（通信与信息系统专业论文）移动网络安全分析与仿真实现.pdf

捅要 网络移动性( n e m o ) 技术主要用于解决一个通信子网的整体移动问题。然 而由于网络移动的复杂性，迄今为止还没有相对成熟的网络移动方案，及相应的 安全方案，因此本文重点分析了当前解决网络移动性以及安全问题的方案，在此 基础上提出n e m o 路由优化方案和n e m o i p s e c 安全方案。 为了解决子网的移动性问题，本文分别给出了非嵌套n e m o 路由优化技术方 案和嵌套n e m o 路由优化技术方案。基于i p s e c 协议提出了n e m o i p s e c 安全技 术，包括接入认证、移动切换认证和传输安全方案。该方案以证书作为节点的安 全标识，使用i k e v 2 作为协商标准，将两者融合起来实现认证过程，同时使用i p s e c 保护通信双方的通信过程。 为了验证上述方案的有效性，本文在使用m o b i w a n 、m i p 、n e m o 三个补丁 的n s 2 仿真平台上实现该方案。 n e m o 路由优化仿真通过添加新的网关节点类型c r 和移动路由器m r 的路 由优化功能模块来实现了移动网络的路由优化过程。通信对端c n 和移动网络节点 m n n 之间的通信数据通过m r c r 隧道进行传输，建立路由优化过程。 n e m o i p s e e 仿真修改了节点结构，添加了新的代理和分类器，分别为 e s p a g e n t 、d e e s p a g e n t 、i k e v 2 a g e n t 、i p s e c d b a g e n t 、i p s e c c l a s s i f i e r ，以此 实现i p s e c 保护对n e m o 的支持。根据移动网络接入、移动以及通信状况，分别 添加函数实现接入认证、移动切换认证和传输认证方案。 在仿真过程中分别构建了仿真场景，对方案进行了仿真验证。仿真结果表明， 使用m r 到c r 隧道的移动网络具有更加良好的性能。同时，安全方案也成功实现， 移动网络已经被纳入到i p s e c 体系之中。总的来说，仿真结果验证了方案的可行性 和合理性。 关键词：n e m oi p s e c 接入认证移动切换安全传输 a b s t r a c t n e t w o r km o b i l i t y ( n e m o ) t e c h n o l o g yi sm a i n l yu s e dt os o l v et h ei s s u e so f h o l i s t i cm o b i l i t yo fac o m m u n i c a t i o ns u b n e t w o r k h o w e v e r , d u et ot h ec o m p l e x i t yo f t h en e t w o r km o b i l i t y , t h e r eh a sb e e nn or e l a t i v e l ym a t u r es o l u t i o n sf o ri ta n dt h e c o r r e s p o n d i n gs o l u t i o n s t h e r e f o r e ，t h i sp a p e ra n a l y z e s t h ec u r r e n ts o l u t i o n sf o r n e t w o r km o b i l i t ya n ds e c u r i t yi s s u e sw i t l le m p h a s i s b a s e do nt h i s ，ar o u t e o p t i m i z a t i o ns c h e m ef o rn e m o a n dan e m o - i p s e cs e c u r i t ys o l u t i o na r ep r o p o s e d t os o l v et h e m o b i l i t yi s s u e s o fs u b n e t w o r k s ，an o n - n e s t e dn e m or o u t e o p t i m i z a t i o ns o l u t i o na n dan e s t e dn e m or o u t eo p t i m i z a t i o ns o l u t i o na r ep r o v i d e d r e s p e c t i v e l y a l s o ，an e m o i p s e cs e c u r i t ys o l u t i o nb a s e do ni p s e ci sr a i s e d ，w h i c h i n c l u d e sa c c e s sa u t h e n t i c a t i o n , m o b i l eh a n d o v e ra u t h e n t i c a t i o na n dt r a n