解讀云計算平臺下物聯(lián)網助力IPv6尋址策略

　　3.IPv6尋址策略

　　IPv6是新一代互聯(lián)網網絡層的核心技術，在地址空間、報文格式、安全性方面具有較大的優(yōu)勢。IPv6尋址策略技術通過在網絡層和數據鏈路層之間引入適配層，實現基于IEEE 802.15.4 通信協(xié)議的底層網絡與基于IPv6協(xié)議的互聯(lián)網的相互融合，適配層主要完成接入過程中的以下功能：①為了高效傳輸對IPv6數據包進行分片與重組；②網絡地址自動配置；③為了降低IPv6開銷對IPv6分組進行報頭壓縮；④有效路由算法。其中，網絡地址自動配置功能，對于識別接入物聯(lián)網的每個終端節(jié)點，使節(jié)點間能夠相互進行資源共享和信息交換具有最為重要的意義，因此本文圍繞網絡地址自動配置這個問題，提出了基于物聯(lián)網的IPv6尋址策略4 種解決方案，實現了物聯(lián)網中基于IEEE 802.15.4 通信協(xié)議的底層異構網絡與基于IPv6協(xié)議的互聯(lián)網的統(tǒng)一尋址，保證了物聯(lián)網時代網絡層向傳輸層提供靈活簡單、無連接、滿足QoS 需求的數據報服務。這4種解決方案分別是：

　　3.1靜態(tài)地址綁定及驗證方式

　　節(jié)點靜態(tài)地址綁定適用于物聯(lián)網規(guī)模節(jié)點不是很多，網絡管理員可以將每個節(jié)點的地址事先配置，然后再進行部署。可以通過以下方式進行源地址合法性驗證：管理員事先在可路由節(jié)點中建立傳感器節(jié)點的綁定屬性關系并生成過濾表，匹配的IP數據包可以直接轉發(fā)，不匹配的或不存在于過濾表中的IP地址將被過濾。

　　3.2 SLAAC地址分配及驗證方式

　　SLAAC 無狀態(tài)地址分配是一種無狀態(tài)、采用ICMPv6 進行的地址配置方式。該方式分2 個過程分配地址：①終端請求配置網絡參數，有路由器返回64位的NA（Neighbor advertisement）前綴。②終端將自己的MAC 地址映射為64 位的IEEE EUI-64 地址后，再與NA 一起形成128 位的IP 地址進行配置。可以通過以下方式進行源地址合法性驗證：通過可路由節(jié)點充當DAD-Proxy，向源地址驗證服務器中繼請求，并由源地址驗證服務器返回正確的驗證后，覆蓋該傳感器節(jié)點的可路由節(jié)點，建立與該傳感器的綁定，并通過過濾表項來進行合法性驗證。

　　3.3 DHCPv6地址分配及驗證方式

　　DHCPv6 是一種有狀態(tài)、采用C/S 模式和UDP報文交互的地址分配方式，DHCPv6 分3 個過程獲取地址：①傳感器節(jié)點以單播方式發(fā)出DHCP 請求包至DHCPv6 服務器。②DHCPv6 服務器將配置信息應答給請求傳感器節(jié)點。③傳感器節(jié)點收到配置信息后發(fā)出DAD-NS 報文進行重復地址懇請，在一段時間內無響應后即可使用該地址。在最后DAD-NS 超時無回復情況下建立綁定關系并生成過濾表項，并通過過濾表項來進行合法性驗證，具體驗證過程如圖2。

　　圖2 物聯(lián)網節(jié)點DHCPv6 源地址驗證狀態(tài)變遷圖

　　3.4 SLAAC與DHCPv6結合地址分配方式

　　這是一種介于有狀態(tài)和無狀態(tài)之間的地址管理方式，即主機首先通過SLAAC 方式獲取IPv6地址，然后使用DHCPv6 獲取除地址以外的其他網絡配置參數，如DNS、網關、域名后綴等。這種混合模式下，節(jié)點獲取地址的方式依托的是SLAAC,故這種混合方式下的源地址驗證仍采用SLAAC 驗證方式。

　　4.總結與展望

　　云計算平臺下物聯(lián)網是在傳感器網絡基礎上融合了互聯(lián)網的新一代智能感知網絡，也是近年來世界各國大力研究和發(fā)展的重點。目前，研究大多聚焦在物聯(lián)網的體系結構、路由機理、協(xié)議簡化以及與互聯(lián)網互聯(lián)互通的機制等方面。而物聯(lián)網節(jié)點IPv6尋址策略及合法性驗證方式就變得尤為重要，否則現有互聯(lián)網（包括地址欺騙，數據篡改在內）的眾多安全問題將會在物聯(lián)網中繼續(xù)出現。

　　從云計算融合物聯(lián)網角度出發(fā)，并結合物聯(lián)網運用IPv6的基本知識，提出了融合物聯(lián)網的新一代互聯(lián)網節(jié)點IPv6尋址的策略及驗證方式，并討論了靜態(tài)綁定、SSLAC、DHCPv6、SSLAC 與DHCPv6 混合4種地址分配情況下的場景交互、過程時序等細節(jié)。通過在可路由節(jié)點上建立傳感器節(jié)點的綁定表和過濾表，建立了分布式源地址驗證機制。展望下一步工作我們主要應集中在這兩個方面進行深入探索：①地址分配過程的報文交互安全性有待加強。②多協(xié)議網關翻譯機制需要進一步研究。