（计算机应用技术专业论文）基于ns2的移动ipv6的安全机制研究.pdf

摘要 基于n s 一2 的移动ip v 6 的安全机制研究 摘要 i p v 4 协议是目前因特网互联技术公认的标准，然而由于近几年i p v 4 互联网规模的不断增大以及应用范围不断拓展，它在地址数量，移动性， 服务质量和安全性等方面所具有的局限性越来越明显。为此因特网工程任 务组i e t f 提出了新一代的互联协议一i p v 6 。随着无线接入和通信技术的 飞速发展，出现了为移动主机提供网络服务的需求，移动i p v 6 应运而生， 它将逐步取代i p v 4 成为网络的基础设施，并将对网络技术产生积极深远 的影响。它极大地增加了可用地址空间，提供了即插即用的自动配置机制， 简化了网络报头格式，增加了对身份验证和私密性的扩展，尤其是更好地 支持移动i p 功能，在i p v 6 的协议里，对移动性的要求成为了必须，而不 像在i p v 4 中是可选项。 本文首先介绍了i p v 6 协议的演变进程、国内外的发展现状及趋势， 解释了移动i p v 6 中常用的术语以及实体，详细说明了移动i p v 6 的工作原 理和通信过程。 其次，总结了当前移动i p v 6 网络中上述4 个过程中面临的主要威胁， 并介绍、分析了相应的应对机制。移动i p v 6 的安全机制主要有：i p s e c 、 返回路由可达过程( 鼬啦r e t u mr o u t i b i l i 够p r o c e d u r e ) 以及加密形成地址 ( c g a ) 等。本文着重在移动i p v 6 的安全性方面做了细致深入的研究，随 后介绍了移动i p v 6 协议的基本内容，并着重对基于移动i p v 6 的安全机制 进行了讨论，讨论的重点是移动节点和通信节点以及家乡代理之间的安全 通信。对迂回路由机制及其安全性进行了分析，提出了一种安全增强返回 北京化工大学硕j 二学位论文 路由可达机制，用以抵御作者给出的攻击，并对增强的迂回路由机制的安 全性进行了分析，证明它达到了作者想要实现的目的。 最后，在n s 环境下对移动i p v 6 进行了通信模拟，并对已有m o b i w a n 进行扩展，达到对现有i p v 6 标准的良好支持。 关键字：移动i p v 6 ，i p s e c ，增强返回路由可达，n s 2 ，m o b i w a i l 摘要 s e c u i u t yp o l i c yr e s e a r c ho fm o b i l ei p v 6 b a s h e do nn s 2 a b s t r a c t i p v 4h a sb e e nr e g a r d e da st h es t a n d a r d p r o t o c o l i nr e c e n ti n t e m e t t e c h n o l o g y h o w e v e r ， w i t ht h er 印a i d ( 1 e v e l o p m e n ta n dt h e i n c r e a s i n g l y e x p a n d e dn e t w o f k ，s e v e r a lp r o b l e m sc o m eu pt ot h es u a c e ，s u c ha ss e v e r e l y l a c ko fi pa d d r e s s e s ，i n s u 衢c i e n ts u p p o r tt om o b i l i t y ，q u a l i t yo fs e r v i c ea n d s e c u r i t y ，e t c a sar e s u l t ，t h ei n t e m e te n g i n e e r i n g 陀s kf o r c e ( i e t f ) p r o p o s e d an e wg e n e r a t i o ni n t e m e tp r o t o c o 卜_ i p 、，6 t h en e wi n t e m e tp r o t o c o ls o l v e d t h e s ep r o b l e m se s p e c i a l l yi nt h ea s p e c ti nm o b i l i t ys u p p o r t ，b e c a u s et h e s u p p o r tt om o b i l i t yh a sb e e nac o m p u l s i v ep a r tb u tn o t 锄o p t i o n a lp 叭i ni p v 4 t h i sp a p e ri sf o c u so nt h ed i s c u s s i o no ft h es e c u r i t yo ft h em o b i l ei p v 6 t h ef i r s tp a r to ft h i sp a p e rs h o w e dt h er e s e a l c ha c h i e v e m e n ti nt h ef i e l d o