IPv6中的移动性支持-RFC3775(中文).pdf-淘文阁

资源描述

《IPv6中的移动性支持-RFC3775(中文).pdf》由会员分享，可在线阅读，更多相关《IPv6中的移动性支持-RFC3775(中文).pdf（85页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、本文翻译者：weicq2000() Network Working Group D. Johnson Request for Comments: 3775 Rice University Category: Standards Track C. Perkins Nokia Research Center J. Arkko Ericsson June 2004 IPv6 中的移动性支持 (2004 年 6 月) 译者提示：为了简化，译文将下述在文中大量使用的词组，用英文原单词首字母大写等组合代替。 1）认证首部(Authentication Header)： AH 2）绑定确认(Binding

2、 Acknowledgement)： BA 3）绑定缓存(Binding Cache)： BC 4）绑定更新(Binding Update)： BU 5）通信者节点(Correspondent Node)： CN 6）归属地地址(Home Address)： HAd 7）归属地代理(Home Agent)： HAg 8）移动性首部(Mobility Header)： MH 9）移动 IPv6(Mobile IPv6)： MIPv6 10）移动节点(Mobile Node)： MN 本备忘录状态 This document specifies an Internet standards trac

3、k protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the Internet Official Protocol Standards (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited. 版权声明 Copyright (

4、C) The Internet Society (2004). 摘要本文件定义了一个协议，该协议允许节点在 IPv6 互联网中移动时仍然保持可通达。每个 MN 总是由它的 HAd 标识，无论它目前在何处连接到互联网。当离开归属地时，MN 也与一个转交地址关联，转交地址提供了 MN 目前位置信息。寻址到 MN 的 HAd 的 IPv6 分组被透明地路由到它的转交地址。协议使 IPv6 节点能够缓存 MN 的 HAd 与它的转交地址的绑定，然后以此转交地址为地址直接发送目的地为该 MN 的任何分组给该 MN。为了支持此操作，MIPv6 定义了一个新的 IPv6 协议和一个新的目的地选项。所

5、有 IPv6 节点，无论是移动还是固定，都能够与 MN 通信。目录第1章介绍第2章与 M IPv4的比较第3章术语 3-1 一般术语 3-2 MIPv6术语第4章 MIPv6综述 4-1 基本运行 4-2 新的IPv6协议 4-3 新的IPv6目的地选项 4-4 新的IPv6 ICMP消息 4-5 概念上的数据结构术语 4-6 站点本地可寻址第5章 MIPv6安全性综述 5-1 到HAg的BU 5-2 到CN的BU 5-2-1 节点密钥 5-2-2 现时 5-2-3 甜点和令牌 5-2-4 加密功能 5-2-5 迂回可路由性过程 5-2-6 授权绑定管理消息 5-2-7 更新

6、节点密钥和现实 5-2-8 阻止重放攻击 5-3 动态HAg地址发现 5-4 移动前缀发现 5-5 净荷分组第6章新的IPv6协议、消息类型和目的地选项 6-1 移动性首部 6-1-1 格式 6-1-2 绑定刷新请求消息 6-1-3 归属地测试初始消息 6-1-4 转交测试初始消息 6-1-5 归属地测试消息 6-1-6 转交测试消息 6-1-7 BU消息 6-1-8 BA消息 6-1-9 绑定出错消息 6-2 移动性选项 6-2-1 格式 6-2-2 填充1 6-2-3 填充N 6-2-4 绑定刷新通知 6-2-5 替代转交地址 6-2-6 现时索引 6-2-7 绑定授权数据 6-3 H

7、Ad 选项 6-4 类型2路由首部 6-4-1 格式 6-5 ICMP HAg地址发现请求消息 6-6 ICMP HAg地址发现响应消息 6-7 ICMP移动前缀请求消息格式 6-8 ICMP移动前缀通告消息格式第7章对IPv6邻居发现的修改 7-1 修改的路由器通告消息格式 7-2 修改的前缀信息选项格式 7-3 新的通告间隔选项格式 7-4 新的HAg信息选项格式 7-5 对发送路由器通告的改变第8章对IPv6节点类型的要求 8-1 所有IPv6节点 8-2 支持路由最佳化的IPv6节点 8-3 所有IPv6路由器 8-4 IPv6 HAg 8-5 IPv6 MN 第9章 CN运行

