移動ip協(xié)議關(guān)鍵問題研究畢業(yè)論文

1、<p>　　分類號 單位代碼 </p><p>　　密 級 學(xué) 號 </p><p><b>　　學(xué)士學(xué)位論文</b></p><p>　　論文題目：移動I

2、P協(xié)議關(guān)鍵問題研究</p><p>　　Studying on the Keys of Mobile IP Protocol</p><p><b>　　論文作者： </b></p><p><b>　　指導(dǎo)教師：</b></p><p><b>　　專 業(yè)：</b>&l

3、t;/p><p>　　提交論文日期：2011年06月 日</p><p>　　論文答辯日期：2011年06月 日</p><p><b>　　學(xué)位授予單位： </b></p><p><b>　　目 錄</b></p><p><b>　　摘 要I&

4、lt;/b></p><p>　　AbstractII</p><p><b>　　1 引言1</b></p><p>　　1.1移動IP研究現(xiàn)狀1</p><p>　　1.2論文的研究內(nèi)容及組織結(jié)構(gòu)2</p><p><b>　　2移動IP概述4</b>&l

5、t;/p><p>　　2.1移動IP的出現(xiàn)4</p><p>　　2.1.1移動IP解決的問題4</p><p>　　2.1.2移動IP應(yīng)用的范圍4</p><p>　　2.1.3移動IP設(shè)計(jì)的要求及目標(biāo)4</p><p>　　2.2移動IP的基本概念4</p><p>　　2.2.1移動

6、IP的功能實(shí)體和基本術(shù)語4</p><p>　　2.2.2移動IP的基本操作6</p><p>　　3移動IP中的切換研究8</p><p>　　3.1移動IP切換的基本概念8</p><p>　　3.1.1 移動IP的切換問題8</p><p>　　3.1.2 移動IP切換注冊過程8</p>

7、<p>　　3.2移動IPv4低延遲切換技術(shù)9</p><p>　　3.2.1術(shù)語介紹及切換延遲9</p><p>　　3.2.2預(yù)先注冊切換方法9</p><p>　　3.2.3過后注冊切換方法11</p><p>　　3.2.4聯(lián)合切換方法12</p><p>　　4移動IP中的安全問題研究

8、14</p><p>　　4.1網(wǎng)絡(luò)安全基礎(chǔ)14</p><p>　　4.1.1網(wǎng)絡(luò)安全現(xiàn)狀14</p><p>　　4.1.2網(wǎng)絡(luò)安全的目標(biāo)14</p><p>　　4.2 移動IP的安全分析15</p><p>　　4.2.1移動IP的安全要求15</p><p>　　4.2.2移

9、動IP的安全威脅與對策15</p><p><b>　　5 結(jié)束語20</b></p><p><b>　　參考文獻(xiàn)20</b></p><p><b>　　致 謝22</b></p><p>　　移動IP協(xié)議關(guān)鍵問題研究</p><p>&l

10、t;b>　　摘 要</b></p><p>　　傳統(tǒng)互聯(lián)網(wǎng)的發(fā)展與應(yīng)用己經(jīng)進(jìn)入人們的日常生活與工作之中，它能夠提供不同的服務(wù)，同時擁有巨大的信息資源，極大地方便了人們對服務(wù)及信息資源的共享和獲取，但其缺點(diǎn)是不能支持主機(jī)的移動性，不能滿足人們對移動性日益增長的需求。隨著技術(shù)的發(fā)展，人們普遍對互聯(lián)網(wǎng)與移動通信網(wǎng)絡(luò)融合持樂觀的態(tài)度，在這個過程中移動IP協(xié)議由于其技術(shù)優(yōu)勢將有可能發(fā)揮重要的作用。越來越

11、多的人希望能夠隨時隨地訪問Internet，傳統(tǒng)的固定接入方式不能滿足這一需求。而移動IP的出現(xiàn)，使得移動互聯(lián)網(wǎng)成為可能，移動IP是一種網(wǎng)絡(luò)層的移動解決方案。由于移動節(jié)點(diǎn)在不同網(wǎng)絡(luò)中移動時需要進(jìn)行接入點(diǎn)甚至接入網(wǎng)絡(luò)的不斷切換，如何保證移動節(jié)點(diǎn)在移動時低延遲切換甚至無縫切換以及其安全性就成為移動IP的研究重點(diǎn)。本文首先簡要介紹了移動IP解決的問題、應(yīng)用范圍、基本術(shù)語和基本原理等，其次詳細(xì)分析移動IP中切換的基本概念和移動IP切換方法等，最

12、后論述了移動IP的安全基礎(chǔ)、移動IP可能遭受的安全威脅及相應(yīng)的安全對策。</p><p>　　關(guān)鍵詞 移動IP；移動節(jié)點(diǎn)；切換；安全</p><p><b>　　Abstract</b></p><p>　　The development and application of traditional Internet now can be s

13、een anywhere in our daily life and work. Internet can provide for us abundant value-added services, and also it holds tremendous information resources, thus greatly facilitating our convenient share and utilization of th

14、em. Though, Internet does have a big disadvantage of being unable to support host mobility, which leads to its inability to fulfill our daily-increasing mobility requirements. With the quick pacing of technology,</p&g

15、t;<p>　　Keywords Mobile IP； Mobile Node； Handoff；Safety</p><p><b>　　1 引言</b></p><p>　　1.1移動IP研究現(xiàn)狀</p><p>　　從互連網(wǎng)絡(luò)技術(shù)與意義上講，早期的移動互連網(wǎng)絡(luò)理論與技術(shù)的工作主要有兩個：一個是采用了虛擬移動子網(wǎng)和IP in

16、 IP隧道封包的方法，被稱作Columbia Mobile IP, 此后，又進(jìn)一步完善了Columbia Mobile IP的設(shè)計(jì)思想和方法；另一個是移動節(jié)點(diǎn)協(xié)議，即虛擬IP（VIP：Virtual IP），使用特殊的路由器來記憶移動節(jié)點(diǎn)的問題，并定義了新的IP頭選項(xiàng)來傳遞數(shù)據(jù)。后來，又利用現(xiàn)有IP協(xié)議的松散源路徑也設(shè)計(jì)了一種移動節(jié)點(diǎn)協(xié)議。1994 年A. Myles和C. Perkins綜合了上述三種移動節(jié)點(diǎn)協(xié)議，設(shè)計(jì)出一種新的協(xié)議M

17、obile IP，并由IETF（Internet工程任務(wù)組）組織發(fā)展為現(xiàn)在的Mobile IP的RFC3344協(xié)議[1]。1996 年IETF相繼公布IPv4 的主機(jī)移動支持協(xié)議規(guī)范，包括RFC2002（IP移動性支持）[2]、RFC2003（IP分組到IP分組的封裝）[3]、RFC2004（最小封裝協(xié)議）[4]、RFC2005（移動IP的應(yīng)用）[5]和RFC2006（IP移動性支持管理對象的定義）[6]等，初步總結(jié)了移動IP的一些前期

18、研究成果，奠</p><p>　　與此同時，IETF 于2003 年針對移動IP 網(wǎng)絡(luò)移動路由的研究趨勢專門設(shè)立了四個工作組負(fù)責(zé)相關(guān)的理論研究和協(xié)議標(biāo)準(zhǔn)化工作，分別是IPv4 移動工作組、IPv6 移動工作組、移動IPv6信令和切換優(yōu)化工作組（MIPSHOP：MIPv6 Signaling and Handoff Optimization）以及網(wǎng)絡(luò)規(guī)模移動工作組（NEMO：Network Mobility）,大大

19、促進(jìn)了該領(lǐng)域的發(fā)展。</p><p>　　隨著IPv6 被選為下一代IP網(wǎng)絡(luò)協(xié)議，將移動IPv4 的研究成果應(yīng)用到移動IPv6 的協(xié)議設(shè)計(jì)以及IPv6 協(xié)議的性能改進(jìn)與完善成為了一個重要研究方面。1996 年IETF公布了第一個移動IPv6 草案，到2004 年初IPv6 主機(jī)移動協(xié)議草案已經(jīng)發(fā)展到了第24 號版本，并于2004年6 月發(fā)布為RFC3775 成為第一個移動IPv6 的標(biāo)準(zhǔn)。移動IPv6 利用了IP

20、v6 自動配置、優(yōu)化的報(bào)頭和擴(kuò)展選項(xiàng)，簡化了主機(jī)移動協(xié)議的設(shè)計(jì)，解決了移動IPv4 入口過濾、三角路由等問題，并降低了網(wǎng)絡(luò)開銷，提高了工作性能。</p><p>　　移動IP雖然從形成IETF標(biāo)準(zhǔn)到現(xiàn)在已經(jīng)接近10年時間，雖然在此領(lǐng)域有了很大進(jìn)展，但是在移動IP的實(shí)現(xiàn)和應(yīng)用中仍然存在很多問題沒有解決，或者是沒有充分地解決，比如：</p><p>　　移動IP切換問題[7]</p>

21、;<p>　　當(dāng)移動主機(jī)由一個網(wǎng)絡(luò)接入點(diǎn)改接到另一個接入點(diǎn)(可能同屬一個子網(wǎng)，也可能分屬不同子網(wǎng))時，需要進(jìn)行數(shù)據(jù)鏈路層的切換，在鏈路層切換完畢后，才會進(jìn)行IP層的切換，也就是移動IP的切換，這樣會造成較大的時延，尤其是某些2層切換時的時間可能達(dá)到幾秒甚是十幾秒，這樣就使得移動IP中的實(shí)時應(yīng)用變得比較困難。</p><p>　　目前有研究提出在數(shù)據(jù)鏈路層的切換發(fā)生前，觸發(fā)一個二層觸發(fā)來通知三層的實(shí)體

22、如移動節(jié)點(diǎn)、家鄉(xiāng)代理、外地代理等，讓三層上面的注冊、路由更新等過程提前進(jìn)行，一旦連接新的接入點(diǎn)的二層鏈路準(zhǔn)備完成，三層路由也已經(jīng)建立完畢，這樣就可以立即開始數(shù)據(jù)包的發(fā)送。</p><p>　　IETF的移動IP工作組已經(jīng)把二層觸發(fā)作為一個很重要的研究方向來進(jìn)行研究，正在進(jìn)行相關(guān)草案的討論工作。不過就當(dāng)前的研究來看，基本上只是提出了這樣的一個思路和所需要的二層觸發(fā)種類，但是這些已經(jīng)提出的二層觸發(fā)還不能夠及時和準(zhǔn)確地

23、指示IP層進(jìn)行三層切換，而且最關(guān)鍵的觸發(fā)時機(jī)的問題，尚未進(jìn)行深入研究，而這顯然是二層觸發(fā)成功與否的關(guān)鍵。</p><p>　　移動IP中的安全問題研究</p><p>　　移動節(jié)點(diǎn)由于需要在整個網(wǎng)絡(luò)上漫游，其所遭遇到的安全問題除了固定節(jié)點(diǎn)會遇到的一些比如拒絕服務(wù)攻擊和會話竊取與監(jiān)聽等之外，還會出現(xiàn)和移動特性相關(guān)的一些問題。由于移動IP的實(shí)現(xiàn)往往要借助于無線通信的手段，數(shù)據(jù)就必須在空中傳輸，

24、由于暴露在空中，就給竊取者提供了更多竊取的機(jī)會，所以數(shù)據(jù)必須經(jīng)過加密后才能傳輸；如果移動節(jié)點(diǎn)的家鄉(xiāng)網(wǎng)絡(luò)安裝有防火墻，那么移動節(jié)點(diǎn)離開家鄉(xiāng)網(wǎng)絡(luò)進(jìn)入其他網(wǎng)絡(luò)后，它和家鄉(xiāng)網(wǎng)絡(luò)的連接就往往會造成中斷，為了能夠讓移動節(jié)點(diǎn)穿越防火墻而同時又不損害網(wǎng)絡(luò)安全性，文獻(xiàn)[8]提出了使用SKIP的方法。由于IPv6中引入了網(wǎng)絡(luò)層的加密技術(shù)，未來網(wǎng)絡(luò)上的數(shù)據(jù)通訊的保密性將會越來越強(qiáng)，這使網(wǎng)絡(luò)入侵檢測系統(tǒng)和主機(jī)入侵檢測引擎也面臨在多種不同平臺如何部署的問題。這就

25、需要研究IDS（Identification Section：標(biāo)識部分）新的部署方式，再下一步，研究如何才能在任何網(wǎng)絡(luò)狀況、任何服務(wù)器、任何客戶端、任何應(yīng)用環(huán)境都能進(jìn)行適當(dāng)?shù)淖赞D(zhuǎn)換和自適應(yīng)。</p><p>　　IPv6中的移動性問題研究</p><p>　　移動IPv6與移動IPv4相比優(yōu)勢明顯，主要是其設(shè)計(jì)吸收了移動IPv4的發(fā)展經(jīng)驗(yàn)，并且抓住了設(shè)計(jì)新版本IP協(xié)議（IPv6）的大好時機(jī)

26、，結(jié)合了IPv6的很多新特性。IPv6的出現(xiàn)是移動計(jì)算的一個重要里程碑，IPv6的下列主要特性對于未來的移動無線網(wǎng)絡(luò)的發(fā)展至關(guān)重要：足夠多的IP地址、安全數(shù)據(jù)報(bào)頭的實(shí)現(xiàn)、目的選項(xiàng)提高了路由效率、地址自動配置及避免入口過濾。相對于Ipv4而言，在IPv6中實(shí)現(xiàn)移動IP將更加容易和便于使用。首先，移動IPv6因?yàn)橛辛司薮蟮腎Pv6地址空間，而且每臺路由器都要求實(shí)現(xiàn)路由器搜索，所以不再需要外地代理，獲得轉(zhuǎn)交地址的過程更加簡單。正因如此，IPv

27、6中沒有外地代理轉(zhuǎn)交地址，而只有配置的轉(zhuǎn)交地址。其次，應(yīng)該有可能使用IPv6的各種特性來改進(jìn)移動節(jié)點(diǎn)的操作。</p><p><b>　　IP尋呼問題。</b></p><p>　　基本的移動IP協(xié)議中沒有提供對尋呼的支持，但是引入尋呼帶來的潛在的好處吸引了眾多研究者的目光。尋呼的概念來自移動通信，尋呼的引入是為了在精確的位置信息與較低的電源消耗和信令負(fù)載之間取得一個

28、平衡：移動用戶處于活動狀態(tài)時，時刻通知網(wǎng)絡(luò)自己的最新位置，而處于空閑狀態(tài)時，則只是在移出尋呼區(qū)時才通知網(wǎng)絡(luò)，對移動用戶的呼叫到達(dá)時，由網(wǎng)絡(luò)發(fā)起尋呼，移動用戶應(yīng)答并且通知網(wǎng)絡(luò)自己當(dāng)前的精確位置信息，從而可以建立連接。這樣可以節(jié)約電源消耗、減少信令負(fù)載，同時又可以保證在需要時能夠和移動用戶建立聯(lián)系。移動IP中引入尋呼的目的和移動通信中的一致，但是移動IP中的尋呼是屬于IP層的，并且應(yīng)該是建立在鏈路層來支持尋呼功能的基礎(chǔ)上只有鏈路層提供了尋呼

29、功能，才能保證移動節(jié)點(diǎn)可以采用非常高效的省電模式監(jiān)聽各種尋呼報(bào)文，從而達(dá)到上述目的。</p><p>　　本文在分析了移動互聯(lián)網(wǎng)絡(luò)的研究現(xiàn)狀的基礎(chǔ)上，對該領(lǐng)域當(dāng)前存在的幾個問題進(jìn)行了簡單地探討，并給出了未來技術(shù)的發(fā)展方向?；谏鲜霈F(xiàn)狀，還對移動IP的切換問題和移動IP安全問題進(jìn)行進(jìn)一步深入研究。</p><p>　　1.2論文的研究內(nèi)容及組織結(jié)構(gòu)</p><p>　

30、　隨著計(jì)算機(jī)網(wǎng)絡(luò)和無線通信技術(shù)的快速發(fā)展，網(wǎng)絡(luò)中出現(xiàn)了隨時都可能在移動的主機(jī)，當(dāng)主機(jī)的移動跨越IP子網(wǎng)時，這些子網(wǎng)必須能夠支持漫游。IETF為了迎合這種需求，制定了移動IP協(xié)議，它是傳統(tǒng)Internet的有效延伸和擴(kuò)展。移動IP是一個在全球互聯(lián)網(wǎng)上提供移動功能的解決方案，使移動節(jié)點(diǎn)在切換鏈路時仍可保持正在進(jìn)行的通信。它提供了一種IP路由機(jī)制，使移動節(jié)點(diǎn)以一個永久的IP地址連接到任何網(wǎng)絡(luò)鏈路上。隨著第三網(wǎng)絡(luò)中移動通訊和IP的融合，個人通訊

31、（語音、數(shù)據(jù)、圖像或視頻等）將主要由移動通訊來完成。因而，通過移動IP開展實(shí)時性業(yè)務(wù)的需求也與日俱增。然而，由于移動節(jié)點(diǎn)的移動性，移動節(jié)點(diǎn)需要頻繁的切換網(wǎng)絡(luò)子網(wǎng)，從而導(dǎo)致延時甚至網(wǎng)絡(luò)的中斷。如何解決移動IP的無縫切換問題是開展實(shí)時性業(yè)務(wù)的關(guān)鍵。作為下一代通信的一個解決方案，移動IP勢必工作在無線的網(wǎng)絡(luò)的環(huán)境中，同其它無線通信一樣，安全同樣也是移動IP所面臨的一個重要問題。如何構(gòu)建一個安全的移動IP網(wǎng)絡(luò)以及實(shí)現(xiàn)對合法用戶的認(rèn)證、授權(quán)使用等

32、也是移動IP走向商業(yè)應(yīng)用的一個關(guān)鍵所在。從移動IP協(xié)議的切換和安全問題的探討研究中，給出了未來技術(shù)的發(fā)展方向和需要進(jìn)一步深</p><p>　　本課題研究內(nèi)容主要對兩個關(guān)鍵問題進(jìn)行深入地研究：</p><p>　　(1) 移動IP切換問題，其中側(cè)重點(diǎn)在于研究在移動IP互聯(lián)網(wǎng)絡(luò)中移動主機(jī)由一個網(wǎng)絡(luò)接入點(diǎn)改接到另一個接入點(diǎn)的網(wǎng)絡(luò)切換問題。</p><p>　　(2) 移

