（通信与信息系统专业论文）移动路由器接入认证机制的设计与实现.pdf

中文摘要 中文摘要 摘要：移动网络和互联网络的融合可以满足人们随时随地获得信息资源和通 信服务。移动i p 技术是异构网络与互联网互联互通的关键技术，在互联互通中， 需要对移动网络( n e t w o r km o b i l i t y ，n e m o ) 和移动节点( m o b i l en o d e ，m n ) 进行必要的身份验证。 本文深入分析了移动i p 协议、d h c p 协议、a a a 协议和n e m o 协议，研究 了移动i p 和移动网络的地址配置机制和安全机制，将两者进行结合，提出了一套 适合移动坤和移动网络的完整的接入认证机制。本论文的主要工作包括以下几方 面： ( 1 ) 对现有移动i p 协议进行扩展，增加了有状态( d h c p ) 配置地址机制， 设计实现了双栈下d h c p 配置转交地址方案。采用d h c p 服务器实现对接入节点 地址的有效管理和维护。并分别分析了缩短双栈下d h c p 配置地址时延的方法， 有效的改善了移动口切换性能。 ( 2 ) 在此基础上提出了一种新的解决方案实现对移动实体( 移动路由器和移 动节点) 的身份接入认证、家乡注册和自动地址配置过程。该方案主要是采用d h c p 协议结合a a a 协议完成，当移动实体检测到切换时触发d h c p 协议，在消息中添 加用户认证选项，通过d h c p 服务器获取认证信息后触发认证过程，认证完成后 若是合法用户则由d h c p 服务器给移动实体分配地址；若是非法用户则在d h c p 服务器返回的消息中添加认证失败信息选项，以便移动实体获得出错信息。 ( 3 ) 该方案的移植性和通用性好，能够适用不同的运用环境。目前已成功的 运用于层次移动i p v 6 和嵌套n e m o 环境中，并且完成了相应的测试，论文的研究 成果得到了验证。 该方案的优点是将认证过程和地址配置过程完整的结合在一起，灵活和快捷 的实现对移动节点和移动终端的接入认证过程，有效的保护了用户的合法性。 关键词：移动i p ，d h c p ，a a a ，接入认证，n e m o ，层次移动m v 6 ，转交地址 分类号：t n 9 1 5 0 4 北京交通大学硕十学位论文 a b s t r a c t a b s t r a c t ：w i t ht h ed e v e l o p m e n to fw i r e l e s sa n dm o b i l et e c h n o l o g y , m o b i l e c o m m u n i c a t i o nn e t w o r k s b e g i nt oi n t e g r a t ew i t hi n t e r n e t ，a n dp e o p l e c a l l g e t i n f o r m a t i o na n dc o m m u n i c a t i o ns e r v i c e sa n y t i m ea n da n y w h e r e m i p ( m o b i l ei p ) t e c h n o l o g yi st h ek e yt e c h n o l o g yt oc o n n e c th e t e r o g e n e o u sa c c e s sn e t w o r k sa n di n t e r n e t h o w e v e r ，t od e p l o yt h em i ps e r v i c e s ，w en e e dt h ea u t h e n t i c a t i o nm e c h a n i s mo f m o b i l e n o d ea n dm o b i l en e t w o r k , s o ，i nt h i sp a p e rw ed e s i g na n di m p l e m e n tac o m p l e t ea c c e s s a u t h e n t i c a t i o nm e c h a n i s mb a s e do nn e t w o r km o b i l i t ys u p p o r tp r o t o c o lm e m o ) t h i s p a p e r i n t r o d u c e st h em i p , d h c p ( d y n a m i ch o s tc o n f i g u r a t i o np r o t o c 0 1 ) a a a ( a u t h e n t i c a t i o n , a u t h o r i z a t i o n , a c c o u n t i n g ) a n dn e m op r o t o c o l s ，a n dt h e ni ta n a l y z e s a u t o c o n f i g u r a t i o na n ds e c u r