移动互联网技术详解PPT.ppt

《移动互联网技术详解PPT.ppt》由会员分享，可在线阅读，更多相关《移动互联网技术详解PPT.ppt（81页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第六章第六章 移动互联网移动互联网1 Standard:IETF相关工作组lMobility for IPv4(mip4)IP Mobility Support for IPv4(RFC3344)lMobility for IPv6(mip6)Mobility Support in IPv6(RFC 3775)Using IPsec to Protect Mobile IPv6 Signaling between Mobile Nodes and Home Agents(RFC 3776)Using IPsec between Mobile and Correspondent IPv6 Nod

2、es(draft-ietf-mip6-cn-ipsec-01.txt)lMIPv6 Signaling and Handoff Optimization(mipshop)Fast Handovers for Mobile IPv6(RFC 4068)Hierarchical Mobile IPv6 mobility management(HMIPv6)(RFC 4140)Mobile IPv6 Fast Handovers for 802.11 Networks(draft-ietf-mipshop-80211fh-04.txt)lMobile Nodes and Multiple Inter

3、faces in IPv6(monami6)lNetwork Mobility(nemo)Network Mobility Support Goals and Requirements(draft-ietf-nemo-requirements-05.txt)Network Mobility(NEMO)Basic Support Protocol(RFC 3963)2PaperslJSAC:IEEE Journal on Selected Areas in CommunicationsMOBILE ROUTERS AND NETWORK MOBIITYlhttp:/www.jsac.ucsd.e

4、du/TOC/2006/Sept06.htmllIEEEhttp:/ieeexplore.ieee.orglACMhttp:/portal.acm.org3内容l引言l移动IP(MIP:Mobile IP)的基本原理移动IPv4(MIPv4)的原理移动IPv6(MIPv6)的原理lMIP的安全性MIPv4的安全性MIPv6的安全性lMIPv6信令和切换优化l网络移动(Network Mobility)4内容l引言l移动IP(MIP:Mobile IP)的基本原理移动IPv4(MIPv4)的原理移动IPv6(MIPv6)的原理lMIP的安全性MIPv4的安全性MIPv6的安全性lMIPv6信令和

5、切换优化l网络移动(Network Mobility)5为什么在为什么在IP层引入移动性层引入移动性l各种底层无线网络之间的漫游各种底层无线网络之间的漫游IP Over Everythingl数据、语音、视频等多种业务的融合数据、语音、视频等多种业务的融合Everything Over IP6移动IP需要解决的问题接入路由器接入路由器1通信对端通信对端移动节点移动节点接入路由器接入路由器2ADDR1ADDR1 DATA7移动IP需要解决的问题接入路由器接入路由器1通信对端通信对端移动节点移动节点接入路由器接入路由器2ADDR2ADDR1 DATAIP地址的改变对于通信对端和上层地址的改变对于通

6、信对端和上层（IP层以上）是透明的层以上）是透明的移动节点需要一个在移动过程中移动节点需要一个在移动过程中保持不变的标识保持不变的标识不中断已经建立的连接不中断已经建立的连接通信对端始终能够找到移动节点通信对端始终能够找到移动节点家乡地址家乡地址8内容l引言l移动IP(MIP:Mobile IP)的基本原理移动IPv4(MIPv4)的原理移动IPv6(MIPv6)的原理lMIP的安全性MIPv4的安全性MIPv6的安全性lMIPv6信令和切换优化l网络移动9术语术语l家乡地址家乡地址(HoA:Home Address)：移动节点的标：移动节点的标识，手动配置或者由家乡网络分配，通常不变识，手动

7、配置或者由家乡网络分配，通常不变l转交地址转交地址(CoA:Care-of Address)：移动节点位：移动节点位置的标识，由移动到的外地网络分配，随位置变置的标识，由移动到的外地网络分配，随位置变化化l家乡代理家乡代理(Home Agent)：保存移动节点的家乡地：保存移动节点的家乡地址和转交地址之间的映射关系址和转交地址之间的映射关系(绑定绑定)l通信对端通信对端(Correspond Node)：和移动节点进行：和移动节点进行通信的网络节点，它可能是静止的节点，也可能通信的网络节点，它可能是静止的节点，也可能是移动节点是移动节点知道移动节点家乡地址如何将数据知道移动节点家乡地址如何将数

8、据包路由到移动节点的转交地址？包路由到移动节点的转交地址？数据包先路由到家乡代理，由数据包先路由到家乡代理，由家乡代理发送给移动节点！家乡代理发送给移动节点！HoA与与CoA的对应关系称为绑定的对应关系称为绑定(Binding)10基本过程基本过程l移动检测移动检测移动节点检测到自己移动到了外地网络移动节点检测到自己移动到了外地网络代理公告（代理公告（MIPv4）/路由器公告（路由器公告（MIPv6）l转交地址配置转交地址配置MIPv4l外地代理转交地址（即外地代理地址）外地代理转交地址（即外地代理地址）(Foreign Agent CoA)l配置转交地址配置转交地址(Co-located C