8、 9-1 概念性数据结构 9-2 处理MH 9-3 分组处理 9-3-1 接收有HAd选项的分组 9-3-2 发送分组到MN 9-3-3 发送绑定出错消息 9-3-4 接收ICMP出错消息 9-4 迂回可路由性过程 9-4-1 接收归属地测试初始消息 9-4-2 接收转交测试初始消息 9-4-3 发送归属地测试消息 9-4-4 发送转交测试消息 9-5 处理绑定 9-5-1 接收BU 9.-5-2 请求缓存一个绑定 9-5-3 请求删除一个绑定 9-5-4 发送BA 9-5-5 发送绑定刷新请求 9-6 缓存替代策略第10章 HAg运行 10-1 概念性数据结构 10-2 处理MH 10-3

9、处理绑定 10-3-1 主转交地址注册 10-3-2 主转交地址解注册 10-4 分组处理 10-4-1 截获MN分组 10-4-2 处理被截获的分组 10-4-3 多播机制控制 10-4-4 有状态地址自动配置 10-4-5 处理反向隧道化分组 10-4-6 保护迂回可路由性分组 10-5 动态HAg地址发现 10-5-1 接收路由器通告消息 10-6 发送前缀信息到MN 10-6-1 归属地网络前缀列表 10-6-2 安排前缀交付 10-6-3 发送通告 10-6-4 改变前缀生存期第11章 MN运行 11-1 概念性数据结构 11-2 处理MH 11-3 分组处理 11-3-1 离开

10、归属地时发送分组 11-3-2 与离境IPsec处理的互动 11-3-3 离开归属地时接收分组 11-3-4 路由多播分组 11-3-5 接收ICMP出错消息 11-3-6 接收绑定出错消息 11-4 HAg和前缀管理 11-4-1 动态HAg地址发现 11-4-2 发送移动前缀请求 11-4-3 接收移动前缀通告 11-5 移动 11-5-1 移动检测 11-5-2 形成新的转交地址 11-5-3 使用多个转交地址 11-5-4 返回归属地 11-6 迂回可路由性过程 11-6-1 发送Test Init消息 11-6-2 接收Test 消息 11-6-3 保护迂回可路由性分组 11-7 处

11、理绑定 11-7-1 发送BU到HAg 11-7-2 通信者注册 11-7-3 接收BA 11-7-4 接收绑定刷新请求 11-8 重复发送和速率限制第12章协议常数第13章协议配置变量第14章 IANA考虑第15章安全性考虑 15-1 威胁 15-2 特性 15-3 到HAg的BU 15-4 到CN的BU 15-4-1 综述 15-4-2 达到的安全性能 15-4-3 与常规IPv6通信的比较 15-4-4 重放攻击 15-4-5 拒绝服务攻击 15-4-6 密钥长度 15-5 动态HAg地址发现 15-6 移动前缀发现 15-7 经HAg的隧道化 15-8 HAd选项 15-

12、9 类型2路由首部第16章撰稿人第17章致谢第18章参考文献 18-1 标准性参考文献 18-2 通告消息参考文献附录A 将来扩展 A-1 捎带 A-2 三角路由 A-3 新授权方法 A-4 动态生成HAd A-5 远端HAd配置 A-6 邻居发现扩展作者地址版权声明第 1 章介绍本文件定义了一个协议，此协议允许节点在 IPv6 互联网中移动时仍然保持可通达。没有对 IPv6 中移动性的专门支持11，当 MN 离开它的归属地链路时，目的地为该 MN 的分组将不能被送达给它。为了移动中能够继续通信，每次移动到一个新网络时 MN 可以改变它的 IP 地址，但是接下来，当 M

13、N 改变位置时它将不能维持传输层和高层的连接。IPv6 对移动性支持特别重要，因为在 IPv6 的一生中，移动计算机很可能是互联网普及的主要或至少是基本原因。本文件定义的协议，即 MIPv6，允许一个 MN 在链路间移动而不必改变它的“HAd” 。使用此地址，分组可以被路由到 MN，而无论它目前在何处附着在互联网上。当移动到一个新链路后 MN 也可以继续与其他节点(移动或固定)通信。于是，MN 脱离它的归属地链路的移动对于传输层、高层协议和应用是透明的。 MIPv6 协议可很好实现跨异质媒介的移动性，就如同跨同质媒介的移动性一样。例如，MIPv6 适应节点从一个以太网段移动到另一个以太网