s m i s s i o n s e c u r i t y t h i ss o l u t i o nu s e sc e r t i f i c a t e sa st h es e c u r i t yi n d i c a t o r , a n di k e v 2a st h e s t a n d a r df o rn e g o t i a t i o n a n d ，t h et w os o l u t i o n sa r ei n t e g r a t e dt or e a l i z et h ep r o c e s so f a u t h e n t i c a t i o n ，t o g e t h e r 谢t ht h ei p s e cp r o t e c t i o no fc o m m u n i c a t i o no fb o t he n t i t i e s ， w h i c hc o u l dp r o v i d eh i g hf e a s i b i l i t ya n ds e c u r i t y t ov e r i f yt h ee f f e c t i v e n e s so ft h e s es o l u t i o n s ，t h i s p a p e ru s e sp a t c h e sf o r m o b i w a n , m i pa n dn e m ot oi m p l e m e n tt h es o l u t i o n sp r o p o s e d 1 1 1 es i m u l a t i o nf o rn e m or o u t eo p t i m i z a t i o nw a si m p l e m e n t e db ya d d i n gan e w g a t e w a yn o d ec ra n dam o b i l er o u t e rm r t h ec o m m u n i c a t i o nb e t w e e nc na n d m n n g o e st h r o u g ht h em r - c r t u n n e lt or e a l i z et h er o u t eo p t i m i z a t i o np r o c e s s t h en e m o i p s e cs i m u l a t i o nh a sr e v i s e dt h es t r u c t u r eo fn o d e s ，a d d i n gn e w a g e n t sa n dc l a s s i f i e rt os u p p o r tt h ei p s e cp r o t e c t i o ni nn e m o ，w h i c ha r ee s p a g e n t ， d e e s p a g e n t ，i k e v 2 a g e n t ，i p s e c d b a g e n t ，a n di p s e c c l a s s i f i e r a c c o r d i n gt ot h e s t a t u so fn e t w o r ka c c e s s ，m o b i l i t ya n dc o m m u n i c a t i o n , f u n c t i o n sa r er e s p e c t i v e l y a d d e dt oi m p l e m e n tt h es e c u r i t ys o l u t i o n s s i m u l a t i o n s c e n a r i oi se s t a b l i s h e dt os i m u l a t et h er e v i s e ds o l u t i o n s f r o mt h e s i m u l a t i o nr e s u l t s ，u s i n gt h em r c rt u n n e lp r o v i d e sb e t t e rp e r f o r m a n c e m e a n w h i l e ， t h ec o m m u n i c a t i o ni nt h en e t w o r ki sp r o t e c t e db yt h ec o r r e s p o n d i n gs e c u r i t yp o l i c i e s ， a n dt h em o b i l en e t w o r kh a sb e e ni n c l u d e di n t ot h ei p s e cs y s t e m t os u mu p ，t h e s i m u l a t i o nr e s u l th a sp r o v e dt h ef e a s i b i l i t ya n dc o r r e c t n e