寻址信息包,它包括IPv6头、0组或多组IPv6选项序列和一个传送层的有效负荷;或者它可以是紧接传送层有效负荷之后的一组0或多个IPv6选项的序列。(可变长度)
* 跟踪器――(依靠运算法则的跟踪器)――被加密的――目前支持一些加密算法的领域,这些加密算法需要被扩充。(例如,用块导向加密算法进行加密全部的块单元)或者具有很强的使用加密算法的认证数据能力,用来提供在没有认证的情况下信息包的机密性。(它的存在和长度依靠于SAID)
12.2.7端对端选项头
端对端选项头被用来提供一个可选择的信息,该信息只被信息包目的单元节点检查。端对端选项头被下一个头的值认证,该值属于直接前头的TBD的。它与HOP-BY-HOP选项头有同样的格式,但它不具备排除来自鉴定完整计算选项的能力。
13 IPng 工作组
我们推荐一个新的IPng工作组,它是IPv6协议规范的功能产品模式。该工作组将IPng领域主管的建议作为大纲,它是在该备忘录1994年7月由IETF提出的。我们建议该工作组应当将Xerox PARC中心的 Steve Deering和 Wellfleet中心的 Ross Callon.二位授予主席的位置。
该工作组的首要任务就是提出一套方案来定义这个基本功能、交互作用(interactions)、假设方案 (assumptions)和IPv6的信息包格式。我们推荐Sun Microsystems公司的Robert Hinden 作为这个文档主编。该文档列表于附录C中,将被该工作组使用用来构建最终文档设置的基础部分。
该工作组的工作如下:
完成IPv6的简介文档。
完成IPv6详细操作说明书。
完成IPv6的地址构建说明书。
完成IPv6封装各种媒体的说明书。
完成支持大于64KB信息包的说明书。
完成需要增加的支持IPv6的DNS说明书。
完成ICMP、IGMP和支持IPv6的路由器发明(discovery)的说明书。
完成为IPv6提供路径的MTU发明的说明书。
完成在IPv6通道里IPv6的说明书。
完成指派计划的暗示地址格式。
调整研究地址的自动构建功能的工作组。
调整NGTRANS和TACIT工作组。
完成支持头鉴定和加密功能的说明书。
工作组也应当考虑增加少量的可选择的功能,包括以下两个方面:
1)在本地IPv6的上下文关系中考虑IPv6头的压缩方法,多个IPv6信息包压缩在一个流程里,从而形成压缩的IPv6。
2)考虑支持指定的大量的最小化的MTU.
14 IPng评论家(Reviewer)
这就是当前IPng领域主管的任务,被提出的IPng工作组的主管和主席应当调整许多类似成就方面的积极性,从而直接面对当前IPng的不同方面。同时这也是有可能的,并且这是在当前看来它好像运行的很好而不能保持长时间工作的原因。在另外的一些原因中,IPng领域将最终被消解和解散它的主管。这也将变得在别的IETF领域的启动中,作为与IPng相关的行为有太大的不同之处。
我们建议IPng评论家被指定专门的责任来确保IPv6观点的一致性,从而继续和相关工作组保持一致。由于IPng努力部分之间交互作用的复杂本性和由于对许多IETF领域的IPng相关工作的指派,这个功能是必须的。我们建议MIT中心的Dave Clark负责这一部分。这将是一个有关On-going activities方面的长期任务。因为它是各个工作组、IAB和整个IETF的工作,因此IPng评论家就不仅仅是制定一个建筑上的决定。这个目标就是在它们到达功能和作用可能将面临危险的端之前找出不足和使人误解的地方。
15 地址的自动构建
当数据网络变得更复杂而至少需要避过一些复杂性和对“即插即用”功能的迫切需要时,用户就没有去理解网络体系结构细节或者知道网络软件在他们主机里如何工作的必要。在理想的情况下,一个用户应当可以打开一台新的计算机, 把它联入当地的网络,在没有特定信息的输入要求下“就”可以工作。由于安全的关系可能在一些环境里限制了提供透明的地址自动构建层的功能,但该机制必须能被代替支持在当地合适的情况下对自动机制的支持。
“即插即用”的基本的要求操作是:当第一次附属一个网络,或者因为主机移动或网络的标志符地改变,主机必须能动态地获得一个地址。这里也有其它地许多功能要求支持一个完整的“即插即用”环境。[ Berk94 ] 这些中的大多数必须在 IPv6 区域外编址,但是定义一个主机地址自动构建地焦点就是 IPv6 进程的一部分。
