移动互联网技术详解PPT课件.ppt

第六章移动互联网 1 Standard IETF相关工作组 MobilityforIPv4 mip4 IPMobilitySupportforIPv4 RFC3344 MobilityforIPv6 mip6 MobilitySupportinIPv6 RFC3775 UsingIPsectoProtectMobileIPv6SignalingbetweenMobileNodesandHomeAgents RFC3776 UsingIPsecbetweenMobileandCorrespondentIPv6Nodes draft ietf mip6 cn ipsec 01 txt MIPv6SignalingandHandoffOptimization mipshop FastHandoversforMobileIPv6 RFC4068 HierarchicalMobileIPv6mobilitymanagement HMIPv6 RFC4140 MobileIPv6FastHandoversfor802 11Networks draft ietf mipshop 80211fh 04 txt MobileNodesandMultipleInterfacesinIPv6 monami6 NetworkMobility nemo NetworkMobilitySupportGoalsandRequirements draft ietf nemo requirements 05 txt NetworkMobility NEMO BasicSupportProtocol RFC3963 2 Papers JSAC IEEEJournalonSelectedAreasinCommunicationsMOBILEROUTERSANDNETWORKMOBIITYhttp www jsac ucsd edu TOC 2006 Sept06 htmlIEEEhttp ieeexplore ieee orgACMhttp portal acm org 3 内容 引言移动IP MIP MobileIP 的基本原理移动IPv4 MIPv4 的原理移动IPv6 MIPv6 的原理MIP的安全性MIPv4的安全性MIPv6的安全性MIPv6信令和切换优化网络移动 NetworkMobility 4 内容 引言移动IP MIP MobileIP 的基本原理移动IPv4 MIPv4 的原理移动IPv6 MIPv6 的原理MIP的安全性MIPv4的安全性MIPv6的安全性MIPv6信令和切换优化网络移动 NetworkMobility 5 为什么在IP层引入移动性 各种底层无线网络之间的漫游IPOverEverything数据 语音 视频等多种业务的融合EverythingOverIP 6 移动IP需要解决的问题 接入路由器1 通信对端 移动节点 接入路由器2 ADDR1 7 移动IP需要解决的问题 接入路由器1 通信对端 移动节点 接入路由器2 ADDR2 IP地址的改变对于通信对端和上层 IP层以上 是透明的 移动节点需要一个在移动过程中保持不变的标识 不中断已经建立的连接 通信对端始终能够找到移动节点 家乡地址 8 内容 引言移动IP MIP MobileIP 的基本原理移动IPv4 MIPv4 的原理移动IPv6 MIPv6 的原理MIP的安全性MIPv4的安全性MIPv6的安全性MIPv6信令和切换优化网络移动 9 术语 家乡地址 HoA HomeAddress 移动节点的标识 手动配置或者由家乡网络分配 通常不变转交地址 CoA Care ofAddress 移动节点位置的标识 由移动到的外地网络分配 随位置变化家乡代理 HomeAgent 保存移动节点的家乡地址和转交地址之间的映射关系 绑定 通信对端 CorrespondNode 和移动节点进行通信的网络节点 它可能是静止的节点 也可能是移动节点 知道移动节点家乡地址如何将数据包路由到移动节点的转交地址 数据包先路由到家乡代理 由家乡代理发送给移动节点 HoA与CoA的对应关系称为绑定 