移动互联网技术详解PPT

1、第六章 移动互联网,1,Standard: IETF相关工作组,Mobility for IPv4(mip4) IP Mobility Support for IPv4 (RFC3344) Mobility for IPv6 (mip6) Mobility Support in IPv6 (RFC 3775) Using IPsec to Protect Mobile IPv6 Signaling between Mobile Nodes and Home Agents (RFC 3776) Using IPsec between Mobile and Correspondent IPv6 N

2、odes (draft-ietf-mip6-cn-ipsec-01.txt ) MIPv6 Signaling and Handoff Optimization (mipshop) Fast Handovers for Mobile IPv6 (RFC 4068) Hierarchical Mobile IPv6 mobility management (HMIPv6) (RFC 4140) Mobile IPv6 Fast Handovers for 802.11 Networks (draft-ietf-mipshop-80211fh-04.txt) Mobile Nodes and Mu

3、ltiple Interfaces in IPv6 (monami6) Network Mobility (nemo) Network Mobility Support Goals and Requirements (draft-ietf-nemo-requirements-05.txt) Network Mobility (NEMO) Basic Support Protocol (RFC 3963),2,Papers,JSAC: IEEE Journal on Selected Areas in Communications MOBILE ROUTERS AND NETWORK MOBII

4、TY /TOC/2006/Sept06.html IEEE ACM ,3,内容,引言 移动IP(MIP: Mobile IP)的基本原理 移动IPv4(MIPv4)的原理 移动IPv6(MIPv6)的原理 MIP的安全性 MIPv4的安全性 MIPv6的安全性 MIPv6信令和切换优化 网络移动(Network Mobility),4,内容,引言 移动IP(MIP: Mobile IP)的基本原理 移动IPv4(MIPv4)的原理 移动IPv6(MIPv6)

5、的原理 MIP的安全性 MIPv4的安全性 MIPv6的安全性 MIPv6信令和切换优化 网络移动(Network Mobility),5,为什么在IP层引入移动性,各种底层无线网络之间的漫游 IP Over Everything 数据、语音、视频等多种业务的融合 Everything Over IP,6,移动IP需要解决的问题,接入路由器1,通信对端,移动节点,接入路由器2,ADDR1,7,移动IP需要解决的问题,接入路由器1,通信对端,移动节点,接入路由器2,ADDR2,IP地址的改变对于通信对端和上层（IP层以上）是透明的,移动节点需要一个在移动过程中保持不变的标识,不中断已经建立的连接

6、,通信对端始终能够找到移动节点,家乡地址,8,内容,引言 移动IP(MIP: Mobile IP)的基本原理 移动IPv4(MIPv4)的原理 移动IPv6(MIPv6)的原理 MIP的安全性 MIPv4的安全性 MIPv6的安全性 MIPv6信令和切换优化 网络移动,9,术语,家乡地址(HoA: Home Address)：移动节点的标识，手动配置或者由家乡网络分配，通常不变 转交地址(CoA: Care-of Address)：移动节点位置的标识，由移动到的外地网络分配，随位置变化 家乡代理(Home Agent)：保存移动节点的家乡地址和转交地址之间的映射关系(绑定) 通信对端(Corr

7、espond Node)：和移动节点进行通信的网络节点，它可能是静止的节点，也可能是移动节点,知道移动节点家乡地址如何将数据包路由到移动节点的转交地址？,数据包先路由到家乡代理，由家乡代理发送给移动节点！,HoA与CoA的对应关系称为绑定(Binding),10,基本过程,移动检测 移动节点检测到自己移动到了外地网络 代理公告（MIPv4）/路由器公告（MIPv6） 转交地址配置 MIPv4 外地代理转交地址（即外地代理地址）(Foreign Agent CoA) 配置转交地址(Co-located CoA) MIPv6 全局可路由转交地址 的绑定注册 到家乡代理（MIPv4/MIPv6） 到

8、通信对端（MIPv6）,11,MIPv4原理:使用外地代理转交地址,移动检测,家乡代理,通信对端,移动节点,外地代理,12,MIPv4原理:使用外地代理转交地址,家乡代理,通信对端,移动节点,外地代理,移动检测,使用外地代理转交地址,13,MIPv4原理:使用外地代理转交地址,绑定注册,家乡代理,通信对端,移动节点,外地代理,14,MIPv4原理:使用外地代理转交地址,接收/发送分组,家乡代理,通信对端,移动节点,外地代理,代理ARP和免费ARP,隧道,分组,分组,分组,分组,15,MIPv4原理:使用外地代理转交地址,家乡代理,通信对端,移动节点,外地代理,三角路由问题,三角路由问题,16,

