3G移动通信系统将是一个能综合实时业务、非实时业务、宽带业务、窄带业务的网络,能够满足多媒体和视频业务发展的需求。同时,业务承载网应提高安全性并能够提供服务质量保证。因此,3G移动通信系统应同时拥有Internet和电信网的一系列特性。目前,移动设备越来越多,这些设备同时也提出了连接Internet的需求。IPv6不但有足够多的地址分配给这些移动设备。而且利用IPv6的地址自动配置、地址体系结构能使移动通信变得更加简单。同时,移动用户在跨网络随意移动和漫游过程中使用基于TCP/IP的网络时,并不希望随时手动或自动修改移动设备的IP地址,而是希望继续使用原有的IP地址,并享有原网络中的一切权限和服务。因此,移动IPv6技术成为不可分割的一部分,特别是在未来3G网络的建设中,移动IPv6技术将成为移动运营商必须做出选择的一项重要技术。
1、移动IPv6技术简介
1996年IETF公布了第一个移动IPv6草案,到2004年初IPv6主机移动协议草案已经发展到了第24号版本,并于2004年6月发布的RFC3775成为第一个移动IPv6标准。移动IPv6利用IPv6自动配置、优化的报头和扩展选项,简化了主机移动协议的设计,解决了移动IPv4入口过滤、三角路由等问题,并降低了网络开销,提高了工作性能。
(1)移动IPv6的组成
图1显示出了移动IPv6的各个组成部分。
图1 移动IPv6的组成
移动IPv6与移动IPv4一样,同样存在家乡链路(Home Link)和外地链路(Foreign Link)。家乡链路就是具有本地子网前缀的链路,移动节点使用本地子网前缀创建家乡地址(Home Address)。外地链路就是非移动节点家乡链路的链路,外地链路具有外地子网前缀,移动节点使用外地子网前缀创建转交地址(Care-of Address)。移动IPv6的家乡地址就是移动节点在家乡链路时所获得的地址,无论移动节点位于IPv6互联网中的哪个位置,移动节点的家乡地址总是可到达的。移动IPv6的转交地址是移动节点位于外地链路时所使用的地址,由外地子网前缀和移动节点的接口ID组成。移动节点可以同时具有多个转交地址,但只有一个转交地址可以在移动节点的家乡代理(Home Agent)中注册成为主转交地址。 {{分页}}
与移动IPv4不同,在移动IPv6中只有家乡代理的概念,而取消了外地代理。移动节点的家乡代理是家乡链路上的一台路由器,主要负责维护离开本地链路的移动节点以及这些移动节点所使用的地址信息。如果移动节点位于家乡链路,则家乡代理的作用与一般的路由器一样,它将目的地为移动节点的数据包正常转发给移动节点;当移动节点离开家乡链路时,则家乡代理将截取发往移动节点家乡地址的数据包,并将这些数据包通过隧道发往移动节点的转交地址。
对端节点就是与离开家乡的移动节点进行通信的IPv6节点,对端节点可以是一个固定节点,也可以是一个移动节点。
(2)移动IPv6的工作原理
移动节点总是希望通过其家乡地址寻址,无论该节点是否连接在家乡链路。因此,我们分两种情况分析移动IPv6的基本工作原理。
移动节点连接在家乡链路时
当移动节点在家乡时,发送至家乡地址的数据包使用传统的互联网路由机制路由至移动节点的家乡链路,其工作方式与任何固定的主机和路由器的工作方式一致,无需赘述。
移动节点离开家乡链路连接到某外地链路时
移动节点移动到外地时,其工作过程如下。
a.采用IPv6定义的地址自动配置方法得到外地链路上的转交地址。
b.移动节点将它的转交地址通知给家乡代理。移动节点的转交地址和家乡地址的映射关系称为一个“绑定”。移动节点通过绑定注册过程把自己的转交地址通知给位于家乡网络的家乡代理(HA)。
c.如果可以保证操作时的安全性,移动节点也将它的转交地址通知几个对端节点。
d.不知道移动节点转交地址的对端节点送出的数据包和移动IPv4一样进行路由,它们先被路由到移动节点的本地网络,从那里家乡代理再将它们经过隧道送到移动节点的转交地址。
e.知道移动节点转交地址的对端节点送出的数据包可以利用IPv6选路报头直接送给移动节点,选路报头将移动节点的转交地址作为一个中间目的地址。
f.在相反方向,移动节点送出的数据包采用特殊的机制被直接路由到它们的目的地。然而,当存在入口方向的过滤时,移动节点可以将数据包通过隧道送给家乡代理,隧道的源地址为移动节点的转交地址。
2、移动IPv6的安全性
移动IPv6提供了许多安全特性。其中包括对家乡代理和对端节点的绑定更新保护、移动前缀发现保护和移动IPv6使用的数据包传输机制的保护。然而,移动IP必须面对所有无线网络所固有的安全威胁。此外,移动IPv6协议通过定义移动节点、家乡代理和对端节点之间的信令机制,在实现了三角路由优化的同时,也引入了新的安全威胁。目前,移动IPv6可能遭受的攻击主要包括拒绝服务攻击、重放攻击以及信息窃取攻击。 {{分页}}
针对重放攻击,移动IPv6协议在注册消息中添加了序列号,并且在协议报文中引入了时间随机数(Nonce)。家乡代理和对端节点可以通过比较前后两个注册消息序列号,并结合Nonce的散列值,来判定注册消息是否为重放攻击。若消息序列号不匹配,或Nonce散列值不正确,则可视之为过期注册消息,不予以处理。
移动节点和家乡代理之间可以建立IPsec安全联盟来保护信令消息和业务流量。由于移动节点的归属地址和家乡代理都是已知的,可以预先为移动节点和家乡代理配置安全联盟,然后使用IPsec AH和ESP建立安全隧道,提供数据源认证、完整性检查、数据加密和重放攻击防护。
移动IPv6协议定义了往返可路由过程(RRP,Return Route ability Procedure)。通过产生绑定管理密钥,来实现对移动节点和对端节点之间控制信令的保护。