（计算机软件与理论专业论文）移动ip中的aaa结构分析.pdf

学科专业：计算机软件与理论 论文题目：移动i p 的a a a 结构分析 硕士牛：曾一 摘要 导师：孙世新教授 客户通过与家乡协商获取接入点来得到 n t e r n e t 服务，通常服务由1 印提供，随 着移动设备的广泛使用，一种从他们当前位型所在的区域删络获戢服务的要求州h i 的产牛了。这种方式下，客户需要入口以便从本地之外的网络获取服务。从外地网 络获取服务要求授权( a u t h o r i z a t i o n ) ，这就需要认证( a u t h e n t i c a t i o n ) ，以及计 费( a c c o u n t i n g ) 工作。 移动i p 将增加无线数据应用的普及。为了扩展移动i p 以便狂蜂窝电晒珥境- 安全使用，需要在外地区域和家乡区域增加一些额外的设备来确认移动节点的身份 以及授权移动节点的在外地区域的访问权限和进行计费工作。而移动i p 的a a a j 展为提供多种服务的区域之间的通信提供了一种通用的可行的方式。 本文分析了移动i p 中的一些薄弱的环节以及可能遭遇的攻击方式，对移动l p 提 出了相应的安全要求，然后在分析这些安全要求和相应密码学技术的基础_ _ 提出了 一种可以提供多服务的移动i p 安全模型。分析了该模型的各个组件的关系和建立相 关安全关联的具体工作机制，并将其与移动i p 中的注册认证工作结合得到了一个完 整的a a a 框架的移动i p 工作模型。 关键字移动i p ，网络安全，a a a ( a u t h o r i z a t i o n 、a u t h e n t i c a t i o n 、a c c o u n t j n g ) 多服务器结构 s p e c j a i t y ：c o m p u t e rs o f t w a r e a n d t h e o r y l - t i l e ：t h er e s e a r c ho fm o b i l et pa a a a r c h i t e c t u r e m ，s s t u d e n t ：z e n gy i a d v i s o r ：p r o f i s h i x i ns u n a b s t r a c t c l i e n t so b t a i ni n t e r n e ts e r v i c e sb yn e g o t i a t i n gap o i n to fa t t a c h m e n tt oa ”h o m e d o m a i n “。g e n e r a l l yf r o m a ni s p 。o ro t h e ro r g a n i z a t i o nf r o mw h i c hs e r v i c er e q u e s t sa r e m a d e ，a n df u i f i | i e d 。w i t ht h ei n c r e a s i n gp o p u l a r i t yo f m o b j l ed e v i c e s ，an e e dh a sb e e n g e n e r a t e dt oa j l o wu s e r st oa t t a c ht oa n yd o m a i nc o n v e n i e n tt ot h e i rc u r r e n tj o c a t i o n 。l n t h i sw a y ac l i e n tn e e d sa c c e s st or e s o u r c e sb e i n gp r o v i d e db ya na d m j n i s t r a t i v ed o m a i n d i f r e r e n tt h a nt h e i rh o m ed o m a i n ( c a l l e da ”f o r e i g nd o m a i n ”、。t h en e e df o rs e r v i c ef r o ma f o r e i g nd o m a i nr e q u i r e s i n m a n ym o d e l s ， a u t h o r i z a t i o n ，w h i c hl e a d sd i r e c t l yt o a u t h e n t i c a t i o n ，a n do f c o u r s ea c c o u n t i n g ( w h e n c e ，”a a a ”) 。 m o b i l ei pw i l li n c r e a s et h ed e p l o y m e n to fw i r e l e s sd a t aa p p l i c a t i o n s 。