移动互联网技术详解课件.ppt

《移动互联网技术详解课件.ppt》由会员分享，可在线阅读，更多相关《移动互联网技术详解课件.ppt（81页珍藏版）》请在咨信网上搜索。

第六章第六章 移动互联网移动互联网Standard:IETF相关工作组相关工作组n nMobility for IPv4(mip4)Mobility for IPv4(mip4)n nIP Mobility Support for IPv4(RFC3344)IP Mobility Support for IPv4(RFC3344)n nMobility for IPv6(mip6)Mobility for IPv6(mip6)n nMobility Support in IPv6(RFC 3775)Mobility Support in IPv6(RFC 3775)n nUsing IPsec to Protect Mobile IPv6 Signaling between Mobile Nodes and Home Using IPsec to Protect Mobile IPv6 Signaling between Mobile Nodes and Home Agents(RFC 3776)Agents(RFC 3776)n nUsing IPsec between Mobile and Correspondent IPv6 Nodes(draft-ietf-mip6-cn-Using IPsec between Mobile and Correspondent IPv6 Nodes(draft-ietf-mip6-cn-ipsec-01.txt)ipsec-01.txt)n nMIPv6 Signaling and Handoff Optimization(mipshop)MIPv6 Signaling and Handoff Optimization(mipshop)n nFast Handovers for Mobile IPv6(RFC 4068)Fast Handovers for Mobile IPv6(RFC 4068)n nHierarchical Mobile IPv6 mobility management(HMIPv6)(RFC 4140)Hierarchical Mobile IPv6 mobility management(HMIPv6)(RFC 4140)n nMobile IPv6 Fast Handovers for 802.11 Networks(draft-ietf-mipshop-80211fh-04.txt)Mobile IPv6 Fast Handovers for 802.11 Networks(draft-ietf-mipshop-80211fh-04.txt)n nMobile Nodes and Multiple Interfaces in IPv6(monami6)Mobile Nodes and Multiple Interfaces in IPv6(monami6)n nNetwork Mobility(nemo)Network Mobility(nemo)n nNetwork Mobility Support Goals and Requirements(draft-ietf-nemo-requirements-Network Mobility Support Goals and Requirements(draft-ietf-nemo-requirements-05.txt)05.txt)n nNetwork Mobility(NEMO)Basic Support Protocol(RFC 3963)Network Mobility(NEMO)Basic Support Protocol(RFC 3963)Papersn nJSAC:IEEE Journal on Selected Areas in Communicationsn nMOBILE ROUTERS AND NETWORK MOBILE ROUTERS AND NETWORK MOBIITYMOBIITYn nhttp:/www.jsac.ucsd.edu/TOC/2006/Sept06.htmlhttp:/www.jsac.ucsd.edu/TOC/2006/Sept06.htmln nIEEEn