fm o b i l ei p v 6a b o a r da n dd o m e s t i cr e s p e c t i v e l y ，a n dt h e ne x p l a i n e ds o m e t e m l sa n ds u b s t a n c e su s e di nm o b i l ei p v 6n e t w o r k s e c u r i t yt h r e a tf o rt h e m i p v 6w a sa n a l y z e di nt h ef o l l o w i n gp 叭，w es i m u l a t es e v e r a lk i n d so fu s u a l a t t a c k si nt h em i p v 6n e t w o r k sa n d p o i n t e do u tt h eh a m l st ot h eu s e r i no r d e rt os 0 1 v em e p r o b l e m sa d d r e s s e da b o v e ，s e v e r a ls e c u d t ys y s t e m s w e r ei n t i o d u c e di n c l u d i n g ：i p s e cw h i c hm a i n l yp r o t e c tt h eb i n d i n gu p d a t e i i i 北京化工人学颀二l 学位论文 p r o c e d u r eb e t w e e nm n a n dh a ，a sw e l la si 之r pw h i c hh o l dt h er e s p o n s i b i l i t y t op 1 o t e c tt h ec o m m u n i c a t i o nb e t w e e nm na n dc n i na d d i t i o n ，w ea n a l y z e d t h ea s s e ta n dd e f e c to f e a c hs y s t e mr e s p e c t i v e l y i nt h ef i n a lp a r t ，w ei n t r o d u c e da no p e n s o u r c es i m u l a t i o ns o r w a r en s 一2 ， a n dan e wc o n l p o n e n tc a l l e dm o b i w a nw h i c hi sf o rt h em i p v 6s i m u l a t i o n w r e e x t e n d e dt h em o b i w a ni nt h ep u 印o s eo fd o i n gt h es i n m l a t i o no fm i p v 6 a c c o r d i n gt or f c 3 7 7 5 t h es i m u l a t i o nr e s u l ts h o w e dt h a to u re x t e n s i o ni s a s u c c e s s 如lo n ea n dm a d ea1 0 to fs e n s ef o rt h em i p v 6s i m u l a t i n g 1 皿yw o i m s ：m i p v 6 ， i p s e c ， a d v a n c e dr r p ， n s 一2 ， m o b i w a n i v 北京化工大学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立 进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不含 任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重 要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声 明的法律结果由本人承担。 易 作者签名：至丝签日期：冱亟：兰皇 关于论文使用授权的说明 学位论文作者完全了解北京化工大学有关保留和使用学位论文的规 定，即：研究生在校攻读学位期间论文工作的知识产权单位属北京化工大 学。学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允 许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内容，可 以允许采用影印、缩印或其它复制手段保存、汇编学位论文。 保密论文注释：本学位论文属于保密范围，在上年解密后适用本授 权书。非保密论文注释：本学位论文不属于保密范围，适用本授权书。 作者签名： 玉缝日期：超造：墨三 作者签名： 生锺日期：超造：墨= 三 导师签名： 銎! 骛 日期：迎星：垒! 