（计算机应用技术专业论文）移动ipv6环境下移动节点访问控制的研究与实现.pdf

北京邮电大学硕士论文 摘要 摘要 社会的逢步帮网络技术的发展饺褥人们辩移动洼的需求越来越大，两i p v 4 融议自身的缺陷阻碍了移动i p v 4 的发怒，假建新的因特网互连协议i p v 6 x 圣移渤秘： 提供了很好的支持。移动i p v 6 提供了种在全球因特网上实现移动功能的方案， 它具有良好的可扩展性、可靠性和寰佥性，使得通信节点在切换链路时仍可 聚持 延猩进行的通信。 但在移动1 p v 6 网络的商业应用过校中，移动节点( m o b i l en o d e ) 会在不同 管理域的网络问移动。这时移动节点如果婪访问网络资源，就需要经过本地镣豫 域的认证授权，如果没有通过认证授权被不能使用本地的网络资源。这就需臻对 移动节点实现访问控制。所谓对移动节点的访问控制，就是在m n 没有获得本地 镣疆域稔议珏授权之兹是不雏够使髑本她嚣理域豹资源豹，一旦移动节点通道了 誊溅警理域熬谈证，嚣么它藏可以嫒黧零璁管理域豹资添，这些资源可能麓擎戮 楚睡终逶遽，逮可蕤复杂至是零圣逢餐爨蠛熬一些器毒资源 本文就是为移动i p v 6 提密了一静裁瓣访鹾控割体系结鞫，使它l 够在移动 撙v 6 的环境下实现对移动节点黪访游靛制。这种访问控制桃翩是默标记数据撮、 网络层的数据报过滤、d h c p v 6 协议为蕊础的。这种访问控制体系结构的好是奎在 于它对移动节点的访问控翩是在第三鼷上实现的，从而摆脱了第二层网络类溅的 限制。 本文重点分析了在移动i p v 6 环撬中，对移动节点实现访问控制的意义，并介 绍了在对移动节点实现访问控制时所涉及到的相关理论以及问题，然后提出了移 渤m v 6 的访问控制体系结构，并在实验环境中实现了这个访问控制系统。 【关键词j 移动蛰幅访涟控麓d h c p v 6 繇诞数罐缀数据攘遂滤蠡动瑟受t o k e n 北京邮电大学硕士论文 a b st r a c t w i t l lt h ed e v e l o p m e n t o f s o c i e t ya n dn e t w o r kt e c h n o l o g y , o u rr e q u i r e m e n tf o r m o b i l i t yi sb e c o m i n g m o r ea n dm o r e b u tt h ef l a wo f i p v 4b l o c k st h ed e v e l o p m e n to f m c h i l ei p v 4 h o w e v e rt h en e wi n t e r n e tp r o t o c o li p v 6p r o v i d e se x c e l l e n ts u p p o r tf o r m o b i l i t y m o b i l e 6i sas o l u t i o nf o rm o b i l i t y o ng l o b a li n t e r n e t a n di th a s g o o d s c a l a b i l i t y ，r e l i a b i l i t ya n ds e c u r i t y m o b i l ei p v 6 c a l lm a k en o d e s k e e pg o i n g c o m m u n i c a t i o nw h e nt h e vc h a n g et h e i rl i n k s b e c a u s eo f m o b i l ei p v 6 sm o b i l i t y ，m nc a nm o v eb e t w e e nt w od i f f e r e n t d o m a i n s 。t h e nt h i sw i t lr e l a t et on e t w o r k a c c e s sc o n t r o lo n l ya f t e rt h ei v i ni s a u t h o r i z e db yt h el o c a ld o m a i n ，m n c a na c c e s st h en e t w o r k 。o t h e r w i s et h em nc a n t u s ea n yn e t w o r kr e s o u r c e n e t w o r ka c c e s sc o n t r o ls y s t e m j u s td oi t t h i sd o c u m e n ti n t r o d u c e san o v e la c c e s sc e n t r e la r c h i t e c t u r ef o fm o b i l e i p v 6 t h ea r c h i t e c t u r ei sd e s i g n e dt oa d d r e s st h ep r o b l e m so f u b i q u i t o u si n t