（计算机应用技术专业论文）移动ipv6环境中的aaa研究.pdf

摘要 下一代的互联网将是高度商业化的网络，对合法的用户进行有偿服务是网络管理的 需要，即为相应级别的用户提供相应级别的服务。a a a ( a u t h e n t i c a t i o n 认证，a u t h o r i z a t i o n 授权，a c c o u n t i n g 计费) 作为一种有效的安全认证和管理模式，在移动i p v 6 的网络安全 管理中将发挥很重要的作用。 本文首先研究了移动i p v 6 的工作原理、基本操作，对移动i p v 6 和移动i p v 4 进行了 对比，讨论了移动i p v 6 面临的安全问题，它自身有哪些安全机制来对抗这些安全问题。 然后介绍了a a a 协议的概念，a a a 的几种模型，描述了现有的a a a 应用协议，如 k e r b e r o s 、r a d i u s ( r e m o t ea u t h e n t i c a t i o nd i a l i nu s e rs e r v i c e ) 和t a c a c s + ( t e r m i n a l a c c e s sc o n t r o l l e ra c c e s sc o n t r o ls y s t e mp l u s ) 的工作原理、优点和缺点。重点介绍了将 应用于移动i p v 6 的d i a m e t e r 协议的结构、特点，在基本协议的基础上讨论了几种 d i a m e t e r 的扩展协议。 其次，说明将a a a 应用于移动i p v 6 中的必要性，介绍了一般a a a 认证的过程， 讨论了a a a 域内快速认证过程，在此基础上设计a a a 域间快速认证，并做出用于计 算认证消耗的模型图，对三种认证过程的消耗进行计算，比较计算结果，表明提出的 a a a 域间快速认证比一般a a a 认证效率高。 最后，设计了一个用于移动i p v 6 中的a a a 计费机制。说明移动i p v 6 中a a a 计费 研究的必要性，设计a a a 计费系统总体流程，对计费资源进行分析，做出费用计算模 型，设计出具体的计费系统模块，实现了其中的服务点数据收集模块。 关键词：移动p v 6 安全管理a a a 快速认证计费机制 a b s t r a c t n e x tg e n e r a t i o ni n t e r a c tw i l lb eah i g h l yc o m m e r c i a ln e t w o r k ，c h a r g i n gt h el e g a l c u s t o m e r si st h en e e do fn e t w o r km a n a g e m e n t ，t h a ti sp r o v i d i n gt h ec o r r e s p o n d i n gc l a s s s e r v i c ef o rt h ec o r r e s p o n d i n gc u s t o m e r s a a a ( a u t h e n t i c a t i o n ，a u t h o r i z a t i o n ，a c c o u n t i n g ) ，a s ak i n do fe f f e c t i v es a f ea u t h e n t i c a t i o na n dm a n a g e m e n tm o d e ，w i l lp l a ya ni m p o r t a n tp a r ti n s a f en e t w o r km a n a g e m e n to fm o b i l ei p v 6 f i r s t l y , t h i sp a p e ri n v e s t i g a t e st h ew o r k i n gp r i n c i p l ea n db a s i co p e r a t i o no fm o b i l ei p v 6 ， c o m p a r e sm o b i l ei p v 6t om o b i l em v 4 ，d i s c u s s e st h es a f ep r o b l e mo fm o b i l ei p v 6 + w h i c hs a f e m e c h a n i s m sm o b i l ei p v 6c a np r o v i d e s t h e nt h ep a p e ri n t r o d u c e st h ec o n c e p to fa a a p r o t o c o l ，s o m ek i n d so fa a am o d e l s ，d e s c r i b e st h ee x i s t i n ga a aa p p l i c a t i o np r o t o c o l s ，s u c h a sk e r b e r o s ，r a d i u s ( r e m