9、MIPv4原理:使用配置转交地址,移动检测,家乡代理,通信对端,移动节点,外地代理,17,MIPv4原理:使用配置转交地址,家乡代理,通信对端,移动节点,外地代理,移动检测,通过DHCP等方式获取配置转交地址,18,MIPv4原理:使用配置转交地址,绑定注册,家乡代理,通信对端,移动节点,外地代理,19,MIPv4原理:使用配置转交地址,接收/发送分组,家乡代理,通信对端,移动节点,外地代理,代理ARP和免费ARP,隧道,分组,分组,分组,20,MIPv4原理:使用配置转交地址,家乡代理,通信对端,移动节点,外地代理,三角路由问题,三角路由问题,21,MIPv4原理: 反向隧道,通过家乡地址来

10、唯一标识移动节点，使得通信对端不需要知道移动节点的位置信息 移动节点和通信对端的通信始终使用家乡地址，通过家乡代理转发到移动节点的分组,使得移动对于通信对端以及IP层以上的应用是透明的,存在入口过滤问题:当移动到外地时， 防火墙可能过滤源地址为移动节点家乡地址的分组,通过反向隧道解决入口过滤问题,22,反向隧道：使用外地代理转交地址,家乡代理,移动节点,外地代理,外地代理转交地址,通信对端,反向IP-in-IP隧道,分组,分组,分组,23,反向隧道：配置转交地址,家乡代理,移动节点,外地代理,通信对端,反向IP-in-IP隧道,配置转交地址,分组,分组,24,MIPv6原理,移动检测和地址自动

11、配置,家乡代理,通信对端,移动节点,接入路由器,家乡地址：HoA 转交地址：CoA,25,MIPv6原理,移动检测和地址自动配置,家乡代理,通信对端,移动节点,接入路由器,家乡地址：HoA 转交地址：CoA,路由器公告,无状态地址自动配置生成CoA,26,MIPv6原理,到家乡代理绑定注册,家乡代理,通信对端,移动节点,接入路由器,家乡地址：HoA 转交地址：CoA,绑定更新(Binding Update),绑定应答(Binding Ack),绑定缓存HoACoA,27,MIPv6原理,和通信对端通信过程：不支持任何移动IPv6功能,家乡代理,通信对端,移动节点,IPv6-in-IPv6隧道,

12、家乡地址：HoA 转交地址：CoA,分组,分组,分组,分组,28,MIPv6原理,和通信对端通信过程：支持移动IPv6功能,家乡代理,通信对端,移动节点,绑定缓存HoACoA,家乡地址：HoA 转交地址：CoA,IPv6-in-IPv6隧道,分组,绑定更新,绑定更新列表 通信对端IPv6地址,29,MIPv6原理,和通信对端通信过程：支持移动IPv6功能,家乡代理,通信对端,移动节点,家乡地址：HoA 转交地址：CoA,IPv6-in-IPv6隧道,分组,分组,绑定更新列表 通信对端IPv6地址,绑定缓存HoACoA,30,对IP以上层屏蔽移动性：原理,在双向隧道模式中，移动节点和通信对端的通

13、信始终使用家乡地址 在路由优化模式中，通过家乡地址选项(HAO，由信宿选项头标携带)和类型2寻路头标(T2R)来实现,家乡地址选项,类型2寻路头标,31,路由优化模式：移动节点发送分组,TCP/UDP,IPv6 移动IPv6,TCP/UDP,IPv6 移动IPv6,移动节点,通信对端,添加HAO选项头标，包含移动节点的转交地址，交换HAO选项头标中的地址和数据包的源地址,交换HAO选项头标中的地址和数据包的源地址,HoA：家乡地址 CNA：通信对端的地址 CoA：转交地址 HAO：家乡地址选项，信宿选项头标 T2R：类型2寻路头标,HoA,32,路由优化模式：通信对端发送分组,TCP/UDP,

