（通信与信息系统专业论文）移动互联的安全研究.pdf

重庆j 电学院坝l 论史 摘要 j 向移动互联网的演进过程中，移动通信网的一个重大进步就是引进分组数据业 务，在网络结构上与数据网融合。作为一种安全可靠的i n t e r n e t 访问通道，v p n 近年 来越来越受到人们的关注，随着i p 骨干网引入移动通信领域，v p n 已成为一个移动 通信网络设计的重要议题。 本文首先在引入移动i p 原理和v p n 技术的基础上，分析了移动i p 可能受到的安 全威胁以及移动节点穿越安全隧道防火墙的条件、方式，探讨了v p n 技术的种类，实 现方式及其相关技术：其次探讨了利用防火墙技术和i p s e c 等技术的基础上，在移动 节点同代理之间建立条安全隧道用以保护移动移动节点的安全。再进行一步深入的 分析了v p n 在l i n u x 的实现处理，利用t d i 和i m 驱动程序实现w i n d o w s 平台下的防火 墙的数据包过滤处理和v p n 的原始数据获取方法；最后提出来了利用s c t p 和n a t 增强 移动i p 的安全防御能力的可能性。 移动互联所面临的、最紧迫最突出的问题是安全性问题，保证数据的安全性是数 据通信的重要条件，面对越来越多的攻击方式，保证移动环境下数据通信的可靠性和 安全具有重要的作用，也是移动l p 真证走向实用的前提。 关键词：移动互联，i p s e c ，t d i ，s c t p ，n a t 重次新j 电学院顺f 一沦卫 a b s t r a e t o nt i l ee v o l v i n gp r o c e s s i o no f t h em o b i l ei pn e t w o r k t h eg r e a ti m p r o v e m e n to f t h e m o b i l ec o m m u n i c a t i o n sn e t w o r ki sb r i n g i n gi n t ot h ed a t ap a c k e ts e v i c e ，i n t e g r a t e dw i t h t h ed a t an e t w o tko nt h ec o n s t r u c t i o no fn e ta st h es e c u r ea n d ；a b l ea c c e s s1 0t h e1 1 t e f n u t t h ev p na ir ! a c t sm o r ea n dm o r ea t t e n t i o ni nr e c e n ty e a r sa st h el pt f u n kn e t w o t k b r o u g h ti 1 1 t ot h em o b i l ec o m m u n i c a t i o nf i e l d t i l ev p nh a sa l r e a d yb e c o m ea bi m p o r t a n t t o p i co nt h ed e s i g no rt h em o b i l ec o m m u n i c a t i o nn e t w o r k f i r s t m o b i l cl pt h e o r ya n dv p nt e c h n o l o g yi si n t r o d u c e di nt h ep a p e r m o b i 】e1 p 1 s n q c h i i vi n e l l a c e c o n d i t i o na n dm o d eo f m o b i l en o d et h r o u g hs e c u r i t y1l l 1 1 1 e jf i r e w a l lc l a s s a n di m p m m e n tm o d eo f v p n t e c h n o l o g yi se x p o u n d e dp a r t i c u l a r l yi nt h ep a p e ；。 n e x t ，as e c u r i wt u n n e ib e t w e e nm o b i l en o d ea n da g e n tj sc s t a b l j s h e dt os a l l e g u a r dm o b i i e t l o d ehv p na x j dj p s c ct e c h n o l o g yt h e n 。