移动互联网技术详解课件.ppt

第六章移动互联网,Standard:IETF相关工作组,MobilityforIPv4(mip4)IPMobilitySupportforIPv4(RFC3344)MobilityforIPv6(mip6)MobilitySupportinIPv6(RFC3775)UsingIPsectoProtectMobileIPv6SignalingbetweenMobileNodesandHomeAgents(RFC3776)UsingIPsecbetweenMobileandCorrespondentIPv6Nodes(draft-ietf-mip6-cn-ipsec-01.txt)MIPv6SignalingandHandoffOptimization(mipshop)FastHandoversforMobileIPv6(RFC4068)HierarchicalMobileIPv6mobilitymanagement(HMIPv6)(RFC4140)MobileIPv6FastHandoversfor802.11Networks(draft-ietf-mipshop-80211fh-04.txt)MobileNodesandMultipleInterfacesinIPv6(monami6)NetworkMobility(nemo)NetworkMobilitySupportGoalsandRequirements(draft-ietf-nemo-requirements-05.txt)NetworkMobility(NEMO)BasicSupportProtocol(RFC3963),Papers,JSAC:IEEEJournalonSelectedAreasinCommunicationsMOBILEROUTERSANDNETWORKMOBIITY/TOC/2006/Sept06.htmlIEEEACM,内容,引言移动IP(MIP:MobileIP)的基本原理移动IPv4(MIPv4)的原理移动IPv6(MIPv6)的原理MIP的安全性MIPv4的安全性MIPv6的安全性MIPv6信令和切换优化网络移动(NetworkMobility),内容,引言移动IP(MIP:MobileIP)的基本原理移动IPv4(MIPv4)的原理移动IPv6(MIPv6)的原理MIP的安全性MIPv4的安全性MIPv6的安全性MIPv6信令和切换优化网络移动(NetworkMobility),为什么在IP层引入移动性,各种底层无线网络之间的漫游IPOverEverything数据、语音、视频等多种业务的融合EverythingOverIP,移动IP需要解决的问题,接入路由器1,通信对端,移动节点,接入路由器2,ADDR1,移动IP需要解决的问题,接入路由器1,通信对端,移动节点,接入路由器2,ADDR2,IP地址的改变对于通信对端和上层（IP层以上）是透明的,移动节点需要一个在移动过程中保持不变的标识,不中断已经建立的连接,通信对端始终能够找到移动节点,家乡地址,内容,引言移动IP(MIP:MobileIP)的基本原理移动IPv4(MIPv4)的原理移动IPv6(MIPv6)的原理MIP的安全性MIPv4的安全性MIPv6的安全性MIPv6信令和切换优化网络移动,术语,家乡地址(HoA:HomeAddress)：移动节点的标识，手动配置或者由家乡网络分配，通常不变转交地址(CoA:Care-ofAddress)：移动节点位置的标识，由移动到的外地网络分配，随位置变化家乡代理(HomeAgent)：保存移动节点的家乡地址和转交地址之间的映射关系(绑定)通信对端(CorrespondNode)：和移动节点进行通信的网络节点，它可能是静止的节点，也可能是移动节点,知道移动节点家乡地址如何将数据包路由到移动节点的转交地址？,数据包先路由到家乡代理，由家乡代理发送给移动节点！