第一章绪论 1 1课题研究背景 第一章绪论 进入2 1 世纪，随着计算机和通信技术的不断发展，对网络服务的要求也越来越 高，目前的网际协议i p v 4 【l 】虽然成功促成了互联网的迅速发展，但是随着用户数量的 不断增长以及应用要求的不断提高，i p v 4 的不足逐渐显现出来，其中最突出的问题就 是不断增加的用户数与匮乏的i p v 4 地址空间之间的矛盾。另外，用户在服务质量 ( q u a l i t yo f s e 州c e ，q o s ) 、移动性和安全性等方面的要求也促使人们开发新一代i p 协 议。 为了彻底解决互联网的地址危机i e t f ( i n t 锄e te n 西n e 舐n g 佻kf o r c e ) 在2 0 世纪 9 0 年代中期提出了下一代互联网协议一i p v 6 1 2 j 。除了拥有超大的地址空间外，i p v 6 还 考虑了i p v 4 未能解决好的一些问题，其性能优势主要体现在提高网络的整体吞吐量、 改善服务质量、更好地支持安全性、移动性和组播。 互联网的另一个发展趋势是无线接入和移动通信。以前，人们主要在办公室或家 里使用台式机接入互联网。随着移动通信技术的迅猛发展，手机、掌上电脑、笔记本 电脑等便携式移动设备被广泛应用；生活节奏的加快也使得人们需要在移动过程中办 公。于是，用户希望在任何时候任何地点无需更改计算机配置就能方便地访问互联网。 然而，i p 协议并不支持网络节点的移动。为此，i e t f 提出了移动l p p 4 j 和移动l p v 6 协议【5 j ，在原来i p 协议的基础上使移动节点能够以固定的i p 地址在互联网及局域网 中不受任何限制地跨网段漫游。然而对移动性的支持又为网络安全提出了新的问题， 对移动i p v 6 技术的网络安全机制的研究也成为当前非常热门的一个话题。目前，移 动i p v 6 可能遭受的攻击主要包括拒绝服务攻击、重放攻击以及信息窃取攻击三大类 1 6 j 。新的攻击破坏方法还在不断地出现，因此如何有效地保障机密信息在网络中的安全 传输，不仅成为人们日益关注的核心问题，而且也是一个重要的研究课题。 1 2 国内外研究状况 1 2 1 lp v 6 的发展 i p v 6 的发展已经有近十年的历史【7 】，1 9 9 2 年i e t f 就成立i p n g 工作组，专门研 究下一代互联网( n e x tg e n e r 撕o ni n t e m e t ，n g i ) 协议。1 9 9 4 年正i p n g 提出i p v 6 的推 荐版本，1 9 9 5 年完成了i p v 6 的协议文本叫f c l 8 8 3 【8 1 ，1 9 9 9 年完成协议审定和测 试，i p v 6 的协议文本成为标准草案。之后i e t f 制定了大量i p v 6 的相关标准，如地址 结构、i p s e c 、邻居发现、路由等。比较著名的i p v 6 试验网络包括：b o n e 6 r e n 、6 n e t 、 北京化工人学硕：b 学位论文 m o o n v 6 。 1 2 2 移动ip 的发展 移动i p 是实现网络终端设备在全球网络漫游的关键技术。移动i p 技术使用户( 移 动结点) 接入外地网络时，不修改其原有i p 地址配置即可实现原有网络的应用，突破 t c p i p 协议不支持网络设备移动的限制，实现移动结点在全球网络范围内自由移动。 早在1 9 9 6 年1 0 月，i e t f 就提出了移动i p 协议标准( 草案) ，主要包括r f c 2 0 0 2 、 r f c 2 0 0 3 【9 1 、r f c 2 0 0 4 【10 1 、i 心c 2 0 0 5 【1 1 1 、r f c 2 0 0 6 【1 2 1 和r f c l 7 0 1 【1 3 1 等i 疆c 。r f c 2 0 0 2 定义了移动i p 协议；r f c 2 0 0 3 、r f c 2 0 0 4 和r f c l 7 0 1 定义了移动i p 中用到的三种隧 道技术；i 江c 2 0 0 5 叙述了移动i p 的应用；i 强c 2 0 0 6 定义了移动i p 的管理信息库m i b 。 该草案文档一经发表，立刻引发了全球范围研究移动i p 技术的高潮。美国哥伦比亚 大学、纽约大学、卡耐基梅隆大学、新加坡国立大学、同本科学与技术研究所、瑞 典皇家学院以及i b m 、m o t o r o l a 、n o k i a 、s u n 、t e l x o n 等公司都成立了相应的工作组， 针对移动i p 进行研究。 1 2 3 移动lp v 6 的发展现状 d 。j o l l n s o n ，c p e r k i n s ，j a r k k o 等人于2 0 0 4 年提出了移动i p v 6 协议r f c3 7 7 5 。 移动i p v 6 技术是在i p v 4 的基础上发展起来的，因此它有许多新的特点。移动i p v 6 的 设计汲取了移动i p v 4 的设计经验，并且利用了i p v 6 的许多新的特征，提供了比移动 i p v 4 更多、更好的特点。 目前，全球i p v 6 技术发展是很不平衡的，这种不平和最根本的原因是l p v 4 地址 分配的不平衡，活动的温床是在欧洲和亚洲，而不是在美国，这充分表明地址空间的 匮乏是最主要的推动力。