i t ym e c h a n i s mo fm l p v 6a n dn e m oi nd e t a i l b a s e do n t h e s ew o r k , w ep r o p o s ean e wa c c e s sa u t h e n t i c a t i o nm e c h a n i s mf o rm i p v 6a n dn e m o f i n a l l y , w ei m p l e m e n ti ti no u rt e s t - b e d t h em a i nw o r ko f t h i sp a p e ri sa sf o l l o w s ： ( 1 ) i n c r e a s es t a t e f u la d d r e s sa u t o c o n f i g u r a t i o n ( d h c p ) m e c h a n i s mf o rm i ew e d e s i g na n di m p l e m e n tt h ed h c pc o n f i g u r a t i o nc o a ( c a r e - o f a d d r e s s ) f o rm ni n d u a l - s t a c kn e t w o r k , a n du s ed h c ps e r v e rt om a n a g ea n dm a i n t a i na d d r e s so fm n e f f e c t i v e l y t os h o r t e n a d d r e s sc o n f i g u r a t i o nd e l a y , w ei n t r o d u c eam e t h o dw h i c h c a l l g r e a t l yi m p r o v em i ph a n d o v e rp e r f o r m a n c e ( 2 ) p r o p o s ean e ws o l u t i o ns c h e m eb a s e d0 1 1d h c pa n da a at or e a l i z ei d e n t i t y a c c e s sa u t h e n t i c a t i o n , h o m er e g i s t r a t i o na n da d d r e s sa u t o c o n f i g u r a t i o nf o rm o b i l e e n t i t y ( m no rm r ) a f t e rd e t e c t e dm o v e m e n th a n d o v e r , m o b i l ee n t i t yt r i g g e r sd h c p p r o t o c o lt oa d db s e ri n f o r m a t i o no p t i o ni nr e q u e s tm e s s a g e w h e nd h c p s e r v e rg e t s a u t h e n t i c a t i o ni n f o r m a t i o nf r o mm o b i l ee n t i t y , i tt r i g g e r sa a ap r o t o c o la n df i n i s h s 羽c 镪sa u t h e n t i c a t i o n a f t e rg e t t i n gt h ea u t h e n t i c a t i o nr e s u l t , d h c ps e r v e r 州：t l j m s 曩 l e g a la d d r e s s ( i f s u c c e s s ) o rf a i li n f o r m a t i o n ( i f f a i l ) t om o b i l ee n t i t y ( 3 ) t h i sm e c h a n i s a ui sp r o t a b l ea n dc a l lb eu s e di nd i f f e r e n tm o b i l ee n v i r o m n e n l w eh a v eu s e di ti nh i e r a r c h ym 口v 6a n dn e s t e dn e m 0s u c c e s s f u l l y m o r e o v e r , w e c o m p l e t e dc o n f o r m a n c e t e s ta n dv e r i f i e dt h er e s e a r c hr e s u l t so f t h et h e s i s t h ea d v a n t a g eo ft h i sm e c h a n i s mi st h ei n t e