t oe x t e n d m o b i l ei pf o ru s eb yc e l l u l a rt e l e p h o n ea r e a ，s o m ea d d i t i o n a im e c h a n i s m sa r en e e d e db y w h i c ht h ea g e n ta tt h ep o i n to f c o n n e c t i o no nt h ef o r e i g nd o m a i n ( t h ef o r e i g na g e n t ) c a n v e r i f yt h ei d e n t i f yo ft h em o b i l en o d e ，a n da l s oa u t h o r i z ec o n n e c t i v i t yb a s e do nl o c a l p o l i c yo ra b i l i t yt op a y 。t h ee x t e n s i o n st om o b i l ei pw i l lc r e a t eam o r ea c c e p t a b l ep a t h m w a r du b i q u i t o u sa v a i l a b i l i t yo fw i r e l e s ss e r v i c ea c r o s st h ed o m a i nb o u n d a r i e so ft h e o p e r a t o r sf o rm a n y d i f f e r e n tw i r e l e s sa c c e s ss e r v i c e s 。 a f t e rs t u d y i n gt h eb a s i ct e c h n o l o g yo fm o b i l ei pa n dk i n d so fn e t w o r ks e c u r i t y t e c h n o l o g y ，p o t e n t i a la t t a c k i n gm e t h o d s a r e a n a l y z e da n dt h es e c u r i t yr e q u e s t s t h e yb r i n g t om o b i l ei pa r ed i s c u s s e d 。t h i sp a p e rp r o p o s eam o b i l ei ps e c u r i t yf r a m e w o r kw h i c h c a np r o v i d ed i f f e r e n t i a t e ds e r v i c e sb a s e do na a a 。 、 k e yw o r d s ：m o b i l ei p ，n e t w o r k s e c u r i t y ，a a a ，d i f f s e r v i j 独创性声明 本人声明所呈交的学位论文是本人在导师指导f 进行的研究_ l 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使川过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：日期：移l | l 年l 月y 7 曰 j 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：l 导师签名：越签名：咎二导师签名：4 ，丝型 日期： do 年五月四日 里：兰! 堕 _ _ _ 一。 第一章引言 1 1 移动i p 研究的背景 目前世界传统电话业务每年的增长率为8 ，而数据通信通信业务增长牢却超过 了1 0 0 ，尤其是i n t e r n e t ，进入2 0 世纪9 0 年代中期以来业务量一直以3 0 0 的增长率 在爆炸性增长。”数据为王”已成为众多电信运营商和设备供应商的共识，纷纷j 勺 其投资的重点转移到数据通信网络利设备一h 。因此，i p 技术将最终战胜其他各种网 络技术而成为网络竞争的大赢家。与此同时，能与i n t e r n e t 的发展相提并论的只有 移动通信。移动通信技术的发展首先改变了人们语言通信的方式利观念，使语音的 移动通信变得司空见惯，人类进入个人通信的初级阶段。而目前的i n t e r n e t 咖议是 i p v 4 ，在该协议中每个主机的i p 地址可唯一识别连接到i n t e r n e t 的位置而同时能够 保持正常的通信，容易想到的做法一是只要丰机改变到i n t e r n e t 的接入点，就改变 了i p 地址：二是丰机指定的路由必须在大量的i n t e r n e t 路由表中进行广播。 移动i p 是一种在全球因特网上提供移动功能的方案，它具有可扩展性，可靠性 和安全性，并使节点在切换链路时仍然可以保持正在进行的通信。值得注意的是， 移动l p 提供了一种i p 路由机制，使移动节点可以以一个永久的i p i 址连接到仟何链 路上。