,HoA与CoA的对应关系称为绑定(Binding),基本过程,移动检测移动节点检测到自己移动到了外地网络代理公告（MIPv4）/路由器公告（MIPv6）转交地址配置MIPv4外地代理转交地址（即外地代理地址）(ForeignAgentCoA)配置转交地址(Co-locatedCoA)MIPv6全局可路由转交地址的绑定注册到家乡代理（MIPv4/MIPv6）到通信对端（MIPv6）,MIPv4原理:使用外地代理转交地址,移动检测,家乡代理,通信对端,移动节点,外地代理,MIPv4原理:使用外地代理转交地址,家乡代理,通信对端,移动节点,外地代理,移动检测,使用外地代理转交地址,MIPv4原理:使用外地代理转交地址,绑定注册,家乡代理,通信对端,移动节点,外地代理,MIPv4原理:使用外地代理转交地址,接收/发送分组,家乡代理,通信对端,移动节点,外地代理,代理ARP和免费ARP,隧道,分组,分组,分组,分组,MIPv4原理:使用外地代理转交地址,家乡代理,通信对端,移动节点,外地代理,三角路由问题,三角路由问题,MIPv4原理:使用配置转交地址,移动检测,家乡代理,通信对端,移动节点,外地代理,MIPv4原理:使用配置转交地址,家乡代理,通信对端,移动节点,外地代理,移动检测,通过DHCP等方式获取配置转交地址,MIPv4原理:使用配置转交地址,绑定注册,家乡代理,通信对端,移动节点,外地代理,MIPv4原理:使用配置转交地址,接收/发送分组,家乡代理,通信对端,移动节点,外地代理,代理ARP和免费ARP,隧道,分组,分组,分组,MIPv4原理:使用配置转交地址,家乡代理,通信对端,移动节点,外地代理,三角路由问题,三角路由问题,MIPv4原理:反向隧道,通过家乡地址来唯一标识移动节点，使得通信对端不需要知道移动节点的位置信息移动节点和通信对端的通信始终使用家乡地址，通过家乡代理转发到移动节点的分组,使得移动对于通信对端以及IP层以上的应用是透明的,存在入口过滤问题:当移动到外地时，防火墙可能过滤源地址为移动节点家乡地址的分组,通过反向隧道解决入口过滤问题,反向隧道：使用外地代理转交地址,家乡代理,移动节点,外地代理,外地代理转交地址,通信对端,反向IP-in-IP隧道,分组,分组,分组,反向隧道：配置转交地址,家乡代理,移动节点,外地代理,通信对端,反向IP-in-IP隧道,配置转交地址,分组,分组,MIPv6原理,移动检测和地址自动配置,家乡代理,通信对端,移动节点,接入路由器,家乡地址：HoA转交地址：CoA,MIPv6原理,移动检测和地址自动配置,家乡代理,通信对端,移动节点,接入路由器,家乡地址：HoA转交地址：CoA,路由器公告,无状态地址自动配置生成CoA,MIPv6原理,到家乡代理绑定注册,家乡代理,通信对端,移动节点,接入路由器,家乡地址：HoA转交地址：CoA,绑定更新(BindingUpdate),绑定应答(BindingAck),绑定缓存HoACoA,MIPv6原理,和通信对端通信过程：不支持任何移动IPv6功能,家乡代理,通信对端,移动节点,IPv6-in-IPv6隧道,家乡地址：HoA转交地址：CoA,分组,分组,分组,分组,MIPv6原理,和通信对端通信过程：支持移动IPv6功能,家乡代理,通信对端,移动节点,绑定缓存HoACoA,家乡地址：HoA转交地址：CoA,IPv6-in-IPv6隧道,分组,绑定更新,绑定更新列表通信对端IPv6地址,MIPv6原理,和通信对端通信过程：支持移动IPv6功能,家乡代理,通信对端,移动节点,家乡地址：HoA转交地址：CoA,IPv6-in-IPv6隧道,分组,分组,绑定更新列表通信对端IPv6地址,绑定缓存HoACoA,对IP以上层屏蔽移动性：原理,在双向隧道模式中，移动节点和通信对端的通信始终使用家乡地址在路由优化模式中，通过家乡地址选项(HAO，由信宿选项头标携带)和类型2寻路头标(T2R)来实现,家乡地址选项,类型2寻路头标,路由优化模式：移动节点发送分组,TCP/UDP,IPv6移动IPv6,TCP/UDP,IPv6移动IPv6,移动节点,通信对端,添加HAO选项头标，包