移动IP协议关键问题研究毕业论文

1、分类号 单位代码 密 级 学 号 重庆文理学院学士学位论文论文题目：移动ip协议关键问题研究论文作者： 指导教师：专 业：提交论文日期：2011年06月 日论文答辩日期：2011年06月 日学位授予单位：重庆文理学院中 国 重 庆2011年06月graduate thesis of chongqing university of arts and sciencesstudying on the keys of mobile ip protocolcandidate: supervisor: major: electronic information science and technology

2、 department of physics & information engineeringchongqing university of arts and sciencesjune 2011目 录摘 要iabstractii1 引言11.1移动ip研究现状11.2论文的研究内容及组织结构22移动ip概述42.1移动ip的出现42.1.1移动ip解决的问题42.1.2移动ip应用的范围42.1.3移动ip设计的要求及目标42.2移动ip的基本概念42.2.1移动ip的功能实体和基本术语42.2.2移动ip的基本操作63移动ip中的切换研究83.1移动ip切换的基本概念83.1.1 移动ip

3、的切换问题83.1.2 移动ip切换注册过程83.2移动ipv4低延迟切换技术93.2.1术语介绍及切换延迟93.2.2预先注册切换方法93.2.3过后注册切换方法113.2.4联合切换方法124移动ip中的安全问题研究144.1网络安全基础144.1.1网络安全现状144.1.2网络安全的目标144.2 移动ip的安全分析154.2.1移动ip的安全要求154.2.2移动ip的安全威胁与对策155 结束语20参考文献20致 谢22移动ip协议关键问题研究摘 要传统互联网的发展与应用己经进入人们的日常生活与工作之中，它能够提供不同的服务，同时拥有巨大的信息资源，极大地方便了人们对服务及信息资源

4、的共享和获取，但其缺点是不能支持主机的移动性，不能满足人们对移动性日益增长的需求。随着技术的发展，人们普遍对互联网与移动通信网络融合持乐观的态度，在这个过程中移动ip协议由于其技术优势将有可能发挥重要的作用。越来越多的人希望能够随时随地访问internet，传统的固定接入方式不能满足这一需求。而移动ip的出现，使得移动互联网成为可能，移动ip是一种网络层的移动解决方案。由于移动节点在不同网络中移动时需要进行接入点甚至接入网络的不断切换，如何保证移动节点在移动时低延迟切换甚至无缝切换以及其安全性就成为移动ip的研究重点。本文首先简要介绍了移动ip解决的问题、应用范围、基本术语和基本原理等，其次详

5、细分析移动ip中切换的基本概念和移动ip切换方法等，最后论述了移动ip的安全基础、移动ip可能遭受的安全威胁及相应的安全对策。关键词 移动ip；移动节点；切换；安全abstractthe development and application of traditional internet now can be seen anywhere in our daily life and work. internet can provide for us abundant value-added services, and also it holds tremendous information r

6、esources, thus greatly facilitating our convenient share and utilization of them. though, internet does have a big disadvantage of being unable to support host mobility, which leads to its inability to fulfill our daily-increasing mobility requirements. with the quick pacing of technology, the indus

7、try commonly holds a optimistic view on the coming integration between internet and mobile communication. mobile ip may positively exert its influence on this dramatic evolving process. more and more people wish to access to internet anytime and anywhere, the traditional fixed access cannot meet thi

8、s requirement, the emergence of mobile ip makes the mobile internet possible, mobile ip is a mobile solution on the network layer. due to mobile node connect the network to demand continuous switch. how to guarantee the low delay or even have no to sew switch and its safety in proceeding for mobile

9、node to move in the different network, these become the research emphases of mobile ip. this paper first brief introduce to resolve the problem, application area, basic nomenclature and basic fundamental. secondly, it was detailed to analyze the basic concept, the means of switch. finally, discussed

10、 safety base, possible suffered the safety threaten and correspond to the safety countermeasure. keywords mobile ip； mobile node； handoff；safety1 引言1.1移动ip研究现状从互连网络技术与意义上讲，早期的移动互连网络理论与技术的工作主要有两个：一个是采用了虚拟移动子网和ip in ip隧道封包的方法，被称作columbia mobile ip, 此后，又进一步完善了columbia mobile ip的设计思想和方法；另一个是移动节点协议，即虚拟ip

11、（vip：virtual ip），使用特殊的路由器来记忆移动节点的问题，并定义了新的ip头选项来传递数据。后来，又利用现有ip协议的松散源路径也设计了一种移动节点协议。1994 年a. myles和c. perkins综合了上述三种移动节点协议，设计出一种新的协议mobile ip，并由ietf（internet工程任务组）组织发展为现在的mobile ip的rfc3344协议1。1996 年ietf相继公布ipv4 的主机移动支持协议规范，包括rfc2002（ip移动性支持）2、rfc2003（ip分组到ip分组的封装）3、rfc2004（最小封装协议）4、rfc2005（移动ip的应用）5