h o wt oi m p l e m e n tv p no nl i n u xa l l if il t r a t e d a t ap a c k a g eo ff i r e w a l l0 i iw i 1 d o w sa n dc a p i t a en a t u r ed a t ao f 、7 p nisa n a l 、- z c dl ! l 1 c p a p e r f i n a l l y , i m p r o v i n gs e c u r i t yr e c o v e r yb ys c t p a n dn a ti sp r e s e n t e d t h em o s te m e r g e n ta n di m p o r t a n tp r o b l e mc h a l l e n g i n gt h em o b i l e1i ) n e t w o r k ，t h e s e c u r i t y s os e c u r i n gt h ed a t ai sa ni m p o r t a n tt a s ki nt h ed a t ac o m m u f 】i c a t i o n sf a c i n gw i t h t h e1 1 1 0 1 ea n di f o r ea t t a c k i 1 9m o d e s a s s u r i n gt h ed a t ac o m n l u l l i c a t i o n s r e l i a b i l i t ya n d s 帆i j l ea b i “1 yl l a sas i g n i f i c a n tr u n c t i o n 、a n da j s oj ti st h e ”r e c o n d i l i o ft h em o b j l em “ b et r u l yu s e di np r a c t i c e k e ) w o i d s ：m o b i l ei p ，i p s e c ，r l d i ，s c t p , n a t 【j 蕾庆i h l f i u 学院倾 j 论文 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及 取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论 文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得墅 直电堂瞳或其他教育机构的学位或证书而使用过的材料。与我一同工作 的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢 意。 学位论文作者签名： 方盈 签字日期：伊p 年f 月百日 学位论文版权使用授权书 本学位论文作者完全r 解重废邮电学院有关保留、使用学位 论文的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权重瘥鲤鱼堂医可以将学位论 文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫 描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名： - 万 导师签名： 可方白 签字日期：- 矽午年s 月落日 签字日期：z f 年产月2 日 煎恢邮电学院璇论殳 第1 一章绪论 1 i 移动1 1 1 技术1 jv i - n 技术 1 i 1 移动i p 技术概述 h 联技术i ：仉向- i 个们i l j 发展：宽带技术、移动l p 技w l a n ，l uf 商务。】i 联 h 解决j - 终端设餐的| 占1 定按入，f e l 是缺少移动性：移动通信嘲络丑然解扶，移动一f i 旧 地，t 琏不能灵活的接入【：联网提供基l 二i p 的多媒体、眨务，b l 此有设的将这撕种妓 术硒l ! 行以提供令l l ，的j j k 务逐f g f ) 戍为人们关汴的焦点。为此，以i i j 1 e ( i 嗣际吐联嘲l i f , i f i 【) z jj n 0f l h x i 州柏i 订i 化 f i 够 jf 始 j f 了| | 何矗：j | ，p q i 舞f ，j i ，移力y i ：| 。i j00 题：【j ( ；f ，i ， 十： f ：| 恺为士的第一- 代移动通信标准化匀【织j i ：盘f 研究如t 4 ：移动通亿网络 - t j ，1 i ， 旧题， 陋蕾2 5 代【；s m j 叫i s 和c d m a 2 0 0 0 xr t 移动通信删络的商川，侈功通俯产 i ；l j t 川* 州克爻 i 。i ；y t t j 融0 ；l s i l l ；晰川见，第二代移动通 矗刚络( ! ；( ；，l i ：矗：阳企川i 并迈 遁。扶终端i j 广t 1 f j , f f i 发看，无线阚络将成为ln t e r n e t i n t r ，t n e tj ，溺的“然延i t i x 圳仪mj 二按入和1 输山式也适j - 无线环境；从】n t e r n e t 的j ：f ；i 殷看，厄线络j 址j 众多，矧r ，的。个。为厂扣：移动通信m 络t ；应川f p 协议，f q 特刚f 程侄务纠i 晶4 j tj m o h ii 。l i ，( 移动i p ) 协议。 移动1 i 通过进入两个网络实体奉地代理和外地代州，存嘲络f ：僻决j ，卜l 移动0 题。曲：移动l p 幼t 议c ，每个移动主机靠：“奉地链路”j ：仃个“本地j a h l ：”， 。 