Luận văn Mobile IP& 4G

Phương pháp chọn nonce do Mobile Node quyết định, bởi vì nó là Node kiể m tra giá trị hợp lệ đó trong trả lời đăng ký. Các bit cao và các bit thấp hơn 32 của trường xác nhận được chọn phải khác với các giá trị trước đó của chúng. Trạm gốc sử dụng 32 bit cao và Mobile Node sử dụng giá trị mới cho 32 bit thấp cho mỗi bản đăng ký. Trạm ngoài sử dụng giá trị có số thứ tự thấp hơn và địa chỉ gốc của Mobile Node để các trả lời đăng ký phù hợp với các yêu cầu chưa hoàn thành.

pdf76 trang | Chia sẻ: lylyngoc | Lượt xem: 3492 | Lượt tải: 1download
Bạn đang xem trước 20 trang tài liệu Luận văn Mobile IP& 4G, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
hập nào, bao gồm cả các mạng hữu tuyến (PSTN, ISDN, ETHERNET, XDSL,…) và các mạng vô tuyến (WLAN, GPRS, UMTS,…). Hình 3.1: Vị trí của Mobile IP Mobile IP là một giải pháp di động lớp 3 (lớp mạng). bằng cách sử dụng Mobile IP, mọi ứng dụng dựa trên TCP/IP sẽ được giữ nguyên. chỉ các lớp giao thức ip và thấp hơn nhận biết được về sự di động. các lớp giao thức cao hơn (TCP, UDP, RTP,…) không phát hiện thấy sự di động. Nhược điểm của Mobile Ipv4 khi dùng trong 4G đã được trình bầy trong chương 1 đó là: vấn đề thiếu địa chỉ, vấn đề với NAT, vấn đề với FA, hiện tượng “triangular routing”. Với Mobile Ipv6 sử dụng địa chỉ 128 bit thay cho địa chỉ 32bit của Ipv4, tạo ra số lượng địa chỉ lớn, nên không chỉ cho phép nhiều nút mạng hơn kết nối với mạng mà còn cho phép một giao diện có thể có nhiều hơn một địa chỉ sử dụng cho các quy mô mạng khác nhau. Do đó Mobile Ipv6 có một số cải tiến như: mobile ip token ring gtp ppp wlan 802.11b bluetooth tcp udp network applications and protocols tính di động là trong suốt với các lớp này .... ethernet lớp liên kết dữ liệu có thể là bất cứ giao thức nào 46 không còn khái niệm FA, MN luôn được gán địa chỉ CoA duy nhất trên mạng khách; MN sử dụng địa chỉ CoA làm địa chỉ nguồn trong phần mào đầu của gói tin gửi đi, các gói tin gửi đến MN bằng cách sử dụng tiêu đề định tuyến trong gói tin Ipv6 thay vì sử dụng cách đóng gói vào một gói tin IP khác như trước đây [5]. Ta có thể mô tả vị trí của Mobile IP trong mạng GPRS và mạng WCDMA như sau: Hình 3.2: Mobile IP trong mạng GPRS Hình 3.3: Mobile IP trong mạng WCDMA 3.2 Quản lý di động tại tầng mạng Mạng 4G là mạng di động không dây vì vậy chức năng hỗ trợ việc truyền thông tin di động là quan tâm hàng đầu khi phát triển mạng, trong đó quản lý di động là thành phần quan trọng nhất, qua đó đặc tính “mọi lúc”, “mọi nơi” được thực hiện. Việc quản lý di động có thể thực hiện ở nhiều tầng của mô hình OSI như tầng liên kết dữ liệu, dịch vụ, mạng nhưng quản lý di động tại tầng mạng là quan trọng. Nhiệm vụ của tầng mạng là làm thế nào để có thể dịch chuyển các gói tin đến đích, thực hiện quản lý di động tại tầng này là đảm bảo các kết nối ở các tầng trên vẫn có thể duy trì một cách liên tục. Nói đến quản lý di động tại tầng mạng thường chia làm 2 loại quản lý, ứng với mỗi loại sẽ có những giải pháp phù hợp: 47 - Macromobility: Macromobility là sự di động trong một khu vực rộng. Các giao thức chuyển giao Macromobility bao gồm: các hỗ trợ di động và các cơ chế đăng ký địa chỉ liên kết cần thiết khi mà node di động (Mobile Node - viết tắt là MN) chuyển động giữa các IP domain khác nhau. Ngoài ra, có thể hiểu Macromobility là sự di động giữa các Mạng truy cập (Access Network - viết tắt là AN) khác nhau. Ví dụ: chuyển giao giữa các WLAN khác nhau. - Micromobility: Micromobility là sự di động trong một khu vực có phạm vi hẹp, thường có nghĩa trong phạm vi một IP domain, một AD. Vì vậy, các giao thức chuyển giao Micromobility không gây ra tác động đến toàn bộ hệ thống mà chỉ ảnh hưởng trong phạm vi một AD. Ví dụ: chuyển giao giữa các trạm cơ sở trong cùng một WLAN Việc phân chia này để thực hiện việc phân cấp chuyển giao trong hệ thống, qua đó làm tăng hiệu năng của toàn hệ thống. Với Macromobility việc chuyển giao sẽ xảy ra không thường xuyên, nhưng khi xảy ra thì yêu cầu nhiều chức năng được thực hiện, nhiều thành phần mạng bị ảnh hưởng, ví dụ: các MN phải được xác thực lại, địa chỉ IP, các cơ chế ưu tiên, QoS cũng phải bị thay đổi (đầu cuối các domain khác nhau sẽ có những chính sách của riêng mình). Những thay đổi này sẽ làm giảm hiệu năng làm việc của hệ thống, tăng trễ chuyển giao. Chính vì vậy, nếu chuyển giao chỉ thực hiện trong nội bộ một domain thì các giải pháp hỗ trợ cho Macromobility là không phù hợp, điều đó dẫn đến các giải pháp cho Micromobility với nền tảng dựa trên Macromobility nhưng có những cải tiến phù hợp nhằm nâng cao hiệu năng hệ thống. Hơn nữa với việc tin cậy cũng như khả năng mở rộng của hệ thống. 3.2.1 Quản lý di động tại tầng mạng: Giải pháp cho Macromobility Giải pháp cho Macromobility là sử dụng MobileIP, tổng quan về MobileIP đã được trình bầy trong chương 1, vấn đề cần quan tâm là làm sao phát hiện chuyển động trong MobileIP: phát hiện chuyển động (move detection) là tiến trình mà MN sử dụng để xác định sự thay đổi các liên kết truy cập có thể sử dụng được. Thông tin này đi cùng với chính sách chuyển giao Mobile IP để xác định khi nào MN cần khởi tạo một Chuyển giao Mobile IP. Chính sách chuyển giao Mobile IP được chia thành hai loại: reactive (phản ứng lại) và proactive (chủ động trước). Dưới đây sẽ là một số giải thuật trong hai loại này: a. Giải thuật trạng thái bền vững (Steady-State Algorithm) Trong giải thuật này, sau khi MN thiết lập một đăng ký hợp lệ với một FA, nó tiếp tục tiếp nhận các quảng cáo từ các FA khác. Tuy nhiên, MN không đăng ký với một FA mới nào đến tận khi thời gian lifetime của thông điệp quảng cáo của FA hiện tại bị hết hạn. 48 Giải thuật trạng thái bền vững tối thiểu hoá số lần đăng ký Mobile IP, bởi vì MN sẽ không gửi đăng ký tới FA mới nếu nó nghĩ rằng vẫn còn giữ liên kết nối với FA hiện tại. Vấn đề đối với giải thuật này là MN có thể đợi thời gian sống của thông điệp quảng cáo hết hiệu lực trong khi kết nối đã bị ngắt b. Giải thuật mạng mới (New network algorithm) Giải thuật này yêu cầu sử dụng trường mở rộng chiều dài tiền tố (đã mô tả ở trên). Mỗi khi nhận dược một thông điệp quảng cáo, MN sẽ sử dụng trường chiều dài tiền tố để xác