s so ft h es o l u t i o np r o p o s e d k e y w o r d ：n e m o i p s e ca c c e s sa u t h e n t i c a t i o nm o b i l eh a n d o v e r s e c u r i t y t r a n s m i s s i o n 西安电子科技大学 学位论文独创性( 或创新性) 声明 秉承学校严谨的学分和优良的科学道德，本人声明所呈交的论文是我个人在 导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标 注和致谢中所罗列的内容以外，论文中不包含其他人已经发表或撰写过的研究成 果；也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的 材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说 明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切的法律责任。 本人签名：逸 日期盖鑫f 。边 西安电子科技大学 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文和使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复印手段保存论文( 保密的论文 在解密后遵循此规定) 。 本学位论文属于保密在一年解密后适用本授权书。 本人签名：邋 导师签名： 日期磁。：上k 日期趔! ：翌 第一章绪论 第一章绪论 1 1 研究背景 当今社会是一个信息交互急速膨胀的时代，i n t e m e t 的广泛应用满足了这种信 息交互的需要，同时也在加速着这个过程。使用最广泛的i n t e r n e t 版本是i p v 4 l ! j ， i p v 4 协议可以使得全世界每个接入i n t e m e t 网络的用户都可以获得即时的通信，极 大的提高了生产的效率，网络已经成为人们生活必不可少的一部分。但是，与此 同时，i p v 4 还存在着很多固有的缺陷，这些缺陷限制了i p v 4 的发展和应用。特别 是在地址空间，移动性支持，安全服务等方面表现尤为突出。 为此，i p v 6 1 2 】应运而生，i e t f ( 因特网工程任务组) 开发了新一代网络协议 i p v 6 。i p v 6 的主要优势体现在以下几方面：扩大地址空间、提高网络的整体吞吐 量、改善服务质量( q o s 【3 1 ) 、安全性有更好的保证、支持即插即用和移动性、更好 实现多播功能。其中，i p v 6 协议的设计初衷之一就是能够对网络节点的移动通信 提供更好的支持。 为了更好的实现i p v 6 网络的移动性，i p v 6 必须能够支持移动，包括两个方面： 单个通信节点的移动即基本的m o b i l ei p v 6 协议，简称m i p v 6 t 4 和一个通信子网的 整体移动即网络移动性( n e m o 【5 1 ) 。移动i p v 6 的主要目标就是使得移动节点总是通 过家乡地址寻址，不管是连接在家乡链路还是移动到外地网络。移动i p v 6 对于i p 层以上的协议层是完全透明的，这使得移动节点在不同子网间移动时，运行在该 节点上的应用程序不需修改或配置仍然可用。总之，无论是从移动通信未来的发 展，还是人们对未来移动通信的要求来看，m i p v 6 都将成为必然的选择。 传统的m i p v 4 和m i p v 6 对单个节点的移动性提供良好支持，但是还不能处理 网络移动性的支持。因此，需要对现有的m i p 技术进行扩展来支持网络移动性。 移动网络( m o b i l en e t w o r k ) 指包括有移动路由器( m r ：m o b i l er o u t e r ) 和其他 节点或者子网在内的某个网络，作为一个整体统一进行移动，动态地改变其接入 互联网的接入点。 n e m o 以m i p v 6 作为基础，网络移动性又分为基本网络移动性和嵌套网络移 动性两种类型。基本移动网络指在一个移动网络里面只有一个移动路由器，所有 的移动网络内部节点都是通过这个移动路由器来进行对外的通信。嵌套移动网络 指在移动网络里面有两个或两个以上的移动路由器，其中必然有一个移动路由器 的接入点是另外一个移动路由器。由于n e m o 网路的移动特性，多个移动网络依 次附着，可以形成树形的嵌套移动网络。 现在n e m o 协议正在逐渐走向成熟，但是还有很多不完善的地方需要改进。 2 移动网络安全分析与仿真实现 网络作为整体进行移动的过程中，不可避免地会产生一系列新问题，比如寻址、 路由、安全、嵌套本地移动性管理、路径优化等问题。考虑移动网络包含固定节 点和移动节点，m r 多主( m u l t i h o m i n g ) 接入【6 j ，或者m r 后面还嵌套有其他m r 等情形，网络移动性支持会变得相当复杂。特别是安全问题，由于网路环境变得 非常复杂，各种通信情况都有可能发生，衍生了很多新的攻击，解决安全问题迫 在眉睫。 