o t ea u t h e n t i c a t i o nd i a l i nu s e rs e r v i c e ) a n dt a c a c s + ( t e r m i n a la c c e s sc o n t r o l l e r a c c e s sc o n t r o ls y s t e mp l u s ) ，d e s c r i b e st h ew o r k i n gp r i n c i p i e ， t h ea d v a n t a g ea n dw e a k n e s so ft h e s ea a a p r o t o c o l s t h i sp a p e re m p h a s i z e st h es t r u c t u r ea n d c h a r a c t e ro fd i a m e t e r , w h i c hw i l lb ea p p l i e di nm o b i l ei p v 6 b a s e do nt h eb a s i cd i a m e t e r , t h e p a p e rd i s c u s s e ss o m ee x t e n d e dp r o t o c o l s s e c o n d l y , t h i sp a p e re x p l a i n st h en e c e s s i t yt oa p p l ya a a f o rm o b i l ei p v 6 ，i n t r o d u c e s g e n e r a lp r o c e s so fa a a a u t h e n t i c a t i o n d i s c u s s e sa a af a s ta u t h e n t i c a t i o ni nad o m a i n o n t h i sf o u n d a t i o n t h ep a p e rd e s i g n sa a af a s ta u t h e n t i c a t i o nb e t w e e nd o m a i n sa n dd r a w st h e m o d e ld i a g r a mf o rc o m p u t i n ga u t h e n t i c a t i o n c o n s u m p t i o n t h i sp a p e rc a l c u l a t e s t h e c o n s u m p t i o no ft h e s et h r e ek i n d so fa u t h e n t i c a t i o n ，c o m p a r e st h er e s u l t ，i td e m o n s t r a t e st h a t a a af a s ta u t h e n t i c a t i o nb e t w e e nd o m a i n si sm o r ee f f i c i e n tt h a ng e n e r a lp r o c e s so fa a a a u t h e n t i c a t i o n a tl a s t ，t h i sp a p e rd e s i g n sa na a ac h a r g i n gm e c h a n i s mf o rm o b i l e p v 6 t h ep a p e r e x p l a i n st h en e c e s s i t yo fa a ac h a r g i n gr e s e a r c h d e s i g n st h ew o r k i n gp r o c e s sc h a r to ft h e c h a r g i n gs y s t e m ，a n a l y z e st h ec h a r g i n gr e s o u r c e ，m a k e sa nm o d e lo fc o s tc a l c u l a t i o n ，d e s i g n s d e t a i l e dc h a r g i n gm o d u l e s ，i m p l e m e n t sd a t ac o l l e c t i o nm o d u l eo fa t t e n d a n t k e y w o r d s ： m o b i l ei p v 6 ，s a f e m a n a g e m e n t ， a aa ，f a s ta u t h e n t i c a t i o n ， c h a r g i n g m e c h a n i s m 1 1 研究背景 第一章绪论 随着i n t e r n e t 以惊人的速度发展，人类生活节奏的加快，越来越多的人成为了移动 办公的一分子，包括远程计算人员、移动售货人员以及其他一些经常需要跑来跑去的人。 