định được subnet hiện tại nó đang kết nối (mạng nhà hay mạng khách). Khi MN nhận được quảng cáo về một liên kết ở một subnet khác, nó biết rằng nó đã thay đổi điểm kết nối mạng (thông qua so sánh địa chỉ mạng của subnet hiện tại-trong quảng cáo của tác tử hiện tại - với địa chỉ mạng trong quảng cáo mới), nghiã là cần phải khởi tạo một chuyển giao Mobile IP. Giải thuật mạng mới này hiệu quả hơn giải thuật trạng thái bề vững, bởi vì MN không phải đợi đến khi thời gian sống của thông điệp hết hiệu lực. Tuy nhiên nếu nhịp thời gian giữa các thông điệp quảng cáo của tác tử mới lơn hơn thời gian sống của thông điệp của tác tử cũ thì hiệu quả lại ngược lại khi so sánh với giải thuật trạng thái bền vững. c. Các báo hiệu từ trạng thái liên kết (Link-State Triggers) Chính sách chuyển giao Mobile IP được khuyến nghị là Link-State Triggers và phương pháp này có thể dược coi là reactive hoặc proactive, phụ thuộc vào hành động. Phương pháp này không được chỉ rõ trong Mobile IP bởi vì nó không thể được thực hiện ở tầng 3, nhưng có thể dựa trên thông tin đến từ tầng 2. Hơn nữa, chất lượng và số lượng của Link-State Triggers phụ thuộc vào liên kết truy cập và thiết bị. Tuy nhiên, trong khi triển khai thực tế, nhiều MN có khả năng phát hiện trạng thái liên kết hiệu quả, ví dụ, khi các cáp vật lý bị đứt hoặc khi các liên kết không dây bị đứt. Sử dụng thông tin từ tầng 2 cùng với các yêu cầu quảng cáo tác tử của Mobile IP, MN có thể xác định chuyển động nhanh hơn. Khi sử dụng các kích hoạt trạng thái liên kết một cách chủ động, MN có thể chủ động thực hiện khởi tạo chuyển giao kể cả khi liên kết đang tồn tại vẫn còn hoạt động. Trong trường hợp này chuyển giao được thực hiện ở cả tầng 2 và 3, và kết nối có thể chuyển từ giao diện kết nối này sang giao diện kết nối khác, hoặc yêu cầu giao diện phải kết nối với BS mới.Với phương pháp này không phải giao diện yêu cầu MN chuyển đổi, mà MN yêu cầu giao diện chuyển đổi. Điều này đặc biệt hữu ích trong môi trường không dâyvì ở đó MN có thể xác định được các thông tin như: độ lớn, chất lượng của tín hiệu đến từ các BS khác. 49 3.2.2 Quản lý di động tại tầng mạng: Giải pháp cho Micromobility Khi một MN thay đổi điểm kết nối mạng (Access Point) với một tần suất khá thường xuyên, thì các giải pháp IP Macromobility trở nên không hiệu quả, do sẽ xuất hiện quá nhiều thông điệp phục vụ cho quá trình đăng ký và do đó làm giảm hiệu năng hệ thống (trễ chuyển giao tăng, độ mất gói tăng,...) Chính vì những lý do trên mà các giải pháp IP Micromobility ra đời với mục đích phục vụ cho các MN với tần suất chuyển giao khá thường xuyên, và việc chuyển giao diến ra trong nội bộ một domain (một subnet), hay trong một mạng điểm truy cập (Access Network-AN), ví dụ: chuyển giao xảy ra khi MN di chuyển giữa các điểm truy cập của một WLAN. Các giải pháp IP Micromobility được khá nhiều tổ chức phát triển, dành cho cả IPv4 và IPv6, dưới đây luận văn sẽ giới thiệu những giải pháp phổ biến nhất như: giao thức Mobile IP phân cấp, giao thức chuyển giao nhanh cho Mobile IPv6, giao thức Mobile IPv6 phân cấp, cuối cùng giải pháp kết hợp giữa chuyển giao nhanh và phân cấp cho Mobile IPv6 được đề xuất. 3.2.2.1 Mobile IP phân cấp Một số khái niệm cơ bản: Gateway Foreign Agent (viết tắt GFA): là một FA được thiết lập địa chỉ IP được sử dụng để kết nối Internet. Home Registration: là quá trình đăng ký được thực hiện bởi HA và GFA. Regional Registration: là quá trình mà MN sử dụng để thực hiện đăng ký cục bộ với mạng khách, thông qua việc gửi thông điệp yêu cầu đăng ký với GFA và nhận về thông điệp trả lời đăng ký. CoA cục bộ (Local Care-of-Address - viết tắt là LcoA): địa chỉ được gán cho MN hoặc FA để phục vụ cho kết nối cục bộ trong một khu vực quản lý của một GFA. Định danh truy cập mạng (Network Access Identifier - viết tắt là NAI): NAI là định danh người sử dụng (uerID) được cung cấp bởi client trong suốt quá trình xác thực PPP. Trong Mobile IP phân cấp, NAI được sử dụng để định danh MN phục vụ cho việc xác định vị trí của MN. Cấu trúc NAI tương tự như cấu trúc của email với phần định danh người sử dụng và phần định danh vùng (user@realm). Tổng quan về Mobile IP phân cấp 50 Hình 3.4: Kiến trúc mô hình mạng Mobile IP phân cấp Mobile IP phân cấp (Hierarchical Mobile IP) còn được gọi là Mobile IP đăng ký theo khu vực (Regional Registration Mobile IP), với giao thức được mô tả như sau: Khi một MN đến mạng khách đầu tiên, MN sẽ thực hiện đăng ký với mạng nhà của mình. Với đăng ký này, HA sẽ nhận được thông tin về CoA của MN. Trong trường hợp mạng khách hỗ trợ đăng ký theo vùng (regional registration), CoA đăng ký với HA chính là CoA của GFA. GFA lưu một bản danh sách khách (víitir list) chứa thông tin về mọi MN có trong mạng khách. Vì CoA đăng ký với HA là CoA của GFA, vì vậy địa chỉ này sẽ không thay đổi khi mà MN thay đổi FA kết nối, với điều kiện các FA này thuộc về cùng một GFA. Vì thế. HA không cần phải được thông báo về sự dịch chuyển của MN trong nội bộ mạng khách. Hình 3.5: MN đăng ký với HA 筆 記 型 電 腦 筆 記 型 電 腦 Internet GFA FA1 FA FA3 HA Registration request Registration request Registration request Registration reply Registration reply Registration reply MN FA1 GFA HA 51 Hình 3.5 chỉ ra luồng thông điệp báo hiệu phục vụ cho đăng ký với mạng nhà. Sau khi quá trình đăng ký tại HA được thực hiện xong, HA sẽ coi địa chỉ GFA chính là địa chỉ CoA của MN. Hình 3.6 chỉ ra luồng thông điệp báo hiệu phục vụ cho đăng ký theo vùng. Mặc dù địa chỉ LCoA cuả MN thay đổi, HA sẽ vấn coi CoA của MN chính là CoA của GFA. Hình 3.6: MN đăng ký tại vùng hoạt động Các vấn đề cơ bản của Mobile IP phân cấp - Quảng cáo FA và GFA FA được quảng cáo thông qua các thông điệp quảng cáo tác tử. Nếu trong mạng hỗ trợ đăng ký theo vùng, thì trong quảng cáo tác tử, cờ I sẽ được thiết lập và khi đó trường CoA của thông điệp sẽ có ít nhất một địa chỉ CoA. Nếu cờ I được thiết lập và chỉ có một địa chỉ trường CoA thì đó chính là địa chỉ của GFA. Khi đó địa chỉ CoA của FA (không phải GFA) sẽ không được quảng bá và vì vậy để giúp MN xác định việc chuyển đổi giữa các vùng dịch vụ của các FA khác nhau, trường mở rộng FA-NAI (chứa NAI của FA) được thêm vào, trường này cũng