从IPv6概念的提出到试商用再到规模化商用,驱动IPv6的规模化商用并非一蹴而就的事情。如果缺乏强烈的应用需求,仅靠政府的支持,想在几年内规模化唤醒IPv6的商用市场还很困难。IPv6作为一种IP 技术,解决的还是互联互通的问题。然而IPv6一直难以普及的主要原因还是现有IPv4地址转换技术已经解决了互联网应用的大部分问题,目前还没有看到哪种应用在现有IPv4架构下无法满足,而必须采用IPv6。但随着云计算、物联网、Web 2.0应用形成的新一代互联网网络环境出现大量需要IPv6技术的应用,商用市场才会真正被唤醒。
事实上,物联网的发展将对推动IPv6的规模化商用起到关键作用。首先,终端的多样性和普及将引发对IPv6技术的更强烈需求(因为物物互联需要大量的可用地址并配合路由交换技术解决节点间的互联互通)。其次,云计算强大的虚拟存储计算功能有力地支撑了物联网对在各类终端互联通信中产生的数据进行存储处理。从而可以指出的是物联网的发展需要云计算技术来做支撑,云计算将促进物联网的发展,而物理网的发展又会带来对IPv6地址的需求,并助力IPv6寻址的发展。
但在云计算平台下物联网当中,IPv6地址规模化商用的同时,物联网节点应用IPv6寻址的安全性和可靠性有必要重新考虑。由于每个物联网节点限于成本约束很多都是基于简单硬件的,不可能处理复杂的应用层加密算法,同时单节点的可靠性也不可能做得很高,其可靠性主要还是依靠多节点冗余来保证。因此,给每个物联网节点赋予IPv6地址,运行IPv6协议靠传统的应用层加密技术和网络冗余技术很难满足物联网中IPv6寻址安全可靠的需求。
1.新一代互联网
1.1 云计算
云计算是一种商业计算模型。它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和信息服务。
1.2 物联网
物联网是在计算机互联网的基础上,利用RFID、无线数据通信等技术,构建一个覆盖世界上万事万物的“Internet of Things”。在这个网络中,物品(商品)能够彼此进行“交流”,而无需人的干预。其实质是利用射频自动识别(RFID)技术,通过计算机互联网实现物品(商品)的自动识别和信息的互联与共享。
1.3 云计算与物联网的融合——新一代互联网
利用传感器、二维码、RFID 等传感技术随时随地获取物体的信息,通过各种传感网络与通信网络的融合,将物体的信息实时准确地传递出去的物联网,同时利用云计算、分布处理、模糊识别等各种智能计算技术,对海量的数据和信息进行分析和处理,对物体实施智能化控制。因此可以指出云计算支撑物联网形成的一种全新物物互联的网络,我们把它称之为新一代互联网。
1.4 新一代互联网的前景
物联网和云计算融合的新一代互联网信息技术产业具有资源消耗少、环境影响小、知识密集、市场需求巨大、拉动作用突出、应用广泛等特点,它可重点解决信息技术产业中平台性、安全性、服务性等方面的问题。例如其平台性方面可关注研发传感器技术的企业;安全性则可关注物联网在交通、电力等领域的应用,特大自然灾害中如果能够运用物联网防灾措施或能减少伤害和损失,从另外一角度来看,物联网防灾等项目建设有望加速;服务性方面可以关注云计算服务器、终端应用等产业链上的细分项目。
图1 云计算平台下物联网系统架构示意图
2.IPv6寻址体系结构
新一代互联网的规模发展必将增加大量节点,但事实上IPv4 已面临地址资源枯竭的困境,而在此时IPv6能够解决这一困境,它可以为地球上存在的万事万物都分配一个IP地址且可以与IPv4 无缝兼容。IPv6将128 bit 地址空间分为两大部分。第1 部分是可变长度的类型前缀,它定义了地址的目的。第2 部分是地址的其余部分,其长度也是可变的。每个16 bit 的值用十六进制值表示,各值之间用冒号分隔。IPv6数据报的目的地址可以是以下3 种基本类型地址之一:
*单播:单播就是传统的点对点通信。
*多播:多播是一点对多点的通信。
*任播:这是IPv6增加的一种类型。任播的目的站是一组计算机,但比较长数据报在交付时只交付给其中的一个,通常是距离最近的一个。
前缀为0000 0000 是保留一小部分地址与IPv4兼容的,这是因为必须要考虑到比较长的时期IPv4和IPv6将会同时存在,而有的节点不支持IPv6。