9、oA)MIPv6l全局可路由转交地址全局可路由转交地址l的绑定注册的绑定注册到家乡代理（到家乡代理（MIPv4/MIPv6）到通信对端（到通信对端（MIPv6）11MIPv4原理原理:使用外地代理转交地址使用外地代理转交地址l移动检测移动检测家乡代理家乡代理通信对端通信对端移动节点移动节点外地代理外地代理12MIPv4原理原理:使用外地代理转交地址使用外地代理转交地址家乡代理家乡代理通信对端通信对端移动节点移动节点外地代理外地代理代理公告代理公告l移动检测移动检测使用外地代理使用外地代理转交地址转交地址13MIPv4原理原理:使用外地代理转交地址使用外地代理转交地址l绑定注册绑定注册家乡代理家

10、乡代理通信对端通信对端移动节点移动节点外地代理外地代理注册请求注册请求注册请求注册请求注册应答注册应答注册应答注册应答14MIPv4原理原理:使用外地代理转交地址使用外地代理转交地址l接收接收/发送分组发送分组家乡代理家乡代理通信对端通信对端移动节点移动节点外地代理外地代理代理代理ARP和和免费免费ARP隧道隧道IP数据数据 IP头标头标IP数据数据 IP头标头标IP头标头标家乡代理处家乡代理处IP-in-IP封装封装外地代理处外地代理处 IP-in-IP解封装解封装源：家乡代理地址源：家乡代理地址目的：外地代理地址目的：外地代理地址分组分组分组分组分组分组分组分组15MIPv4原理原理:使用

11、外地代理转交地址使用外地代理转交地址家乡代理家乡代理通信对端通信对端移动节点移动节点外地代理外地代理l三角路由问题三角路由问题三角路由问题三角路由问题16MIPv4原理原理:使用配置转交地址使用配置转交地址l移动检测移动检测家乡代理家乡代理通信对端通信对端移动节点移动节点外地代理外地代理17MIPv4原理原理:使用配置转交地址使用配置转交地址家乡代理家乡代理通信对端通信对端移动节点移动节点外地代理外地代理代理公告代理公告l移动检测移动检测通过通过DHCP等方式获等方式获取配置转交地址取配置转交地址18MIPv4原理原理:使用配置转交地址使用配置转交地址l绑定注册绑定注册家乡代理家乡代理通信对端

12、通信对端移动节点移动节点外地代理外地代理注册请求注册请求注册应答注册应答19MIPv4原理原理:使用配置转交地址使用配置转交地址l接收接收/发送分组发送分组家乡代理家乡代理通信对端通信对端移动节点移动节点外地代理外地代理代理代理ARP和和免费免费ARP隧道隧道IP数据数据 IP头标头标IP数据数据 IP头标头标IP头标头标家乡代理处家乡代理处IP-in-IP封装封装移动节点处移动节点处 IP-in-IP解封装解封装源：家乡代理地址源：家乡代理地址目的：配置转交地址目的：配置转交地址分组分组分组分组分组分组20MIPv4原理原理:使用配置转交地址使用配置转交地址家乡代理家乡代理通信对端通信对端移

13、动节点移动节点外地代理外地代理l三角路由问题三角路由问题三角路由问题三角路由问题21MIPv4原理原理:反向隧道反向隧道l通过家乡地址来唯一标识移动节点，使得通通过家乡地址来唯一标识移动节点，使得通信对端不需要知道移动节点的位置信息信对端不需要知道移动节点的位置信息l移动节点和通信对端的通信始终使用家乡地移动节点和通信对端的通信始终使用家乡地址，通过家乡代理转发到移动节点的分组址，通过家乡代理转发到移动节点的分组,使得移动对于通信对端以及使得移动对于通信对端以及IP层以上的应用层以上的应用是透明的是透明的存在入口过滤问题存在入口过滤问题:当移动到外地时，当移动到外地时，防火墙可能过滤源地址为移

14、动节点家乡地址的分组防火墙可能过滤源地址为移动节点家乡地址的分组通过反向隧道解决入口过滤问题通过反向隧道解决入口过滤问题22反向隧道：使用外地代理转交地址反向隧道：使用外地代理转交地址家乡代理家乡代理移动节点移动节点外地代理外地代理外地代理外地代理转交地址转交地址通信对端通信对端反向反向IP-in-IP隧道隧道IP数据数据 IP头标头标IP数据数据 IP头标头标IP头标头标外地代理处外地代理处IP-in-IP封装封装家乡代理处家乡代理处 IP-in-IP解封装解封装源：外地代理地址源：外地代理地址目的：家乡代理地址目的：家乡代理地址分组分组分组分组分组分组23反向隧道：配置转交地址反向隧道：配