được MN dùng để xác định đang ở mạng nhà hay mạng khách. Việc này được thực hiện thông qua so sánh phần định danh vùng (realm part) trong NAI của MN và phần mở rộng FA-NAI. - Đăng ký với mạng nhà: được thực hiện với cả MN, FA, GFA và HA. - Đăng ký theo vùng: Khi HA coi địa chỉ của GFA là địa chỉ CoA của MN, MN sẽ thực hiện đăng ký theo vùng đối với dịch chuyển trong một khu vực do GFA quản lý. Khi thực hiện đăng ký theo vùng, MN có thể đăng ký FCoA hoặc CCoA với GFA. Trong phần dưới đay các vấn đề được trình bày với giả sử đăng ký với mạng nhà đã được thực hiện GFA có một liên kết an ninh di động với MN. Giả sử MN di chuyển từ FA này sang FA khác trong cùng một mạng khách quản lý bởi một GFA. MN sẽ nhận được quảng cáo tác tử từ FA mới. Hơn nữa nếu quảng cáo tác tử chỉ ra rằng mạng khách hỗ trợ đăng ký theo vùng, và hoặc Registration reg req Registration reg reply Registration reg reply Registration reg req MN FA1 GFA HA 52 địa chỉ GFA được quảng cáo trùng với địa chỉ của GFA mà MN đăng ký với HA, hoặc phần định danh vùng của mở rộng FA-NAI của quảng cáo hiện thời trùng với quảng cáo trước đó, thì MN có thể thực hiện một đăng ký theo vùng với FA và GFA. MN phát ra thông điệp yêu cầu đăng ký vùng tới GFA thông qua FA. Yêu cầu này được xác thực sử dụng khoá đăng ký được phân phối cho GFA và MN từ mạng nhà và thông điệp được xác thực bởi mở rộng xác thực MN-GFA. CoA được thiết lập là FCoA của FA cục bộ, hoặc được đặt giá trị 0 nếu FA cục bộ không quảng cáo CoA của nó. Nếu yêu cầu đăng ký vùng không chứa CoA, FA sẽ thêm vào mở rộng “Hierarchical Foreign Agent” vào thông điệp và chuyển tiếp thông điệp đến GFA. Dựa trên thông tin này, GFA sẽ cập nhật địa chỉ hiệntại của MN trong danh sách khách của nó. GFA sau đó gửi lại thông điệp trả lời đăng ký vùng tới MN thông qua FA. Nếu địa chỉ của GFA trong thông điệp quảng cáo không trùng với GFA mà MN đăng ký với HA, và nếu MN vẫn còn trong vùng mà nó đăng ký địa chỉ CoA với HA, MN có thể sẽ thực hiện đăng ký theo vùng với GFA đã đăng ký. Nếu FA không hỗ trợ đăng ký theo vùng tới một GFA, FA sẽ từ chối với mã trả về với mạng nhà thông qua GFA mới. Cần thiết phải phân biệt cho MN khi nào thực hiện đăng ký theo vùng khi nào đăng ký với mạng nhà, vì trong trường hợp đầu tiên cần phải liên lạc với HA. Hơn nữa, một quá trình đăng ký mạng nhà phải được định hướng tới mạng nhà trước khi lifetime của địa chỉ CoA vùng GFA hết hạn. - An toàn: Trong Mobile IP phân cấp, các mở rộng xác thực được đưa vào trong các thông điệp để chống lại các giả mạo. Trong đó mở rộng xác thực FA-FA được sử dụng bởi FA cục bộ để đảm bảo độ tin cậy cho mở rộng “Hierarchical Foreign Agent” trong thông điệp yêu cầu đăng ký tới HA hoặc theo vùng. Sở dĩ cần có thêm mở rộng xác thực này vì trường mở rộng “Hierarchical Foreign Agent” được thêm vào sau phần đã được xác thực trước. Một mở rộng xác thực nữa là mở rộng xác thực giữa MN-GFA được sử dụng khi MN có địa chỉ CCoA. Hơn nữa, mở rộng MN-GFA được sử dụng để cung cấp xác thực cho yêu cầu đăng ký theo vùng. 3.2.2.2 Giao thức chuyển giao nhanh cho Mobile Ipv6 Giao thức chuyển giao nhanh cho Mobile IPv6 (Fast Handovers for Mobile IPv6 - viết tắt là FMIP6) là giao thức mở rộng của Mobile IPv6 với mục đích tối thiểu hoá thời gian trễ chuyển giao (handoff latency). Giao thức này phù hợp đối với các ứng dụng đòi hỏi yếu tố thời gian thực. 53 Các khái niệm cơ bản Access Router (AR): router mặc định của MN. Previous AR (PAR): router mặc định của MN trước khi xảy ra chuyển giao. New AR (NAR): router dự đoán là router mặc định của MN sau khi chuyển giao. Anchor AR (AAR): AR mà thiết lập CoA đầu tiên. Router Soliciation for Proxy (RtSolPr): thông điệp được gửi từ MN đến PAR yêu cầu thông tin cho chuyển giao có khả năng xảy ra. Proxy Router Advertisement (PrRtAdv): thông điệp từ PAR chỉ ra MN chuẩn bị chuyển giao. Fast Binding Update (FBU): thông điệp từ MN báo cho PAR chuyển hướng dữ liệu của nó đến NAR. Fast Neighbor Advertisement (FNA): thông điệp gửi từ MN đến NAR để khẳng định sử dụng CoA mới khi MN không nhận được FBACK. Handover Initiate (HI): Thông điệp từ PAR gửi tới NAR để khởi tạo chuyển giao Handover Acknowledge (HACK): Thông điệp từ NAR đến PAR trả lời cho HI. Bidirectional Tunnelv(BT): đường hầm cho cả PAR và NAR để chuyển tiếp các gói tin trao đổi với MN tại địa chỉ CoA cũ. Tổng quan về giao thức Các hoạt động chính của giao thức bao gồm thiết lập một đường liên kết giữa hai router truy cập để cho phép MN có thể gửi và nhận các gói IP khi chuyển giao xảy ra. Việc thiết lập đường hầm này có thể được “kích hoạt” bởi MN khi MN yêu cầu thực hiện chuyển giao, hoặc bởi mạng. Một khi đường hầm được thiết lập, việc chuyển tiếp gói tin trên đường hầm đến MN được bắt đầu khi PAR nhận thông điệp FBU từ MN. Vì vậy, có tất cả ba pha trong các hoạt động của giao thức: khởi tạo chuyển giao, thiết lập đường hầm vầ chuyển tiếp gói tin. Khởi tạo chuyển giao Giao thức được bắt đầu khi sự chuyển giao MN đến điểm kết nối mới xảy ra. Việc phát sinh sự kiện này có thể dựa trên các sự kiện của tầng 2 hoặc từ các chính sách xác định nhu cầu chuyển giao dựa trên các yếu tố khác như: chi phí, thay đổi băng thông,... 54 Hình 3.7: Thủ tục chuyển giao trong FMIPv6 Khi có sự kiện chuyển giao phát sinh, MN sẽ gửi thông điệp RtSoIPr đến PAR trong đó có định danh tầng liên kết dữ liệu (ví dụ ID của BS) của điểm kết nối dự định kết nối sau khi chuyển giao (NAR). PAR sẽ gửi lại thông điệp PrRtAdv, trong đó cung cấp địa chỉ tầng liên kết dữ liệu, và thông tin về mạng của NAR. Đối với chuyển giao khởi tạo mạng, PAR gửi PrRtAdv mà không cần phải tiếp nhận RtSoIPr trước đó, và cung cấp các thông số cần thiết, ví dụ: địa chỉ tầng 2 và IP của NAR để MN có thể gửi các gói tin IP, cũng như địa chỉ mạng cho MN để xác định địa chỉ CoA mới dự định. MN có thể cài định danh tầng 2 với giá trị đặc biệt 0 vào trong RtSoIPr, và PAR sẽ phản đói với một danh sách các thông số router truy cập hàng xóm tương ứng. Hơn nữa, MN được phép gửi thông điệp RtSoIPr tại bất kỳ khoảng thời gian thích hợp nào. Ví dụ, MN được phép gửi thông điệp RtSoIPr tại bất kỳ thời gian thích hợp nào. Ví dụ, MN có thể gửi thông điệp sau khi thực hiện