nhttp:/ieeexplore.ieee.orghttp:/ieeexplore.ieee.orgn nACMn nhttp:/portal.acm.orghttp:/portal.acm.org内容内容n n引言n n移动IP(MIP:Mobile IP)的基本原理n n移动移动IPv4(MIPv4)IPv4(MIPv4)的原理的原理n n移动移动IPv6(MIPv6)IPv6(MIPv6)的原理的原理n nMIP的安全性n nMIPv4MIPv4的安全性的安全性n nMIPv6MIPv6的安全性的安全性n nMIPv6信令和切换优化n n网络移动(Network Mobility)内容内容n n引言n n移动IP(MIP:Mobile IP)的基本原理n n移动移动IPv4(MIPv4)IPv4(MIPv4)的原理的原理n n移动移动IPv6(MIPv6)IPv6(MIPv6)的原理的原理n nMIP的安全性n nMIPv4MIPv4的安全性的安全性n nMIPv6MIPv6的安全性的安全性n nMIPv6信令和切换优化n n网络移动(Network Mobility)为什么在为什么在IP层引入移动性层引入移动性n n各种底层无线网络之间的漫游各种底层无线网络之间的漫游n nIP Over EverythingIP Over Everythingn n数据、语音、视频等多种业务的融合数据、语音、视频等多种业务的融合n nEverything Over IPEverything Over IP移动移动IP需要解决的问题需要解决的问题接入路由器1通信对端移动节点接入路由器2ADDR1ADDR1 DATA移动移动IP需要解决的问题需要解决的问题接入路由器1通信对端移动节点接入路由器2ADDR2ADDR1 DATAIP地址的改变对于通信对端和上层（IP层以上）是透明的移动节点需要一个在移动过程中保持不变的标识不中断已经建立的连接通信对端始终能够找到移动节点家乡地址内容内容n n引言n n移动IP(MIP:Mobile IP)的基本原理n n移动移动IPv4(MIPv4)IPv4(MIPv4)的原理的原理n n移动移动IPv6(MIPv6)IPv6(MIPv6)的原理的原理n nMIP的安全性n nMIPv4MIPv4的安全性的安全性n nMIPv6MIPv6的安全性的安全性n nMIPv6信令和切换优化n n网络移动术语术语n n家乡地址家乡地址家乡地址家乡地址(HoA:Home Address)(HoA:Home Address)：移动节点的标识，：移动节点的标识，：移动节点的标识，：移动节点的标识，手动配置或者由家乡网络分配，通常不变手动配置或者由家乡网络分配，通常不变手动配置或者由家乡网络分配，通常不变手动配置或者由家乡网络分配，通常不变n n转交地址转交地址转交地址转交地址(CoA:Care-of Address)(CoA:Care-of Address)：移动节点位置：移动节点位置：移动节点位置：移动节点位置的标识，由移动到的外地网络分配，随位置变化的标识，由移动到的外地网络分配，随位置变化的标识，由移动到的外地网络分配，随位置变化的标识，由移动到的外地网络分配，随位置变化n n家乡代理家乡代理家乡代理家乡代理(Home Agent)(Home Agent)：保存移动节点的家乡地：保存移动节点的家乡地：保存移动节点的家乡地：保存移动节点的家乡地址和转交地址之间的映射关系址和转交地址之间的映射关系址和转交地址之间的映射关系址和转交地址之间的映射关系(绑定绑定绑定绑定)n n通信对端通信对端通信对端通信对端(Correspond Node)(Correspond Node)：和移动节点进行通：和移动节点进行通：和移动节点进行通：和移动节点进行通信的网络节点，它可能是静止的节点，也可能是信的网络节点，它可能是静止的节点，也可能是信的网络节点，它可能是静止的节点，也可能是信的网络节点，它可能是静止的节点，也可能是移动节点移动节点移动节点移动节点知道移动节点家乡地址如何将数据包路由到移动节点的转交地址？数据包先路由到家乡代理，由家乡代理发送给移动节点！