g r a t i o no fa c c e s sa u t h e n t i c a t i o na n d a d d r e s sc o n f i g u r a t i o n , w h i c hp r o v i d ee f f e c t i v ep r o t e c t sf o rm o b i l ee n t i t y k e y w o r d s ：m i p , d h c p , a a a ，a c c e s sa u t h e n t i c a t i o n , n e m o ，h m i p v 6 ，c o a c l a s s n o ：t n 9 1 5 0 4 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：李l j 磁、 导师签 签字醐2 1 引侗加签字日期：沙7 年，明7 日 独创性声明 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文作者签名：签字日期：年月日 致谢 作为研究生学习和科研工作的总结，这篇论文凝结着我多年求学的思索和努 力，同样也蕴涵着我的老师、亲人、同学和朋友的支持与帮助。 本论文是在我的导师陈山枝教授的悉心指导下完成的，论文的每一步工作都 倾注着导师的心血，更重要的是陈老师还教会了我许多做人的道理，使我树立正 确的科学观和人生观，踏实奋斗自己的人生。借此论文完成之际，谨向培育我的 导师表示诚挚的谢意! 感谢周华春老师，周老师孜孜以求的敬业精神给我留下深刻的印象，在学习 和工作中，您鞭策我要勇于面对挑战、勤钻研、多思考，要踏踏实实去完成自己 的本职工作，您对我的影响和教育将是我一生享受不尽的宝贵财富! 感谢实验室 的张宏科老师。作为国内通信领域的知名专家，张老师准确地预测和把握通信领 域的发展方向，保证了实验室国内领先的科研水平，为我们提供了很好的实验环 境。还要感谢实验室的秦雅娟等老师，他们对于我的科研工作和论文都提出了许 多的宝贵意见，在此表示衷心的感谢，没有你们的帮助和鼓励，也就没有我的进 步! 感谢和我一起学习和工作过的陈小华博士、关剑锋博士、严志伟博士以及陈 豪、瞿伟、乔鹏、何达、李昭华、王崇、马云飞等硕士在生活上给予我的关心和 帮助以及学业上的切磋和指点，在此表示诚挚的谢意! 最后特别感谢我勤劳、善良、质朴的父母，是你们含辛茹苦地把我养育成人， 支持和鼓励我不断进取，我的每一个进步，都凝刻着你们无私的支持和关爱，祝 我们的下一代互联网研究中心有着更加灿烂的明天! 引言 1 引言 本章首先介绍课题的研究背景和意义，在此基础上讨论国内外现有的研究状 态和选题意义，最后给出了本论文的主要工作和结构。 1 1研究背景与意义 随着信息网络技术的迅速发展和各种新业务的不断出现，越来越多的人希望 通过各种无线i p 设备，以移动的方式接入到互联网，对网络资源进行随时随地的 访问。这不仅需要对单个终端的移动性支持，也需要对整个子网( 网络) 的移动 性支持。此种情况下，移动碑【l 】将变得与无线网络同样重要。由于移动i p v 4 在地 址资源、安全性和路由效率等方面存在缺陷，i e t f 又基于i p v 6 协议设计了移动 i p v 6 1 2 1 。移动i p v 6 在当前i n t e m e t 基于网络前缀路由前提下，使得移动节点在不同 的网络间不断移动过程中仍能保持通信，是一个在i n t e r n e t 上基于网络层提供移动 支持功能的解决方案。与改变m 地址、特定主机路由的链路层方法不同，移动口v 6 具有扩展性、可靠性和安全性。它与下层的物理传输介质无关，不需要改变移动 节点的固定的p 地址，与现有的i n t e r n e t 协议兼容，能够与不具有移动口v 6 功能 的节点进行正常的通信。特别是在未来3 g 网络的建设中，移动i p v 6 不仅将成为 移动运营商必须要做出选择的一项重要技术，还将成为能够使3 g 网络和热点地区 的蓝牙或w i f i ( 8 0 2 1 l b ) 之间实现无缝漫游的一种基本技术。 在现有的移动口v 6 协议中当一个移动节点离开家乡链路接入外地链路时，通 过路由器通告，除了家乡地址，它也可通过一个或几个转交地址被寻址到。一个 移动节点可以通过无状态口】或有状态的地址自动配置f 4 】来获取转交地址。无状态自 动配置机制根据接收的当地路由通告信息前缀结合本地链路地址自动生成一个全 球唯一的地址。这种配置方式不需要人工参与，实现简单，便于操作。但不能提 供对接入地址的合法性的验证和其他参数诸如d n s 等。此外当一个局域网中不止 存在一个移动节点或者网络规模非常大时，对地址的管理和维护就相对困难的多。 而有状态配置地址机制刚好能解决上述提到的问题。 此外，对移动口特别是移动网络的安全性问题的研究越来越重要。在现有情 况下，对移动网络以及移动m v 6 的安全性研究主要集中在如何保护移动路由器( 或 主机) 与其他节点的通信过程。