我们推荐一个新的地址自动构建工作组 ( addrconf ) ,大卫·卡茨作为Cisco 系统的副主席和Bellcore 的休·索姆森作为co-chairs形成改组。这个工作组的目的就是为动态分配给IPv6主机地址地设计协议。该地址配置协议必须适合大范围地网络布局,从而形成一个简单地单独网络不安全地全球网络联接。它应该也允许对管理控制层地改变,形成在非常小地疏忽情况下地完全自动操作。
这个工作组的范围是提出一个主机地址自动构建协议,该协议支持全范围内的布局和Pv6 使用管理环境。该意图是, 和IPv6 系统发展一起,地址地自动构建协议将提供最小的引导信息,必要时可以使主机获得进一步的配置信息 ( 例如在 IPv4里 由 DHCP 提供了 ) 。该范围不包括路由器配置或其它主机地配置功能。然而该工作组必须在这个范围里调查并且将这个工作和与之相关功能(包括系统发展)之间的关系写成文档, DNS自动登记,服务发展(discovery),和广域主机购置的功能,可以推动这些功能地统一。[ Katz94a ]
希望工作组能在 1994 年左右完成这个工作,同时在那时解散。该组的“IPv6 地址自动构建体系结构” [ Katz94b ]草稿文档作为这个工作地基础部分。
16 转换
因特网从IPv6到IPv4 转换面对两个单独地需要。短期的是需要定义一个专门地技术和方法来对IPv4网络进行转换,包括因特网,IPv6网络和IPv6 因特网。长期的是需要一个转换的长期的操作计划编制, 包括允许分散移动策略的发展方法,当两个协议都是基础结构的一部分时,应当给予理解这个长期的共存分枝,交互测试是被要求来保证将来英特网的可靠性和可管理性。
16.1 短期的转变
任何 IPng 转换计划必须要充分考虑供应商将提供哪一种设备类型和网络管理配置。 IPng 转换计划必须要定义一套程序,用来成功的执行供应商愿意包含他们机制的功能函数。即使这有好的观点建议使用这个特殊的功能。例如头转换,如果产品存在的话,有一个内在的操作比没有好。
我们建议一个新的NGTRANS工作组由Sun Microsystems公司的 Bob Gilligan和 xxx公司的yyy作为co-chairs来设计这个机制和程序,从而支持从IPv4到IPv6 的因特网转换,同时给于在首选的程序和技术上的建议。
这个组的工作将围绕下列 3 个方面:
* 定义一个从 IPv4 转换到 IPv6 的进程的英特网程序。作为这个成就的一部分,该组将提出一个关于解释通常因特网社区在转换中使用的机制文档,同时包含这个转换是如何工作的、在这些机构的操作中底层结构的展开状态,和应用软件开发者假想的协议混合转换功能函数的类型。
* 定义和指定供应商在主机,路由器,和别的为转换提供的英特网的组成的强制和可选机制。双栈,封装和头转换机制都必须被定义, 也可使用这些机制的不同联合主机之间的交互。这个指定的产品将被用户使用用来执行实现这些 IPv6 系统。
* 有关具体的操作计划为英特网执行从 IPv4 到 IPv6 的转换工作。这个工作的结果将是为网络操作员和因特网订户提供执行的一个转换计划。
工作组在1994年末完成任务并在那时解散。在工作开始的时候工作组使用“简单的SIPP传输协议(SST)”【Gilig94a】浏览文档。
16.2 传输-长期
相当数量的传输相关的课题额外的增加了IPv4到IPv6机制和它们的扩展,操作和相互作用的定义规范。迁移到一个新技术或已存在科技的新版本的分支和过程必须充分理解。
我们建议传输和共存包括测试工作组(TACIT),在几个月之前开始,浏览一些基本的发行相关联的对业已存在的因特网的新科技的扩展。TACIT工作组将注意力放在一般的发行传输上并且对于即将到来的IPv6传输不加限制。因为,扩展到IPv6(IPv6ng)需要时间。在那一点上,他们需要展开到现在已经存在的因特网上。相对于NGTRANS工作组,TACIT工作组将更具可操作性,且继续进入到实现IPv6传输。
探测的主要目的是:
* 使当前传输的扩展协议扩展到一个新的协议上去,当调节均匀性和分散性管理层。
* 由于它不可能也很难代替所有的现存的系统或软件,因此了解性能和新协议和已存在的协议长期共存的操作是很⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -