7-module-mobileIP.ppt

移动节点如何处理注册应答 在接收到注册应答后，移动节点就开始进行自己的有效性检查 如果这条应答消息是有效的，那么移动节点就检查Code域，看看这次注册是被家乡代理（和外地代理）接受还是被拒绝了。 常见的拒绝原因有：过长的生存时间（大于外地代理所允许的最大长度）和无效的标识域（这时家乡代理可能期望的是另一个值）-〉重新尝试一次注册。 如果Code域表示注册请求已被接受，那么移动节点就可以调整它的路由表，以适应当前链路，然后就可以开始通信或继续先前的通信了。 节点如何知道注册消息的真正发送者 移动节点为每次注册请求选择一个唯一的值写入标识域（ Identification） 第一个目的是使移动节点可以将注册应答和相应的注册请求对应起来，使移动节点可以判断一大堆注册请求中的哪一个被接受了或被拒绝了。 第二个目的是防止有人将移动节点的一个注册请求消息存下来，之后又送回一个注册应答。所有的数据包送到“坏家伙”那里。 标识域的唯一性以及移动-家乡认证扩展（Mobile-Home Authentication Extension）一起阻止这种事情（称为拒绝服务攻击）的发生。 拒绝服务攻击 因特网 家乡代理 家乡网络 外地代理 路由器 坏家伙 外地链路 移动节点 通信对端 伪造的 注册报文 拒绝服务攻击 ‘坏家伙’向家乡代理发送一个伪造的注册请求消息，家乡代理将它的IP地址当作移动节点的转交地址。所有发送给移动节点报文都将被送给‘坏家伙’ 坏家伙可以在任意地点实施攻击 移动IP使用IPSec机制，要求移动节点和家乡代理之间建立安全协定(Security Association)，对所有的注册消息都要进行有效的认证 重发攻击 因特网 家乡代理 家乡网络 外地代理 路由器 坏家伙 外地链路 移动节点 通信对端 记录注册 报文 重发攻击 家乡代理 家乡网络 外地代理 路由器 坏家伙 移动节点 通信对端 记录的注 册报文 因特网 拒绝服务攻击 为对付这种攻击 ，移动IP要求对移动节点和家乡代理之间的注册消息进行认证。 认证是一个发送节点向接收节点提供身份证明的过程，常采用一个只有发送者和接收者知道的秘密值来实现。 这种认证不可能通过检查网上的数据包进行攻击。移动 IP在注册请求消息中采用了标识域，以防止这种重发攻击的发生。 移动节点和外地代理以及外地代理和家乡代理之间的认证 移动-外地认证扩展。 外部-家乡认证扩展。 由发送数据包的节点直接将包通过隧道(非移动-家乡隧道）送往转交地址，而不是先路由到家乡链路上，这显然效率要高得多。之所以不采用这种优化的路由技术，主要是对付拒绝服务攻击。 过程三：包传送 路由器 路由器 本地代理 本地链路 本地代理向其他路由器广播对移动节点本地地址的可达性。（代理ARP） 路由更新：“我可以到达具有与移动节点的 本地地址相同的网络前缀的所有目的地。” 包传送 主机 路由器 本地代理 本地链路 本地代理的广播可达性消息吸收了发往移动节点本地地址的数据包。 数据包 包传送 外地代理 本地代理 移动 节点 本地代理截取送往移动节点本地地址的数据包，并通过隧道送往它的转交地址。 外地代理从隧道取出原始数据包，并且通过漫游链路送给移动节点。 移动节点 外地代理 本地代理 从本地代理到 外地代理的IP隧道 外层报头 报头 净荷 外部净荷 封装的IP包 报头 净荷 原始IP包 IP源＝远程主机地址，IP目的＝移动主机归属地址 IP源＝本地代理，IP目的＝外地代理 移动节点 外地代理 本地代理 从外地代到 移动节点 外层报头 报头 净荷 外部净荷 封装的IP包 报头 净荷 到移动节点的IP包 IP源＝远程主机地址，IP目的＝移动主机转交地址 IP源＝本地代理，IP目的＝外地代理 移动节点 主机 本地代理 路由器 路由器 路由器 外地代理 用外地代理转交 地址的移动节点 用配置转交地址 的移动节点 经隧道封装的数据包 原始数据包 移动节点 移动节点 移动节点如何发送数据包 直接路由 原路返回 直接路由 因特网 外地代理 移动节点 家乡代理 中间路由器 通信对端 源IP地址 目的IP地址 10.0.0.X 路由器入口过滤的影响 因特网 外地代理 移动节点 家乡代理 中间路由器 通信对端 源IP地址 目的IP地址 为了安全，中间路由器对流入的报文进行过滤，将源IP地址不合法的报文丢弃 10.0.0.X 反向隧道 因特网 外地代理 移动节点 家乡代理 IP地址： 通信对端 转交地址： 10.0.0.X 隧道源IP地址 隧道宿IP地址 源IP地址 目的IP地址 反向隧道 源IP地址 目的IP地址 移动IP的优化 路由优化 切换优化 三角路由问题 外地代理 家乡代理 通信