e r a c t s e r v i c ep r o v i s i o n i n gw i t h i nm o b i l e i p v 6e n v i r o n m e n t ，t h ep r o p o s e da c c e s sc o n t r o l m e c h a n i s mi sb a s e d0 nt h ec o n c e p t so f p a c k e tm a r k i n g ，n e t w o r k q e v e lp a c k e t f i l t e r i n g ，a n dd h c p v 6 a l s o ，t h i sp a p e rd e m o n s t r a t e s t h ei m p l e m e n t a t i o no f t h ea c c e s sc o n t r o ls y s t e m a n d g i v et h e t e s tr e s u l t so f t h ea c c e s sc o n t r o ls y s t e mu s e di no u rm o b i l ei p v 6t e s t e n v i r o n m e n t f k e yw o r d s l m o b i l ep 诵，a c c e s sc o n t r o l ，d h c p v 6 ，p a c k e tm a r k i n g ，p a c k e t f i h e r i n g ，a u t o c o n f i g u r a t i o n ，t o k e 轧k e y 2 北京邮电犬学硕士论文第一章前言 1 1 课题背景 第一章前言 现在，i n t e r n e t 的飞速发展使人们越来越依赖于网络计算。大多数企业都建 立了先进的网络，连接各个雇员和他们的计算机、工作站，我们工作中的许多重 要信息需要通过网络得到。此外，笔记本电舾在体积、重量和性能方面都在不断 改进，移动性主机所占比例迅速增加，这同样使得越来越多的人成为了移动办公 的一份子。 不断增加的移动办公人群、对网络计算越来越强的依赖和移动计算技术的发 展，这三方面一起推动着将移动的计算机与其他计算机相连的需求，包括与固定 的和移动的计算机连接。于是移动i p ( m o b i l ei p ) 应运而生。移动i p 是一个为移 动计算机传送信息的解决方案，它是由因特网工程组m t f $ o 定的因特网协议标 准。移动i p 与移动计算机通信时所采用的物理媒介无关，它允许移动计算机在不 中断通信和不重新启动应用程序的情况下改变地理位置。 但是现有的i p v 4 协议已经暴露出许多的弊端，例如地址空间耗尽、不易配置 等等，这些缺陷并不利于主机移动性的扩展。由i e t f 开发的i p v 6 可以解决目前 i p v 4 协议带来的种种困扰。它用1 2 8 位地址代替i p v 4 的3 2 位地址，由于地址位数 增长，i p v 6 可以为近乎无限数量的连网系统分配独立的i p 地址，这对移动应用来 说非常重要。于是移动i p v 6 的研究与发展开始提上议事日程，逐渐成为一个十分 热门的研究课题。 移动i p v 6 的设计汲取了移动i p v 4 的设计经验，并且利用了i p v 6 的许多新的特 征，相对移动i p v 4 而言许多方面做了改进，包括提出了路由优化，完善了移动检 测，加强了安全保护等等。移动i p v 6 成为了i p v 6 协议不可分割的一部分，它给我 们描绘了一幅在全球因特网上实现移动功能的美好前景。但是，如果真的要在全 球因特网上实现移动功能，就不得不解决对移动节点访问控制问题。因为移动节 点会在不同管理域间移动，必然就会涉及至t l h h h ( a u t h e n t i c a t i o n 、a u t h o r i z a t i o n 、 a c c o u n t i n g ) 问题，而与a a a 密切相关的就是对移动节点的访问控制。只有对移 动节点实现了访问控制，a a a 才是有意义的。对移动节点的访问控制是实现a a a 的前提，同样只有把对移动节点的访问控制和a a a 结合起来才有意义。所以如 果要把移动i p v 6 真正的应用到商业领域，就必须解决对移动节点的访问控制问 题。 1 2 移动i p v 6 的现状及发展 移动口v 6 是因特网工程特别任务组i e t f 移动p 工作组正在研究的主要课 题，目前已经发布了多个版本的草案，但是还没有形成最终的标准。移动i p v 6 目前主要的研究内容包括链路快速切换，本地移动性管理，a a a 支持以及q o s 等方面。但是在对移动节点的访问控制方面并没有明确的说明，这方面却影响着 移动i p v 6 的商业应用。 6 圆一一一文 第一章前言 移动碑v 6 已经越来越受到重视，有许多科研机构和大公司都在进行移动i p v 6 的研究，著艇散了一定的实验开发工4 乍。