home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / mobileip / mobileip-minutes-94feb.txt < prev    next >
Text File  |  1994-06-07  |  16KB  |  350 lines
  1.  
  2. INTERIM_MEETING_REPORT_
  3.  
  4. Reported by Alan Quirt/Bell Northern Research
  5.  
  6. Minutes of the IP Routing for Wireless/Mobile Hosts Working Group
  7. (MOBILEIP)
  8.  
  9. An interim meeting of the Mobile IP Working Group was held at Qualcomm
  10. in San Diego, Monday and Tuesday 21-22 February 1994.
  11.  
  12. These minutes mainly summarize the decisions of the meeting.  It is not
  13. practical to report all the discussion, but where it was lengthy some of
  14. the main alternatives are mentioned.
  15.  
  16.  
  17. Goal of the Meeting
  18.  
  19. The goal is to complete the Internet-Draft for Mobile IP, with group
  20. consensus, and publish it promptly after the meeting.  This draft, with
  21. any changes resulting from discussion through the mailing list, should
  22. be presented to IETF in Seattle in late March, for the standards track.
  23.  
  24. (An alternative was to issue an immediate Experimental RFC for Mobile
  25. IP, planning to enter the standards track next year.  This was rejected
  26. because it would delay the final standard.  Implementation can proceed
  27. just as soon based on an Internet-Draft.)
  28.  
  29.  
  30. Administrative Matters
  31.  
  32. Our editor, Charlie Kunzinger, has resigned.  (Thanks, Charlie, for your
  33. hard work.)  Bill Simpson, our new editor, hopes to have the meeting
  34. draft out by 5 March.
  35.  
  36. The editor and chairman will obtain a well-known UDP port number for
  37. control messages, an IP protocol number for encapsulation, and two
  38. multicast addresses for beacons and solicitation.
  39.  
  40. (Several attempts were made to reopen the question of using ICMP for
  41. beacon and solicit messages, but many felt that old issues should not be
  42. reopened.  UDP supporters emphasized ease of implementation on top of
  43. existing commercial protocol stacks.)
  44.  
  45. Charlie Perkins brought to our attention United States Patent 5,159,592
  46. which was filed by him in October 1990 and assigned to IBM. It describes
  47. a method of issuing temporary IP addresses from a pool, and a gateway
  48. for wireless mobile hosts.  Several earlier patents are cited in it.  It
  49. could have some impact on the current Mobile IP design.  Charlie agreed
  50. to investigate whether IBM will make the patent available ``for a
  51. reasonable fee, on a nondiscriminatory basis.''
  52.  
  53.  
  54. Security
  55.  
  56.  
  57. Because of recent widespread passive attacks via the Internet, security
  58. was a major topic of the meeting, and strongly influenced other areas.
  59. Wireless operation may increase eavesdropping risk, but the wired
  60. Internet can no longer be trusted much more.
  61.  
  62. We quickly agreed that the privacy of message content is a separate
  63. end-to-end issue, outside the scope of Mobile IP. We will use the IP
  64. Security Protocol and its successors when they are available.  Our
  65. security goal is to ensure that our protocols do not give outsiders any
  66. easy way to redirect a mobile host's traffic.  We must also ensure that
  67. we do not depend on information that would be hidden by IP security.
  68.  
  69. The meeting agreed that the minimum acceptable security must include a
  70. way for a mobile host and its home agent to authenticate each other's
  71. messages.  Today this can be done most easily using a strong hash
  72. function such as MD5, with a manually configured shared secret key.
  73.  
  74. This allows only authentication of messages between the mobile and its
  75. home agent, including the important case of passing a binding (a pairing
  76. of a mobile with a care-of address) from the mobile to the home agent.
  77. It is no help in authenticating the messages between mobile and foreign
  78. agents that were necessary to establish the binding.  Sometimes there
  79. will be methods outside of Mobile IP to increase the security of those
  80. messages, such as the authentication protocols in recent wireless
  81. standards.  If stronger security is essential, secret keys can be
  82. manually configured between mobiles or home agents and the foreign
  83. agents that they use.
  84.  
