mobile ipv6 môn học thông tin & truyền dữ liệu số

Một nút mạng mà những gói tin IP truyền đi không đưa tới chính nó unicast routable address Địa chỉ đường dẫn một chiều Gói tin từ một mạng nhỏ IPv6 được gửi tới một interface được x

TRƯỜNG ĐẠI HỌC BÁCH KHOA

TP.HỒ CHÍ MINH CHƯƠNG TRÌNH ĐÀO TẠO KS.CLC VIỆT-PHÁP

Môn học: Thông tin & truyền dữ liệu số

Phần 1: Hỗ trợ di động trong IPv6

Tài liệu này đưa ra một giao thức tuân theo những chuẩn của Internet dành cho cộng đồng internet, và đặt ra những câu hỏi thảo luận , những đề nghị cải tiến Hãy đề cập tới phiên bản hiện tại của "Những chuẩn giao thức Internet chính thức " (STD 1) cho trạng thái chuẩn hóa và trạng thái giao thức Đóng góp của số ghi nhớ này là không giới hạn

Tóm tắt

Tài liệu này đưa ra một giao thức cho phép những nút mạng duy trì kết nối trong khi di chuyển trong Internet Ipv6 Mỗi nút di động luôn luôn được xác định bởi địa chỉ nhà của nó , mà không cần kết nối của nó tới Internet Khi ra ngoài nhà , một nút di động được phó thác cho một địa chỉ khác , cung cấp thông tin về vị trí hiện tại của nó Những gói tin IPv6 được đưa tới địa chỉ nhà của một nút di động rồi hướng thẳng tới nơi phó thác của nút đó Giao thức giúp những nút mạng IPv6 chứa kết nối từ địa chỉ nhà đến địa chỉ phó thác , và rối gửi bất kì gói tin nào thẳng tới địa chỉ phó thác cho nút mạng đó Nhằm hỗ trợ thao tác này ,Di động IPv6 định nghĩa một giao thức IPv6 mới và một tùy chọn điểm đích mới Tất cả nút mạng IPv6 , hoặc di động hoặc cố định , có thể liên lạc với những nút di động

Phần 2: Dùng IPsec để bảo vệ truyền tín hiệu Mobile IPv6 giữa

Mobile Nodes và Home Agents

Mobile IPv6 dùng IPsec để bảo vệ truyền tín hiệu giữa HA và MN Tài liệu này thảo luận sâu

về những yêu cầu , đưa ra định dạng gói được dùng , mô tả những thủ tục định dạng phù hợp và cách thực hiện quản lí những gói tin theo trình tự

Tài liệu này cũng thảo luận về vấn đề bảo mật để chống lại những attacker

Để tránh những attack , chúng ta dùng IPsec Encapsulating Security Payload (ESP) [3] để bảo

vệ lưu thông giữa HA và MN Điều khiển giao thông bao gồm những message trong Mobility Header như sau :

o Binding Update and Acknowledgement messages trao đổi giữa MN và HA

o Return routability messages Home Test Init và Home Test thông qua HA đưa tới CN

o ICMPv6 messages trao đổi giữa MN và HA nhằm mục đích khôi phục prefix

MN và HA phải có một IPsec security để đảm bảo liên lạc an toàn giữa chúng IPsec không bảo đảm trật tự đúng của message Trật tự này do một chuỗi số trong Binding Update và

Binding Acknowledgement messages Chuỗi số trong Binding Updates cũng cung cấp bảo mật tới một giới hạn nào đó nhưng nó cũng thất bại trong một số trường hợp , IKE là giải pháp bảo mật toàn diện