j ；朝 = 口l 通信的j 机被称为“通 r f x j 端( c n ) ”。通俯时端ji 二舭逋矧m 通信州端 总址把数j ：| ； 包发送到移动卜机的本地地址，而，f i 考虑移动 - h l , q j 、前位簧f ，j 况。f i ：木 地迸蹋j 每个移动l i 机必须柯个“本地代理”来为f 1l 二维护! 前位置信息，这个f 童 i “转雯t l u ：i i ：n ，a ”米确定，移动主机的术地地址o ，它、1 1d 竹0 交_ bj i i ：的联合称为“移 。力：”，戏舱物：为“纠i j e ”。雠”i 一个移动j - ：l ! m 4 ：a t个鄹i 的 0 叠地”州，。己必巧l 乍 成 个新的绑定束九- k r , p j t 注册，以使本地代理技叫j 解移动j 机的“j i j f 化饯竹 ，u 。 f 1 2v i ，n 技术 艘拟分用嘲( n ：v i r t u a ip r jv + il n el w o r k ) 足s q l t 公ll 嘲络资源，业i f 输线路、 删络模块、交换机、例络端口等组成的个逻辑 ：的专- t i d 例络，n ：虚拟争j f j l 叫| z 提供 ：i j 以使j 公j j 嗍络挝供所柯的、f p 务。v p n 技术悱占复杂，0 涉殷剑通信披术、俘码投 求干j 现f 认汪技术，足项交叉科学，f i 前v i ) n i 要包禽埘种披术：b l 道技求0 矗氽 投术。 隧道技术的慕本过程足花源局域嗍j 公网的接h 处将数掘( _ j 以址j s ol ) 2 攸掣 一0 数拟钮路丘：或删络层数掘) 作为负载刳装穗种州以 ：公州1 输的数 l l ：懈 重庆肼i b 学院硕i 。论义 中，在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联 网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封 装，通信协议是保证的核心，目前v p n 隧道协议有4 种：点到点隧道协议p p t p 、第二 层隧道协议l 2 t p 、网络层隧道协议i p s e c 以及s o c k sv 5 ，它们在o s i 七层模型中的 位置如图卜1 所示，各协议工作在不同层次，无所谓谁更有优势。 o s i - b 层模型安全技术安全协议 匝用层应用屡代理 表示层 台话层会话代理s o c k s v s s s l 恃输层 网 晷层s e c 数据链踣层包过p p t p ，l 2 t p ，l 2 f 物理层 圈卜l4 种隧湮按溉匿o f , i 一= 是十莫型甲的位置 v p n 是在不安全的i n t e r n e t 中通信，通信的内容可能涉及企业的机密数据，因 此其安全性非常重要。v p n 中的安全技术通常由加密、认汪及密钥交换与管理组成： 认证技术防止数据的伪造和被篡改，它采用一种称为“摘要”的技术；i p s e c 通过 i s a k m p i k e o a k l e y 协商确定几种可选的数据加密算法，如d e s 、3 d e s 等。d e s 密钥 长度为5 6 位，容易被破译，3 d e s 使用三重加密增加了安全性：v p n 中密钥的分发与 管理非常重要，密钥的分发有两种方法：一种是通过手工配置的方式，另一种采用密 钥交换协议动态分发。 1 2 研究意义 1 2 1 移动i p 中v p n 的作用 在移动i p 的设计中由于有。个防火墙将移动节点与公司内部的本地代理分隔开， 这就要求必须定义一种机制使得经过授权的移动节点可以穿越防火墙收发数据包且 不牺牲网络的安全性。当移动节点漫游至外地代理时已经不再受到本地代理防火墙的 保护，对此也必须设计一个软件模块，能够完成与本地代理的认证加密、过滤等功 能并使其能通过防火墙安全连接本地代理上。要实现这些功能根据r f c 2 0 0 2 的要求需 要在代理和代理或代理与移动节点之问建立一条安全隧道，用于转发移动到外地链路 的移动节点与其它主机通信的数据包。 单纯依靠防火墙并不能解决i n t e r n e t 网络级安全问题，在公共网上建立虚拟专 用网v p n ( v i r t u a p r i v a t en e t w o r k ) 柬增强其功能。利用i p 安全协议可以建立穿越 i n t e f n e t 的安全隧道，与以前的防火墙相结合，从而构造高增强的v p n 安全系统。在 安全隧道一端，发方将i p 数据分组加密封装成i p 安全数掘分组( i ps e cp a c k e t s ) ， 封装后的数据分组通过i n t e r n e t 传输到隧道的另一端后，收方把i p 安全分组解密并 恢复成原束的i p 数据分组。i p 安全数据分组的封装模式有两种：一种是整个i p 分组 被封装在【ps e c 分组中，称为隧道模式；另一种是只将传输层数据封装在i p s e c 分 蕃庆邮1 u 学院删 i j 论义 组中，称为传输方式。无论采用哪种封装方式，i p 安全分组的首部都是一个普通的 i p 分组首部。因此，这种安全机制不需要i n t e r n e t 中的其他路由设备的支持，并且 也不影响原有的防火墙系统。