但另外一个方面，移动i p 通信既经过了无限链路，又通过了有线链路，增加 了受外来攻击的概率。因此人们在享受丰富的信息资源和便捷服务的同时，也面f 1 高 更大的网络信息安全方面的威胁 移动i p 技术发展二部曲 1 i p 业务与移动通信结合的第一步：在电路交换的移动通信网络中弓l 入】p 电话 业务。i p 电话是一种新的电话业务，是在i p 网络承载语音技术创新的产物。 它把语音进行压缩编码，打包分组，路由分配，存储交换，解包解压缩等变 换处理，在i p 网络上实现语音通信。因为它的分组特性有效的利用了网络资 源，降低了语音传输的成本，所以与传统电话相比有成本价格上的优势。在 固定网中i p 电话业务正在崛起。基于成本上的考虑，在移动网络中0 【入l p 电话业务也是颇有发展前景的新业务。在我国，g s m 移动网络中引入i i ) 电话 是用户关注的新业务，也是运营商需要解决的技术问题。 2 ，在o s m 网络中引k i p 分组数据业务：g p r s 是移动通信网络向分组化发展的一 个里程碑。g p r s 是一个从空中接口到地面接入网再到核心网络部分都分组化 的数据通信网络。0 p r s 的分组化实质，使得空中接口频谱利用枣与地面接入 网带宽利用效率都得到极大的提高。同时诞牛了”按流量计费”这种更加合 理的资费政策，使得运营商可以宣称：让用户2 4 , j , 时在线，只有点击才讨费。 g p r s 扫除了阻碍无线互联网应用得到普及在技术和成本两方面的障碍，必将 加快移动瓦联网应用的普及和推广。g p r s 的骨干网将借助于 p 网络和可联网 络能够无缝瓦通互连。对用户来说，移动终端使得原先需要庞大昂贵的p 才能使用的互联网以一种更为简单便捷、亲切易用和廉价实用的方式出现， 也更加易于为广大普通百姓所接受。移动性将大大促进可联网应用的普及。 可以大胆的预言，耳联网和移动通信的结合，会使得以前曲高和寡的数据业 务以廉价实用的方式进入寻常百姓家。 3 第二代移动通信网络的发展方向是个全jp 的分组网络。第。代移动通信的 发展是在固定网络向宽带电信极i p 网络发展的大前景下进行的。第二代移动 通信的核心网络将采用宽带i p 网络。在此i p 网上。承载着从实时语音、视频 到w e b 浏览、电予商务等多种业务，是电信极的多业务统一网络。宽带的i p 网络将是分层的：物理承载可以是i po v e rd w d m 、i po v e rs d h 、i po v e ra t m 等多种方式，i p 协议是主导的网络路由与寻址协议，网络控制由c a 1 , e e lv ” 服务器实现，而网上的业务则由众多的第三方智能业务提供商提供。实现了 传输网络、网络控制、业务提供的分离。相对与传统网络，网络安全性、业 务质量保证、新业务提供的便利性、业务种类的丰富性以及开放系统带来的 广阔商业机会都是无可比拟的。 第三代移动网络发展的初期将继承现有网络的基础设施，如移动交换机 ( m s c v l r ) ，归属位置登记( h l r ) 数据库等：在业务发展初期，电路型业务如话音，电 路型多媒体业务将仍然m m s c 网络承载，而分组数据业务将由g s n 分组交换机承载， 形成电路和分组两套网络并存的局面。但随着分组业务量的急剧增长和i p 技术的完 全成熟，所有的业务将会统一到i p 网络。形成一个真正的综合业务网络。 全球因特网的可扩展性依赖于网络前缀路由，而不是特定丰机路由，这要求接 在同一链路上的节点】p 地址具有相同的网络前缀部分。当节点从一条链路切换到另 一条链路上时，它的i p 地址的网络前缀部分就不再与新链路的网络前缀相等了。这 样，网络前缀路由技术就没有办法将数据包发送到节点的新位置上。 移动i p 是一种在全球因特网上提供移动功能的方案，它具有可扩展性、可靠性 和安全性，并使节点在切换链路时仍可保持正在进行的通信。值得特别注意的是， 移动i p 提供了一种i p 路由机制，使移动节点可以以一个永久的i p 地址连接到任何链 路上。 第2 贝其8 5 贞 j ! ! ! j i ! i 一 一 1 2 本研究课题的意义和价值 随着移动i p 的广泛使用，各种安全问题日益暴露，丰要涉及到以下五个方而 鉴权( a u t h 。n t i c a t i o n ) ：应该知道消息的来源，拒绝伪装成合法的入经耆c 授权( a u t h o r j z a t jo n ) ：网络管理者应有权决定谁能接入到网络及接入节点所能使 用的资源。 认可( n o n r e d u d i a t i o n ) ：信息发送者不应错误的拒绝后来发送的消。5 j 、c 密钥悄- 理：实现授权、认可的唯一办法是使用加密技术，它需要消息的 发送者和接收者中加密信息的分配氟f 交换。 位置保密：信息发送者应该能够控制让那些接收者知道其当前物珲接 入点位置。 由此可见移动i p 的安全丰要集中在鉴权，授权和信息保密等方面。a a a ( 认证， 授权，计费) 是网络中对于提供安全计费的一种通用标准。