15、置转交地址家乡代理家乡代理移动节点移动节点外地代理外地代理通信对端通信对端反向反向IP-in-IP隧道隧道IP数据数据 IP头标头标IP数据数据 IP头标头标IP头标头标移动节点处移动节点处IP-in-IP封装封装家乡代理处家乡代理处 IP-in-IP解封装解封装源：配置转交地址源：配置转交地址目的：家乡代理地址目的：家乡代理地址配置转配置转交地址交地址分组分组分组分组24MIPv6原理l移动检测和地址自动配置家乡代理家乡代理通信对端通信对端移动节点移动节点接入路由器接入路由器家乡地址：家乡地址：HoA转交地址：转交地址：CoA25MIPv6原理l移动检测和地址自动配置家乡代理家乡代理通信对端

16、通信对端移动节点移动节点接入路由器接入路由器家乡地址：家乡地址：HoA转交地址：转交地址：CoA路由器公告路由器公告无状态地址自动配无状态地址自动配置生成置生成CoA26MIPv6原理l到家乡代理绑定注册家乡代理家乡代理通信对端通信对端移动节点移动节点接入路由器接入路由器家乡地址：家乡地址：HoA转交地址：转交地址：CoA绑定更新绑定更新(Binding Update)绑定应答绑定应答(Binding Ack)绑定缓存绑定缓存HoACoA27MIPv6原理原理l和通信对端通信过程：不支持任何移动IPv6功能家乡代理家乡代理通信对端通信对端移动节点移动节点IPv6-in-IPv6隧道隧道IP数据

17、数据 IP头标头标IP数据数据 IP头标头标IP头标头标家乡代理处家乡代理处IPv6-in-IPv6封装封装移动节点处移动节点处 IPv6-in-IPv6解封装解封装源：家乡代理地址源：家乡代理地址目的：目的：CoAIP数据数据 IP头标头标IP数据数据 IP头标头标IP头标头标移动节点处移动节点处IPv6-in-IPv6封装封装家乡代理处家乡代理处 IPv6-in-IPv6解封装解封装源：源：CoA目的：家乡代理地址目的：家乡代理地址家乡地址：家乡地址：HoA转交地址：转交地址：CoA分组分组分组分组分组分组分组分组28MIPv6原理原理l和通信对端通信过程：支持移动IPv6功能家乡代理家乡

18、代理通信对端通信对端移动节点移动节点绑定缓存绑定缓存HoACoA家乡地址：家乡地址：HoA转交地址：转交地址：CoAIPv6-in-IPv6隧道隧道分组分组绑定更新绑定更新绑定更新列表绑定更新列表通信对端通信对端IPv6地址地址29MIPv6原理原理l和通信对端通信过程：支持移动IPv6功能家乡代理家乡代理通信对端通信对端移动节点移动节点家乡地址：家乡地址：HoA转交地址：转交地址：CoAIPv6-in-IPv6隧道隧道分组分组分组分组绑定更新列表绑定更新列表通信对端通信对端IPv6地址地址绑定缓存绑定缓存HoACoA30对对IP以上层屏蔽移动性：原理以上层屏蔽移动性：原理l在双向隧道模式中，

19、在双向隧道模式中，移动节点和通信对端移动节点和通信对端的通信始终使用家乡的通信始终使用家乡地址地址l在路由优化模式中，在路由优化模式中，通过家乡地址选项通过家乡地址选项(HAO，由信宿选项头，由信宿选项头标携带标携带)和类型和类型2寻路寻路头标头标(T2R)来实现来实现家乡地址选项家乡地址选项类型类型2寻路头标寻路头标31路由优化模式：移动节点发送分组路由优化模式：移动节点发送分组TCP/UDPIPv6移动移动IPv6TCP/UDPIPv6移动移动IPv6移动节点移动节点通信对端通信对端HoA CNAHAO CoA CNAHAO CoA CNAHoA CNA添加添加HAO选项头标，包含选项头标

20、，包含移动节点的转交地址，交移动节点的转交地址，交换换HAO选项头标中的地址选项头标中的地址和数据包的源地址和数据包的源地址交换交换HAO选项头标选项头标中的地址和数据包中的地址和数据包的源地址的源地址HoA：家乡地址：家乡地址CNA：通信对端的地址：通信对端的地址CoA：转交地址：转交地址HAO：家乡地址选项，信宿选项头标：家乡地址选项，信宿选项头标T2R：类型：类型2寻路头标寻路头标HoA源地址源地址目的地址目的地址目的地址目的地址源地址源地址扩展头标扩展头标目的地址目的地址源地址源地址扩展头标扩展头标源地址源地址目的地址目的地址32路由优化模式：通信对端发送分组路由优化模式：通信对端发送