14、段，也适应节点从以太网段移动到无线局域网小区，在移动中 MN 的 IP 地址保持不变。可以考虑用 MIPv6 协议解决网络层移动性管理问题。一些移动性管理应用，例如，无线发送接收机中的转换，每一方仅覆盖非常小的地理区域-已经使用链路层技术得到解决。例如，目前许多 WLAN 产品中链路层移动性机制允许 MN 从一个小区“切换”到另一个小区，在每个新位置重新建立到该节点的链路层连接。 MIPv6 不打算解决所有关于移动计算机或 WLAN 的一般问题，尤其是本协议不打算解决：处理具有单方向性连接或部分可达性的链路，诸如隐藏终端问题，那里对于链路上的某些路由器来说，某个主机是不可见的。在 M

15、N 访问的链路上的接入控制。移动性管理的本地或等级形式(类似许多目前的链路层移动性管理方案)。自适应应用协助。移动路由器。服务发现。因比特错误造成的分组丢失和因网络拥塞造成的分组丢失之间的区别。第 2 章与 IPv4 的 MIPv4 比较在 IPv6 中支持移动 IP 的设计得益于以下两方面：从移动 IPv4(MIPv4)的发展获得的经验22、23、24；和 IPv6 提供的机会。MIPv6 分享了 MIPv4 的许多特点，已将这些特点集成到 MIPv6 中并且 MIPv6 提供了许多其他改进。本章归纳 MIPv4 和 MIPv6 间的主要不同：不需要像 MIPv4 那样部

16、署特殊的路由器作为“外地代理” 。MIPv6 在任何位置的操作不需要任何来自本地路由器的专门支持。对路由最佳化的支持是协议的基础部分，而不是一组非标准化的扩展。 MIPv6 路由最佳化能够安全操作，甚至不需要预先安排的 Security Association。可以期盼，所有 MN 和 CN 间的路由最佳化能够全球部署。使路由最佳化与执行“入口过滤”26的路由器高效共存的技术也集成进 MIPv6。 IPv6 Neighbor Unreachability Detection 确保 MN 和它的目前位置的默认路由器间存在对称可达性。在 MIPv6 中，当 MN 离开归属地时，使用

17、IPv6 路由首部而不是 IP 封装发送大多数到 MN的分组，与 MIPv4 相比减少了最终开销数量。 MIPv6 与任何具体链路层脱钩，因为它使用 IPv6 Neighbor Discovery12代替了 ARP。这也改善了协议的茁壮性。 IPv6 封装(及路由首部)的使用免除了在 MIPv6 中管理“隧道软状态”的需要。在 MIPv6 中的动态 HAg 地址发现机制返回单一响应给 MN。在 IPv4 中使用的直接广播方法从每个 HAg 返回独立的响应。第 3 章术语 3-1 通用术语 IP：互联网协议版本 6(IPv6)。节点(node)：一个执行IP的设备。路由器(route

18、r)：一个转发不是明确寻址到自己的IP分组的节点。单播可路由地址(unicast routable address)：一个单一接口标识符。从另一个IPv6子网发送到“单播可路由地址”的分组被传递给由“单播可路由地址”标识的接口。因此，一个单播可路由地址也必须有一个全球范围或站点本地范围(但不是链路本地)。主机(host)：除了路由器以外的任何节点。链路(link)：一个通信设施或媒介，在其上节点们能够在链路层通信，例如一个以太网(简单或桥接)。链路是直接位于 IP 下面的那一层。接口(interface)：节点附着到链路的点。子网前缀(subnet prefix)：一个比特串，它由一

19、个 IP 地址的一些起始比特构成。接口标识符(interface identifier)：一个用于标识链路上节点接口的数。接口标识符是节点IP 地址中子网前缀之后剩余的低位比特。链路层地址(link-layer address)：接口的链路层标识符，例如以太网链路上的IEEE 802地址。分组(packet)：IP 首部加净荷。安全联盟(security association)：一个IPsec Security Association是一个由共享加密密钥材料和关联内容而形成的合作关系。Security Association是单向的。即，保护两个节点间的双向流量需要两个Secur