tiến trình phát hiện router. Sự cho phép này cung cấp cho MN khả năng di chuyển tời một router hàng xóm tuỳ ý và gửi các thông điệp giao thức cần thiết để nhận và gửi các gói tin liên quan đến địa chỉ CoA tại PAR. Mục đích của RtSoIPr là yêu cầu cung cấp các thông số cần thiết (địa chỉ IP, địa chỉ tầng 2 và địa chỉ mạng của NAR) cho MN để có thể gửi các gói tin ngay lập tức khi kết nối với NAR. Mục đích của PrRtAdv là cung cấp các thông số và thông tin địa chỉ mạng cho phép MN thiết lập địa chỉ CoA mới. Thiết lập đường hầm và chuyển tiếp gói tin Đường hầm hai hướng được thiết lập giữa hai router để phục vụ mục đích: IPv6 Internet Movemen CN PRA HA 55 - Do MN không thể sử dụng CoA mới đến tận khi nó hoàn tất việc cập nhật liên kết với HA và CN, vì vậy thông qua đường hầm MN vẫn nhận được các gói tin gửi đến CoA cũ. - Khi CN đã được cập nhật liên kết với CoA mới của MN, CN có thể vẫn tiếp tục gửi gói tin đến CoA cũ, trong trường hợp PAR sẽ tạo đường hầm gửi gói tin đến NAR, rồi NAR gửi đến MN tại CoA mới. PAR không gửi trực tiếp đến CoA mới với lý do cần thiết lập cơ chế độc lập cấu hình địa chỉ với CoA mới. Tuy nhiện, MN có thể sử dụng CoA mới này trong gói tin gửi đi. Với mục đích như vậy, giao thức thực hiện như sau: Sau khi nhận thông điệp PrRtAdv, MN gửi một FBU. MN cũng có thể gửi một FBU sau khi kết nối với NAR (nếu không dự đoán được chuyển giao). Thông điệp FBU này liên kết CoA cũ của MN với địa chỉ IP của NAR để các gói tin đến PAR có thể được chuyển sang NAR theo cơ chế đường hầm. Đáp lạ, PAR gửi thông điệp HI đến NAR.. Thông điệp HI được gửi đi với hai mục đích. Thứ nhất, HI khởi tạo việc thiết lập đường hầm hai hướng giữa hai router để MN có thể tiếp tục sử dụng CoA cũ cho các phiên truyền thông đã tồn tại của nó. Thứ hai, HI được sử dụng để thẩm tra xem CoA mới (được cung cấp bởi PAR hoặc được xác định bởi NAR khi sử dụng cấu hình địa chỉ có trạng thái - stateful address configuration) đã được cung cấp cho MN, MN có thể sử dụng liên kết với NAR hay chưa. Sau khi xử lý HI, NAR thiết lập một đường liên kết cho địa chỉ CoA cũ của MN và trả lời thông qua thông điệp HACK. Sau khi nhận được thông điệp HACK, PAR gửi một FBACK đến MN. Thông điệp này khẳng định CoA mới có thể sử dụng hay không, và sau khẳng định này là có thể, MN phải sử dụng CoA mới trên liên kết mới. Ngay khi kết nối đến liên kết NAR, MN gửi một thông điệp Router Solicitation, trong đó chứa một tuỳ chọn Fast Neighbor Advertisement (FNA). FNA chứa CoA cũ của MN và các địa chỉ tầng 2, và thông qua FNA để khẳng định CoA mới khi FBACK không thể nhận được trước đó cũng như thông báo sự xuất hiện của MN tới NAR. Phúc đáp lại, NAR gửi thông điệp Router Advertisemant với lựa chọn Neighbor Advertisemant Acknowledge (NAACK) chỉ ra việc sử dụng CoA mới có được chấp nhận hay không. Thủ tục Return Routability được thực hiện để đảm bảo an toàn cho BU, nghĩa là, một CN sẽ loại bỏ các gói tin được gửi tới địa chỉ CoA mới cho đến khi bản ghi về liên kết này được thiết lập trong cache của nó. Vì thế, giao thức phải tiếp tục cho phép sử dụng địa chỉ CoA đã tồn tại trong cache của CN khi CoA mới cập nhật. Hơn nữa, việc cập nhật này, được thực hiện hết sức nhanh chóng. 56 Vì vậy, việc phối hợp sử dụng cơ chế tạo đường hầm (các gói tin liên quan đến CoA cũ) và việc dự đoán (liên quan đến CoA mới) sẽ làm tăng hiệu năng. Chuyển giao ba thành phần (Three Party Handover) MN có thể di chuyển từ NAR này sang NAR khác trước khi kết thúc chuyển giao tầng 3 của mình cũng như kết thúc cập nhật liên kết đến các CN. Nếu MN di chuyển trước khi thiết lập CoA mới tại NAR, PAR sẽ vẫn được coi là router mặc định của MN cho đến khi MN kết nối với NAR’ (kế tiếp NAR mới vừa rời khỏi). Vì vậy, MN có thể gửi FBU đến PAR để thiết lập một đường hầm giữa PAR và NAR’. Mặc khác, nếu CoA mới đã được thiết lập cho MN tại NAR, MN sé gửi các FBU đến đồng thời cả PAR và NAR để có thể tạo hai đờng hầm riêng rẽ. Nếu thay vì đến NAR’, MN lại quay về PAR, thì MN sẽ gửi FBU với lifetime được đặt giá trị 0 để PAR có thể huỷ bỏ đường hầm. Các vấn đề an ninh PAR phải đảm bảo rằng gói FBU đến từ một node sở hữu CoA cũ một cách hợp pháp . Ngược lại, một node giả mạo nào đó có thể làm cho các gói tin gửi đến MN không đến được đích và chuyển hướng chúng đến các router truy cập khác. Khi FBU được gửi trực tiếp (không qua đường hầm), cơ chế an ninh đợưc hỗ trợ bởi Neighbor Discovery. Router truy cập một liên kết an ninh. Khi một liên kết an ninh được thiết lập trước, cơ chế này sẽ phải được sử dụng để đảm bảo an ninh cho FBU. Nếu một router truy cập có thể đảm bảo địa chỉ IP nguồn trong một gói tin đến chỉ có thể được tạo ra rừ node mà địa chỉ tầng 2 của nó có trong cache “hàng xóm” của router, thì một node giả mạo không thể sử dụng địa chỉ IP chiếm dụng để chuyển hướng lưu thông. Việc đảm bảo này được thực hiện thông qua các thông điệp phát hiện “hàng xóm” bao gồm cả thông điệp RtSolPr. Khi FBU được gửi thông qua đường hầm, FBU này phải được bảo vệ bởi một liên kết an ninh thiết lập giữa node gửi FBU và PAR. Đích đến của việc chuyển hướng giao thông giả mạo bị giới hạn là một router truy cập mà với nó PAR có một liên kết an ninh. Vì lý do này, luồng dữ liệu có thể chỉ bị chuyển hướng tới địa chỉ IP của NAR, và khả năng “spam” không bị nguy ngờ” bị loại bỏ. 3.2.2.3 Mobile Ipv6 phân cấp Các khái niệm cơ bản Mobility Anchor Point (Điểm neo di động - viết tắt MAP): MAP là một router được định vị trong mạng khách. MAP được sử dụng bởi MN như là HA cục bộ. Một hoặc nhiều MAP có thể được cài đặt trong mạng khách. 