这些人急切地需要在任何地点、任何时候都能获得i n t e m e t 的服务。不断增加的移动办 公人群、移动计算技术的发展和人们对网络技术越来越强的依赖，这三方面一起推动着 移动计算机与其他计算机相连的需求，包括与固定的和移动的计算机连接。这使得提供 移动的i n t e r n e t 接入成为当前i n t e r n e t 技术研究的热点之一。 由于i n t e m e t 网络本身设计的缺陷及其开放性，i n t e r n e t 很容易受到黑客的入侵。计 算机网络是一种有着广泛应用的信息传输系统，它是计算机与通信相结合的产物，它的 安全性至关重要，特别是以i n t e m e t 为代表的计算机网络正在成为未来全球信息系统最 重要的基础设施，它的安全性将直接影响社会稳定和国家安全。移动口是在原来p 协 议的基础上为了支持结点移动而提出的解决方案，让人们在任何地点都可以随时连接 i n t e m e t 。它的主要设计目标是移动结点在改变网络接入点时，不必改变网络的口地址， 能够在移动过程中保持通信的连续性。 i n t e m e t 工程任务组i e t f ( i n t e r n e t e n g i n e e r i n g t a s k f o r c e ) 下属的移动i p 工作组( i p r o u t i n g f o r w i r e l e s s m o b i l e h o s t ) 在1 9 9 2 年制定了移动口的最初标准草案。i n t e r n e t 工 程指导小组i e s g ( i n t e m e te n g i n e e r i n gs t e e r i n gg r o u p ) 在1 9 9 6 年6 月通过了移动口标 准草案，在1 9 9 6 年1 1 月公布了建议标准( p r o p o s e ds t a n d a r d ) ，为移动p 成为i n t e r n e t 正式标准打下了基础，对移动口的发展起了关键性的作用。 1 2i p v 6 的起源、国内外研究现状 i p v 6 协议的研究起源于2 0 世纪9 0 年代初【2 ，i p v 6 是下一代互联网协议，该协议 是i e t f 在比较多种i p n g ( i p n e x t g e n e r a t i o n ) 方案的基础上，最后以“简单互联网协议 增强( s p ) ”为基础加以改进而形成的。i p v 6 协议最初的草案是1 9 9 5 年由c i s c o 公司 的s t e v ed e e r i n g 和n o k i a 公司的r o b e r th i n d e n 起草完成的。 目前国际上主要是由i e t f 负责i p v 6 的标准制定工作，除i e t f 之外，i c a n n ( 互 联网地址分配机构) 、i p v 6 论坛和w i d e 等国际组织也正积极开展i p v 6 的研究。各国研 究情况： 美国：i p v 4 的发源地，拥有全世界约7 0 的i p v 4 地址。思科、j u n i p e r 、微软、苹 果、惠普、m 和s u n 等各主要厂商都己提供i p v 6 支持。 欧洲：通信事业相当发达，因此它们在i p v 6 的研究和商业化应用方面更注重移动 通信领域的发展，采取“先移动，后固定”的基本战略。诺基亚、爱立信、英国电信、 法国电信和6 w i n d 等欧洲公司是i p v 6 研究及商业实施的主要引导者。 日本：电子设备和信息家电产业高度发达，对i p 地址迫切需求，因此它在i p v 6 研 究和应用方面步伐大、速度快，而且在i p v 6 商业化推广方面一直走在世界前列。全世 界最早实现i p v 6 硬件支持的是日本的网络设备厂商，如日立、n e c 和富士通。 韩国：由于韩国政府对r 1 1 产业的重视，韩国的互联网络得到飞速发展。快速发展 的互联网使p 地址日益紧张，所以韩国正积极努力地将现行l p v 4 互联网络转变到i p v 6 互联网络。 中国：由于历史原因，我国互联网处于后进状态，在m 地址上的供需严重失衡。 中国是全球最需要口地址的国家之一，i p v 6 将给中国带来巨大机遇。我国相关研究机 构、高校、厂商及运营商也已开始跟踪与关注p v 6 技术发展，投入p v 6 技术研究，建 成一些i p v 6 实验床及实验网络，如6 t n e t ( i p v 6t e l e c o mt r i a ln e t w o r k ) 下一代电信 实验网、湖南i p v 6 实验网、中国电信集团i p v 6 实验网、中国高性能宽带信息网、中国 教育与科研c e r n e ti p v 6 实验网等。 1 3 a a a 协议 1 a a a 定义、基本概念 a a a 是指i n t e m e t 中的认证、授权与计费协议。 i n t e r n e t 中的资源越来越丰富，服务越来越多。但i n t e m e t 已经从当初的科研用途的 网络发展成为商业化的网络，大部分资源都要保护以免被不正当地使用，而且资源和服 务的使用是需要付费的。为公众提供商业服务，有三个问题需要解决：认证、授权和计 费2 7 1 。 认证( a u t h e n t i c a t i o n ) ：确定用户是谁。例如用户通过键入用户姓名和密码向系统 验证自己。 授权( a u t h o r i z a t i o n ) ：确定允许用户做什么。例如确定用户登录以后哪些资源可以 被该用户访问。 计费( a c c o u n t i n g ) ：统计用户使用了多少资源。有时计费还包含有审计的功能。 2 将a a a 应用到移动i p v 6 中的要求、目前a a a 研究情况 移动使得移动结点在改变i n t e r n e t 中的接入位置时保持不间断的数据通信能力。 但是移动i p 主要是提供跨子网的移动支持，而没有考虑到跨管理域的情况，这就极大 地限制了移动口在p 网络上的商业应用和普及。进一步说，移动要求移动结点使用 静态的家乡代理和家乡地址，这也是限制其在商业网络广泛应用的一个缺陷。a a a 服 务器必须能够根据有别于用户口地址的其它方法来标识用户。一般采用网络服务标识 n a i ( n e t w o r k a c c e s si d e m i f i e r ) 来标识用户，n a i 的格式为“u s e r r e a l m ”。使用n a i 可以让本地a a a 服务器很容易判断出用户的家乡域。 下一代的互联网将是高度商业化的网络，对合法的用户进行有偿服务是网络管理的 需要，即为相应级别的用户提供相应级别的服务。a a a 作为一种有效的安全认证和管 理模式，在移动i p v 6 的网络安全管理中将发挥很重要的作用。 早期的a a a 概念的提出是针对电话接入用户的身份的认证、授权用户使用n a s 所提供的网络服务和用户对网络资源使用情况统计的总称。目前由于互联网的发展， 1 e t f 工作组对原始的a a a 进行了改进，提出了新的a a a 协议，如r a d i u s 、 t a c a c s + 和d i a m e t e r 等，在论文的第三章将加以详细介绍。 1 4 论文的主要内容 需要实时了解网络资源的使用情况，防止不合法的用户使用本网络的资源，根据计 费信息合理分配网络资源，这才是a a a 的主要目的。另一方面，出于安全的考虑又必 须对这些敏感信息进行保护，所以如何尽量减少a a a 的处理过程对性能的影响才是解 决目前移动i p v 6 的推广使用的主要问题。在这样的技术背景下，本文做了以下几方面 的工作： 第一，深入研究了移动i p v 6 技术。详细描述了移动i p v 6 的工作原理、基本操作， 对移动i p v 6 和移动口v 4 进行了对比。讨论了移动i p v 6 面临的安全问题，它自身有哪些 安全机制来对抗这些安全问题。 第二，对a a a ( a u t h e n t i c a t i o n 认证，a u t h o r i z a t i o n 授权，a c c o u n t i n g 计费) 协议进行 了研究。介绍了a a a 协议的概念、作用，a a a 的几种模型，描述了现有的a a a 应用 协议，如k e r b e r o s 、r a d i u s 和t a c a c s + 的工作原理，使用的优点和缺点。重点介绍 了将应用于移动i p v 6 的d i a m e t e r 协议的结构、特点，在基本协议的基础上讨论了几种 d i a m e t e r 的扩展协议。 第三，设计a a a 域间快速认证，并做实验进行验证。说明将a a a 应用于移动l p v 6 中的必要性，介绍了一般a a a 认证的过程，讨论了a a a 域内快速认证过程，在此基 础上设计a a a 域问快速认证，并做出用于计算认证消耗的模型图，对三种认证过程的 消耗进行计算，比较计算结果，表明提出的a a a 域间快速认证比一般a a a 认证效率 高。 第四，设计了一个用于移动i p v 6 中的a a a 计费机制。说明移动i p v 6 中a a a 计费 研究的必要性，设计a a a 计费系统总体流程，对计费资源进行分析，做出费用计算模 型，设计具体的计费系统模块，在v c + + 环境下实现了其中的服务点数据收集模块。 第二章移动i p v 6 基于口v 4 的互联网在实际应用中越来越暴露出不足之处，这些问题已经成为制约 互联网发展的重要障碍，只有通过下一代互联网的建设才能彻底、有效地解决问题，于 是i p v 6 技术应运而生了。 2 1 移动口概念 移动口协议是适应当前i n t e r n e t 对移动性的要求发展起来的，它的基础是在i p v 4 基于网络前缀路由的前提下，使得主机可以在不同网络间移动时，仍然能够保持正常的 通信删。 下面是一个典型的移动p 网络结构图。 家乡网络移 家乡地址 家乡子网前 子网a 移动结点“离开家乡” 图2 1 移动p 网络结构图 通信结点 图2 1 中，移动结点m n ( m o b i l en o d e ) 的“原始位置”，即为移动结点在家乡时 的状态，这时的移动结点m n 的子网前缀都是原始的p 地址，这和固定主机是一样的， 此时没有发生移动，它与子网c 上的通信结点c n ( c o r r e s p o n d e n tn o d e ) 的通信和目前 的固定主机的通信是一样的，只是中间需要经过家乡代理h a ( h o m ea g e n t ) 。