12、和rfc2006（ip移动性支持管理对象的定义）6等，初步总结了移动ip的一些前期研究成果，奠定了相关研究的基础。并在2003 年，ietf颁布了移动ipv4 的新规范rfc3344，取代了rfc2002。与此同时，ietf 于2003 年针对移动ip 网络移动路由的研究趋势专门设立了四个工作组负责相关的理论研究和协议标准化工作，分别是ipv4 移动工作组、ipv6 移动工作组、移动ipv6信令和切换优化工作组（mipshop：mipv6 signaling and handoff optimization）以及网络规模移动工作组（nemo：network mobility）,大大促进了该领域

13、的发展。随着ipv6 被选为下一代ip网络协议，将移动ipv4 的研究成果应用到移动ipv6 的协议设计以及ipv6 协议的性能改进与完善成为了一个重要研究方面。1996 年ietf公布了第一个移动ipv6 草案，到2004 年初ipv6 主机移动协议草案已经发展到了第24 号版本，并于2004年6 月发布为rfc3775 成为第一个移动ipv6 的标准。移动ipv6 利用了ipv6 自动配置、优化的报头和扩展选项，简化了主机移动协议的设计，解决了移动ipv4 入口过滤、三角路由等问题，并降低了网络开销，提高了工作性能。移动ip虽然从形成ietf标准到现在已经接近10年时间，虽然在此领域有了很

14、大进展，但是在移动ip的实现和应用中仍然存在很多问题没有解决，或者是没有充分地解决，比如：1) 移动ip切换问题7当移动主机由一个网络接入点改接到另一个接入点(可能同属一个子网，也可能分属不同子网)时，需要进行数据链路层的切换，在链路层切换完毕后，才会进行ip层的切换，也就是移动ip的切换，这样会造成较大的时延，尤其是某些2层切换时的时间可能达到几秒甚是十几秒，这样就使得移动ip中的实时应用变得比较困难。目前有研究提出在数据链路层的切换发生前，触发一个二层触发来通知三层的实体如移动节点、家乡代理、外地代理等，让三层上面的注册、路由更新等过程提前进行，一旦连接新的接入点的二层链路准备完成，三层路

15、由也已经建立完毕，这样就可以立即开始数据包的发送。ietf的移动ip工作组已经把二层触发作为一个很重要的研究方向来进行研究，正在进行相关草案的讨论工作。不过就当前的研究来看，基本上只是提出了这样的一个思路和所需要的二层触发种类，但是这些已经提出的二层触发还不能够及时和准确地指示ip层进行三层切换，而且最关键的触发时机的问题，尚未进行深入研究，而这显然是二层触发成功与否的关键。2) 移动ip中的安全问题研究移动节点由于需要在整个网络上漫游，其所遭遇到的安全问题除了固定节点会遇到的一些比如拒绝服务攻击和会话窃取与监听等之外，还会出现和移动特性相关的一些问题。由于移动ip的实现往往要借助于无线通信的

16、手段，数据就必须在空中传输，由于暴露在空中，就给窃取者提供了更多窃取的机会，所以数据必须经过加密后才能传输；如果移动节点的家乡网络安装有防火墙，那么移动节点离开家乡网络进入其他网络后，它和家乡网络的连接就往往会造成中断，为了能够让移动节点穿越防火墙而同时又不损害网络安全性，文献8提出了使用skip的方法。由于ipv6中引入了网络层的加密技术，未来网络上的数据通讯的保密性将会越来越强，这使网络入侵检测系统和主机入侵检测引擎也面临在多种不同平台如何部署的问题。这就需要研究ids（identification section：标识部分）新的部署方式，再下一步，研究如何才能在任何网络状况、任何服务器、

17、任何客户端、任何应用环境都能进行适当的自转换和自适应。3) ipv6中的移动性问题研究移动ipv6与移动ipv4相比优势明显，主要是其设计吸收了移动ipv4的发展经验，并且抓住了设计新版本ip协议（ipv6）的大好时机，结合了ipv6的很多新特性。ipv6的出现是移动计算的一个重要里程碑，ipv6的下列主要特性对于未来的移动无线网络的发展至关重要：足够多的ip地址、安全数据报头的实现、目的选项提高了路由效率、地址自动配置及避免入口过滤。相对于ipv4而言，在ipv6中实现移动ip将更加容易和便于使用。首先，移动ipv6因为有了巨大的ipv6地址空间，而且每台路由器都要求实现路由器搜索，所以不再

18、需要外地代理，获得转交地址的过程更加简单。正因如此，ipv6中没有外地代理转交地址，而只有配置的转交地址。其次，应该有可能使用ipv6的各种特性来改进移动节点的操作。4) ip寻呼问题。基本的移动ip协议中没有提供对寻呼的支持，但是引入寻呼带来的潜在的好处吸引了众多研究者的目光。寻呼的概念来自移动通信，寻呼的引入是为了在精确的位置信息与较低的电源消耗和信令负载之间取得一个平衡：移动用户处于活动状态时，时刻通知网络自己的最新位置，而处于空闲状态时，则只是在移出寻呼区时才通知网络，对移动用户的呼叫到达时，由网络发起寻呼，移动用户应答并且通知网络自己当前的精确位置信息，从而可以建立连接。这样可以节约

