810 likes | 1.02k Views
移动互联网技术. Standard: IETF 相关工作组. Mobility for IPv4(mip4) IP Mobility Support for IPv4 (RFC3344) Mobility for IPv6 (mip6) Mobility Support in IPv6 (RFC 3775) Using IPsec to Protect Mobile IPv6 Signaling between Mobile Nodes and Home Agents (RFC 3776)
E N D
Standard: IETF相关工作组 • Mobility for IPv4(mip4) • IP Mobility Support for IPv4 (RFC3344) • Mobility for IPv6 (mip6) • Mobility Support in IPv6 (RFC 3775) • Using IPsec to Protect Mobile IPv6 Signaling between Mobile Nodes and Home Agents (RFC 3776) • Using IPsec between Mobile and Correspondent IPv6 Nodes (draft-ietf-mip6-cn-ipsec-01.txt ) • MIPv6 Signaling and Handoff Optimization (mipshop) • Fast Handovers for Mobile IPv6 (RFC 4068) • Hierarchical Mobile IPv6 mobility management (HMIPv6) (RFC 4140) • Mobile IPv6 Fast Handovers for 802.11 Networks (draft-ietf-mipshop-80211fh-04.txt) • Mobile Nodes and Multiple Interfaces in IPv6 (monami6) • Network Mobility (nemo) • Network Mobility Support Goals and Requirements (draft-ietf-nemo-requirements-05.txt) • Network Mobility (NEMO) Basic Support Protocol (RFC 3963)
Papers • JSAC: IEEE Journal on Selected Areas in Communications • MOBILE ROUTERS AND NETWORK MOBIITY • http://www.jsac.ucsd.edu/TOC/2006/Sept06.html • IEEE • http://ieeexplore.ieee.org • ACM • http://portal.acm.org
内容 • 引言 • 移动IP(MIP: Mobile IP)的基本原理 • 移动IPv4(MIPv4)的原理 • 移动IPv6(MIPv6)的原理 • MIP的安全性 • MIPv4的安全性 • MIPv6的安全性 • MIPv6信令和切换优化 • 网络移动(Network Mobility)
内容 • 引言 • 移动IP(MIP: Mobile IP)的基本原理 • 移动IPv4(MIPv4)的原理 • 移动IPv6(MIPv6)的原理 • MIP的安全性 • MIPv4的安全性 • MIPv6的安全性 • MIPv6信令和切换优化 • 网络移动(Network Mobility)
为什么在IP层引入移动性 • 各种底层无线网络之间的漫游 • IP Over Everything • 数据、语音、视频等多种业务的融合 • Everything Over IP
ADDR1 DATA 移动节点 移动IP需要解决的问题 通信对端 接入路由器1 接入路由器2 ADDR1
ADDR1 DATA 移动节点 移动IP需要解决的问题 通信对端 接入路由器1 接入路由器2 ADDR2 IP地址的改变对于通信对端和上层(IP层以上)是透明的 家乡地址 不中断已经建立的连接 移动节点需要一个在移动过程中保持不变的标识 通信对端始终能够找到移动节点
内容 • 引言 • 移动IP(MIP: Mobile IP)的基本原理 • 移动IPv4(MIPv4)的原理 • 移动IPv6(MIPv6)的原理 • MIP的安全性 • MIPv4的安全性 • MIPv6的安全性 • MIPv6信令和切换优化 • 网络移动
术语 • 家乡地址(HoA: Home Address):移动节点的标识,手动配置或者由家乡网络分配,通常不变 • 转交地址(CoA: Care-of Address):移动节点位置的标识,由移动到的外地网络分配,随位置变化 • 家乡代理(Home Agent):保存移动节点的家乡地址和转交地址之间的映射关系(绑定) • 通信对端(Correspond Node):和移动节点进行通信的网络节点,它可能是静止的节点,也可能是移动节点 HoA与CoA的对应关系称为绑定(Binding)<HoA, CoA> 数据包先路由到家乡代理,由家乡代理发送给移动节点! 知道移动节点家乡地址如何将数据包路由到移动节点的转交地址?