当移动 结点m n 发生移动时，移动结点m n 在子网b ，此时移动结点m n 的状态处于外地网络 上，它的p 地址应由外地网络上的分配机制配置或者通过地址自动配置来自动配置( 如 在i p v 6 环境中) ，这个地址称为转交地址c o a ( c a r e o f a d d r e s s ) 。移动结点需要将这个 地址告知家乡代理，这个过程称为注册绑定( b i n d i n g ) ，就是家乡代理将移动结点的固 定口地址和转交地址对应起来。这样，当移动结点处于不是家乡网络的任何网络上时， 移动结点所在的网络就称之为外地网络，m n 原来和通信结点的通信数据不会因为它的 移动而丢失，而是由家乡代理转交给处于外地网络上的移动结点m n 。移动i p v 4 就是通 4 过这样的方式进行数据的连续通信。 通过上面的介绍能够很明显地看到，移动口中提出了三类通信实体：移动结点、 家乡代理和外地代理： 移动结点m n ( m o b i l en o d e ) 是可以在不同网络中切换的主机或者路由器。移动 结点可以改变它的网络接入点，但不需要改变口地址，并且使用原有的口地址可以 继续和其他结点通信。 家乡代理h a ( h o m e a g e n t ) 是位于移动结点家乡网络( h o m e l i n k ) 上的路由器。 当移动结点离开家乡网络时，它负责把发往移动结点的数据通过隧道发给移动结点，并 且维护移动结点当前位置信息。 外地代理f a ( f o r e i g na g e n t ) 是位于移动结点所访问的网络上的路由器，为注册 的移动结点提供路由服务。它接收移动结点的家乡代理通过隧道发来的报文，进行拆封 后发给移动结点：对于移动结点发出的报文，外地代理提供类似默认路由器的服务。家 乡代理和外地代理可以统称为“移动代理”。 在移动i p v 6 中，由于移动结点可以通过i p v 6 的邻居发现机制，采用无状态的地 址自动配置的方式获得转交地址，因此没有了外地代理的概念，而由处在外地的接入路 由器承担对移动结点的绑定请求等转发任务。 2 2 移动i p v 6 概述 1 移动p v 6 一般性描述 移动i p v 6 是i p v 6 的重要组成部分，它提供对结点移动和网络移动支持，是到目前 为止最优秀的支持移动接入的网络协议。许多专家认为l p v 6 的投入运行，第一个获得 巨大应用的将是移动接入应用。移动互联网上有许多新型而精彩的服务，移动i p v 6 将 是实现这些服务的关键。当越来越多的移动终端需要配有p 地址时，i p v 6 将为所有的 移动终端提供唯一的讲地址，移动l p v 6 将可以实现i p v 6 设备( 包括移动的和固定的) 之间随时随地的端到端通信。对于移动i p v 6 的研究，人们当前的主要工作还处于对一 系列相关协议进行标准化的阶段，还有许多工作尚未完成。而在国内，对于移动i p v 6 的 研究还处于起步阶段。 移动i d v 6 是由移动i p v 4 发展而来，但是由于它是基于i p v 6 协议的，所有有很多新 特点，如足够大的地址空间、更高的安全性、支持三角路由优化、没有路由器入口过滤 问题等等。如图2 2 是移动i p v 6 的结构图1 7 j 。 移动i p v 6 中主要有三个通信实体：移动结点m n 、家乡代理h a 和通信结点c n 。 移动结点在家乡网络时，可以把它当成不是移动结点，按正常路由机制通信。在外地网 络时，如果通信结点向移动结点发送数据包，就根据数据包的目的地址在自己的绑定缓 存中检查有没有存在的匹配记录。如果有，通信结点就利用第二类路由头( 当一通信结 点向移动结点发送数据包时，在数据包中使用第二类路由包头来携带家乡地址，这种路 图2 2 移动i p v 6 的结构图 由包头严格限制只能携带一个i p v 6 地址，所有处理该路由包头的i p v 6 结点必须确定其 中包含的i p v 6 地址是此结点的家乡地址，防止将此数据包从本结点转发出去) ，以移动 结点的转交地址为目的地址，将数据包发送到移动结点。移动结点接到后，从第二类路 由头中提取出家乡地址，作为数据包的最终目的地址。如果没有匹配记录，通信结点就 将数据包先发到家乡代理，家乡代理再通过隧道发给移动结点，这样移动结点知道自己 与通信结点还没有绑定，就可以与通信结点建立一个绑定。 2 移动i p v 6 详细描述【2 7 】 ( 1 ) 在家乡网络和外地网络中的移动结点m n 在家乡网络中，家乡代理h a 是一个为声明它的存在而周期性地传送路由通告消息 r a ( r o u t e r a d v e r t i s e m e n t ) 的路由器，如图2 3 所示。 图2 3 h a 发送路由通告 路由通告消息r a 是一个属于邻居发现协议的i c m p v 6 消息。在子网上出现的结点 使用这个消息来了解对自动配置地址必要的前缀信息。移动i p v 6 已经改进了r a 的格式 并且添加了新的选项，所有这些选项不是要求必须遵循的，但h a 应该广播它们中的大 部分。