HoA与CoA的对应关系称为绑定(Binding)基本过程基本过程n n移动检测移动检测移动检测移动检测n n移动节点检测到自己移动到了外地网络移动节点检测到自己移动到了外地网络移动节点检测到自己移动到了外地网络移动节点检测到自己移动到了外地网络n n代理公告（代理公告（代理公告（代理公告（MIPv4MIPv4）/路由器公告（路由器公告（路由器公告（路由器公告（MIPv6MIPv6）n n转交地址配置转交地址配置转交地址配置转交地址配置n nMIPv4MIPv4n n外地代理转交地址（即外地代理地址）外地代理转交地址（即外地代理地址）外地代理转交地址（即外地代理地址）外地代理转交地址（即外地代理地址）(Foreign Agent CoA)(Foreign Agent CoA)n n配置转交地址配置转交地址配置转交地址配置转交地址(Co-located CoA)(Co-located CoA)n nMIPv6MIPv6n n全局可路由转交地址全局可路由转交地址全局可路由转交地址全局可路由转交地址n n 的绑定注册的绑定注册的绑定注册的绑定注册n n到家乡代理（到家乡代理（到家乡代理（到家乡代理（MIPv4/MIPv6MIPv4/MIPv6）n n到通信对端（到通信对端（到通信对端（到通信对端（MIPv6MIPv6）MIPv4原理原理:使用外地代理转交地使用外地代理转交地址址n n移动检测移动检测家乡代理通信对端移动节点外地代理MIPv4原理原理:使用外地代理转交地使用外地代理转交地址址家乡代理通信对端移动节点外地代理代理公告n n移动检测移动检测使用外地代理转交地址MIPv4原理原理:使用外地代理转交地使用外地代理转交地址址n n绑定注册绑定注册家乡代理通信对端移动节点外地代理注册请求注册请求注册应答注册应答MIPv4原理原理:使用外地代理转交地使用外地代理转交地址址n n接收接收/发送分组发送分组家乡代理通信对端移动节点外地代理代理ARP和免费ARP隧道IP数据 IP头标IP数据 IP头标IP头标家乡代理处IP-in-IP封装外地代理处 IP-in-IP解封装源：家乡代理地址目的：外地代理地址分组分组分组分组MIPv4原理原理:使用外地代理转交地使用外地代理转交地址址家乡代理通信对端移动节点外地代理n n三角路由问题三角路由问题三角路由问题MIPv4原理原理:使用配置转交地址使用配置转交地址n n移动检测移动检测家乡代理通信对端移动节点外地代理MIPv4原理原理:使用配置转交地址使用配置转交地址家乡代理通信对端移动节点外地代理代理公告n n移动检测移动检测通过DHCP等方式获取配置转交地址MIPv4原理原理:使用配置转交地址使用配置转交地址n n绑定注册绑定注册家乡代理通信对端移动节点外地代理注册请求注册应答MIPv4原理原理:使用配置转交地址使用配置转交地址n n接收接收/发送分组发送分组家乡代理通信对端移动节点外地代理代理ARP和免费ARP隧道IP数据 IP头标IP数据 IP头标IP头标家乡代理处IP-in-IP封装移动节点处 IP-in-IP解封装源：家乡代理地址目的：配置转交地址分组分组分组MIPv4原理原理:使用配置转交地址使用配置转交地址家乡代理通信对端移动节点外地代理n n三角路由问题三角路由问题三角路由问题MIPv4原理原理:反向隧道反向隧道n n通过家乡地址来唯一标识移动节点，使得通过家乡地址来唯一标识移动节点，使得通信对端不需要知道移动节点的位置信息通信对端不需要知道移动节点的位置信息n n移动节点和通信对端的通信始终使用家乡移动节点和通信对端的通信始终使用家乡地址，通过家乡代理转发到移动节点的分地址，通过家乡代理转发到移动节点的分组组,使得移动对于通信对端以及使得移动对于通信对端以及IP层以上的层以上的应用是透明的应用是透明的存在入口过滤问题:当移动到外地时，防火墙可能过滤源地址为移动节点家乡地址的分组通过反向隧道解决入口过滤问题反向隧道：使用外地代理转交地反向隧道：使用外地代理转交地址址家乡代理移动节点外地代理外地代理转交地址通信对端反向IP-in-IP隧道IP数据 IP头标IP数据 IP头标IP头标外地代理处IP-in-IP封装家乡代理处 IP-in-IP解封装源：外地代理地址目的：家乡代理地址分组分组分组反向隧道：配置转交地址反向隧道：配置转交地址家乡代理移动节点外地代理通信对端反向IP-in-IP隧道IP数据 IP头标IP数据 IP头标IP头标移动节点处IP-in-IP封装家乡代理处 IP-in-IP解封装源：配置转交地址目的：家乡代理地址配置转交地址分组分组MIPv6原理原理n n移动检测和地址自动配置家乡代理通信对端移动节点接入路由器家乡地址：HoA转交地址：CoAMIPv6原理原理n