33、動IP中的安全問題，其中側(cè)重點(diǎn)在于研究移動IP技術(shù)的WLAN漫游安全問題。</p><p>　　論文的組織結(jié)構(gòu)如下：</p><p><b>　　引言</b></p><p>　　介紹課題的選題背景和研究意義，概述本文的研究內(nèi)容及主要研究工作，敘述論文的組織結(jié)構(gòu)。</p><p><b>　　移動IP概述<

34、;/b></p><p>　　介紹移動IP解決的問題、應(yīng)用的范圍、設(shè)計(jì)的要求及目標(biāo)及功能實(shí)體和基本術(shù)語，敘述了移動IP的基本工作過程。</p><p>　　移動IP中的切換研究</p><p>　　介紹移動IP切換問題、切換注冊過程、術(shù)語介紹及切換延遲、預(yù)先注冊切換方法、過后注冊切換方法和聯(lián)合切換方法。</p><p>　　移動IP中的

35、安全問題研究</p><p>　　介紹網(wǎng)絡(luò)安全現(xiàn)狀、網(wǎng)絡(luò)安全的目標(biāo)、移動IP的安全要求和移動IP的安全威脅與對策。</p><p><b>　　總結(jié)</b></p><p>　　對本文所研究未來移動IP的切換技術(shù)和安全領(lǐng)域需要進(jìn)行簡單概括總結(jié)。</p><p><b>　　2移動IP概述</b>&l

36、t;/p><p>　　2.1移動IP的出現(xiàn)</p><p>　　2.1.1移動IP解決的問題</p><p>　　移動IP在當(dāng)前Internet基于網(wǎng)絡(luò)前綴路由的前提下，使得移動主機(jī)在不同的網(wǎng)絡(luò)之間不斷移動過程中仍能保持通信，是一個在Internet上基于網(wǎng)絡(luò)層提供移動支持功能的解決方案。它主要解決的問題[9]：</p><p>　　(1) 移動

37、主機(jī)可以通過一個永久的IP地址連接到任何鏈路網(wǎng)絡(luò)上；</p><p>　　(2) 移動主機(jī)在切換到新的鏈路上時，仍然能夠保持下在進(jìn)行的通信；</p><p>　　與改變IP地址、特定主機(jī)路由不同，移動IP具有擴(kuò)展性、可靠性和安全性。它與下層的物理傳輸介質(zhì)無關(guān)，不需要改變移動主機(jī)的永久標(biāo)識，與現(xiàn)有的Internet協(xié)議兼容，能夠與具有或不具有移動IP功能的主機(jī)進(jìn)行正常通信。</p>

38、;<p>　　2.1.2移動IP應(yīng)用的范圍</p><p>　　在Internet網(wǎng)絡(luò)協(xié)議中，網(wǎng)絡(luò)層協(xié)議負(fù)責(zé)將網(wǎng)絡(luò)數(shù)據(jù)正確轉(zhuǎn)發(fā)到相應(yīng)的目的地址，其主要部分就是路由協(xié)議。路由協(xié)議通過路由器之間交換路由信息，建立用于轉(zhuǎn)發(fā)分組的路由表，路由器根據(jù)接收分組的目的IP地址查找路由表，轉(zhuǎn)發(fā)分組到相應(yīng)的端口。移動IP是網(wǎng)絡(luò)層的支持主機(jī)移動的解決方案，目的是把數(shù)據(jù)分組發(fā)送到可能不斷改變接入位置的移動主機(jī)，通過在合適

39、的節(jié)點(diǎn)上建立路由表項(xiàng)，實(shí)現(xiàn)轉(zhuǎn)發(fā)數(shù)據(jù)分組到在外地鏈路網(wǎng)絡(luò)上的移動主機(jī)。因此，采用移動IP功能的移動主機(jī)可以從一個網(wǎng)段移動到另一個網(wǎng)段而保持已有的各種通信，這種在不同網(wǎng)絡(luò)間移動同時保持已有通信的功能是移動IP的重要標(biāo)志。</p><p>　　2.1.3移動IP設(shè)計(jì)的要求及目標(biāo)</p><p>　　移動IP的主要設(shè)計(jì)目標(biāo)就是移動節(jié)點(diǎn)在改變網(wǎng)絡(luò)接入點(diǎn)時，不必改變其IP地址，就能夠在移動的過程中保持

40、通信的連續(xù)性，對上層協(xié)議保持透明性，與其它移動節(jié)點(diǎn)或不具有移動IP功能的節(jié)點(diǎn)能夠進(jìn)行正常的通信。具體來說，移動IP協(xié)議的設(shè)計(jì)應(yīng)該滿足如下的要求：</p><p>　　（1） 移動節(jié)點(diǎn)在改變數(shù)據(jù)鏈路層接入點(diǎn)以后，應(yīng)該能夠保持與Internet上其它節(jié)點(diǎn)的連續(xù)通信；</p><p>　?。?） 移動節(jié)點(diǎn)無論連接到任何接入點(diǎn)，應(yīng)該能夠用原來的IP地址進(jìn)行通信；</p><p&

41、gt;　?。?） 移動節(jié)點(diǎn)應(yīng)該能夠與不具有移動IP功能的其它節(jié)點(diǎn)進(jìn)行通信，并且不需要修改這些節(jié)點(diǎn)的協(xié)議；</p><p>　　（4） 移動節(jié)點(diǎn)不應(yīng)該比Internet上的其它節(jié)點(diǎn)面臨更多的安全威脅。</p><p>　　另外，由于移動節(jié)點(diǎn)通過無線鏈路連接到Internet上，無線鏈路具有低帶寬、高誤碼率的特點(diǎn)，長消息容易出錯，以及移動節(jié)點(diǎn)通常由能量少的電池供電，減少通信中的能量消耗非常重要

42、。因此，設(shè)計(jì)移動IP時要考慮移動節(jié)點(diǎn)接入時發(fā)送的管理消息數(shù)目應(yīng)該盡可能少，消息長度也應(yīng)該盡可能短。</p><p>　　2.2移動IP的基本概念</p><p>　　2.2.1移動IP的功能實(shí)體和基本術(shù)語</p><p>　　移動IP的功能實(shí)體：</p><p>　　移動節(jié)點(diǎn)：能夠從一條鏈路切換到另一條鏈路，接入因特網(wǎng)而仍然保持正在進(jìn)行的通信

43、，并且保持它的家鄉(xiāng)地址不變的節(jié)點(diǎn)。</p><p>　　家鄉(xiāng)代理：與移動節(jié)點(diǎn)家鄉(xiāng)鏈路相連的路由器。它保留有移動節(jié)點(diǎn)的家鄉(xiāng)地址，該路由器的功能是當(dāng)移動節(jié)點(diǎn)離開家鄉(xiāng)網(wǎng)絡(luò)時，家鄉(xiāng)代理通過隧道機(jī)制將發(fā)往移動節(jié)點(diǎn)的家鄉(xiāng)網(wǎng)絡(luò)的數(shù)據(jù)包轉(zhuǎn)發(fā)到移動節(jié)點(diǎn)的當(dāng)前位置上，并維護(hù)反映移動節(jié)點(diǎn)當(dāng)前位置的信息。</p><p>　　外地代理：移動節(jié)點(diǎn)當(dāng)前所在網(wǎng)絡(luò)上的路由器，它向已登記的移動節(jié)點(diǎn)提供路由服務(wù)。當(dāng)使用外地代

44、理轉(zhuǎn)交地址時，外地代理負(fù)責(zé)解除原始數(shù)據(jù)包的隧道封裝，取出原始數(shù)據(jù)包，并將其轉(zhuǎn)發(fā)到該移動節(jié)點(diǎn)。對于那些由移動節(jié)點(diǎn)發(fā)出的數(shù)據(jù)包而言，外地代理可作為已登記的移動節(jié)點(diǎn)的缺省路由器使用。</p><p>　　移動IP的基本術(shù)語：</p><p>　　家鄉(xiāng)地址：移動節(jié)點(diǎn)在家鄉(xiāng)網(wǎng)絡(luò)上使用的IP地址，就像分配給固定的路由器或主機(jī)一樣的“永久”的IP地址，不管移動節(jié)點(diǎn)連接到網(wǎng)絡(luò)何處，其家鄉(xiāng)地址保持不變。&l

45、t;/p><p>　　通信對端：指與移動節(jié)點(diǎn)通信的對等實(shí)體，可簡稱為通信對端，它可以是移動節(jié)點(diǎn)或者是位置固定的節(jié)點(diǎn)。</p><p>　　轉(zhuǎn)交地址：指移動節(jié)點(diǎn)離開家鄉(xiāng)鏈路后，它被賦予的反映其當(dāng)前鏈路接入點(diǎn)的臨時地址。</p><p>　　家鄉(xiāng)網(wǎng)絡(luò)：指與移動節(jié)點(diǎn)家鄉(xiāng)地址具有相同前綴的網(wǎng)絡(luò)，可以是一個不存在的虛擬網(wǎng)絡(luò)。發(fā)往移動節(jié)點(diǎn)家鄉(xiāng)地址的IP分組會被標(biāo)準(zhǔn)的IP路由機(jī)制轉(zhuǎn)發(fā)