19、电源消耗、减少信令负载，同时又可以保证在需要时能够和移动用户建立联系。移动ip中引入寻呼的目的和移动通信中的一致，但是移动ip中的寻呼是属于ip层的，并且应该是建立在链路层来支持寻呼功能的基础上只有链路层提供了寻呼功能，才能保证移动节点可以采用非常高效的省电模式监听各种寻呼报文，从而达到上述目的。本文在分析了移动互联网络的研究现状的基础上，对该领域当前存在的几个问题进行了简单地探讨，并给出了未来技术的发展方向。基于上述现状，还对移动ip的切换问题和移动ip安全问题进行进一步深入研究。1.2论文的研究内容及组织结构随着计算机网络和无线通信技术的快速发展，网络中出现了随时都可能在移动的主机，当主机

20、的移动跨越ip子网时，这些子网必须能够支持漫游。ietf为了迎合这种需求，制定了移动ip协议，它是传统internet的有效延伸和扩展。移动ip是一个在全球互联网上提供移动功能的解决方案，使移动节点在切换链路时仍可保持正在进行的通信。它提供了一种ip路由机制，使移动节点以一个永久的ip地址连接到任何网络链路上。随着第三网络中移动通讯和ip的融合，个人通讯（语音、数据、图像或视频等）将主要由移动通讯来完成。因而，通过移动ip开展实时性业务的需求也与日俱增。然而，由于移动节点的移动性，移动节点需要频繁的切换网络子网，从而导致延时甚至网络的中断。如何解决移动ip的无缝切换问题是开展实时性业务的关键。

21、作为下一代通信的一个解决方案，移动ip势必工作在无线的网络的环境中，同其它无线通信一样，安全同样也是移动ip所面临的一个重要问题。如何构建一个安全的移动ip网络以及实现对合法用户的认证、授权使用等也是移动ip走向商业应用的一个关键所在。从移动ip协议的切换和安全问题的探讨研究中，给出了未来技术的发展方向和需要进一步深入研究的领域提出了自己的见解，具有一定的意义。本课题研究内容主要对两个关键问题进行深入地研究：(1) 移动ip切换问题，其中侧重点在于研究在移动ip互联网络中移动主机由一个网络接入点改接到另一个接入点的网络切换问题。(2) 移动ip中的安全问题，其中侧重点在于研究移动ip技术的wl

22、an漫游安全问题。论文的组织结构如下：第1章 引言介绍课题的选题背景和研究意义，概述本文的研究内容及主要研究工作，叙述论文的组织结构。第2章 移动ip概述介绍移动ip解决的问题、应用的范围、设计的要求及目标及功能实体和基本术语，叙述了移动ip的基本工作过程。第3章 移动ip中的切换研究介绍移动ip切换问题、切换注册过程、术语介绍及切换延迟、预先注册切换方法、过后注册切换方法和联合切换方法。第4章 移动ip中的安全问题研究介绍网络安全现状、网络安全的目标、移动ip的安全要求和移动ip的安全威胁与对策。第5章 总结对本文所研究未来移动ip的切换技术和安全领域需要进行简单概括总结。2移动ip概述2.

23、1移动ip的出现2.1.1移动ip解决的问题移动ip在当前internet基于网络前缀路由的前提下，使得移动主机在不同的网络之间不断移动过程中仍能保持通信，是一个在internet上基于网络层提供移动支持功能的解决方案。它主要解决的问题9：(1) 移动主机可以通过一个永久的ip地址连接到任何链路网络上；(2) 移动主机在切换到新的链路上时，仍然能够保持下在进行的通信；与改变ip地址、特定主机路由不同，移动ip具有扩展性、可靠性和安全性。它与下层的物理传输介质无关，不需要改变移动主机的永久标识，与现有的internet协议兼容，能够与具有或不具有移动ip功能的主机进行正常通信。2.1.2移动ip

24、应用的范围在internet网络协议中，网络层协议负责将网络数据正确转发到相应的目的地址，其主要部分就是路由协议。路由协议通过路由器之间交换路由信息，建立用于转发分组的路由表，路由器根据接收分组的目的ip地址查找路由表，转发分组到相应的端口。移动ip是网络层的支持主机移动的解决方案，目的是把数据分组发送到可能不断改变接入位置的移动主机，通过在合适的节点上建立路由表项，实现转发数据分组到在外地链路网络上的移动主机。因此，采用移动ip功能的移动主机可以从一个网段移动到另一个网段而保持已有的各种通信，这种在不同网络间移动同时保持已有通信的功能是移动ip的重要标志。2.1.3移动ip设计的要求及目标移

25、动ip的主要设计目标就是移动节点在改变网络接入点时，不必改变其ip地址，就能够在移动的过程中保持通信的连续性，对上层协议保持透明性，与其它移动节点或不具有移动ip功能的节点能够进行正常的通信。具体来说，移动ip协议的设计应该满足如下的要求：（1） 移动节点在改变数据链路层接入点以后，应该能够保持与internet上其它节点的连续通信；（2） 移动节点无论连接到任何接入点，应该能够用原来的ip地址进行通信；（3） 移动节点应该能够与不具有移动ip功能的其它节点进行通信，并且不需要修改这些节点的协议；（4） 移动节点不应该比internet上的其它节点面临更多的安全威胁。另外，由于移动节点通过无线