例如诺基溉公司，爱立僚公司，日本蚋 k a m e ，h e l s i n k i 大学，k e i o 丈掌，s u n ，赣软，瓣门予，n e c 等等，分裂在 l i n u x 或者u n i x 下面开发了相应的移渤i p v 6 本地代理，移动节点或者通信对端 软件。 就国内来说，垦前中爨教育和科磷计算扭嬲( e 瓤粉匹t ) 己缀糖造了自己麴 i p v 6 实验庆，渍华、j 郄、中秘大、魄子辩援大学等学校都已缎遴行了篓磷 究工作，并取得了一些谶展。北邮信息网络中心从很早就开始了i p v 6 的研究， 并与c e r n e t 的i p v 6t e s t b e d 建立了t u n n e l 连接，构造了内部的实验环境。 在i p v 6 技术的研究中，北邮网络中心将吸取电信网络和计算机网络相融合的缝 验，关注移麓驶务在i p v 6 技拳中懿遴旋，圈霹与c e r n e t 密甥会揍，致力予 i p v 6 环境下酌网络安全、潮络管理等方囱的研究，并不断提供各种新瀚业务。 1 3 论文主要内容和结构安排 本论文针对移动礤v 6 环境中的一个重要课题对移动节点的访闻控制， 进行了深入的研究和探讨。论文的主鼹内容包括三部分： 第一部分对在移动i p v 6 环境中实现对移动节点的访问控制做了分析与总 缝。筵部分主要惫瑟第二灏帮筵三章。第二章主要怼移动i p v 6 傲了些壤要魏 的介绍。第三章提出了移动i p v 6 的访黼控制体系结构。 第二部分即第四章，概要的对d h c p v 6 协议作了介绍以及它在我们提出的 访问控制体系结构中的作艨。 第三部分包含第五章释第六章。繁五章奔缁了程戮稻的试验环境中，访溺羧 制系统的实现以及测试的结果。第六帮，在全局上作了总结，提出了一些没有解 决的问题和下一步需要做的工作。 艨瓣敞第二章移动l p v 6 第二章移动i p v 6 移动职v 6 是因特网工程特别任务组i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ) 移 动撙工作组正在研究的主溪课题。目前已经发布了多个版本的草案( d r a f t ) ，傻 跫还没鸯影躐最筵懿稼疆。移魂 p v 6 的文 孛菱聂褥缀浃，本章豹湾论主要基予移 动i p v 6 草案的第十七个版本d r a f t i e t f - m o b i l e i p i p v 6 1 7 t x t 。 移动i p v 6 ( m o b i l ei p v 6 ) ，可以简写为m i p v 6 ，就是移动i p 对于i p v 6 叻议的支 持，它是结合了i p v 4 对穆幼性的支持( m o b i l ei p ) 和i p v 6 的新特性设计出来的。 i p v 6 是下一 弋瓣霞特瓣稔议，它最终褥代替i p v 4 残为溺蒋网的主要溺终屡按议。 本章首先简单介绍一下1 p v 6 的特性，然籍主要介绍移动i p v 6 的体系结构和工作机 制，并指明移动i p v 6 矛n 移动i p v 4 的不同之处。要说明的是，本章的内容都还正氍 研究中。 2 1 i p v 6 协议简介雒3 。潮雏3 3 i p v 4 协议是目前通用的因特刚协议，这些年来因特网的快速发展以及取得 鹣基太或功，餐瑷臻臻v 4 其亳良好靛设谤纛蛙毙。然薅，原有的转v 4 协议也开 始面| 隘一些难戳解决的瓣题，如遗圭蓝空闯耗尽、不瑟配置、移动馁差等。尽管采 用了许多新的机制来缓解这些限制，假问题没有得到根本解决。同时i p 应用的 扩展对i p 也提出了新的鞭求，比如因特网上多媒体信息传播、移动用户的网络 接入等，都为i p 的研究开辨了耨的空间。 于是，嚣祷两工程黪菇任务缰( i e 彳f ) 跌9 0 年代超藏开始较援探讨下一代 婵网络。经过几年的努力，终于在1 9 9 5 年1 2 月推出了下一代i p 网络的r f c 文 档i p v 6 协议。不但解决了旧版本i p v 4 协议的问题，而且还给i p 带来了一些黼 特性，使褥糟协议在地业管理、移动性、安全及多媒体支持方灏都有巨大的灵 活淫。 2 1 1 i p v 4 的局限性 溪套撑v 4 傍谈懿戆麓袋往及瑟瑟添赘置令难豁霓鼗懿重大阔邋主要表溪在 以下几个方两； 一地址空间行将枯竭：随着i n t e r n e t 用户的不断增加，目前的3 2 位i p 地址 空闻已不能满足分配麴需求。i p v 4 的地址只有3 2 谴，这意昧罄总的地业 鼗大约怒4 0 亿，势基还有许多戆疆是不可餍熬。按爨嚣 ；蓼瓣终豹发震憝 势，到2 0 0 5 和2 0 1 5 年之闻p v 4 的地址就会耗尽，必须用另一种地址方案 来替代它。 i i i 路由表翻趋庞大：幽鼍：谨v 4 采用麓网络拓扑结槐花关的形式采分配遗址， 爱蔽陡麓连入露鳋数强弱灌热，赣耄器鼗嚣爨飞速壤燕，决定数据传辕黪 由的路出表也就不断加大。r 庞大的路由表不仅增加了路由器的工作量，还 燃 4 毒i 北京邮电大学硕士论文第= 章移动i p v 6 降低了互联网服务的稳定性。 安全性：基本的邛v 4 协议不提供任何安全保证，安全性一直被认为是由网 络层以上的层负责。虽然在网络层也有i p s e c 安全解决方案，但它现在已 经成为i p 的下一个版本可以发挥作用的地方。 - 缺乏对服务质量q o s 的支持：i p v 4 尽它的最大努力来传送信息包，但是它 不会保证提供给上层的服务是可靠的，没有q o s ( 服务质量) 的概念。 自动配置：对于i p v 4 节点的配置一直比较复杂，而网络管理员与用户则更 喜欢“即插即用”，即将计算机插在网络上，然后就可以开始使用。i p 主 机移动性的增强也要求当主机在不同网络间移动和使用不同的网络接入 点时能提供更好的配置支持。 2 1 2i p v 6 的新特性 而i p v 6 的制定正是为了突破现有i p v 4 的局限性，解决上面几个i p v 4 无法 克服的难题。因此，新一代的i p 网络出议i p v 6 理所当然具有如下特点：地址空 间的扩展( 1 2 8 位的地址空间几乎是无限的) ；支持q o s ；本身安全性的提高( i p v 6 已经把i p s e c 作为其应有的安全协议) 。此外，i p v 6 还具有其它很多优点和特点， 如地址的自动配置、精简的报文格式、对扩展头和各选项的充分支持、增强的路 由功能，以及针对“实时业务”的流控能力。 _ 扩展的编址空间：将i p 地址由3 2 位扩展为1 2 8 位，可以支持更多层次的 地址编码，可标示更多的节点，实现更简单的地址自动配置。还定义了一 种新的地址类型一任意点传送地址( a n y c a s t ) ，或叫任意点播送，用来给 节点组中的任意确定的一个成员发送报文。 一简化的首部格式：i p v 4 首部中的一些域被抛弃或改为可选项，这样可以降 低通用情况下分组处理代价，并限制i p v 6 分组的带宽代价。所以虽然地址 改为1 2 8 位，但报头大小只增加倍，从i p v 4 的2 0 个字节增为4 0 个字节。 一对扩展项和可选项的改进支持：d v 6 对可选项都进行了编码，从而可以实 现更为有效地转发。可选项的长度限制放宽，为今后可选项扩展提供了更 大的灵活性。 _ 提供更好的服务质量q o s ：在i p v 6 分组的头部中定义了两个重要参数：业 务类别字段和流标示字段。业务类别字段将i p 分组的优先级分为1 6 个等 级，对于那些需要特殊q o s 的业务，可在i p 数据报中设置相应的优先级， 路由器根据口包的优先级分别对这些数据进行处理。数据流标志位用于定 义任意一个传输的数据流，以便网络中所有的节点能对这一数据进行识 别，并作特殊的处理。 一验证和保密能力：i p s e c 是i p v 6 的一个组成部分，使得i p v 6 可以更好地支 持授权、分组完整性和数据保密性等服务，比i p v 4 上的i p s e c 更完善。 参艨蚺一 第；章移动i p v 6 2 1 3 i p v 6 基本报头格式 i p v 6 的基本报头相对1 p v 4 的报头进行了简化，新版本报头只有6 个固定域 和2 个地址，而旧版本中则有1 0 个固定域、2 个地址和一些选项，如下面两个 图所示。 可以看出，在报头中唯一保持同样含义和同样位置的是版本域，都是用最开 始的4 位来表示。旧报头中有6 个域不再采用，它们是：报头长度、服务类型、 标识符、标志、段偏移量、报头校验：有3 个域被重新命名，并在某些情况下略 作改动，它们是：长度、协议类型和存活时间；对旧报头中的选项机制进行了彻 底修正，增加了2 个新的域：类别和数据流标签。 ；鞭拳l 鞭舟毖烈憩托皮 粕j 驭捋托忠蕊黼咎懿 挣瀚时m j拇蛙积- 文披豁和 濒避境 i i 盼魄 i建捧 琏宽 图2 - 1i p v 4 报头格式 l 敝奉擞剐般翻流括穗 l打艘熊越妖艘卜。牛擞：麟数瞅制 潍l 缝脯 h 瓣地址 图2 - 2 i p v 6 报头格式 t p v 6 以一种新的方式处理长度说明。首先，因为基本头部的长度固定为4 0 个八位组，所以基本头部就没有必要再包括一个头部长度域。其次，i p v 6 以 个1 6 位的负载长度域取代了邛v 4 的数据报的总长度域，该域说明除去头部自身 的长度外，由p 数据报携带的有效负载的数据量。这样一个i p v 6 数据报可以容 纳6 4 k 的有效负载数据。 协议类型域改名为下一个报头类型域，这反映了口数据报的新型结构。在 i p v 4 中，口报头之后是传输协议数据，例如u d p 或t c p 数据报。而比较简单 的i p v 6 数据报也有几乎同样的结构，只要将其“下个报头”类型设置成u d p 一一一文 第二章移动i p v 6 ( 1 7 ) 或t c p ( 6 ) 协议蒺型即可。但是下面就可以看到，在i p 和t c p 或u d p 有效负载之间可以插入“扩展报头”。这样，下个擞头类型就设置为第一个扩 震擐头懿类餐。 i p v 6 的跳数限制( h o pl i m i t ) 域对成着i p v 4 中的存活时间( t i m e t ol i v e ) 域。不同之处在于，i p v 4 中存活时间用秒数表示，表明数据报在网络中被销毁 之前能够保留的时间长短，但是大多数路由器只是简单地在每次中继时将t 孔 减l 。在i p v 6 中，这耪徽法羧正式采爆，该蓬累罚蠡冬是l p 数据掇在袭丢赛魏竣 传送的最大跳数，丽不怒移数。 