同这样的r a 一起，移动结点应能： a 检测所有连接到它当前子网的h a s ； 6 b 检测这些h a s 的全局i p v 6 地址； c 了解r a s 通告间隔； d 决定任意h a 和任意r a 生存期的优先权。 这样，移动结点周期性地接收它的h a 的r a ，并且确定其在它的家乡网络中。 移动结点到达外地网络，进行网络连接如图2 4 所示，链路层建立以后，移动结点 检测新的子网，并且检测p 子网的改变。 图2 4 外地网络中的m n 为了检测移动结点的移动，它可以像使用其他方法一样使用邻居发现协议机制。这 个方法基于当前存在于子网中的路由器发送的r a 消息的接收。通过接收由路由器发出 的r a 消息，移动结点维护前缀和默认路由器列表。当移动结点检测到它同当前路由器 再没有任何连接时，移动结点在它的默认路由器列表中选择另外一个并且从相应的前缀 开始创建它的地址。在移动结点的范围内，这就是众所周知的转交地址。 由于邻居发现协议或者由于相互间的传输失败，移动结点认为它不再同默认路由器 相连。如果这种情况在r a 中出现，它也将使用通告间隔选项消息。间隔时间结束以后， 如果移动结点没有收到从同一个路由器发出的任何一个r a 消息，移动结点认为它同这 个路由器失去了联系。 这样，当移动到外地网络时，移动结点除了可以收到本地子网的当前路由器的r a 以外不能收到任何其他h a 的r a 。移动结点以这个最后的路由器为它的默认路由器， 并且以新的前缀创建它的主转交地址c o a ( c a r e o fa d d r e s s ) 。然后，移动结点在它的 h a 登记主转交地址。实际上，在一些例子中，移动结点接收各种各样的前缀，并且在 它的h a 创建出了一个叫做主c o a 的几个转交地址以用于记录。 ( 2 ) 移动结点绑定更新 这里假定移动结点知道自己的转交地址和自己的h a 地址。这样，移动结点交换关 于自己的这样的消息叫绑定更新b u ( b i n d i n gu p d a t e ) 和绑定确认b a ( b i n d i n g 7 a c k n o w l e d g e m e n t ) ，如图2 5 所示。这些消息允许移动结点m n 、家乡代理h a 和通信 结点c n 维护它们的绑定缓存( 一种它们的通信结点位置的列表) 。 图2 5 移动结点绑定更新 h a 绑定更新 绑定更新b u ( b i n d i n gu p d a t e ) 被移动结点m n 发送到h a 和m n 的通信结点。这 个消息在它们的绑定缓存中更新当前m n 的位置。实际上b u 是一个能被包含在任意的 带或不带载荷的i p v 6 数据报内的目的选项扩展选项。b u 至少包含m n 的主转交地址 c o a 和m n 更新的生存期( 生存期设置为0 意味着在绑定缓存中删除c o a ) 。 所有载着b u 的数据包必须得到保护。移动结点可以在一个特殊的报文中发送绑定 更新给任何通信结点或者移动结点可以等待请求以转发一些数据给它的通信结点。 移动结点能发送绑定更新到一个特殊的通信列表或者等待接收由它的h a 再次转发 来的数据( 这意味着通信结点没有接收任何b u ) 。这样，移动结点可能决定不需要通告 自己的位置给它的通信结点。 b u 被发送的条件是：移动结点已经检测到一个移动；最后发送的绑定更新的生存 期已接近终止日期；移动结点刚才已经收到一个绑定请求( 由一个通信结点发送以请求 一个新的绑定) 。 b 绑定确认 移动结点能要求它的h a 或通信结点确认它的b u ，然后通信结点必须以一个绑定 确认消息b a 应答。b a 确认通信结点已经升级它的绑定缓存。像许多绑定更新消息b u 一样，每个绑定确认消息b a 也必须得到保护。 来自家乡代理h a 的绑定确认。一旦绑定更新消息b u 被接受，家乡代理在家乡网 络中发送一个邻居通告消息。那些消息更新所有家乡网络结点的缓存。通过这种方式， h a 的m a c 借助于m n 的子网前缀同所有的m 地址联系。然后，h a 使用邻居通告回 复代表m n 利益的邻居请求的请求。所有发送到m n 的数据包将被发送到h a 。h a 修 改它的路由过程以至截取全部发往m n 的数据包，封装它们并且向m n 的当前位置发送 它们。 来自一个通信结点的绑定确认。一旦b u 被接受，通信结点为要被发送到m n 的数 据包修改其路由过程。那些数据包将不向m n 的家乡网络路由而是由于包含了“第二类 路由头”向着m n 的外地网络路由。 3 数据包转发 一旦所有的绑定缓存被更新，移动结点能继续同它的通信结点进行积极的通信，并 且开放或者接收新的通信。 ( 1 ) 移动结点m n 转发数据包到通信结点c n 通过移动结点m n 发送到通信结点c n 的数据包被直接在外地网络和通信网络间转 发。在发送任何数据包之前，移动结点必须： a 选择移动结点m n 的转交地址作为避免在外地网络出口的任何过滤问题的源地 址： b 添加家乡地址选项； c 保持通信结点c n 的i p 地址与目的地址一致。 通过这种方法，数据包好像是建立在家乡网络的连接的一部分。移动结点使用这种 方式发送数据包给包括家乡代理在内的所有它的通信结点。除非如果数据包包含b u 选 项，家乡地址选项将不能用于更新通信结点c n 的绑定缓存。 ( 2 ) 通信结点c n 转发数据包到移动结点m n 通过通信结点c n 使到移动结点m n 的数据包直接在通信结点网络和外地网络间转 发。在发送任何数据之前，通信结点必须： a 选择移动结点m n 的转交地址作为目的地址，直接向外地网络转发数据包到移动 结点，这样做避免通过家乡代理h a 转发； b 夕 加的第二类路由头选项包括移动结点m n 的家乡地址，因此在收到通信结点c n 的数据包后，传递数据到上层之前移动结点m n 用家乡地址替换目标地址的转交地址； c 让通信结点c n 的p 地址作为源地址。 通过这种方式，数据包被看做是建立在家乡网络的整个连接的一部分。全部通信包 括h a 使用这种方式发送数据包到移动结点。 ( 3 ) 家乡代理h a 截取数据包发送到移动结点m n 一个通信结点发往移动结点家乡地址的数据包，在它没有接收到任何关于移动结点 m n 移动的绑定更新时。这些被家乡代理h a 截取的数据包被封装在另外的i p v 6 数据包 中，并且被发送到外地网络的移动结点m n 中。封装的数据报头有作为移动结点m n 的 转交地址的目标地址和作为源地址的h a 的地址。为了避免窃取修改原始的数据包， 家乡代理使用了封装技术。对它发出的数据包而言，它像所有其它的的通信结点一样运 转，并且使用路由头代替封装。当移动结点接收到一个经过封装的数据包时，它为了避 免咀后的数据包经过家乡代理转发，就发送一个绑定更新到源结点。移动结点也能向它 的通信结点保密其当前的位置，并且通过家乡代理继续接收通信结点的数据包。 4 返回家乡网络 由于来自它的家乡代理的r a 的接收，移动结点检测它的移动和在它的家乡网络上 应答。然后在使用它的家乡地址作为源地址时，为了让它取消所有关于它的记录，移动 结点在它的家乡代理中登记。家乡代理以一个绑定确认回复。确认以后，家乡代理停下 来为移动结点家乡地址做代理邻居发现操作，并且在所有的家乡网络结点缓存间移动结 点传送一个邻居通告消息，以恢复它的二级地址和它的口地址之间的映射。 在这个“去登记( d e r e g i s t r a t i o n ) ”的尾部，对被发送或定向到移动结点的数据包， 家乡代理和移动结点使用经典的转发机制。移动结点在它的通信结点绑定缓存中删除关 于它的移动信息。 5 移动l p v 6 其他功能 ( 1 ) 移动代理请求 在路由器通告消息缺乏和如果其他方法没有完成移动以及转交地址发现时，移动结 点能发送一个路由器请求消息来发现一个路由器的存在。邻居发现协议定义路由器请求 消息，当前存在于子网上的路由器必须应答请求。 ( 2 ) 动态家乡代理发现 移动结点也许并不知道其家乡代理的m 地址( 因为并没有在家乡代理上配置地址) ， 那么当移动结点移动到外地网络时，移动结点将尽力发现其动态家乡代理的i p 地址。 移动结点在它的家乡网络上发送一个叫做“家乡代理地址发现请求”的i c m p 消息。家 乡代理h a 一接到消息，就以一个叫做“家乡代理地址发现应答”的i c m p 消息进行回 复。消息包括存在于家乡网络中全部当前家乡代理的优先选项中的口地址列表。这样， 移动结点将选择它希望的家乡代理。对于被所有家乡代理发送的r a 消息，每一个家乡 代理不得不保持一个家乡代理的列表。 ( 3 ) 绑定请求 一个经常同移动结点通信的通信结点，当它的绑定缓存接近终止期需要发送一个绑 定请求( 等于一个为了绑定更新的请求) 时，这个请求是一个能被包括在数据包中的选 项。接收到一个请求后，移动结点以一个绑定更新消息作为应答在它的通信缓存中维护 其位置信息。如果移动结点不想暴露自己的位置，它把一个生存期设为0 ，并且转交地 址设为它的家乡地址的绑定更新消息来作为应答。 ( 4 ) 流量转发 当移动结点离开一个网络后到达一个新的外地网络时，移动结点向它的家乡代理和 它的新位置的通信结点通告。这个更新允许家乡代理和通信结点向新的外地网络发送它 们的数据包。另一方面，在这个更新到达原先的外地网络之后，全部的数据包被转发到 新的外地网络。如果家乡代理在原先的外地网络是可用的，移动结点为了通信转发服务 需要这个家乡代理。首先，移动结点必须发送一个绑定更新到家乡代理，这个绑定更新 必须包括作为源地址的新的c o a ( 一个移动结点已经在新的外地网络中获得的) 和作为 家乡地址的c o a ( 在原先的外地网络中获得的) 。 1 0 由于在新的外地网络上r a 通告或者通过使用家乡代理发现机制使移动结点了解到 在网络上有一个家乡代理的存在，这些绑定升级也必须得到保护。 2 3 移动i p v 6 与移动i p v 4 的区别 移动i p v 6 与移动i p v 4 的主要区别【2 6 j ： 1 移动l p v 6 有路由优化机制。 如图2 6 所示在移动口v 4 中，通信结点不能直接向移动结点发送数据包，而是要先 发到家乡代理，家乡代理用隧道转发给移动结点的转交地址。移动i p v 4 的地址缺乏， 转交地址常用外地代理的碑地址，这样就是外地代理先解封装后再把数据包发给移动 结点。而反过来，移动结点发给通信结点的数据包则直接转发，这样就形成了通信结点 与移动结点的“三角路由”。移动i p v 6 采用路由优化机制后，通信结点与移动结点直接 通信，消除了“三角路由”问题，如图2 7 所示。 