在n e m o 协议中，移动网络不断切换到不同的外地网络，通过这些外地网 络与家乡网络和通信对端通信，外地网络的安全性和可信度都影响通信的安全性。 因此实现数据传输的机密性、完整性、不可抵赖性也是移动环境的关键问题。 另外，n e m o 协议试图在网络层解决与网络移动性相关的所有问题，不借助 下层协议的支持，同时保持对上层协议的透明性。在n e m o 协议中，移动检测、 位置注册以及与之相关的安全问题( 如身份认证、加密传输) 等都在网络层解决， 割裂了与上、下层之间的联系，既增加了切换时延，又使得安全保障强度不足。 尤其重要的是，用户需要在不同的管理域之间移动，n e m o 协议本身没有提供对 移动用户身份进行认证以及实现消息安全传输的保障机制。 现有的比较合理的保护方式就是使用i p s e c 7 j 【s j 进行保护。i p s e c 协议是由 i e t f 提出的一组开放网络安全协议，是适用于所有i n t e m e t 通信的新一代安全协 议，其目标是为i p v 4 和i p v 6 提供具有较强的互操作能力、高质量和基于密码的安 全。i p s e c 对于i p v 4 是可选的，对于i p v 6 是强制性的。 i p s e c 可以“无缝 地为i p 引入安全特性，在i p 层上对数据包进行的安全 处理，提供包括访问控制、数据源验证、无连接数据完整性、数据机密性、抗重 播、业务流机密性和自动密钥管理等一系列安全服务。各种应用程序可以享用i p 层提供的安全服务和密钥管理，而不必设计和实现自己的安全机制，因此可以减 少以往应用程序在密钥协商的处理，减少了系统开销，同时也降低了产生安全漏 洞的可能性。i p s e c 可连续或递归配置在安全网关、路由器、防火墙、主机和通信 链路上，可以实现端到端安全、虚拟专用网络1 9 j ( v p n ) 和安全隧道技术。 现在存在的问题是专门针对n e m o 进行的路由优化过程和i p s e c 保护的研究 还正处于发展阶段，提出了很多方案，但都或多或少存在一些问题。 为了能够解决这些问题，针对n e m o 的仿真研究是十分必要的。仿真的方法 主要有两种。一是试验床，即数据监控软件系统和移动通信设备构成的综合测试 平台，使用试验床就可以实现对n e m o 功能和性能的测试。它的优点在于配置全 面，非常接近实际情况，因此获得的数据比较全面准确，具有很高的实际应用价 值。但是，它也有很大的缺点，那就是应用成本高，具体实施比较复杂，技术难 度比较高。在仿真n e m o 网络的情况下，由于n e m o 网络本身规模就比较大，需 要的网络元件也比较多，特别是在嵌套n e m o 网络里面，情况更加复杂，建立实 第一章绪论 际的实验环境比较困难。 另外一种方法就是使用仿真软件进行仿真。与试验床相比较，由于是采用软 件进行仿真，不需要硬件实现，、因此成本很低。根据仿真的具体情况，可以提取 仿真过程的主要方面，忽略次要方面，能够更加有效的得出结论。同时可以根据 需要添加相应的接口，模块，添加新的功能，实现起来相对简单。它的缺点在于 无法从真实的通信环境中获取最准确的数据，因此需要参考其他相关硬件的测试 结果来配置具体的仿真场景。 利用网络仿真软件进行网络仿真是研究网络的一种重要的方式，它是利用相 关的软件技术，构造网络拓扑、实现网络协议、测评网络性能的网络虚拟技术， 包括网络拓扑仿真、协议仿真和通信流量仿真。网络软件仿真是网络性能分析、 评估网络设计方案以及网络故障诊断的有力方式。它不仅适用于网络模型的构造 和设计、协议性能的评价和分析，还适用于网络协议的开发与研究以及真实网络 的故障诊断。在科学研究领域，新协议的开发和性能评估也需要采用软件仿真。 目前常用的网络协议仿真软件有两种：o p n e t 和n s 2 t l o l 1 1 】。o p n e t 是一款商用， 软件，功能强大，用户界面友好，售后支持较为完善。n s 2 则是一款开源软件， 设计开发基于u n i x 操作系统，用户可以根据自己的科研需求基于该平台进行扩展。 完善n e m 0 是普及和发展i p v 6 协议的一个难点和重点，针对它们的仿真研 究也是一个十分紧要的工作，针对它们的研究具有重要意义。 1 2 国内外相关研究发展动态 1 2 1 网络移动研究现状与发展趋势 n e m o 协议是在m i p v 6 协议基础上发展起来的，早在1 9 9 6 年1 0 月，i e t f 就 提出了移动口协议草案，2 0 0 4 年6 月m i p v 6 协议r f c3 7 7 5 1 2 j 发布，如今m i p v 6 协议总的来说已经比较成熟，协议的整体框架已经得到广泛的认同。现在该领域 的研究主要着眼于进一步完善m i p v 6 的性能。其关键技术主要包括切换技术、安 全技术和q o s 等。 目前n e m o 的主要研究方向集中在m r 多家乡问趔1 3 1 、m r 的路由优化【1 4 】【1 5 1 、 安全、嵌套网络等。大部分的关注点都在移动网络的路由优化上面，有很多种针 对各种不同网络拓扑的路由优化方案，直至现在还没有一个统一的标准。