2 1 4i p v 6 扩展报头 r t ：, v 4 撮头的可选部分作为选项放在i p v 4 报头的“基本”部分中，而其有效熊 裁( 例! t n t c p 数据报) 紧跟在i p 报头之后，所以i p v 4 中的协议类剿域总指明一个 高层协议( 戏在利用隧道时，可能为i p v 4 本身) 。 两在疆v 6 中，可选璞蹩放在“扩袋壤头”中懿，凌蛰v 5 懿掇头嚣寿效受载之 间可以插入任意数目的扩展报头。这煞扩展报头构成了一个由狰v 6 报头基础韶分 开始并指向实际的高层协议报头的菊花链，每个报头都用一个报头类型来标识， 并携带链中下一个报头的类型。目前定义的扩展报头有： 逐雾l 遗磺壤头( h o p ，b y - h o po p t i o n sh e a d e r ) ；及名字霹良露窭，麸添裂 最终目的地之间的每一台路由器都要对这个报头中的选项避行检查。 目的节点选项报头( d e s t i n a t i o no p t i o n sh e a d e r ) ：这种报头中包括的选顶 只由最终的强的节点鄹选路报头( r o m i n g h e a d e r ) 中列出的中间目的节点 遘行捡黉。 - 路由选撵报头( r o u t i n gh e a d e r ) ：其作用与i p v 4 中的“源路由选项”相 同。该报头携带数据报需要经过的中转地址表，地址表给出条严格的或 者松教的源路由。 一 分段报头( f r a g m e n th e a d e r ) ：潞源节点要发送鲍数据报眈潞径m t u 大 时，就采用这个选项。路径m t u 就是从源到激终目的之间的路径能允许 的最大传送单元。 认谖援头( 零a u t h e n t i c a t i o n h e a d e r ) ：宅提供了议程移重发敬爱保护、完 整懂检测和不可抵赖猎薤。 - 封装安全载荷报头( e n c a p s u l a t i n gs e c u r i t yp a y l o a dh e a d e r ) 它为整个靓 的载荷提供了机密性和认证。 2 2 移动i p v 6 介绍眺舶3 1 在移动i p v 5 中，每一个移动节点总是可以用本地地址h o m e a d d r e s s 来标示 鑫己，不磐窀瑗在在t n t e m e t 静赞么穗方。当移动繁点离开了零滚溺终，接入努 部网络时，又可阻获得一个转交地址c a r e o f a d d r e s s ，这个地址就反映了移动节 崎狲黻第二章移动i p v 6 点现在的位置信息。到达移动节点本地地址的i p v 6 数据报会被透明地路由至它 现在的转交地址。在移动i p v 6 中，所有节点将会缓存移动节点的本地地址和转 交地址的绑定关系。为了支持这种操作，移动i p v 6 定义了四个新的i p v 6 目的选 项，其中有一个所有的节点都必须支持，不管是移动的还是静止的。 2 2 1 移动i p v 6 解决的问题 大家都知道，数据报的选路是基于目的i p 地址的网络前缀进行的。因此，如 果i p v 6 没有对移动性的支持，那么当一个节点( 主机或者路由器) 从一条链路切 换到另一条链路上时，它的口地址的网络前缀部分就不再与新链路的网络前缀相 等了。这样，网络前缀路由技术就没有办法将数据报发送到节点的新位置上。为 了能在移动发生后继续通信，移动节点就要在每次移动到新的链路时改变自己的 _ f p 地址，但是传输层和更高层的连接也就不能继续维持了。 移动i p v 6 允许移动节点从一个链路移动到另一个链路，而不用改变它的l p 地址。移动节点具有一个静态的永久地址，叫做本地地址h o m ea d d r e s s ，这个 地址就是移动节点没有移动时在其本地网络上获得的。不论移动节点现在的位置 是在哪里，其他节点都可以继续用h o m ea d d r e s s 和它通信，这样传输层和更高 层的连接不会被打断。因此，移动节点的移动对传输层以及更高层来说是透明的。 现有因特网的连接范围和对象有了极大的扩展，特别是移动性主机所占比例 的逐步增加，在即将到来的i p v 6 时代，移动的计算机将是i n t e r n e t 的主要构成部分， 或者说至少会占据相当的数量。因此，i p v 6 对移动性的支持是十分重要的。i p v 6 对移动性提供了内在的支持，提供了一种在全球因特网上实现移动功能的方案， 具有良好的可扩展性、可靠性和安全性，并使节点在切换链路时仍可保持正在进 行的通信。 移动i p v 6 协议不仅适合同种介质上的移动性，同样适合于异种介质上的移动 性。例如，移动i p v 6 使得节点从一个以太网段移动到另一个以太网段变得很容易， 而从以太网段移动到无线局域网也是可以的，在任何一种情况的移动发生时，移 动节点的i p 地址都可以不改变，继续维持更高层的连接和通信。 2 2 2 移动i p v 6 的功能实体 在移动i p v 6 协议中定义了三种功能实体： _ 移动节点( m o b i l e n o d e ) ，可简称为m ：n 。可以将接入因特网的位置从一 条链路切换到另一条链路上，但是通过它的本地地址( h o m ea d d r e s s ) 仍 然可以保持所有正在进行的通信的那些节点。 _ 本地代理( h o m ea g e n t ) ，。