26、链路连接到internet上，无线链路具有低带宽、高误码率的特点，长消息容易出错，以及移动节点通常由能量少的电池供电，减少通信中的能量消耗非常重要。因此，设计移动ip时要考虑移动节点接入时发送的管理消息数目应该尽可能少，消息长度也应该尽可能短。2.2移动ip的基本概念2.2.1移动ip的功能实体和基本术语移动ip的功能实体：移动节点：能够从一条链路切换到另一条链路，接入因特网而仍然保持正在进行的通信，并且保持它的家乡地址不变的节点。家乡代理：与移动节点家乡链路相连的路由器。它保留有移动节点的家乡地址，该路由器的功能是当移动节点离开家乡网络时，家乡代理通过隧道机制将发往移动节点的家乡网络的数据包

27、转发到移动节点的当前位置上，并维护反映移动节点当前位置的信息。外地代理：移动节点当前所在网络上的路由器，它向已登记的移动节点提供路由服务。当使用外地代理转交地址时，外地代理负责解除原始数据包的隧道封装，取出原始数据包，并将其转发到该移动节点。对于那些由移动节点发出的数据包而言，外地代理可作为已登记的移动节点的缺省路由器使用。移动ip的基本术语：家乡地址：移动节点在家乡网络上使用的ip地址，就像分配给固定的路由器或主机一样的“永久”的ip地址，不管移动节点连接到网络何处，其家乡地址保持不变。通信对端：指与移动节点通信的对等实体，可简称为通信对端，它可以是移动节点或者是位置固定的节点。转交地址：指

28、移动节点离开家乡链路后，它被赋予的反映其当前链路接入点的临时地址。家乡网络：指与移动节点家乡地址具有相同前缀的网络，可以是一个不存在的虚拟网络。发往移动节点家乡地址的ip分组会被标准的ip路由机制转发到其家乡网络上。外地网络：指除移动节点家乡网络外的任何网络，也就是网络前缀与移动节点家乡地址与网络前缀不同的网络。隧道：当一个数据分组被封闭在另一个数据分组的载荷中进行传送时，所经过的路径。移动绑定：指由家乡代理维护的移动节点的家乡地址和转交地址的关联，还包括关联的剩余生存期等其它相关信息。各实体之间的关系所构成的移动ip工作机制可参看图2-1。图2-1 移动ip的工作机制2.2.2移动ip的基本

29、操作下面通过分析移动节点移动到外地网络时，如何收到其它节点发送给它的分组以及它如何发送分组给其它节点，简单地介绍了移动ip的基本操作，可参看图2-1。1) 代理发现：l 家乡代理和外地代理周期性在它们作为移动代理的链路上，多播或广播称为代理通告的消息，通告它们与相应链路上的连接关系。l 移动节点根据收到的代理通告消息，判断它是在家乡链路网络上还是在外地链路网络上。当连接在家乡链路上时，移动节点就像固定节点一样的进行工作，不再利用移动ip功能。当移动节点检测到它从家乡链路网络移动到外地链路网络，或从一个外地链路网络移动到新的外地链路网络上时，它就要向家乡代理进行注册。2) 注册：l 当移动节点连

30、接在外地链路网络时，它需要一个代理它当前所在位置的转交地址。移动节点可从外地代理通告消息中获得外地代理转交地址，还可以通过动态配置协议或手工配置等方法获得配置转交地址。l 移动主机在获得转交地址后，通过移动ip定义的消息向家乡代理请求注册。家乡代理确认后，将家乡地址和相应的转交地址存放在绑定缓存中，完成家乡地址和转交地址的绑定，并向移动节点发送注册应答。在注册的过程中，如果移动节点使用外地代理转交地址，就要通过外地代理进行注册请求和注册应答。3) 分组路由10：l 家乡代理和家乡链路网络上的其它路由器通过与外地链路网络上的路由器交换路由信息，使得发送给移动节点家乡地址的分组被正确转发到家乡链路

31、上。家乡代理通过地址解析协议来截取发往移动节点家乡地址的ip分组。图2-2是移动ip的三角路由，图2-3是移动ip的优化路由。图2-2 移动ip的三角路由 图2-3 移动ip的优化路由。l 家乡代理根据分组的ip目地址查找绑定缓存，获得移动节点注册的转交地址，然后通过隧道发送分组到移动节点的转交地址。如果转交地址是外地代理转交地址，隧道末端的外地代理拆封得到原始分组后，再转发给移动节点。如果转交地址是配置较交地址，封装的数据分组直接发送到移动节点。l 移动节点使用外地链路网络的路由器作为默认的路由器，它发送的分组通过外地链路网络路由器直接发送给通信对端，不需要采用隧道机制。通信对端发送的分组通