现在已经有比较成熟的a a a 协议如r a d i u s 协议，以及正在研究中的d i a m e t e r i 力, 议。将a a a 模型与移动l p 协议结合 以实现移动i p 服务的安全计费是大势所趋，本文将就这个课题展开研究弗目提供了 一种实现的模型，相信对于实际工程的应用和实施有一定的指导作用。 1 ，3 本文章节安排 本文章节安排如下：第一章为引言，内容为研究的背景、意义、国内外相关研究 的情况及其发展趋势等；第二章简述了移动i p 的一些基本概念利工作原理；第二章论 述了移动l p 面临的一些安全上的威胁以及相关的应对方案：第四章详细论述了移动 i p 的a a a 模型的概念，移动i p 的a a a 模型对于建立安全关联的相关扩展需要及 其具体的实现方案，提出了一种移动l p 的多服务器的a a a 模型并对工作流程进行 了具体的描述和分析。最后的总结指出了本文的工作需进一步完善和值得改进的地 方。 塑：二兰堡些i 壹塑一 第二章移动i p 结构 2 1 移动i p 的功能实体 移动l p 定义了三种必须实现移动协议的功能实体 1 ) 移动节点可以将接入因特网的位置从一条链路切换到另一条链路卜，而仍然保 持所有正在进行的通信，并且只使用它的家乡地址( h o m e a d dr yss ) 的那此批帆 2 ) 家乡代理( h o m ea g e n t ) 有一个端口与移动节点家乡链路相连的路由器。 当移动节点切换链时，家乡代理一直通知移动节点它的当前位置，这个信息由移 动节点保存在它的转交地址( c a r eo fa d d r e s s ) 中。 有1 t t 家乡代理广播对移动节点家乡地址的网络前缀的可达性，从而吸引那些送 往移动节点的家乡地址的i p 包。 解析送往移动节点的家乡地址的包，并将这些包通过隧道技术传送到移动节点的 转交地址上。 3 ) 外地代理( f o r e i g na g e n t ) 在移动节点的外地链路上的路由器。 帮助移动节点通知它的家乡代理它的转交地址。 有时，提供移动节点的转交地址，并为已被家乡代理设置了隧道的移动节点发送 拆封后的包。 作为连接在外地链路上的移动节点的缺省路由器。 第4 页基8 5 页 墨二兰矍垫里丝丝 移动节点“问 外地链路 图2 1 移动i p 实体及相互关系 图2 1 表明了这些实体以及它们之间的关系，熟悉移动1r 办议文件l r f c2 0 0 2 j 的读者可能会发现本节所用的术语有些不同，即用了家乡p l , 地链路而4 i 是家乡，7 外 地网络。在这里，链路一词比网络一词描述的意义更清楚。 在叙述移动i p 的工作原理前，还要定义一些前面已遇到过的术语。这样的h 的 只是说明各种元素利地址，并不想介绍如何分j ! l 己它们，分配机制将在后面介绍。 2 1 1 隧道 如图2 2 所示，当一个数据包被封装在另一个数据包的净荷中进行传送时，所 经过的路径称为隧道。图中还给出了一个例了，表明家乡代王掣为将数据包传送给移 动节点，把数据包通过隧道先送给外地代理。用记号_ 表示隧道。 2 1 2 家乡地址、家乡链路和家乡代理 移动节点的家乡地址是指“永久”地分配给该节点的地址，就像分配给固定的 路由器或丰机的地址一样。当移动节点切换链路时，家乡地址并不改变。改变移动 节点的家乡地址的原因利场合与改变固定丰机或路由器地址的原因与场合一致，即 当整个网络需重新编址时。 移动节点的家乡地址与它的家乡代理、家乡链路密切相关，特别是移动节点家 乡地址的网络前缀决定了它的家乡链路。也就是说，移动节点的家乡链路就是与它 的家乡地址具有相同网络前缀的链路，家乡代理就是至少有一个端口与家乡链路相 连的路由器。 除了极少数特例，移动节点只用家乡地址和别的节点通信，即移动节点发出的 所有包的源i p 地址都是它的家乡地址，它接收的所有包的目的ip 地址也都是它的家 乡地址。这就要求移动节点将家乡地址写入d n s 中它的“i p 地址域，其他节点在 第5 页共8 5 页 第j 常移动i p 绪掏 查找移动节点的丰机名时就会发现它的家乡地址。 最后要注意，移动节点的家乡链路并不一定是由物理媒介构成的物理链路，它 可以是在移动节点的家乡代理中由软件实现的一条虚拟链路，可以认为家乡代弹与 这条虚拟的家乡链路有一个虚拟端口，这样移动节点就永远不会连到它的家乡链路 i p 。，f 鲰始发送曾 i p ：。球饕目日地 i p 。= 隧道 口 | i i p 扩罐遵出口u 外邸净荷 _ | i f ( ；i i p 乜 封装酌i p 包 移霉怫点岁卜地代理 家乡代瑗 航蓦( 乡n 坪娟同 d 熏荻二 膊 图2 2i p 隧道 上。 2 】3 转交地址、外地链路和外地代理 转交地址是指移动节点连接在外地链路上时的相关ip 地址 转交地址与移动节点当前所在的外地链路相关。 每次移动节点改换外地链路时，转交地址也随着改变。 外地代璃口键道 送往转交地址的数据包可以通过现有的因特网路由机制传送，即不需要用于移动i p 相关的特殊规程来将i p 包传送到转交地址上。 转交地址是连接家乡代理和移动节点的隧道的出口。 当移动节点与其他节点通信时，转交地址几乎永远不会被作为源i p 地址或目的i p 地址。 