可简称为h a 。有一个端口与移动节点本地链 路相连的路由器。当移动节点切换链路时，它会在本地代理处注册它现在 的转交地址，而且本地代理会拦截发送到移动节点本地地址h o m ea d d r e s s 的数据报，并将这些包通过隧道技术传送到移动节点注册的转交地址上。 - 通信对端( c o r r e s p o n d e n t n o d e ) ，可以简称为c n 。指的是和移动节点进 北京邮电犬学硕士论文 第二章移动i p v 6 行通信的对等节点，它可以是静止的也可以足移动的。 下图就说明了这些实体以及它们之问的关系。 图2 - 3 移动i p v 6 实体及相互关系 在叙述移动i p v 6 的工作原理前，还要说明一些移动i p v 6 中经常用到的术语。 一本地地址h o m ea d d r e s s ：移动节点的本地地址是指在本地链路上分配到的 地址。 一本地子网前缀h o m es u b n e tp r e f i x ：和移动节点的本地地址相对应的i p 子 网前缀。 _ 本地链路h o m el i n k ：移动节点的本地子网前缀定义的链路，标准的口路 由机制会将目的地为移动节点的本地地址的数据报发送到它的本地链路 上。有时形象地把本地链路称为移动节点的家。 _ 移动m o v e m e n t ：移动节点i n t e r n e t 接入点的改变，也就是说它不再连接在 以前的链路上。如果移动节点现在没有连在它的本地链路上，那么就称之 为“离开家”。 - 外地子网前缀f o r e i g n s u b n e tp r e f i x ：不同于移动节点本地子网前缀的任何 子网前缀。 一外地链路f o r e i g nl i n k ：不同于移动节点本地链路的任何链路。 _ 转交地址c a r e o fa d d r e s s ：转交地址是指移动节点连接在外地链n 上n 。的 相关i p 地址，这个地址的子网前缀是外地子网前缀。在移动节点同时拥有 的多个转交地址中( 不同的子网前缀) ，在本地代理处注册的那个地址被 称为“主”转交地址。 _ 绑定b i n d i n g ：一个移动节点的本地地址和一个转交地址的关联关系，是有 相应的生存期的。 2 2 3 移动i p v 6 和移动i p v 4 的比较 移动i p v 6 的设计结合了移动i p v 4 发展中获得的经验，因而它还是具有移动 i p v 4 的很多特征。但是因为i p v 6 是重新设计的，它相对于1 p v 4 来说有了很多不 同的地方，所以移动i p v 6 和移动i p v 4 相比较也有许多不同之处： 国文 第二章移动i p v 6 _ 路由优化是移动i p v 6 协议中一个基本的组成部分，是通过使用路由报头 ( r o u t i n gh e a d e r ) 来实现的，而在移动i p v 4 中路由选项不是所有路由器 都支持，且处理速度较慢； - 移动节点使用转交地址作为源地址，使得数据报可以通过“入口过滤”的 路由器，所有的i p v 6 节点必须能够正确处理本地地址目的选项； _ 使用转交地址简化了移动节点发送多播包( m u l t i c a s t ) 的路由问题； _ 不再需要移动i p v 4 中的外部代理( f o r e i g na g e n t ) ： _ 移动i p v 6 实现了i p s e c 来保证绑定更新( b i n d i n gu p d a t e ) 的安全性； _ 移动i p v 6 中的移动检测机制更完善，能够防止移动i p v 4 移动检测中“黑 洞”的存在； 一 在移动i p v 6 中，大部分发送到移动节点转交地址的数据报都使用了路由报 头，而移动i p v 4 中总是使用隧道t u n n e l 技术； - 使用邻居发现协议比a r p 协议更加健壮； _ 移动i p v 6 中不再需要管理“t u n n e ls o f ts t a t e ”： 一移动i p v 6 使用a n y c a s t 地址实现了动态的本地代理h o m ea g e n t 发现机制； 一移动i p v 6 中在路由器通告( r o u t e ra d v e r t i s e m e n t ) 中定义了一个通告间隔 ( a d v e r t i s e m e n ti n t e r v a l ) 选项； 一所有的移动i p v 6 的控制信息包都可以承载在目的选项中，而不用单独发送 一个数据报。 2 2 4 新的i p v 6 目的选项 移动i p v 6 的正常工作需要交换一些额外的信息，这些交换的消息被定义为 i p v 6 的目的选项。移动i p v 6 中设计了四种新的i p v 6 目的选项： 1 绑定更新目的选项( b i n d i n gu p d a t e ) ： 可简写为b u 。移动节点使用这个目的选项来向本地代理和通信对端通知它 现在的绑定，即移动节点现在的转交地址。在本地代理处进行主转交地址注册的 绑定更新又称为“本地注册( h o m er e g i s t r a t i o n ) ”。包含绑定更新选项的数据报 必须要有i p s e c 保护，以防范恶意的绑定更新。 