Binding 10 基本过程 移动检测移动节点检测到自己移动到了外地网络代理公告 MIPv4 路由器公告 MIPv6 转交地址配置MIPv4外地代理转交地址 即外地代理地址 ForeignAgentCoA 配置转交地址 Co locatedCoA MIPv6全局可路由转交地址的绑定注册到家乡代理 MIPv4 MIPv6 到通信对端 MIPv6 11 MIPv4原理 使用外地代理转交地址 移动检测 家乡代理 通信对端 移动节点 外地代理 12 MIPv4原理 使用外地代理转交地址 家乡代理 通信对端 移动节点 外地代理 移动检测 使用外地代理转交地址 13 MIPv4原理 使用外地代理转交地址 绑定注册 家乡代理 通信对端 移动节点 外地代理 14 MIPv4原理 使用外地代理转交地址 接收 发送分组 家乡代理 通信对端 移动节点 外地代理 代理ARP和免费ARP 隧道 分组 分组 分组 分组 15 MIPv4原理 使用外地代理转交地址 家乡代理 通信对端 移动节点 外地代理 三角路由问题 三角路由问题 16 MIPv4原理 使用配置转交地址 移动检测 家乡代理 通信对端 移动节点 外地代理 17 MIPv4原理 使用配置转交地址 家乡代理 通信对端 移动节点 外地代理 移动检测 通过DHCP等方式获取配置转交地址 18 MIPv4原理 使用配置转交地址 绑定注册 家乡代理 通信对端 移动节点 外地代理 19 MIPv4原理 使用配置转交地址 接收 发送分组 家乡代理 通信对端 移动节点 外地代理 代理ARP和免费ARP 隧道 分组 分组 分组 20 MIPv4原理 使用配置转交地址 家乡代理 通信对端 移动节点 外地代理 三角路由问题 三角路由问题 21 MIPv4原理 反向隧道 通过家乡地址来唯一标识移动节点 使得通信对端不需要知道移动节点的位置信息移动节点和通信对端的通信始终使用家乡地址 通过家乡代理转发到移动节点的分组 使得移动对于通信对端以及IP层以上的应用是透明的 存在入口过滤问题 当移动到外地时 防火墙可能过滤源地址为移动节点家乡地址的分组 通过反向隧道解决入口过滤问题 22 反向隧道 使用外地代理转交地址 家乡代理 移动节点 外地代理 外地代理转交地址 通信对端 反向IP in IP隧道 分组 分组 分组 23 反向隧道 配置转交地址 家乡代理 移动节点 外地代理 通信对端 反向IP in IP隧道 配置转交地址 分组 分组 24 MIPv6原理 移动检测和地址自动配置 家乡代理 通信对端 移动节点 接入路由器 家乡地址 HoA转交地址 CoA 25 MIPv6原理 移动检测和地址自动配置 家乡代理 通信对端 移动节点 接入路由器 家乡地址 HoA转交地址 CoA 路由器公告 无状态地址自动配置生成CoA 26 MIPv6原理 到家乡代理绑定注册 家乡代理 通信对端 移动节点 接入路由器 家乡地址 HoA转交地址 CoA 绑定更新 BindingUpdate 绑定应答 BindingAck 绑定缓存HoACoA 27 MIPv6原理 和通信对端通信过程 不支持任何移动IPv6功能 家乡代理 通信对端 移动节点 IPv6 in IPv6隧道 家乡地址 HoA转交地址 CoA 分组 分组 分组 分组 28 MIPv6原理 和通信对端通信过程 支持移动IPv6功能 家乡代理 通信对端 移动节点 绑定缓存HoACoA 家乡地址 HoA转交地址 CoA IPv6 in IPv6隧道 分组 绑定更新 绑定更新列表通信对端IPv6地址 29 MIPv6原理 和通信对端通信过程 支持移动IPv6功能 家乡代理 通信对端 移动节点 家乡地址 HoA转交地址 CoA IPv6 in IPv6隧道 分组 分组 绑定更新列表通信对端IPv6地址 绑定缓存HoACoA 30 对IP以上层屏蔽移动性 原理 在双向隧道模式中 移动节点和通信对端的通信始终使用家乡地址在路由优化模式中 通过家乡地址选项 HAO 由信宿选项头标携带 和类型2寻路头标 T2R 来实现 家乡地址选项 类型2寻路头标 31 路由优化模式 移动节点发送分组 TCP UDP IPv6移动IPv6 