i p 安全分组的封装可以在v p n 的主机中执行，也可以在 v p n 的安全网关中进行。如果封装在主机中完成，一般采用传输模式，这样可以保证 v p n 中的各主机也以安全方式通信；当封装在v p n 的安全网关中完成时，可以采用隧 道模式，i p 安全分组的源地址和目的地址将分别是发端和收端的安全网关地址，这样 可以防止黑客对v p n 中的主机进行通信量分析。 l _ 2 2 研究意义 移动互联所面临的、最紧迫最突出的问题是安全性问题。解决移动i p 中存在的 安全问题对运营商推出可运营、可管理、可盈利的宽带无线数据服务来说是非常有意 义的。一方面，它可以提高客户的满意度，通过阻止非法用户侵入网络，保障合法用 户的利益；符合用户的应用习惯，不论用户身处何处，都应只采用统一的认证方式， 不会出现在家时使用p p p o f 认证，在酒店使用w e b 认证的情况；降低用户的使用成本， 用户不应使用了移动i p 而另行增加安全系统的成本，移动i p 应提供等价于有线的安 全。另一方面，安全认证也是运营商进行用户管理的基础，其他许多功能包括用户身 份识别、计费和授权( 如流量控制、策略路由等) 都要以此为依据。建立在i p s e c 基 础上隧道安全防火墙作为移动互联节点的移动切换和漫游进行数据传输的安全通道， 对保护数据的安全具有重要的作用，所以隧道安全防火墙在移动i p 的实现对移动i p 的走向应用具有重大的意义。 1 3 国内外研究现状 目前在无线网络( m o b i l ei p 和w l a n ) 中考虑实施的安全技术主要有以下几个方 面：1 、用代理服务器完成对用户的身份认证，为通信点充当中继。2 、通过路由器 和过滤器共同完成对外界的计算机访问内部网络的限制，3 、利用i p 通道技术来防 止i n t e r n e t 上的黑客截取信息；4 、利用网络地址转换器将内部网络中的i p 地址进行 隔离；5 、应用层中继隔开专用网和公用网的连接：6 、利用安全隧道将在隧道传输 的数据进行加密：7 、利用三种认证扩展对用户身份进行验证。在r f c 2 0 0 2 草案中 提出利用安全隧道技术对在隧道中传输的数据进行加密认证，并将i pv p n 作为一 种安全机制应用于移动i p 中。 目前我国的v p n 方案和软件还不成熟和完善，除了部分大的通信公司在进行 v p n 方案设计外，其它机构的研究和产品非常有限，相对于其它安全产品还远远滞 后。在有线网络中实现的v p n 产品一是依赖于微软w i n d o w s 2 0 0 0 及以后版本自带的 i p s e c 工具，二是以l i n u x 内核为基础的f r e e s w a n 相似的构架，在w i n d o w s 平台下 的客户端v p nc l i e n t 产品还比较少，对于融合移动i p 和v p n 的客户端软件和相应 垂庆i n i u 学航坝1 论文 技术更加少，虽然朗讯科技公司同莳成功完成了无线互联网协议( i p ) 虚拟专网( v p n ) 的安全连接测试，进而为第三代( 3 g ) 移动服务供应商提供高速无线数据商业服务铺 平了道路，并且不少大的通信公司也已经研发出了与硬件相关的网关级v p n 产品( 如 路由器等) ，但是要将其应用到3 g 还需要徽大量的研究工作，这也需要大量的相关客 户端软件的支持。 1 4 本文主要研究内容 1 4 1 研究的内容 研究过程中依次解决以下四个方面的问题： 1 ) 防火墙与v p n 应构架于哪一层，以及如何使他们协调工作。 2 ) 根据f r e e s w a n 源代码和l i n u x 防火墙的工作原理研究网关级i p s e c 的实现方 式及其与移动c e ll u l a ri p 融合性。 3 ) t d i 应用程序驱动实现及数据过滤处理，包括应用程序上网认证，端口处理， 数据加密等。 4 ) 其它技术在移动i p 安全中的应用，主要考虑s c t p 和n a t 技术的应用在移动 互联安全认证中的应用可能性及融合性。 1 4 2 论文内容安排 本文首先介绍了移动i p 技术和v p n 的原理和特性：在引入移动i p 安全模型的基 础上流明了为什么要在移动i p 中使用v p n 技术，对v p n 技术在网关和移动节点上的 实现进行了详细分析，并给出了v p n 程序认证程序的实现代码：探索了将现今的一些 ( n a t ，s c7 r p ) 在有线网络广泛应用的技术引入到移动i p 安全防御中的可能性。全文 共分为七章，具体安排如下： 第章为绪论，主要介绍了下移动i p 技术和v p n 技术，及v p n 在移动i p 的应用， 提出来了研究的意义以及发展现状。 第二章介绍了移动i p 的工作原理，包括移动性检测，移动注册和数据的收发。 第三章介绍了v p , n 技术中的封装技术，i c m p 的中继，i pv p n 隧道协议，i p s e c 等技 术。 第四章介绍了移动i p 的安全模型，利用v p n 保护移动节点的安全，移动节点穿越 隧道安全防火墙的条件和方式。 第五章详细分析了v p n 在网关上的实现和在移动节点上的实现，设计了程序认证的 t d 【驱动实现和n d i st 层对数据包的截获。 