基本过程 • 移动检测 • 移动节点检测到自己移动到了外地网络 • 代理公告(MIPv4)/路由器公告(MIPv6) • 转交地址配置 • MIPv4 • 外地代理转交地址(即外地代理地址)(Foreign Agent CoA) • 配置转交地址(Co-located CoA) • MIPv6 • 全局可路由转交地址 • <家乡地址、转交地址>的绑定注册 • 到家乡代理(MIPv4/MIPv6) • 到通信对端(MIPv6)
移动节点 MIPv4原理:使用外地代理转交地址 • 移动检测 通信对端 家乡代理 外地代理
①代理公告 移动节点 MIPv4原理:使用外地代理转交地址 • 移动检测 通信对端 家乡代理 外地代理 使用外地代理转交地址
移动节点 ②注册请求 ②注册请求 ③注册应答 ③注册应答 MIPv4原理:使用外地代理转交地址 • 绑定注册 通信对端 家乡代理 外地代理
IP数据 IP头标 IP数据 IP头标 家乡代理处IP-in-IP封装 外地代理处 IP-in-IP解封装 IP头标 移动节点 源:家乡代理地址 目的:外地代理地址 MIPv4原理:使用外地代理转交地址 • 接收/发送分组 通信对端 分组 分组 代理ARP和免费ARP 家乡代理 外地代理 分组 隧道 分组
移动节点 MIPv4原理:使用外地代理转交地址 • 三角路由问题 通信对端 家乡代理 外地代理 三角路由问题
移动节点 MIPv4原理:使用配置转交地址 • 移动检测 通信对端 家乡代理 外地代理
①代理公告 移动节点 MIPv4原理:使用配置转交地址 • 移动检测 通信对端 家乡代理 外地代理 通过DHCP等方式获取配置转交地址
移动节点 ②注册请求 ③注册应答 MIPv4原理:使用配置转交地址 • 绑定注册 通信对端 家乡代理 外地代理
IP数据 IP头标 IP数据 IP头标 家乡代理处IP-in-IP封装 移动节点处 IP-in-IP解封装 IP头标 移动节点 源:家乡代理地址 目的:配置转交地址 MIPv4原理:使用配置转交地址 • 接收/发送分组 通信对端 分组 分组 代理ARP和免费ARP 家乡代理 外地代理 分组 隧道
移动节点 MIPv4原理:使用配置转交地址 • 三角路由问题 通信对端 家乡代理 外地代理 三角路由问题
MIPv4原理: 反向隧道 • 通过家乡地址来唯一标识移动节点,使得通信对端不需要知道移动节点的位置信息 • 移动节点和通信对端的通信始终使用家乡地址,通过家乡代理转发到移动节点的分组,使得移动对于通信对端以及IP层以上的应用是透明的 存在入口过滤问题:当移动到外地时, 防火墙可能过滤源地址为移动节点家乡地址的分组 通过反向隧道解决入口过滤问题
外地代理处IP-in-IP封装 IP数据 IP头标 IP数据 IP头标 家乡代理处 IP-in-IP解封装 IP头标 源:外地代理地址 目的:家乡代理地址 移动节点 反向隧道:使用外地代理转交地址 通信对端 分组 家乡代理 外地代理 反向IP-in-IP隧道 分组 分组 外地代理转交地址
移动节点处IP-in-IP封装 IP数据 IP头标 IP数据 IP头标 家乡代理处 IP-in-IP解封装 IP头标 源:配置转交地址 目的:家乡代理地址 移动节点 反向隧道:配置转交地址 通信对端 分组 家乡代理 外地代理 分组 反向IP-in-IP隧道 配置转交地址
移动节点 MIPv6原理 • 移动检测和地址自动配置 通信对端 家乡地址:HoA 转交地址:CoA 家乡代理 接入路由器
移动节点 MIPv6原理 • 移动检测和地址自动配置 通信对端 家乡地址:HoA 转交地址:CoA 家乡代理 接入路由器 ①路由器公告 无状态地址自动配置生成CoA
移动节点 MIPv6原理 • 到家乡代理绑定注册 通信对端 家乡地址:HoA 转交地址:CoA 绑定缓存HoA<->CoA 家乡代理 接入路由器 绑定更新(Binding Update) 绑定应答(Binding Ack)
IP数据 IP头标 IP数据 IP头标 IP数据 IP头标 IP数据 IP头标 移动节点处IPv6-in-IPv6封装 家乡代理处 IPv6-in-IPv6解封装 IP头标 源:CoA 目的:家乡代理地址 家乡代理处IPv6-in-IPv6封装 移动节点处 IPv6-in-IPv6解封装 移动节点 IP头标 源:家乡代理地址 目的:CoA MIPv6原理 • 和通信对端通信过程:不支持任何移动IPv6功能 通信对端 家乡地址:HoA 转交地址:CoA 分组 分组 家乡代理 IPv6-in-IPv6隧道 分组 分组