Nội dung phần 1

1 Giới thiệu 5

2 So sánh với IP di động dành cho IPv4

3 Thuật ngữ 3.1 Thuật ngữ chung

3.2 Thuật ngữ IPv6 di động

4 Tổng quan về IPv6 di động 4.1 Nguyên tắc hoạt động

4.2 Giao thức IPv6 mới

4.3 Tùy chọn điểm đích IPv6 mới

4.4 Tin nhắn ICMP IPv6 mới

4.5 Thuật ngữ cấu trúc dữ liệu ý niệm

4.6 Độ phân giải Site-Local

5 Tổng quan về an ninh IPv6 di động 5.1 Cập nhật kết nối tới địa điểm home

5.2 Cập nhật kết nối tới nút mạng cần thiết

5.5 Gói mang thông tin

6 Giao thức IPv6 mới, loại tin nhắn, và tùy chọn điểm đích 6.1 Mobility Header

6.1.1 Định dạng

6.1.2 Tin nhắn yêu cầu kết nối lại

6.1.3 Tin nhắn xác nhận kiểm tra Home

6.1.4 Tin nhắn xác nhận kiểm tra nơi giao phó

6.1.5 Tin nhắn kiểm tra Home

6.1.6 Tin nhắn kiểm tra nơi giao phó

6.2.3 PadN

6.2.4 Trợ giúp kết nối lại

6.2.5 Địa chỉ giao phó thay thế

6.2.6 Nonce Indices

6.2.7 Dữ liệu quản lý kết nối

6.3 Tùy chọn địa chỉ Home

6.4 Type 2 Routing Header

6.4.1 Format

6.5 ICMP Home Agent Address Discovery Request Message

6.6 ICMP Home Agent Address Discovery Reply Message

6.7 ICMP Mobile Prefix Solicitation Message Format

6.8 ICMP Mobile Prefix Advertisement Message Format

7 Modifications to IPv6 Neighbor Discovery 7.1 Modified Router Advertisement Message Format

7.2 Modified Prefix Information Option Format

7.3 New Advertisement Interval Option Format

7.4 New Home Agent Information Option Format

7.5 Changes to Sending Router Advertisements

8 Requirements for Types of IPv6 Nodes 8.1 All IPv6 Nodes

8.2 IPv6 Nodes with Support for Route Optimization

8.3 All IPv6 Routers

8.4 IPv6 Home Agents

8.5 IPv6 Mobile Nodes

9 Correspondent Node Operation 9.1 Conceptual Data Structures

9.2 Processing Mobility Headers

9.3 Packet Processing

9.3.1 Receiving Packets with Home Address Option

9.3.2 Sending Packets to a Mobile Node

9.3.3 Sending Binding Error Messages

9.3.4 Receiving ICMP Error Messages

9.4 Return Routability Procedure

9.4.1 Receiving Home Test Init Messages

9.4.2 Receiving Care-of Test Init Messages

9.4.3 Sending Home Test Messages

9.4.4 Sending Care-of Test Messages

9.5 Processing Bindings

9.5.1 Receiving Binding Updates

9.5.2 Requests to Cache a Binding

9.5.3 Requests to Delete a Binding

9.5.4 Sending Binding Acknowledgements

9.5.5 Sending Binding Refresh Requests

10 Home Agent Operation 10.1 Conceptual Data Structures

10.2 Processing Mobility Headers

10.3 Processing Bindings

10.3.1 Primary Care-of Address Registration

10.3.2 Primary Care-of Address De-Registration

10.4 Packet Processing

10.4.1 Intercepting Packets for a Mobile Node

10.4.2 Processing Intercepted Packets

10.4.3 Multicast Membership Control

10.4.4 Stateful Address Autoconfiguration

10.4.5 Handling Reverse Tunneled Packets

10.4.6 Protecting Return Routability Packets

10.5 Dynamic Home Agent Address Discovery

10.5.1 Receiving Router Advertisement Messages

10.6 Sending Prefix Information to the Mobile Node

10.6.1 List of Home Network Prefixes

10.6.2 Scheduling Prefix Deliveries

10.6.3 Sending Advertisements

10.6.4 Lifetimes for Changed Prefixes

11 Mobile Node Operation 11.1 Conceptual Data Structures

11.2 Processing Mobility Headers

11.3 Packet Processing

11.3.1 Sending Packets While Away from Home

11.3.2 Interaction with Outbound IPsec Processing

11.3.3 Receiving Packets While Away from Home

11.3.4 Routing Multicast Packets

11.3.5 Receiving ICMP Error Messages

11.3.6 Receiving Binding Error Messages

11.4 Home Agent and Prefix Management

11.4.1 Dynamic Home Agent Address Discovery

11.4.2 Sending Mobile Prefix Solicitations

11.4.3 Receiving Mobile Prefix Advertisements

11.5 Movement

11.5.1 Movement Detection

11.5.2 Forming New Care-of Addresses

11.5.3 Using Multiple Care-of Addresses

11.5.4 Returning Home

11.6 Return Routability Procedure

11.6.1 Sending Test Init Messages

11.6.2 Receiving Test Messages

11.6.3 Protecting Return Routability Packets

11.7 Processing Bindings

11.7.1 Sending Binding Updates to the Home Agent

11.7.2 Correspondent Registration 11.7.3 Receiving Binding Acknowledgements

11.7.4 Receiving Binding Refresh Requests 11.8 Retransmissions and Rate Limiting

12 Protocol Constants

13 Protocol Configuration Variables

14 IANA Considerations

15 Security Considerations

15.1 Threats 15.2 Features 15.3 Binding Updates to Home Agent 15.4 Binding Updates to Correspondent Nodes 15.5 Dynamic Home Agent Address Discovery 15.6 Mobile Prefix Discovery

15.7 Tunneling via the Home Agent

15.8 Home Address Option

15.9 Type 2 Routing Header

Nội dung phần 2

1 Lời giới thiệu

2 Thuật ngữ

3 Định dạng gói 3.1 Binding Updates and Acknowledgements

3.2 Return Routability Signaling

3.3 Prefix Discovery

3.4 Payload Packets

4 Những yêu cầu 4.1 Mandatory Support

4.2 Policy Requirements

4.3 IPsec Protocol Processing

4.4 Dynamic Keying

5 Những định dạng mẫu 5.1 Format

5.2 Manual Configuration

5.2.1 Binding Updates and Acknowledgements

5.2.2 Return Routability Signaling

5.2.3 Prefix Discovery

5.2.4 Payload Packets

5.3 Dynamic Keying

5.3.1 Binding Updates and Acknowledgements

5.3.2 Return Routability Signaling

5.3.3 Prefix Discovery

5.3.4 Payload Packets

6 Những bước quản lí trong một nút 6.1 Binding Update to the Home Agent

6.2 Binding Update from the Mobile Node

6.3 Binding Acknowledgement to the Mobile Node

6.4 Binding Acknowledgement from the Home Agent

6.5 Home Test Init to the Home Agent

6.6 Home Test Init from the Mobile Node

6.7 Home Test to the Mobile Node

6.8 Home Test from the Home Agent

6.9 Prefix Solicitation Message to the Home Agent

6.10 Prefix Solicitation Message from the Mobile Node

6.11 Prefix Advertisement Message to the Mobile Node

6.12 Prefix Advertisement Message from the Home Agent

6.13 Payload Packet to the Home Agent

6.14 Payload Packet from the Mobile Node

6.15 Payload Packet to the Mobile Node

6.16 Payload Packet from the Home Agent

6.17 Establishing New Security Associations

6.18 Rekeying Security Associations

6.19 Movements and Dynamic Keying

7 Implementation Considerations 7.1 IPsec

1 Introduction

Tài liệu này đưa ra một giao thức giúp nút mạng duy trì kết nối khi ra ngoài IPv6 Internet Không có hỗ trợ di động cụ thể trong IPv6 [11], gói tin cần gửi cho nút mạng không thể gửi đến nếu như nút đó ra ngoài đường dẫn home Để tiếp tục kết nối trong khi di chuyển , một nút di động phải thay đổi địa chỉ IP mỗi lần khi di chuyển đến một nơi mới , nhưng nó không thể trao đổi và thực hiện những kết nối cấp độ cao khi thay đổi vị trí Di động hỗ trợ trong IPv6 thì rất quan trọng , vì máy tính di động gần như là đóng vai trò phần lớn trong dân số Internet suốt thời