n移动检测和地址自动配置家乡代理通信对端移动节点接入路由器家乡地址：HoA转交地址：CoA路由器公告无状态地址自动配置生成CoAMIPv6原理原理n n到家乡代理绑定注册家乡代理通信对端移动节点接入路由器家乡地址：HoA转交地址：CoA绑定更新(Binding Update)绑定应答(Binding Ack)绑定缓存HoACoAMIPv6原理原理n n和通信对端通信过程：不支持任何移动IPv6功能家乡代理通信对端移动节点IPv6-in-IPv6隧道IP数据 IP头标IP数据 IP头标IP头标家乡代理处IPv6-in-IPv6封装移动节点处 IPv6-in-IPv6解封装源：家乡代理地址目的：CoAIP数据 IP头标IP数据 IP头标IP头标移动节点处IPv6-in-IPv6封装家乡代理处 IPv6-in-IPv6解封装源：CoA目的：家乡代理地址家乡地址：HoA转交地址：CoA分组分组分组分组MIPv6原理原理n n和通信对端通信过程：支持移动IPv6功能家乡代理通信对端移动节点绑定缓存HoACoA家乡地址：HoA转交地址：CoAIPv6-in-IPv6隧道分组绑定更新绑定更新列表通信对端IPv6地址MIPv6原理原理n n和通信对端通信过程：支持移动IPv6功能家乡代理通信对端移动节点家乡地址：HoA转交地址：CoAIPv6-in-IPv6隧道分组分组绑定更新列表通信对端IPv6地址绑定缓存HoACoA对对IP以上层屏蔽移动性：原理以上层屏蔽移动性：原理n n在双向隧道模式中，在双向隧道模式中，在双向隧道模式中，在双向隧道模式中，移动节点和通信对端移动节点和通信对端移动节点和通信对端移动节点和通信对端的通信始终使用家乡的通信始终使用家乡的通信始终使用家乡的通信始终使用家乡地址地址地址地址n n在路由优化模式中，在路由优化模式中，在路由优化模式中，在路由优化模式中，通过家乡地址选项通过家乡地址选项通过家乡地址选项通过家乡地址选项(HAO(HAO，由信宿选项头，由信宿选项头，由信宿选项头，由信宿选项头标携带标携带标携带标携带)和类型和类型和类型和类型2 2寻路头寻路头寻路头寻路头标标标标(T2R)(T2R)来实现来实现来实现来实现家乡地址选项类型2寻路头标路由优化模式：移动节点发送分路由优化模式：移动节点发送分组组TCP/UDPIPv6移动IPv6TCP/UDPIPv6移动IPv6移动节点通信对端HoA CNAHAO CoA CNAHAO CoA CNAHoA CNA添加HAO选项头标，包含移动节点的转交地址，交换HAO选项头标中的地址和数据包的源地址交换HAO选项头标中的地址和数据包的源地址HoA：家乡地址CNA：通信对端的地址CoA：转交地址HAO：家乡地址选项，信宿选项头标T2R：类型2寻路头标HoA源地址目的地址目的地址源地址扩展头标目的地址源地址扩展头标源地址目的地址路由优化模式：通信对端发送分路由优化模式：通信对端发送分组组TCP/UDPIPv6移动IPv6TCP/UDPIPv6移动IPv6移动节点通信对端HoA：家乡地址CNA：通信对端的地址CoA：转交地址HAO：家乡地址选项，信宿选项头标T2R：类型2寻路头标家乡地址T2R CNA CoACNA HoA添加T2R选项头标，包含移动节点的转交地址，交换T2R选项标中的地址和数据包的目的地址T2R CNA CoA交换T2R选项头标中的地址和数据包的目的地址CNA HoA源地址目的地址目的地址源地址扩展头标目的地址源地址扩展头标源地址目的地址MIPv4和和MIPv6比较比较n nIPv4IPv4地址空间有限，移动节点通常使用外地代理转交地址地址空间有限，移动节点通常使用外地代理转交地址地址空间有限，移动节点通常使用外地代理转交地址地址空间有限，移动节点通常使用外地代理转交地址n n存在外地代理存在外地代理存在外地代理存在外地代理n n三角路由问题三角路由问题三角路由问题三角路由问题n n家乡地址为源地址，存在入口过滤问题家乡地址为源地址，存在入口过滤问题家乡地址为源地址，存在入口过滤问题家乡地址为源地址，存在入口过滤问题n n需要使用需要使用需要使用需要使用IP-in-IPIP-in-IP隧道，开销大隧道，开销大隧道，开销大隧道，开销大n nn nIPv6IPv6拥有巨大的地址空间，移动节点通常使用全局可路由拥有巨大的地址空间，移动节点通常使用全局可路由拥有巨大的地址空间，移动节点通常使用全局可路由拥有巨大的地址空间，移动节点通常使用全局可路由转交地址转交地址转交地址转交地址n