  85. (A clever scheme presented by John Zao (see mailing list Mobile IP 831)
  86. offered a way of creating session keys, but could not fully authenticate
  87. foreign agents.  It also perhaps increased the exposure of the shared
  88. secret between home and mobile.  The consensus was to not use this
  89. scheme in its present form.)
  90.  
  91. Here and throughout, public key certificates would allow easier
  92. authentication of all parties in Mobile IP, and secure distribution of
  93. shared session keys.  However, patent and export control issues are
  94. delaying the creation of an Internet key management system.  The
  95. consensus was that we needed a practical level of security now, with
  96. provision for easy extension once a key management system is available.
  97.  
  98. The following list of points was suggested for Mobile IP security.  Most
  99. items seemed to be generally acceptable, but the meeting did not
  100. formally adopt the list.
  101.  
  102.  
  103.   1. Algorithm-independent support for keyed cryptographic checksums or
  104.      digital signatures for authentication.  This requires
  105.      authentication fields in type/length/value format, where the type
  106.      indicates algorithm.  For now, both the algorithm and key can be
  107.      manually configured.  Later, a list of supported algorithms will
  108.      need to be sent in an initial setup message, and negotiate the
  109.      algorithm to be used.
  110.  
  111.   2. Mobile host and home agent must support at least MD5 with 128-bit
  112.      keys using manual key distribution.  These keys must be supplied,
  113.      but default values might be acceptable in some controlled
  114.      environments.
  115.  
  116.   3. Foreign agents must support at least MD5 with 128-bit keys using
  117.      manual key distribution.  Such keys are configured on a per-mobile
  118.      basis.  Agents are allowed to serve mobiles with which they do not
  119.      share a key.
  120.  
  121.   4. All registration messages must be authenticated whenever a shared
  122.      key exists between the parties.  This implies that all messages
  123.      between mobiles and their home agents must be authenticated.
  124.  
  125.   5. The sequence number field in existing messages should be extended
  126.      to 64 bits to allow optional use of time stamps in NTPv3 format,
  127.      for increased security against replay attacks.
  128.  
  129.   6. It would be helpful in the long term to add a ``home agent'' record
  130.      to the Domain Name Service.  Today such records would not be
  131.      believable, but with a future DNS that enforces authentication,
  132.      they would be a handy way to get or check a mobile to home agent
  133.      binding.
  134.  
  135.   7. Fields that must be covered by an authentication checksum include:
  136.      type, op-code, addresses and address-lengths, service-life,
  137.      binding-life, sequence number, and perhaps IP options.
  138.  
  139.   8. We need at least one new reply code:  ``Service Denied,
  140.      Administratively Prohibited.''
  141.  
  142.   9. Because key management is harder for them, foreign agents should be
  143.      lightweight.  They should take few actions on their own.  For
  144.      example, they should never revoke a binding to a previous foreign
  145.      agent on their own.  They may forward registrations or revocations
  146.      from the mobile or the home agent, either of which might be able to
  147.      authenticate the request.
  148.  
  149.  10. There should be only one binding lifetime, applying to both home
  150.      and foreign agents.  A value of zero for any lifetime should mean
  151.      that the binding is denied or revoked.  A value of all-one-bits
  152.      should indicate an indefinite lifetime.
  153.  
  154.      (There was considerable discussion of how many binding lifetimes
  155.      are needed.  Should a mobile's binding to a foreign agent have just
  156.      one binding-lifetime at both home and foreign agents, or should it
  157.      have two?  If there is only one lifetime, all (re)registrations
  158.      must go to both the foreign and home agents.  That increases
  159.      traffic, sometimes over a long path.  If there is one lifetime, the
  160.      packet format, the protocol, and time-out handling are simpler.  As
  161.      no clear resolution was reached, the provision for separate
  162.      time-outs in the December draft will presumably be kept.)
  163.  
  164.  11. There may be situations where a mobile wishes to tunnel all of its
  165.      outgoing packets back through the home agent, to conceal its
  166.      location from outsiders.  The present protocol does not support
  167.      reverse tunnels, but it would be easy to add later.