20、ity Association，每个方向一个。安全策略数据库(security policy database)：一个数据库，它规定为IP分组提供哪种安全服务，以及用哪种方式。目的地选项(destination option)：目的地选项由IPv6目的地选项扩展首部携带。目的地选项包括可选的信息，这些信息仅需要由在IPv6首部中作为目的地地址给出的IPv6节点检验，原节点和目的地节点间的路由器不检验这些可选信息。 MIPv6定义了一个新的目的地选项：HAd目的地选项(参阅第6-3节)。路由首部(routing header)：一个路由首部可以是一个IPv6扩展首部，它指出净荷必须被交付到

21、的目的地IPv6地址，传递净荷采用的方法根据标准互联网路由实现上的不同而不同。本文件中， “路由首部”典型地指类型2路由首部，参阅第6-4节。 “|”(级联, concatenation)：本文件中一些公式使用符号“|”表示字节方式级联，例如在 A | B 中。这个级联要求在结果中 A 域的所有字节首先出现，跟着是 B 域的所有字节。 First (大小, 输入)：本文件中某些公式使用一个函数形式的 “First (大小, 输入)” 来指出 “输入”数据的舍位，因此仅前面的“大小”比特被保留使用。 3-2 MIPv6 术语 HAd(home address)：分配给一个MN的单播可路由地址，

22、用作该MN的永久性地址。此地址位于该MN的归属地链路内。标准IP路由机制将传送目的地为MN HAd的分组到它的归属地链路。MN可以有多个HAd，例如，当在归属地链路上存在多个归属地前缀时。归属地子网前缀(home subnet prefix)：对应MN的HAd的IP子网前缀。归属地链路(home link)：一个链路，在该链路上定义了MN的归属地子网前缀。 MN(mobile node)：一个节点，它能够从一个链路到另一个链路改变其与网络的附着点，其间经过它的HAd始终保持可被访问。移动(movement)：MN改变它与互联网的附着点，结果它不再连接到先前它连接的同一链路上。如果MN目

23、前没有附着到它的归属地链路，就认为该MN“离开归属地” 。 L2交换(L2 handover) 一种处理，经此处理 MN 从一个链路层连接改变到另一个链路层连接。例如，无线接入点的切换是一个 L2 交换。 L3 交换(L3 handover)：在 L2 交换之后，MN 检测到 on-link 子网前缀中发生改变，这要求改变主转交地址。例如，无线接入点改变之后的接入路由器改变典型地引起 L3 交换。 CN(correspondent node)：一个与MN正在通信的对端节点。CN可以是MN或固定节点。外地子网前缀(foreign subnet prefix)：除了MN的归属地子网前缀以外的任何

24、IP子网前缀。外地链路(foreign link)：除了MN的归属地链路以外的任何链路。转交地址(care-of address)：一个当MN访问到外地链路时，可关联到该MN的单播可路由地址；此IP地址的子网前缀是一个外地子网前缀。在任何给定时刻MN可以有多个转交地址(例如，具有不同子网前缀)，这其中对于一个给定的HAd，向该MN的HAg注册的转交地址称为该MN的“主”转交地址。 HAg(home agent)：在MN归属地链路上的一个路由器，MN已经向该路由器注册了它目前的转交地址。当MN离开归属地时， HAg在归属地链路上截获目的地为该MN的HAd的分组，封装它们，并隧道化它们到

25、MN已经注册的转交地址。绑定(binding)：绑定即MN的HAd和MN的一个转交地址间的关联，绑定伴随着关联的剩余生存期。注册( registration)：一种操作，在此操作期间MN发送BU到它的HAg或一个CN，引起对注册的MN的一个绑定。移动性消息(mobility message)：包含一个MH的消息(参阅第6-1节)。绑定授权(binding authorization)：通信者注册需要被授权，以便让接收者相信发送者有权利规定一个新的绑定。迂回可路由性过程(return routability procedure)：通过使用加密token交换，迂回可路由性过程授权注册。