如r f c3 7 7 6 s 描述了用i p s e e 保护移动球v 6 中移 动节点和家乡代理之间通信内容的解决方案；i e t f 中的n e m o 工作组也提出了一 些个人草案，用以解决路由优化、移动路由器与家乡代理的通信过程等所产生的 北京交通人学硕十学位论文 安全问题。这些解决方案仅仅是考虑了移动网络或移动i p v 6 自身工作的安全，忽 略了引入移动网络( 或移动i p v 6 ) 后给原有网络带来的安全威胁。而从移动互联 网络整体的角度来考虑，这一点恰恰是最重要的，这涉及到移动互联网络的可控 性、可信性以及可生存性等关键问题。 般来说，无论是在移动网络中还是在移动i p v 6 中，当移动路由器( 或主机) 移动到外地后，都存在着外地服务提供者( 外地的固定接入路由器或者嵌套移动 网络中的父移动路由器) 对服务请求者( 移动路由器、移动节点或者嵌套移动网 络中的子移动路由器) 的鉴别和信任问题。在移动i p v 6 中，这个功能实体组为外 地接入路由器和移动节点；在移动网络中，这个功能实体组有三对：外地网络的 接入路由器和移动路由器；父移动路由器和被服务的予移动路由器；移动路由器 和接入到本移动路由器的移动节点。这里的运用和传统移动通信系统中的漫游是 不一样的。在移动通信网中，每个手机有一个唯一的s i m 卡，当用户漫游时，通 过使用用户识别码i m s i 可以很容易的实现鉴权，身份冒充也就不容易发生；而在 i p 网中就不同了，由于i p 网在设计时没有考虑到可运营性和管理性，就使形形色 色的身份冒充很容易产生，例如改变自己的i p 地址，甚至改变m a c 地址等。需 要说明的是，在固定网络中也存在身份冒充的问题，但由于节点的位置相对固定， 所以很容易在本地解决节点的鉴权和信任问题。在移动网络和移动i p v 6 中就不一 样了，“陌生节点”的出现使得仅靠外地路由器( 或者外地路由器所在网络的鉴权 服务器) 自身很难完成对移动路由器( 或节点) 的鉴别和认证。 因此，根据现有的接入认证机制要求设计一种新的符合项目需求的认证方案， 从而有效的保证用户和运营商的利益，而这正是本论文所做的主要工作。本文根 据移动i p v 6 本身的特性，提出了一种新的用户接入认证解决方案，能够有效的控 制移动节点在不同网络移动过程中的身份验证过程，同时根据网络的移动性特征， 将该认证机制成功运用于n e m o 环境下，实现对移动路由器和移动节点接入认证， 地址配置和家乡注册过程。下面主要分析现有网络的接入认证方案和地址配置机 制。 1 2国内外研究现状 接入认证是确认远端访问用户的身份，判断访问者是否是合法的网络用户， 常用的办法是是以一个用户标识和一个与之对应的口令来识别用户。授权即对不 同用户赋予不同的权限限制用户可以使用的服务，如限制其访问某些服务器或使 用某些应用，从而避免了合法用户有意或无意地破坏系统。在接入认证或者授权 成功的同时可以为用户分配合法的口地址，目前国内外主流的认证方式有如下几 2 引言 种： p p p o e 认证【6 】方式： 1 9 9 8 年后期问世的以太网上点对点协议( p p po v g re t h e r n e t ) 技术主要目的是 把最经济的局域网技术，以太网和点对点协议的可扩展性及管理控制功能结合在 一起。它使服务提供商在通过数字用户线、电缆调制解调器或无线连接等方式， 提供支持多用户的宽带接入服务时更加简便易行。 p p p o e 的建立需要两个阶段，分别是发现阶段和点对点对话阶段。当一台主 机希望启动一个p p p o e 对话时，它首先必须完成发现阶段以确定对端的以太网 m a c 地址，并建立一个p p p o e 的对话标示符。在p p p 协议定义了一个端对端的 关系，而发现阶段是一个客户和服务器的关系。在发现阶段的进程中，主机( 客 户端) 搜寻并发现一个网络设备( 服务器端) 。在网络拓扑中，主机能与之通信的 可能有不止一个网络设备，主机可以发现所有的网络设备但只能选择一个。当发 现阶段顺利完成，主机和网络设备将拥有能够建立p p p o e 的所有信息。 发现阶段将在点对点对话建立之前一直存在，一旦点对点对话建立，主机和 网络设各都必须为点对点对话阶段虚拟接口提供资源。 w e b 认证f 7 】： 由于p p p o e 技术在应用中存在很多的问题，因此目前开认证的网络主要是以 w e b 认证为主。 w e b 认证最初是一种业务类型的认证，通过启动一个w e b 页面输入用户名 和密码，实现用户认证。用的最多的是在一些门户网站，例如新浪、搜狐等，如 果用户申请了w e b 邮件服务，就可以通过在其认证的w e b 页面上输入用户名和 密码进入到门户网站的服务中。 w e b 认证目前已经成为运营商网络平台的认证方式，通过w e b 页面实现对 用户是否有使用网络权限的认证。 8 0 2 i x t 副认证： 随着局域网技术的广泛应用，特别是在运营网络中的应用，对其安全认证的 要求已经提到了议事日程上。如何既能够利用局域网技术简单、廉价的组网特点， 同时又能够对用户或设备访问网络的合法性提供认证，是目前业界讨论的焦点。 i e e e8 0 2 i x 协议正是在这样的背景下提出的。 i e e e8 0 2 1 x 称为基于端口的访问控制协议，通过这种方式的认证，能够在 l a b 多点访问环境中提供一种点对点的识别用户的方式。