  168.  
  169.  
  170. Routing Optimization
  171.  
  172. The meeting reluctantly agreed that:
  173.  
  174.  
  175.    o The ``weak security'' model proposed in earlier drafts is
  176.      unacceptable in the new, harsher Internet environment, and
  177.  
  178.    o Stronger security is impractical without a key distribution
  179.      service.  All routing optimization will be removed from the base
  180.      protocol.
  181.  
  182.  
  183. Dave Johnson, Andrew Myles, and Charlie Perkins agreed to edit a
  184. separate RFC defining experimental extensions to Mobile IP for routing
  185. optimization.  They will include strong authentication for use where
  186. suitable key distribution is available.  There will also be warnings of
  187. the security risks involved in accepting unauthenticated routing
  188. optimization messages.
  189.  
  190. Separating the routing optimization will make the base document shorter
  191. and easier to read.  The optimization may or may not be folded in at a
  192. later date.  Either way it is intended to become an official part of the
  193. standard once Internet key management makes it practical to authenticate
  194. routing messages.  Meanwhile the experimental protocol can be used in
  195. safe isolated networks to gain experience.
  196.  
  197. [Comment that had to be preserved:  It is painful to have your packets
  198. trapped in a route canal :-)]
  199.  
  200.  
  201. Encapsulation
  202.  
  203. The encapsulation method for complete IP packets will be based on the
  204. IMHP scheme, which adds only 12 bytes of header to each packet (only 8
  205. bytes if the original sender is the tunnel source).  The header for
  206. fragments will include full IP header information; this can probably be
  207. treated as a variant of the IMHP encapsulation protocol rather than a
  208. separate protocol.  Only IP packets are handled.
  209.  
  210. (A warning was given, based on experience, that multiple encapsulation
  211. should be avoided.  It creates a risk of recursive encapsulation when a
  212. routing loop occurs.  Based on this warning, it may not be a good idea
  213. to re-encapsulate other protocols already tunnelled inside IP.)
  214.  
  215.  
  216. Multiprotocol Encapsulation
  217.  
  218. Some people need to tunnel a protocol such as IPX or AppleTalk all the
  219. way to a mobile host.  The foreign agent cannot be the end of the tunnel
  220. because it does not know the other protocols (though it may be involved
  221. for billing and beaconing), so the mobile must obtain a temporary IP
  222. address using DHCP or some other means.  The encapsulation protocol
  223. could be GRE or something equivalent.  The relationship between this
  224. multiprotocol encapsulation and Mobile IP has not been worked out.
  225.  
  226.  
  227. ``Pop-ups''
  228.  
  229. Pop-ups are mobile hosts that ``pop up'' on a remote subnet that has no
  230. foreign agent.  They obtain a temporary address by any available means
  231. (such as DHCP or manual assignment) then act as their own foreign agent.
  232. They use normal Mobile IP protocols to the home agent.  Because they
  233. share a secret key with the home agent, their messages can be
  234. authenticated.
  235.  
  236. (There would be advantages to eliminating foreign agents as tunnel
  237. endpoints.  Protocols and authentication would be simpler, and it would
  238. be easier to tunnel non-IP protocols.  However, a pool of available
  239. mobility addresses would be needed for every subnet.  Foreign agents are
  240. also essential for beaconing, and useful for packet redirection when
  241. routing optimization is used.  In commercial networks they might be
  242. involved in billing.  The consensus was that foreign agents as currently
  243. defined are essential today to conserve address space, but their role
  244. should be reconsidered after IPng is deployed.)
  245.  
  246.  
  247. Ad-hoc Networking
  248.  
  249. Several mobile hosts (typically with wireless networking support) may be
  250. near each other but not near a wired network.  A suggested solution is
  251. to simply let a mobile host respond to an ARP request, without concern
  252. for matching high order address bits, in that situation.
  253.  
  254.  
  255. Multiple Agents
  256.  