篁：二兰堡型! ! 堕型 特别是，当其他节点查找移动节点的主机名时， d n s 服务器不会返回移动节点的转 交地址。 从概念上讲，有两种转交地址 1 ) 外地代蝉转交地址( f o r e i g na g e n tc a r e o f a d d r e s s ) 足外地代殚的i p 埘j k ， 有一个端口连接移动节点所在的外地链路。外地代理转交地址可以是外地代理的仟 一个l p 地址，只要外地代理至少有一个端口与外地链路相连就可以了，因此，外地 代理转交地址的网络前缀并不一定与外地链路的网络前缀相同，多个移动节点町以 同时共用一+ 个外地代理转交地址。 2 ) 配置转交地址( c o l o c a t e dc a r e o f a d d r e s s ) 是暂时分恺给移动节点的某个 端口的i p 地址，其网络前缀必须与移动节点当前所连的外地链路的网络前缀相同。 当外地链路上没有外地代理时，移动节点可以采用这种转交地址。一个配置转交地 址同时只能被一个移动节点使用。 转交地址是一个与移动节点连接的外地链踏紧密相关的i p 地址，它与移动节点 所连接的外地链路最多只有一跳之隔。它要么是有一个端口在外地链路上的9 1 t 地代 理的ip 地址，要么就是暂时分配给移动节点的一个端口的地址。当移动节点与外地 链路相连时，家乡代理利用这个地址向移动节点传送数据包。特别地，转交地址是 从家乡代理到移动节点的隧道出口。 2 2 移动i p 的工作机制 移动i p 的工作机制 1 ) 通过周期地组播或广播个称为代理广播( a g e n ta d v e r t is e m e n t s ) 的消息 家乡代理和外地代理宣告它们与链路的连接关系。 2 ) 移动节点收到这些代理广播消息后，检查其中的内容以确定自己是连在家乡链路 还是外地链路上。当它连在家乡链路上时，移动节点就可像固定节点一样工作，即 它不再利用移动ip 的其他功能。 下面的步骤假设移动节点连接在条外地链路上。 3 ) 连在外地链路上的移动节点需要一个转交地址。它可以从外地代理广播的代理，“ 播消息中找到外地代理转交地址，配置转交地址必须通过一个配置规程得到，比如 d h c p ( d y n a m i ch o s tc o n f i g u r a t i o np r o t o c 0 1 ) 、p p p 的i p c p 或于工配置。 第7 页共8 5 页 第章 移动i p 结构 4 ) 移动节点向家乡代理注册从第3 步中得到的转交地址，可以通过移动ip 中定义的 消息交换来完成。在注册过程中，如果链路上有一个外地代殚，移动节点就向它请 求服务。为阻止拒绝服务攻击，注册消息要求进行认证。 j ) 家乡代理或者是在家乡链路上的其他一些路e h 器f - 播对移动节点家乡地址的网 络前缀的可达性，从而吸引发往移动节点家乡地址的数据包，家乡代理截取这个包 ( 可能用代理a r p ) ，并根据移动节点在第4 步中注册的转交地址，通过隧道将数据 包传送给移动节点。 6 ) 在转交地址处可能是外地代理或移动节点的一个端l j ，原始数据包被从隧道 中提取出来送给移动节点。 7 ) 相反，由移动节点发出的数据包被直接选路到目的节点上，无需隧道技术。对所 有来访的移动节点发出的包来说，外地代理完成路由器的功能。 图2 3 中注明了这些步骤，其中的移动节点连到了外地链路上，并用了外地代 理转交地址。如上面第7 步所示，移动节点产生的所有数据包被直接送到目的节点七， 这时外地代理成为移动节点的缺省路由器。 第8 页共8 5 页 第一章 移动i p 结构 1 裹多代霹相外地代理周期广播代理 广稀悄思链路上酌所相接点都幢 收这十梢思 2 3 代理搜索 2 移动节点捡聋代理广播消息并 决定它连繁聍是裳多锫路迂魁讣 地链路 图2 3 向在外地链路上的移动节点发送数据包 第9 更共8 s 页 第幸移动i p 宝i i i 构 移动节点利用代理搜索( a g e n td i s c o v e r y ) 过程完成以下功能 判定它当前连在家乡链路上还是外地链路上。 榆测它是否切换了链路。 当连在外地链路上时，得到一个转交地址。 本节下面将说明移动节点、外地代理和家乡代理如何起完成这些功能，还将 介绍当移动节点连接的链路不具备这些功能时它可以有哪些选择。 23 ，1 代理搜索包括的消息 代理搜索由两条简单的消息构成。第一条消息是代理广播消息( a g e n t a d v e r t i s e m e n t ) ，代婵( 家乡的、外地的) 利用这个消息向移动节壶窟布它们的 力 能。当个节点在一条链路上被配置成家乡代理或外地代理，或同时被酣趟成这婀 者时，它就在这条链路上广播或组播代蝉广播消息，这使得连到这条链路上的移动 节点可以判定该链路上是否有代理存在。如果有，则判定那么它们的标识( i p 地址) 和功能是什么。 第二条消息是代理请求消息( a g e n ts o l jc i t a t i o n ) ，当移动竹点没有耐心等 待下一个周期发送的代理广播消息时，它可以发送代理请求消息。