这里端口是指连接到 l a b 的一个单点结构，可以是被认证系统的m a c 地址，也可以是服务器或网络 设备连接l a n 的物理端口。认证的发起可以由用户主动发起，也可以由认证系统 发起。当认证系统探测到未经过认证的用户使用网络，就会主动发起认证。 北京交通人学硕十学位论文 通过对目前主流的接入认证进行比较，最后结合项目设计出一套新的认证方 案，更好的实现了对移动节点和移动路由器的身份识别和注册消息的认证过程， 具体方案将在后面章节中进行详细描述和实现。 1 3论文主要工作及结构 本人在项目中通过对现有接入认证机制的研究，结合实际项目需求在n e m o 下设计和实现一套完整的接入认证方案，并将该方案进行了扩展成功的运用于移 动i p v 6 和层次移动i p v 6 环境下，在认证成功的基础上为节点分配地址。本论文首 先介绍了研究意义和选题背景，对目前流行的接入认证机制进行分析，随后对接 入认证涉及的相关协议进行简单介绍，在此基础上详细对n e m o 下的接入认证机 制设计方案进行描述，并且扩展了移动i p 的地址配置机制，双栈下实现了d h c p 配置转交地址过程，接着重点论述了在n e m o 环境下的实现过程，随后做了详细 测试，最后对该方案进行总结和展望。 论文的组织结构如下： 第一章阐述了本文的研究背景，及相关技术的研究现状，阐述了现有网络的 主要接入认证方案； 第二章简要描述了方案涉及到的相关协议，包括移动m 协议、d h c p 协议、 层次移动m v 6 协议、a a a 协议和n e m o 协议； 第三章详细描述了n e m o 下接入认证方案的设计原理，在此基础上扩展并实 现了双栈下d h c p 配置转交地址机制和层次移动口下的接入认证机制； 第四章详细分析了n e m o 下接入认证机制的实现过程，首先介绍了总的功能 模块及其划分，接着对其中的d h c p 模块，a a a 模块和n e m o 模块的设计和实 现过程进行描述； 第五章对接入认证方案进行测试，包括双栈下配置转交地址机制和n e m o 下 的接入认证机制测试结果； 第六章对全文进行总结，并对该接入认证机制下一步的工作进行展望。 4 接入认证涉及相关协议 2 接入认证涉及相关协议 在接入认证过程的设计和实现中，需要涉及到移动i p v 4 v 6 协议、d h c p v 4 v 6 协议、层次移动i p v 6 协议、a a a 协议【9 1 和n e m o 协议，本章对他们做一简要介 绍以便理解接入认证的整个设计过程。 2 1 移动i p 协议 随着无线技术的发展和无线网络的普及，各种终端设备需要随时随地的以各 种方式加入网络中，i p 网在向宽带方向发展的同时也在向无线移动方向发展，其 最大的特点就是能使各种终端在移动的过程中通过无线方式接入网络。对于无线 移动网络来说，发现移动终端的当前位置和维护当前正在进行的通信是必须要解 决的问题，也是移动i p 所研究的基本问题。下面介绍一下移动i p v 4 v 6 协议的基 本原理。 2 1 1m i p v 4 协议 移动i p v 4 是人们在i p 上尝试提供移动性支持的第一步。它定义了三个网络 实体：移动节点( m o b i l en o d e ，m n ) 、家乡代理( h o m ea g e n t ，h a ) 和外地代理 ( f o r e i g na g e n t ，f a ) 。移动节点拥有两个i p 地址：家乡地址( h o m ea d d r e s s ) ，是用 来标识节点的永久地址：另一个是转交地址( c a r e - - o fa d d r e s s ) ，是节点移动到 外地网络后获得的临时地址，用来标识节点在网络拓扑中的位置。在移动i p v 4 中 存在两种转交地址，外地代理转交地址和配置转交地址，外地代理转交地址由外 地代理的通告消息广播给移动节点的转交地址，一般情况下就是外地代理的i p 地 址，该网络中的多个移动节点可以共用相同的地址。而配置转交地址一般是由外 地网络的d h c p 分配的地址，在该机制中不需要外地代理的支持，部署方便。 当移动节点位于家乡网络时，移动i p v 4 的运行机制和固定i p v 4 相同。当移 动节点漫游到外地网络时，可以周期性的接收到外地代理的广播消息( 外地代理 转交地址机制) ，通过比较代理发现中的网络前缀或者广播消息中的时间生存域 的大小判断州的移动，刖从代理发现通告中获得外地代理的地址傲转交地址或者 通过d h c p 配置的地址做转交地址。 当心获得转交地址后，向家乡代理发送注册请求报文，报文中含有移动节点 的转交地址。家乡代理更新自己的绑定缓存，把移动节点的家乡地址和转交地址 相关联。并且向移动节点返回绑定确认。注册过程的主要目的就是产生、修改或 5 北京交通人学硕+ 学位论文 删除家乡代理中移动节点的绑定表项，如果转交地址为外地代理地址，外地代理 也要建立相应的绑定缓存表。 当移动节点在外地网络上完成移动注册后就可以用自己的家乡地址进行通 信。家乡代理在其中扮演最重要的角色，当移动节点在远离家乡注册时，家乡代 理必须能在家乡网络上截获任意发往移动节点( 家乡地址) 的数据报，可以使用代 理和a r p 来获得这种截获。