26、通信者注册(correspondent registration)：是在迂回可路由性过程之后跟着的一个注册，它在MN和一个CN之间运行。归属地注册(home registration)：MN和它的HAg之间的注册，使用IPsec授权。现时(nonce)：是在生成与迂回可路由性过程相关的 keygen token 中，由 CN 内部使用的一些随机数。这些随机数不是专为一个 MN 使用的，秘密保存在 CN 内。现时索引(nonce index)：当生成 keygen token 值时，nonce 索引用于指出哪一些 nonce 已经被使用，不需要显露 nonce 自身。甜点(cookie)

27、：这里的cookie指一个随机数，在迂回可路由性过程中，MN使用该随机数防止来自虚假CN的欺骗。转交初始化甜点(care-of init cookie)：在Care-of Test Init消息中发送给CN的cookie，在Care-of Test消息中被返回。归属地初始化甜点(home init cookie)：在Home Test Init消息中发送给CN的cookie，在Home Test消息中被返回。密钥生成令牌(keygen token)：一个keygen token是一个由CN，在迂回可路由性过程中提供的数，它使MN能够为授权一个BU而计算出需要的绑定管理密钥。转交密钥生成

28、令牌(care-of keygen token)：一个由CN在Care-of Test消息中发送的keygen token。归属地密钥生成令牌(home keygen token)：一个由CN在Home Test消息中发送的keygen token。绑定管理密钥(binding management key (Kbm)： Kbm是一个密钥。它用于授权一个BC管理消息(例如：Binding Update或Binding Acknowledgement)。迂回可路由性提供一种方法去生成一个绑定管理密钥。第 4 章 MIPv6 综述 4-1 基本运行 MN 总是希望能够以它的 HAd 被寻址

29、，无论目前是附着在它的归属地链路还是离开归属地。 “HAd”是分配给该 MN 的、位于它的归属地链路上的归属地子网前缀内的一个 IP 地址。当 MN 驻留在归属地时，寻址到它的 HAd 的分组被路由到该 MN 的归属地链路，其间使用传统互联网路由机制。当 MN 离开归属地附着在某个外地链路时，它也被以一个或多个转交地址寻址。转交地址是关联到一个 MN 的 IP 地址，转交地址有一个特殊的外地链路子网前缀。通过传统 IPv6机制 MN 能够获得它的转交地址，例如无状态或有状态自动配置机制。只要 MN 停留在这个位置，寻址到这个转交地址的分组将被路由到 MN。MN 也可以根据几个转交地址接

30、收分组，例如当它正在移动但是先前链路仍然可达时。 MN 的 HAd 和转交地址间的关联称为该 MN 的“绑定” 。离开归属地时，MN 向它归属地链路上的一个路由器注册它的主转交地址，请求这个路由器为该 MN 做“HAg” 。通过发送一个“Binding Update”消息到该 HAg，MN 申请这个绑定注册。该 HAg 通过返回一个“Binding Acknowledgement”消息响应该 MN。MN 和 HAg 的操作分别在第 11 章和第 10章描述。在本文件中，与 MN 通信的任何节点被称作该 MN 的“CN” ，CN 自身可以是固定节点或 MN。MN 能够提供有关它目前位置的信息给

31、 CN。这通过通信者注册实现。作为此过程的一部分，执行一个迂回可路由性测试以便授权此绑定的建立。CN 的操作在第 9 章描述。 MN 与 CN 间的通信有两种可能的模式。第一种模式，双向隧道化，不要求 CN 支持MIPv6，并且即使 MN 还没有注册它与 CN 的目前绑定也可实现。来自 CN 的分组被路由到HAg，接着被隧道化到该 MN。到CN 的分组被从该MN 隧道化(传送)到HAg( “反向隧道化” )，接着被从归属地网络正常路由到 CN。此模式中，HAg 使用前缀 Neighbor Discovery，截获寻址到归属地链路上该 MN 的 HAd(或一组 HAd)的任何 IPv6 分组