含移动节点的转交地址，交换HAO选项头标中的地址和数据包的源地址,交换HAO选项头标中的地址和数据包的源地址,HoA：家乡地址CNA：通信对端的地址CoA：转交地址HAO：家乡地址选项，信宿选项头标T2R：类型2寻路头标,HoA,路由优化模式：通信对端发送分组,TCP/UDP,IPv6移动IPv6,TCP/UDP,IPv6移动IPv6,移动节点,通信对端,HoA：家乡地址CNA：通信对端的地址CoA：转交地址HAO：家乡地址选项，信宿选项头标T2R：类型2寻路头标,家乡地址,添加T2R选项头标，包含移动节点的转交地址，交换T2R选项标中的地址和数据包的目的地址,交换T2R选项头标中的地址和数据包的目的地址,MIPv4和MIPv6比较,IPv4地址空间有限，移动节点通常使用外地代理转交地址存在外地代理三角路由问题家乡地址为源地址，存在入口过滤问题需要使用IP-in-IP隧道，开销大IPv6拥有巨大的地址空间，移动节点通常使用全局可路由转交地址不需要外地代理路由优化成为协议的基本部分转交地址作为源地址，不存在入口过滤问题通过家乡地址选项（信宿选项头标）和类型2寻路头标来实现转交地址变化对IP层以上应用的透明，不需要使用IPv6-in-IPv6隧道,内容,引言移动IP(MIP:MobileIP)的基本原理移动IPv4(MIPv4)的原理移动IPv6(MIPv6)的原理MIP的安全性MIPv4的安全性MIPv6的安全性MIPv6信令和切换优化网络移动(NetworkMobility),MIPv4的安全性,注册请求和注册应答消息的认证移动安全关联认证算法、算法模式、密钥或者公/私密钥对、重播保护形式缺省HMAC-MD5算法，生成128比特摘要Mobile-Home认证扩展必须移动节点和家乡代理之间存在安全关联Mobile-Foreign认证扩展可能移动节点和外地代理之间存在安全关联Foreign-Home认证扩展可能外地代理和家乡代理之间存在安全关联,MIPv6的安全性,返回可路由（RR：ReturnRoutability）过程移动节点与通信对端之间的安全基于IPsec的MIPv6安全移动节点和家乡代理之间安全移动节点和通信对端之间安全,返回可路由过程：概述,目标是使得通信对端可以在某种程度上确保移动节点所宣称的转交地址和家乡地址是合法的（可寻址）产生移动节点和通信对端之间的认证密钥（绑定管理秘钥Kbm），并且通过绑定认证选项来保护移动节点和通信对端之间的绑定更新不需要预先配置信息，易于大规模部署安全强度比IPSec弱,返回可路由过程：原理,IPv6-in-IPv6隧道,HoTICookie,HoTI：家乡测试发起消息CoTI：转交测试发起消息HoT：家乡测试消息CoT：转交测试消息,CoTCookieToken,HoTCookieToken,HoTICookie,计算家乡密钥生成令牌,HoTCookieToken,计算转交密钥生成令牌,家乡密钥生成令牌和转交密钥生成令牌进行SHA1得到绑定管理密钥,移动节点,家乡代理,CoTICookie,返回可路由过程：存在的安全问题,攻击者能够监听到移动节点的数据包伪造邻居家乡地址：攻击者的家乡地址转交地址：邻居地址攻击者在家乡网络和通信对端的路径上获得绑定管理密钥，伪造绑定更新等,基于IPsec的MIPv6安全:IPSec回顾(1),安全策略(SP)选择符(selector)源地址、目的地址、源端口、目的端口、协议(TCP/UDP/ICMP)、模式(隧道/传输)策略行为：丢弃、实施IPSec处理或者绕过安全关联(SA)索引目的地址、安全参数索引(SPI)、协议(ESP/AH)源地址、目的地址、协议(TCP/UDP/ICMP)、IPSec协议(ESP/AH)、模式(隧道/传输)、认证和加密算法、密钥等,2019/12/12,42,可编辑,基于IPsec的MIPv6安全:IPSec回顾(2),认证头标(AH)传输模式隧道模式封装化安全净荷(ESP)传输模式隧道模式,基于IPsec的MIPv6安全:IPSec回顾(3),AH头标格式ESP