32、过移动节点的家乡代理转发给移动节点，移动节点的分组直接发送通信对端，形成基本移动ipv4的三角路由现象。三角路由不是优化的路由，而移动ipv6的路由就是优化的路由，即移动节点和通信对端进行直接的通信。4) 注销：l 移动节点根据收到的代理通告消息，如果判断它返回到家乡链路网络上，那么移动节点必须直接注册到家乡代理完成注销。注销后，移动节点就像固定节点一样工作。3移动ip中的切换研究3.1移动ip切换的基本概念3.1.1 移动ip的切换问题移动ip是一种简单有效的网络层移动性解决方案，但它同时也带来两个方面的问题：三角路由和切换11。其中的切换问题是指从移动主机离开原先的外地网络开始，到家乡代理

33、接收到移动主机的新的注册请求为止的这段时间内，由于家乡代理不知道移动主机的最新的转交地址，所以它仍然将属于移动主机的ip包通过隧道发送到原先的外地网络，导致这些ip包会被丢弃，使得移动主机与通信对端间的通信受到影响，特别切换频繁或者从移动主机到家乡代理的距离很远时，整个切换过程分为两个阶段：移动检测阶段移动主机需要进行移动检测以判断自己是否更换了接入的子网，这段时间称为移动检测时延；重新注册阶段移动主机判断出发生移动之后，从移动主机向家乡代理发送注册请求，到家乡代理收到请求为止的这段时间，其长短取决于移动主机到家乡代理的距离长度。完成上述的两个阶段后，移动主机可以和通信对端继续通信，但是在这段

34、时间内的数据包丢失可能会与高层协议相互作用，进一步恶化通信性能，最典型的是和tcp的相互作用。tcp是目前internet中事实上的可靠传输协议的标准，它的一个基本假设是所有的数据包丢失都是由网络拥塞引起的，每次检测到数据包丢失，tcp都要启动相应的拥塞控制机制。这个假设在固定网络中工作得很好，但是在移动ip环境下，这个假设就不成立，由切换导致的数据包丢失会使得tcp连接的中断时间更长，使tcp性能恶化。相关资料的研究表明，由于移动ip切换引起的tcp连接中断时间可以达到6 s，最严重的可以到12 s左右，其间有多次的超时重传。总而言之，移动检测、重新注册以及与上层协议的相互作用三个因素共同决

35、定了移动主机进行切换时的通信性能。3.1.2 移动ip切换注册过程移动ip的注册过程一般是在代理发现机制完成之后进行的。一旦移动节点发现它的网络接入点从一条链路切换到另一条链路时，它就要进行注册。另外，由于注册信息有一定的生存时间，即使移动节点没有发生移动也要进行重新注册。移动ip的注册过程12是：1) 移动主机可以通过注册得到外地链路上的外地代理的路由服务；2) 移动主机可以通知家乡代理它的转交地址；3) 可以使一个要过期的注册重新生效；4) 移动主机在回到家乡链路上时要进行注销。注册的一些功能还包括：l 同时注册多个转交地址，家乡代理将送往移动主机家乡地址的数据包通过隧道送往每个转交地址；

36、l 可以在注销一个转交地址的同时保留其它转交地址；l 在先前不知道它的家乡代理的情况下，移动主机可以通过注册动态地得到一个可能的家乡代理的地址。移动ip注册包括两种注册消息：注册请求和注册应答。注册消息放在udp的数据部分，udp数据段则放在ip包的净荷中。移动ip的注册过程是用于通知家乡代理通过隧道向移动节点发送数据包的。如果不采用安全保障措施，又有一个恶意主机用户故意发送一条假注册请求消息给家乡代理，那么所有的数据包就有可能全部送到恶意用户那里。因此安全性问题就成为移动ip技术中的重要组成部分，它通过注册消息结构中的扩展字段对注册消息进行安全认证。3.2移动ipv4低延迟切换技术3.2.1

37、术语介绍及切换延迟切换：指当前正在进行通信的移动节点与通信节点之间的通信链路从当前接入路由器转移到新的接入路由器的过程。2层触发：是来自2层的信息，这些信息在2层切换前后通知3层特定的事件。2层切换：当移动节点由一个网络接入点改接到另一个接入点（可能同属于一个网络，也可能分属不同的网络）时，首先需要进行数据链路层的切换。这一层的切换过过程是由各个子网所使用的底层通信技术决定的。3层切换：当移动节点判断出自己已经移动到新的外地子网时，首先从外地子网获得转交地址，并发送注册请求向家乡代理注册新的转交地址。家乡代理收到注册请求后给移动节点发送注册应答，这样就完成了一次新的注册过程。之后，家乡代理开始

38、将目的地址为移动节点的数据包通过隧道发送到移动节点的当前位置，隧道的出口即为新的转交地址，从而完成了一次完整的切换。为了使移动网络得到最广泛的适用性，移动ip最初被设计为对链路层保持独立。这种设计的优点在于将协议栈的二层和三层明确分割，但是这种设计也给切换延迟带来的负面的影响。固有延时：第二层和第三层的严格分离导致了下面的固有延迟13。1) 移动主机只能与直接连接的外地代理通信，即移动主机只有在与新的外地代理的第二层切换完成后，才能开始注册过程。2) 注册过程的持续时间非零。在这段时间内，移动主机不能发送和接收ip分组。相应的解决措施：针对上面存在的固有延迟问题，可从下面两个方面考虑，提出了减