在安全 方面的研究正处于起步阶段，现在提出的比较合理的方案主要有两种： 1 使用i f s e c 进行保护，2 0 0 5 年1 月，砸t fr f c 3 9 6 3 n e t w o r k m o b i l i t y ( n e m o ) b a s i cs u p p o r tp r o t o c o l ”里面就建议使用i p s e c 来保护 n e m o 协议的通信。 2 使用c a p k i 来进行保护，t a tk i nt a n ，s a m s u d i n , a z m a ns a m s u d i n 在2 0 0 7 4 移动网络安全分析与仿真实现 年5 月在i e e e 发表文章为“e f f i c i e n tn e m os e c u r i t ym a n a g e m e n tv i a c a p k i ”【1 6 】，提出了使用c a p k i 来解决安全威胁的方案。 3 使用l r a k e b a s e d 地进行保护，h a n a n eh a t h i 等人在i e e e 上发表文 童“l r - a k e b a s e da a af o rn e t w o r km o b i l i t y ( n e m o ) o v e rw i r e l e s s l i n k s ”，提出了这种基于泄漏弹性验证的密钥建立的a a a 方法。 4 引入a a a 体系结构，2 0 0 6 年，国防科学技术大学赵磊在“移动式网络 ( n e m o ) 近似路由优化技术及安全问题的研究”一文中引入a 体系结 构，设计了协议注册和密钥分配流程，实现安全保护。 5 研究n s a t 的安全状况，2 0 0 6 年，国防科学技术大学石东海在“基于n e m o 的军事卫星星座通信网络体系结构与关键技术研究”博士论文中分析了 n e m o 基本支持协议的安全问题，提出了n s a t 系统的安全体系结构。 针对n e m o 的研究特别是经过保护的n e m o 将在下一代移动通信网中起到越 来越重要的作用，n e m o 的研究将会提高我国在下一代移动通信中的竞争力，这 已经引起了我国学者的充分重视。然而，由于我国的研究起步较晚，n e m o 的安 全防护研究在国内并没有很好的展开，很多研究还停留在理论方面，没有得到实 践检验。i 同时，在软件仿真方面，以上项目在n e m o 的代码实现方面虽然大多发布了 自己的软件，但在功能上还不能达到r f c3 9 6 3 的要求，软件的稳定性差，b u g 较 多，还有很多需要改进的地方。因此n e m o 值得研究的问题还很多，而本文后面 研究的n s 一2 仿真软件则是一个有力的仿真工具，研究n e m o 在n s 2 上的仿真具 有重要的意义。 1 2 2n e m o 的软件仿真 关于软件仿真，目前主流的仿真工具主要有o p n e t 、n s 2 、m a t l a b 等， 其中n s 2 由于其免费、开放、高效的特性成为国际上( 尤其是西方国家) 使用最 广泛的仿真软件。n s - 2 是美国d a r p a 支持的项目v i n t ( t h ev i r t u a li n t e r n e tt e s t e d ) 中的基础和核心部分。由u s i i s i ，x e r o xp a r c ，l b n l 和u cb e r k e l e y 这些美国大 学和实验室合作研究开发，其目的在于建立一个网络仿真平台，为网络研究人员 提供一系列的仿真工具，来实现新的网络协议的设计和实现。它是一个面向对象 的网络仿真工具”可以完整地模拟整个网络环境。n s - 2 是面向对象的，基于离散 事件驱动的网络环境模拟器。它实现了多种网络协议的模拟，如网络协议t c p 、 u d p ，流量源行为，如f t p 、t e l n e t 、w e b 、c b r 、v b r ；实现了d r o p t a i l 、r e d 、 c b q 等几种路由器队列管理机制以及d i j k s t r a 、动态路由、静态路由、组播路由等 路由算法。此外，n s - 2 还支持组播协议s r m 及部分m a c 层协议。n s - 2 用c + + 第一章绪论 和o t c l 语言编写而成。它是免费的，开放源代码的，可以很方便地扩展n s 2 的功 能，将自己开发的新协议模块集成到n s 2 环境中。n s 一2 因其源代码公开、可扩 展性强、速度和效率优势明显等特点普及率最高。并且n s 2 具有很好的二次开发 的性能，使用者可以根据研究的需要进行相应的扩展。考虑到这些因素，作者所 在的项目组决定以n s 2 作为整体项目仿真平台。 现在普遍使用的n s 版本为n s 2 ，n s 3 正处于研发过程中。当前的n s 2 官 方版本不支持m i p v 6 ，只实现了基于i p v 4 的简单的移动i p 协议，有关i p v 6 和m i p v 6 的功能还没有加入n s 2 的标准模块。t h i e r r ye r n s t 于2 0 0 1 年对n s 2 进行了扩展， 发布了m o b i w a n 补丁程序【l 。