家乡代理必须检查所有到达的数据报的i p 目的地址是否 等于其中一个远离家乡注册的移动节点的家乡地址。如果相等，家乡代理通过隧 道把数据报送到移动节点当前注册的转交地址( 一个或多个) ：如果移动节点当前 没有移动绑定信息，家乡代理不能尝试截获送往该移动节点的数据报，这样( 移动 节点) 就不会收到相应的数据报。 通过上述机制，在移动节点和对应节点的通信过程中，即使移动节点的位置 发生改变，也可以不改变其i p 地址，并且两节点之间的通信不会被中断。节点的 移动对网络层【lo 】以上的协议和应用是透明的。但是，移动i p v 4 存在着路由效率低 的问题。如上所述，从对应节点发往移动节点的数据分组必须经过家乡代理的转 发，造成了不必要的延迟，这就是移动i p v 4 中存在的三角路由问题。 2 1 。2m i p v 6 协议 移动i p v 6 是在继承移动i p v 4 诸多优点的基础上，利用m v 6 协议族中增加的 许多新特点而进行设计的。在移动i p v 6 路由机制中沿用了许多移动i p v 4 的基本概 念，如继续采用移动节点( m n ) 、家乡代理( h a ) 、家乡地址( h o a ) ，转交地址 ( c o a ) 、家乡链路和外地链路。但不再采用外地代理的概念，取而代之的是接入 路由器( a 1 1 ) 。移动i p v 6 的路由技术在高层功能上基本与移动口v 4 相似，都具有 代理发现、注册、隧道技术和数据包选路等主要功能。移动i p v 6 的基本架构如图 2 1 所示： 6 接入认证涉及相关协议 国2 1 移动口v 6 基本框架 f i g2 1m o b i l ei p v 6a r c h i t e c t u r e 当烈移动到一个外地网络或者在外地网络中启动时，它可以通过当地的接入 路由器广播路由器通告来自动配置地址或者采用有状态( d h c p ) 来配置转交地址， 移动节点可以获得一个或多个转交地址。转交地址的子网前缀是移动节点正访问 的外地链路的子网前缀。只要移动节点一直连接到这个外地链路，目的地址是这 个转交地址的分组都会被转发到移动节点处。 移动节点在外地网络获得转交地址后，需要向家乡代理进行注册，为移动节 点的家乡地址和转交地址在家乡代理上建立绑定关系，使得家乡代理能够把只知 道其家乡地址的节点发来的分组转发到移动节点的当前位置。这一过程也称为 “家乡注册”。移动节点首先向家乡代理发送“绑定更新”消息进行注册，绑定 更新中包含移动节点的家乡地址和当前转交地址。若家乡注册成功，家乡代理返 回一个“绑定确认”消息，通知移动节点其家乡地址与新的转交地址已经建立了 绑定，同时在该绑定确认中也表明了绑定的有效期。家乡代理在获得转交地址注 册并完成绑定后，移动节点的家乡代理将使用代理邻居发现“”来截获发往移动节 点的家乡地址的数据包，并通过隧道将每一个截获的数据包发往移动节点注册的 转交地址。家乡代理使用i p v 6 封装协议封装每一个数据包，并将外层i p v 6 头中的 目的地址设为移动节点的主转交地址。 在移动i p v 6 中具有很多安全特性，包括m n 到h a 或通信对端绑定更新的保 护及对隧道和分组中路由指令的保护等。m n 和家乡代理通过建立安全关联使用 a h 和e s p 来实现对家乡注册的保护，而m n 和通信对端是通过使用绑定管理密 钥来保护对端注册，返回路由过程就是建立绑定管理密钥的过程。 返回路由可达过程主要由四条消息组成，m n 发往通信对端的有：家乡测试初 7 北京交通人学硕十学位论文 始消息( h o m et e s ti n i t ，h o t i ) 和转交测试初始消息( c a r e o f t e s ti n i t ，c o t i ) ； 通信对端响应m n 的有家乡测试消息( h o m e t e s t ，h o t ) 和转交测试消息( c a r e - o f t e s t ，c o t ) 。h o t i 消息，用于获得家乡密钥令牌( k e y g e n t o k e n ) ，并携带h o t c o o k i e ， 通过隧道到家乡代理，再转发给通信对端；c o t i 消息用于请求获得转交密钥令牌， 传送m n 的转交地址给通信对端，该消息直接发往通信节点；h o t 消息是通信对 端对h o t i 消息的响应，携带家乡密钥令牌等消息，该消息同样需要通过家乡代理 转发；c o t 消息是通信对端对c o t i 消息的响应，携带转交密钥令牌信息，直接发 给m n 。 如果返回路由过程成功，才能进行通信对端绑定，“绑定更新”与“绑定确认” 消息也可用来让与m n 通信的i p v 6 节点，即通信节点，动态地获知缓存中关于 m n 的绑定信息。当发送一个数据包给任何一个i p v 6 目标时，该发送节点要检查 在绑定缓存中是否有该目标节点的绑定信息。如果发现了相关的绑定信息，该节 点通过绑定信息中所示的转交地址并使用一种新的i p v 6 路由头将该数据包发给目 标移动节点。相反地，如果没有发现相关的绑定信息，则发送数据包按标准的步 骤进行。 