39、小移动ip固有延迟的一些方法。1) 移动主机在当前外地网络时，在发生切换之前就与新的外地网络上的外地代理通信。这可以让移动主机在二层切换之前就在新的外地代理上建立它的注册状态，加快切换的进程。2) 在新的外地网络上正式注册过程完成之前，移动主机继续使用前一个外地网络上的转交地址，通过前一个外地网络上的外地代理维持正在进行的通信连接。这样，可以减少了移动主机在网络切换过程中的通信中断时间。3.2.2预先注册切换方法预先注册切换方法允许移动主机参与即将发生的第三层切换。在网络支持下，移动主机在没有完成第二层切换时，就启动第三层切换的部分操作。第三层切换可以是移动发起的，也可以是网络发起的。预先注册

40、切换方法基于移动ip协议中描述的移动切换最初的概念。l 移动主机接收外地代理的通告；l 通告允许移动主机执行移动检测；l 移动主机向外地代理注册。根据二层触发的位置不同，预先注册切换方法允许移动主机和外地代理发起切换，分别可称为移动发起和网络发起。如图3-1总结了预先注册切换的机制，下面介绍具体的操作过程： 图3-1 预先注册切换过程1) 消息1a是旧外地代理向新外地代理发的请求路由器通告信息（rtsol , router solicitation）,消息1b是新外地代理回应的路由器通告消息（rtadv, router advertisement）。这些消息应该在预先注册切换之前发生才不会给切

41、换带来延迟，这样旧外地代理应该请求和缓存从相邻网络上的外地代理发送来的通告，以减少预先注册信令交换的时间。当3层切换是由在新外地代理上的2层目的触发所引起时，消息1b和消息2b一样直接被发送到移动节点（使用新外地代理和旧外地代理之间的隧道发送），而不需要由旧外地代理做中转。2) 消息2a是一个代理路由器请求消息（proxyrtsol, proxy router solicitation）,这条消息与一般的路由器请求消息不同，这条消息请求发送路由器通告的路由器并不是收到这条消息的路由器。使用这条消息说明切换是移动发起的。在移动发起的切换中，如果移动节点产生2层触发请求发送一个proxyrtsol

42、消息，消息2a用于请求代理路由器通告。在网络发起的切换中，旧外地代理产生2层触发，直接通过消息2b向移动节点发送路由器通告，而不需要移动节点请求。在网络发起的目的触发的情况下，新外地代理也可能直接通告移动节点。不管是何种情况，消息2b都是新外地代理的路由器通告消息。3) 当移动节点接收到路由器通告时，执行移动检测。在适当的时候，它通过消息3向新外地代理发送注册请求消息请求绑定。如果有网关外地代理存在，这条消息可以作为一个区域注册请求。因为移动节点在2层切换之前没有直接连接到新外地代理，消息3通过旧外地代理路由到新的外地代理。4) 消息3、消息4、消息5组成标准的移动ip注册或区域注册。如果切换

43、时网络发起目的触发切换，注册应答消息5应该通过隧道从新外地代理发到旧外地代理，再发送到移动节点。如果切换时移动节点或网络发起源触发切换，新的外地代理不知道旧外地代理的地址，所以新外地代理要等到移动节点与新网络的2层连接建立后才可以将注册应答消息发送给移动节点。5) 如果注册成功，移动节点的家乡代理或网关外地代理就将发往移动节点的数据同归隧道转发到移动节点的新外地代理。3.2.3过后注册切换方法过后注册切换方法是对移动ip协议的扩展，允许新旧外地代理利用二层触发，在新旧外地代理之间建立双向隧道。这样，移动主机可以在新的网络上继续使用旧的转交地址，移动主机在新连接点上很快建立服务，减小对实时性的影

44、响。移动主机最终必须在与新的外地代理的二层连接建立后，才执行正式的移动ip注册。过后注册切换方法使用隧道实现低延迟切换。当移动主机和旧的外地代理之间成功地完成移动ip注册之后，旧的外地代理就变成了移动主机的“锚点”，称为锚点外地代理。移动主机移动到一个新的外地网络，移动主机可以推迟第三层的切换而继续使用其锚点外地代理。如果移动主机还没有完成向新的外地代理的注册又移动到了第三个外地代理所在的网络，第三个外地代理可以与锚点外地代理进行信令交互将双向边隧道移到第三个外地代理处。当移动主机在外地网络上完成注册操作后，锚点外地代理发出的双向边隧道将会被拆除。如图3-2总结了过后注册切换的机制，下面介绍双