n不需要外地代理不需要外地代理不需要外地代理不需要外地代理n n路由优化成为协议的基本部分路由优化成为协议的基本部分路由优化成为协议的基本部分路由优化成为协议的基本部分n n转交地址作为源地址，不存在入口过滤问题转交地址作为源地址，不存在入口过滤问题转交地址作为源地址，不存在入口过滤问题转交地址作为源地址，不存在入口过滤问题n n通过家乡地址选项（信宿选项头标）和类型通过家乡地址选项（信宿选项头标）和类型通过家乡地址选项（信宿选项头标）和类型通过家乡地址选项（信宿选项头标）和类型2 2寻路头标来实现转交寻路头标来实现转交寻路头标来实现转交寻路头标来实现转交地址变化对地址变化对地址变化对地址变化对IPIP层以上应用的透明，不需要使用层以上应用的透明，不需要使用层以上应用的透明，不需要使用层以上应用的透明，不需要使用IPv6-in-IPv6IPv6-in-IPv6隧道隧道隧道隧道n n内容内容n n引言n n移动IP(MIP:Mobile IP)的基本原理n n移动移动IPv4(MIPv4)IPv4(MIPv4)的原理的原理n n移动移动IPv6(MIPv6)IPv6(MIPv6)的原理的原理n nMIP的安全性n nMIPv4MIPv4的安全性的安全性n nMIPv6MIPv6的安全性的安全性n nMIPv6信令和切换优化n n网络移动(Network Mobility)MIPv4的安全性的安全性n n注册请求和注册应答消息的认证注册请求和注册应答消息的认证注册请求和注册应答消息的认证注册请求和注册应答消息的认证n n移动安全关联移动安全关联移动安全关联移动安全关联n n认证算法、算法模式、密钥或者公认证算法、算法模式、密钥或者公认证算法、算法模式、密钥或者公认证算法、算法模式、密钥或者公/私密钥对、重播保护形式私密钥对、重播保护形式私密钥对、重播保护形式私密钥对、重播保护形式n n缺省缺省缺省缺省HMAC-MD5HMAC-MD5算法，生成算法，生成算法，生成算法，生成128128比特摘要比特摘要比特摘要比特摘要n nMobile-HomeMobile-Home认证扩展认证扩展认证扩展认证扩展n n必须必须必须必须n n移动节点和家乡代理之间存在安全关联移动节点和家乡代理之间存在安全关联移动节点和家乡代理之间存在安全关联移动节点和家乡代理之间存在安全关联n nMobile-ForeignMobile-Foreign认证扩展认证扩展认证扩展认证扩展n n可能可能可能可能n n移动节点和外地代理之间存在安全关联移动节点和外地代理之间存在安全关联移动节点和外地代理之间存在安全关联移动节点和外地代理之间存在安全关联n nForeign-HomeForeign-Home认证扩展认证扩展认证扩展认证扩展n n可能可能可能可能n n外地代理和家乡代理之间存在安全关联外地代理和家乡代理之间存在安全关联外地代理和家乡代理之间存在安全关联外地代理和家乡代理之间存在安全关联MIPv6的安全性的安全性n n返回可路由（返回可路由（RR：Return Routability）过）过程程n n移动节点与通信对端之间的安全移动节点与通信对端之间的安全移动节点与通信对端之间的安全移动节点与通信对端之间的安全n n基于基于IPsec的的MIPv6安全安全n n移动节点和家乡代理之间安全移动节点和家乡代理之间安全移动节点和家乡代理之间安全移动节点和家乡代理之间安全n n移动节点和通信对端之间安全移动节点和通信对端之间安全移动节点和通信对端之间安全移动节点和通信对端之间安全返回可路由过程：概述返回可路由过程：概述n n目标是使得通信对端可以在某种程度上确目标是使得通信对端可以在某种程度上确保移动节点所宣称的转交地址和家乡地址保移动节点所宣称的转交地址和家乡地址是合法的（可寻址）是合法的（可寻址）n n产生移动节点和通信对端之间的认证密钥产生移动节点和通信对端之间的认证密钥（绑定管理秘钥（绑定管理秘钥Kbm），并且通过绑定认），并且通过绑定认证选项来保护移动节点和通信对端之间的证选项来保护移动节点和通信对端之间的绑定更新绑定更新n n不需要预先配置信息，易于大规模部署不需要预先配置信息，易于大规模部署n n安全强度比安全强度比IPSec弱弱返回可路由过程：原理返回可路由过程：原理通信对端IPv6-in-IPv6隧道HoTI CookieHoTI：家乡测试发起 消息CoTI：转交测试发起消息HoT：家乡测试消息CoT：转交测试消息CoT Cookie