尤其是随着第三代移动通信“全i p ”解决方案的提出，i p v 6 已成为互联网和移动通信网的公用基本协议。尽管i p v 6 标准发源于互联网行业，但 从商业意义上来说，移动通信行业可能是最早也可能是最大的受益者之一。正因为如 此，对国际标准化组织而言，除了i e t f 继续完善与i p v 6 有关的标准外，3 g p p 和i t u t 也成立了相应的工作组来制定与i p v 6 相关的标准。同时，i e t f 和3 g p p 最近联合组 成了一个工作组，以便协调i p v 6 标准在第三代通信系统中的应用。在i p v 6 技术领先 的国家如日本和韩国等，一些电信运营商已经推出了基于i p v 6 的3 g 业务，我国也在 今年4 月首推了3 g 服务试验网络，并已经着手研发i p v 6 的通信设备。 我国在将移动i p v 6 技术和下一代通信技术3 g 的结合方面做了突出的贡献。国家 高技术研究发展计划( 8 6 3 计划) 信息技术领域的通信技术主题适时地对战略研究方向 进行了调整，从1 9 9 9 年开始，加大了对i p v 6 关键技术的研究和开发力度。在“九五” 2 第一章绪论 二期，立项支持了“i p v 6 示范系统”等课题的研究，并取得了一些研究成果。从国内 的实际情况出发，i p v 6 标准将从以下6 个方面进行研究：基本协议类，网络的体系结 构和性能指标分配，网络的评估标准和测试方法，网络设备规范和网络设备的测试规 范，移动通信类标准和i p v 6 的业务和应用标准。目前，中国的i p v 6 标准化工作已经 启动。首批列入标准制定的内容包括i p v 6 基本协议、i p v 6 网络总体要求、邻居发现、 无状态地址配置、移动i p v 6 、路由协议等。 1 3课题研究的目的和意义 移动i p v 6 具有诱人的应用前景，它为新一代无线用户提供了移动支持，但在安 全、越区切换、q o s 等方面仍不能满足实际应用的需要，尤其是安全方面。当初移动 i p v 6 设计者们对协议的安全要求是：不要出现比移动i p v 4 更多的安全漏洞。实际情 况是，由于m i p v 6 中移动节点的转交地址可能会经常发生变化，而给一些恶意节点攻 击的机会。绑定更新安全，更是其中的关键，移动i p v 6 网络的主要安全隐患存在于 两个绑定更新过程，即：移动节点( m n ) 和其家乡代理( h a ) 之间的绑定更新注册和移 动节点( m n ) 和其通信对端( c n ) 之间绑定更新注册。目前，移动i p 工作组提出的对绑 定更新的保护以及性能优化措施尚有很多不尽如人意的地方。设计适合于m i p v 6 的安 全协议必须考虑一系列问题：移动终端的低计算能力，无线通信网络的窄带宽和高信 道误码率等。因而，对绑定更新和绑定确认进行改进保护以及优化性能就显得具有极 大的现实意义。本文的研究目的在于针对上述两个过程中移动l p v 6 网络可能面对的 各种攻击，详细解释其相应的安全机制，并对现有的安全机制做出响应的改善以更好 的保障网络通信安全。 1 4 主要研究成果和研究内容 课题研究过程中，主要以移动i p v 6 的运作及其安全性展开，重点放在移动节点 ( m n ) 和通信节点( c n ) 以及家乡代理( h a ) 之间的安全通信问题上。目前，解决m n 与 h a 之间的绑定更新过程的安全主要采用i p s e ce s p 封装信令载荷的方式来保障，而针 对m n 和c n 绑定更新的安全机制较多，主要分为两类：一类是以c g a 【1 4 】为代表的 基于网络地址结构的安全鉴别机制，类似的机制还包括c a m 【1 5 】、s u c v 【1 6 】、b a k e 2 等。此类方法的主要缺陷在于使用了高计算强度的计算，不适用与p d a 等简单移动 设备使用，另一类是基于路由机制的安全机制，i e t f 工作组提出的返回路由可达过 程( 砌冲) 是其中最为典型的一种，本文讲着重对此过程做深入分析研究。 作者在课题研究过程中主要完成了以下工作： ( 1 ) 介绍了i p v 6 的基本内容，指出移动i p v 6 和移动i p v 4 的主要区别，并对移动 3 北京化丁人学坝i ：学位论义 i p v 6 的常用术语和工作原理等做了详细说明。 ( 2 ) 分析了移动i p v 6 网络中常见的攻击方式，解释了相应安全机制的工作原理。 ( 3 ) 着重分析了m n 与h a 建立i p s e c 的过程以及m n 和c n 之间返回路由可达过 程的原理和优缺点，并基于前任研究成果，提出一种基于地址加密的增强型的返回路 由可达机制。并分析了其安全性方面的优点。 ( 4 ) 介绍了一款开源的模拟仿真软件n s 一2 ，并使用一种基于n s 2 的移动i p v 6 扩 展软件m o b i w a i l 对移动i p v 6 实际场景进行了模拟。 ( 5 ) 最后指出了本文工作的不足和继续研究的方向。 1 5 文章组织结构 第一章绪论 介绍了课题研究背景、研究目的与意义以及国内外研究现状，简要介绍了移动v 6 安全问题以及主要研究内容和研究成果，最后介绍了论文的组织结构。 第二章移动i p v 6 技术概况 介绍了i p v 6 的提出背景，详细解释说明了移动i p v 6 的基本工作原理和各种术语 的解释，并对移动i p v 4 和移动i p v 6 进行了比较分析，指出了i p v 6 提出的必然性和重 要性。 