kì của IPv6

Giao thức được định nghĩa trong tài liệu này , được biết như là Mobile IPv6, cho phép một nút di động di chuyển từ nơi này đến nơi khác , mà không cần thay đổi "home address" của nó Gói tin sẽ được hướng tới nút di động dùng địa chỉ này bất chấp vị trí hiện tại của nút đó có kết nối với Internet Nút di động cũng có thể tiếp tục kết nối với nút khác (cố định hoặc di động ) sau khi di chuyển tới một vị trí mới Vị trí di chuyển của nút ra khỏi vị trí home do đó là thông suốt

để chuyển đổi thông tin , giao thức cấp độ cao và những ứng dụng

Giao thức Mobile IPv6 thích hợp cho di động trong truyền thông đồng nhất và cả truyền thông hỗn tạp Ví dụ như , Mobile IPv6 giúp nút di chuyển từ một mạng Ethernet đến một mạng khác cũng như từ một mạng Ethernet segment tới một LAN cell không dây , với địa chỉ mạng vẫn không đổi khi di chuyển

Bạn có thể nghĩ tới giao thức Mobile IPv6 như giải quyết vấn đế quản lí di động trong lớp mạng Vài ứng dụng quản lí di động ví dụ như , chuyển máy trong thu phát không dây ,mỗi máy chỉ phủ một vùng rất nhỏ được giải quyết dùng kĩ thuật lớp đường dẫn Thí dụ , trong nhiều sản phẩm LAN không dây hiện nay , cơ cấu di động lớp đường dẫn cho phép một

"handover" của một nút di động từ cell này đến cell khác , thiết lập lại kết nối lớp đường dẫn tới nút đó ở một vị trí mới

Mobile IPv6 không hướng tới giải quyết những vấn đề liên quan tới

việc dùng máy tính di động hoặc mạng không dây Cụ thể là ,

giao thức này không giải quyết :

vấn đề đầu cuối được giấu giống như một máy chủ được giấu khỏi các router trên đường dẫn

pháp quản lí di động cấp đường dẫn hiện nay )

 Trợ giúp cho những ứng dụng tương thích

2 So sánh với IP di động dành cho IPv4

Thiết kế IP di động hỗ trợ trong IPv6 (Mobile IPv6) mang lại nhiều lợi nhuận cả về kinh nghiệm khi phát triển IP di động hỗ trợ trong IPv4 (Mobile IPv4) [22, 23, 24], và cả về cơ hội mang đến từ IPv6 Mobile IPv6 chia sẻ cùng chứa nănng với Mobile IPv4, nhưng được tích hợp trong IPv6 và có nhiều cải tiến

Tóm tắt những điểm khác nhau giữa Mobile IPv4 và Mobile IPv6:

Mobile IPv4, Mobile IPv6 hoạt động ở bất cứ nơi đâu cũng không cần trợ giúp của router địa phương

những máy nhánh không có chuẩn

thể triến khai trên diện rộng giữa tất cả nút mạng với những nút tương ứng

song song với những router làm nhiệm vụ "bộ lọc lối vào " [26]

với router mặc định ở vị trí hiện tại

một header IPv6 hơn là việc bắt tới IP , giảm được tổng phí so với Mobile IPv4

Neighbor Discovery [12] thay vì ARP Điều này cũng tăng cường thêm thế mạnh của giao thức

IPv6 về quản lý "tunnel soft state"

hồi một chiều tới nút di động Truyền thông trực tiếp trong IPv4 có những phản hồi biệt lập với home

Một nút mạng mà những gói tin IP truyền đi không đưa tới chính nó

unicast routable address ( Địa chỉ đường dẫn một chiều )

Gói tin từ một mạng nhỏ IPv6 được gửi tới một interface được xác định bởi địa chỉ này Địa chỉ này hoặc có tính hoạt vi toàn cục hoặc mạng địa phương (nhưng không phải đường dẫn địa phương )

Sự kết nối của một nút tới một link

subnet prefix ( tiền tố mạng )

Một chuỗi bit bao gồm một số bit đầu của địa chỉ IP

interface identifier

Một số được dùng để xác định một interface của một nút trên một link interface identifier

là phần bit còn lại của địa chỉ IP sau subnet perfix

link-layer address

Chỉ số xác định lớp đường dẫn cho một interface, như là những địa chỉ IEEE 802 trên đường dẫn Ethernet

Packet ( gói tin )

Một IP header có thêm thông tin

security association ( lien kết an ninh )

Một liên kết an ninh IPsec là một mối quan hệ hợp tác hình thành khi chia sẻ tài nguyên khóa mật mã và dữ liệu kết hợp Liên kết an ninh rất đơn giản Có 2 liên kết an ninh cần

để bảo vệ giao thông hai chiều giữa hai nút , mỗi liên kết cho mỗi hướng

security policy database ( CSDL an ninh )

Một CSDL của dịch vụ an ninh cung cấp cho những gói tin IP và theo một hình thức nào

