3G移動通信系統(tǒng)將是一個能綜合實時業(yè)務、非實時業(yè)務、寬帶業(yè)務、窄帶業(yè)務的網(wǎng)絡,能夠滿足多媒體和視頻業(yè)務發(fā)展的需求。同時,業(yè)務承載網(wǎng)應提高安全性并能夠提供服務質(zhì)量保證。因此,3G移動通信系統(tǒng)應同時擁有Internet和電信網(wǎng)的一系列特性。目前,移動設(shè)備越來越多,這些設(shè)備同時也提出了連接Internet的需求。IPv6不但有足夠多的地址分配給這些移動設(shè)備。而且利用IPv6的地址自動配置、地址體系結(jié)構(gòu)能使移動通信變得更加簡單。同時,移動用戶在跨網(wǎng)絡隨意移動和漫游過程中使用基于TCP/IP的網(wǎng)絡時,并不希望隨時手動或自動修改移動設(shè)備的IP地址,而是希望繼續(xù)使用原有的IP地址,并享有原網(wǎng)絡中的一切權(quán)限和服務。因此,移動IPv6技術(shù)成為IPv6協(xié)議不可分割的一部分,特別是在未來3G網(wǎng)絡的建設(shè)中,移動IPv6技術(shù)將成為移動運營商必須做出選擇的一項重要技術(shù)。
1、移動IPv6技術(shù)簡介
1996年IETF公布了第一個移動IPv6草案,到2004年初IPv6主機移動協(xié)議草案已經(jīng)發(fā)展到了第24號版本,并于2004年6月發(fā)布的RFC3775成為第一個移動IPv6標準。移動IPv6利用IPv6自動配置、優(yōu)化的報頭和擴展選項,簡化了主機移動協(xié)議的設(shè)計,解決了移動IPv4入口過濾、三角路由等問題,并降低了網(wǎng)絡開銷,提高了工作性能。
(1)移動IPv6的組成
移動IPv6與移動IPv4一樣,同樣存在家鄉(xiāng)鏈路(Home Link)和外地鏈路(Foreign Link)。家鄉(xiāng)鏈路就是具有本地子網(wǎng)前綴的鏈路,移動節(jié)點使用本地子網(wǎng)前綴創(chuàng)建家鄉(xiāng)地址(Home Address)。外地鏈路就是非移動節(jié)點家鄉(xiāng)鏈路的鏈路,外地鏈路具有外地子網(wǎng)前綴,移動節(jié)點使用外地子網(wǎng)前綴創(chuàng)建轉(zhuǎn)交地址(Care-of Address)。移動IPv6的家鄉(xiāng)地址就是移動節(jié)點在家鄉(xiāng)鏈路時所獲得的地址,無論移動節(jié)點位于IPv6互聯(lián)網(wǎng)中的哪個位置,移動節(jié)點的家鄉(xiāng)地址總是可到達的。移動IPv6的轉(zhuǎn)交地址是移動節(jié)點位于外地鏈路時所使用的地址,由外地子網(wǎng)前綴和移動節(jié)點的接口ID組成。移動節(jié)點可以同時具有多個轉(zhuǎn)交地址,但只有一個轉(zhuǎn)交地址可以在移動節(jié)點的家鄉(xiāng)代理(Home Agent)中注冊成為主轉(zhuǎn)交地址。
與移動IPv4不同,在移動IPv6中只有家鄉(xiāng)代理的概念,而取消了外地代理。移動節(jié)點的家鄉(xiāng)代理是家鄉(xiāng)鏈路上的一臺路由器,主要負責維護離開本地鏈路的移動節(jié)點以及這些移動節(jié)點所使用的地址信息。如果移動節(jié)點位于家鄉(xiāng)鏈路,則家鄉(xiāng)代理的作用與一般的路由器一樣,它將目的地為移動節(jié)點的數(shù)據(jù)包正常轉(zhuǎn)發(fā)給移動節(jié)點;當移動節(jié)點離開家鄉(xiāng)鏈路時,則家鄉(xiāng)代理將截取發(fā)往移動節(jié)點家鄉(xiāng)地址的數(shù)據(jù)包,并將這些數(shù)據(jù)包通過隧道發(fā)往移動節(jié)點的轉(zhuǎn)交地址。
對端節(jié)點就是與離開家鄉(xiāng)的移動節(jié)點進行通信的IPv6節(jié)點,對端節(jié)點可以是一個固定節(jié)點,也可以是一個移動節(jié)點。