2 2 d h c p 协议 在i n t e m e t 中需要对访问网络的计算机进行网络配置，包括口地址，子网掩 码，默认网关等，还有其他用户感兴趣的参数的配置，当该用户切换到别的网络 时又要重新配置相关的信息，并且在m v 4 网络中m 地址e t 越紧张，给手工配置地 址带来了难度和复杂度。从网络管理的角度出发，引入d h c p 协议来动态管理和 维护地址具有越来越重要的作用，尤其是当网络规模特别大时。其次，d h c p 协议 在本文的接入认证方案中处于核心地位，认证过程中的用户标识和密码都是通过 该协议消息来进行传递的，并且认证成功的同时负责给合法的节点分配口地址。 下面对其原理做简要介绍。 2 2 1d h c p v 4 协议 d h c p 是d y n a m i ch o s tc o n f i g u r a t i o np r o t o c o l ( 动态主机分配协议) 缩写， 主要用来为网络中的加入节点分配i p 地址和其他相关参数，它的前身是b 0 0 t p 。 b o o t p 原本是用于无磁盘主机连接的网络上面的，网络主机使用b o o tr o m 而不 是磁盘起动并连接上网络，b 0 0 t p 则可以自动地为那些主机设定t c p i p 环境。 但b o o t p 有一个缺点：在设定前须事先获得客户端的硬件地址，而且，与i p 的 接入认证涉及相关协议 对应是静态的。换而言之，b o o t p 非常缺乏”动态性”。若在有限的i p 资源环 境中，b o o t p 的一对一对应会造成非常可观的浪费。d h c p 可以说是b o o t p 的增 强版本，它分为两个部份：一个是服务器端，而另一个是客户端。所有的i p 网 络特定数据都由d h c p 服务器集中管理，并负责处理客户端的d h c p 请求；而客 户端则会使用从服务器分配下来的i p 地址。 d h c p 的工作原理如下： 当d h c p 客户最初试图请求一个i p 地址时，在网络中仅有4 个网络信息包进 行交换，它们是：d h c pd i s o e v e r 信息包、d h c po f f e r 信息包、d h c pr e q u e s t 信 息包以及d h c pa c k n o w l e d g e 信息包。每个信息包不超过4 0 0 个字节。这样一来， 网络由于d h c p 带来的消耗就相对减少。信息包的交互情况，即d h c p 客户端获得 有效i p 地址过程，总共可划分为六个状态来描述，这六个状态是： 初始化过程：当启动客户端机子时，在i p 网络中的每台机器都需要有一个地 址，该客户端以广播方式发送d h c pd i s c o r e r 信息包给它的本地子网来发现d h c p 服务器，如果该本地子网内没有可用服务器，则通过d h c p 中继代理来转发d i s c o v e r 信息包给远端服务器。 选择阶段：本地子网的每一个d h c p 服务器都接收d h c pd i s c o v e r 信息包。每 个接收请求的d h c p 服务器都检查它是否有给请求客户的有效空闲地址。然后它以 d h c po f f e r 信息包为响应，该信息包里包括有效的i p 地址、子网掩码、阴c p 服 务器的i p 地址、租用期限、以及其他的有关d h c p 参数的详细配置。所有发送d h c p o f f e r 信息包的服务器将保留它们提供的一个i p 地址。在该地址被释放之前，不 能分配给其他的客户使用。d h c po f f e r 信息通过广播消息发送给d h c p 客户端口， 如果网络中存在中继代理的话则对收到的消息包进行封装和转发，自己不做具体 的处理。 请求阶段：客户对收到的所有消息包进行处理，选取自己感兴趣的服务器进 行响应，并以广播的方式发送d h c pr e q u e s t 信息包给服务器。该消息包包含选定 服务器的m a c 地址。一旦信息包以广播方式发送以后，网络中所有的d h c p 服务器 都可以看到该信息包，那些没有被客户选中的d h c p 服务器将保留的i p 地址返回 给它的可用地址池。客户还可利用d h c pr e q u e s t 询问服务器其他的配置选项，如 d n s 或网关地址。 捆绑阶段：当服务器接收到d h c pr e q u e s t 消息包时，只有m a c 地址和自己 相同得服务器对消息进行响应，构造一个d h c pa c k n o w l e d g e 信息发送给客户端， 该消息包提供了客户请求的任何其他信息。 更新阶段：当客户注意到它的租用期到了5 0 以上时，就要更新该租用期。 这时它发送一个租用消息包给他获得原始信息的服务器。该消息包是一个d 1 4 c p 9 北京交通人学硕十学位论文 r e q u e s t 消息包，用以询问是否能保持t c p i p 配置信息并更新它的租用期。如果 服务器是可用的，则它通常发送一个d h c pa c k n o w l e d g e 消息包给客户，同意客户 的请求。 