这个消息的唯 目的就是让链路上的所有代理立即发送一个代理广播消息。有些时候，移动节点快 速地切换链路，而代理发送广播消息的频率相比而言就太慢了，这时代理请求消息 就非常有用了。 由于密钥管理上的困难，移动i p 不要求对这两种消息进行确认，有关移动l p 的安全和密钥臀理问题在第三部分的童节中娇蒋奔幺香 代理广播消息( a g e n ta d v e r t i s e m e n t ) 和代理请求消息( a g e n ts o l i c i t a t i o n ) 与i c m p 路由器搜索消息( r o u t e rd i s c o v e r ym e s s a g e ) r f c l 2 5 6 中定义的路 由器广播消息( r o u t e ra d v e r t i s e m e n t ) 以及昭由嚣请求消息。 ( r o u t e r s o l i c i t a t i o n ) 非常书莳以。事实上，移动i p 利用了这两个消息的格式，并 对它们进行了扩展以完成代理搜索。 消息格式 移动i p 中定义的代理请求消息与i c m p 中路由器请求消息几乎模一样只是有 个区另，即代理请求消息中的ip 包的牛存时间域必须置成1 。图2 4 给出了一个 第l o 页共8 5 页 代理请求消息。关于代理请求消息没有太多特别的要说。当家乡代理或外地代理接 收到这条消息时，它必须马上响应一条代理广播消息。为与别的i c m p 消息相区分， 代n 路由器请求消息的类型域取值为1 0 。同样，代理广播消息也是移动i pf r f c2 0 0 2 j 通过对 r f c1 2 5 6 中定义的i c m p 路由器广播消息进行扩展得到的，如图5 2 所可；c 这条消息必须包含移动代理广播扩展( m o b i l i t ya g e n ta d v e r t i s e l l l l r l te x t e n s jo r j ， 前缀长度扩展则是可选的。下一节将详细介绍代理广播消息中的各个域。 代理广播消息中的i p 报头被移动节点用来判定它是连接在家乡链路还足外地链 鼢上，方法如下： 1 ) 如果源i p 地址的网络前缀与移动节点家乡地址的网络前缀相等，特别是，如 果源i p 地址与移动节点的家乡代理的地址相等，那么移动节点就连接在家乡链路上。 如果移动节点回到了家乡链路上( 也就是说，它先前曾连在外地链路卜) ，它就耍 向家乡代理进行注销。另外，移动节点还可能需要广播一些免费a r i 。 第1 l 页共8 5 页 第二章移动i p 结构 li 腮押j 翌 l总长餐 标识标记片靖秽 生荇町州l 校齄和 翻地址峁动可点舯襄乡地址 目盯地址；2 j ，2 ，j 2 5 52 5 5 u 孺) _ 或r 2 2 4 0 02 辅 孺 弹型2 ” i o o o 剐 i棱籍和 保蜀 图2 4 代理请求消息 图2 - 5 代理广播消息 坤报共 i c 州b 略由棼请求 蓦f c l l 5 m i p f 葺盐 【r 蔸7 9 1 ) i c 、 蛸由群广孺 【曼p c l 2 s 霸 咎劫代理广孺 广展 r f c 2 0 0 】 辟辍长度扩展 g 挈c 2 0 0 2 2 ) 反之，移动节点没有连在家乡链路上，它起动“移动检测，算法，判定从上 一次收到代理广播消息到现在，它是否又移动到了条新链路上。如果是，它就需 要个新的转交地址，并重新向家乡代理注册。 ( 2 ) i c m p 路由器广播 类型域为9 的i c m p 消息为广播消息。如果广播消息的c o d e 域不为o ，那么i c m p 路 由器搜索( r o u t e rd i s c o v e r y ) 是不处理这条消息的，因此移动i p 的家乡代理可以 将c o d e 置为非o ，从而防止除移动节点外的其他节点把它们作为路由器。移动i p 中规 第1 2 页共8 5 页 第二章移动i p 结构 定，家乡代理和外地代理将c o d e 值设为1 6 。当它们将c o d e 的值设为0 时，也就允许 链路上的其他节点将它们作为路由器了。 校验年u ( c h e c k s u m ) 用来检测接收的消息有没有错瀑。牛存时间域( l i f e t i m e ) ( 与移动代理广播扩展中的注册牛存时间r e g i s t r a i o nl i f e t i m e 域无关) 表【刿代删 发送广播的频率，这个值主要用来作“移动检测”。 地址数( n u ma d d r s ) 域和地址宽度( a d d re n t r ys iz e ) 域分别表明列出的路 由器地址优先权( r o u l e ra d d r e s s p r e f e r e n c el e v e l ) 对的数日，以及每对包含 多少字节。对于ip 地址，地址宽度等于8 ( 4 字节地址加上4 字节优先权) 。如果lp 包的总长度域比根据地址数利地址宽度预计的要大，那么接收到的消息的其他部分 就被认为是扩展部分。