45、方切换的操作过程：图3-2 过后注册切换过程1) 旧外地代理或者是新外地代理收到一个第2层触发消息，得知一个移动节点将要移动到新的网络上，可以分为以下2种情况。a. 第2层触发是一个旧外地代理处的源触发消息。消息中包含移动节点的第2层地址和新外地代理的ip标识符，ip标识符可以是一个ip地址或者是可以映射为ip地址的第2层地址。b. 第2层触发是一个新外地代理处的目的触发消息。消息中包含移动节点的第2层地址和旧外地代理的ip标识符。2） 收到第2层触发消息的外地代理发送一个切换请求消息（hrqst, handoff request）给另一个外地代理，这里也有以下2种情况。a. 如果是旧外地代理

46、发送的切换请求消息，在消息中包含旧外地代理希望使用的2个外地代理之间隧道的生存期参数、移动节点的家乡子网地址和2层地址。b. 如果是新外地代理发送的切换请求消息，在消息中包含新外地代理希望使用的隧道生存期参数和移动节点的2层地址。3） 收到切换请求消息的外地代理给对方外地代理回应一个切换应答消息（hrply, handoff reply）。a. 如果发送切换应答消息的是旧外地代理，消息中包含旧外地代理希望使用的2个外地代理之间隧道的生存期参数、移动节点的家乡子网地址、2层地址和移动节点的家乡代理地址。b. 如果是新外地代理发送的切换应答消息，在消息中包含新外地代理希望使用的隧道生存期参数，这个

47、参数不能大于旧外地代理发来的切换应答消息中的隧道生存期值。4） 当移动节点与当前网络的第2层连接断开时，移动节点和旧外地代理都收到一个链路停用触发消息，当移动节点和新外地代理收到一个链路启动触发消息时，表示第2层切换已经完成。各个节点对触发消息的处理如下所述。a. 当旧外地代理收到链路停用触发消息时，它开始将发到移动节点的数据分组通过隧道发送到新外地代理。b. 当新外地代理收到链路启动触发消息时，新外地代理将旧外地代理通过隧道发来的数据分组转发给移动节点，同时新外地代理还将移动节点发到自己的数据分组通过一般的路由或者通过隧道发送到旧外地代理。c. 当移动节点收到链路启动触发消息时，移动节点可以

48、开始通常的移动ip注册过程，也可以推迟这一过程。如果注册成功，新外地代理就变成一个锚点外地代理。5） 如果移动节点还没有在新外地代理处完成移动ip的注册就移动到第3个网络，这时旧外地代理就变成锚点外地代理。6） 如果第2层切换在第4步失败，移动节点快速地在2个子网间来回移动，旧外地代理也许可以检测出这一情况，并且在2）中发送切换请求消息的外地代理给另一个外地代理发出一条隧道生存期为0的切换请求消息，将2个外地代理之间的隧道撤销。在这种情况下，旧外地代理就认为移动节点没有移动，旧外地代理仅仅在自己所在的网络上发送数据分组。3.2.4联合切换方法联合切换方法可以同时执行预先注册切换和过后注册切换，

49、该方法在运行预先注册方法时，在新旧外地代理之间交换过后注册切换消息，如果预先注册切换可以在二层切换完成前完成，预先注册成功，联合方法转化为预先注册切换。如果预先注册切换没有完成，过后注册切换方法将被使用。在二层切换完成前，预先注册不能保证一定能够完成，此时，该方法提供了一种备用机制。启动过后注册的时间门限是外地代理定时器的超时。旧外地代理的定时器在源触发后启动，新外地代理的定时器在目的触发后启动，或者在移动发起的情况下，新旧外地代理在接收到移动主机发送的注册请求消息后启动。外地代理接收到注册回应消息，并且发送到移动主机后，定时器复位。4移动ip中的安全问题研究安全性当前网络中最令人关注的热点之

50、一,安全性主要包括四个方面:机密性、认证、完整性和不可抵赖性。移动ip可以使用户在不中断网络连接的情况下随意漫游，这给用户带来了极大的方便。但在移动ip环境中，移动主机可以随意进行移动，而且可以使用包括无线信道在内的多种传输介质，这些都带来了许多新的安全隐患。4.1网络安全基础4.1.1网络安全现状随着网络技术的飞速发展，特别是从80年代初诞生了tcp/ip协议族开始。tcp/ip是当今几乎所有网络通信的基础。今天，各种通信网络，如用于数据传输的分组交换网络、用于话音通信的公共业务电信网络、综合业务网络和(陆地或卫星)移动通信网络等，使我们的生活方式和工作方式发生了巨大的变化。我们正在步入一个

51、崭新的信息社会。随着信息化社会的发展，信息在社会中的地位和作用越来越重要，每个人的生活都与信息的产生、存贮、处理和传递密切相关，对其依赖程度也越来越高，信息的安全与保密问题成了人人都关心的事情，这使得安全保密学成为大家感兴趣并为更多人服务的科学。信息空间中的侦察与反侦察、截获和反截获、破译和反破译、破坏和反破坏的斗争愈演愈烈。军事上的电子对抗在1991年初的海湾战争中发展成为空前的大规模电子战，商业上的情报战也随着电子商务的发展而步入了新的阶段。近年来，在网络上所进行的各种犯罪活动出现了逐年上升的趋势，由此所造成的经济损失是十分巨大的。信息空间中的信息大战正在悄悄而积极的酝酿中，小规模的信息战