32、。每个被截获的分组被隧道化到 MN 的主转交地址。此隧道化采用 IPv6 封装15。第二种模式， “路由最佳化” ，要求 MN 在 CN 注册它的目前绑定。来自 CN 的分组可被直接路由到 MN 的转交地址。当发送分组到任何 IPv6 目的地时，CN 针对该分组的目的地地址条目检查它的缓存绑定。如果发现了一个针对该目的地地址的缓存绑定，该节点使用一个新的 IPv6 路由首部类型11(参阅第 6-4 节)，借助在此绑定中指出的转交地址，路由此分组到该 MN。直接路由分组到 MN 的转交地址允许使用最短通信路径。这也减轻了在 MN 的 HAg 和归属地链路处的拥塞。此外，在去 MN 或来自

33、 MN 的路径上，HAg 或网络任何可能失败的影响被减小了。当直接路由分组到 MN 时，CN 将分组的 IPv6 首部中的 Destination Address 设置为 MN的转交地址。一个新类型 IPv6 路由首部(参阅第 6-4 节)也被添加到分组，以便携带期望的HAd。类似，MN 将分组的 IPv6 首部中的 Source Address 设置为它的目前转交地址。MN 添加一个新的 IPv6“HAd”目的地选项(参阅第 6-3 节)，以便携带它的 HAd。由于这些分组中含有 HAd，使得转交地址的使用对于网络层以上(例如，传输层)是透明的。 MIPv6 也支持多 HAg，以及为归属地

34、网络的重配置提供有限支持。在此情况，MN 可以不知道它自己的 HAg 的 IP 地址，甚至归属地子网前缀可以随时间变化。一个称为“动态HAg 地址发现”的机制，允许 MN 动态发现在它的归属地链路上一个 HAg 的 IP 地址，甚至当该 MN 离开归属地时。通过“移动前缀发现”机制，MN 也能够了解关于归属地子网前缀的新信息。这些机制从第 6-5 节开始描述。 4-2 新的 IPv6 协议 MIPv6 定义了新的 IPv6 协议，使用 MH(参阅第 6-1 节)。此首部用于携带下述消息： Home Test Init Home Test Care-of Test Init Care-of Te

35、st 这 4 个消息用于从 MN 到 CN 执行迂回可路由性过程。这确保后续 BU 的授权，参阅第 5-2-5 节。 BU(Binding Update) BU由MN使用，用于通知CN或MN目前绑定的HAg。MN发送BU到它的HAg从而注册MN的主转交地址称为“归属地注册” 。 BA(Binding Acknowledgement) BA用于确认收到一个BU，如果在BU中要求确认，可知BU是发送到HAg的，或发生错误。绑定刷新请求(Binding Refresh Request) 绑定刷新请求由CN使用，用于请求MN重新建立它与CN的绑定。此消息典型用于缓存的绑定仍处于激活应用状态，但

36、绑定的生存期期满而将要关闭。CN可以使用最近的流量，和打开的传输层连接作为绑定处于激活应用状态的依据。绑定出错(Binding Error) 绑定出错由 CN 使用，发送与移动性有关的出错信号，例如，不存在绑定情况下使用 HAd 目的地选项之类的不适当企图。 4-3 新 IPv6 目的地选项 MIPv6 定义了新的 IPv6 目的地选项，HAd 目的地选项。此选项在第 6-3 节详细讨论。 4-4 新的 IPv6 ICMP 消息 MIPv6 也引入 4 个新的 ICMP 消息类型，两个用于动态 HAg 地址发现机制，两个用于重新编码和移动配置机制。正如第 10-5 节和第 11-4-1

37、节所述，下述两个新的 ICMP 消息类型用于 HAg 地址发现： HAg 地址发现请求(Home Agent Address Discovery Request)，参阅第 6-5 节。 HAg 地址发现响应(Home Agent Address Discovery Reply)，参阅第 6-6 节。正如第 10-6 节所述，下述两个消息类型用于网络重新编码和在 MN 上的地址配置：移动前缀请求(Mobile Prefix Solicitation)，参阅第 6-7 节。移动前缀通告(Mobile Prefix Advertisement)，参阅第 6-8 节。 4-5 概念上的数据结构术