2 绑定确认目的选项( b i n d i n ga c k n o w l e d g e ) ： 可简写为b a 。如果绑定更薪选项b u 需要个确认应答的话，就用绑定确 认选项来确认收到了一个绑定更新。包含绑定确认选项的数据报也必须要有 i p s e c 保护。以防范恶意的绑定确认。 3 绑定请求目的选项( b i n d i n gr e q u e s t ) 可简写为b r 。请求移动节点向发出请求的节点发送一个包含最新绑定的绑 北京邮电大学硕士论文第二章移动i p v 6 定更新，这个选项通常由通信对端使用，用于刷新快要过期的绑定。 4 本地地址目的选项( h o m ea d d r e s s ) ： 可简写为h a 。当移动节点离开家后发送数据时，通常会将数据报中的源地 址设嚣为现在的转交地址，然后包含一个“本地地址”目的选项，给出移动节点 的本地地址。 定义这个目的选项的原因在于：许多路由器使用了类似于“入口过滤( i n g r e s s f i l t e r i n g ) ”的安全策略，不允许转发源地址在拓扑上不正确的数据报。通过使用 转交地址作为源地址，数据报就能够正常地通过这些路由器。另外，通信对端收 到移动节点发送过来的包时，会用这个选项中的本地地址替代源地址中的转交地 址，使得转交地址的使用在移动i p v 6 之上( 例如传输层) 是透明的。在数据报 中包含本地地址目的选项只会影响对端节点对这个包的接收，而不会产生或者改 变对端节点的任何状态。 2 2 5 移动i p v 6 的工作机制 _ 移动节点在家 前面已经提到，移动节点总是可以用本地地址h o m ea d d r e s s 来寻址，不管 它是在家里还是已经移动到了外部网络上。当移动节点在家时，到达本地地址的 数据报的选路就利用传统的i n t e r n e t 路由机制，和移动节点是否曾经移动过无关， 因为移动节点本地地址的子网前缀和它本地链路的子网前缀是相同的。 图2 4 移动节点m n 在家没有移动 一移动节点离开家 当移动节点离开它的本地网络，移动到另外一个网络，它就会获得一个或多 个动态的地址，这就是转交地址c o a ( c a r e o f a d d r e s s ) 。转交地址可以通过接 收到路由器通告获得( 无状态的地址自动配置) ，或者通过一个d h c p 服务器获 得( 有状态的地址自动配置) 。转交地址的子网前缀和它现在所在的外地链路的 子网前缀是相同的，因此目的地址为这个转交地址的数据报就会到达移动节点现 在的位置。、 _ 移动检测 移动节点可以使用多种机制联合来检测它是否移动了。移动i p v 6 定义的主 要的移动检测机制是使用i p v 6 的邻居发现，包括路由器发现和邻居不可达检测。 移动节点使用路由器发现来发现新的路由器和子网前缀，移动节点可以发送路由 器请求消息，或者等待非请求的( 定时的) 多播路由器通告消息。通过接收到的 北京邮电大学硕士论丈 第二章移动i p v 6 路由器通告消息( 请求的或者非请求的) ，移动节点会维护一个缺省路由器列表 和相应的前缀列表。当移动节点离开家时，它会从它的缺省路由器列表中选择一 个作为它的缺省路由器，以及选择相应的予网前缀作为它的主转交地址的前缀。 移动节点能够快速地检测到路由器的不可达，因而能够换一个新的缺省路由器。 当移动节点现在的缺省路由器不可达，它又换了一个新的缺省路由器时，就 说明移动节点已经从一个链路移动到了另一个链路。 因为路由器总是会定时发送非请求的路由器通告消息，所以移动节点就可以 检查它的缺省路由器是否可达。如果移动节点收到的路由器通告消息中包含个 通告间隔选项，那么移动节点就可以知道它应该收到路由器通告消息的频率。如 果指定的间隔到了，但是没有收到相应的路由器通告消息的话，就说明一个路由 器通告包丢失了。如果丢失的包的数量移动节点不能再忍受的话，那它就会把一 个现在能收到正常路由器通告消息的路由器作为它的缺省路由器。 如果移动节点在一定时间内没有收到路由器的包，那么会尝试通过邻居请求 消息来探测路由器。如果它收到了路由器应答的请求的邻居通告消息，那就说明 这个路由器仍然是可达的。在大多数情况下，移动节点通过接收到路由器的包来 决定路由器的可达性。 一注册转交地址 当移动节点离开家连接到外部网络时，它会委派其本地网络的一个路由器作 为它的代理，这个路由器就是所谓的本地代理h o m ea g e n t 。移动节点会在本地 代理处进行转交地址的注册。进行绑定注册时，移动节点会向本地代理发送包含 了绑定更新目的选项( b i n d i n gu p d a t e ) 的数据报，而本地代理在正确接收并处 理了这个绑定更新后，会根据需要向移动节点应答一个带有绑定确认目的选项 ( b i n d i n g a c k n o w l e d g e ) 的数据报。一个移动节点可以同时有多个转交地址，但 是它只在本地代理处注册所谓的“主转交地址”。 