家乡网络 家乡 家乡网络 家乡 图2 6 移动i p v 4 的三角路由现象 通信结点 外地网络 结点 图2 7 移动i p v 6 的优化路由 外地网络 结点 2 入口过滤问题 在移动i p v 6 中，移动结点将它的转交地址作为数据包的源地址，这样的话数据包 就可以通过任何入口过滤的路由器。 3 夕 地代理问题 移动i p v 6 中没有外地代理，移动结点只能通过邻居发现和自动地址配置得到转交 地址。 4 安全方面 移动i p v 6 应用了i p s e c 协议、返回路径可达过程、时间戳、临时随机数、a a a 协 议等等，而移动i p v 4 是依靠自己的安全机制，自己配置“移动安全”，移动i p v 6 的安全 性要比移动i p v 4 的安全性要高。 5 广播数据包 在移动i p v 4 中，移动结点要把广播数据包通过隧道发送到归属代理，在移动i p v 6 中，归属地址选项的使用允许用归属地址进行广播。 6 口v 6 路由包头而不是封装 移动i p v 6 中大多数发往移动结点的数据包都是采用路由包头，而不是进行口封装； 而移动口v 4 必须进行封装，减小了负载。 7 流量控制 i p v 6 的目的选项允许移动i p v 6 的流量控制附件在任何i p v 6 数据包上，而在移动 m v 4 和路由优化扩展中，每个控制信息都要求独立的u d p 数据包。 2 4 移动i p v 6 面临的安全问题 移动i p v 6 可以看做是i p v 6 加上了移动扩展功能。从数据安全的角度来看，移动i p v 6 发展的基本目标是这样的：从移动结点的角度考虑，它必须至少和基本的i p v 6 或者i p v 4 一样安全；从网络上其他结点的角度考虑，对i p v 6 不应该引入新的安全威胁。 虽然移动p v 6 相对于移动p v 4 安全性提高了，但是还是面临许多安全威胁。因为 移动通信与固定网络通信不一样，有它自己的特殊性，如结点可以移动，并且可以随时 随地接入网络，传输媒介可以是无线也可以是有线。在移动通信中传输的数据更容易被 干扰、监听和篡改。 移动i p v 6 面临来自不同方面的安全威胁，如对绑定注册信息的威胁和对所传递数 据的威胁等。如果接受者不能辨别非法的绑定更新消息，会造成很严重的后果 7 1 。 攻击者可能伪造绑定更新中的转交地址，如果移动结点的家乡代理接受了这样的绑 定更新，会把截取的数据包发送到攻击者的指定位置，导致移动结点无法收到数据包。 如果通信结点接受了这样的绑定更新，发送给移动结点的数据包也不能到达目的地。更 为严重的是，如果通信结点向请求者发送高带宽的视频流，伪造的转交地址那里会收到 大量的数据包，这种反射攻击不仅能造成对转交地址对应结点的攻击，也能造成对攻击 者指定的转交地址所属网络的攻击。而对于这样的数据包，由于有隧道机制的保护，接 收数据方的入境过滤很难检测出来。 类似的，恶意的移动结点也可能伪造绑定更新声称自己拥有受害者的家乡地址。通 信结点接受这样的绑定更新后，会把本来发向移动结点的数据包重定向到攻击者，使攻 击者窃取到数据包的内容。而且攻击者可以把重定向的数据包转发到移动结点，扮演移 动结点和通信结点之间的中间人，从而窃听移动结点和通信结点的通信。攻击者如果重 放( r e p l y ) 移动结点曾经发送过的绑定更新，也可能破坏移动结点当前的通信。如果重 放的绑定更新消息被接受，发向移动结点的数据包将被发送到移动结点以前的转交地 址。 攻击者也可能引诱移动结点给大量结点发送绑定更新信号，这些结点可能是实际存 在的也可能是虚拟的，消耗了移动结点的大量资源。 还有一些攻击是针对家乡代理和移动结点之间的信号，包括两方面：一个是针对 i c m p 移动前缀请求和通告消息的攻击，一个是针对i c m p 家乡代理发现请求和应答消 息的攻击。移动结点发送前缀请求消息给家乡代理，是想收集家乡网络的前缀信息，而 家乡代理发送通告消息是告诉移动结点这些前缀信息。攻击者可能会伪造通告消息欺骗 移动结点，使移动结点家乡网络的前缀消息变成攻击者的网络前缀信息。攻击者也可能 通过监听前缀信息来了解移动结点家乡网络的拓扑信息，为以后的攻击做准备。移动结 点给所有有家乡网络前缀的家乡代理发送家乡代理地址发现请求消息，由于发消息用的 是泛播地址，请求消息无法保护，容易受到攻击。 其他还有d o s 攻击、家乡地址选项带来的安全问题等等。 2 5 移动i p v 6 自身的安全机制 2 5 1i p s e c ( i ps e c u r i t y ) 安全机制 为了实现网络安全的目标，移动i p v 6 提供了一些安全机制对移动结点和其他结点 之间进行的通信加以保护，先讲一下i p s e c 协谢“j 。 对于移动i p v 6 来说，家乡地址和转交地址的绑定信号是最重要的，是最需要保护 的。移动i p v 6 规定了i p s e c 作为移动结点的绑定消息的安全保护机制，但是在利用i p s e c 通信之前收发双方需要建立安全关联，通常情况下，移动结点与通信结点之间不存在安 全关联，所以i p s e c 常用来保护家乡代理与移动结点之间的消息。 i p s e c 的最早版本是i e t f 于1 9 9 5 年发布的，i p s e c 是为在层