通过该补丁程序，就可以利用n s 2 仿真m i p v 6 协 议了，它支持节点在广域网中的移动。此外，m o b i w a n 还附带了各种工具来配置和 操作大型网络拓扑。 作为一个网络仿真软件，n s 2 包含了很多协议，模块。但是，它不可能面面 俱到包含所有的网络协议。n e m o 是近几年才被提出的新兴课题，尚不能得到n s 2 和m o b i w a n 官方的支持。由于n e m o 协议是基于m i p v 6 协议的，所以需要在 m o b i w a n 的基础上进一步扩展才能实现n e m o 的仿真，因此n e m o 的软件仿真问 题就成为该领域研究工作的一个瓶颈。针对n e m o ，很多学者作了各方面的工作。 极少数研究人员直接在l i n u x 系统上实现相关协议，并利用真实的8 0 2 1 1 网络进行 测试，也有个别研究人员在真实的硬件环境中利用简化的、抽象的软件研究n e m o 某个方面的性能。除此之外该领域并没有有效的测试方法。这一方面严重增加了 研究难度和成本，大大局限了研究条件，另一方面也阻碍了n e m o 研究的广泛开 展。综合来说，使用n s 2 来进行仿真是一个比较合适的选择。 m o b i w a n 卒b 丁程序是2 0 0 1 年根据“d r a f t i e t f - m o b i l e i p i p v 6 1 1 t x t 【l 驯在n s 2 基础上进行开发的，然而现在m i p v 6 协议( i u c3 7 7 5 ) 是2 0 0 4 年提出的，和以前草 案相比已经有了很大改动。因此，m o b i w a n 不能完全正确实现r f c3 7 7 5 所规定的 协议，没有实现m i p v 6 的全部功能。 在m o b i w a n 基础上，2 0 0 7 年，武汉大学高科技研究与发展中心对m o b i w a n 进 行了扩展，完善t m i p v 6 的仿真模块【1 9 1 ，主要是添加了返回路由可达过程( r r p ， r e t u mr o u t a b l i l i t yp r o c e d u r e ) 以及实现了两个m n 之间的通信等，并扩展了n e m o 协议的仿真【2 0 1 ，其扩展的n e m o 仿真侧重于基本n e m o 协议，避开了一些仿真的 其它问题。同时，在专门针对网络移动方面作了一个路由优化处理。我们这里选 用了两个插件，分别是m i p 插件和n e m o 插件。当时不管是m o b i 咖是武汉大学 高科技研究与发展中心的插件都只是从可行性和性能上进行考虑，没有考虑到安 全问题，而在i p v 6 的环境下，安全问题是重中之重，如何解决移送网路的安全问题 就是本文需要解决的问题。 6 移动网络安全分析与仿真实现 1 3 1 论文研究内容 1 3 论文研究内容和论文结构 本课题研究的方向是分析移动网络的安全状况，提出使用i p s e c 来保护移动网 络内部节点通信的机制，并在n s 2 上仿真实现的过程。 n e m o 协议定义的m r 节点是从m n 节点继承而来的，它同样面临着m r 面 临着的问题。同时，m r 还面临着处理较大负荷，额外处理几种新的消息等等问题。 在现有的可行的安全保护机制当中，使用i p s e c 是比较合适的，i p s e c 通过提供多 种安全服务，包括：访问控制、无连接的完整性验证、数据源认证，抗重播攻击、 保密性，为网络层及上层协议提供保护。这些保护是保护n e m o 通信所必需的， 也是必要的。 使用i p s e c 保护n e m o 通信，需要进行仿真验证，在这里我们选用了n s 2 软件。n s 2 是一款开源软件，最早在上世纪8 0 年代末由美国的一个科研项目设计 开发。历经2 0 多年的发展，该仿真平台已经对t c p i p v 4 的各个协议层有一定的 支持。并且，全世界有很多相关的科研人员都基于n s 2 开发了自己的补丁( 针对 n s 2 的某一个版本) ，从而在一定程度上丰富了该软件的功能。 但是，也正因为该软件的开源特性，使得n s 2 在整体上显得较为庞杂。其中 有一些代码包是由其他独立的科研项目提供的，由于开发时间问题，且仅仅针对 某一专属领域，通用性和规范性不是很强。 在之前的n s 2 平台上面，还没有进行基本i p s e c 处理，因此在对n e m o 协 议进行仿真研究之前首先要实现n s 2 对基本的i p s e c 的处理。这里，仿真的重点 是m i p v 6 的过程，因为n e m o 协议是在m i p v 6 的基础上发展起来的，它的很多 过程和机制都是从m i p v 6 继承过来的。只有在实现m i p v 6 的i p s e c 保护的基础上 才有可能进行n e m o 协议的i p s e c 保护的仿真研究。 本文首先就是通过对基本的m i p v 6 协议和n e m o 协议的分析，得出一个合 理的实现i p s e c 保护的方案。 其次，分析基本n e m o 协议，针对移动网络特别是嵌套移动网络提出路由优 化方案。 然后，通过对仿真软件n s 2 的分析，得出在n s 2 下i p s e c 实现的可行过程。 