57 Regional CoA (CoA khu vực - viết tắt là RCoA): RcoA là địa chỉ được gán cho MN trong mạng khách. RCoA được tự động thiết lập bởi MN khi nhận được tuỳ chọn MAP. HMIPv6-aware Mobile Node (MN có khả năng HMIPv6): Một MN có khả năng HMIPv6 là một MN có thể nhận và xử lý tuỳ chọn MAP nhận từ router mặc định của mình. MN này cũng có khả năng gửi các cập nhật liên kết cục bộ. On-link CoA (LCoA): LCoA lầ địa chỉ CoA được cấu hình cho giao diện MN dựa trên tiền tố đợc quảng bá bởi router mặc định của nó. Local Binding Update (cập nhật liên kết cục bộ): MN gửi cập nhật liên kết cục bộ tới MAP để thiết lập liên kết giữa RCoA và LCoA. Tổng quan về HMIPv6 HMIPv6 đề xuất một thành phần mới, điểm neo di động (MAP), và các mở rộng trong hoạt động của MN. CN và HA không bị tác động thay đổi trong giao thức này. Giống như Mobile IPv6, giải pháp HMIPv6 cũng độc lập với các công nghệ truy cập bên dưới, cho phép di động trong nội bộ hoặc giữa các mạng truy cập khác nhau. MN khi di chuyển đến một khu vực bao phủ dịch vụ của MAP sẽ nhận được các Router Advertisemant chứa thông tin về một hoặc nhiều MAP cục bộ. MN có thể liên kết các vị trí hiện tại của mình (on-link CoA) với địa chỉ trong subnet của MAP (RCoA). Với cơ chế hoạt động như một HA cục bộ, MAP sẽ nhận mọi gói tin đến MN và bao gói rồi chuyển tiếp chúng đến địa chỉ hiện tại của MN. Nếu MN thay đổi địa chỉ kết nối hiện tại trong nội bộ một miền MAP cục bộ (đổi địa chỉ LCoA), MN chỉ cần đăng ký địa chỉ mới với MAP. Vì vậy, chỉ có RCoA cần được đăng ký với CN và HA. RCoA không thay đổi miễn là MN vẫn nằm trong nội bộ miền MAP. Điều này làm cho sự di động của MN là trong suốt với CN mà nó đang kết nối. Các khu vực biên giới của miền MAP được xác định bởi các AR có nhiệm vụ quảng cáo thông tin MAP đến các MN liên kết với nó. Cần phải chú ý rằng HMIPv6 chẳng qua chỉ là sự mở rộng của MIPv6, vì vậy, MN có khả năng thực hiện giao thức HMIPv6 sẽ sử dụng cơ chế đợc cung cấp bởi MAP nếu mạng khách hỗ trợ, còn không nó sẽ hoạt động với giao thức MIPv6 cơ bản. Ví dụ: trong trường hợp MN hoạt động trong mạng khách nằm trong “home site”, trong trường hợp này, HA được định vị gần mạng khách và có thể được sử dụng thay cho MAP. 58 Hình 3.8: Kiến trúc mạng HMIPv6 Hình 3.8, MAP có thể trợ giúp việc di động “seamles” khi một MN dịch chuyển từ AR1 sang AR2. Các vấn đề cơ bản của HMIPv6 Giao thức HMIPv6 là một mở rộng của MIPv6, trong đó: có thêm thành phần MAP và chỉ có hoạt động của MN được mở rộng, còn các thành phần khác CN và HA hoạt động vẫn không thay đổi. Các thủ tục thực hiện bởi MN Khi MN dịch chuyển đến một miền MAP mới, MN cần phải được thiết lập với hai CoA: RCoA trên subnet của MAP và LCoA. Sau khi thiết lập RCoA dựa trên tiền tố nhận được từ tuỳ chọn MAP, MN gửi một BU cục bộ đến MAP. BU cục bộ là BU trong đó trường mở rộng Home Address chứa địa chỉ RCoA của MN. LCoA đợc sử dụng như là địa chỉ nguồn của BU. BU này sẽ liên kết địa chỉ RCoA (có vai trò tương tự HAddr) của MN với LCoA. MAP (hoạt động tương tự HA) sẽ gửi một báo nhận liên kết đến MN. Báo nhận này sẽ chỉ rõ liên kết thành công hay lỗi tương tự với mã lỗi trả về. Sau khi đăng ký MPA mới, MN sẽ đăng ký RCoA của nó với HA bằng cách gửi một BU chỉ ra sự liên kết (RCoA, HAddr) như trong MIPv6. Tuỳ chọn địa chỉ được thiết lập theo HAddr, RCoA có thể được tìm thấy trong trường địa chỉ nguồn hoặc trong tuỳ chọn thay thế CoA. MN có thể gửi một BU tương tự tới 59 các CN. Nếu cờ I được thiết lập, MN có thể sử dụng RCoA của nó như là địa chỉ nguồn của BU. Nếu cờ P được thiết lập, MN phải sử dụng RCoA như là địa chỉ nguồn. Nếu MN sử dụng RCoA của nó như là địa chỉ nguồn, tuỳ chọn thay thế CoA là không cần thiết. Nếu cả cờ P và V được thiết lập, MN phải sử dụng RCoA như là địa chỉ nguồn và tạo đường hầm gửi mọi gói tin đến MAP. Địa chỉ nguồn trong header ngoài là địa chỉ LCoA và địa chỉ đích là địa chỉ của MAP. Cơ chế này được áp dụng khi quản trị mạng muốn MN sử dụng RCoA như là địa chỉ nguồn trong khi vẫn giữ các cơ chế an ninh (ví dụ: firewall) MN đợi báo nhận liên kết từ MAP trước khi đăng ký với HA. Chú ý rằng khi liên kết RCoA với HA và CN, lifetime của liên kết này không được lớn hơn lifetime liên kết của MN với MAP, nhận được thông báo nhận liên kết. Để tăng tốc độ chuyển giao giữa các MAP, MN có thể gửi một BU địa phươn đến MAP trước của nó trong đó chỉ ra LCoA của MN. MN sẽ tháo bao gói của các gói tin và xử lý chúng theo cách thông thường. Khi MN di chuyển cục bộ (không thay đổi MAP), MN chỉ nên thay đăng ký địa chỉ LCoA mới với MAP của nó mà thôi. Trong trường hơpk này, RCoA không thay đổi. Chú ý rằng: MN có thể gửi BU chứa LCoA của nó (thay vì RCoA) đến CN kết nối trên cùng một liên kết. Các gói tin sẽ được chuyển tiếp thay vì qua MAP. Nhà quản trị mạng muốn ẩn địa chỉ LCoA của MN đối với các node ngoài miền của MAP. Để thực hiện điều này, tuỳ chọn MAP có thể được gửi với cờ P được thiết lập. Trong trường hợp này, MN phải sử dụng RCoA như là địa chỉ nguồn của BU khi gửi tới CN và HA. Hơn nữa, MN phải sử dụng RCoA như là địa chỉ nguồn của mọi gói tin gửi đi. Mặt khác, MN muốn ẩn đi vị trí của nó với các CN và HA liên kết với nó. Để thực hiện điều này, MN bảo đảm nó không cung cấp cả định danh và vị trí của nó cho bất kỳ CN nào. Vì định danh của MN được chứa trong mọi gói tối ưu đờng đi (địa chỉ Haddr), MN đảm bảo rằng nó không cung cấp vị trí chính xác cho CN và HA. Vì thế, MN sử dụng RCoA như là địa chỉ nguồn của tất cả các gói tin gửi đi. Điều này được thực hiện nếu cờ I hoặc P được thiết lập trong tuỳ chọn MAP. Ngược lại sự riêng tư về vị trí không thể được cung cấp. Nếu cờ V được thiết lập (cùng với cờ P hoặc cờ I), MN phải tạo đường hầm gửi mọi gói tin đến MAP. Điều này là cần thiết để cho phép sự bí mật vị trí trong khi vẫn giữ được các cơ chế lọc phục vụ cho an ninh. Gửi gói tin đến CN 60 MN có thể truyền thông với CN thông qua HA, hoặc trực tiếp. Nếu MN truyền thông trực tiếp với CN, MN phải sử dụng cùng địa chỉ CoA được sử dụng để thiết lập một bản ghi liên kết trong CN (RCoA) như là địa chỉ nguồn. MN cũng phải đưa lựa chọn Home Address trong các gói tin gửi đi. Lựa chọn này chứa địa chỉ HAddr của MN. Vì RCoA được sử dụng như là địa chỉ nguồn của mọi gói tin gửi đi, MN phải xét các cờ P, I, V để quyết định các gói tin nên được gửi trực tiếp với RCoA là địa chỉ nguồn, hay tạo đường hầm gửi đến MAP. Khi tạo đường hầm cho các gói tin gửi đi đến MAP, địa chỉ nguồn trong header ngoài là LCoA của MN và địa chỉ đích là địa chỉ của MAP. Các thủ tục thực hiện bởi MAP MAP hoạt động như một HA, MAP tiếp nhận mọi gói tin gửi đến MN và thiết lập đường hầm gửi đến địa chỉ LCoA. MAP không biết đến địa chỉ HAddr của MN. MN sẽ gửi một BU địa phương đến MAP với các cờ M, A, D được thiết lập. Mục đích của việc thiết lập này thông báo cho MAP, Mn đã