14、IPv6 移动IPv6,TCP/UDP,IPv6 移动IPv6,移动节点,通信对端,HoA：家乡地址 CNA：通信对端的地址 CoA：转交地址 HAO：家乡地址选项，信宿选项头标 T2R：类型2寻路头标,家乡地址,添加T2R选项头标，包含移动节点的转交地址，交换T2R选项标中的地址和数据包的目的地址,交换T2R选项头标中的地址和数据包的目的地址,33,MIPv4和MIPv6比较,IPv4地址空间有限，移动节点通常使用外地代理转交地址 存在外地代理 三角路由问题 家乡地址为源地址，存在入口过滤问题 需要使用IP-in-IP隧道，开销大 IPv6拥有巨大的地址空间，移动节点通常使用全局可路由转交地

15、址 不需要外地代理 路由优化成为协议的基本部分 转交地址作为源地址，不存在入口过滤问题 通过家乡地址选项（信宿选项头标）和类型2寻路头标来实现转交地址变化对IP层以上应用的透明，不需要使用IPv6-in-IPv6隧道 ,34,内容,引言 移动IP(MIP: Mobile IP)的基本原理 移动IPv4(MIPv4)的原理 移动IPv6(MIPv6)的原理 MIP的安全性 MIPv4的安全性 MIPv6的安全性 MIPv6信令和切换优化 网络移动(Network Mobility),35,MIPv4的安全性,注册请求和注册应答消息的认证 移动安全关联 认证算法、算法模式、密钥或者公/私密钥对、重

16、播保护形式 缺省HMAC-MD5算法，生成128比特摘要 Mobile-Home认证扩展 必须 移动节点和家乡代理之间存在安全关联 Mobile-Foreign认证扩展 可能 移动节点和外地代理之间存在安全关联 Foreign-Home认证扩展 可能 外地代理和家乡代理之间存在安全关联,36,MIPv6的安全性,返回可路由（RR：Return Routability）过程 移动节点与通信对端之间的安全 基于IPsec的MIPv6安全 移动节点和家乡代理之间安全 移动节点和通信对端之间安全,37,返回可路由过程：概述,目标是使得通信对端可以在某种程度上确保移动节点所宣称的转交地址和家乡地址是合法

17、的（可寻址） 产生移动节点和通信对端之间的认证密钥（绑定管理秘钥Kbm），并且通过绑定认证选项来保护移动节点和通信对端之间的绑定更新 不需要预先配置信息，易于大规模部署 安全强度比IPSec弱,38,返回可路由过程：原理,IPv6-in-IPv6隧道,HoTI Cookie,HoTI：家乡测试发起 消息 CoTI：转交测试发起消息 HoT：家乡测试消息 CoT：转交测试消息,CoT Cookie Token,HoT Cookie Token,HoTI Cookie,计算家乡密钥生成令牌,HoT Cookie Token,计算转交密钥生成令牌,家乡密钥生成令牌和转交密钥生成令牌进行SHA1得到绑

18、定管理密钥,移动节点,家乡代理,CoTI Cookie,39,返回可路由过程：存在的安全问题,攻击者能够监听到移动节点的数据包 伪造邻居 家乡地址：攻击者的家乡地址 转交地址：邻居地址 攻击者在家乡网络和通信对端的路径上 获得绑定管理密钥，伪造绑定更新等,40,基于IPsec的MIPv6安全: IPSec回顾(1),安全策略(SP) 选择符(selector) 源地址、目的地址、源端口、目的端口、协议(TCP/UDP/ICMP)、模式(隧道/传输) 策略行为：丢弃、实施IPSec处理或者绕过 安全关联(SA) 索引 目的地址、安全参数索引(SPI)、协议(ESP/AH) 源地址、目的地址、协议

19、(TCP/UDP/ICMP)、IPSec协议(ESP/AH)、模式(隧道/传输)、认证和加密算法、密钥等,41,基于IPsec的MIPv6安全: IPSec回顾(2),认证头标(AH) 传输模式 隧道模式 封装化安全净荷(ESP) 传输模式 隧道模式,42,基于IPsec的MIPv6安全: IPSec回顾(3),AH头标格式 ESP头标格式,43,基于IPsec的MIPv6安全: IPSec回顾(4),外出处理 根据数据包信息初始化selector，选择相应的一个或者多个外出SP，SP是有序的 SP的地址始终为数据包最终的源和目的地址(内部头标地址) 根据每个SP指定的SA或者SA束执行IPS