移动节点 MIPv6原理 • 和通信对端通信过程:支持移动IPv6功能 绑定缓存HoA<->CoA 通信对端 家乡地址:HoA 转交地址:CoA 家乡代理 绑定更新 分组 IPv6-in-IPv6隧道 绑定更新列表 通信对端IPv6地址
移动节点 MIPv6原理 • 和通信对端通信过程:支持移动IPv6功能 绑定缓存HoA<->CoA 通信对端 家乡地址:HoA 转交地址:CoA 家乡代理 分组 分组 IPv6-in-IPv6隧道 绑定更新列表 通信对端IPv6地址
对IP以上层屏蔽移动性:原理 • 在双向隧道模式中,移动节点和通信对端的通信始终使用家乡地址 • 在路由优化模式中,通过家乡地址选项(HAO,由信宿选项头标携带)和类型2寻路头标(T2R)来实现 家乡地址选项 类型2寻路头标
HoA CNA HoA CNA 源地址 目的地址 源地址 目的地址 扩展头标 源地址 目的地址 扩展头标 源地址 目的地址 HAO CoA CNA HAO CoA CNA 路由优化模式:移动节点发送分组 HoA:家乡地址 CNA:通信对端的地址 CoA:转交地址 HAO:家乡地址选项,信宿选项头标 T2R:类型2寻路头标 TCP/UDP TCP/UDP HoA IPv6 移动IPv6 IPv6 移动IPv6 添加HAO选项头标,包含移动节点的转交地址,交换HAO选项头标中的地址和数据包的源地址 交换HAO选项头标中的地址和数据包的源地址 移动节点 通信对端
CNA HoA CNA HoA 源地址 目的地址 源地址 目的地址 扩展头标 源地址 目的地址 扩展头标 源地址 目的地址 T2R CNA CoA T2R CNA CoA 路由优化模式:通信对端发送分组 HoA:家乡地址 CNA:通信对端的地址 CoA:转交地址 HAO:家乡地址选项,信宿选项头标 T2R:类型2寻路头标 TCP/UDP TCP/UDP 家乡地址 IPv6 移动IPv6 添加T2R选项头标,包含移动节点的转交地址,交换T2R选项标中的地址和数据包的目的地址 IPv6 移动IPv6 交换T2R选项头标中的地址和数据包的目的地址 移动节点 通信对端
MIPv4和MIPv6比较 • IPv4地址空间有限,移动节点通常使用外地代理转交地址 • 存在外地代理 • 三角路由问题 • 家乡地址为源地址,存在入口过滤问题 • 需要使用IP-in-IP隧道,开销大 • … • IPv6拥有巨大的地址空间,移动节点通常使用全局可路由转交地址 • 不需要外地代理 • 路由优化成为协议的基本部分 • 转交地址作为源地址,不存在入口过滤问题 • 通过家乡地址选项(信宿选项头标)和类型2寻路头标来实现转交地址变化对IP层以上应用的透明,不需要使用IPv6-in-IPv6隧道 • …
内容 • 引言 • 移动IP(MIP: Mobile IP)的基本原理 • 移动IPv4(MIPv4)的原理 • 移动IPv6(MIPv6)的原理 • MIP的安全性 • MIPv4的安全性 • MIPv6的安全性 • MIPv6信令和切换优化 • 网络移动(Network Mobility)
MIPv4的安全性 • 注册请求和注册应答消息的认证 • 移动安全关联 • 认证算法、算法模式、密钥或者公/私密钥对、重播保护形式 • 缺省HMAC-MD5算法,生成128比特摘要 • Mobile-Home认证扩展 • 必须 • 移动节点和家乡代理之间存在安全关联 • Mobile-Foreign认证扩展 • 可能 • 移动节点和外地代理之间存在安全关联 • Foreign-Home认证扩展 • 可能 • 外地代理和家乡代理之间存在安全关联
MIPv6的安全性 • 返回可路由(RR:Return Routability)过程 • 移动节点与通信对端之间的安全 • 基于IPsec的MIPv6安全 • 移动节点和家乡代理之间安全 • 移动节点和通信对端之间安全
返回可路由过程:概述 • 目标是使得通信对端可以在某种程度上确保移动节点所宣称的转交地址和家乡地址是合法的(可寻址) • 产生移动节点和通信对端之间的认证密钥(绑定管理秘钥Kbm),并且通过绑定认证选项来保护移动节点和通信对端之间的绑定更新 • 不需要预先配置信息,易于大规模部署 • 安全强度比IPSec弱
通信对端 返回可路由过程:原理 HoTI:家乡测试发起 消息CoTI:转交测试发起消息HoT:家乡测试消息CoT:转交测试消息 ②计算家乡密钥生成令牌 ②计算转交密钥生成令牌 ③CoT Cookie Token ③HoT Cookie Token ①HoTI Cookie ④家乡密钥生成令牌和转交密钥生成令牌进行SHA1得到绑定管理密钥 ①CoTI Cookie ①HoTI Cookie ③HoT Cookie Token 家乡代理 IPv6-in-IPv6隧道 移动节点