TokenHoT Cookie TokenHoTI Cookie计算家乡密钥生成令牌 HoT Cookie Token计算转交密钥生成令牌 家乡密钥生成令牌和转交密钥生成令牌进行SHA1得到绑定管理密钥 移动节点家乡代理CoTI Cookie返回可路由过程：存在的安全问返回可路由过程：存在的安全问题题n n攻击者能够监听到移动节攻击者能够监听到移动节攻击者能够监听到移动节攻击者能够监听到移动节点的数据包点的数据包点的数据包点的数据包n n伪造邻居伪造邻居伪造邻居伪造邻居n n家乡地址：攻击者的家家乡地址：攻击者的家家乡地址：攻击者的家家乡地址：攻击者的家乡地址乡地址乡地址乡地址n n转交地址：邻居地址转交地址：邻居地址转交地址：邻居地址转交地址：邻居地址n n攻击者在家乡网络和通信攻击者在家乡网络和通信攻击者在家乡网络和通信攻击者在家乡网络和通信对端的路径上对端的路径上对端的路径上对端的路径上n n获得绑定管理密钥，伪获得绑定管理密钥，伪获得绑定管理密钥，伪获得绑定管理密钥，伪造绑定更新等造绑定更新等造绑定更新等造绑定更新等基于基于IPsec的的MIPv6安全安全:IPSec回顾回顾(1)n n安全策略安全策略安全策略安全策略(SP)(SP)n n选择符选择符选择符选择符(selector)(selector)n n源地址、目的地址、源端口、目的端口、协议源地址、目的地址、源端口、目的端口、协议源地址、目的地址、源端口、目的端口、协议源地址、目的地址、源端口、目的端口、协议(TCP/UDP/ICMP)(TCP/UDP/ICMP)、模式、模式、模式、模式(隧道隧道隧道隧道/传输传输传输传输)n n策略行为：丢弃、实施策略行为：丢弃、实施策略行为：丢弃、实施策略行为：丢弃、实施IPSecIPSec处理或者绕过处理或者绕过处理或者绕过处理或者绕过n n安全关联安全关联安全关联安全关联(SA)(SA)n n索引索引索引索引n n目的地址、安全参数索引目的地址、安全参数索引目的地址、安全参数索引目的地址、安全参数索引(SPI)(SPI)、协议、协议、协议、协议(ESP/AH)(ESP/AH)n n源地址、目的地址、协议源地址、目的地址、协议源地址、目的地址、协议源地址、目的地址、协议(TCP/UDP/ICMP)(TCP/UDP/ICMP)、IPSecIPSec协议协议协议协议(ESP/AH)(ESP/AH)、模式、模式、模式、模式(隧道隧道隧道隧道/传输传输传输传输)、认证和加密算法、密钥等、认证和加密算法、密钥等、认证和加密算法、密钥等、认证和加密算法、密钥等基于基于IPsec的的MIPv6安全安全:IPSec回顾回顾(2)n n认证头标认证头标(AH)n n传输模式传输模式传输模式传输模式n n隧道模式隧道模式隧道模式隧道模式n n封装化安全净荷封装化安全净荷(ESP)n n传输模式传输模式传输模式传输模式n n隧道模式隧道模式隧道模式隧道模式原始IP头标逐跳、信宿寻路、分片AH头标信宿TCPUDP数据认证原始IP头标逐跳、信宿寻路、分片ESP头标信宿TCPUDP数据ESP尾ESP认证加密认证新IP头标扩展头标AH头标 原始IP头标扩展头标TCPUDP数据认证新IP头标新扩展头标ESP头标 原始IP头标原始扩展头标TCPUDP数据认证ESP尾ESP认证加密基于基于IPsec的的MIPv6安全安全:IPSec回顾回顾(3)n nAHAH头标格式头标格式n nESPESP头标格式头标格式基于基于IPsec的的MIPv6安全安全:IPSec回顾回顾(4)n n外出处理外出处理外出处理外出处理n n根据数据包信息初始化根据数据包信息初始化根据数据包信息初始化根据数据包信息初始化selectorselector，选择相应的一个或者多，选择相应的一个或者多，选择相应的一个或者多，选择相应的一个或者多个外出个外出个外出个外出SPSP，SPSP是有序的是有序的是有序的是有序的n nSPSP的地址始终为数据包最终的源和目的地址的地址始终为数据包最终的源和目的地址的地址始终为数据包最终的源和目的地址的地址始终为数据包最终的源和目的地址(内部头标地址内部头标地址内部头标地址内部头标地址)n n根据每个根据每个根据每个根据每个SPSP指定的指定的指定的指定的SASA或者或者或者或者SASA束执行束执行束执行束执行IPSecIPSec处理，处理，处理，处理，SASA是无是无是无是无序的序的序的序的n n进入处理进入处理进入处理进入处理n