随身携带的IP位址技术

目前的无线上网机制有两种，一种是采用DHCP的方式，另外一种是采用Mobile IP。以DHCP 来说，使用者没有固定的IP位址，用户需租用一个临时的IP位址才能够登录上网，如此反覆的申请与租用IP 位址对于需要经常在外上网的用户来说是一个负担。如果用户能够固定使用同一个IP位址上网就像是使用自己的一组手机号码一样那就方便得多了，Mobile IP 正是可以满足这种需求，用户可以使用自己的固定位址在任何无线网路设备的区域上网。

Mobile IP 的组成

由网际网路标准组织IETF成立的行动网际网路位址工作小组（Mobile IP Working Group）所制订的Mobile IP 网路通讯协议，是一种支援网际网路位址行动能力（Mobility）的相关标准。基本上Mobile IP 是考虑在行动的环境下如何使原先使用 IPv4 的IP位址能继续作用，而能利用同样的IP位址到处漫游。它能确保行动装置在移动过程中能够不改变目前现有的网路位址，不中断连接中的网路通讯和不中断正在执行的网路应用。

Mobile IP的运作原理其实很简单，它只用了三个元件：

● Mobile Node （MN）: 它是一台主机或是router，它在网路上的位置是可改变的，但是IP 的位址不变，透过这个IP可以和网路上的任何节点沟通。

● Home Agent （HA）: 它是一台位于Home Network上的router，它可将 HA的封包传送到 MN，而且可保留给 MN 的讯息。

● Foreign Agent（FA）：它是一台位于Foreign Network 网域上的router，在MN 注册时提供Routing的服务。它可将从HA 传送过来的封装（Tunnelling）封包解开然后再传送此封包给 MN。

Mobile IP运作原理

这个部分描述在 Mobile IP 的机制下，MN、HA、和FA三者间是如何互动。首先当MN接上网路时，系统需判断MN 的位置是位于 HA 或者是 FA 上， MN可以藉由收听局部的广播或是主动送出讯息给 HA。若是MN 收到由 HA 传来的广播，则表示它是位于 Home Network上，那么只要经由原来的 IP 选择路径就可以了。若是MN 是位于Foreign Network 上，则可以在此Foreign Network 上取得一个IP 位址称为Care-of-Address，之后再向它的HA 注册，Care-of-Address 是MN漫游至其他网路之暂时网路位址。取得Care-of-Address 的方法有两种，一是由FA 指定，另一种是藉由DHCP 通讯协定取得一个动态位址，此时MN 就是自己的 FA。

在MN 和HA连接上之后，当网路上有另一台主机要传送封包给MN， HA 会先接收这些封包，之后再将封包封装（Tunneling）传送到FA ，最后由FA 将封包解开（De -tunneling）传送给MN。

接下来说明 Mobile IP 运作的主要三个流程：discovering Care-of-Address、注册Care-of-Address 和封装 Care-of-Address，请参考(图一)。

《图一 Mobile IP 运作的流程》

Discovering Care-of-Address

若是MN 不在Home Network 时，HA 和FA 在每隔固定时间会发出Care-of-Address的封包给每个主机，这时在此网域上若有存在MN 的话，它就可以取得Care-of-Address 。如果 MN 是位于 Home network 时就不需要 Care-of-Address了，因为它可以直接使用Home Network所提供的 IP 位址。其实MN 也可以主动送出封包来侦测Home Network 或 Foreign Network 是否存在，在当MN 已经隔一段时间都没有收到任何封包时，我们可以假设它目前已经不在 FA的区域了。

Registering Care-of-Address

在MN取得 Care-of-Address 后还不能马上使用它，必须等到HA 同意后才可使用。 HA 会通知 FA 是否同意使用Care-of-Address，再由 FA把结果通知 MN。

在注册过程中有三个重要元素：Home Address、Care-of-Address和 Registration Lifetime，这三者过程的连结称为 Binding。当注册成功时 binding 就产生了，而且binding 是有期限限制的。当超过期限时就必须重新注册，重新取得binding。为了安全起见，重新 binding 后必须再重新注册作认证。 Mobile IP 的认证机制是当 HA 和 MN 有相同的金钥时才表示认证通过。此种认证机制是使用Message Digest 5 - MD5 编码，因为只有128 bits 容易被破解，需要再加入一个特别的识别码，这个识别码需要是独一无二的，所以我们可以使用时间来作为这个识别码。 HA 和 MN 在传输时需要互相对时才可。在认证通过之后就可以开始传送资料了。