đó

destination option ( tùy chọn điểm đích)

Tùy chọn điểm địch được mang trong header của tùy chọn điểm đích IPv6 Nó bao gồm những thông tin tùy chọn cần được kiểm tra bởi nút IPv6 mang địa chỉ điểm đích trong header IPv6 , không phải bởi router ở giữa Mobile IPv6 định nghĩa tùy chọn điểm đích mới , the Home Address destination option (see Section 6.3)

routing header

A routing header có lẽ là phần mở rộng của header IPv6 chỉ gói hàng phải được gửi tới địa chỉ IPv6 điểm đích trong một cách nào đó khác so với những gì được thực hiện trong đường dẫn Internet chuẩn Trong tài liệu này dùng thuật ngữ "routing header" đề cập tới loại 2

routing header được cụ thể trong phần 6.4

"|" (dấu ghép )

Vài công thức dùng dấu "|" chỉ việc ghép bit giống như A | B Kết quả bắt đầu bằng tất cả các byte của dữ liệu A , theo sau là tất cả các byte của dữ liệu B

First (size, input)

Hàm "First (size, input)" chỉ việc cắt dữ liệu ban đầu , chỉ còn size bit đầu được giữ lại

3.2 Thuật ngữ của Mobile IPv6

home address ( địa chỉ home )

Một địa chỉ đường dẫn một chiều được gán cho một nút di động, được dùng như một địa chỉ thường trú của nút đó Địa chỉ này nằm bên trong đường dẫn home Cơ cấu đường dẫn IP chuẩn sẽ phân phối gói tin cho địa chỉ home của nút theo đường dẫn home Nút di dộng có thể có nhiều địa chỉ home , thí dụ trên một dường dẫn home có thể có nhiều tiền tố home

home subnet prefix ( tiền tố mạng home )

Tiền tố mạng IP tương ứng với địa chỉ nhà của một nút di động

home link ( đường dẫn home )

Đường dẫn mà tại đó tiền tố mạng home được định nghĩa

Điểm tương đồng

Một nút ngang hàng với một nút đang kết nối Nút tương đồng hoặc cố định hoặc di động

foreign subnet prefix ( tiền tố mạng bên ngoài )

Tiền tố mạng IP khác tiền tố mạng IP home của nút di động

home agent ( đại lý home )

Là một router trên đường dẫn home của một nút di động ,nút di động sẽ đăng kí vị trí phó thác hiện tại của nó Khi nút di động ra khỏi nhà , đại lý home sẽ chặn đứng những gói tin trên đường dẫn home đưa tới địa chỉ home của nút di động , bắt lấy chúng và gửi chúng đến địa chỉ phó thác hiện tại của nút đó

mobility message ( tin nhắn di động )

Tin nhắn chứa những header di động (xem mục 6.1)

binding authorization ( quản lý kết nối )

Đăng kí tương ứng cần phải được quản lí để cho phép nơi nhận tin rằng người gửi có quyền tạo ra một kết nối mới

return routability procedure (Thủ tục đường dẫn hoàn lại)

Là thủ tục quản lý những đăng kí bằng cách trao đổi những chuỗi mã hóa

correspondent registration ( đăng kí tương đồng )

Một thủ tục đường dẫn hoàn lại theo sau một đăng kí , chạy giữa nút di động và một nút tương đồng

home registration ( đăng kí home)

Một đăng kí giữa một nút di động và một đại lý home ,được quản lí bằng cách dùng IPsec

nonce

Nonces là những số ngẫu nhiên được dùng bên trong bởi những nút tương đồng để tạo ra những chuỗi khóa có liên quan đến thủ tục đường dẫn hoàn lại Nonces không cụ thể tới một nút di động , và giữ bí mật trong một nút tương đồng

nonce index ( chỉ số nonce )

Chỉ số nonce được dùng để chỉ nonce nào sẽ được dùng khi tạo những giá trị chuỗi khóa ,

mà không cần tiết lộ ra nonce đó

cookie

Một cookie là một số ngẫu nhiên được dùng bởi một nút di động để ngăn cản sự bắt chước của những nút tương đồng giả trong thủ tục đường dẫn hoàn lại

care-of init cookie( cookie xác định phó thác )

Một cookie được gửi tới nút tương đồng trong dòng thông báo xác định kiểm tra nơi phó thác , được phản hồi trong dòng thông báo kiểm tra nơi phó thác

home init cookie ( cookie xác định home )

Một cookie được gửi tới nút tương đồng trong dòng thông báo xác định kiểm tra home , được phản hồi trong dòng thông báo kiểm tra home

keygen token ( chuỗi khóa )

Một chuỗi khóa là một số được cung cấp bởi nút tương đồng trong thủ tục đường dẫn phản hồi giúp nút di động tính toán khóa mã quản lí kết nối , quản lí cập nhật kết nối

care-of keygen token ( chuỗi khóa phó thác )

Một chuỗi khóa được gửi bởi nút tương đồng trong thông báo kiểm tra nơi phó thác

home keygen token ( chuỗi khóa home)

Một chuỗi khóa được gửi bởi nút tương đồng trong thông báo kiểm tra home

binding management key (Kbm)( khóa quản lí kết nối )

(Kbm) là một khóa quản lí thông báo kiểm soát kho kết nối (e.g., cập nhật kết nối và xác nhận kết nối ) Đường dẫn phàn hồi cung cấp một phương tiện quản lí kết nối

4 Khái quát về Mobile IPv6

4.1 Hoạt động cơ bản :

Địa chỉ home là đặc trưng cho một nút di động ở home , là một địa chỉ IP bên trong một tiền

tố mạng home trên đường dẫn home Khi nút di động còn ở home , gói tin sẽ được chuyển thẳng tới địa chỉ home thông qua một cơ cấu truyền dẫn thuận tiện