n根据数据包的目的地址根据数据包的目的地址根据数据包的目的地址根据数据包的目的地址(外部头标地址外部头标地址外部头标地址外部头标地址)、IPSecIPSec协议和协议和协议和协议和SPISPI找到相应的找到相应的找到相应的找到相应的SASA，然后执行，然后执行，然后执行，然后执行IPSecIPSec处理处理处理处理n n在进入在进入在进入在进入SPDSPD找到对应的找到对应的找到对应的找到对应的SP(SP(内部头标地址内部头标地址内部头标地址内部头标地址)，验证是否对数，验证是否对数，验证是否对数，验证是否对数据包执行了指定的据包执行了指定的据包执行了指定的据包执行了指定的IPSecIPSec处理处理处理处理(SA(SA或者或者或者或者SASA束束束束)基于基于IPsec的的MIPv6安全安全:移动节点和家乡移动节点和家乡代理之间安全代理之间安全n n移动节点和家乡代理之间的信令业务移动节点和家乡代理之间的信令业务n n绑定更新和绑定应答绑定更新和绑定应答绑定更新和绑定应答绑定更新和绑定应答n n使用使用使用使用IPSec ESPIPSec ESP传输模式保护传输模式保护传输模式保护传输模式保护n n返回可路由过程返回可路由过程返回可路由过程返回可路由过程n n家乡测试发起（家乡测试发起（家乡测试发起（家乡测试发起（HoTIHoTI）和家乡测试（）和家乡测试（）和家乡测试（）和家乡测试（HoTHoT）n n使用使用使用使用IPSec ESPIPSec ESP隧道模式保护隧道模式保护隧道模式保护隧道模式保护n n前缀发现前缀发现前缀发现前缀发现n nICMPv6ICMPv6消息消息消息消息n nIPSec ESPIPSec ESP传输模式保护传输模式保护传输模式保护传输模式保护基于基于IPsec的的MIPv6安全安全:绑定更新和绑定绑定更新和绑定应答应答(1)n n绑定更新头标格式n n移动节点在外地网络时移动节点在外地网络时n n移动节点在家乡网络时移动节点在家乡网络时n n绑定应答头标格式n n移动节点在外地网络时移动节点在外地网络时n n移动节点在家乡网络时移动节点在家乡网络时IPv6头标 源=转交地址目的=家乡代理地址家乡地址选项(家乡地址)传输模式ESP头标移动头标(绑定更新)IPv6头标 源=家乡代理地址目的=转交地址类型2寻路头标(家乡地址)传输模式ESP头标移动头标(绑定应答)IPv6头标 源=家乡地址目的=家乡代理地址传输模式ESP头标移动头标(绑定更新)IPv6头标 源=家乡代理地址目的=家乡地址传输模式ESP头标移动头标(绑定应答)基于基于IPsec的的MIPv6安全安全:绑定更新和绑定应绑定更新和绑定应答答(2)n nSP和和SA使用家乡地址使用家乡地址n n家乡地址选项和类型家乡地址选项和类型家乡地址选项和类型家乡地址选项和类型2 2寻路头标包含家乡地址寻路头标包含家乡地址寻路头标包含家乡地址寻路头标包含家乡地址n n家乡代理、移动节点上的家乡代理、移动节点上的SP和和SA条目条目源地址源地址目的地址目的地址模式模式协议协议SP1移动节点外出移动节点外出家乡代理进入家乡代理进入家乡地址家乡地址家乡代理地址家乡代理地址ESP传输模式传输模式移动头标移动头标SP2移动节点进入移动节点进入家乡代理外出家乡代理外出家乡代理地址家乡代理地址家乡地址家乡地址ESP传输模式传输模式移动头标移动头标SA1移动节点外出移动节点外出家乡代理进入家乡代理进入家乡地址家乡地址家乡代理地址家乡代理地址ESP传输模式传输模式移动头标移动头标SA2移动节点进入移动节点进入家乡代理外出家乡代理外出家乡代理地址家乡代理地址家乡地址家乡地址ESP传输模式传输模式移动头标移动头标基于基于IPsec的的MIPv6安全安全:返回可路由过程返回可路由过程(1)n n家乡测试发起家乡测试发起(HoTI)消息格式消息格式n n移动节点经家乡代理到通信对端移动节点经家乡代理到通信对端移动节点经家乡代理到通信对端移动节点经家乡代理到通信对端n n家乡测试家乡测试(HoT)消息格式消息格式n n通信对端经家乡代理到移动节点通信对端经家乡代理到移动节点通信对端经家乡代理到移动节点通信对端经家乡代理到移动节点IPv6头标 源=转交地址目的=家乡代理地址隧道模式ESP头标移动头标(HoTI)IPv6头标 源=家乡地址目的=通信对端IPv6头标 源=家乡代理地址目的=转交地址隧道模式ESP头标移动头标(HoT)IPv6头标 