38、语本文件使用下述概念上的数据结构术语描述 MIPv6 协议： BC(Binding Cache) 针对其他节点的绑定的 BC。此缓存由 HAg 和 CN 维护。此缓存包含“通信者注册” 条目(参阅第 9-1 节)和“归属地注册”条目(参阅第 10-1 节)。 BU列表(Binding Update List) 此列表由每个 MN 维护。此列表对每个绑定有一个条目，这个绑定是 MN 已经有的或正在尝试建立与指定的其他节点的绑定。此表包括通信者注册和归属地注册。当绑定生存期期满，表中的条目将被删除。参阅第 11-1 节。 HAg列表(Home Agents List) HAg 需要知道还有哪

39、些其他的 HAg 和其同在一个链路上。此信息存储在此 HAg 列表中，正如第 10-1 节所述。此列表用于在动态 HAg 地址发现期间通知 MN。 4-6 站点本地可寻址本文件要求 HAd 和转交地址必须是单播可路由地址。站点本地地址可以在没有连接到互联网的网络中使用，但是本文件没有定义这样的应用何时是安全的，何时是不安全的。MN 可以不考虑目前它们位于哪个站点，阻止偶然附着到其他站点是很难的。如果归属地网络和访问网络使用相同的地址，站点本地地址的不确定性将引起问题。因此，站点本地地址不应当用作 HAd 或转交地址。第 5 章 MIPv6 安全综述本文件提供许多安全特性。包括到 HA

40、g BU 和到 CN BU 的保护，移动前缀发现的保护，和对 MIPv6 传送数据分组机制的保护。使用 IPsec 扩展首部保护 BU，或者使用 Binding Authorization Data 选项保护 BU。此选项使用一个绑定管理密钥：Kbm，该密钥能够通过迂回可路由性过程建立。通过使用 IPsec扩展首部保护移动前缀发现。对于与传送净荷分组相关的机制，例如 HAd 目的地选项和类型 2 路由首部，规定的使用方式是在受到攻击时限制使用。 5-1 到 HAg 的 BU MN 和 HAg 必须使用 IPsec Security Association 来保护 BU 和 BA 的完整性和

41、真实性。MN和HAg必须支持和应当使用传输模式中的封装安全净荷(Encapsulating Security Payload , ESP)6首部，必须使用非空净荷认证算法来提供数据源认证、无连接完整性和可选的抗重放保护。注意，认证首部(AH)5也可能使用，但是因篇幅考虑在本文件中没有讨论。为了采用 IPsec 保护 MN 和 HAg间的消息交换，必须创立适当的安全策略数据库条目。必须阻止 MN 使用它的 Security Association 代表另一个享有相同 HAg 的 MN 发送 BU。以上必须是通过让 HAg 检验使用给定的归属地地址时采用了正确的 Security Associ

42、ation 而做到的。通过让安全策略数据库条目明确鉴别出，保护任何给定的 HAd 和 HAg 间的 BU 的单一 Security Association，这样的检验在 IPsec 进程中提供。为了使其成为可能，在 BU 和 BA中 MN 的 HAd 必须是可见的。在这些分组中 HAd 被作为一个源或一个目的地地址使用；或在HAd Destination选项或类型2路由首部中HAd同样被作为一个源或一个目的地地址使用。本文件中采用的所有 IPsec Security Association，必须支持 Security Association 人工配置。使用的共享密钥对于不同 MN 来说必

43、须是随机的和唯一的，并且必须离线分发到 MN。可以支持使用 IKE9的自动密钥管理，当使用 IEK 时，安全策略数据库条目或者 MIPv6进程必须明确鉴别出 IKE 阶段 1 证书，该证书能够用于授权 Security Association 的创立，以保护具体 HAd 的 BU。这些映射如何维护超出本文件范围，但是它们可以被维护，例如，在 HAg 中作为一个本地管理的表格。如果阶段 1 鉴别是一个全合格域名(Fully Qualified Domain Name, FQDN)，DNS 的安全格式也可以使用。第 11-3-2 节讨论了到 HAg 的 IKE 连接为何需要小心对待用于传送

44、 IKE 的地址。为确保IKE 交换(为使 BU 安全，需要 IKE 交换)前不需要 BU 这样做是必须的。当 MN 和 HAg 间使用具有预共享秘密认证的 IKE 版本 1 时，必须使用攻击模式。在 IKEv1 中不能使用 ID_IPv6_ADDR Identity 净荷。参考文献21有使用 IPsec 保护 MN 和 HAg 间通信的更详细描述和举例。 5-2 到 CN 的 BU 发送到 CN 的 BU 保护，不要求 Security Association 配置或 MN 和 CN 间存在一个认证基础设施。取而代之，使用一个称为迂回可路由性过程的方法来确保正确的 MN 正在发送消息