头标格式,基于IPsec的MIPv6安全:IPSec回顾(4),外出处理根据数据包信息初始化selector，选择相应的一个或者多个外出SP，SP是有序的SP的地址始终为数据包最终的源和目的地址(内部头标地址)根据每个SP指定的SA或者SA束执行IPSec处理，SA是无序的进入处理根据数据包的目的地址(外部头标地址)、IPSec协议和SPI找到相应的SA，然后执行IPSec处理在进入SPD找到对应的SP(内部头标地址)，验证是否对数据包执行了指定的IPSec处理(SA或者SA束),基于IPsec的MIPv6安全:移动节点和家乡代理之间安全,移动节点和家乡代理之间的信令业务绑定更新和绑定应答使用IPSecESP传输模式保护返回可路由过程家乡测试发起（HoTI）和家乡测试（HoT）使用IPSecESP隧道模式保护前缀发现ICMPv6消息IPSecESP传输模式保护,基于IPsec的MIPv6安全:绑定更新和绑定应答(1),绑定更新头标格式移动节点在外地网络时移动节点在家乡网络时绑定应答头标格式移动节点在外地网络时移动节点在家乡网络时,基于IPsec的MIPv6安全:绑定更新和绑定应答(2),SP和SA使用家乡地址家乡地址选项和类型2寻路头标包含家乡地址家乡代理、移动节点上的SP和SA条目,基于IPsec的MIPv6安全:返回可路由过程(1),家乡测试发起(HoTI)消息格式移动节点经家乡代理到通信对端家乡测试(HoT)消息格式通信对端经家乡代理到移动节点,基于IPsec的MIPv6安全:返回可路由过程(2),SP和SA使用不同的移动节点地址SP：家乡地址SA：转交地址家乡代理、移动节点上的SP和SA条目,基于IPsec的MIPv6安全:返回可路由过程(3),转交地址变化时家乡代理：收到绑定更新时，更新外出SA的目的地址和进入SA的源地址为新的转交地址移动节点：收到绑定应答时，更新进入SA的目的地址和外出SA的源地址为新的转交地址,基于IPsec的MIPv6安全:前缀发现(1),移动节点获取家乡子网的前缀的变化信息移动前缀请求消息格式移动前缀公告,基于IPsec的MIPv6安全:前缀发现(2),移动节点和家乡代理上的SP和SA条目,内容,引言移动IP(MIP:MobileIP)的基本原理移动IPv4(MIPv4)的原理移动IPv6(MIPv6)的原理MIP的安全性MIPv4的安全性MIPv6的安全性MIPv6信令和切换优化网络移动(NetworkMobility),MIPv6信令和切换优化,概述基本移动IPv6切换延时太大，不能满足实时和TCP延时敏感业务的需求基本移动IPv6中的切换引入额外的信令开销移动节点和家乡代理及通信对端之间的绑定注册过程可能需要穿越骨干网，从而增加骨干网的信令开销切换优化移动IPv6快速切换(FMIPv6:FastHandoversforMobileIPv6)IPv6微移动管理层次移动IPv6(HMIPv6：HierarchicalMobileIPv6mobilitymanagement),概述：移动节点切换过程,无线接入点1,无线接入点2,移动节点,接入路由器1(切换前接入路由器),接入路由器2(切换后接入路由器),概述：移动节点切换过程,接入路由器1(切换前接入路由器),接入路由器2(切换后接入路由器),无线接入点1,无线接入点2,移动节点,链路层切换：无线接入点1到无线接入点2,IP层切换：接入路由器1所在子网到接入路由器2所在子网,概述：IP层切换过程,移动检测和路由器公告的间隔有关转交地址配置地址重复检测典型值为1到2秒绑定注册移动节点到家乡代理的延时移动节点到通信对端的延时,概述：IP层切换延时分析,0到十几秒,1到2秒,几百毫秒到几秒,移动节点,接入路由器,家乡代理,通信对端,IP层切换延时太大会影响实时应用和吞吐量敏感应用,移动IPv6快速切换要减少这个延时，具体来说就是：移动节点一检测到新的子网链路就能够发送数据包新的接入路由器一检测到移动节点接入就能够发送到移动节点的数据包,移动IPv6快速切换定义了实现以上目标所需要的