第三章移动i p v 6 的安全机制 分析了当前移动i p v 6 网络主要面临的安全问题，分门别类的介绍了各种攻击方 式，对现有的安全机制进行了详细介绍和安全行的分析研究，并引入一种增强型的返 回路由可达机制，分析了其在安全性方面的改善。 第四章基于n s 。2 的i p v 6 模拟 对移动i p v 6 的运作用n s 2 软件进行了模拟；提出一种对针对m o b i w a n 在m o b i l e i p v 6 模拟方面的功能扩展，克服了功能缺陷，使其更适用于移动i p v 6 的模拟。 第五章结束语 对本论文所做工作进行全面总结和对未来工作的期望。 4 第二章移动i p v 6 技术概况 第二章移动i p v 6 技术概况 本章主要是对于i p v 6 和移动i p v 6 的理论介绍。首先是i p v 6 基本概念，由此基础 上引出移动i p v 6 的概念和基本特征，对移动i p v 6 工作机制做了详细讲解，并与目前 的移动i p v 4 协议进行多方面的比较，展示了移动i p v 6 在各方面的优势。 2 1i p v 6 的概况 自从r f c 7 9 1 于1 9 8 1 发布以来，当前版本的i p v 4 协议就没发生什么实质性的变 化。实践证明，i p v 4 是健壮的，易于实现的，并且具有很好的互操作性。它本身也经 受了互联网从小型发展到今天这种全球规模的考验。这些都是对i p v 4 协议初始设计 的肯定【l 。由于基于i p 的新应用层出不穷，尤其是w w w 的出现，全世界网民迅速 增长。这样，i p 地址分配不均也成为制约i p v 4 继续应用的一个原因。有数字表明， 美国某所综合大学所拥有的i p 地址数比我国总共拥有的还要多。鉴于以上原因，从 1 9 9 1 年起e i t f 着手调查并在护v 4 的基础上制定了新的网络协议，于1 9 9 5 年正式提 出了i p v 6 。与i p v 4 协议相比较，i p v 6 主要在以下几个方面有更大的优势： ( 1 ) 地址空间的扩展 i p v 6 协议将i p 地址数位从3 2 位扩大到1 2 8 位，形成了一个巨大的地址空间。用 一句不太形象的话比喻可以说让地球上每一粒沙子都分得一个i p 地址。 ( 2 ) 地址的自动配置 i p v 6 支持无状态和有状态两种地址自动配置方式。无状态地址自动配置方式是获 得地址的关键，使用一种邻居发现机制，在没有任何人工干预的情况下能够获得全球 唯一的i p 地址。 ( 3 ) 报头格式简化 i p v 4 中的头标长度( h e a d e r1 e 1 1 9 l h ) 、服务类型( t y p eo fs e r v i c e ，t o s ) 、标识符 ( i d e l l t i 6 c a t i o n ) 、标志( f l a 曲、报头偏移( 抒a 鲫e n to 凰e t ) 和头标校验( h e a d e rc h e c k s u m ) 这6 个域在i p v 6 中被删除了。分组全长( t o t a l l e n 舀h ) 、协议类型( p r o t o c o lt y p e ) 和生存时间 ( t i m et ol i v e ，t t l ) 3 个域的名称部分功能被改变，其选项( o p t i o n s ) 功能完全被改变，新 增加了2 个域，即优先级和流标记。 虽然i p v 6 基本报头总共占用了4 0 字节，是i p v 4 报头2 4 的1 6 倍，但因其长度 固定( i p v 4 报头长度是变化的) ，故不需要消耗过多的内存容量；又因其要处理的域由 i p v 4 的1 4 个减少到8 个，从而大大减少了路由器的软件处理内容。 ( 4 ) 内置的安全性 i p v 6 协议内置安全机制，并已经标准化为i p s e c ，它支持对企业网的无缝远程访 问。i p s e c 提供认证和加密两种服务。认证( a h ) 用于保证数据的一致性，而封装安 北京化工大学硕士学位论文 全载荷( e s p ) 【1 9 】用于保证数据的保密性和一致性。 ( 5 ) 移动性 与i p v 4 相比较，i p v 6 有更大的地址空间，对报头扩展及可选项有更多的支持。 此外，i p v 6 还定义了许多新的功能，将其统称为邻居节点搜索，可以用来直接提供移 动i p v 6 所需要的一些功能。移动i p v 6 增强了移动终端的移动特性、安全特性、路由 特性，降低了网络部署的难度和投资，为用户提供了永久在线的服务。 ( 6 ) 服务质量 从协议角度看，i p v 6 与目前的i p v 4 提供相同的q o s ，但是i p v 6 的优点体现在能 提供不同的服务。这些优点来自于i p v 6 报头中新增加的“流标记”字段，有了这个 2 0 位长的字段，在传输过程中，中间的各节点可以识别和有针对性地处理i p v 6 数据 流。 ( 7 ) 路由效率高 在i p v 4 网络中，为了减缓i p 网络地址的消耗，采用了n a t 技术和c i d r 技术， 使得网络的拓扑结构更为复杂化。