TCP UDP IPv6移动IPv6 移动节点 通信对端 添加HAO选项头标 包含移动节点的转交地址 交换HAO选项头标中的地址和数据包的源地址 交换HAO选项头标中的地址和数据包的源地址 HoA 家乡地址CNA 通信对端的地址CoA 转交地址HAO 家乡地址选项 信宿选项头标T2R 类型2寻路头标 HoA 32 路由优化模式 通信对端发送分组 TCP UDP IPv6移动IPv6 TCP UDP IPv6移动IPv6 移动节点 通信对端 HoA 家乡地址CNA 通信对端的地址CoA 转交地址HAO 家乡地址选项 信宿选项头标T2R 类型2寻路头标 家乡地址 添加T2R选项头标 包含移动节点的转交地址 交换T2R选项标中的地址和数据包的目的地址 交换T2R选项头标中的地址和数据包的目的地址 33 MIPv4和MIPv6比较 IPv4地址空间有限 移动节点通常使用外地代理转交地址存在外地代理三角路由问题家乡地址为源地址 存在入口过滤问题需要使用IP in IP隧道 开销大 IPv6拥有巨大的地址空间 移动节点通常使用全局可路由转交地址不需要外地代理路由优化成为协议的基本部分转交地址作为源地址 不存在入口过滤问题通过家乡地址选项 信宿选项头标 和类型2寻路头标来实现转交地址变化对IP层以上应用的透明 不需要使用IPv6 in IPv6隧道 34 内容 引言移动IP MIP MobileIP 的基本原理移动IPv4 MIPv4 的原理移动IPv6 MIPv6 的原理MIP的安全性MIPv4的安全性MIPv6的安全性MIPv6信令和切换优化网络移动 NetworkMobility 35 MIPv4的安全性 注册请求和注册应答消息的认证移动安全关联认证算法 算法模式 密钥或者公 私密钥对 重播保护形式缺省HMAC MD5算法 生成128比特摘要Mobile Home认证扩展必须移动节点和家乡代理之间存在安全关联Mobile Foreign认证扩展可能移动节点和外地代理之间存在安全关联Foreign Home认证扩展可能外地代理和家乡代理之间存在安全关联 36 MIPv6的安全性 返回可路由 RR ReturnRoutability 过程移动节点与通信对端之间的安全基于IPsec的MIPv6安全移动节点和家乡代理之间安全移动节点和通信对端之间安全 37 返回可路由过程 概述 目标是使得通信对端可以在某种程度上确保移动节点所宣称的转交地址和家乡地址是合法的 可寻址 产生移动节点和通信对端之间的认证密钥 绑定管理秘钥Kbm 并且通过绑定认证选项来保护移动节点和通信对端之间的绑定更新不需要预先配置信息 易于大规模部署安全强度比IPSec弱 38 返回可路由过程 原理 IPv6 in IPv6隧道 HoTICookie HoTI 家乡测试发起消息CoTI 转交测试发起消息HoT 家乡测试消息CoT 转交测试消息 CoTCookieToken HoTCookieToken HoTICookie 计算家乡密钥生成令牌 HoTCookieToken 计算转交密钥生成令牌 家乡密钥生成令牌和转交密钥生成令牌进行SHA1得到绑定管理密钥 移动节点 家乡代理 CoTICookie 39 返回可路由过程 存在的安全问题 攻击者能够监听到移动节点的数据包伪造邻居家乡地址 攻击者的家乡地址转交地址 邻居地址攻击者在家乡网络和通信对端的路径上获得绑定管理密钥 伪造绑定更新等 40 基于IPsec的MIPv6安全 IPSec回顾 1 安全策略 SP 选择符 selector 源地址 目的地址 源端口 目的端口 协议 TCP UDP ICMP 模式 隧道 传输 策略行为 丢弃 实施IPSec处理或者绕过安全关联 SA 索引目的地址 安全参数索引 SPI 协议 ESP AH 源地址 目的地址 协议 TCP UDP ICMP IPSec协议 ESP AH 模式 隧道 传输 认证和加密算法 密钥等 41 2020 1 13 42 基于IPsec的MIPv6安全 IPSec回顾 2 认证头标 AH 传输模式隧道模式封装化安全净荷 ESP 传输模式隧道模式 43 基于IPsec的MIPv6安全 