返回可路由过程:存在的安全问题 • 攻击者能够监听到移动节点的数据包 • 伪造邻居 • 家乡地址:攻击者的家乡地址 • 转交地址:邻居地址 • 攻击者在家乡网络和通信对端的路径上 • 获得绑定管理密钥,伪造绑定更新等
基于IPsec的MIPv6安全: IPSec回顾(1) • 安全策略(SP) • 选择符(selector) • 源地址、目的地址、源端口、目的端口、协议(TCP/UDP/ICMP)、模式(隧道/传输) • 策略行为:丢弃、实施IPSec处理或者绕过 • 安全关联(SA) • 索引 • 目的地址、安全参数索引(SPI)、协议(ESP/AH) • 源地址、目的地址、协议(TCP/UDP/ICMP)、IPSec协议(ESP/AH)、模式(隧道/传输)、认证和加密算法、密钥等
原始IP头标 原始IP头标 逐跳、信宿 寻路、分片 逐跳、信宿 寻路、分片 ESP头标 AH头标 信宿 信宿 TCPUDP TCPUDP 数据 数据 认证 新IP头标 扩展头标 AH头标 原始IP头标 扩展头标 TCPUDP 数据 认证 ESP尾 ESP认证 加密 认证 新IP头标 新扩展 头标 ESP头标 原始IP头标 原始扩展 头标 TCPUDP 数据 ESP尾 ESP认证 加密 认证 基于IPsec的MIPv6安全: IPSec回顾(2) • 认证头标(AH) • 传输模式 • 隧道模式 • 封装化安全净荷(ESP) • 传输模式 • 隧道模式
基于IPsec的MIPv6安全: IPSec回顾(3) • AH头标格式 • ESP头标格式
基于IPsec的MIPv6安全: IPSec回顾(4) • 外出处理 • 根据数据包信息初始化selector,选择相应的一个或者多个外出SP,SP是有序的 • SP的地址始终为数据包最终的源和目的地址(内部头标地址) • 根据每个SP指定的SA或者SA束执行IPSec处理,SA是无序的 • 进入处理 • 根据数据包的目的地址(外部头标地址)、IPSec协议和SPI找到相应的SA,然后执行IPSec处理 • 在进入SPD找到对应的SP(内部头标地址),验证是否对数据包执行了指定的IPSec处理(SA或者SA束)
基于IPsec的MIPv6安全: 移动节点和家乡代理之间安全 • 移动节点和家乡代理之间的信令业务 • 绑定更新和绑定应答 • 使用IPSec ESP传输模式保护 • 返回可路由过程 • 家乡测试发起(HoTI)和家乡测试(HoT) • 使用IPSec ESP隧道模式保护 • 前缀发现 • ICMPv6消息 • IPSec ESP传输模式保护
IPv6头标 源=转交地址 目的=家乡代理地址 IPv6头标 源=家乡代理地址 目的=转交地址 家乡地址选项 (家乡地址) 类型2寻路头标 (家乡地址) 传输模式 ESP头标 传输模式 ESP头标 移动头标 (绑定更新) 移动头标 (绑定应答) IPv6头标 源=家乡地址 目的=家乡代理地址 传输模式 ESP头标 移动头标 (绑定更新) IPv6头标 源=家乡代理地址 目的=家乡地址 传输模式 ESP头标 移动头标 (绑定应答) 基于IPsec的MIPv6安全: 绑定更新和绑定应答(1) • 绑定更新头标格式 • 移动节点在外地网络时 • 移动节点在家乡网络时 • 绑定应答头标格式 • 移动节点在外地网络时 • 移动节点在家乡网络时
基于IPsec的MIPv6安全:绑定更新和绑定应答(2) • SP和SA使用家乡地址 • 家乡地址选项和类型2寻路头标包含家乡地址 • 家乡代理、移动节点上的SP和SA条目
IPv6头标 源=转交地址 目的=家乡代理地址 IPv6头标 源=家乡代理地址 目的=转交地址 隧道模式 ESP头标 隧道模式 ESP头标 IPv6头标 源=家乡地址 目的=通信对端 IPv6头标 源=通信对端 目的=家乡地址 移动头标 (HoTI) 移动头标 (HoT) 基于IPsec的MIPv6安全: 返回可路由过程(1) • 家乡测试发起(HoTI)消息格式 • 移动节点经家乡代理到通信对端 • 家乡测试(HoT)消息格式 • 通信对端经家乡代理到移动节点
基于IPsec的MIPv6安全: 返回可路由过程(2) • SP和SA使用不同的移动节点地址 • SP:家乡地址 • SA:转交地址 • 家乡代理、移动节点上的SP和SA条目
基于IPsec的MIPv6安全: 返回可路由过程(3) • 转交地址变化时 • 家乡代理:收到绑定更新时,更新外出SA的目的地址和进入SA的源地址为新的转交地址 • 移动节点: 收到绑定应答时,更新进入SA的目的地址和外出SA的源地址为新的转交地址