最后，在m 口v 6 的i p s e c 保护基础上，实现n e m o 协议的i p s e c 保护。使得 移动网络也纳入到! p s e c 的体系中来。特别地，为了解决n e m o 的时延过大问题， 实现了一个路由优化过程，在路由优化的基础上进行i p s e e 保护，这样在解决安全 问题的同时，也兼顾到了性能问题。 第一章绪论 7 1 3 2 论文结构 本文主要解决在n s 2 下仿真n e m o 协议的i p s e c 的相关问题。需要解决的 主要问题有： 1 仿真平台事先选定了几个n s 2 插件，在此基础上进行仿真，如何使 选用的插件互相兼容而不会发生干扰。 2 如何搭建普通的移动i p s e c 保护，满足普通节点和普通节点之间，移 动节点和普通节点之间，移动节点和移动节点之间的通信保护要求。 3 为了达到更好的性能，需要对n e m o 网络进行路由优化功能，如何 在n e m o 网络里面实现路由优化功能也是一个很关键的问题。 4 在n e m o 路由优化和m i p s e c 的基础上，如何成功实现n e m o 协议 的i p s e c 保护，主要针对的是m r 的操作。 根据上述所要研究的内容和需要解决的关键问题，全文的结构安排如下： 第一章，简要依次介绍了课题的研究背景，研究的意义，国内外研究现状， 移动网络安全威胁的简要分析以及本文的研究内容和论文结构安排。 第二章，对n s 2 的组织结构、仿真构建、常见的使用模块、仿真的一般过程 进行分析，目的是为了得出一个基本的n s 2 使用过程，方便仿真研究。测试脚本 主要介绍拓扑配置，t r a c e 文件主要进行结果分析，t c l 语言进行解释过程，c + + 命 令实现功能。n s 2 作为一个整体，各个方面相互配合，达到能仿真现有的所有的 网络协议的功能。之后，对选用的n s 2 插件进行分析研究，分析这些插件具体 完成了什么功能，完成的功能是不是合理可用，没有完成的功能对我们的仿真研 究是否具有影响，是否需要完善新的功能，找到插件里面存在的缺陷，找到简练 合理的方式来完善这些缺陷。 第三章，由于基本n e m o 协议性能较低，提出路由优化方案以提高通信性能。 方案中，添加了新的节点类型网关节点来完成路由优化功能。将基本n e m o 协议 里面的从h a 到m r 之间的三角隧道改变成m r 和c r 之间的隧道，新的隧道避免 了必须从家乡网络经过的路径，避免了三角路由，可以很大程度上提高网络的性 能。 第四章，分析i p s e c 协议和n e m o 协议，得出两者相结合的方案。在已经添 加插件的平台上，结合n s 2 的可行性，规划合理的实现方案。分析相关的性能要 求，在平台上面添加了一个分类器：i p s e c 分类器，只在替代当前节点入口，使得 接收的数据包走向下一个i p s e c 模块。两个代理，分别是加密代理和解密代理，实 现i p s e c 的保护功能。一个数据库：i p s e c 数据库，保护有进行i p s e c 保护和i k e 【7 j 协商需要的相关数据。 第五章，在n s 2 上实现移动网络的路由优化过程，实现n e m o 的i p s e c 保护 8 移动网络安全分析与仿真实现 过程，主要体现在m r 的信令保护。之后建立仿真测试脚本，搭建一个移动网络 环境，在该平台的基础上进行仿真测试，得出方案是否合理成功的结果分析。 第六章，总结与展望：对全文所做的工作和创新点进行了总结，同时对下一 步工作做出了展望。 第二章仿真平台架构分析 9 第二章仿真平台架构分析 2 1n s 2 概述 n s - 2 ( n e t w o r ks i m u l a t o rv e r s i o n2 ) 是一款基于u n i x 操作系统的网络仿真平 台。最早在1 9 8 9 年由美国的一个科研项目在r e a ln e t w o r ks i m u l a t o r 仿真软件的 基础上开发，于1 9 9 5 年得到施乐公司( x e r o x ) 的支持，加入v i n t 项目。经过近 2 0 年的发展，期间经历了若干个不同的科研项目的资助，并且得到了其他几个独 立项目提供的重要支持，比如由u c b 的d a e d e l u s 项目、c m u 的m o n a r c h 项目和 s u nm i c r o s y s t e m s 联合开发的无线模块。考虑到用于仿真m i p v 6 的m o b i w a n 补丁 在n s 2 版本中最高是n s 2 2 8 ，因此作者所在的课题组使用的n s 2 是此版本，图 2 1 为n s 2 套件n s a l l i n o n e 2 2 8 中的所有代码包。 配合g t - i t m 配置大型网络拓扑 动画模拟 n s 2 主体 t e l 对面向对象的支持 配合g t - i t m t c i 脚本语言 o t c l 与c + + 的接口定义 t c l 对g u i 的支持 图表分析工具 配合n a m 图2 1n s 2 套件中的各个代码包 其中最主要的是i l s 2 2 8 。所有的协议仿真模块都在该代码包中定义，而其它 的代码包则是n s 2 发展过程中添加的各种仿真分析工具。 