如果其中有一个扩展部分为移动代理广播扩展( m o b i l it y a g e n ta d v e r t i s e m e n te x t e n s i o n ) ，那么接收到的这个消息就是代理广播消息； 否则，接收的消息就是i c m p 路由器广播( r o u t e ra d v e r t i s e m e n t ) 消息。地址数( n u m a d d r s ) 、地址宽度( a d d re n t r ys i z e ) 、路由器地址( r o u t e ra d d r e s s ) 利优 先权( p r e f e r e n c el e v e l ) ，所有这些域与路由技术的关系都比与代理搜索的关系 更密切。对这些域的进一步讨论将放到后面进行。 ( 3 ) 移动代理广播扩展 与所有移动i p 消息的扩展部分一样，移动代理广播扩展的类型域标识了扩展的 种类，此时类型域取值为1 6 ；长度域则给出了扩展数据部分的字节数，不包括类型 域和长度域本身。当一个代理重启时，它将序号域( s e q u e n c en u m b e r ) 复位成零， 每发送一个代理广播消息后就将序号域加一。移动节点可以从序号域看出它的外地 代理是否重起了。如果是，移动节点就假设外部节点重起后不再知道它的存在，因 此需重新向这个外地代理注册。 注册牛存时间域( r e g i s t r a t i o nl i f e t i m e ) ( 不要与消，g a g l c m p 揪f - n 部分的牛存时间域相混) 以及r 、m 、g 、v 比特与注珊和选路有关。这部分将放到后 面介绍。 f 和h 比特表示发出广播的是外地代理、家乡代理还是两者都是。由外地代理发 出的广播f 比特置为l ，同样，由家乡代理发出的广播h 比特也置为1 。如果一个代理 对一些移动节点来说是家乡代理，而对另一些移动节点来说是外地代理，那么它在 自己的广播中将f 比特和h 比特都置成l 外地代理通过将b 比特置成1 来表示它不能 接收更多的注册了，移动节点需注册到另外的外地代理上。 最后，移动节点可以从代理广播消息的转交地址域( c a r eo fa d d r e s s ) 得到 它的转交地址a 如果消息中列出了多个转交地址，那么移动节点可以选其中任何一 第1 3 页共8 5 页 第一章移动i p 结构 个。如果移动节点从某个外地代理发来的代理广播消息中选择了转交地址，那么陔 节点就应注册到这个外地代理上。 ( 4 ) 前缀长度扩展 类型域和长度域分别表明了前缀长度扩展部分的种类平u 大小，放在数据部分的 前缀长度被移动节点用来作“移动检测”。 232 移动节点如何判定自己的移动 移动节点可以通过两种方法来确定自己从一条链路移到了另条链路上。本节 中我们假设，在移动节点所连接的链路上至少有一个代殚，在后嘶我们还将讨论在 链路上没有代理、移动节点也就不可能从链路上收到广播时怎么办。 23 2 1 用生存时间域作移动检测 第一种方法利用代理广播消息中i c m p 路由器广播部分的生存时间域，这个域告 诉移动节点，每过多长时间它就可以从同一个代理那里收到一个广播。由于广播消 息有可能丢失，特别是在较容易出错的无线链路上，因此，家乡代理利外地代殚常 更频繁地发送广播，根据 r f c2 0 0 2 中建议，大约比牛存时间域中标示的要快二倍。 如果一个移动节点注册到一个外地代理上了，但在生存时间域规定的时间内却 没有收到来自那个代理的广播，那么移动节点就可以认为它已移动到另一链路上了， 或那个代理已经坏了。无论怎样，移动节点都要向下一个发来代理广播消息的外地 代理注册，如果没有收到任何广播，它就发出一个代理请求消息去询问。 2 3 2 2 用网络前缀作移动检测 移动检测的第二种方法利用了网络前缀。假设移动节点向某条链路上的一条外 地代理注册了，并且它还记录了发现那个外地代理所用的代理广播消息。现在，我 们假设移动节点又收到了来自另一个外地代理的代理广播消息，即来自另一个源l p 地址的广播消息。 由于在同一条链路上可能有多个外地代理，移动节点必须判定它收到的两个广 播消息是否来自同一条链路。如果是，它就不必再向新的外地代理注册了；如果不 是，即广播消息来自另一条链路，移动节点就肯定改变了位置，因此需要向在新链 路上的外地代理进行注册。 第1 4 页共8 5 页 第二章移动i p 结构 移动节点通过比较两个广播消息的网络前缀就可以判定它们是否来自同一条链 路，只有在两条代理广播消息都有前缀长度扩展时才可能进行这种比较。下面，我 们将说明如何从接收的代理广播消息中确定网络前缀，不想看数学算式的读者可以 跳过这段。 一个有效的前缀长度扩展必须包含代理广播消息中 c m p 路由器广播部分列出 的每台路由器地址项的前缀长度。假设有n 个这样的路由器地址项，那么对每一个整 数i 网络前缀( i ) 由路由器地址( i ) 的左边前缀长度( i ) 个比特决定。也就足 说，网络前缀( 1 ) 等于路由器地址( 1 ) 的芹边前缀长度( 1 ) 个比特刚络前缀( ! ) 等于路由器地址( 2 ) 的左边前缀长度( 2 ) 个比特，等等。