第六章分析了s c l 、p 和、a t 技术与移动t p 的融合的条件方式及应用的意义。 第七章概括性的总结了全文的_ = 作，对今后的研究方向和要解决的技术难题进行了 说明。 重庆眦i u 学院坝l ，论文 第二章移动i p 工作原理 移动i p 的工作原理大体可以分为以下三个步骤： 代理发现( a g e n td is c o v e r y ) 转交地址注册取消注册( r e g i s t 姐c i 。n d e r e g i s t r a t i o n ) 数据的收发 2 1 代理发现 概括地讲，移动节点通过代理发现可以完成以下三个方面的工作： 判断移动节点现在所处的位置是本地链路，还是外部链路； 检测移动节点是否从一个链路移动到了另外一个链路： 当移动节点确定它位于外部链路上时，获取一个转交地址。 2 1 1 移动节点所处的位置的确定 首先本地代理和外部代理会通过广播或多播的方式周期性地在它们各自的链路 上发送名为代理广告( a g e n ta d v e r t i s e m e n t ) 的i p 数据包；移动节点收到这类数据 包，断定在它现在所处的链路上存在代理，并将本地i p 地址同代理广告数据包中的 i p 地址比较，如果具有相同的网络前缀，那么移动节点就可以断定它位于本地链路上， 否则移动节点则认为它位于某个外部链路上。对于移动节点在链路间移动较快或代理 广告发送周期较长的情况，那么它可以主动地发送代理请求( a g e n tr e q u e s t ) 数据 包，其目的在于促使该链路上的代理立刻发送代理广告，而不要等待下_ 个发送周期 的到来。 如果移动节点没有收到代理广告，会假设位于本地链路上，并认为本地代理发生 了故障，然后移动节点就给本地链路上的缺省路由器发送一条i c m pe c h or e q u e s t 信 息，如果缺省路由器有响应的话，那么移动节点则会认定它位于本地链路上。如果移 动节点没有收至临女省路由器的晌应，则移动节点会认为它位于某个外部链路上，而该 链路上的外部代理发生了问题，无法f 常发送代理广告。在这种情况下，移动节点会 试着从该链路上的d h c p 服务器上获得一个i p 地址，如果成功的话，移动节点将把 该地址作为转交地址；否则，需要手工为移动节点配置一个转交地址。 2 2 2 移动检测 移动检测的目的在于确定移动节点是否扶一个链路移动到了另外一个链路。如果 移动节点能够收到代理广告的话，它可以通过下述的两种方法进行检测：使用代 理广告中的l i l e t i m e 字段进行检测，l i f e t i m e 字段指出了代理广告发送的周期。 使用网络前缀进行移动检测。在同一条链路上有可能存在多个代理，但是它们的网络 前缀却不同，这就需要在代理广告中增加项可选内容，用以包含同一条链路上多个 不同代理的网络酊缓信息。移动节点可以将最近收到的代理广告中的各网络前缀与上 重庆l i l l j i u 学院 i l j ! f 论义 一次收到的代理广告中的各网络前缀进行比较，如果相同则认为没有移动到新的链路 上，否则就认为移动到了新的链路上。 如果移动节点没收到代理广告，它通过以下两种方法进行移动检测：检查一下 现有的t c p 连接是否有进展，如果在一段时问内没有进展的话，则可以认为已经移动 到了一个新的链路上；移动节点可以将自己的网卡驱动配置为“混合模式”，检查 链路上的所有数据包。它在一段时间内发现该链路上的所有数据包的目标i p 地址的 网络前缀均不同于转交地址的网络前缀时，它会认为它移动到了一个新的链路上。 2 2 3 获取转交地址 当移动节点从本地链路移动到外部链路或从一个外部链路移动到另一个外部链 路上时，它会设法获得一个新外部链路上的转交地址。获取转交地址的方法主要有三 种： 当外部链路上有外部代理时，移动节点就可以从代理广告中的转交地址列表中选 择一个地址作为自己的转交地址： 当外部链路上没有外部代理时，移动节点将从外部链路的d h c p 服务器那儿获得一 个i p 地址作为转交地址： 如果外部链路上既没有外部代理，也没有d h c p 服务器的话，就只能由用户手工为 移动节点设置一个转交地址了。 2 2 转交地址注册取消注册( r e g i s t r a t i o n d e r e g i s t r a t i o n ) 2 2 1 转交地址注册 转交地址注册指的是移动节点将在外部链路上获得的转交地址告知本地代理，以 便本地代理使用该转交地址将目标地址为移动节点本地i p 地址的数据包通过隧道转 发给位于外部链路上的移动节点。移动节点在以下三种情况下将会进行注册： 移动节点获得新的转交地址后。 上次注册即将过期时。 外部代理重新启动时。 当外部代理存在时，移动节点要通过外部代理向本地代理进行注册。 首先移动节点将注册请求( r e g i s t r a t i o nr e q u e s t ) 数据包发送给外部代理，该 数据包中包括移动节点的本地i p 地址、移动节点的转交地址、移动节点本地代理的 r p 地址、注册有效期( l i f e t i m e o ) 以及其他一些控制标志( s 、b 、d 、m 、g 、v 控 制位) ，其中d 位为0 ，表示移动节点使用的是外部代理转交地址。