IPSec回顾 3 AH头标格式ESP头标格式 44 基于IPsec的MIPv6安全 IPSec回顾 4 外出处理根据数据包信息初始化selector 选择相应的一个或者多个外出SP SP是有序的SP的地址始终为数据包最终的源和目的地址 内部头标地址 根据每个SP指定的SA或者SA束执行IPSec处理 SA是无序的进入处理根据数据包的目的地址 外部头标地址 IPSec协议和SPI找到相应的SA 然后执行IPSec处理在进入SPD找到对应的SP 内部头标地址 验证是否对数据包执行了指定的IPSec处理 SA或者SA束 45 基于IPsec的MIPv6安全 移动节点和家乡代理之间安全 移动节点和家乡代理之间的信令业务绑定更新和绑定应答使用IPSecESP传输模式保护返回可路由过程家乡测试发起 HoTI 和家乡测试 HoT 使用IPSecESP隧道模式保护前缀发现ICMPv6消息IPSecESP传输模式保护 46 基于IPsec的MIPv6安全 绑定更新和绑定应答 1 绑定更新头标格式移动节点在外地网络时移动节点在家乡网络时绑定应答头标格式移动节点在外地网络时移动节点在家乡网络时 47 基于IPsec的MIPv6安全 绑定更新和绑定应答 2 SP和SA使用家乡地址家乡地址选项和类型2寻路头标包含家乡地址家乡代理 移动节点上的SP和SA条目 48 基于IPsec的MIPv6安全 返回可路由过程 1 家乡测试发起 HoTI 消息格式移动节点经家乡代理到通信对端家乡测试 HoT 消息格式通信对端经家乡代理到移动节点 49 基于IPsec的MIPv6安全 返回可路由过程 2 SP和SA使用不同的移动节点地址SP 家乡地址SA 转交地址家乡代理 移动节点上的SP和SA条目 50 基于IPsec的MIPv6安全 返回可路由过程 3 转交地址变化时家乡代理 收到绑定更新时 更新外出SA的目的地址和进入SA的源地址为新的转交地址移动节点 收到绑定应答时 更新进入SA的目的地址和外出SA的源地址为新的转交地址 51 基于IPsec的MIPv6安全 前缀发现 1 移动节点获取家乡子网的前缀的变化信息移动前缀请求消息格式移动前缀公告 52 基于IPsec的MIPv6安全 前缀发现 2 移动节点和家乡代理上的SP和SA条目 53 内容 引言移动IP MIP MobileIP 的基本原理移动IPv4 MIPv4 的原理移动IPv6 MIPv6 的原理MIP的安全性MIPv4的安全性MIPv6的安全性MIPv6信令和切换优化网络移动 NetworkMobility 54 MIPv6信令和切换优化 概述基本移动IPv6切换延时太大 不能满足实时和TCP延时敏感业务的需求基本移动IPv6中的切换引入额外的信令开销移动节点和家乡代理及通信对端之间的绑定注册过程可能需要穿越骨干网 从而增加骨干网的信令开销切换优化移动IPv6快速切换 FMIPv6 FastHandoversforMobileIPv6 IPv6微移动管理层次移动IPv6 HMIPv6 HierarchicalMobileIPv6mobilitymanagement 55 概述 移动节点切换过程 无线接入点1 无线接入点2 移动节点 接入路由器1 切换前接入路由器 接入路由器2 切换后接入路由器 56 概述 移动节点切换过程 接入路由器1 切换前接入路由器 接入路由器2 切换后接入路由器 无线接入点1 无线接入点2 移动节点 链路层切换 无线接入点1到无线接入点2 IP层切换 接入路由器1所在子网到接入路由器2所在子网 57 概述 IP层切换过程 移动检测和路由器公告的间隔有关转交地址配置地址重复检测典型值为1到2秒绑定注册移动节点到家乡代理的延时移动节点到通信对端的延时 58 概述 IP层切换延时分析 0到十几秒 1到2秒 几百毫秒到几秒 移动节点 接入路由器 家乡代理 通信对端 59 IP层切换延时太大会影响实时应用和吞吐量敏感应用 移动IPv6快速切换要减少这个延时 具体来说就是 移动节点一检测到新的子网链路就能够发送数据包新的接入路由器一检测到移动节点接入就能够发送到移动节点的数据包 移动IPv6快速切换定义了实现以上目标所需要的 