thiết lập được địa chỉ RCoA (chứa trong BU như là HAddr). Nếu thành công, MAP phải gửi lại một báo nhận liên kết tới MN. Ngược lại, MN sẽ gửi một báo nhận với trường mã sai tương ứng. MAP phải có khả năng tiếp nhận các gói tin được gửi thông qua đường hầm từ MN, với MN như là đầu vào của đường hầm và MAP là đầu ra của đường hầm. MAP sau đó hoạt động như là một HA đối với địa chỉ RCoA. Các gói tin gửi đến RCoA sẽ được tiếp nhận bởi MAP, sau đó được đóng gói rồi chuyển đến LCoA của MN. Các vấn đề an ninh Trong giao thức HMIPv6, MAP hoạt động tương tự như một HA, vì vậy, mối liên quan an ninh giữa MN và MAP (bao gồm: sự xác thực lẫn nhau, bảo vệ toàn vẹn và bảo vệ chống lại tấn công sử dụng lại) cần được hết sức coi trọng. Việc thiếu vắng bất kỳ một cơ chế bảo vệ nào có thể sẽ dẫn tới các MN gỉa mạo có thể “đóng giả” các MN hợp pháp và “đóng giả” MAP. Bất kỳ các cuộc tấn công nào sẽ gây ra các ảnh hưởng không mong muốn đến việc truyền thông giữa MN và các CN biết địa chỉ RCoA của MN. Có ba mối quan hệ an ninh khác nhau cần phải được xem xét, bao gồm: MN và MAP; MN và HA; MN và CN. 3.2.2.4 Giải pháp kết hợp Mobile Ipv6 phân cấp và Mobile IP chuyển giao nhanh. Giải pháp kết hợp giữa phân cấp và chuyển giao nhanh (H+FMIPv6) dựa trên các đánh giá sau: 61 - Xét MAP được đặt trên một router kết hợp phía trên các AR bị ảnh hưởng trong quá trìnhcg. Tiến trình chuyển giao nhanh bình thường chuyển tiếp các gói tin từ AR cũ sang AR mới sẽ gây ra sự không hiệu quả vì gia tăng trễ chuyển giao do các gói tin phải dịch chuyển theo liên kết MAP-AR cũ hai lần và có thể đến AR mới theo thứ tự không đúng. Nếu thành phần chịu trách nhiệm cho việc thiết lập chuyển hướng trước chuyển giao là MAP, thì sự không hiệu quả trên sẽ bị loại bỏ. Vì vậy, trong mô hình này thành phần thực hiện chức năng của tiến trình chuyển giao là MAP thay vì một tác tử di động trong AR cũ. - Chú ý rằng với FMIPv6 luồng dữ liệu sẽ được chuyển hướng khi AR cũ nhận được F-BU nhưng trong trường hợp này nếu MN thực hiện chuyển giao ngay sau khi gửi F-BU đến MAP, sẽ bị mất. Thêm vào đó, nếu MH thực hiện chuyển giao ngay sau khi gửi F-BU, MN sẽ không thể ngay lập tức nhận bất kỳ một gói tin được chuyển hướng nào bởi cùng một lý do, điều này làm tăng trễ chuyển giao và độ mất gói. Để giải quyết vấn đề này, giải pháp đề suất phải thiết lập một khoảng thời gian đợi FBACK đến liên kết cũ trước khi khởi tạo chuyển giao. Trong trường hợp này, chắc chắn khi nhận được FBACK sẽ không có gói tin bị mất gởi đến địa chỉ CoA cũ và các gói tin được chuyển hướng đến CoA mới sẽ được lưu đệm. Thêm vào đó, giả sử rằng các gói tin trải qua một khoảng thời gian trễ giống nhau trên đường liên kết giữa MAP và AR (các AR bị ảnh hưởng trong chuyển giao), sự tiếp nhận gói tin FBACK tương tự như nhận gói tin đồng bộ hoá, thông báo các gói tin mới đã sẵn sằng đợi hoặc đã đến AR mới và vì thế, trễ chuyển giao liên kết liên quan đến các liên kết có dây được hầu như loại bỏ. 3.3 An toàn và bảo mật trong Mobile IP Liên kết không dây là liên kết đặc biệt rất dễ bị nghe trộm và bị tấn công từ bên ngoài và các kiểu truy nhập khác. Phần dữ liệu của Mobile Node khi truyền đường hầm (tunnel) tới địa chỉ COA (Care-of-address) cũng dễ bị tấn công. Mobile IP cũng sử dụng APR, đây là kẽ hở mà những kẻ tấn công có thể xâm nhập trái phép vào quá trình trao đổi giữa các Node, cũng chính là vấn đề bảo mật được đặt ra trong Internet hiện nay. Giao thức Mobile IP được xây dựng trên nền là giao thức TCP/IP do vậy nó cũng sử dụng tất cả các biện pháp bảo mật dữ liệu như giao thức TCP/IP và ngoài ra còn sử dụng thêm một số phương pháp trong đó xem xét phương pháp xác thực trong quá trình đăng ký An toàn và bảo mật là những yêu cầu tối quan trọng trong quá trình đăng ký trong Mobile IP. Vì trong quá trình này có thể có dạng tấn công sau: 62 - Giả mạo MN: Một trạm giả mạo sẽ phát ra bản tin, yêu cầu đăng ký với địa chỉ HAddr của một MN hợp lệ, điều này sẽ làm cho mọi bản tin thay vì đến MN hợp lệ sẽ đến trạm giả mạo. - Giả mạo FA: một trạm giả moạ FA sẽ gửi các quảng cáo đến các trạm trong mạng để thu hút luồng dữ liệu đến MN, hơn nữa, FA giả mạo có thể tự động gửi các bản đăng ký hoặc trả lời đến MN hoặc FA để qua đó nhận trái phép dữ liệu. Để giải quyết vấn đề chống giả mạo trong Mobile IP đặt các cơ chế xác thực, bao gồm: - Sử dụng các mở rộng xác thực. - Sử dụng trường Identification. 3.3.1 Sử dụng các mở rộng xác thực (authentication extensions) Mở rộng xác thực được thực hiện giữa hai bên truyền thông (MN-FA, FA- HA, HA-MN). Các mở rộng xác thực được chèn vào trong thông điệp đăng ký giúp cho hai bên kiểm tra tính xác thực. Có tất cả ba mở rộng xác thực được định nghĩa cho Mobile IP cơ bản, tất cả đều cho phép đưa thêm vào cơ chế xác thực khác trong quá trình đăng ký: - Mở rộng xác thực MN-HA. - Mở rộng xác thực MN-FA. - Mở rộng xác thực FA-HA. Mỗi mở rộng bao gồm một SPI chỉ ra liên kết an ninh di động, liên kết an ninh này chứa các thông tin bí mật cần thiết để tính xác thực có trong mở rộng. Ngoài ra cần lưu ý rằng chỉ có duy nhất một trường mở rộng cho hai thực thể bất kỳ trong số MN, HA, FA. Để xây dựng được các mở rộng xác thực này mỗi đối tượng: MN, FA, HA được yêu cầu có khả năng hỗ trợ một liên kết an ninh di động (mobility security association) đối với các thực thể di động, liên kết này được đánh chỉ số bởi Chỉ số tham số an ninh (security parameters index - viết tắt là SPI) và địa chỉ IP. Tính toán các giá trị mở rộng xác thực: Việc tính toán dựa trên SPI thoả thuận giứa hai đối tác cần xác thực. SIP trong bất kỳ các mở rộng xác thực nào cũng định nghĩa cơ chế an ninh được sử dụng để tính toán giá trị xác thực và được sử dụng bởi bên nhận để kiểm tra giá trị này. Cụ thể, SIP sẽ lựa chọn giải thuật, chế độ và khoá xác thực được sử dụng để tính giá trị xác thực. Để đảm bảo sự phối hợp giữa các thể hiện khác nhau của giao thức Mobile IP, mỗi thể hiện được yêu cầu liên kết bất kỳ giá trị SPI nào lớn hơn 255 với các thuật toán và chế độ xác thực sẽ thực hiện. 63 Thuật toán xác thực mặc định được sử dụng trong Mobile IP là MD5 (Message Digest 5) với chế độ prefix+suffix, nghĩa là “bí mật”được chèn vào trước và sau dữ liệu