：IP协议消息独立于特定的链路层协议消息交互过程不影响标准的移动IPv6操作,移动IPv6快速切换：快速切换相关消息(1),新的邻机发现消息代理路由器公告请求(RtSolPr)移动节点发送给接入路由器，请求代理路由器公告代理路由器公告(PrRtAdv)接入路由器发送给移动节点，提供邻近接入路由器的链路层地址、IP地址和子网前缀信息实现功能辅助移动检测过程无线接入点到其所连接的接入路由器的子网信息映射预先生成新的转交地址,移动IPv6快速切换：快速切换相关消息(2),接入路由器之间的消息切换发起(HI)通常是PAR发往NAR，发起移动节点快速切换过程应该包含移动节点的切换前转交地址，可能包含移动节点希望使用的新的转交地址切换应答(HAck)NAR对切换发起消息的应答可能包含移动节点在NAR上应该使用的新转交地址功能确认给出的新的转交地址是否可接受传送和切换相关的网络常驻上下文，例如接入控制、QoS和头标压缩等,PAR：切换前接入路由器NAR：切换后接入路由器,移动IPv6快速切换：快速切换相关消息(3),新的移动头标消息快速绑定更新(FBU)移动节点发送到PAR，功能类似于绑定更新，建立切换前转交地址和切换后转交地址的绑定(隧道)移动节点通过隧道转发源地址为切换前转交地址的分组到PARPAR通过隧道转发目的地址为切换前转交地址的分组到移动节点包含移动节点切换前转交地址和切换后的转交地址信息快速绑定应答(FBA)PAR对快速绑定更新的应答快速邻机公告(FNA)移动节点发送快速邻机公告给NAR，宣告自己到达功能移动节点一切换到新的链路就可以接收分组,PAR：切换前接入路由器NAR：切换后接入路由器,移动IPv6快速切换：快速切换类型,切换发起的实体移动节点发起的切换移动节点发送代理路由器公告请求(RtSolPr)给当前接入路由器网络发起的切换PAR发送未经请求的代理路由器公告(PrRtAdv)发送快速绑定更新(FBU)的链路预测型(predictive)快速切换在切换前链路上发送FBU并且接收到FBack反应型(reactive)快速切换在切换后链路上发送FBU,PAR：切换前接入路由器NAR：切换后接入路由器,移动IPv6快速切换：快速切换类型,切换发起的实体移动节点发起的切换移动节点发送代理路由器公告请求(RtSolPr)给当前接入路由器网络发起的切换PAR发送未经请求的代理路由器公告(PrRtAdv)发送快速绑定更新(FBU)的链路预测型(predictive)快速切换在切换前链路上发送FBU并且接收到FBack反应型(reactive)快速切换在切换后链路上发送FBU,PAR：切换前接入路由器NAR：切换后接入路由器,移动IPv6快速切换：预测型快速切换,连接,移动节点,PAR,NAR,断开,PAR：切换前接入路由器NAR：切换后接入路由器,移动IPv6快速切换：反应型快速切换,连接,移动节点,PAR,NAR,断开,PAR：切换前接入路由器NAR：切换后接入路由器,快速切换延时分析,切换发生前生成转交地址，减少了移动IPv6切换过程中的地址自动配置延时切换后IP层通过来自链路层连接建立信息（LinkUp触发器）立即感知移动到了新的链路，减少了移动检测延时切换后完成新的转交地址绑定注册之前仍然可以接收目的地址为切换前转交地址的分组，减少了绑定注册延时,IEEE802.21,媒介无关切换（MIH：MediaIndependentHandover）标准目标：开发一个能够向上层提供链路层智能和其它相关网络相关信息的规范，以优化异构网络之间的切换通过定义通用的SAP（ServiceAccessPoint）和其它的原语来实现链路层的智能媒介无关事件服务提供了相应于链路特性和链路状态的动态变化的事件。媒介无关命令服务使得MIH用户能够管理和控制本地链路与切换和移动性相关的行为。媒介无关信息服务为MIH用户提供了做出有效切换决定的有用信息。,层次移动IPv6：概述,目标减少移动节点到家乡代理和通信对端的绑定注册延时减少大量移动节点频繁切换所造成的骨干网上通信信令开销兼容移动I