源=通信对端目的=家乡地址基于基于IPsec的的MIPv6安全安全:返回可路由过程返回可路由过程(2)n nSPSP和和和和SASA使用不同的移动节点地址使用不同的移动节点地址使用不同的移动节点地址使用不同的移动节点地址n nSPSP：家乡地址：家乡地址：家乡地址：家乡地址n nSASA：转交地址：转交地址：转交地址：转交地址n n家乡代理、移动节点上的家乡代理、移动节点上的家乡代理、移动节点上的家乡代理、移动节点上的SPSP和和和和SASA条目条目条目条目源地址源地址目的地址目的地址模式模式协议协议SP1移动节点外出移动节点外出家乡代理进入家乡代理进入家乡地址家乡地址任意任意ESP隧道模式隧道模式移动头标移动头标SP2移动节点进入移动节点进入家乡代理外出家乡代理外出任意任意家乡地址家乡地址ESP隧道模式隧道模式移动头标移动头标SA1移动节点外出移动节点外出家乡代理进入家乡代理进入转交地址转交地址家乡代理地址家乡代理地址ESP隧道模式隧道模式移动头标移动头标SA2移动节点进入移动节点进入家乡代理外出家乡代理外出家乡代理地址家乡代理地址转交地址转交地址ESP隧道模式隧道模式移动头标移动头标基于基于IPsec的的MIPv6安全安全:返回可路由过程返回可路由过程(3)n n转交地址变化时转交地址变化时n n家乡代理：收到绑定更新时，更新外出家乡代理：收到绑定更新时，更新外出家乡代理：收到绑定更新时，更新外出家乡代理：收到绑定更新时，更新外出SASA的目的目的目的目的地址和进入的地址和进入的地址和进入的地址和进入SASA的源地址为新的转交地址的源地址为新的转交地址的源地址为新的转交地址的源地址为新的转交地址n n移动节点：移动节点：移动节点：移动节点：收到绑定应答时，更新进入收到绑定应答时，更新进入收到绑定应答时，更新进入收到绑定应答时，更新进入SASA的目的目的目的目的地址和外出的地址和外出的地址和外出的地址和外出SASA的源地址为新的转交地址的源地址为新的转交地址的源地址为新的转交地址的源地址为新的转交地址基于基于IPsec的的MIPv6安全安全:前缀发前缀发现现(1)n n移动节点获取家乡子网的前缀的变化信息移动节点获取家乡子网的前缀的变化信息n n移动前缀请求消息格式移动前缀请求消息格式n n移动前缀公告移动前缀公告IPv6头标 源=转交地址目的=家乡代理地址家乡地址选项(家乡地址)传输模式ESP头标ICMPv6(前缀请求)IPv6头标 源=家乡代理地址目的=转交地址类型2寻路头标(家乡地址)传输模式ESP头标ICMPv6(前缀公告)基于基于IPsec的的MIPv6安全安全:前缀发前缀发现现(2)n n移动节点和家乡代理上的移动节点和家乡代理上的移动节点和家乡代理上的移动节点和家乡代理上的SPSP和和和和SASA条目条目条目条目源地址源地址目的地址目的地址模式模式协议协议SP1移动节点外出移动节点外出家乡代理进入家乡代理进入家乡地址家乡地址家乡代理地址家乡代理地址ESP传输模式传输模式ICMPv6SP2移动节点进入移动节点进入家乡代理外出家乡代理外出家乡代理地址家乡代理地址家乡地址家乡地址ESP传输模式传输模式ICMPv6SA1移动节点外出移动节点外出家乡代理进入家乡代理进入家乡地址家乡地址家乡代理地址家乡代理地址ESP传输模式传输模式ICMPv6SA2移动节点进入移动节点进入家乡代理外出家乡代理外出家乡代理地址家乡代理地址家乡地址家乡地址ESP传输模式传输模式ICMPv6内容内容n n引言n n移动IP(MIP:Mobile IP)的基本原理n n移动移动IPv4(MIPv4)IPv4(MIPv4)的原理的原理n n移动移动IPv6(MIPv6)IPv6(MIPv6)的原理的原理n nMIP的安全性n nMIPv4MIPv4的安全性的安全性n nMIPv6MIPv6的安全性的安全性n nMIPv6信令和切换优化n n网络移动(Network Mobility)MIPv6信令和切换优化信令和切换优化n n概述概述概述概述n n基本移动基本移动基本移动基本移动IPv6IPv6切换延时太大，不能满足实时和切换延时太大，不能满足实时和切换延时太大，不能满足实时和切换延时太大，不能满足实时和TCPTCP延时敏延时敏延时敏延时敏感业务的需求感业务的需求感业务的需求感业务的需求n n基本移动基本移动基本移动基本移动IPv6IPv6中的切换引入额外的信令开销中的切换引入额外的信令开销中的切换引入额外的信令开销中的切换引入额