mà nó xác thực. Kết quả của tính toán mặc định là 128bit MD của thông điệp đăng ký, và kết quả này là việc tính toán dựa theo giải thuật MD5 với đầu vào là các dữ liệu sau: (1) Thông tin mật được định nghĩa bởi liên kết an ninh di động giữa các node và bởi giá trị SPI được chỉ ra trong mở rộng xác thực. (2) Các trường header của thông điệp yêu cầu đăng ký và trả lời đăng ký. (3) Các mở rộng đứng trước đó. (4) Kiểu, độ dài và SPI có trong bản thân các mở rộng. (5) Thông tin bí mật Chú ý rằng bản thân trường xác thực, UDP header, IP header không được đưa vào tính toán giá trị xác thực. Giá trị xác thực này sẽ được chèn vào mở rộng xác thực, khi nhận được thông điệp, phía nhận sẽ căn cứ vào SPI, tính toán lại giá trị này và so sánh: nếu nhận, ngược lại sẽ loại bỏ. Khuôn dạng của một trường mở rộng như sau: Type: 32 Mở rộng xác thực MN-HA 33 Mở rộng xác thực MN-FA 34 Mở rộng xác thực FA-HA Length: 4 cộng với độ dài của giá trị xác thực (authenticator) SPI: 4 byte. Authenticator: Độ dài biến đổi phụ thuộc vào thuật toán SPI quy định. 3.3.2 Xác thực thông qua trường Identification Nếu trên mạng có một tác tử giả mạo trong suốt quá trình đăng ký, tác tử đó có thể thu thập mọi thông tin cần thiết cho đăng ký đó, bao gồm cả dữ liệu xác thực. dữ liệu xác thực này có thể được sử dụng lại trong một lần nào đó, vì vậy cần có một trường dữ liệu mà giá trị thay đổi ngẫu nhiên giứa các lần nào đó, vì vậy cần có một trường dữ liệu mà giá trị thay đổi ngẫu nhiên giữa các lần gửi thông điệp, đó chính là trường Identification. Sử dụng trường Identification HA sẽ biết được chắc chắn rằng yêu cầu mà nó nhận được là một yêu cầu mới, không phải là yêu cầu được kẻ tấn công sử dụng lại. Việc xác định Identification phụ thuộc vào việc lựa chọn chiến lược Bảo vệ chống sử dụng lại (replay protection), có hai chiến lược: - Chiến lược sử dụng Time stamps: Nền tảng của chiến lược này là việc, các node sẽ chèn dữ liệu về thời gian hiện tại vào trong thông điệp, và khi bên nhận được thông điệp sẽ kiểm tra xem thời gian có trong thông điệp có gần với thời gian hiện tại ở bên nhận hay 64 không. Vì vậy, hai bên cần phải đồng bộ đồng hồ, việc này được thực hiện theo một cơ chế có xác thực được định nghĩa bởi cơ chế an ninh giữa hai bên. Nếu timestamp được sử dụng, trường identification sẽ có kích thước 64bit có khuôn dạng được quy định theo giao thức NTP (Network Time Protocol)32bit thấp là thời gian thời gian chèn vào, 32 bit còn lại được sinh ngẫu nhiên.Tuy nhiên, 64 bit này phải có giá trị lớn phù hợpn thì sẽ gây khó khăn trong việc cập nhật thông tin di động. Identification được cho là hợp lệ: nếu thời gian trong 32 bit thấp gần với đồng hồ của HA và lớn hơn tất cả timestamp đã được gửi trước đó. Sau đó, khi trả lời, HA sẽ sao trường identification này vào thông điệp trả lời. Tuy nhiên, nếu sai: chỉ có 32 bit thấp được sao, còn 32 bit cao là thời gian theo đồng hồ cảu HA giúp cho MN đồng bộ lại đồng hồ (chú ý: MN chỉ đồng bộ lại khi mà 32 bit thấp của thông điệp trả lời trùng với 32 bit thấp của thông điệp yêu cầu mà MN đã gửi đi) Phương pháp bảo vệ chống phát lại (replay protection) dựa trên timestamp là phương pháp hay được sử dụng. Ngoài ra những Node này cũng có thể sử dụng phương thức bảo vệ dựa trên Nonce. Bảo vệ chống phát lại (replay protection) được sử dụng giữa Mobile Node và trạm gốc của Node là một phần của liên kết bảo mật di động MSA (Mobile Security Association). Mobile Node và trạm gốc của Node phải thống nhất phương pháp bảo vệ chống phát lại (replay protection), thông thường là dùng trường nhận dạng (Identification), cấu trúc của trường nhận dạng phụ thuộc vào phương pháp sử dụng trong bảo vệ chống phát lại. Bất kể sử dụng phương pháp nào thì các bit có thứ tự thấp hơn 32 của trường nhận dạng của trả lời đăng ký đều mang cùng một giá trị giống như trong yêu cầu đăng ký. Trạm ngoài sử dụng các bit này và địa chỉ gốc của Mobile Node có các trả lời tương ứng với các yêu cầu của đăng ký. Mobile Node sẽ kiểm tra xem các bit có thứ tự thấp hơn 32 của trả lời đăng ký giống với các bit mà Node gửi tới yêu cầu đăng ký hay không, nếu không đúng thì trả lời này bị huỷ bỏ. Giá trị trường nhận dạng trong yêu cầu đăng ký mới không được giống như trong yêu cầu đăng ký có ngay trước đó và tránh không nên lặp lại trong khi Mobile Node và trạm gốc cùng sử dụng cùng một phạm vi bảo vệ. Nguyên tắc cơ bản cách thức bảo vệ dùng timestamp là Node tạo bản tin sẽ chèn thêm thời gian hiện tại của ngày và Node nhận bản tin sẽ kiểm tra độ chính xác của timestamp này với thời gian của chính nó. Rõ ràng hai Node về thời gian phải được đồng bộ một cách tương ứng. Như với bất kỳ bản tin nào, bản tin 65 đồng bộ thời gian có thể được cơ chế nhận thực xác nhận bảo vệ tránh khỏi sự xáo trộn. Cơ chế này do phạm vi bảo mật giữa hai Node quyết định. Nếu sử dụng timestamp, Mobile Node sẽ dùng trường nhận dạng tới 64 bit, các giá trị có cấu trúc như được đề cập trong NTP (Network Time Protocol, RFC 1035). Tuy nhiên nên lưu ý rằng khi sử dụng timestamp, trường nhận dạng 64 bit được sử dụng trong yêu cầu đăng ký từ Mobile Node bắt buộc phải có giá trị lớn hơn giá trị trường nhận dạng trong bất kỳ yêu cầu đăng ký trước đó vì trạm gốc cũng sử dụng trường này như trường thứ tự tuần tự. Khi không có số thứ tự tuần tự như vậy, Mobile Node có khả năng làm bản sao của yêu cầu đăng ký trước đó đến trạm gốc bị chậm (trong thời gian đồng bộ thời gian trạm gốc yêu cầu) và như vậy yêu cầu này sẽ yêu cầu không đúng lúc và do vậy làm thay đổi địa chỉ động đã đăng ký hiện thời của Mobile Node. Khi nhận yêu cầu đăng ký với mở rộng có xác nhận Mobile Home, trạm gốc bắt buộc phải kiểm tra tính hợp lệ của trường nhận dạng. Để hợp lệ, timestamp trong trường nhận dạng phải đủ gần đúng với thời gian của trạm gốc và timestamp này phải lớn hơn tất cả các timestamp được chấp nhận trước đó dành cho các Mobile Node yêu cầu đăng ký. Nếu timestamp hợp lệ, trạm gốc sẽ copy toàn bộ trường nhận dạng vào trả lời đăng ký mà nó sẽ gửi lại Mobile Node. Nếu timestamp không hợp lệ trạm gốc chỉ copy 32 bit thấp và cung cấp các bit có số thứ tự lớn hơn 32 có từ thời gian ngày của chính nó. Trong trường hợp này trạm gốc