而在i p v 6 网络中，因为i p 网络地址得到极大满足， 采用了层次化结构的划分，减少了路由器中路由标的规模，从而减少了路由器中存储 器的数据容量和相应的c p u 开销，也必然提高了查表和转发i p 分组的速度。 2 2移动i p 、，6 的提出 i p v 4 原本不支持移动性，1 9 9 6 年i e t f 制定了支持移动互联网的协议，有两个版 本：基于i p v 4 的移动i p v 4 和基于i p v 6 的移动i p v 6 。二者之间的本质区别是移动i p v 4 协议不适用于数量庞大的移动终端。另外，i p v 4 协议中对移动性的支持不是强制的， 而移动i p v 6 是i p v 6 协议不可或缺的部分，所有i p v 6 的实现都必须支持移动性。在经 历了多次版本更新后，移动i p v 6 的正式标准( r f c 3 7 7 5 ) 终于在2 0 0 4 年被制定，这也 标志着移动i p v 6 的正式诞生。 2 3移动i p v 6 基本概念 i 冲c 3 7 7 5 将移动i p v 6 定义为：不管i p v 6 节点位于i p v 6 网络的何处以及与移动i p v 6 节点通信的其他节点是否支持移动i p v 6 ，都始终可以对i p v 6 节点进行访问。移动i p v 6 技术充分利用了i p v 6 协议对移动性的内在支持。 2 3 1 移动i p v 6 网络常用术语将解释 为了后文研究方便，根据i 强c 3 7 7 5 我们定义如下的移动l p v 6 常用术语：如图2 1 6 第一二幸移动i p v 6 技术概况 所示： o 家乡代理h o 撇a 昏n t r d u t 时 接 路由器 图2 1 移动i p v 6 功能实体 f i g 2 一lm o b i l ei p v 6f u n c t i o n a ls u b s t a n c e 网络基本实体： ( 1 ) 移动节点( m o b i l en o d e ，m n ) ：指移动i p 中能够从一个链路的连接点移动到另 外一个连接点，同时，仍能通过其家乡地址被访问的节点。 ( 2 ) 通信对端( c o 玎e s p o n d e n tn o d e ，c n ) ：指与移动节点进行通信的对等实体。c n 可以是固定节点也可以是移动节点。 ( 3 ) 家乡链路( h o m el i l l k ) ：分配家乡子往前追的链路，移动节点从它得到家乡地 址。 ( 4 ) 外地链路( f o r e i 班l i l l l ( ) ：对于一个移动节点而言，指除了其家乡链路之外的任 何链路。 ( 5 ) 家乡代理( h o m e a g e l l t ，h a ) ：指移动节点家乡链路上的一个路由器，允许移动 节点向其注册当前的转交地址，并且当移动节点离开家乡时，截取家乡链路上目的地 址是移动节点家乡地址的分组，通过隧道转发到移动节点注册的转交地址。 ( 6 ) 家乡地址：是指移动节点在家乡链路上拥有的一个长期有效的i p 地址。属于 移动节点的家乡链路，标准的口路由机制会发给移动节点家乡地址的分组发送到其 家乡链路。 ( 7 ) 转交地址( c a r e o f a d d r e s s ，c o a ) ：指移动节点访问外地链路时获得的i p 地址。 这个i p 地址的子网前缀是外地子网前缀。移动节点同时可得到多个转交地址，其中 注册到家乡代理的转交地址称为主转交地址( p r i m a 巧c a r e o f a d d r e s s ) 。 ( 8 ) 家乡子网前缀( h o m es u b n e tp r e f i x ) ：指对应于移动节点家乡地址的i p 子网前 缀。 ( 9 ) 外地子网前缀( f o r e i 印s u b n e tp r e 丘x ) ：对于一个移动节点而言，指除了其家乡 子网前缀之外的任何i p 子网前缀。 7 北京化工人学硕【：学位论文 绑定过程术语： ( 1 0 ) 绑定请求消息( b i n d i n gr e q u e s t ，b r ) ：当需要确认移动节点当前的移动绑定时， 可以向移动节点发送b r ，要求移动节点回送b u 。 ( 11 ) 绑定( b i n d i n g ) ：指移动节点家乡地址和转交地址之间的关联。家乡代理通过这 种关联把发送到家乡链路的属于移动节点的分组转发到当前位置，通信对端通过这种 关联也可以知道移动节点的当前接入点，从而实现通信的路由优化。 ( 1 2 ) 绑定更新消息( b i n d i n gu p d a t e ，b u ) ：b u 被用于移动i p v 6 中移动节点的移动 注册或移动绑定的更新。 ( 1 3 ) 绑定确认消息( b i n d i n ga c l ( 1 1 0 w l e d g e m e n t ，b a ) ：b a 与b u 相对应，当家乡代 理或通信对端接收到合法的b u ，并且b u 中的相应标识位被设置时，将向移动节点 发送b a 以对b u 进行确认。 ( 1 4 ) 家乡地址选项( h o m e a d d r e s so p t i o n ) ：在移动i p v 6 中被移动节点用于向其他节 点发送其家乡地址。 ( 1 5 ) 注册( r e 百s t r a t i o n ) ： ( a ) 当移动节点移动到外地链路时，首先通过无状态地址自动配置【2 0 】或d h c p v 6 等方式获得关照地址； ( b ) 移动节点获得转交地址后，向家乡代理发送b u 请求注册。家乡代理确认后， 将家乡地址和关照地址存放在其绑定缓存中，完成家乡地址和关照地址的绑定，并向 移动节点发送b a 。 ( 1 6 ) 注销( d e r e 舀s t 鲥n 曲：移动节点根据收到的代理通告消息判断是否返回到家乡 链路，如己返回必须直接注册到家乡代理完成注销。注销后，移动节点同家乡链路中 其他固定节点一样工作。 返回路由测试过程： ( 1 7 ) 返回路径测试过程( r e t u mr o u t a b i l i 够t e s tp r o c e d u r e ) ：返回路径测试过程的作 用是通过交换安全性消息或者加密用的c o o k i e 确保绑定的合法性及安全性。 ( 1 8 ) 密钥生成令牌( k e y g e i lt 0 k e l l ) ：在返回路由测试过程中由通信对端提供的数字， 移动节点将使用这个数字计算生成用于发送绑定更新消息的绑定管理密钥。 ( 1 9 ) 转交密钥生成令牌( c a r e o f k e y g e nt o k e n ) ：指通信对端在c o t 消息中发送的密 钥生成令牌。 ( 2 0 ) 家乡密钥生成令牌( h o m ek e y g e i lt o k e n ) ：指通信对端在h o t 消息中发送的密 钥生成令牌。 ( 2 1 ) 绑定管理密钥( k b m ，b i n d i n gm a n a g e m e n tk e y ) ：用于认证绑定缓存管理消息， 包括绑定更新消息和绑定确认消息，创建该密钥也是为了用于返回路由测试消息。 ( 2 2 ) 临时随机数( n o n c e ) ：临时随机数是一些随机数字，由通信对端在内部使用， 对外部是不可见的。它用于创建返回路由测试过程中使用的“密钥生成令牌”( k e y g e n 8 第二章移动i p v 6 技术概况 t o k e n ) 。 ( 2 3 ) c o o l 【i e ：指移动节点使用的一些随机数，在用于返回路由测试过程中，防止假 冒的通信对端欺骗移动节点。 ( 2 4 ) 家乡测试初始c o o k i e ( h o m ei n i tc o o k i e ) ：移动节点在h o t i 消息中发往通信对端 的c o o k i e ，将在对方回应的h o t 消息中返回移动节点。 ( 2 5 ) 转交测试初始c o o k i e ( c a r e o f i n i tc o o k i e ) ：移动节点在c o t i 消息中发往通信对 端的c o o k i e ，将在对方回应的c o t 消息中返回移动节点。 ( 2 6 ) 目的地选项( d e s t i n a t i o nc 巾t i o n ) ：目的地选项存在于i p v 6 的扩展报头中，只有 i p v 6 分组报头中的目的地址字段指定的节点才需要检查。 2 3 2 移动lp v 6 中的数据结构 移动i p v 6 中用到了以下一些数据结构： ( 1 ) 绑定缓存( b i n d i n gc a c h e ，b c ) ( 2 ) 绑定更新列表( b i n d i n g “s t ) ( 3 ) 家乡代理列表( h o m ea g e l l tl i s t ) 1 绑定缓存 m n 和h a 中的绑定缓存中保存了m n 的绑定，每一个绑定缓存中包含以下信息： ( 1 ) m n 的家乡地址。 ( 2 ) m n 的转交地址。 ( 3 ) 绑定缓存条目的剩余生存时间。 ( 4 ) 标志域：表示该缓存条目是否是家乡注册条目。 ( 5 ) 从m n 家乡地址接收到的绑定更新中序号域的最大值。 ( 6 ) 绑定缓存条目近来的使用信息。 2 绑定更新列表 包含的绑定更新列表存储了测最近的发往h a 通信节与移动节点的前一个 转交地址处于同一链路的家乡代理的所有的绑定更新，绑定更新列表中的每一个条目 包含以下一些信息： ( 1 ) 被发送绑定更新的节点的i p 地址。 ( 2 ) 绑定更新所发向的家乡地址。 ( 3 ) 在此绑定更新中的转交地址。 ( 4 ) 在此绑定更新中的生存期域的初始值。 ( 5 ) 绑定更新所剩的生存时间。 ( 6 ) 移动i p v 6 网络结构 ( 7 ) 发送到该目的地的先前的绑定更新的序列号的最大值。 9 北京化工人学坝上学位论文 ( 8 ) 发送最近一个绑定更新到该目的地的时间。 ( 9 ) 标志位( a ) ，如果绑定更新需要中转，则该位置为1 。 ( 1 0 ) 标志位，当为1 时表示以后再没有绑定更新发往此目的地。 3 家乡代理列表 每个可以作为h a 的路由器和m n 都包含一个家乡代理列表。h a 维护的家乡代 理列表记录着该h a 收到其它h a 的相关信息( 这些消息来自每个h a 发送的“路由器 公告”消息，这些消息中的“家乡代理”位h 被置位) ，h a 为其服务的每一个链路维 护一个独立的家乡代理列表，这个列表用于实现动态家乡代理发现机制。m n 同样维 护一个家乡代理列表，用于通告原先链路上的h a 其位置发生变化。