外地代理收到来自 移动节点的注册请求后，进行有效性检查，若无效则向移动节点发送拒绝注册答复 ( r e g is t r a t i o nr e p ly ) ；若注册请求有效，就将注册请求中继( p e l a y ) 给移动节点 的本地代理。本地代理再对注册请求进行有效性检奋，并向外地代理发送注册答复以 重庆| l _ i ，u 学院坝i 论且 确定该注册请求的有效性；如果接受注册请求，并在映射表中添加移动节点本地i p 地址与转交地址的对应关系并将映射表原来存在的“绑定”关系删除。如果移动节点 在预定的时间内没有收到注册答复，它将重新发送注册请求：如果移动节点收到拒绝 它注册请求的答复，它将依据被拒绝的原因调整自己的注册请求，并重新发送。 在外部代理不存在的情况下，移动节点将直接把注册请求发送给本地代理，并从 本地代理那儿直接接受注册答复。此时注册请求数据包中的d 位为1 ，表示移动节点 使用的是配置转交地址。另外，在这种情况下，将由移动节点自己来完成隧道数据的 解压工作。 2 。2 。2 取消注册请求( d e r e g i s t r a t i o n ) 下面两种情况下，移动节点将请求本地代理取消注册： ( 1 ) 当移动节点从外部链路回到本地链路上时，它将向本地代理发送取消注册的请 求，以便恢复在本地链路上的正常通信。 ( 2 ) 移动节点可以取消某个转交地址的注册而不影响其他转交地址的注册。 2 3 数据的收发 当移动节点位于本地链路上时，数据的收发将通过正常的方式来进行，与移动i p 的实现无关；因此下面谈的主要是移动节点在外地链路上时的数据传送。当移动节点 处于外部链路上时，本地代理截获发往移动节点的数据分组，封装后通过隧道将数据 分组送到移动节点的转交地址。在那旱数据分组被从隧道中取出，送往移动节点；相 反，由移动节点发出的数据分组通过标准的路由选择技术直接发送到目的节点而无需 隧道技术，对移动节点的数据分组来晚，外地代理完成默认路由器的功能，见图2 1 。 罄动节点毫二。轰。 = ； 图2 1 移动i p - r 作原理 2 3 1 移动节点的数据接收 移动i p 是在不改变移动节点本地i p 地址情况下，实现网络的不问断通信：因此 所有发送给移动节点的数据包的目标i p 地址都足移动节点的本地i p 地址，而目标地 址为移动节点本地i p 地址的数据包将通过路由首先到达移动节点的本地链路和本地 代理。本地代理在截取到这些数掘包后，将使用每1 个转交地址对数据包进行一次再 封装，通过在本地代理和外地代理叫建立的隧道将数掘包发送剑移动节点的转交地 盂 奉 一路l 建 重庆邮i 匕学院坝上论文 址。如果移动节点所在的外部链路上没有外部代理的话，外部链路上的路由器收到本 地代理发给移动节点的经过隧道处理的数据包后，将选择一条合适的路由将数据包转 发给移动节点。移动节点收到后，对数据包进行解压处理，即可得到源数据包。 2 3 2 移动节点的数据发送 移动节点要在外部链路上选择一个路由器作为缺省的路出器，并使用缺省路由器 进行数据的发送。在i p 协议中，具有不同网络前缀的设备之间不能直接进行数据通 信，因此移动节点使用反向隧道技术( r e v e r s et u n n e l i n g ) 对外出数据包进行处理。 当外部代理存在时，移动节点将它要发送的i p 数据包进行再次封装后向外发送，封 装后的i p 数据包的源地址为移动节点的转交地址，目标地址为外部代理的i p 地址。 外部代理先解包，然后再进行封装，这次封装后的数据包，其源地址为外部代理的 i p 地址，目标地址为移动节点本地代理的i p 地址。本地代理收到这些数据包后，解 包，将得到的源i p 数据包通过路由发送到目标计算机。这就是移动i p 的数据传输时 的三角形路径问题：通信节点发送数据包到移动节点时，需要通过其归属代理，而移 动节点根据标准i p 路由规则将数据包直接发送到通信节点。 苣庆l l i l l i b 学院坝i 论义 第三章隧道技术 3 1隧道技术基本处理 隧道技术的基本过程是在源局域网与公网的接口处将包数据作为负载封装在一 种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取 出负载。移动i p 中隧道技术用于本地代理将数据包传送给移动节点时，先将数据包 通过隧道送给外地代理，由外地代理转发到隧道终点转交地址，在转交地址处解除隧 道，取出原始数据包发送到节点。当转交地址为驻留本地的转交地址时，移动节点本 身就是隧道的终点。移动i p 中使用的三种隧道技术：i p 的i p 封装( i pi n i p e n c a p s u l a ti o n ) 、最小封装( m i n i m a le n c a p s u t a t i o n ) 和通用路由封装g r e ( g e n e r i c r o u t i n ge n c a p s u l a t i o n ) 。 