46、到其家鄉(xiāng)網(wǎng)絡(luò)上。</p><p>　　外地網(wǎng)絡(luò)：指除移動節(jié)點(diǎn)家鄉(xiāng)網(wǎng)絡(luò)外的任何網(wǎng)絡(luò)，也就是網(wǎng)絡(luò)前綴與移動節(jié)點(diǎn)家鄉(xiāng)地址與網(wǎng)絡(luò)前綴不同的網(wǎng)絡(luò)。</p><p>　　隧道：當(dāng)一個數(shù)據(jù)分組被封閉在另一個數(shù)據(jù)分組的載荷中進(jìn)行傳送時，所經(jīng)過的路徑。</p><p>　　移動綁定：指由家鄉(xiāng)代理維護(hù)的移動節(jié)點(diǎn)的家鄉(xiāng)地址和轉(zhuǎn)交地址的關(guān)聯(lián)，還包括關(guān)聯(lián)的剩余生存期等其它相關(guān)信息。</

47、p><p>　　各實(shí)體之間的關(guān)系所構(gòu)成的移動IP工作機(jī)制可參看圖2-1。</p><p>　　圖2-1 移動IP的工作機(jī)制</p><p>　　2.2.2移動IP的基本操作</p><p>　　下面通過分析移動節(jié)點(diǎn)移動到外地網(wǎng)絡(luò)時，如何收到其它節(jié)點(diǎn)發(fā)送給它的分組以及它如何發(fā)送分組給其它節(jié)點(diǎn)，簡單地介紹了移動IP的基本操作，可參看圖2-1。<

48、;/p><p><b>　　代理發(fā)現(xiàn)：</b></p><p>　　家鄉(xiāng)代理和外地代理周期性在它們作為移動代理的鏈路上，多播或廣播稱為代理通告的</p><p>　　消息，通告它們與相應(yīng)鏈路上的連接關(guān)系。</p><p>　　移動節(jié)點(diǎn)根據(jù)收到的代理通告消息，判斷它是在家鄉(xiāng)鏈路網(wǎng)絡(luò)上還是在外地鏈路網(wǎng)絡(luò)上。</p>

49、<p>　　當(dāng)連接在家鄉(xiāng)鏈路上時，移動節(jié)點(diǎn)就像固定節(jié)點(diǎn)一樣的進(jìn)行工作，不再利用移動IP功能。當(dāng)移動節(jié)點(diǎn)檢測到它從家鄉(xiāng)鏈路網(wǎng)絡(luò)移動到外地鏈路網(wǎng)絡(luò)，或從一個外地鏈路網(wǎng)絡(luò)移動到新的外地鏈路網(wǎng)絡(luò)上時，它就要向家鄉(xiāng)代理進(jìn)行注冊。</p><p><b>　　注冊：</b></p><p>　　當(dāng)移動節(jié)點(diǎn)連接在外地鏈路網(wǎng)絡(luò)時，它需要一個代理它當(dāng)前所在位置的轉(zhuǎn)交地址。移

50、動</p><p>　　節(jié)點(diǎn)可從外地代理通告消息中獲得外地代理轉(zhuǎn)交地址，還可以通過動態(tài)配置協(xié)議或手工配置等方法獲得配置轉(zhuǎn)交地址。</p><p>　　移動主機(jī)在獲得轉(zhuǎn)交地址后，通過移動IP定義的消息向家鄉(xiāng)代理請求注冊。家鄉(xiāng)代理確</p><p>　　認(rèn)后，將家鄉(xiāng)地址和相應(yīng)的轉(zhuǎn)交地址存放在綁定緩存中，完成家鄉(xiāng)地址和轉(zhuǎn)交地址的綁定，并向移動節(jié)點(diǎn)發(fā)送注冊應(yīng)答。在注冊的過程

51、中，如果移動節(jié)點(diǎn)使用外地代理轉(zhuǎn)交地址，就要通過外地代理進(jìn)行注冊請求和注冊應(yīng)答。</p><p><b>　　分組路由[10]：</b></p><p>　　家鄉(xiāng)代理和家鄉(xiāng)鏈路網(wǎng)絡(luò)上的其它路由器通過與外地鏈路網(wǎng)絡(luò)上的路由器交換路由信</p><p>　　息，使得發(fā)送給移動節(jié)點(diǎn)家鄉(xiāng)地址的分組被正確轉(zhuǎn)發(fā)到家鄉(xiāng)鏈路上。家鄉(xiāng)代理通過地址解析協(xié)議來截取發(fā)往

52、移動節(jié)點(diǎn)家鄉(xiāng)地址的IP分組。圖2-2是移動IP的三角路由，圖2-3是移動IP的優(yōu)化路由。</p><p>　　圖2-2 移動IP的三角路由</p><p>　　圖2-3 移動IP的優(yōu)化路由。</p><p>　　家鄉(xiāng)代理根據(jù)分組的IP目地址查找綁定緩存，獲得移動節(jié)點(diǎn)注冊的轉(zhuǎn)交地址，然后通過</p><p>　　隧道發(fā)送分組到移動節(jié)點(diǎn)的轉(zhuǎn)交

53、地址。如果轉(zhuǎn)交地址是外地代理轉(zhuǎn)交地址，隧道末端的外地代理拆封得到原始分組后，再轉(zhuǎn)發(fā)給移動節(jié)點(diǎn)。如果轉(zhuǎn)交地址是配置較交地址，封裝的數(shù)據(jù)分組直接發(fā)送到移動節(jié)點(diǎn)。</p><p>　　移動節(jié)點(diǎn)使用外地鏈路網(wǎng)絡(luò)的路由器作為默認(rèn)的路由器，它發(fā)送的分組通過外地鏈路網(wǎng)</p><p>　　絡(luò)路由器直接發(fā)送給通信對端，不需要采用隧道機(jī)制。通信對端發(fā)送的分組通過移動節(jié)點(diǎn)的家鄉(xiāng)代理轉(zhuǎn)發(fā)給移動節(jié)點(diǎn)，移動節(jié)點(diǎn)的分

54、組直接發(fā)送通信對端，形成基本移動IPv4的三角路由現(xiàn)象。三角路由不是優(yōu)化的路由，而移動IPv6的路由就是優(yōu)化的路由，即移動節(jié)點(diǎn)和通信對端進(jìn)行直接的通信。</p><p><b>　　注銷：</b></p><p>　　移動節(jié)點(diǎn)根據(jù)收到的代理通告消息，如果判斷它返回到家鄉(xiāng)鏈路網(wǎng)絡(luò)上，那么移動節(jié)點(diǎn)</p><p>　　必須直接注冊到家鄉(xiāng)代理完成注銷

55、。注銷后，移動節(jié)點(diǎn)就像固定節(jié)點(diǎn)一樣工作。</p><p>　　3移動IP中的切換研究</p><p>　　3.1移動IP切換的基本概念</p><p>　　3.1.1 移動IP的切換問題</p><p>　　移動IP是一種簡單有效的網(wǎng)絡(luò)層移動性解決方案，但它同時也帶來兩個方面的問題：三角路由和切換[11]。其中的切換問題是指從移動主機(jī)離開原先

56、的外地網(wǎng)絡(luò)開始，到家鄉(xiāng)代理接收到移動主機(jī)的新的注冊請求為止的這段時間內(nèi)，由于家鄉(xiāng)代理不知道移動主機(jī)的最新的轉(zhuǎn)交地址，所以它仍然將屬于移動主機(jī)的IP包通過隧道發(fā)送到原先的外地網(wǎng)絡(luò)，導(dǎo)致這些IP包會被丟棄，使得移動主機(jī)與通信對端間的通信受到影響，特別切換頻繁或者從移動主機(jī)到家鄉(xiāng)代理的距離很遠(yuǎn)時，整個切換過程分為兩個階段：移動檢測階段移動主機(jī)需要進(jìn)行移動檢測以判斷自己是否更換了接入的子網(wǎng)，這段時間稱為移動檢測時延；重新注冊階段移動主機(jī)判斷出發(fā)

57、生移動之后，從移動主機(jī)向家鄉(xiāng)代理發(fā)送注冊請求，到家鄉(xiāng)代理收到請求為止的這段時間，其長短取決于移動主機(jī)到家鄉(xiāng)代理的距離長度。</p><p>　　完成上述的兩個階段后，移動主機(jī)可以和通信對端繼續(xù)通信，但是在這段時間內(nèi)的數(shù)據(jù)包丟失可能會與高層協(xié)議相互作用，進(jìn)一步惡化通信性能，最典型的是和TCP的相互作用。TCP是目前Internet中事實(shí)上的可靠傳輸協(xié)議的標(biāo)準(zhǔn)，它的一個基本假設(shè)是所有的數(shù)據(jù)包丟失都是由網(wǎng)絡(luò)擁塞引起的，

58、每次檢測到數(shù)據(jù)包丟失，TCP都要啟動相應(yīng)的擁塞控制機(jī)制。這個假設(shè)在固定網(wǎng)絡(luò)中工作得很好，但是在移動IP環(huán)境下，這個假設(shè)就不成立，由切換導(dǎo)致的數(shù)據(jù)包丟失會使得TCP連接的中斷時間更長，使TCP性能惡化。相關(guān)資料的研究表明，由于移動IP切換引起的TCP連接中斷時間可以達(dá)到6 s，最嚴(yán)重的可以到12 s左右，其間有多次的超時重傳。</p><p>　　總而言之，移動檢測、重新注冊以及與上層協(xié)議的相互作用三個因素共同決定