Địa chỉ phó thác cho một nút di động khi ra ngoài , là một địa chỉ IP bên trong một tiền tố mạng bên ngoài trên đường dẫn bên ngoài Khi nút di động ra khỏi home , gói tin sẽ được chuyển tới địa chỉ phó thác

Khi rời khỏi home , nút di động sẽ đăng kí địa chỉ phó thác chính cho router trên đường link home , và yêu cầu router này đóng vai trò như đại lý home cho nút đó Nút di động sẽ gửi thông báo cập nhật kết nối cho đại lý home và đại lý home sẽ gửi xác nhận kết nối hoàn lại Hoạt động của nút sẽ được cụ thể trong Section 11, và hoạt động của đại lý home sẽ cụ thể trong Section 10

Nút tương đồng giao tiếp với nút di động có thể cố định hoặc di động , nút di động sẽ thông tin về nơi hiện tại cho nút tương đồng Điều này thực hiện thông qua đăng kí tương đồng Thủ tục kiểm tra đường dẫn hoàn lại được thực hiện để quản lí kết nối Hoạt động của nút tương đồng được cụ thể trong Section 9

Có 2 hình thức giao tiếp giữa nút di động và nút tương đồng

nút trên

Hình thức thứ 2 tiết kiệm được nhiều thời gian hơn vì truyền trực tiếp Nó sẽ bỏ đi được chi phí ở đại lý home và đường dẫn home.Thêm nữa nguy cơ mất mạng tại home sẽ giảm đi

Cả nút di động và nút tương đồng đều có cách thêm địa chỉ home vào trong header IPv6 gửi vào gói tin

Mobile IPv6 cung cấp tiện ích nhiều đại lý home , khi đó sẽ khó xác định được Một cơ cấu mới gọi là khám phá địa chỉ đại lý home động sẽ được trình bày trong phần 6.5

4.2 Giao thức IPv6 mới :

Mobile IPv6 định nghĩa một giao thức IPv6 mới , dùng header mobility

(xem phần 6.1) Header mang theo những thông tin sau :

Xác định kiểm tra Home

Kiểm tra Home

Xác định kiểm tra nơi phó thác

Kiểm tra nơi phó thác

4 loại tin nhắn phản hồi từ nút di động đến nút tương đồng Điều này đảm bảo cập nhật kết nối được mô tả trong phần 5.2.5

Binding Update ( cập nhật kết nối )

Cập nhật kết nối mô tả vị trí hiện tại của nút di động cho nút tương đồng và đại lý home

Nó mô tả cho đại lý home địa chỉ phó thác chính , giống như đăng kí home

Binding Acknowledgement ( xác nhận kết nối )

Xác nhận đã nhận được cập nhật kết nối , nếu chưa có , nó sẽ gửi lại hoặc một lỗi sẽ xảy ra

Binding Refresh Request ( yêu cầu tái lập kết nối )

Được dùng từ nút tương đồng yêu cầu nút di động thiết lập lại kết nối giữa 2 nút Thông báo này sẽ phát ra khi kết nối hoạt động nhưng thời gian kết nối đã hết hạn

Binding Error ( báo lỗi kết nối )

Nút tương đồng dùng thông báo này khi có lỗi kết nối với địa chỉ home

4.3 Tùy chọn đích IPv6 mới

Mobile IPv6 đưa ra tùy chọn đích địa chỉ home Tùy chọn này sẽ được mô tả trong phần 6.3

4.4 Tin báo ICMP IPv6 mới :

Mobile IPv6 cũng đưa ra 4 loại tin báo ICMP mới , 2 cho việc dùng cơ cấu xác định địa chỉ đại lý home động , và 2 cho đếm lại và cơ cấu định dạng địa chỉ 2 tin báo ICMP mới cho việc dùng cơ cấu xác định địa chỉ đại lý home động mô tả trong phần 10.5 và 11.4.1:

o Home Agent Address Discovery Request, mô tả trong 6.5

o Home Agent Address Discovery Reply, mô tả trong 6.6

2 tin báo ICMP mới cho đếm lại và cơ cấu định dạng địa chỉ, được mô tả trong 10.6:

4.5 Thuật ngữ cấu trúc dữ liệu ý niệm :

Binding Cache ( kho kết nối )

Là kho của những kết nối cho những nút mạng , nó được duy tri bởi đại lý home và nút tương đồng , bao gồm những entry đăng kí nút tương đồng và địa chỉ home (xem phần 10.1)

Binding Update List ( danh sách cập nhật kết nối )

Danh sách này được duy trì bởi nút di động , bao gồm những phần kết nối của nó với những nút khác hoặc những yêu cầu thiết lập kết nối.Cả đăng kí tương đồng và home bao gồm trong danh sách này Những entry của list này sẽ xóa đi khi thời gian kết nối hết hạn , xem phần 11.1

Home Agents List ( danh sách đại lý home )

Đại lý home cần biết những đại lý home khác trên cùng đường dẫn Thông tin này sẽ được chứa trong danh sách đại lý home , sẽ được mộ tả chi tiết trong phần 10.1 Danh sách này được dùng thông báo cho nút di động xác nhận địa chỉ đại lý home động

4.6 Site-Local Addressability ( độ phân giải site local )

Yêu cầu thực tế : địa chỉ home và tương đồng là địa chì đường dẫn một chiều Độ phân giải Site-local hữu dụng trên mạng không kết nối với Internet, nhưng việc phân loại này sẽ không xem xét là việc sử dụng có an toàn hay không Nút di động sẽ không quan tâm đến nhánh hiện tại của chúng , rất khó ngăn cản những va chạm tính cờ tới những nhánh khác , và sư mơ hồ của địa chỉ site-local có thể gây ra rắc rối nếu như mạng home và bên ngoài dùng cùng địa chỉ Do đó , địa chỉ site-local không nên được dùng như địa chỉ home và địa chỉ phó thác