20、ec处理，SA是无序的 进入处理 根据数据包的目的地址(外部头标地址)、IPSec协议和SPI找到相应的SA，然后执行IPSec处理 在进入SPD找到对应的SP(内部头标地址)，验证是否对数据包执行了指定的IPSec处理(SA或者SA束),44,基于IPsec的MIPv6安全: 移动节点和家乡代理之间安全,移动节点和家乡代理之间的信令业务 绑定更新和绑定应答 使用IPSec ESP传输模式保护 返回可路由过程 家乡测试发起（HoTI）和家乡测试（HoT） 使用IPSec ESP隧道模式保护 前缀发现 ICMPv6消息 IPSec ESP传输模式保护,45,基于IPsec的MIPv6安全: 绑定

21、更新和绑定应答(1),绑定更新头标格式 移动节点在外地网络时 移动节点在家乡网络时 绑定应答头标格式 移动节点在外地网络时 移动节点在家乡网络时,46,基于IPsec的MIPv6安全:绑定更新和绑定应答(2),SP和SA使用家乡地址 家乡地址选项和类型2寻路头标包含家乡地址 家乡代理、移动节点上的SP和SA条目,47,基于IPsec的MIPv6安全: 返回可路由过程(1),家乡测试发起(HoTI)消息格式 移动节点经家乡代理到通信对端 家乡测试(HoT)消息格式 通信对端经家乡代理到移动节点,48,基于IPsec的MIPv6安全: 返回可路由过程(2),SP和SA使用不同的移动节点地址 SP：

22、家乡地址 SA：转交地址 家乡代理、移动节点上的SP和SA条目,49,基于IPsec的MIPv6安全: 返回可路由过程(3),转交地址变化时 家乡代理：收到绑定更新时，更新外出SA的目的地址和进入SA的源地址为新的转交地址 移动节点： 收到绑定应答时，更新进入SA的目的地址和外出SA的源地址为新的转交地址,50,基于IPsec的MIPv6安全: 前缀发现(1),移动节点获取家乡子网的前缀的变化信息 移动前缀请求消息格式 移动前缀公告,51,基于IPsec的MIPv6安全: 前缀发现(2),移动节点和家乡代理上的SP和SA条目,52,内容,引言 移动IP(MIP: Mobile IP)的基本原理

23、 移动IPv4(MIPv4)的原理 移动IPv6(MIPv6)的原理 MIP的安全性 MIPv4的安全性 MIPv6的安全性 MIPv6信令和切换优化 网络移动(Network Mobility),53,MIPv6信令和切换优化,概述 基本移动IPv6切换延时太大，不能满足实时和TCP延时敏感业务的需求 基本移动IPv6中的切换引入额外的信令开销 移动节点和家乡代理及通信对端之间的绑定注册过程可能需要穿越骨干网，从而增加骨干网的信令开销 切换优化 移动IPv6快速切换(FMIPv6: Fast Handovers for Mobile IPv6) IPv6微移动管理 层次移动IPv6 (HMI

24、Pv6： Hierarchical Mobile IPv6 mobility management ),54,概述：移动节点切换过程,无线接入点1,无线接入点2,移动节点,接入路由器1 (切换前接入路由器),接入路由器2 (切换后接入路由器),55,概述：移动节点切换过程,接入路由器1 (切换前接入路由器),接入路由器2 (切换后接入路由器),无线接入点1,无线接入点2,移动节点,链路层切换：无线接入点1到无线接入点2,IP层切换：接入路由器1所在子网到接入路由器2所在子网,56,概述：IP层切换过程,移动检测 和路由器公告的间隔有关 转交地址配置 地址重复检测 典型值为1到2秒 绑定注册 移

25、动节点到家乡代理的延时 移动节点到通信对端的延时,57,概述：IP层切换延时分析,0到十几秒,1到2秒,几百毫秒到几秒,移动节点,接入路由器,家乡代理,通信对端,58,IP层切换延时太大会影响实时应用和吞吐量敏感应用,移动IPv6快速切换要减少这个延时，具体来说就是： 移动节点一检测到新的子网链路就能够发送数据包 新的接入路由器一检测到移动节点接入就能够发送到移动节点的数据包,移动IPv6快速切换定义了实现以上目标所需要的： IP协议消息 独立于特定的链路层协议 消息交互过程 不影响标准的移动IPv6操作,59,移动IPv6快速切换：快速切换相关消息(1),新的邻机发现消息 代理路由器公告请求