59、了移動主機(jī)進(jìn)行切換時的通信性能。</p><p>　　3.1.2 移動IP切換注冊過程</p><p>　　移動IP的注冊過程一般是在代理發(fā)現(xiàn)機(jī)制完成之后進(jìn)行的。一旦移動節(jié)點(diǎn)發(fā)現(xiàn)它的網(wǎng)絡(luò)接入點(diǎn)從一條鏈路切換到另一條鏈路時，它就要進(jìn)行注冊。另外，由于注冊信息有一定的生存時間，即使移動節(jié)點(diǎn)沒有發(fā)生移動也要進(jìn)行重新注冊。移動IP的注冊過程[12]是：</p><p>　　

60、移動主機(jī)可以通過注冊得到外地鏈路上的外地代理的路由服務(wù)；</p><p>　　移動主機(jī)可以通知家鄉(xiāng)代理它的轉(zhuǎn)交地址；</p><p>　　可以使一個要過期的注冊重新生效；</p><p>　　移動主機(jī)在回到家鄉(xiāng)鏈路上時要進(jìn)行注銷。</p><p>　　注冊的一些功能還包括：</p><p>　　同時注冊多個轉(zhuǎn)交地址，家

61、鄉(xiāng)代理將送往移動主機(jī)家鄉(xiāng)地址的數(shù)據(jù)包通過隧道送往每個轉(zhuǎn)</p><p><b>　　交地址；</b></p><p>　　可以在注銷一個轉(zhuǎn)交地址的同時保留其它轉(zhuǎn)交地址；</p><p>　　在先前不知道它的家鄉(xiāng)代理的情況下，移動主機(jī)可以通過注冊動態(tài)地得到一個可能的家鄉(xiāng)</p><p><b>　　代理的地址。&

62、lt;/b></p><p>　　移動IP注冊包括兩種注冊消息：注冊請求和注冊應(yīng)答。注冊消息放在UDP的數(shù)據(jù)部分，UDP數(shù)據(jù)段則放在IP包的凈荷中。</p><p>　　移動IP的注冊過程是用于通知家鄉(xiāng)代理通過隧道向移動節(jié)點(diǎn)發(fā)送數(shù)據(jù)包的。如果不采用安全保障措施，又有一個惡意主機(jī)用戶故意發(fā)送一條假注冊請求消息給家鄉(xiāng)代理，那么所有的數(shù)據(jù)包就有可能全部送到惡意用戶那里。因此安全性問題就成為

63、移動IP技術(shù)中的重要組成部分，它通過注冊消息結(jié)構(gòu)中的擴(kuò)展字段對注冊消息進(jìn)行安全認(rèn)證。</p><p>　　3.2移動IPv4低延遲切換技術(shù)</p><p>　　3.2.1術(shù)語介紹及切換延遲</p><p>　　切換：指當(dāng)前正在進(jìn)行通信的移動節(jié)點(diǎn)與通信節(jié)點(diǎn)之間的通信鏈路從當(dāng)前接入路由器轉(zhuǎn)移到新的接入路由器的過程。</p><p>　　2層觸發(fā)：

64、是來自2層的信息，這些信息在2層切換前后通知3層特定的事件。</p><p>　　2層切換：當(dāng)移動節(jié)點(diǎn)由一個網(wǎng)絡(luò)接入點(diǎn)改接到另一個接入點(diǎn)（可能同屬于一個網(wǎng)絡(luò)，也可能分屬不同的網(wǎng)絡(luò)）時，首先需要進(jìn)行數(shù)據(jù)鏈路層的切換。這一層的切換過過程是由各個子網(wǎng)所使用的底層通信技術(shù)決定的。</p><p>　　3層切換：當(dāng)移動節(jié)點(diǎn)判斷出自己已經(jīng)移動到新的外地子網(wǎng)時，首先從外地子網(wǎng)獲得轉(zhuǎn)交地址，并發(fā)送注冊請求

65、向家鄉(xiāng)代理注冊新的轉(zhuǎn)交地址。家鄉(xiāng)代理收到注冊請求后給移動節(jié)點(diǎn)發(fā)送注冊應(yīng)答，這樣就完成了一次新的注冊過程。之后，家鄉(xiāng)代理開始將目的地址為移動節(jié)點(diǎn)的數(shù)據(jù)包通過隧道發(fā)送到移動節(jié)點(diǎn)的當(dāng)前位置，隧道的出口即為新的轉(zhuǎn)交地址，從而完成了一次完整的切換。</p><p>　　為了使移動網(wǎng)絡(luò)得到最廣泛的適用性，移動IP最初被設(shè)計(jì)為對鏈路層保持獨(dú)立。這種設(shè)計(jì)的優(yōu)點(diǎn)在于將協(xié)議棧的二層和三層明確分割，但是這種設(shè)計(jì)也給切換延遲帶來的負(fù)面的

66、影響。</p><p><b>　　固有延時：</b></p><p>　　第二層和第三層的嚴(yán)格分離導(dǎo)致了下面的固有延遲[13]。</p><p>　　移動主機(jī)只能與直接連接的外地代理通信，即移動主機(jī)只有在與新的外地代理的第二層切換完成后，才能開始注冊過程。</p><p>　　注冊過程的持續(xù)時間非零。在這段時間內(nèi)，移動

67、主機(jī)不能發(fā)送和接收IP分組。</p><p><b>　　相應(yīng)的解決措施：</b></p><p>　　針對上面存在的固有延遲問題，可從下面兩個方面考慮，提出了減小移動IP固有延遲的一些方法。</p><p>　　移動主機(jī)在當(dāng)前外地網(wǎng)絡(luò)時，在發(fā)生切換之前就與新的外地網(wǎng)絡(luò)上的外地代理通信。這可以讓移動主機(jī)在二層切換之前就在新的外地代理上建立它的注

68、冊狀態(tài)，加快切換的進(jìn)程。</p><p>　　在新的外地網(wǎng)絡(luò)上正式注冊過程完成之前，移動主機(jī)繼續(xù)使用前一個外地網(wǎng)絡(luò)上的轉(zhuǎn)交地址，通過前一個外地網(wǎng)絡(luò)上的外地代理維持正在進(jìn)行的通信連接。這樣，可以減少了移動主機(jī)在網(wǎng)絡(luò)切換過程中的通信中斷時間。</p><p>　　3.2.2預(yù)先注冊切換方法</p><p>　　預(yù)先注冊切換方法允許移動主機(jī)參與即將發(fā)生的第三層切換。在網(wǎng)絡(luò)

69、支持下，移動主機(jī)在沒有完成第二層切換時，就啟動第三層切換的部分操作。第三層切換可以是移動發(fā)起的，也可以是網(wǎng)絡(luò)發(fā)起的。</p><p>　　預(yù)先注冊切換方法基于移動IP協(xié)議中描述的移動切換最初的概念。</p><p>　　移動主機(jī)接收外地代理的通告；</p><p>　　通告允許移動主機(jī)執(zhí)行移動檢測；</p><p>　　移動主機(jī)向外地代理注冊

70、。</p><p>　　根據(jù)二層觸發(fā)的位置不同，預(yù)先注冊切換方法允許移動主機(jī)和外地代理發(fā)起切換，分別可稱為移動發(fā)起和網(wǎng)絡(luò)發(fā)起。如圖3-1總結(jié)了預(yù)先注冊切換的機(jī)制，下面介紹具體的操作過程：</p><p>　　圖3-1 預(yù)先注冊切換過程</p><p>　　消息1a是舊外地代理向新外地代理發(fā)的請求路由器通告信息（RtSol , Router Solicitation

71、）,消息1b是新外地代理回應(yīng)的路由器通告消息（RtAdv, Router Advertisement）。這些消息應(yīng)該在預(yù)先注冊切換之前發(fā)生才不會給切換帶來延遲，這樣舊外地代理應(yīng)該請求和緩存從相鄰網(wǎng)絡(luò)上的外地代理發(fā)送來的通告，以減少預(yù)先注冊信令交換的時間。當(dāng)3層切換是由在新外地代理上的2層目的觸發(fā)所引起時，消息1b和消息2b一樣直接被發(fā)送到移動節(jié)點(diǎn)（使用新外地代理和舊外地代理之間的隧道發(fā)送），而不需要由舊外地代理做中轉(zhuǎn)。</p>

72、;<p>　　消息2a是一個代理路由器請求消息（ProxyRtSol, Proxy Router Solicitation）,這條消息與一般的路由器請求消息不同，這條消息請求發(fā)送路由器通告的路由器并不是收到這條消息的路由器。使用這條消息說明切換是移動發(fā)起的。在移動發(fā)起的切換中，如果移動節(jié)點(diǎn)產(chǎn)生2層觸發(fā)請求發(fā)送一個ProxyRtSol消息，消息2a用于請求代理路由器通告。在網(wǎng)絡(luò)發(fā)起的切換中，舊外地代理產(chǎn)生2層觸發(fā)，直接通過消