3.IPv6寻址策略
IPv6是新一代互联网网络层的核心技术,在地址空间、报文格式、安全性方面具有较大的优势。IPv6寻址策略技术通过在网络层和数据链路层之间引入适配层,实现基于IEEE 802.15.4 通信协议的底层网络与基于IPv6协议的互联网的相互融合,适配层主要完成接入过程中的以下功能:①为了高效传输对IPv6数据包进行分片与重组;②网络地址自动配置;③为了降低IPv6开销对IPv6分组进行报头压缩;④有效路由算法。其中,网络地址自动配置功能,对于识别接入物联网的每个终端节点,使节点间能够相互进行资源共享和信息交换具有最为重要的意义,因此本文围绕网络地址自动配置这个问题,提出了基于物联网的IPv6寻址策略4 种解决方案,实现了物联网中基于IEEE 802.15.4 通信协议的底层异构网络与基于IPv6协议的互联网的统一寻址,保证了物联网时代网络层向传输层提供灵活简单、无连接、满足QoS 需求的数据报服务。这4种解决方案分别是:
3.1静态地址绑定及验证方式
节点静态地址绑定适用于物联网规模节点不是很多,网络管理员可以将每个节点的地址事先配置,然后再进行部署。可以通过以下方式进行源地址合法性验证:管理员事先在可路由节点中建立传感器节点的绑定属性关系并生成过滤表,匹配的IP数据包可以直接转发,不匹配的或不存在于过滤表中的IP地址将被过滤。
3.2 SLAAC地址分配及验证方式
SLAAC 无状态地址分配是一种无状态、采用ICMPv6 进行的地址配置方式。该方式分2 个过程分配地址:①终端请求配置网络参数,有路由器返回64位的NA(Neighbor advertisement)前缀。②终端将自己的MAC 地址映射为64 位的IEEE EUI-64 地址后,再与NA 一起形成128 位的IP 地址进行配置。可以通过以下方式进行源地址合法性验证:通过可路由节点充当DAD-Proxy,向源地址验证服务器中继请求,并由源地址验证服务器返回正确的验证后,覆盖该传感器节点的可路由节点,建立与该传感器的绑定,并通过过滤表项来进行合法性验证。
3.3 DHCPv6地址分配及验证方式
DHCPv6 是一种有状态、采用C/S 模式和UDP报文交互的地址分配方式,DHCPv6 分3 个过程获取地址:①传感器节点以单播方式发出DHCP 请求包至DHCPv6 服务器。②DHCPv6 服务器将配置信息应答给请求传感器节点。③传感器节点收到配置信息后发出DAD-NS 报文进行重复地址恳请,在一段时间内无响应后即可使用该地址。在最后DAD-NS 超时无回复情况下建立绑定关系并生成过滤表项,并通过过滤表项来进行合法性验证,具体验证过程如图2。
图2 物联网节点DHCPv6 源地址验证状态变迁图
3.4 SLAAC与DHCPv6结合地址分配方式
这是一种介于有状态和无状态之间的地址管理方式,即主机首先通过SLAAC 方式获取IPv6地址,然后使用DHCPv6 获取除地址以外的其他网络配置参数,如DNS、网关、域名后缀等。这种混合模式下,节点获取地址的方式依托的是SLAAC,故这种混合方式下的源地址验证仍采用SLAAC 验证方式。
4.总结与展望
云计算平台下物联网是在传感器网络基础上融合了互联网的新一代智能感知网络,也是近年来世界各国大力研究和发展的重点。目前,研究大多聚焦在物联网的体系结构、路由机理、协议简化以及与互联网互联互通的机制等方面。而物联网节点IPv6寻址策略及合法性验证方式就变得尤为重要,否则现有互联网(包括地址欺骗,数据篡改在内)的众多安全问题将会在物联网中继续出现。
从云计算融合物联网角度出发,并结合物联网运用IPv6的基本知识,提出了融合物联网的新一代互联网节点IPv6寻址的策略及验证方式,并讨论了静态绑定、SSLAC、DHCPv6、SSLAC 与DHCPv6 混合4种地址分配情况下的场景交互、过程时序等细节。通过在可路由节点上建立传感器节点的绑定表和过滤表,建立了分布式源地址验证机制。展望下一步工作我们主要应集中在这两个方面进行深入探索:①地址分配过程的报文交互安全性有待加强。②多协议网关翻译机制需要进一步研究。