m n 可以为每个 链路维护一个独立的家乡代理列表，也可以为所有链路维护一个共同的列表。家乡代 理列表条目包含以下字段： ( 1 ) 链路上路由器的链路本地地址。 ( 2 ) 家乡代理的全球单播地址。 ( 3 ) 家乡代理列表条目的剩余生存 ( 4 ) 家乡代理的优先级。 2 3 3 移动lp v 6 协议改进 移动i p v 6 协议增加了一些新的报头和选项，以顺利实现移动i p v 6 协议。下面我 们根据i 强c 3 7 7 5 ，对新增的报头和选项作简要介绍，对于一些对本文来说比较重要的 报头和选项，我们将进行详细的说明，对于不太重要的报头和选项，我们则不作过多 的描述。移动i p v 6 协议设计如图2 2 所示： l 移动蝴ii 移动前缀 动态家乡 包处理 发现代理发现 系统模块初始化 注册艋销 返回路由 可达过程 图2 2 移动i p v 6 协议设计 f i g 2 2t h es 仃u c t l l r eo fm o b i l ei p v 6 l o 第一二章移动i p v 6 技术概况 1 移动头 在i p v 4 中可以在i p 头的尾部加入选项，与此不同，i p v 6 中则把选项加在单独的 扩展头中【2 1 】。通过这种方法，选项头只有在必要的时候才需要检查和处理。 移动头( m o b i l i t yh e a d e r m h ) 是m n 、c n 和h a 使用的扩展头，包含在所有与绑 定的建立和管理有关的报文中。这些信息用来启动从m n 到c n 的返回路径可达过程， 以确保绑定更新( b i n d i n gu p d a t e ，b u ) 消息的正确性。移动报头格式如图2 3 所示： 图2 - 3 移动报头格式 f i g 2 - 3m o b i l eh e a df b m a l 它里面的字段的含义如下： 载荷协议：8 位选择器，表明紧随移动报头之后的报头类型。 报头长度：8 位无符号整数，指示移动报头长度，以8 个字节为单位。 保留字段：8 位字段保留，发送方将此字段置为o ，接收方必须忽略此字段。 校验和：1 6 位无符号整数，是本移动报头的校验和。 消息数据：可变长字段，包含由移动报头类型所指示的数据。 移动i p v 6 同时定义了一些在这些消息中使用的移动选项，如果包含了这些选项， 任何选项必须跟在消息数据的固定部分之后。通过消息报头长度字段来指示这样的选 项包含在消息中。当报头长度大于消息定义的长度时，其余的字节就被解释成移动选 项，这些选项包括填充选项，是为了保证其它选项完全对齐，从而使整个消息长度可 被8 整除。移动报头与任何i p v 6 协议报头的对齐要求相同，即以8 字节为边界对齐。 移动报头中可以有的移动消息类型主要有以下几种： ( 1 ) 绑定更新请求消息( b i n d i n gr e 舶s hr e q u e s t ，b r r ) ：用于c n 或h a 向m n 请求 绑定，其移动报头类型值为0 。 ( 2 ) 家乡测试初始消息( h o m e t e s ti n i t ，h o t i ) ：用于m n 启动由m n 通过家h a 到c i n 的返回路径，其移动报头类型值为1 。 ( 3 ) 转交测试初始消息( c a r e o f 二t e s ti n i t ，c o t i ) ：用于m n 启动由m n 到c n 的返回 路径，其移动报头类型值为2 。 ( 4 ) 家乡测试消息( h o m e t e s t ，h o t ) ：由c n 发给m n 的对家乡测试初始消息的响应， 其移动报头类型值为3 。 ( 5 ) 转交测试消息( c a r e o f t e s t ，c o t ) ：由c n 发给m n 的对转交测试初始消息的响 应，其移动报头类型值为4 。 ( 6 ) 绑定更新消息( b i n d i n gu p d a t e ，b u ) ：用于m n 通知其它节点自己的新的转交 北京化t 大学硕二i ：学位论文 地址。包含b u 消息的数据包发送时，将源地址设置为m n 的转交地址，目的地址设置 为c n 的地址，其移动报头类型值为5 。 ( 7 ) 绑定应答消息( b i n d i n ga c k n o w l e d g 锄e n t ，b a ) ：由h a 或c n 发出的对绑定更 新消息的应答，它发给所认可的绑定更新消息的源地址。如果其源地址并非m n 的家 乡地址，那么数据包要包含一个路由报头。绑定应答消息的源地址为所认可的绑定更 新消息的目的地址。 ( 8 ) 绑定错误消息( b i n d i n ge n d r ，e b ) ：由通信节点发出的报告绑定更新错误的消 息，其移动报头类型值为7 。 2 家乡地址选项 家乡地址选项( h o m e a d d r e s so p t i o n ) 用于当m n 离开家乡链路时，将m n 的家乡 地址通知给c n ，它通常包含在一个由m n 发给h a 或c n 的绑定更新报文中。通过 将转交地址作为源地址，将家乡地址放置在目的地选项中，外地链路的路由器可以将 数据发送到目的地。当通信节点收到数据后，会将源地址用目的地选项中的家乡地址 替换，然后再交给上层协议，因此，上层协议认为该数据是由家乡地址