73、息2b向移動節(jié)點(diǎn)發(fā)送路由器通告，而不需要移動節(jié)點(diǎn)請求。在網(wǎng)絡(luò)發(fā)起的目的觸發(fā)的情況下，新外地代理也可能直接通告移動節(jié)點(diǎn)。不管是何種情況，消息2b都是新外地代理的路由器通告消息。</p><p>　　當(dāng)移動節(jié)點(diǎn)接收到路由器通告時，執(zhí)行移動檢測。在適當(dāng)?shù)臅r候，它通過消息3向新外地代理發(fā)送注冊請求消息請求綁定。如果有網(wǎng)關(guān)外地代理存在，這條消息可以作為一個區(qū)域注冊請求。因?yàn)橐苿庸?jié)點(diǎn)在2層切換之前沒有直接連接到新外地代理，消

74、息3通過舊外地代理路由到新的外地代理。</p><p>　　消息3、消息4、消息5組成標(biāo)準(zhǔn)的移動IP注冊或區(qū)域注冊。如果切換時網(wǎng)絡(luò)發(fā)起目的觸發(fā)切換，注冊應(yīng)答消息5應(yīng)該通過隧道從新外地代理發(fā)到舊外地代理，再發(fā)送到移動節(jié)點(diǎn)。如果切換時移動節(jié)點(diǎn)或網(wǎng)絡(luò)發(fā)起源觸發(fā)切換，新的外地代理不知道舊外地代理的地址，所以新外地代理要等到移動節(jié)點(diǎn)與新網(wǎng)絡(luò)的2層連接建立后才可以將注冊應(yīng)答消息發(fā)送給移動節(jié)點(diǎn)。</p><

75、p>　　如果注冊成功，移動節(jié)點(diǎn)的家鄉(xiāng)代理或網(wǎng)關(guān)外地代理就將發(fā)往移動節(jié)點(diǎn)的數(shù)據(jù)同歸隧道轉(zhuǎn)發(fā)到移動節(jié)點(diǎn)的新外地代理。</p><p>　　3.2.3過后注冊切換方法</p><p>　　過后注冊切換方法是對移動IP協(xié)議的擴(kuò)展，允許新舊外地代理利用二層觸發(fā)，在新舊外地代理之間建立雙向隧道。這樣，移動主機(jī)可以在新的網(wǎng)絡(luò)上繼續(xù)使用舊的轉(zhuǎn)交地址，移動主機(jī)在新連接點(diǎn)上很快建立服務(wù)，減小對實(shí)時性的影

76、響。移動主機(jī)最終必須在與新的外地代理的二層連接建立后，才執(zhí)行正式的移動IP注冊。</p><p>　　過后注冊切換方法使用隧道實(shí)現(xiàn)低延遲切換。當(dāng)移動主機(jī)和舊的外地代理之間成功地完成移動IP注冊之后，舊的外地代理就變成了移動主機(jī)的“錨點(diǎn)”，稱為錨點(diǎn)外地代理。移動主機(jī)移動到一個新的外地網(wǎng)絡(luò)，移動主機(jī)可以推遲第三層的切換而繼續(xù)使用其錨點(diǎn)外地代理。如果移動主機(jī)還沒有完成向新的外地代理的注冊又移動到了第三個外地代理所在的網(wǎng)

77、絡(luò)，第三個外地代理可以與錨點(diǎn)外地代理進(jìn)行信令交互將雙向邊隧道移到第三個外地代理處。當(dāng)移動主機(jī)在外地網(wǎng)絡(luò)上完成注冊操作后，錨點(diǎn)外地代理發(fā)出的雙向邊隧道將會被拆除。如圖3-2總結(jié)了過后注冊切換的機(jī)制，下面介紹雙方切換的操作過程：</p><p>　　圖3-2 過后注冊切換過程</p><p>　　舊外地代理或者是新外地代理收到一個第2層觸發(fā)消息，得知一個移動節(jié)點(diǎn)將要移動到新的網(wǎng)絡(luò)上，可以分為

78、以下2種情況。</p><p>　　第2層觸發(fā)是一個舊外地代理處的源觸發(fā)消息。消息中包含移動節(jié)點(diǎn)的第2層地址和新外地代理的IP標(biāo)識符，IP標(biāo)識符可以是一個IP地址或者是可以映射為IP地址的第2層地址。</p><p>　　第2層觸發(fā)是一個新外地代理處的目的觸發(fā)消息。消息中包含移動節(jié)點(diǎn)的第2層地址和舊外地代理的IP標(biāo)識符。</p><p>　　2） 收到第2層觸發(fā)消息

79、的外地代理發(fā)送一個切換請求消息（HRqst, Handoff Request）給另一個外地代理，這里也有以下2種情況。</p><p>　　如果是舊外地代理發(fā)送的切換請求消息，在消息中包含舊外地代理希望使用的2個外地代理之間隧道的生存期參數(shù)、移動節(jié)點(diǎn)的家鄉(xiāng)子網(wǎng)地址和2層地址。</p><p>　　如果是新外地代理發(fā)送的切換請求消息，在消息中包含新外地代理希望使用的隧道生存期參數(shù)和移動節(jié)點(diǎn)的

80、2層地址。</p><p>　　3） 收到切換請求消息的外地代理給對方外地代理回應(yīng)一個切換應(yīng)答消息（HRply, Handoff Reply）。</p><p>　　如果發(fā)送切換應(yīng)答消息的是舊外地代理，消息中包含舊外地代理希望使用的2個外地代理之間隧道的生存期參數(shù)、移動節(jié)點(diǎn)的家鄉(xiāng)子網(wǎng)地址、2層地址和移動節(jié)點(diǎn)的家鄉(xiāng)代理地址。</p><p>　　如果是新外地代理發(fā)送的

81、切換應(yīng)答消息，在消息中包含新外地代理希望使用的隧道生存期參數(shù)，這個參數(shù)不能大于舊外地代理發(fā)來的切換應(yīng)答消息中的隧道生存期值。</p><p>　　4） 當(dāng)移動節(jié)點(diǎn)與當(dāng)前網(wǎng)絡(luò)的第2層連接斷開時，移動節(jié)點(diǎn)和舊外地代理都收到一個鏈路停用觸發(fā)消息，當(dāng)移動節(jié)點(diǎn)和新外地代理收到一個鏈路啟動觸發(fā)消息時，表示第2層切換已經(jīng)完成。各個節(jié)點(diǎn)對觸發(fā)消息的處理如下所述。</p><p>　　當(dāng)舊外地代理收到鏈路

82、停用觸發(fā)消息時，它開始將發(fā)到移動節(jié)點(diǎn)的數(shù)據(jù)分組通過隧道發(fā)送到新外地代理。</p><p>　　當(dāng)新外地代理收到鏈路啟動觸發(fā)消息時，新外地代理將舊外地代理通過隧道發(fā)來的數(shù)據(jù)分組轉(zhuǎn)發(fā)給移動節(jié)點(diǎn)，同時新外地代理還將移動節(jié)點(diǎn)發(fā)到自己的數(shù)據(jù)分組通過一般的路由或者通過隧道發(fā)送到舊外地代理。</p><p>　　當(dāng)移動節(jié)點(diǎn)收到鏈路啟動觸發(fā)消息時，移動節(jié)點(diǎn)可以開始通常的移動IP注冊過程，也可以推遲這一過程

83、。如果注冊成功，新外地代理就變成一個錨點(diǎn)外地代理。</p><p>　　5） 如果移動節(jié)點(diǎn)還沒有在新外地代理處完成移動IP的注冊就移動到第3個網(wǎng)絡(luò)，這時舊外地代理就變成錨點(diǎn)外地代理。</p><p>　　6） 如果第2層切換在第4步失敗，移動節(jié)點(diǎn)快速地在2個子網(wǎng)間來回移動，舊外地代理也許可以檢測出這一情況，并且在2）中發(fā)送切換請求消息的外地代理給另一個外地代理發(fā)出一條隧道生存期為0的切換請

84、求消息，將2個外地代理之間的隧道撤銷。在這種情況下，舊外地代理就認(rèn)為移動節(jié)點(diǎn)沒有移動，舊外地代理僅僅在自己所在的網(wǎng)絡(luò)上發(fā)送數(shù)據(jù)分組。</p><p>　　3.2.4聯(lián)合切換方法</p><p>　　聯(lián)合切換方法可以同時執(zhí)行預(yù)先注冊切換和過后注冊切換，該方法在運(yùn)行預(yù)先注冊方法時，在新舊外地代理之間交換過后注冊切換消息，如果預(yù)先注冊切換可以在二層切換完成前完成，預(yù)先注冊成功，聯(lián)合方法轉(zhuǎn)化為預(yù)先

85、注冊切換。如果預(yù)先注冊切換沒有完成，過后注冊切換方法將被使用。在二層切換完成前，預(yù)先注冊不能保證一定能夠完成，此時，該方法提供了一種備用機(jī)制。</p><p>　　啟動過后注冊的時間門限是外地代理定時器的超時。舊外地代理的定時器在源觸發(fā)后啟動，新外地代理的定時器在目的觸發(fā)后啟動，或者在移動發(fā)起的情況下，新舊外地代理在接收到移動主機(jī)發(fā)送的注冊請求消息后啟動。外地代理接收到注冊回應(yīng)消息，并且發(fā)送到移動主機(jī)后，定時器復(fù)