n s 2 是一种可扩展、可重用、基于离散事件驱动、面向对象的网络仿真工具。 在一个网络模拟中，典型的事件包括数据包到达、时钟超时、数据包发送等。而 一个事件的处理又可能引发后续的事件，例如对个数据包到达事件的处理可能 引发后面的数据包发送事件。n s 2 所要做的就是不停地处理个接一个的事件， 直到所有事件都被处理完或某一特定事件发生为止。 l o移动网络安全分析与仿真实现 2 1 1n s 2 离散时间调度机制 n s 2 中有一个“调度器 ( s c h e d u l e ) 类，它是事件调度中最为核心的，负责 记录当前时间，调度网络事件队列中的事件，即调用该事件的h a n d l e 函数执行该 事件【2 1 1 。之后再按事件发生先后顺序调度队列中的其它事件，如此反复执行。n s - 2 只支持单线程，某一时刻只能有一件事件被执行。如图2 2 所示为这种离散事件调 度机n - d a t ap 叠t h 害 2 1 2n s 2 核心思想 d a t ap a t h 害 图2 2 离散事件调度机制 n s 2 由仿真事件( e v e n t ) 驱动运行。所谓e v e n t ，即被研究的状态不断变化 的仿真场景信息。比如，不同节点之间以及节点内部传输的p a c k e t ，无线网卡的当 前状态，链路状态，移动节点的当前位置信息等。 对于协议仿真，最重要的e v e n t 是p a c k e t ，即各种协议类型的分组。因为n s 2 的设计初衷就是针对各种通信协议的运行状况进行仿真，所以触发整个仿真活动 的基本事件就是p a c k e t 。根据协议的规定，每个p a c k e t 都包含协议相关的各种 h e a d e r ( 分组首部) 。 处理p a c k e t 的模块被称为a g e n t 。其主要职责是根据相关协议的定义，处理来 自本节点或者外节点的p a c k e t ，对其中的h e a d e r 进行分析和判断，并做出正确的 处理( 上交协议栈上层，转发或者丢弃) 。 每种协议都有自己的协议处理模块( a g e n t ) ，而一个通信节点可能同时支持 若干种协议，所以就需要一种机制来管理这些属于不同协议层的a g e n t 。n s - 2 为 此专门定义了c l a s s i f i e r ( 分类器) 这个模块，通过它来统一管理a g e n t 。核心思想 是，不同类型的c l a s s i f i e r 各自管理对应类型的一组a g e n t ，其中每个a g e n t 都有 自己对应的p o r t ( 端口号) 。这样，p a c k e t 源端节点在发送或者转发一个p a c k e t 时， 必须为p a c k e t 指定接收节点的m 地址和a g e n t 端c 1 号。但是，n s 2 中的c l a s s i f i e r 第二章仿真平台架构分析 模块并不是按照t c p i p 协议的分层模型划分的，a g e n t 的分类也是如此。 为了最终能够运行仿真场景，用户需要将定义好的仿真事件添加到调度列表 中，因为仿真事件是按照时间的先后顺序依次进行的。n s 2 为此专门定义了模块 s c h e d u l e r ，有效地管理所有的仿真事件。在仿真事件被定义的各个模块处，都要 将定义好的仿真事件添加到s c h e d u l e r 调度队列中，并指定事件触发的时间和负责 处理该事件的模块。最终的运行结果将会是有序的网络事件处理过程，而不是混 乱不堪的数据。 2 1 3n s 2 的主要仿真构件 n s 2 封装了许多功能模块，最基本的有事件调度器、节点、链路、代理、数 据包等。其中事件调度器和数据包较为特殊。事件调度器的实现目前有四种具有 不同数据结构的调度器，分别是链表、堆、日历表和实时调度器。数据包是不同 对象间相互交互的基本单元，是由事件派生出的子类。其它的功能模块都是一些 网络构件。 n s 2 有一个丰富的构件库，有了这个构件库，用户可以完成自己所要研究的 系统的建模工作，网络构件分为基本网络构件和复合网络构件，其中的基本构件 库如图2 3 所示。 图2 3n s 2 基本构件库的部分类层次结构 n s 。2 中的基本网络构件分为2 类：分类器( c l a s s i f i e r ) 和连接器( c o n n e c t o r ) 。 它们都是n s o b j e c t 的直接子类，n s o b j e c t 是t c l o b j e c t 的子类。同时它们也是所有 基本网络构件的父类。 分类器的派生类构件对象包括地址分类器( a d d r e s sc l a s s i f i e r ) 、端口分类器 ( p o r tc l a s s i f i e r ) 、复制器( r e p l i c a t o r ) 等，它们的共同特点是有一条数据输入路 径，一条或多条数据输出路径。 连接器的派生类构件对象包括队列( q u e u e ) 、延迟( d e l a y ) 、代理( a g e n t ) 和追踪对象类( t r a c e ) 。它们的共同特点是单输入单输出。