IP协议消息独立于特定的链路层协议消息交互过程不影响标准的移动IPv6操作 60 移动IPv6快速切换 快速切换相关消息 1 新的邻机发现消息代理路由器公告请求 RtSolPr 移动节点发送给接入路由器 请求代理路由器公告代理路由器公告 PrRtAdv 接入路由器发送给移动节点 提供邻近接入路由器的链路层地址 IP地址和子网前缀信息实现功能辅助移动检测过程无线接入点到其所连接的接入路由器的子网信息映射预先生成新的转交地址 61 移动IPv6快速切换 快速切换相关消息 2 接入路由器之间的消息切换发起 HI 通常是PAR发往NAR 发起移动节点快速切换过程应该包含移动节点的切换前转交地址 可能包含移动节点希望使用的新的转交地址切换应答 HAck NAR对切换发起消息的应答可能包含移动节点在NAR上应该使用的新转交地址功能确认给出的新的转交地址是否可接受传送和切换相关的网络常驻上下文 例如接入控制 QoS和头标压缩等 PAR 切换前接入路由器NAR 切换后接入路由器 62 移动IPv6快速切换 快速切换相关消息 3 新的移动头标消息快速绑定更新 FBU 移动节点发送到PAR 功能类似于绑定更新 建立切换前转交地址和切换后转交地址的绑定 隧道 移动节点通过隧道转发源地址为切换前转交地址的分组到PARPAR通过隧道转发目的地址为切换前转交地址的分组到移动节点包含移动节点切换前转交地址和切换后的转交地址信息快速绑定应答 FBA PAR对快速绑定更新的应答快速邻机公告 FNA 移动节点发送快速邻机公告给NAR 宣告自己到达功能移动节点一切换到新的链路就可以接收分组 PAR 切换前接入路由器NAR 切换后接入路由器 63 移动IPv6快速切换 快速切换类型 切换发起的实体移动节点发起的切换移动节点发送代理路由器公告请求 RtSolPr 给当前接入路由器网络发起的切换PAR发送未经请求的代理路由器公告 PrRtAdv 发送快速绑定更新 FBU 的链路预测型 predictive 快速切换在切换前链路上发送FBU并且接收到FBack反应型 reactive 快速切换在切换后链路上发送FBU PAR 切换前接入路由器NAR 切换后接入路由器 64 移动IPv6快速切换 快速切换类型 切换发起的实体移动节点发起的切换移动节点发送代理路由器公告请求 RtSolPr 给当前接入路由器网络发起的切换PAR发送未经请求的代理路由器公告 PrRtAdv 发送快速绑定更新 FBU 的链路预测型 predictive 快速切换在切换前链路上发送FBU并且接收到FBack反应型 reactive 快速切换在切换后链路上发送FBU PAR 切换前接入路由器NAR 切换后接入路由器 65 移动IPv6快速切换 预测型快速切换 连接 移动节点 PAR NAR 断开 PAR 切换前接入路由器NAR 切换后接入路由器 66 移动IPv6快速切换 反应型快速切换 连接 移动节点 PAR NAR 断开 PAR 切换前接入路由器NAR 切换后接入路由器 67 快速切换延时分析 切换发生前生成转交地址 减少了移动IPv6切换过程中的地址自动配置延时切换后IP层通过来自链路层连接建立信息 LinkUp触发器 立即感知移动到了新的链路 减少了移动检测延时切换后完成新的转交地址绑定注册之前仍然可以接收目的地址为切换前转交地址的分组 减少了绑定注册延时 68 IEEE802 21 媒介无关切换 MIH MediaIndependentHandover 标准目标 开发一个能够向上层提供链路层智能和其它相关网络相关信息的规范 以优化异构网络之间的切换通过定义通用的SAP ServiceAccessPoint 和其它的原语来实现链路层的智能媒介无关事件服务提供了相应于链路特性和链路状态的动态变化的事件 媒介无关命令服务使得MIH用户能够管理和控制本地链路与切换和移动性相关的行为 媒介无关信息服务为MIH用户提供了做出有效切换决定的有用信息 69 层次移动IPv6 概述 目标减少移动节点到家乡代理和通信对端的绑定注册延时减少大量移动节点频繁切换所造成的骨干网上通信信令开销兼容移动IPv6协议原理子网划分成域例如一