26、(RtSolPr) 移动节点发送给接入路由器，请求代理路由器公告 代理路由器公告(PrRtAdv) 接入路由器发送给移动节点，提供邻近接入路由器的链路层地址、IP地址和子网前缀信息 实现功能 辅助移动检测过程 无线接入点到其所连接的接入路由器的子网信息映射 预先生成新的转交地址,60,移动IPv6快速切换：快速切换相关消息(2),接入路由器之间的消息 切换发起(HI) 通常是PAR发往NAR，发起移动节点快速切换过程 应该包含移动节点的切换前转交地址，可能包含移动节点希望使用的新的转交地址 切换应答(HAck) NAR对切换发起消息的应答 可能包含移动节点在NAR上应该使用的新转交地址 功能

27、确认给出的新的转交地址是否可接受 传送和切换相关的网络常驻上下文，例如接入控制、QoS和头标压缩等,PAR：切换前接入路由器 NAR：切换后接入路由器,61,移动IPv6快速切换：快速切换相关消息(3),新的移动头标消息 快速绑定更新(FBU) 移动节点发送到PAR，功能类似于绑定更新，建立切换前转交地址和切换后转交地址的绑定(隧道) 移动节点通过隧道转发源地址为切换前转交地址的分组到PAR PAR通过隧道转发目的地址为切换前转交地址的分组到移动节点 包含移动节点切换前转交地址和切换后的转交地址信息 快速绑定应答(FBA) PAR对快速绑定更新的应答 快速邻机公告(FNA) 移动节点发送快速邻

28、机公告给NAR，宣告自己到达 功能 移动节点一切换到新的链路就可以接收分组,PAR：切换前接入路由器 NAR：切换后接入路由器,62,移动IPv6快速切换：快速切换类型,切换发起的实体 移动节点发起的切换 移动节点发送代理路由器公告请求(RtSolPr)给当前接入路由器 网络发起的切换 PAR发送未经请求的代理路由器公告(PrRtAdv) 发送快速绑定更新(FBU)的链路 预测型(predictive)快速切换 在切换前链路上发送FBU并且接收到FBack 反应型(reactive)快速切换 在切换后链路上发送FBU,PAR：切换前接入路由器 NAR：切换后接入路由器,63,移动IPv6快速切

29、换：快速切换类型,切换发起的实体 移动节点发起的切换 移动节点发送代理路由器公告请求(RtSolPr)给当前接入路由器 网络发起的切换 PAR发送未经请求的代理路由器公告(PrRtAdv) 发送快速绑定更新(FBU)的链路 预测型(predictive)快速切换 在切换前链路上发送FBU并且接收到FBack 反应型(reactive)快速切换 在切换后链路上发送FBU,PAR：切换前接入路由器 NAR：切换后接入路由器,64,移动IPv6快速切换：预测型快速切换,连接,移动节点,PAR,NAR,断开,PAR：切换前接入路由器 NAR：切换后接入路由器,65,移动IPv6快速切换：反应型快速切换

30、,连接,移动节点,PAR,NAR,断开,PAR：切换前接入路由器 NAR：切换后接入路由器,66,快速切换延时分析,切换发生前生成转交地址，减少了移动IPv6切换过程中的地址自动配置延时 切换后IP层通过来自链路层连接建立信息（Link Up触发器）立即感知移动到了新的链路，减少了移动检测延时 切换后完成新的转交地址绑定注册之前仍然可以接收目的地址为切换前转交地址的分组，减少了绑定注册延时,67,IEEE 802.21,媒介无关切换（MIH：Media Independent Handover）标准 目标：开发一个能够向上层提供链路层智能和其它相关网络相关信息的规范，以优化异构网络之间的切换 通过定义通用的SAP（Service Access Point）和其它的原语来实现链路层的智能 媒介无关事件服务提供了相应于链路特性和链路状态的动态变化的事件。 媒介无关命令服务使得MIH用户能够管理和控制本地链路与切换和移动性相关的行为。 媒介无关信息服务为MIH用户提供了做出有效切换决定的有用信息。,68,层次移动IPv6：概述,目标 减少移动节点到家乡代理和通信对端的绑定注册延时 减少大量移动节点频繁切换所造成的骨干网上通信信令开销 兼