45、。此方法不防范在归属地网络和 CN 间路径上的攻击者。然而，在这样一个位置上的攻击者，甚至在不使用 MIPv6 时，能够执行同样的攻击。迂回可路由性过程的主要优点是它限制了那些有一条访问互联网特定路径的潜在攻击者，以及避免了来自互联网内任何别处的虚假 BU。有关迂回可路由性过程安全特性的更多描述参阅第 15 章。到 CN 的绑定消息的完整性和真实性是通过使用加密哈希算法来保护的。为此，将绑定管理密钥，Kbm 用于加密哈希算法。在迂回可路由性过程期间使用交换的数据建立 Kbm。使用节点密钥、nonce、cookies、token 和一定的加密功能完成数据交换。第 5-2-5 节概述了基本的迂

46、回可路由性过程。第 5-2-6 节显示这个过程的结果如何用于授权一个到 CN 的 BU。 5-2-1 节点密钥每个 CN 有一个密钥， Kcn，称作 “节点密钥” ，它用于产生发送到 MN 的 keygen token。节点密钥必须是一个 20 个字节长的随机数。节点密钥允许 CN 验证在授权一个 BU 中 MN使用的 keygen token 的确是 CN 自己的。此密钥必须不被任何其他实体共享。在任何时刻 CN 可以生成一个刷新的节点密钥；这避免了安全、持久存储密钥的需要。可选的更新节点密钥过程在第 5-2-7 节讨论。 5-2-2 现时每个CN 也定期生成现时(nonce)。

47、 nonce 由一个具有良好随机性的随机数发生器生成1。CN 可以将同样的 Kcn 和 nonce 用于所有与它正在通信的 MN。每个nonce由一个nonce索引标识。当新的nonce生成时，它必须被关联到一个新的nonce索引；例如，如果 nonce 索引被用作一个进入线性 nonce 数组的数组指针，通过增加前一个nonce 索引的值即可实现新 nonce 索引值分配。然而，没有要求存储 nonce，也没有要求连续的 nonce 索引值相互间有任何特定关系。在协议中索引值被交流，所以在协议运行期间如果一个 nonce 被新的 nonce 取代，CN 能够把应当对照旧的 nonce

48、检验的消息和应当对照新nonce 检验的消息区别开来。严格讲，在认证中索引不是必须的，但是索引允许 CN 高效发现在生成一个 keygen token 中使用的 nonce 的值。 CN 既保持目前的 nonce，也保持一小部分有效的先前 nonce(它们的生存期还没有到期)。生存期满的值必须被抛弃，使用陈旧或未知索引的消息将被拒收。规定的 nonce 索引值不能由 MN 用于决定 nonce 的合法性。nonce 的值的期望有效时间和更新它们的过程在第 5-2-7 节中讨论。 nonce 是一个任意长度的字节串。推荐长度为 64 比特。 5-2-3 甜点和令牌迂回可路由性地址检测过程使

49、用甜点(Cookies)和 keygen 令牌(Token)，分别作为检测初始期的黑箱值和检测消息。 “归属地初始 cookie(home init cookie)”和“转交初始 cookie(care-of init cookie)”是从 MN发送到 CN 的 64 比特值，之后返回到 MN。 home init cookie 在 Home Test Init 消息中发送，在 Home Test 消息中返回。 care-of init cookie 在 Care-of Test Init 消息中发送，在 Care-of Test消息中返回。 “归属地 keygen token(home

50、keygen token)”和“转交 keygen token(care-of keygen token)”是64比特值，二者均由 CN经HAg(经Home Test消息)和转交地址(通过Care-of Test消息)，分别发送到 MN。 MN 应当在它发送的每个 Home Test Init 或 Care-of Test Init 消息中设置 home init cookie或 care-of init cookie 为一个新生成的随机数。此两个 cookie 分别用于验证 Home Test 或Care-of Test 消息匹配 Home Test Init 或 Care-of Test

展开阅读全文