86、位。</p><p>　　4移動IP中的安全問題研究</p><p>　　安全性當(dāng)前網(wǎng)絡(luò)中最令人關(guān)注的熱點(diǎn)之一,安全性主要包括四個方面:機(jī)密性、認(rèn)證、完整性和不可抵賴性。移動IP可以使用戶在不中斷網(wǎng)絡(luò)連接的情況下隨意漫游，這給用戶帶來了極大的方便。但在移動IP環(huán)境中，移動主機(jī)可以隨意進(jìn)行移動，而且可以使用包括無線信道在內(nèi)的多種傳輸介質(zhì)，這些都帶來了許多新的安全隱患。</p>

87、<p><b>　　4.1網(wǎng)絡(luò)安全基礎(chǔ)</b></p><p>　　4.1.1網(wǎng)絡(luò)安全現(xiàn)狀</p><p>　　隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，特別是從80年代初誕生了TCP/IP協(xié)議族開始。TCP/IP是當(dāng)今幾乎所有網(wǎng)絡(luò)通信的基礎(chǔ)。今天，各種通信網(wǎng)絡(luò)，如用于數(shù)據(jù)傳輸?shù)姆纸M交換網(wǎng)絡(luò)、用于話音通信的公共業(yè)務(wù)電信網(wǎng)絡(luò)、綜合業(yè)務(wù)網(wǎng)絡(luò)和(陸地或衛(wèi)星)移動通信網(wǎng)絡(luò)等，使我們的

88、生活方式和工作方式發(fā)生了巨大的變化。我們正在步入一個嶄新的信息社會。隨著信息化社會的發(fā)展，信息在社會中的地位和作用越來越重要，每個人的生活都與信息的產(chǎn)生、存貯、處理和傳遞密切相關(guān)，對其依賴程度也越來越高，信息的安全與保密問題成了人人都關(guān)心的事情，這使得安全保密學(xué)成為大家感興趣并為更多人服務(wù)的科學(xué)。信息空間中的偵察與反偵察、截獲和反截獲、破譯和反破譯、破壞和反破壞的斗爭愈演愈烈。軍事上的電子對抗在1991年初的海灣戰(zhàn)爭中發(fā)展成為空前的大規(guī)

89、模電子戰(zhàn)，商業(yè)上的情報(bào)戰(zhàn)也隨著電子商務(wù)的發(fā)展而步入了新的階段。近年來，在網(wǎng)絡(luò)上所進(jìn)行的各種犯罪活動出現(xiàn)了逐年上升的趨勢，由此所造成的經(jīng)濟(jì)損失是十分巨大的。信息空間中的信息大戰(zhàn)正在悄悄而積極的醞釀中，小規(guī)模的信息戰(zhàn)一直在不斷的出現(xiàn)、發(fā)展和擴(kuò)大。信息戰(zhàn)是信息化社會發(fā)展的必然產(chǎn)物。在信息戰(zhàn)場上能否控制和取勝，是贏得政</p><p>　　幸運(yùn)的是，加密技術(shù)可有效的解決這些問題。當(dāng)今密碼學(xué)和信息安全保密技術(shù)已逐步得到廣泛

90、的重視，相應(yīng)的安全軟件和硬件己逐漸形成一個新的產(chǎn)業(yè)，其中包括認(rèn)證、加密、訪問控制、防火墻、抗病毒等方面的產(chǎn)品。信息安全保密技術(shù)在軍事系統(tǒng)、政府機(jī)構(gòu)、金融系統(tǒng)、醫(yī)療保健、通信網(wǎng)絡(luò)、教育系統(tǒng)、制造業(yè)等方面開始得到廣泛應(yīng)用。</p><p>　　4.1.2網(wǎng)絡(luò)安全的目標(biāo)</p><p>　　計(jì)算機(jī)網(wǎng)絡(luò)安全防范的重點(diǎn)是防范計(jì)算機(jī)病毒和黑客攻擊,具體地講,要達(dá)到以下目標(biāo)[14]。</p>

91、<p><b>　　認(rèn)證</b></p><p>　　認(rèn)證就是識別和證實(shí)，識別是判明一個對象的真實(shí)身份，證實(shí)是證明該對象的身份就是其聲明的身份。</p><p><b>　　保密性</b></p><p>　　保密性就是保證機(jī)密信息和數(shù)據(jù)不會泄漏給非授權(quán)的用戶。</p><p><

92、;b>　　信息完整性</b></p><p>　　信息完整性就是保證信息和數(shù)據(jù)的一致性，防止信息和數(shù)據(jù)被非法用戶利用、修改和破壞。</p><p><b>　　服務(wù)可用性</b></p><p>　　服務(wù)可用性就是保證合法用戶對信息數(shù)據(jù)或資源的合法使用不會被不正當(dāng)?shù)鼐芙^。</p><p><b&g

93、t;　　抗抵賴</b></p><p>　　抗抵賴是針對對方進(jìn)行抵賴的安全防范措施，用來證實(shí)發(fā)生過的行為，可細(xì)分為對發(fā)送抗抵賴、對遞交抗抵賴和公證等防范措施。</p><p><b>　　可控性</b></p><p>　　可控性是指信息、數(shù)據(jù)或資源被合法使用時，應(yīng)能夠控制授權(quán)用戶的使用方式和訪問權(quán)限。</p><

94、;p><b>　　系統(tǒng)易用性</b></p><p>　　系統(tǒng)易用性是指在滿足安全性和保密性等要求的前提下，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)應(yīng)當(dāng)操作簡單、維護(hù)方便。</p><p>　　4.2 移動IP的安全分析</p><p>　　4.2.1移動IP的安全要求</p><p>　　移動IP主要有三個安全要求[15]：</p&

95、gt;<p>　　1. 移動IP的機(jī)密性</p><p>　　除了要保證通信數(shù)據(jù)的機(jī)密性外，對于移動IP，要特別關(guān)注以下信息的機(jī)密性。</p><p>　　用戶信息：用戶信息是網(wǎng)絡(luò)黑客比較感興趣的，因而必須采用強(qiáng)的加密技術(shù)，保證其機(jī)密性；否則，這些機(jī)密信息一旦泄漏，將會給用戶帶來不可估量的損失。</p><p>　　用戶位置：在移動環(huán)境中，用戶使用的無

96、線信號容易泄漏用戶的位置信息，移動IP的一些信令也會包含用戶當(dāng)前所在網(wǎng)絡(luò)的信息，但是，有些用戶并不希望系統(tǒng)中的其他用戶獲取該信息。</p><p>　　呼叫模式：指呼叫者ID、呼叫的頻率、經(jīng)常呼叫的通信對方等信息，偷聽者一旦掌握了用戶的呼叫模式，就更容易發(fā)起攻擊。</p><p>　　2. 移動IP的授權(quán)</p><p>　　在移動通信中，客戶經(jīng)常要使用外地網(wǎng)絡(luò)的資

97、源。通常這些資源不是免費(fèi)向公眾開放的，只有授權(quán)后的客戶才能訪問，服務(wù)提供商不會為那些不屬于自己的非法用戶提供服務(wù)。授權(quán)訪問的前提是認(rèn)證。在商業(yè)的移動IP網(wǎng)絡(luò)中，對所有外地代理和家鄉(xiāng)代理之間的消息進(jìn)行認(rèn)證是很重要的，這樣才可能計(jì)費(fèi)。而認(rèn)證是多種多樣的，即有被訪問網(wǎng)絡(luò)和家鄉(xiāng)網(wǎng)絡(luò)對移動節(jié)點(diǎn)的認(rèn)證，也有被訪問的網(wǎng)絡(luò)對移動節(jié)點(diǎn)家鄉(xiāng)網(wǎng)絡(luò)的認(rèn)證，還可能需要服務(wù)級的認(rèn)證。</p><p>　　3. 移動IP的協(xié)議實(shí)體安全[16]

98、</p><p>　　移動IP的協(xié)議實(shí)體包括：移動節(jié)點(diǎn)、外地代理、家鄉(xiāng)代理、通信對端。這些協(xié)議實(shí)體都可能遭受安全攻擊，所以，應(yīng)該從以下幾個方面考慮移動IP的安全要求。</p><p>　　移動節(jié)點(diǎn)：當(dāng)訪問外地網(wǎng)絡(luò)時，要能夠獲得網(wǎng)絡(luò)服務(wù)并且保護(hù)通信過程。</p><p>　　外地代理和被訪問網(wǎng)絡(luò)：當(dāng)移動節(jié)點(diǎn)訪問時，要能夠保護(hù)網(wǎng)絡(luò)的資源和本地通信流。</p>

99、<p>　　家鄉(xiāng)代理和家鄉(xiāng)網(wǎng)絡(luò)：移動節(jié)點(diǎn)離開家鄉(xiāng)網(wǎng)絡(luò)，要能穿越家鄉(xiāng)網(wǎng)絡(luò)的防火墻；要防止惡意節(jié)點(diǎn)能過假冒移動節(jié)點(diǎn)入侵家鄉(xiāng)網(wǎng)絡(luò)。</p><p>　　通信對端：要防止惡意節(jié)點(diǎn)假冒移動節(jié)點(diǎn)進(jìn)行會話竊取的攻擊。</p><p>　　4.2.2移動IP的安全威脅與對策</p><p>　　移動IP面臨的安全威脅：</p><p><