5 Tổng quan về an ninh Mobile IPv6

Thực tế cung cấp nhiều công cụ an ninh , bao gồm cung câp việc bảo vệ cho cập nhật kết nối của home và nút tương đồng (dùng header mở rộng IPsec , hoặc dùng tùy chọn dữ liệu quản kí kết nối , tùy chọn này dùng khóa quản lí kết nối , kbm , thiết lập thông qua thủ tục đường dẫn phản hồi ), bảo vệ khôi phục tiền tố di động (dùng header mở rộng Ipsec ), và bảo vệ hệ thống Mobile IPv6 trao đổi gói tin dữ liệu (tùy chọn điểm đích địa chỉ home và header đường dẫn loại 2)

5.1 Cập nhật kết nối tới đại lý home :

Nút di động và đại lý home phải dùng kết hợp an ninh IPsec để thống nhất và quản lí cập nhật và xác nhận kết nối Cả nút di động và đại lý home phải hỗ trợ và nên dùng header gói tải

an ninh (Encapsulating Security Payload) (ESP) [6] trong truyền dẫn và phải dùng thuật toán xác thực tải không rỗng để cung cấp quyền xác nhận dữ liệu gốc ,toàn vẹn kết nối và bảo vệ chống lại tái diễn tùy chọn Chú ý rằng header xác thực ( Authentication Header )(AH) [5] là khả thi

nhưng không cụ thể vì quá dài dòng

Để bảo vệ những thông tin trao đổi giữa nút di động và đại lý home dùng IPsec, những entry

cơ sở dữ liệu an ninh thích hợp cần phải được tạo ra Một nút di động cần ngăn cản việc nút khác dùng kết hợp an ninh gửi cập nhật kết nối dùng đại lý home của mình Vấn đề này được giải quyết bằng cách kêu đại lý home kiểm tra xem địa chỉ nhà được cho có dùng kết hợp an ninh tương thích không Một kiểm tra như thế sẽ được thưc hiện bằng quá trình IPsec , bắng cách có những entry CSDL an ninh xác nhận rõ ràng kết hợp an ninh bảo vệ cập nhật kết nối giữa địa chỉ home được cho và đại lý home Để phương an khả thi thì địa chỉ home phải có trong cập nhật và xác nhận kết nối Địa chỉ home được dùng trong gói tin này như một nguồn đích , hoặc trong tùy chọn điểm đích địa chỉ home và header đường dẫn loại 2

Vì với tất cả kết hợp an ninh IPsec trong thực tế , nên phần tự định dạng của kết hợp an ninh

là phải được hỗ trợ Những bí mất chia sẻ phải ngẫu nhiên và đơn lập giữa những nút khác nhau ,và phải được phân phối offline cho những nút di động

Quản lí khóa tự động IKE [9] có lẽ được hỗ trợ Khi IKE được dùng, hoặc những entry CSDL an ninh hoặc những quá trình Mobile IPv6 phải xác nhận rõ ràng chu kì IKE một lời ủy nhiệm dùng để quản lí tạo kết hợp an ninh bảo vệ cập nhật kết nối cho một địa chỉ home

5.2 Cập nhật kết nối tới nút tương đồng

Sử dụng thủ tục đường dẫn phản hồi , nó không thể ngăn cản một tấn công vào đường dẫn , nhưng nó có thể giới hạn hacker xác định đường dẫn cụ thể hoặc giả mạo cập nhật kết nối trên Internet

Bảo mật thông tin sẽ dùng thuật toán hash Khóa quản lí kết nối , Kbm, được dùng để giải

mã

5.2.1 Khóa nút :

Mỗi nút tương đồng có một khóa bí mật , Kcn, gọi là "khóa nút", được dùng để làm bằng chứng mã gửi đến nút di động Là một số ngẫu nhiên và dài 20 byte Khóa này giúp nút tương đồng xác nhận đúng kết nối

Nút tương đồng sẽ thay đổi khóa nút này liên tục vì vấn đề an ninh

5.2.2 Nonces

Nonce được dùng bởi nút tương đồng xác nhận kết nối cùng với khóa nút Nonce có một chỉ số nonce thay đổi theo chu kỳ Nó giúp nút tương đồng phân biệt tin nhắn cho tứng chu ký Thông tin của nonce hết hạn cũng sẽ bị xóa

Một nonce là một chuỗi byte khoảng chừng 64 bits

5.2.3 Cookies and Tokens

Thủ tục kiểm tra địa chỉ đường dẫn phản hồi dùng cookies và tokens mã làm những giá trị bí mật trong thông tin kiểm tra và xác nhận kiểm tra

Cookie và token đóng vai trò xác nhận kết nối đúng giữa nút đi động và nút tương đồng cũng như xóa những timer hết hạn

Mobile node Home agent Correspondent node

4 gói tin coi như thực hiện đồng thời , hình thành nên thủ tục đường dẫn phản hồi

Home Test Init

Nút di động gửi gói tin xác nhận kiểm tra home thông qua đại lý home tới nút tương đồng Nội dung của tin có thể tóm tắt được như sau:

 Địa chỉ nguồn = Địa chỉ home

 Địa chỉ đích = nút tương đồng

 Tham số :

o home init cookie : xác minh đúng nút tương đồng cần liên lạc

Care-of Test Init

Nút di động gửi gói tin xác nhận kiểm tra home tới nút tương đồng không thông qua đại lý home Nội dung của tin có thể tóm tắt được như sau:

 Địa chỉ nguồn = địa chỉ phó thác

 Địa chỉ nguồn = nút tương đồng

 Địa chỉ đích = địa chỉ home

 Tham số :

o home init cookie

o home keygen token

o home nonce index

Cookie xác nhận home cũng được trả lại cho nút di động để xác minh đường dẫn

Home nonce index gửi cho nút di động để xác nhận mã token home

Kiểm tra phó thác :

 Tham số :

o care-of init cookie

o care-of keygen token

o care-of nonce index care-of keygen token := First (64, HMAC_SHA1 (Kcn, (care-of address | nonce | 1)))

Khi nút di động nhận cả 2 tin đó thì thủ tục hoàn thành Sau đó nút di động thiết lập kết nối Dùng hàm hash để hình thành :

Kbm = SHA1 (home keygen token | care-of keygen token)

Khi xóa kết nối trước đó , kết nối mới được thiết lập :

Kbm = SHA1(home keygen token)

Chú ý : nút tương đồng không tạo Kbm cho tời khi kết nối thực hiện và nonce bắt đầu

5.2.6 Gói tin quản lý kết nối :

Binding Update

Kbm

 Tham số :

o Địa chỉ home (Trong tùy chọn đích địa chỉ home )

o Chuỗi số (trong header gói tin cập nhật kết nối )

o Chỉ số nonce home (trong Nonce Indices option)

o Chỉ số nonce phó thác (trong Nonce Indices option)

o First (96, HMAC_SHA1 (Kbm, (care-of address | correspondent | BU)))

Binding Acknowledgement

 Tham số :

o Chuỗi số (trong header gói tin cập nhật kết nối)

o First (96, HMAC_SHA1 (Kbm, (care-of address | correspondent | BA))) MAX_RR_BINDING_LIFETIME seconds (thời gian giới hạn kết nối )

5.2.7 Cập nhật khóa nút và Nonces

MAX_TOKEN_LIFETIME seconds every 30 seconds 8 nonce gần nhất là valid

5.2.8 Ngăn cản những tấn công Replay :

5.3 Dynamic Home Agent Address Discovery

5.4 Mobile Prefix Discovery

5.5 Payload Packets

Mobile IPv6 đưa ra tùy chọn đích địa chỉ home ,header đường dẫn , và header đường dẫn trong payload packets

6 Giao thức , loại tin báo và tùy chọn đích IPv6 mới :

Nên gán cho payload protocol loại IPPROTO_NONE (59 decimal)

Chiều dài Header :

Số nguyên không dấu 8-bit, biểu diễn chiều dài header

Checksum

Số nguyên không dấu 16-bit Vùng này chứa phần kiểm tra của header di động

Để tình toán bit kiểm tra , tất cả đều gán cho giá trị 0

Dữ liệu gói tin :

Có thể theo sau là những tùy chọn di động

6.1.2 Thông tin yêu cầu refresh kết nối :

Gói tin này được nút tương đồng gửi cho nút di động yêu cầu refresh kết nối di động MH type có giá trị là 0

6.1.3 Thông báo xác nhận kiểm tra home :

Nút di động dùng thông báo xác nhận kiểm tra home để khởi tạo một thủ tục đường dẫn phản hồi và yêu cầu mã xác nhận home từ phía nút tương đồng MH type có giá trị là 1

Home Init Cookie

Chuỗi ngẫu nhiên 64 bit , cookie xác nhận home

6.1.4 Thông báo xác nhận kiểm tra nơi phó thác

Care-of Init Cookie

Chuỗi ngẫu nhiên 64 bit , cookie xác nhận nơi phó thác

6.1.5 Home Test Message

6.1.6 Thông báo kiểm tra nơi phó thác

Bit yêu cầu chấp nhận kết nối bên nút tương đồng

Home Registration (H) ( đăng kí home )

Bit yêu cầu bên nhận hoại động như đại lý home Điểm đích của bit này phải là một router

và khi đó nút di động sẽ có cùng tiền tố địa chỉ home với router này khi kết nối

Link-Local Address Compatibility (L)

Bit xác nhận nút di động có địa chỉ home cùng lớp với những địa chỉ đường dẫn địa phương

Key Management Mobility Capability (K)

Bit này hữu dụng kgi truyền giữa nút di động và đại lý home , thiết lập giao kết an ninh IPsec

Sequence #

Số nguyên không dấu 16 bit , nút nhận dùng để liệt kê cập nhật kết nối , nút nhận để kết hợp xác nhận kết nối và cập nhật kết nối

Lifetime ( thời gian tồn tại )

Số nguyên không dấu 16 bit Thời gian kết nối bi expire Nếu bằng 0 thì kết nối sẽ bị hủy , đơn vị thời gian sẽ là 4 giây

Xóa kết nối có thể được thực hiện thông qua gán giá trị timelife là 0 hoặc địa chỉ phó thác trùng với địa chỉ home

Nút tương đồng không nên xóa kho kết nối trước khi expire , tuy nhiên nếu có sẽ có thông báo lỗi kết nối tới nút di động , nhưng khi đó sẽ xảy ra delay trong truyền thông

6.1.8 Binding Acknowledgement Message

Key Management Mobility Capability (K)

Nút tương đồng sẽ set bit K giá trị 0

Status

Số nguyên không dấu 8-bit chỉ trạng thái của cập nhật kết nối Nếu giá trị của status nhỏ hơn 128 , cập nhật kết nối coi như được chấp nhận Nếu lớn hơn hoặc bằng 128 , kết nối

bị hủy bởi bên nhận Status có những giá trị sau :