21、分组TCP/UDPIPv6移动移动IPv6TCP/UDPIPv6移动移动IPv6移动节点移动节点通信对端通信对端HoA：家乡地址：家乡地址CNA：通信对端的地址：通信对端的地址CoA：转交地址：转交地址HAO：家乡地址选项，信宿选项头标：家乡地址选项，信宿选项头标T2R：类型：类型2寻路头标寻路头标家乡地址家乡地址T2R CNA CoACNA HoA添加添加T2R选项头标，包含选项头标，包含移动节点的转交地址，交移动节点的转交地址，交换换T2R选项标中的地址和选项标中的地址和数据包的目的地址数据包的目的地址T2R CNA CoA交换交换T2R选项头标选项头标中的地址和数据包中的地址和数据包的目

22、的地址的目的地址CNA HoA源地址源地址目的地址目的地址目的地址目的地址源地址源地址扩展头标扩展头标目的地址目的地址源地址源地址扩展头标扩展头标源地址源地址目的地址目的地址33MIPv4和和MIPv6比较比较lIPv4地址空间有限，移动节点通常使用外地代理转交地址地址空间有限，移动节点通常使用外地代理转交地址存在外地代理存在外地代理三角路由问题三角路由问题家乡地址为源地址，存在入口过滤问题家乡地址为源地址，存在入口过滤问题需要使用需要使用IP-in-IP隧道，开销大隧道，开销大lIPv6拥有巨大的地址空间，移动节点通常使用全局可路由拥有巨大的地址空间，移动节点通常使用全局可路由转交地址转交地

23、址不需要外地代理不需要外地代理路由优化成为协议的基本部分路由优化成为协议的基本部分转交地址作为源地址，不存在入口过滤问题转交地址作为源地址，不存在入口过滤问题通过家乡地址选项（信宿选项头标）和类型通过家乡地址选项（信宿选项头标）和类型2寻路头标来实现转交寻路头标来实现转交地址变化对地址变化对IP层以上应用的透明，不需要使用层以上应用的透明，不需要使用IPv6-in-IPv6隧道隧道34内容l引言l移动IP(MIP:Mobile IP)的基本原理移动IPv4(MIPv4)的原理移动IPv6(MIPv6)的原理lMIP的安全性MIPv4的安全性MIPv6的安全性lMIPv6信令和切换优化l网络移动

24、(Network Mobility)35MIPv4的安全性的安全性l注册请求和注册应答消息的认证注册请求和注册应答消息的认证l移动安全关联移动安全关联认证算法、算法模式、密钥或者公认证算法、算法模式、密钥或者公/私密钥对、重播保护形式私密钥对、重播保护形式缺省缺省HMAC-MD5算法，生成算法，生成128比特摘要比特摘要lMobile-Home认证扩展认证扩展必须必须移动节点和家乡代理之间存在安全关联移动节点和家乡代理之间存在安全关联lMobile-Foreign认证扩展认证扩展可能可能移动节点和外地代理之间存在安全关联移动节点和外地代理之间存在安全关联lForeign-Home认证扩展认证扩

25、展可能可能外地代理和家乡代理之间存在安全关联外地代理和家乡代理之间存在安全关联36MIPv6的安全性的安全性l返回可路由（返回可路由（RR：Return Routability）过程过程移动节点与通信对端之间的安全移动节点与通信对端之间的安全l基于基于IPsec的的MIPv6安全安全移动节点和家乡代理之间安全移动节点和家乡代理之间安全移动节点和通信对端之间安全移动节点和通信对端之间安全37返回可路由过程：概述返回可路由过程：概述l目标是使得通信对端可以在某种程度上确保目标是使得通信对端可以在某种程度上确保移动节点所宣称的转交地址和家乡地址是移动节点所宣称的转交地址和家乡地址是合法的（可寻址）合

26、法的（可寻址）l产生移动节点和通信对端之间的认证密钥产生移动节点和通信对端之间的认证密钥（绑定管理秘钥（绑定管理秘钥Kbm），并且通过绑定认），并且通过绑定认证选项来保护移动节点和通信对端之间的证选项来保护移动节点和通信对端之间的绑定更新绑定更新l不需要预先配置信息，易于大规模部署不需要预先配置信息，易于大规模部署l安全强度比安全强度比IPSec弱弱38返回可路由过程：原理返回可路由过程：原理通信对端通信对端IPv6-in-IPv6隧道隧道HoTI CookieHoTI：家乡测试发起：家乡测试发起 消息消息CoTI：转交测试发起消息：转交测试发起消息HoT：家乡测试消息：家乡测试消息CoT：转