分配给链路的网络前缀 就是这些计算出来的网络前缀( i ) 。 利用上面介绍的方法，移动节点可以从两个广播消息中计算出网络前缀并加以 比较。如果不同，它就可以认为两个广播消息是从不同的链路上接收到的，否则就 是从同一链路上接收到的。当移动节点将新收到的广播消息与它当前正注册的外地 代理比较后，如果发现它己移动到新链路上了，就应向在新链路上的外地代理进行 注册。否则，如果接收的广播消息只是来自同一条链路的另一个外地代理，移动节 点就认为它并没有移动，这时，它就不必向新代理注册，除非它在规定的时r 司内没 有收到当前注册的外地代理的广播消息，这个规定时间是指这个代理先前的广播消 息中的牛存时间( l i f e t i m e ) 。这意味着，移动节点仍然采用第一个移动检测方法 一用牛存时间一来看当前的外地代理是否还可用，如果不可用，移动节点就注册到 一个新的外地代理上。 2 3 3 总结 本节讨论了代理搜索，即移动节点判断它是连在家乡链路还是外地链路上以及 找到所在链路上的代理的过程。移动节点接收由家乡代理和外地代理周期发送的代 理广播消息，它也可以通过发送代理请求得到广播消息。由于密钥箭；理上的冈难， 这两个消息无需认证。 代理搜索还提供了两种机制，使移动节点可以判定自从上一次注册后它是否又 移动了地方。第一种方法是用生存时间域，移动节点可以在任何情况下采用这种方 法。第二种方法利用网络前缀，这要求代理在它们的代理广播消息中加入前缀长度 扩展部分。 代理搜索还提供了一种方法使得在外地链路上的移动节点可以得到一个转交地 址t 移动节点只需从链路上的外地代珲发送的代理广播消息中读出转交地址就可以 了。如果移动节点连接的链路上没有发送广播消息，它可以利用传输层和数据链路 第= 章移动i p 结构 层来判定它的当前位置，从而通过d h c p 或乎工配置得到一个转交地址。 2 ，4 注册 这一节讲述移动ip 的注册过程。当移动节点发现它的网络接入点从一条链路切 换到另一条链路上时，它就要进行注册。另外，由于这些注册也有定的牛存时间， 所以在并没有移动位置时，移动节点也要在现有注册过期时进行注册。移动1p 的注 册过程是： 1 ) 移动节点可以通过注册得到外地链路上的外地代理的路由服务。 2 ) 移动节点可以通知家乡代理它的转交地址。 3 ) 可以使一个要过期的注册重新牛效。 4 ) 移动节点在回到家乡链路上时要进行注销。 本节将详细描述所有这些过程。注册的另些功能还包括 1 ) 同时注册多个转交地址，家乡代理将送往移动节点家乡地址的数据包通过隧道送 往每个转交地址。 2 ) 可以在注销一个转交地址的同时保留其他转交地址。 3 ) 在先前不知道它的家乡代理的情况下，移动节点可以通过注册动态地得到一个可 能的家乡代理的地址。 移动ip 的注册过程在代理搜索之后。当移动节点发现它连在本地节点上时，它 就向家乡代理注销，并开始像固定丰机或路由器那样进行通信，即不再利用别的移 动ip 功能。 当移动节点发现它连在一条外地链路土时，它就褥到个转交地址，并通过外 地代理( 如果在外地链路上有一个外地饯理的话) 1 日 家乡代理注册这个地址。本节 的其余部分将介绍移动节点、外地代理秘家乡代理如何一起完成这些注册功能。 2 4l 注册消息 移动i p 注册包括两种消息的交互：注册请求( r e g i s t r a t i 。nr e q u e s t ) 和注 册应答( r e g i s t r a tio nr e p l y ) 。注册消息放在u d p ( u s e r d a t a g r a mp r o t o c 0 1 ) e r i c 第1 6 贝共8 5 负 兰三翌竺垄堡苎塑 7 6 8 数据段的数据部分，u d p 数据段则放在i p 包的净荷中。图2 6 表h 月t 这些l a 、议间 的关系。与代理搜索相同，注册消息由一个短的定长部分加上一个或多个变长的打 展部分构成。 li c 皿 r 翼7 9 2 l o p 章瑾c7 6 鄹 l园特同协议璺叮c ? 9 l 】 图2 6 用u d p 传送注册消息 2 411 注册的种类 在详细介绍注册请求和注册应答消息的各个域之前，先来看f 这些消息“什 么情况下使用及如何用。注册过程包括移动节点和它的家乡代理之间一次注册请求 和注册应答的交互，可能还会牵扯到一个外地代理。三种可能的注册如下： 1 ) 移动节点用外地代理转交地址注册在条外地链路上，如图2 7 所示。 注薏鹰符 图2 7 2 ) 移动节点用配置转交地址注册在一条外地链路上( 可能在外地链路上没有外地代 理) ，如图2 8 所示。 第1 7 页共8 5 页 量三兰堑垫堡堕塑 咎动节点注矛请求 注骨应蒋 图2 8 3 ) 移动节点在回到家乡链路后进行注销，如图2 9 所示。 注番眭销 2 4 1 2 注册协议 图2 9 ， 注焉注悄虐粹 移动节点发送一条注册请求消息启动注册过程。前面已说明，有时注册请求消 息直接发给了移动节点的家乡代理；有时，它要通过一个外地代弹：这个外地代蝉 要检查注册请求消息，如果没有什么不对的地方，它就将消息转给移动节点的家乡 代理。 家乡代理收到注册请求后向移动