附件1：电力监控系统安全防护总体方案中扩展头的使用方法

第7章 IPv6扩展头 本章讨论 I P v 6扩展头的含义、工作方式及与 I P v 4扩展头的区别，着重解释扩展头的顺序、 使用方法，并讨论巨型报文、逐跳选项、目的地址选项、选路和分段头的使用。在第 9章将对 安全性头 (身份验证头和封装安全性净荷头 )进一步讨论。 7.1 扩展头 第5章介绍了一种新的 I P v 6扩展头，它作为简化的 I P v 6头，由工作在无选项方式的大多数 网络业务流所采用，同时它提高了网络对确实需要选项的包的处理能力。以下扼要重述第 5章 的内容，这种新的 I P v 6扩展头包括： • 逐跳选项头：此扩展头必须紧随在 I P v 6头之后，它包含包所经路径上的每个节点都必须 检查的可选数据。到目前为止，只定义了一个选项：巨型净荷选项。该选项指明，此包 的净荷长度超出了I P v 6的1 6位净荷长度字段。只要包的净荷 (包括逐跳选项头 )超出65 535 字节，就必须包含该选项。如果节点不能转发此包，则必须返回一个 I C M P v 6出错报文。 • 选路头：此扩展头指明包在到达目的地途中将经过的特殊的节点。它包含包沿途经过的 各节点的地址列表。 I P v 6头的最初目的地址不是包的最终目的地址，而是选路头中所列 的第一个地址。此地址对应的节点接收到该包后，对 I P v 6头和选路头进行处理，然后将 包发送到选路头列表中的第二个地址。如此继续，直至该包到达最终目的地。 • 分段头：此扩展头包含一个分段偏移值、一个“更多段”标志和一个标识字段，用于源 节点对长度超出源端和目的端间路径 M T U的包进行分段。 • 目的地选项头：此扩展头包含只能由最终目的地节点所处理的选项。目前，只定义了填 充选项，将该头填充为6 4位边界，以备将来所用。 • 身份验证头 ( A H )：此扩展头提供了一种机制，对 I P v 6头、扩展头和净荷的某些部分进行 加密的较验和计算。 • 封装安全性净荷 ( E S P )头：这是最后一个扩展头，不进行加密，它指明剩余的净荷已经 加密，并为已获得授权的目的节点提供足够的解密信息。 除了理解上述扩展头的功能之外，还有必要了解这些扩展头的使用方法、工作情况以及 将来如何用于扩展 I P v 6。下面一节将描述这些扩展头的正确用法，后续小节将详细解释每个 扩展头的工作过程，与安全性相关的扩展头的内容参见第 9章。 7.2 扩展头的用法 将I P v 4选项合并到标准 I P v 4头比较复杂。 I P v 4头最短为2 0字节，最长为 6 0字节，附加数 据包含 I P v 4选项，必须由路由器翻译以对 I P包进行处理。这种方法有两个影响：其一，路由 器实现时往往对附加选项的包进行分流处理，因此导致处理效率降低；其二，由于选项导致 性能下降，应用开发者倾向于不使用选项。 使用I P v 6扩展头，可以在不影响性能的前提下实现选项。开发者可以在必要时使用选项，