27、交测试消息：转交测试消息CoT Cookie TokenHoT Cookie TokenHoTI Cookie计算家乡密计算家乡密钥生成令牌钥生成令牌 HoT Cookie Token计算转交密计算转交密钥生成令牌钥生成令牌 家乡密钥生成令牌和转家乡密钥生成令牌和转交密钥生成令牌进行交密钥生成令牌进行SHA1得到绑定管理密钥得到绑定管理密钥 移动节点移动节点家乡代理家乡代理CoTI Cookie39返回可路由过程：存在的安全问题返回可路由过程：存在的安全问题l攻击者能够监听到移动节攻击者能够监听到移动节点的数据包点的数据包伪造邻居伪造邻居l家乡地址：攻击者的家家乡地址：攻击者的家乡地址乡地址l

28、转交地址：邻居地址转交地址：邻居地址l攻击者在家乡网络和通信攻击者在家乡网络和通信对端的路径上对端的路径上获得绑定管理密钥，伪获得绑定管理密钥，伪造绑定更新等造绑定更新等40基于基于IPsec的的MIPv6安全安全:IPSec回顾回顾(1)l安全策略安全策略(SP)选择符选择符(selector)l源地址、目的地址、源端口、目的端口、协议源地址、目的地址、源端口、目的端口、协议(TCP/UDP/ICMP)、模式、模式(隧道隧道/传输传输)策略行为：丢弃、实施策略行为：丢弃、实施IPSec处理或者绕过处理或者绕过l安全关联安全关联(SA)索引索引l目的地址、安全参数索引目的地址、安全参数索引(S

29、PI)、协议、协议(ESP/AH)源地址、目的地址、协议源地址、目的地址、协议(TCP/UDP/ICMP)、IPSec协议协议(ESP/AH)、模式、模式(隧道隧道/传输传输)、认证和加密算法、密钥等、认证和加密算法、密钥等41基于基于IPsec的的MIPv6安全安全:IPSec回顾回顾(2)l认证头标认证头标(AH)传输模式传输模式隧道模式隧道模式l封装化安全净荷封装化安全净荷(ESP)传输模式传输模式隧道模式隧道模式原始原始IP头标头标逐跳、信宿逐跳、信宿寻路、分片寻路、分片AH头标头标信宿信宿TCPUDP数据数据认证认证原始原始IP头标头标逐跳、信宿逐跳、信宿寻路、分片寻路、分片ESP头

30、标头标 信宿信宿TCPUDP数据数据ESP尾尾 ESP认证认证加密加密认证认证新新IP头标头标 扩展头标扩展头标 AH头标头标 原始原始IP头标头标 扩展头标扩展头标TCPUDP数据数据认证认证新新IP头标头标新扩展新扩展头标头标ESP头标头标 原始原始IP头标头标原始扩展原始扩展头标头标TCPUDP数据数据认证认证ESP尾尾 ESP认证认证加密加密42基于基于IPsec的的MIPv6安全安全:IPSec回顾回顾(3)lAH头标格式lESP头标格式43基于基于IPsec的的MIPv6安全安全:IPSec回顾回顾(4)l外出处理外出处理根据数据包信息初始化根据数据包信息初始化selector，选

31、择相应的一个或者多，选择相应的一个或者多个外出个外出SP，SP是有序的是有序的lSP的地址始终为数据包最终的源和目的地址的地址始终为数据包最终的源和目的地址(内部头标地址内部头标地址)根据每个根据每个SP指定的指定的SA或者或者SA束执行束执行IPSec处理，处理，SA是是无序的无序的l进入处理进入处理根据数据包的目的地址根据数据包的目的地址(外部头标地址外部头标地址)、IPSec协议和协议和SPI找到相应的找到相应的SA，然后执行，然后执行IPSec处理处理在进入在进入SPD找到对应的找到对应的SP(内部头标地址内部头标地址)，验证是否对，验证是否对数据包执行了指定的数据包执行了指定的IPS

32、ec处理处理(SA或者或者SA束束)44基于基于IPsec的的MIPv6安全安全:移动节点和家乡移动节点和家乡代理之间安全代理之间安全l移动节点和家乡代理之间的信令业务移动节点和家乡代理之间的信令业务绑定更新和绑定应答绑定更新和绑定应答l使用使用IPSec ESP传输模式保护传输模式保护返回可路由过程返回可路由过程l家乡测试发起（家乡测试发起（HoTI）和家乡测试（）和家乡测试（HoT）l使用使用IPSec ESP隧道模式保护隧道模式保护前缀发现前缀发现lICMPv6消息消息lIPSec ESP传输模式保护传输模式保护45基于基于IPsec的的MIPv6安全安全:绑定更新和绑定绑定更新和绑定应