 0 Cập nhật kết nối được chấp thuận

 1 Chấp nhận nhưng cập nhật tiền tố là cần thiết

 128 Lý do không xác định

 129 Quyền quản trị bị ngăn cấm

 130 Tài nguyên giới hạn

 131 Đăng kí home không được hỗ trợ

Số sequence của xác nhận kết nối copy từ số sequence của cập nhật kết nối Được dùng

để so sánh giữa 2 thông báo

Lifetime

Nếu cập nhật kết nối bị loại bỏ thì giá trị này không xác định

6.1.9 Thông tin báo lỗi kết nối :

Khi tùy chọn đích địa chỉ home không tương thích với nút tương đồng , sẽ có lỗi về di động

MH type lúc đó có giá trị 7

Số nguyên không dấu 8 bit nêu lí do sau :

1 Kết nối với tùy chọn đích địa chỉ home không xác định

2 Giá trị MH type không xác nhận

Tùy chọn loại :

Byte xác nhận 8-bit Khi nơi nhận không nhận ra tùy chọn này sẽ bỏ qua

Tùy chọn chiều dài :

Số nguyên không dấu 8-bit, đưa ra chiều dài byte của tùy chọn di động

6.2.4 Binding Refresh Advice

Đòi hỏi sắp hàng 2n , có định dạng như sau :

Lời khuyên refresh kết nối chỉ có trong xác nhận kết nối của đại lý home gửi nút di động trong đăng kí home

6.2.5 Địa chỉ phó thác thay thế :

Đòi hỏi sắp xếp 8n+6 Định dạng như sau :

Khi địa chỉ phó thác không có địa chỉ nguồn đúng hoặc cơ cấu an ninh không bảo vệ được địa chỉ phó thác , tùy chọn này sẽ được sử dụng , nó chỉ dùng trong cập nhật kết nối và chứa địa chỉ phó thác thay thế trong khi kết nối

6.2.6 Nonce Indices

Có sự sắp hàng là 2n , có định dạng như sau :

Nonce Indie được dùng trong cập nhật kết nối tới nút tương đồng , và chi khi được kèm với tùy chọn dữ liệu quản lí kết nối Nút tương đồng sẽ dùng giá trị này để thiết lập nên token

6.2.7 Dữ liệu quản lí kết nối :

Không đòi hỏi xếp hàng nhưng do là tùy chọn cuối cùng nên nó phải thụt vô 8n + 2 Định dạng như sau :

Dùng trong thông báo cập nhật kết nối và xác nhận kết nối

Vùng Authenticator chứa những giá trị mật mã để quyết định rằng thông báo có đến từ đúng nơi gửi Thủ tục để tính những giá trị này gọi là những thủ tục quản lí

Mobility Data = care-of address | correspondent | MH Data

Authenticator = First (96, HMAC_SHA1 (Kbm, Mobility Data))

"MH Data" là nội dung của header di động , không bao gổm field Authenticator Giá trị Authenticator sẽ được tính nếu như checksum trong header là zero

6.3 Tùy chọn địa chỉ home :

Tùy chọn địa chỉ home được mang theo bởi header mở rộng tùy chọn đích (giá trị header kế

là 60) Nó được gói trong tin do nút di động gửi thông báo cho người nhận địa chỉ home của nó khi nó ra ngoài

Tùy chọn địa chỉ home được đặt như sau :

o Sau keader đường dẫn nếu có

o Trước header fragment nếu có

o Trước AH Header or ESP Header, nếu một trong 2 header tồn tại

6.4 Header đường dẫn loại 2 :

Header đường dẫn mới dùng tạo kết nối trực tiếp giữa nút tương đồng đến nơi phó thác của nút di động Địa chỉ phó thác được thêm vào vùng địa chỉ đích IPv6 Khi nó đến địa chỉ phó thác , nút di động sẽ tách header để có được địa chỉ home

Header loại 2 chỉ chứa một địa chỉ IP và do đó bên nhận phài chứng minh mình là địa chỉ nhận duy nhất để gói tin không phải đi đến nơi khác Nếu hoạt vi của địa chỉ home nhỏ hơn hoạt

vi của nơi phó thác , gói tin sẽ bị xóa bỏ

6.4.1 Định dạng :

Địa chỉ home của nút di động đích

6.5 Thông báo yêu cầu khôi phục địa chỉ home ICMP

Được dùng để nút di động khôi phục địa chỉ home động

Hỗ trợ trong việc xác nhận sự tương đồng của tin yêu cầu và tin trả lời

Địa chỉ gửi tin là một trong những nơi phó thác của nút di động Khi thực hiện thủ tục khôi phục địa chỉ đại lỳ home động , nút di động hầu như không liên kết với đại lý home nào Đại lý home sẽ trả lại thông báo Reply khôi phục đại lý home cho nguồn gửi từ nút di động

6.6 Thông báo trả lời khôi phục địa chỉ home ICMP

Đại lý home dùng thông báo này để trả lời cho nút di động dùng cơ cấu đại lý home động

The ICMP checksum [14]

Home Agent Addresses

Danh sách địa chỉ đại lý home trên đường link dành cho nút di động

6.7 Định dạng thông báo yêu cầu tiếp đầu ngữ di động ICMP

Thông báo này được dùng bởi nút di động gửi đến đại lý home khi nó ra khỏi home , yêu cầu tiếp đầu ngữ , để cập nhật địa chỉ home liên tục

The ICMP checksum [14]

6.8 Định dạng thông tin thông báo tiếp đầu ngữ di động ICMP

Do đại lý home gửi cho nút di động để thông báo tiếp đầu ngữ của địa chỉ home