档拍廿觯嘏埘蕊1 舛止“ 攀一、，、 新慌姆， l 卜一“、一一 以ll 旷煳 萄= 1 一 、， ， 图2 5 移动节点m n 移动到了外部网络，向代理h a 发送绑定更新 进行转交地址的注册 - 三边路由 一懈文 第二章移动i p v 6 在注册了转交地址之后，本地代理会使用“代理邻居发现( p r o x yn e i g h b o r d i s c o v e r y ) ”拦截所有到达移动节点本地地址的包，然后封装它，通过一个隧道 t u n n e l ，转发给移动节点现在的主转交地址。所谓代理邻居发现，就是本地代理 代表移动节点在它的本地链路上广播“邻居通告”，这个通告包含了和移动节点 的本地地址相对应的本地代理的链路层地址。本地代理还代表移动节点应答邻居 请求。 当移动节点从一个转交地址移动到一个新的转交地址时，到达以前那个转交 地址的数据报也可以通过隧道到达现在的转交地址。绑定更新的目的正是为了建 立这种类型的隧道，不管隧道的源端是移动节点的本地地址还是以前的转交地 址。这种数据报从通信对端到本地代理，再从本地代理到达移动节点的路由方式， 通常被称为“三边路由( t r i a n g l er o u t i n g ) ”。 f 簪甜l 靠点貅 划娟铀盎“ 图2 - 6h a 拦截所有到达移动节点h o m ea d d r e s s 的包并通过t u n n e l 转发， 形成“三边路由” _ 路由优化 当移动节点收到从本地代理处t u n n e l 过来的包时它会知道有一个对端的通 信节点不知道它现在的转交地址，这时，移动节点会向这个对端节点发送一个绑 定更新，告诉对方它现在的转交地址，这样它们以后就可以直接通信了，而不需 要再通过本地代理。这种操作又被称为“路由优化( r o u t i n go p t i m i z a t i o n ) ”。 1 7 国炼双第二章移动i p v 6 小趔川：帮m 档稿：咎点l# ”羚q i 搿 图2 7 移动节点向c n 发送绑定更新，以进行“路由优化” 移动i p v 6 环境中的通信对端和本地代理都维护一个称为“绑定缓存( b i n d i n g c a c h e ) ”的数据结构。当一个节点要和一个目的节点进行通信时，它会先查找自 己的绑定缓存，如果找到了和这个目的地址相对应的绑定的话，它就会使用一个 “路由报头( r o u t i n g h e a d e r ) ”来发送数据；如果没有相应的绑定，则数据报正 常发送。如果这个目的地址是一个已经离开家的移动节点的本地地址，则就会被 该移动节点的本地代理拦截。 移_ = 蹲尊正i 貅 图2 8 移动节点m n 和对端节点c n 又可以进行端到端的通信 一路由报头 路由报头中指定的路由包含两跳，第一跳是移动节点的转交地址，第二跳是 它的本地地址，这样数据报就会直接发送到移动节点的转交地址，移动节点收到 之后会把它转发到路由报头中下一跳指定的地址。而下一跳，也就是最后一跳实 际上就是移动节点的本地地址，因此数据报的“转发”就在移动节点内部进行， 数据报最终的处理和移动节点在家一样。 _ 动态本地代理地址发现 、j ，、 、 ， 旷 一 。 否则发送用户认证倍息给a t t e n d a n t 模块。 ( 4 )a t t e n d a n t 模块接收到d h c p v 6s e v e r 模块发送来的认证信息厩，把 认迁僖患抒包或a a a 系统能够毽鳃妁数据擐发送给a a a i ，。 ( 5 )a a a i ，收到认证请求聪，如果本蛾可以进行处溅，剐进行鲶璎，生 成应答厢跳到( 7 ) 。如果本地不能够处理，则转发该请求给a a a h 。 ( 6 )a a a 收到认证请求。进行处理厩返回应答绘a a a i ，。 ( 7 )a a a l ，| | 芟虱应答螽，捂该应答转发徐a t t e n d a n t 。 ( 8 )a t t e n d a n t 收到应答厝，对应答进行处理后，生成一条d h c p v 6s e r v e r 能够理解的应答发送蝓d h c p v 6s e r v e r 。 北京邮电大学硕士论文第三章移动i p v 6 的访问控制体系枯构 ( 9 ) d h c p v 6 s e r v e r 麸a t t e n d a n t 羧弱应警螽，翔莱逯过了谈 委，簸会努 配缭移魂节点合法戆i p v 6 遣麓露访运令薄，熬嚣发送给d h c p v 6 r e l a y ，茂i 寸i 丕会魏到( 1 1 ) 。如采没有通过谈话，裁会发送一条包 含错误信息的消息绘d h c p v 6r e l a y 。 ( 1 0 ) d h c p v 6 r e l a y 接收到成答消息后，不进行任何处理就于巴该消息转 发给d h c p v 6c l i e n t 模块。 ( 1 1 ) d h c p v 6 s e r v e r 为移动节点分配了合法的i p v 6 地址后，就会向 p a c k e tf i l t e r 模块发送条更新访问控制列表的请求来更新访问控 制列表。 初始会话的协议描述如图3 - 1 l 所示， ：婴曼k ，一 i ： !i 一! 。熙j 删一 i ii il h ： f 砒l 腆： o 苎婴l ；! 图3 1 l 初始会话的协议描述图 d s = d h p v 6s o l i c i t d a = d 王e p v