33、答应答(1)l绑定更新头标格式移动节点在外地网络时移动节点在家乡网络时l绑定应答头标格式移动节点在外地网络时移动节点在家乡网络时IPv6头标头标 源源=转交地址转交地址目的目的=家乡代理地址家乡代理地址家乡地址选项家乡地址选项(家乡地址家乡地址)传输模式传输模式ESP头标头标移动头标移动头标(绑定更新绑定更新)IPv6头标头标 源源=家乡代理地址家乡代理地址目的目的=转交地址转交地址类型类型2寻路头标寻路头标(家乡地址家乡地址)传输模式传输模式ESP头标头标移动头标移动头标(绑定应答绑定应答)IPv6头标头标 源源=家乡地址家乡地址目的目的=家乡代理地址家乡代理地址传输模式传输模式ESP头标头

34、标移动头标移动头标(绑定更新绑定更新)IPv6头标头标 源源=家乡代理地址家乡代理地址目的目的=家乡地址家乡地址传输模式传输模式ESP头标头标移动头标移动头标(绑定应答绑定应答)46基于基于IPsec的的MIPv6安全安全:绑定更新和绑定绑定更新和绑定应答应答(2)lSP和和SA使用家乡地址使用家乡地址家乡地址选项和类型家乡地址选项和类型2寻路头标包含家乡地址寻路头标包含家乡地址l家乡代理、移动节点上的家乡代理、移动节点上的SP和和SA条目条目源地址源地址目的地址目的地址模式模式协议协议SP1移动节点外出移动节点外出家乡代理进入家乡代理进入家乡地址家乡地址家乡代理地址家乡代理地址ESP传输模式

35、传输模式移动头标移动头标SP2移动节点进入移动节点进入家乡代理外出家乡代理外出家乡代理地址家乡代理地址家乡地址家乡地址ESP传输模式传输模式移动头标移动头标SA1移动节点外出移动节点外出家乡代理进入家乡代理进入家乡地址家乡地址家乡代理地址家乡代理地址ESP传输模式传输模式移动头标移动头标SA2移动节点进入移动节点进入家乡代理外出家乡代理外出家乡代理地址家乡代理地址家乡地址家乡地址ESP传输模式传输模式移动头标移动头标47基于基于IPsec的的MIPv6安全安全:返回可路由过程返回可路由过程(1)l家乡测试发起家乡测试发起(HoTI)消息格式消息格式移动节点经家乡代理到通信对端移动节点经家乡代理

36、到通信对端l家乡测试家乡测试(HoT)消息格式消息格式通信对端经家乡代理到移动节点通信对端经家乡代理到移动节点IPv6头标头标 源源=转交地址转交地址目的目的=家乡代理地址家乡代理地址隧道模式隧道模式ESP头标头标移动头标移动头标(HoTI)IPv6头标头标 源源=家乡地址家乡地址目的目的=通信对端通信对端IPv6头标头标 源源=家乡代理地址家乡代理地址目的目的=转交地址转交地址隧道模式隧道模式ESP头标头标移动头标移动头标(HoT)IPv6头标头标 源源=通信对端通信对端目的目的=家乡地址家乡地址48基于基于IPsec的的MIPv6安全安全:返回可路由过程返回可路由过程(2)lSP和和SA使

37、用不同的移动节点地址使用不同的移动节点地址SP：家乡地址：家乡地址SA：转交地址：转交地址l家乡代理、移动节点上的家乡代理、移动节点上的SP和和SA条目条目源地址源地址目的地址目的地址模式模式协议协议SP1移动节点外出移动节点外出家乡代理进入家乡代理进入家乡地址家乡地址任意任意ESP隧道模式隧道模式移动头标移动头标SP2移动节点进入移动节点进入家乡代理外出家乡代理外出任意任意家乡地址家乡地址ESP隧道模式隧道模式移动头标移动头标SA1移动节点外出移动节点外出家乡代理进入家乡代理进入转交地址转交地址家乡代理地址家乡代理地址ESP隧道模式隧道模式移动头标移动头标SA2移动节点进入移动节点进入家乡代

38、理外出家乡代理外出家乡代理地址家乡代理地址转交地址转交地址ESP隧道模式隧道模式移动头标移动头标49基于基于IPsec的的MIPv6安全安全:返回可路由过程返回可路由过程(3)l转交地址变化时转交地址变化时家乡代理：收到绑定更新时，更新外出家乡代理：收到绑定更新时，更新外出SA的目的目的地址和进入的地址和进入SA的源地址为新的转交地址的源地址为新的转交地址移动节点：移动节点：收到绑定应答时，更新进入收到绑定应答时，更新进入SA的目的目的地址和外出的地址和外出SA的源地址为新的转交地址的源地址为新的转交地址50基于基于IPsec的的MIPv6安全安全:前缀发现前缀发现(1)l移动节点获取家乡子网