3 1 1i p 分片 许多数据链路层以及它们底层运行的硬件对能传送的最大帧长有限制，这种限制 称为数据链路层m t u ( m a x i m u xt r a n s f e ru n i t ) ，而且这种限制决定了在一帧中传送 的i p 包的最大长度，如果i p 包比传送它的数据链路层的, i t u 大，在传送前就要将i p 包分片( f r a g m e n t a t i o n ) ，分片就是将一个大的i p 包分成几个数据段( 每一个段就 是片) ，以便每一小片可以装进数据链路层的m t u 中。如果有两台主机直接连接在比 较大的m t u 的链路上，它们要通过路由器进行通信，而路由器都不足由具有较小m t u 的链路相连的，这时就要出现分片。为避免分片的发生，l p v 4 建议( i p v 6 则要求) ， 主机查明从源到目的之间路径的m t u ( 所谓路径的m t u 就是构成源到目的之白j 各段链 路的m t u 的最小值) 。i p 包的分片可以由包的源节点或去往目的地的路径上的任一路 由器来完成，分片的机制和在目的地重新组装数据包的机制是相同的。隧道分片的重 组在隧道出口处进行，而隧道出口并不是经过隧道封装的数据包的最终目的。 3 1 2 三种隧道封装技术 一、i p 的i p 封装( i pi ni pe n c a p s u l a t i o n ) i p 内的i p 封装是由r f c 2 0 0 3 定义，它是一个因特网标准，用于将整个i p v 4 包放 在另一个i p v 4 包的净荷部分。为了实现在i p 数据包中封装作为净负荷的原始数据包， 需要在原始数据包的现有包头前插入一个外层i p 包头( 见图3 i ) ，这个外层i p 包头 的各个域需要重新设置，版本设置为4 ( 因目前应用的是i p v 4 ) ：服务类型j o s ( t y p eo f s e r v i c e ) 与原始i p 包的报头褶同；源和目的地址分别为隧道的入口点和出口点地址； 因特网报头长度( i h l ) 、总长度和校验和需要重新计算。标记、标以、片偏移根据r f c 7 9 1 的肌定进行设置。将标识域设为一个唯一的值，并且标洪域和片偏移按分片时的 具体情况进行设置，如果第一个数拒包比特为l ，那么外层封装的数据包也将这个比 特设为l 。曲、议类型域没为4 ，表刁 净荷本身也是i | ) 包( 包括报头刷净衙) ；生存时 测域设成一个足够大的值，以使封装后的包能到达隧道出。 善庆j i i i g l 学院颂f 论义 i p 包头净负荷 外层包头i p 包头净负荷 图3 1 i pi 1 3i p 封装 二、最小封装 i p 的最小封装在r f c2 0 0 4 中定义，是移动i p 中的一种可选择隧道方式。最小封 装的目的是减小实现隧道所需的额外字节数，可通过将i p 封装中内层i p 报头和外层 i p 报头的冗余部分去掉来完成。封装数据包的过程是在原来的i p 净荷和i p 报头之间 加入最小转发报头( m i n i m a lf o r w a r dh e a d e r ) ( 见图3 2 a ) 。最小封装不篚用于那些 已经经过分片的原始数据包，因为最小转发报头中没有任何信息保存原始包有关分片 的情况。相反，经过最小封装的数据包可以进行分片，以便穿过路径m t u 较小的隧道。 i p 的最小封装对原始i p 报头作了如下的变动：l 办议类型域为5 5 ，表示新的净荷是经 过最小封装的数据包。 i p 包头净负荷 i p 包头最小转发包头净负荷 图3 2 a 最小封装 最小转发报头的格式为( 见图3 2 b ) 081 63 1 协议类型 s保留头检验和 原始目的地址 原始源地址 图3 2 b 最小转发报头 三、通用路由封装( g r i g ) 通用路由封装( g e n e r i cr o u t f n ge n c a p s u l a c i o n ) 由r f c 7 0 1 定义，它是移动 i p 的最后一种隧道技术，除了i p 协议，o r e 还支持其他网络协议，如r i p 、o s p f 、 i g r p 、e i g r p 等。它允许采用一种协议的数据包封装在采用另一种协议的数据包的净 荷中，这与都要采用同种协议封装的i p 内i p 封装和最小封装都不同。 当采用的一种协议的网络层数据包要被封装在采用第二种协议的网络数据包时， 将内层数据包作为净负荷包封装到新包中，g r e 报头放在净荷包和分发包之闻，报头 中各个域的填写应依据r f cl7 0 1 ，o r e 数据包的封装过程如图3 ，3 所示。 i p 包头净负荷 i 新i p 包头g r e 包头 i p 头 净负荷 重庆l | | l 乜学院坝1 ：论立 图3 3 通用路出封装 3 1 3i c m p 报文的中继 1 、i p 内i p 封装i c m p 报文的中继 i c m p r f c7 9 2 定义了一个报文集，用束提供诊断和错误报告，其作用是向数据 包的源节点提供一些有用信息，然而，通过隧道的i p 包的相应i c m p 报文只需送到隧 道入口，而无需送到源地址。i c m p 报文包括i p 报头和最小8 字节的净负荷，在数据 包经过封装时，8 字节就不足以将封装在内层的包的源地址和目的地址包含进去，只 有通过增加“软状态”可选项来扩充i c m p 报文的信息量，其包括：隧道的路径m t u 、 以“跳”计的隧道长度和隧道的出口是否可达。 