100、b>　　拒絕服務(wù)攻擊</b></p><p>　　拒絕服務(wù)攻擊是移動IP面臨的最嚴(yán)重的一種攻擊，它是指一個攻擊者為阻止合法網(wǎng)絡(luò)用戶的正常工作而采取的攻擊[17]。這種攻擊方法主要包括兩種方式：一是通過向服務(wù)器或主機(jī)發(fā)送大量數(shù)據(jù)包，使得主機(jī)忙于處理這些無用的數(shù)據(jù)包而無法響應(yīng)有用的信息。二是對網(wǎng)絡(luò)上兩個節(jié)點(diǎn)之間的通信直接進(jìn)行干擾，如采取重定向的方法使合法用戶無法獲得所需要的數(shù)據(jù)。</p>

101、<p>　　在第一種形式的攻擊中，它使用非法的源地址建立大量的 TCP 連接來“轟炸”目標(biāo)主機(jī)。這種攻擊方法能夠成功的一個關(guān)鍵原因在于目前 IP 單播數(shù)據(jù)包的選路只依賴于目的地址，而不需要察看源地址。對付這種攻擊，目前還沒有徹底的解決方案，但是可以采用入口過濾來減少這種攻擊的威脅。路由器通過設(shè)置入口過濾，可以將源地址與其網(wǎng)絡(luò)拓?fù)洳黄ヅ涞臄?shù)據(jù)包丟棄。對固定主機(jī)而言，這種方法可以較好地工作。但對移動 IP 來說，由于一個處于外

102、地鏈路的移動節(jié)點(diǎn)發(fā)出的數(shù)據(jù)包的源地址仍為家鄉(xiāng)地址，而路由器認(rèn)為該地址應(yīng)該位于移動節(jié)點(diǎn)的家鄉(xiāng)鏈路上，所以那些配置了入口過濾的路由器會把這些合法的數(shù)據(jù)包全部丟棄，從而造成數(shù)據(jù)丟失。這個問題可以通過以下兩種方法來解決。一是移動節(jié)點(diǎn)使用配置轉(zhuǎn)交地址作為發(fā)送數(shù)據(jù)包的源地址。這種方法實(shí)現(xiàn)簡單，但存在很大的局限性，因?yàn)橛行┚W(wǎng)絡(luò)注冊系統(tǒng)只允許 IP 地址在一定范圍內(nèi)的用戶訪問，配置轉(zhuǎn)交地址可能處于未經(jīng)授權(quán)的地址范圍內(nèi)，從而無法享用申請的服務(wù)。另一種方法

103、是通過采用反向隧道將數(shù)據(jù)包封裝后送到家鄉(xiāng)代理，然后由家鄉(xiāng)代理負(fù)責(zé)轉(zhuǎn)發(fā)收到的數(shù)據(jù)包，此時數(shù)據(jù)包的源地址與其網(wǎng)絡(luò)拓?fù)湎嗥ヅ涠粫蝗肟谶^濾路由器丟棄。</p><p>　　在 Internet 中，發(fā)起第二種形式的拒絕服務(wù)攻擊通常要求攻擊者位于兩個通信節(jié)點(diǎn)之間的路徑上，但是對移動 IP 而言則沒有這種限制。如果移動主機(jī)位于外地鏈路上，它必須向家鄉(xiāng)代理注冊它的轉(zhuǎn)交地址，然后由家鄉(xiāng)代理根據(jù)注冊的轉(zhuǎn)交地址通過隧道技術(shù)將數(shù)據(jù)

104、包傳送到移動主機(jī)。所以一個攻擊者只需要簡單地發(fā)送一條偽造的注冊請求給家鄉(xiāng)代理，就可以截獲本應(yīng)送往移動節(jié)點(diǎn)的數(shù)據(jù)包，從而使得使合法移動節(jié)點(diǎn)得不到服務(wù)。為了對付這種攻擊，移動節(jié)點(diǎn)和家鄉(xiāng)代理之間的注冊消息必須采用有效的認(rèn)證機(jī)制，從而使得攻擊者不可能偽造注冊請求消息。移動 IP 對認(rèn)證算法不作特別規(guī)定，但要求所有的認(rèn)證算法都必須支持 Keyed MD5[18] 消息摘要認(rèn)證算法。</p><p>　　如圖4-1，移動節(jié)點(diǎn)

105、當(dāng)前的轉(zhuǎn)交地址為10.10.10.10，這時網(wǎng)絡(luò)中的攻擊者冒充移動節(jié)點(diǎn)，并用6.6.6.6作為轉(zhuǎn)交地址向家鄉(xiāng)代理發(fā)送注冊請求。假如家鄉(xiāng)代理接受了該請求。那么，通過家鄉(xiāng)代理轉(zhuǎn)發(fā)給移動節(jié)點(diǎn)的數(shù)據(jù)包將不能路由到移動節(jié)點(diǎn)，而是路由到攻擊者了。</p><p>　　圖4-1 移動IP中的拒絕服務(wù)攻擊</p><p><b>　　假冒攻擊</b></p><

106、p>　　移動 IP 注冊的一個主要目的是讓移動節(jié)點(diǎn)將它的轉(zhuǎn)交地址通知給它的家鄉(xiāng)代理，家鄉(xiāng)代理將根據(jù)轉(zhuǎn)交地址把目的地址為移動節(jié)點(diǎn)地址的數(shù)據(jù)包通過隧道送給移動節(jié)點(diǎn)。當(dāng)攻擊者發(fā)出一個偽造的注冊請求，把他自己的 IP 地址當(dāng)作移動節(jié)點(diǎn)的轉(zhuǎn)交地址時，通信對端發(fā)出的所有數(shù)據(jù)包都會被送給攻擊者，這樣會出現(xiàn)兩個明顯的問題：首先，攻擊者能看到每一個送給移動節(jié)點(diǎn)的數(shù)據(jù)包；另外，移動節(jié)點(diǎn)卻被從所有的通信中斷開了，因?yàn)樗豢赡茉俳邮杖魏螖?shù)據(jù)包了。進(jìn)行這樣

107、的攻擊對攻擊者來說輕而易舉，它只需向移動節(jié)點(diǎn)的家鄉(xiāng)代理發(fā)送一條偽造的注冊請求消息。與固定的機(jī)器和路由器比較一下：對于固定的主機(jī)，一個節(jié)點(diǎn)想要中斷另兩個主機(jī)之間的通信通常它必須位于這兩個主機(jī)之間的路徑上；但在移動狀況下，節(jié)點(diǎn)可以從網(wǎng)絡(luò)的任何角落進(jìn)行這種假冒攻擊。</p><p>　　對這種安全威脅的解決方法是要求移動節(jié)點(diǎn)和它的家鄉(xiāng)代理之間交互的所有注冊消息都進(jìn)行有效的認(rèn)證。所謂有效的認(rèn)證是指幾乎不可能產(chǎn)生一個偽造的

108、注冊請求。移動IP采用移動—家鄉(xiāng)認(rèn)證擴(kuò)展[19]來防止假冒攻擊。圖4.2給出了包含認(rèn)證擴(kuò)展的注冊消息的一般結(jié)構(gòu)。</p><p>　　圖4-2 包含認(rèn)證擴(kuò)展的注冊消息</p><p><b>　　重放攻擊</b></p><p>　　移動—家鄉(xiāng)認(rèn)證擴(kuò)展防止了假冒攻擊，但這還不夠。因?yàn)楣粽呖蓪⒁粋€有效的注冊請求消息存起來，過一段時間再重新發(fā)送

109、這個消息從而注冊一個偽造的轉(zhuǎn)交地址。為防止這種重新發(fā)送攻擊的發(fā)生，移動節(jié)點(diǎn)為每一個連續(xù)的注冊消息標(biāo)識域產(chǎn)生一個唯一值。這個值使得家鄉(xiāng)代理可以知道下一個值應(yīng)是多少，這樣，重放攻擊就無能為力了，因?yàn)樗４娴淖哉埱笙患亦l(xiāng)代理判定為已經(jīng)過時了。為防止重發(fā)攻擊，移動 IP 定義了兩種填寫標(biāo)識域的方法。</p><p>　　第一種方法使用時間標(biāo)簽，移動節(jié)點(diǎn)將它當(dāng)前估計(jì)的日期和時間填寫進(jìn)標(biāo)識域。如果這種估計(jì)和家鄉(xiāng)代理估

110、計(jì)的時間不夠接近，家鄉(xiāng)代理會拒絕這個注冊請求，并向移動節(jié)點(diǎn)提供一些信息來同步它的時鐘，這樣移動節(jié)點(diǎn)以后產(chǎn)生的標(biāo)識就會在家鄉(xiāng)代理允許的誤差范圍內(nèi)了。</p><p>　　另一種方法采用 Nonces[20]，它類似于秘密密鑰認(rèn)證中隨機(jī)數(shù)的作用。在這種方法中，移動節(jié)點(diǎn)向家鄉(xiāng)代理規(guī)定了向移動節(jié)點(diǎn)發(fā)送下一個注冊應(yīng)答消息標(biāo)識域的低半部分中必須放置的值，相似的，家鄉(xiāng)代理向移動節(jié)點(diǎn)規(guī)定了在下一個注冊請求消息標(biāo)識域的高半部分中必