Tunneling Care-of-Address

将传送到Home Network的封包经由 Foreign Network在传送到 MN，在这过程中可使用封装技术（Encapsulate）。当 HA 收到封包后在封包前面加了一个新的 Header，原本的Header 保持不变，如此可以保持原本IP 层而不需更动其它的电脑设定。当 FA 收到后再将加上去的 Header 删除，传送给MN。如此MN就可以收到从HA传来的讯息，完成Mobile IP 的所有动作。

目前 Mobile IP 的应用

Mobile IP 的发展相当缓慢，Mobile IPv4早在1996已完成制订工作，IPv6的修订工作也持续在进行着。台湾目前还没有Internet业者提供Mobile IP的服务，主要原因是IP的服务和应用并不明确，目前主要还是以行动式装置结合笔记型电脑或是PDA以非固定IP上网。由于无线区域网路的快速发展，目前有Wireless LAN 和 Mobile IP结合成为产品的趋势。

《图二 Mobile IP运作示意图》

在工研院电通所方面，目前针对IEEE 802.1x与Mobile IP两个标准在Public WLAN环境下的整合，提供安全无缝式漫游所需的state machine的整合及金钥管理的整合，主要目标为「快速的认证流程」及「共用金钥管理机制」。

IEEE 802.1x标准提供link layer的port control的功能，大概的做法是使用EAP-TLS及RADIUS两协定，将使用者（MN）的相关认证资讯传给后端的认证伺服器（AAA Server），并提供MN、Access Point及AAA Server简单的金钥管理机制。当MN收到FA的广播讯号，便开始进行与HA的注册动作，此时的安全机制建立于已事先分配的share secret讯息完整信保护，其中share secret并无专属的分配机制。本子系统将会整合EAP的认证流程及Mobile IP的注册流程，达成快速认证流程的目标，在share secret分配方面会以EAP-TLS的金钥产生机制，达成动态分配share secret的目标。

EAP-TLS是用于以凭证为基础的安全性环境。这个方法提供强大的验证和金钥判定方法。 EAP-TLS 提供用户端和验证伺服器，尤其是和「远端验证拨号使用者服务」（RADIUS）伺服器之间的相互验证功能、加密方法交涉功能，以及加密金钥判定功能。

Mobile IP 未来的发展趋势

目前全球发展行动上网服务（Mobile Internet Service）的主要瓶颈是整体产业仍处于尚未整合状态，且产业本身价值链过于冗长，并有太多的规格标准，不但令国内、外业者无法集中力量发展，也间接阻碍了新内容的开发与新应用的普及。

基于未来行动装置的大量出现，使用IP位址的大量需求使得原本的IPv4已不敷使用，所以将来的行动装置内只要是有IPv6内建Mobile IP的支援，就有Mobile IP 的功能。 Mobile IP 的目标是要达成可携带性和无缝式漫游，让上网者在无线网路环境下也能享受像是在有线环境下的快速上网，但目前Mobile IP在讯息交换的速度上仍无法满足较快速的移动环境，所以在效能方面仍受到不少质疑。

为解决Mobile IP 的效能问题，IETF目前正朝着制订阶层式架构和快速换手的标准着手。主要作法是藉由Mobile Note的区域注册，透过预先注册和延后注册来加速移动讯息的交换，避免MN需经常至HA重新注册的困扰。

在未来的应用上，行动装置将会内建Mobile IP协定堆叠，像是笔记型电脑、PDA、手机、手机设备都将具备Mobile IP 的功能。在无线通讯网路设备方面，像是3GPP和2GPP2都提供Mobile IP的服务，所以GPRS、UMTS等网路设备也将有Mobile IP 的功能。目前国内厂商亦有将Mobile IP与无线区域网路设备结合的趋势，让行动装置透过Access Point与Mobile IP功能相结合。这些发展使得Mobile IP 的服务和应用是可预期的。