sẽ loại bỏ đăng ký này bằng cách đáp lại với mã số 133 trong trả lời đăng ký. Mobile Node sẽ kiểm tra xem các bit có số thứ tự thấp hơn 32 của trường nhận dạng trong trả lời đăng ký giống với trường nhận dạng trong đăng ký bị loại bỏ, trước khi sử dụng các bit có số thứ tự cao hơn để đồng bộ lại đồng hồ. - Chiến lược sử dụng Nonce: Nguyên tác cơ bản của việc sử dụng Nonce để bảo mật trả lời là trong mỗi bản tin gửi tới Node B, Node A kèm theo một con số ngẫu nhiên và Node A kiểm tra xem trong bản tin tiếp sau tới Node A, Node B có gửi lại con số tương tự hay không. Cả hai bản tin đều sử dụng một mã số xác nhận để tránh sự biến đổi do kẻ tấn công gây ra. Cùng lúc đó Node B có thể gửi Nonce của chính nó trong tất các các bản tin tới Node A (Node A sẽ lặp lại như vậy), do đó Node B có thể xác minh là nó đang nhận bản tin mới. Trạm gốc có thể có cách để tính các số ngẫu nhiên có ích như các nonce. Trạm gốc cài một nonce mới như các bit có số thứ tự dưới 32 của trường nhận dạng trong mỗi trả lời đăng ký. Trạm gốc copy 32 bit thấp nhất của trường nhận dạng trong bản tin yêu cầu đăng ký vào các bit tương tư của trường nhận dạng trong trả lời đăng ký. Khi Mobile Node nhận trả lời đăng ký đã được xác nhận từ 66 trạm gốc, Node lưu các bit có số thứ tự lớn hơn 32 của yêu cầu đăng ký tiếp theo. Mobile Node chịu trách nhiệm tạo các 32 bit thấp của trường nhận dạng trong mỗi yêu cầu đăng ký. Các Node cần tạo nonces của chính nó . Tuy nhiên Node có thể sử dụng bất kỳ biện pháp thích hợp, kể cả nhân đôi giá trị ngẫu nhiên mà trạm gốc gửi. Phương pháp chọn nonce do Mobile Node quyết định, bởi vì nó là Node kiểm tra giá trị hợp lệ đó trong trả lời đăng ký. Các bit cao và các bit thấp hơn 32 của trường xác nhận được chọn phải khác với các giá trị trước đó của chúng. Trạm gốc sử dụng 32 bit cao và Mobile Node sử dụng giá trị mới cho 32 bit thấp cho mỗi bản đăng ký. Trạm ngoài sử dụng giá trị có số thứ tự thấp hơn và địa chỉ gốc của Mobile Node để các trả lời đăng ký phù hợp với các yêu cầu chưa hoàn thành. Nếu bản tin đăng ký bị từ chối vì một nonce không hợp lệ, trả lời đăng ký luôn luôn cung cấp cho Mobile Node một Nonce mới để sử dụng trong đăng ký tiếp theo, do vậy thủ tục nonce tự nó đồng bộ. Trong các bản tin trao đổi (bản tin yêu cầu và bản tin trả lời) giữa một cáp Node Mobile IP sử dụng các giá trị an toan bảo mật di động MSA có cấu trúc như sau: - Type - Length = 4 cộng với số lượng các bytes trong chỉ số xác nhận. - SPI : chỉ số tham số bảo mật (Security Parameter Index) 4 bytes. - Authenticator : Độ dài biến đổi Trong đó các giá trị của Type như sau: Type= 32 là chỉ phần mở rộng cần xác nhận MSA Mobile - Home Type= 33 là chỉ phần mở rộng cần xác nhận MSA Mobile - Foreign Type= 34 là chỉ phần mở rộng cần xác nhận MSA Foreign - Home Đối với trường xác nhận dùng để thực hiện việc xác nhận các bản tin. Thuật toán để mã hoá sử dụng tại đây là thuật toán mã hoá MD5 với kích thước là 128 bit. Phương thức mã hoá là mã phần trước hoặc phần sau số liệu sẽ bị xáo trộn bởi từ mã 128 bit có nghĩa là MD5 được sử dụng theo phương thức tiền tố + hậu tố. Trạm nào cũng được hỗ trợ phương pháp xác nhận sử dụng MD5 và cỡ từ mã là 128 bit hoặc lớn hơn, với sự phân bổ mã từ theo quy định cụ thể. Nhiều thuật toán xác nhận, phương thức phân bổ từ mã và kích thước từ mã, kiểu từ mã như dùng mã Random cũng được sử dụng để hỗ trợ. 67 KẾT LUẬN Với mục đích bước đầu tìm hiểu về mạng thông tin di động 4G, và một số kỹ thuật sử dụng trong mạng, cũng như cơ chế xác thực để đảm bảo an toàn cho mạng, luận văn đã nghiên cứu một số vấn đề sau: - Giao thức Mobile IP, tìm hiểu các loại bản ghi trong giao thức, cách giao tiếp sử dụng các loại bản ghi này để thực hiện các chức năng của giao thức, tìm hiểu thông qua phiên bản Mobile Ipv4, đánh giá ưu nhược điểm của Mobile Ipv4. - Nghiên cứu về mạng di động 4G, về kiến trúc tổng quan, về các dịch vụ chủ yếu có thể hướng tới của mạng 4G, các mô hình được khuyến nghị cho 4G. - Tìm hiểu cơ chế xác thực trong quá trình đăng ký của Mobile IP. Tuy nhiên luận văn vẫn còn nhiều vấn đề cần được nghiên cứu tiếp để hoàn thiện hơn như: - Nghiên cứu chi tiết về việc quản lý tính di động trong Mobile IP để có thể áp dụng đối với mạng 4G. - Tìm hiểu các phương thức mà mạng 4G có thể bị tấn công khi việc truyền thông đa phương tiện được đáp ứng với tốc độ ngày càng cao mọi lúc, mọi nơi để qua đó có thể tìm hiểu các giải pháp ngăn chặn. 68 TÀI LIỆU THAM KHẢO Tiếng Việt 1. Nguyễn Phạm Anh Dũng (2002), Thông tin di động thế hệ ba, Học viên Công nghệ Bưu chính Viễn thông. Tiếng Anh 2. Charles E.Perkins (1997), Mobile IP Design Principles and Practices, Prentince Hall PTR. 3. C. Perkins (2002), Rfc 3344: IP Mobility Support for Ipv4, IETF. 4. D.Johnson, C.Perkins and J.Arkko (2004), Rfc3375: Mobility Support in Ipv6, IETF. 5. Dave Wisley, Philip Eard Ley and Louise (2002), IP for 3G Networking Technologies for Mobile Communications, John Wiley & Sons. 6. Harri Holma and Anti Toskala (2000), W-CDMA for UMTS, John Wiley & Sons. 7. Luis Correia (2006), Mobile Broadband Multimedia Networks, Elsevier. 8. Michael A.Gallo and William M.Hancock (2001), Computer Comunications and Networking Technologies, Course Technology. 9. Ramjee Prasad and Marina Ruggieri (2003), Technology Trends in Wireless Communication, Artech House Publishers. 10. Savo G.Glisic (2006), Advance Wireless Networks 4G Technologies, John Wiley & Sons. 11. Shinsuke Hara and Ramjee Prasad (2003), Multicarrier Techniques for 4G Mobile Communications, Artech House. 12. S.Gundavelli, K.Leung, V.Devarapalli, K.Chowdhury and B.Patil (2008), Rfc5213: Proxy Mobile Ipv6, IETF. 13. Vijay K.Gary (2007), Wireless Communications and Networking, Elsevier. 14. William C.Y.Lee (1996), Mobile Communication Design Fundamental, John Wiley & Sons. 15. 4G Mobile Communications Committee (2005), Towards the 4G Mobile Communications Systems.. 16. 4G Mobile Communications Committee (2006), 4G Technical Survey Report – System Infrastructure. 17. 4G Mobile Communications Committee (2006), 4G Technical Survey Report – Service Platform.

Các file đính kèm theo tài liệu này:

  • pdfLUẬN VĂN-MOBILE IP & 4G.pdf