52、一直在不断的出现、发展和扩大。信息战是信息化社会发展的必然产物。在信息战场上能否控制和取胜，是赢得政治、外交、军事和经济斗争胜利的先决条件。因此，信息系统的安全保密问题己成为影响社会稳定和国家安危的战略性问题。幸运的是，加密技术可有效的解决这些问题。当今密码学和信息安全保密技术已逐步得到广泛的重视，相应的安全软件和硬件己逐渐形成一个新的产业，其中包括认证、加密、访问控制、防火墙、抗病毒等方面的产品。信息安全保密技术在军事系统、政府机构、金融系统、医疗保健、通信网络、教育系统、制造业等方面开始得到广泛应用。4.1.2网络安全的目标计算机网络安全防范的重点是防范计算机病毒和黑客攻击,具体地讲,要达

53、到以下目标14。1) 认证认证就是识别和证实，识别是判明一个对象的真实身份，证实是证明该对象的身份就是其声明的身份。2) 保密性保密性就是保证机密信息和数据不会泄漏给非授权的用户。3) 信息完整性信息完整性就是保证信息和数据的一致性，防止信息和数据被非法用户利用、修改和破坏。4) 服务可用性服务可用性就是保证合法用户对信息数据或资源的合法使用不会被不正当地拒绝。5) 抗抵赖抗抵赖是针对对方进行抵赖的安全防范措施，用来证实发生过的行为，可细分为对发送抗抵赖、对递交抗抵赖和公证等防范措施。6) 可控性可控性是指信息、数据或资源被合法使用时，应能够控制授权用户的使用方式和访问权限。7) 系统易用性系

54、统易用性是指在满足安全性和保密性等要求的前提下，计算机网络系统应当操作简单、维护方便。4.2 移动ip的安全分析4.2.1移动ip的安全要求移动ip主要有三个安全要求15：1. 移动ip的机密性除了要保证通信数据的机密性外，对于移动ip，要特别关注以下信息的机密性。1) 用户信息：用户信息是网络黑客比较感兴趣的，因而必须采用强的加密技术，保证其机密性；否则，这些机密信息一旦泄漏，将会给用户带来不可估量的损失。2) 用户位置：在移动环境中，用户使用的无线信号容易泄漏用户的位置信息，移动ip的一些信令也会包含用户当前所在网络的信息，但是，有些用户并不希望系统中的其他用户获取该信息。3) 呼叫模式：

55、指呼叫者id、呼叫的频率、经常呼叫的通信对方等信息，偷听者一旦掌握了用户的呼叫模式，就更容易发起攻击。2. 移动ip的授权在移动通信中，客户经常要使用外地网络的资源。通常这些资源不是免费向公众开放的，只有授权后的客户才能访问，服务提供商不会为那些不属于自己的非法用户提供服务。授权访问的前提是认证。在商业的移动ip网络中，对所有外地代理和家乡代理之间的消息进行认证是很重要的，这样才可能计费。而认证是多种多样的，即有被访问网络和家乡网络对移动节点的认证，也有被访问的网络对移动节点家乡网络的认证，还可能需要服务级的认证。3. 移动ip的协议实体安全16移动ip的协议实体包括：移动节点、外地代理、家乡

56、代理、通信对端。这些协议实体都可能遭受安全攻击，所以，应该从以下几个方面考虑移动ip的安全要求。1) 移动节点：当访问外地网络时，要能够获得网络服务并且保护通信过程。2) 外地代理和被访问网络：当移动节点访问时，要能够保护网络的资源和本地通信流。3) 家乡代理和家乡网络：移动节点离开家乡网络，要能穿越家乡网络的防火墙；要防止恶意节点能过假冒移动节点入侵家乡网络。4) 通信对端：要防止恶意节点假冒移动节点进行会话窃取的攻击。4.2.2移动ip的安全威胁与对策移动ip面临的安全威胁：1) 拒绝服务攻击拒绝服务攻击是移动ip面临的最严重的一种攻击，它是指一个攻击者为阻止合法网络用户的正常工作而采取的

57、攻击17。这种攻击方法主要包括两种方式：一是通过向服务器或主机发送大量数据包，使得主机忙于处理这些无用的数据包而无法响应有用的信息。二是对网络上两个节点之间的通信直接进行干扰，如采取重定向的方法使合法用户无法获得所需要的数据。在第一种形式的攻击中，它使用非法的源地址建立大量的 tcp 连接来“轰炸”目标主机。这种攻击方法能够成功的一个关键原因在于目前 ip 单播数据包的选路只依赖于目的地址，而不需要察看源地址。对付这种攻击，目前还没有彻底的解决方案，但是可以采用入口过滤来减少这种攻击的威胁。路由器通过设置入口过滤，可以将源地址与其网络拓扑不匹配的数据包丢弃。对固定主机而言，这种方法可以较好地工作。但对移动 ip 来说，由于一个处于外地链路的移动节点发出的数据包的源地址仍为家乡地址，而路由器认为该地址应该位于移动节点的家乡链路上，所以那些配置了入口过滤的路由器会把这些合法的数据包全部丢弃，