在隧道入口对数据包进行封装送入隧道时，可以根据软状态变量产生i c m p 报文， 送到数据包的源，而不必等到隧道入口受到来自隧道内部i c m p 报文后再进行，对此 r f c2 0 0 3 作了详细的规定。 2 、最小封装的i c m p 报文的中继 将i c m p 中继到原始发送者的过程再最小封装和i p 内i p 封装中是一样的，最小 封装的实现中仍然保留软状态，因为最小转发报头的大小( 8 或1 2 字节) 仍表明从隧 道内部来的i c m p 报文不会包含原始发送者的i p 地址，除非在极端情况下，即隧道入 口就是数据包的源时。 3 1 4 防止递归封装 递归封装的定义：路由环使得隧道中的数据包再离开隧道前有重新进入同一个隧 道。这时，每次封装都会加一个i p 报头，每个报头有自己的生存时间域，从而使数 掘包不断增大，并且不停的在网络中循坏。 l 、i p 内i p 封装中防止递归封装 r f c2 0 0 3 中定义的i p v 4 隧道技术没有防止递归封装的机制，但i p v 4 的隧道入 口采用以下机制来确定一个数据包是否进入了递归封装。 ( 1 ) 如果要进行封装的数据包( 可能已被封装过) 的源i p 地址就是隧道入口的地 址，那么它就假设有递归封装存在。注意这个方法只适用于那些从其他节点通 过隧道的一个外部网络接口送来的数据包。 ( 2 ) 如果要进行封装的数据包( 可能已被封装过) 的源i p 地址与隧道入口处路由 表指示的隧道出口地址相同，那么隧道入口就假设出现了递归封装。 2 、最小封装中防止递归封装 最小封装中防止递归封装的过程和再i p 内i p 封装中是一样的。 重庆邮咆学院硕士论史 3 、通用路由封装中防止递归封装 g r e 提供了特定的机制来对付递归封装，在g r e 的报头，如果没有可选项，最小 长度的g r e 报头为4 字节。g r e 报头中的r e c u r 域，这时记录允许封装次数的计数器， 想对经过g r e 封装的数据报作进一步封装的路由器应在封装前检查这个域。如果 r e c u r 域为非零，那么数据报还可以进行封装，新的g r e 报头中的r e c u r 域取值将减 l ；否则，如果r e c u r 域的值已是零了，那么这个包不可以进行封装( 将很可能被丢 失) 。 3 2i pv p n 隧道协议 要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。目前v p n 隧道 协议有4 种：点到点隧道协议p p t p 、第二层隧道协议l 2 t p 、网络层隧道协议i p s e c 以及s o c k sv 5 ，另外还有工作于第二、三层之问的多协议标记交换( m p l s ) 方式的隧 道协议。各协议工作在不同层次。不同的网络环境适合不同的协议，因为通信无可避 免地要牵涉到许多通信实体。 3 2 i p p t p 一点对点隧道涛议 p p t p 是由p p t p 论坛开发的点到点安全隧道协议，能为使用电话上网的用户提供 安全的v p n 业务。在p p t p 中，网络层数据报( 如i p 包) 首先被封装在p p p i p _ ig r lp p p ；i ；j 舞乏l o p 。+ i 用户数据di t 图3 4p p t p 的封蓑格式 的帧罩，p p p 帧又被封装在不同版本的g r e 中。p p t p 本身不提供包的封装，它依赖于 p p p 进行封装和包压缩，属于第二层隧道协议。 3 2 2 l 2 t p 一第二层隧道协议 l 2 t p 隧道协议是典型的被动式隧道协议，它结合了l 2 f 和p p t p 的优点，可以让 用户从客户端或访问服务器端发起v p n 连接。l 2 t p 是把链路层p p p 帧封装在公共网络 设施如i p 、a t m 、帧中继中进行隧道传输的封装协议，见下图。 毫， 辑；：骞袭擂撮 图3 5l 2 t p 封装 3 2 3 三层隧道协议i p s e c p s e e 协议是一个范围广泛、丌放的v p n 安全协议，工作在o s i 模型中的第三层 网络层。它提供所有在网络层上的数据保护和透明的安全通信。 p s e c 协议可以 设置成在两种模式下运行；一种是隧道模式，一种是传输模式。在隧道模式下，i p s e c 把l p v 4 数据包封装在安全的i p 帧中：传输模式是为了保护端到端的安全性，不会隐 重庆| | _ c f t u 学院坝i 论殳 藏路由信息。i p s e c 协议不是一个单独的协议，它给出了应用于i p 层上网络数据安全 的一整套体系结构，它包括网络安全协议a u t h e n t i c a t i o nh e a d e r ( a h ) 协议和 e n c a p s u f a t i n gs e c u r i t yp a y l o a d ( e s p ) 协议、密钥管理协议i n t e r n e tk e ye x c h a n g e ( i k e ) 协议和用于网络验证及加密的一些算法等。 p s e c 规