  257. A mobile could potentially have multiple home agents if several routers
  258. into its home subnet were capable of acting as home agents.  For greater
  259. robustness the mobile might maintain a list of home agent addresses,
  260. each with a secret key for authentication.  However, only one such agent
  261. would normally be active at a time.  (This is a complex area needing
  262. more design work.  For example, Mobile IP does not define any mechanisms
  263. by which multiple home agents can properly synchronize their state.)
  264.  
  265. Since registration with a foreign agent and revoking a previous
  266. registration are separate operations, a mobile could be served by more
  267. than one foreign agent at a time.  This would allow softer handoff when
  268. a mobile is moving from one wireless coverage area to another.  To
  269. support this feature, the home agent would have to maintain a list of
  270. active foreign agents for each mobile, and forward each packet to all of
  271. them.  Existing higher layer protocols should be capable of eliminating
  272. any duplicate or reordered packets that the mobile receives.
  273.  
  274.  
  275. Agent Advertisement
  276.  
  277. It was agreed that the beaconing and solicitation parts of Mobile IP
  278. would be modeled very closely on the existing router advertisement
  279. protocol, including a name change from beaconing to advertisement.
  280. However, the actual protocol will be new, because different information
  281. is needed in the messages, and because we use UDP not ICMP.
  282.  
  283. Both home and foreign agents may advertise similarly.  If an agent has
  284. multiple addresses, only one will be advertised.
  285.  
  286. (Some felt that home agents should not advertise.)
  287.  
  288.  
  289. Returning Home
  290.  
  291. It was agreed that on returning to its home address, a mobile need not
  292. specifically register with its home agent.  As soon as the mobile has
  293. revoked all foreign registrations, the home agent should cease
  294. forwarding packets addressed to the mobile, and should use a gratuitous
  295. ARP on the mobile's behalf to clear obsolete ARP caches.
  296.  
  297.  
  298. Higher Layers
  299.  
  300. There should be an appendix with hints for higher layer protocols in a
  301. mobile environment; for example, there should be a way to configure
  302. longer default time-outs.
  303.  
  304.  
  305. Mobile Subnets
  306.  
  307. There was some discussion of the possibility that a registration might
  308. represent the location of a whole subnet (where a subnet is the thing
  309. you get by combining a netmask and an address) that moves together,
  310. perhaps on an airplane or a ship.  It was suggested that we try to find
  311. a good way to express this situation.  It may affect only registration
  312. messages.
  313.  
  314.  
  315. Detailed Study of Draft
  316.  
  317. All of Tuesday afternoon was spent on a section-by-section examination
  318. of the existing draft, in the light of the earlier decisions.  With the
  319. elimination of route optimization, many sections were dropped.  Since
  320. the revised draft will be available shortly after these minutes, no
  321. details are recorded here.
  322.  
  323.  
  324. Attendees
  325.  
  326. Kannan Alagappan         kannan@sejour.lkg.dec.com
  327. Randall Atkinson         atkinson@itd.nrl.navy.mil
  328. Stephen Deering          deering@parc.xerox.com
  329. Pierre Dupont            dupont@mdd.comm.mot.com
  330. Richard Fox              rfox@metricom.com
  331. Scott Hinnrichs          smh@netserv.com
  332. David Johnson            dbj@cs.cmu.edu
  333. Phil Karn                karn@qualcomm.com
  334. Charles Kunzinger        kunzinger@vnet.ibm.com
  335. Tony Li                  tli@cisco.com
  336. Gabriel Montenegro       Gabriel.Montenegro@eng.sun.com
  337. Andrew Myles             andrew@mpce.mg.edu.au
  338. Sanjiv Nanda             nanda@hocus.att.com
  339. Steve Parker             sparker@ossi.com
  340. John Penners             jpenners@advtech.uswest.com
  341. Charles Perkins          perk@watson.ibm.com
  342. Alan Quirt               aquirt@bnr.ca
  343. Joel Short               jshort@CS.UCLA.EDU
  344. William Simpson          bsimpson@morningstar.com
  345. Jim Solomon              solomon@comm.mot.com
  346. Fumio Teraoka            tera@csl.sony.co.jp
  347. John White               jccw@mitre.org
  348. John Zao                 zao@das.harvard.edu
  349.  
  350.