39、的前缀的变化信息移动节点获取家乡子网的前缀的变化信息l移动前缀请求消息格式移动前缀请求消息格式l移动前缀公告移动前缀公告IPv6头标头标 源源=转交地址转交地址目的目的=家乡代理地址家乡代理地址家乡地址选项家乡地址选项(家乡地址家乡地址)传输模式传输模式ESP头标头标ICMPv6(前缀请求前缀请求)IPv6头标头标 源源=家乡代理地址家乡代理地址目的目的=转交地址转交地址类型类型2寻路头标寻路头标(家乡地址家乡地址)传输模式传输模式ESP头标头标ICMPv6(前缀公告前缀公告)51基于基于IPsec的的MIPv6安全安全:前缀发现前缀发现(2)l移动节点和家乡代理上的移动节点和家乡代理上的SP

40、和和SA条目条目源地址源地址目的地址目的地址模式模式协议协议SP1移动节点外出移动节点外出家乡代理进入家乡代理进入家乡地址家乡地址家乡代理地址家乡代理地址ESP传输模式传输模式ICMPv6SP2移动节点进入移动节点进入家乡代理外出家乡代理外出家乡代理地址家乡代理地址家乡地址家乡地址ESP传输模式传输模式ICMPv6SA1移动节点外出移动节点外出家乡代理进入家乡代理进入家乡地址家乡地址家乡代理地址家乡代理地址ESP传输模式传输模式ICMPv6SA2移动节点进入移动节点进入家乡代理外出家乡代理外出家乡代理地址家乡代理地址家乡地址家乡地址ESP传输模式传输模式ICMPv652内容l引言l移动IP(M

41、IP:Mobile IP)的基本原理移动IPv4(MIPv4)的原理移动IPv6(MIPv6)的原理lMIP的安全性MIPv4的安全性MIPv6的安全性lMIPv6信令和切换优化l网络移动(Network Mobility)53MIPv6信令和切换优化信令和切换优化l概述概述基本移动基本移动IPv6切换延时太大，不能满足实时和切换延时太大，不能满足实时和TCP延时延时敏感业务的需求敏感业务的需求基本移动基本移动IPv6中的切换引入额外的信令开销中的切换引入额外的信令开销l移动节点和家乡代理及通信对端之间的绑定注册过程可能移动节点和家乡代理及通信对端之间的绑定注册过程可能需要穿越骨干网，从而增加

42、骨干网的信令开销需要穿越骨干网，从而增加骨干网的信令开销 l切换优化切换优化移动移动IPv6快速切换快速切换(FMIPv6:Fast Handovers for Mobile IPv6)lIPv6微移动管理微移动管理层次移动层次移动IPv6(HMIPv6：Hierarchical Mobile IPv6 mobility management)54概述：移动节点切换过程概述：移动节点切换过程无线接入点无线接入点1无线接入点无线接入点2移动节点移动节点接入路由器接入路由器1(切换前接入路由器切换前接入路由器)接入路由器接入路由器2(切换后接入路由器切换后接入路由器)55概述：移动节点切换过程概述

43、：移动节点切换过程接入路由器接入路由器1(切换前接入路由器切换前接入路由器)接入路由器接入路由器2(切换后接入路由器切换后接入路由器)无线接入点无线接入点1无线接入点无线接入点2移动节点移动节点n链路层切换：无线接入点链路层切换：无线接入点1到无线接入点到无线接入点2nIP层切换：接入路由器层切换：接入路由器1所在子网到接入路所在子网到接入路由器由器2所在子网所在子网56概述：概述：IP层切换过程层切换过程l移动检测移动检测和路由器公告的间隔有关和路由器公告的间隔有关l转交地址配置转交地址配置地址重复检测地址重复检测l典型值为典型值为1到到2秒秒l绑定注册绑定注册移动节点到家乡代理的延时移动节

44、点到家乡代理的延时移动节点到通信对端的延时移动节点到通信对端的延时57概述：概述：IP层切换延时分析层切换延时分析链路层切换完成链路层切换完成路由器公告路由器公告地址重复检测地址重复检测绑定更新绑定更新绑定应答绑定应答绑定更新绑定更新移动检测移动检测转交地址配置转交地址配置绑定注册绑定注册0到十到十几秒几秒1到到2秒秒几百毫秒几百毫秒到几秒到几秒移动节点移动节点接入路由器接入路由器家乡代理家乡代理通信对端通信对端58IP层切换延时太大会影响实时应用和吞吐量敏感应用层切换延时太大会影响实时应用和吞吐量敏感应用移动移动IPv6快速切换要减少这个延时，具体来说就是：快速切换要减少这个延时，具体来说就