重新捆绑：当租用期达到期满时间的近8 7 5 时，客户如果在前一次请求中 没能更新租用期的话，他会再次试图更新租用期。如果这次更新失败的话，客户 就会尝试与任何一个d h c p 服务器联系以获得一个有效的i p 地址。如果另外的一 个d h c p 服务器能够分配一个新的i p 地址，则该客户再次进入捆绑状态。如果客 户当前的i p 地址租用期满，则客户必须放弃该i p 地址，并重新进入初始化状态， 然后重复整个过程。 2 2 2d h c p v 6 协议 随着i p v 4 向i p v 6 的发展，相应的出现了适合i p v 6 下工作的d h c p 协议，称为 d h c p v 6 协议。该协议主要是为一个局域网内的用户维护和分配合法的地址，并且 提供其他用户感兴趣的参数( 诸如d n s 等) 。d h c p v 6 同样也是用u d p 的方式来交互消 息的，客户端在u d p5 4 6 端口监听d h c p 消息，服务器在5 4 7 端口监听。根据客户对 地址或者其他参数需求的不同，可以将d h c p v 6 协议分成两消息交互模式和四个消 息交互模式。两消息交互模式下客户端不需要服务器来分配i p 地址( 如己经手工配 置了自己的i p v 6 地址) ，但是却需要得到其它网络配置信息比如d n 孓也】( d o m a i nn a m e s e r v i c e ) 和n i s 【l3 j ( n e t w o r ki n f o r m a t i o ns e r v i c e ) 等。为了获得配置信息，客户 端先向服务器多播地址发送一个i n f o r m a t i o n r e q u e s t 消息，这个消息包里必须包 含一个需求选项，用于指明客户端需要哪些配置信息。如果必要，客户端还可以 在消息中包含需求选项及其期望数值。服务器以一个包含配置信息的r e p l y 消应答 客户端。 四条消息交互模式是客户端需要向服务器请求合法i p 地址和其他参数时完成 的消息交互过程，在本文中采用该机制来完成接入认证和地址配置过程，下面对 其基本原理进行描述。基本消息流程如图2 2 所示： 1 0 接入认证涉及相关协议 图2 2d h c p v 6 基本消息流程图 f i g2 2d h c p v 6f l o wc h a r t 客户端可以用本地链路地址发送s o l i c i t 请求消息以多播地址的形式给组中 的所有d h c p 中继代理和服务器，这里的中继代理和客户在同一链路上，如果在 s o l i c i t 消息中有r a p i dc o m m i t 选项，同一组中的服务器会及时地发送r e p l y 消 息响应，而且在r e p l y 消息中，也会有一个r a p i dc o m m i t 选项，如果有多个服 务器响应，没有这个快速响应选项的r e p l y 就会被丢弃。如果在s o l i c i t 消息中 没有r a p i dc o m m i t 选项，客户端就会等待a d v e r t i s e 消息。 组中的所有d h c p 服务器接受到s o l i c i t 消息后，首先确定客户端所在的位置， 查看自身的管理策略，即是否允许分配地址，对客户端的某一个请求做出响应； 如果不允许，就丢弃客户的s o l i c i t 消息。如果允许的话，就开始创建a d v e r t i s e 消息。在该消息中加入服务器标识和客户端标识选项，用来唯一的标识服务器和 客户端。还可以添加一些在r e p l y 选项中将会向客户提供的信息，这样可以方便 客户选择，例如可以分配的i p 地址和其他参数信息。如果在客户的请求选项中有 r e q u e s t 选项，即客户需要的信息，服务器也需要将这些参数的配置添加进去；如 果s o l i c i t 消息是通过中继发送的，服务器也需要添加相应选项，并将此通告转 发给中继代理。 客户端正等待接收同一网段内所有服务器或者中继返回的a d v e r t i s e 消息， 客户端根据服务器的优先级或者提供的参数的多少选择其中一个服务器进行响 北京交通大学硕十学位论文 应。构造r e q u e s t 消息，将该服务器的标识添加到消息选项中，构造完成后向网 络内多播r e q u e s t 消息包。 当同一局域网内的服务器收到r e q u e s t 消息包后查看里面的服务器标识选项， 只有和自己相同的那个服务器对该消息进行响应。其他服务器则丢弃消息包，把 地址释放回地址池中。如果是中继代理则将消息包封装后进行转发。选定的服务 器开始构造r e p l y 消息包，并添加服务器的标识符和客户端的标识符，客户端申 请的配置信息和地址等，完成后向客户端端发送该消息。 客户端收到r e p l y 消息后从中获取地址和请求的参数信息，完成了基本的交互 过程。当地址租用期超过一半时需要向服务器更新该租用期，其他的操作和 d h c p v 4 类似，不再展开阐述。 2 3 a a a 协议 在本方案中采用典型的认证、授权、计费( a u t h e n t i c a t i o n , a u t h o r i z a t i o n ， a c