(2)移動IPv6的工作原理
移動節(jié)點總是希望通過其家鄉(xiāng)地址尋址,無論該節(jié)點是否連接在家鄉(xiāng)鏈路。因此,我們分兩種情況分析移動IPv6的基本工作原理。
移動節(jié)點連接在家鄉(xiāng)鏈路時
當移動節(jié)點在家鄉(xiāng)時,發(fā)送至家鄉(xiāng)地址的數(shù)據(jù)包使用傳統(tǒng)的互聯(lián)網(wǎng)路由機制路由至移動節(jié)點的家鄉(xiāng)鏈路,其工作方式與任何固定的主機和路由器的工作方式一致,無需贅述。
移動節(jié)點離開家鄉(xiāng)鏈路連接到某外地鏈路時
移動節(jié)點移動到外地時,其工作過程如下。
a.采用IPv6定義的地址自動配置方法得到外地鏈路上的轉(zhuǎn)交地址。
b.移動節(jié)點將它的轉(zhuǎn)交地址通知給家鄉(xiāng)代理。移動節(jié)點的轉(zhuǎn)交地址和家鄉(xiāng)地址的映射關(guān)系稱為一個“綁定”。移動節(jié)點通過綁定注冊過程把自己的轉(zhuǎn)交地址通知給位于家鄉(xiāng)網(wǎng)絡的家鄉(xiāng)代理(HA)。
c.如果可以保證操作時的安全性,移動節(jié)點也將它的轉(zhuǎn)交地址通知幾個對端節(jié)點。
d.不知道移動節(jié)點轉(zhuǎn)交地址的對端節(jié)點送出的數(shù)據(jù)包和移動IPv4一樣進行路由,它們先被路由到移動節(jié)點的本地網(wǎng)絡,從那里家鄉(xiāng)代理再將它們經(jīng)過隧道送到移動節(jié)點的轉(zhuǎn)交地址。
e.知道移動節(jié)點轉(zhuǎn)交地址的對端節(jié)點送出的數(shù)據(jù)包可以利用IPv6選路報頭直接送給移動節(jié)點,選路報頭將移動節(jié)點的轉(zhuǎn)交地址作為一個中間目的地址。
f.在相反方向,移動節(jié)點送出的數(shù)據(jù)包采用特殊的機制被直接路由到它們的目的地。然而,當存在入口方向的過濾時,移動節(jié)點可以將數(shù)據(jù)包通過隧道送給家鄉(xiāng)代理,隧道的源地址為移動節(jié)點的轉(zhuǎn)交地址。
2、移動IPv6的安全性
移動IPv6提供了許多安全特性。其中包括對家鄉(xiāng)代理和對端節(jié)點的綁定更新保護、移動前綴發(fā)現(xiàn)保護和移動IPv6使用的數(shù)據(jù)包傳輸機制的保護。然而,移動IP必須面對所有無線網(wǎng)絡所固有的安全威脅。此外,移動IPv6協(xié)議通過定義移動節(jié)點、家鄉(xiāng)代理和對端節(jié)點之間的信令機制,在實現(xiàn)了三角路由優(yōu)化的同時,也引入了新的安全威脅。目前,移動IPv6可能遭受的攻擊主要包括拒絕服務攻擊、重放攻擊以及信息竊取攻擊。
針對重放攻擊,移動IPv6協(xié)議在注冊消息中添加了序列號,并且在協(xié)議報文中引入了時間隨機數(shù)(Nonce)。家鄉(xiāng)代理和對端節(jié)點可以通過比較前后兩個注冊消息序列號,并結(jié)合Nonce的散列值,來判定注冊消息是否為重放攻擊。若消息序列號不匹配,或Nonce散列值不正確,則可視之為過期注冊消息,不予以處理。
移動節(jié)點和家鄉(xiāng)代理之間可以建立IPsec安全聯(lián)盟來保護信令消息和業(yè)務流量。由于移動節(jié)點的歸屬地址和家鄉(xiāng)代理都是已知的,可以預先為移動節(jié)點和家鄉(xiāng)代理配置安全聯(lián)盟,然后使用IPsec AH和ESP建立安全隧道,提供數(shù)據(jù)源認證、完整性檢查、數(shù)據(jù)加密和重放攻擊防護。
移動IPv6協(xié)議定義了往返可路由過程(RRP,Return Route ability Procedure)。通過產(chǎn)生綁定管理密鑰,來實現(xiàn)對移動節(jié)點和對端節(jié)點之間控制信令的保護。
來源:網(wǎng)界網(wǎng)