45、是：n移动节点一检测到新的子网链路就能够发送数据包移动节点一检测到新的子网链路就能够发送数据包n新的接入路由器一检测到移动节点接入就能够发送新的接入路由器一检测到移动节点接入就能够发送到移动节点的数据包到移动节点的数据包移动移动IPv6快速切换定义了实现以上目标所需要的：快速切换定义了实现以上目标所需要的：nIP协议消息协议消息n独立于特定的链路层协议独立于特定的链路层协议n消息交互过程消息交互过程n不影响标准的移动不影响标准的移动IPv6操作操作59移动移动IPv6快速切换：快速切换相关消息快速切换：快速切换相关消息(1)l新的邻机发现消息新的邻机发现消息代理路由器公告请求代理路由器公告请求

46、(RtSolPr)l移动节点发送给接入路由器，请求代理路由器公告移动节点发送给接入路由器，请求代理路由器公告代理路由器公告代理路由器公告(PrRtAdv)l接入路由器发送给移动节点，提供邻近接入路由器的接入路由器发送给移动节点，提供邻近接入路由器的链路层地址、链路层地址、IP地址和子网前缀信息地址和子网前缀信息l实现功能实现功能辅助移动检测过程辅助移动检测过程l无线接入点到其所连接的接入路由器的子网信息映射无线接入点到其所连接的接入路由器的子网信息映射预先生成新的转交地址预先生成新的转交地址60移动移动IPv6快速切换：快速切换相关消息快速切换：快速切换相关消息(2)l接入路由器之间的消息接入

47、路由器之间的消息切换发起切换发起(HI)l通常是通常是PAR发往发往NAR，发起移动节点快速切换过程，发起移动节点快速切换过程l应该包含移动节点的切换前转交地址，可能包含移动应该包含移动节点的切换前转交地址，可能包含移动节点希望使用的新的转交地址节点希望使用的新的转交地址切换应答切换应答(HAck)lNAR对切换发起消息的应答对切换发起消息的应答l可能包含移动节点在可能包含移动节点在NAR上应该使用的新转交地址上应该使用的新转交地址l功能功能确认给出的新的转交地址是否可接受确认给出的新的转交地址是否可接受传送和切换相关的网络常驻上下文，例如接入控制、传送和切换相关的网络常驻上下文，例如接入控制

48、、QoS和头标压缩等和头标压缩等PAR：切换前接入路由器：切换前接入路由器NAR：切换后接入路由器：切换后接入路由器61移动移动IPv6快速切换：快速切换相关消息快速切换：快速切换相关消息(3)l新的移动头标消息新的移动头标消息快速绑定更新快速绑定更新(FBU)l移动节点发送到移动节点发送到PAR，功能类似于绑定更新，建立切换前转交地址和，功能类似于绑定更新，建立切换前转交地址和切换后转交地址的绑定切换后转交地址的绑定(隧道隧道)移动节点通过隧道转发源地址为切换前转交地址的分组到移动节点通过隧道转发源地址为切换前转交地址的分组到PARPAR通过隧道转发目的地址为切换前转交地址的分组到移动节点通

49、过隧道转发目的地址为切换前转交地址的分组到移动节点l包含移动节点切换前转交地址和切换后的转交地址信息包含移动节点切换前转交地址和切换后的转交地址信息快速绑定应答快速绑定应答(FBA)lPAR对快速绑定更新的应答对快速绑定更新的应答快速邻机公告快速邻机公告(FNA)l移动节点发送快速邻机公告给移动节点发送快速邻机公告给NAR，宣告自己到达，宣告自己到达l功能功能移动节点一切换到新的链路就可以接收分组移动节点一切换到新的链路就可以接收分组PAR：切换前接入路由器：切换前接入路由器NAR：切换后接入路由器：切换后接入路由器62移动移动IPv6快速切换：快速切换类型快速切换：快速切换类型l切换发起的实

50、体切换发起的实体移动节点发起的切换移动节点发起的切换l移动节点发送代理路由器公告请求移动节点发送代理路由器公告请求(RtSolPr)给当前接入路给当前接入路由器由器网络发起的切换网络发起的切换lPAR发送未经请求的代理路由器公告发送未经请求的代理路由器公告(PrRtAdv)l发送快速绑定更新发送快速绑定更新(FBU)的链路的链路预测型预测型(predictive)快速切换快速切换l在切换前链路上发送在切换前链路上发送FBU并且接收到并且接收到FBack反应型反应型(reactive)快速切换快速切换l在切换后链路上发送在切换后链路上发送FBUPAR：切换前接入路由器：切换前接入路由器NAR：切