（计算机应用技术专业论文）移动ipv6的安全机制.pdf

山东科技大学硕士学位论文摘要 摘要 未来移动通信与互联网的结合将是网络发展的大趋势之一。移动互联网将成为日常 生活的一部分。移动互联网不仅仅是移动接入互联网，它还提供一系列以移动性为核心 的多种增值服务，如查询本地化信息、远程控制工具及购物付款等。作为正在逐步取代 i p v 4 协议的下一代网络层协议，i p v 6 协议提供了对移动互联网接人的更好的支持，即移 动i p v 6 技术。它的主要设计目标是当移动节点在改变网络接人点时不必改变节点原有的 毋地址就能够在移动过程中保持通信的连续性。这是移动技术和口协议的深层融合，也 是对现有通信方式的深刻变革。移动口技术能够让用户在漫游的过程中自由的实现 i n t e r n e t 接人并得到个性化的内容服务。在3 g 标准i m t 2 0 0 0 中已明确规定第三代移动通 信系统必须支持移动口分组业务。i p v 6 已经成为实现计算机网和通信网结合的一个契 机。 本文基于r f c 3 7 7 5 ( m o b i l ei n t e m e tp r o t o c o lv e r s i o n6 ) ，对移动i p v 6 协议进行了深 入的研究。同时分析了移动i p v 6 技术自身可能带来的安全威胁以及协议所提供的安全机 制，并在基于提高执行效率的思路上提出了对移动i p v 6 中移动节点和家乡代理之间建立 消息验证的安全关联的传统方法的一种改进方案。 关键词：i p v 6 ，移动i p v 6 ，安全，i p s e c ，s a 些查型燕盔兰堡主兰壁堡塞壁矍 a b s t r a c t w i t ht h ei m p r o v e m e n to ft e c h n o l o g y , m o b i l ec o m m u n i c a t i o na n di n t e m e ta r et e n d i n gt o b ec o m b i n e d ，m o b i l en e t w o r kw i l lb ep a r to fo u rd a i l yl i f ei ti sn o to n l ym e a n st oc o n n e c t h a t e r n e tw h e nw ea l em o v i n g ，b u ta l s os u p p l i e sas e r i e so fn e ws e r v i c e sb a s e do nm o b i l i t y s u c ha ss e a r c h i n gl o c a li n f o r m a t i o n ，r e m o t ec o n t r o l l i n gt o o l sa n dp a y m e n t ，e t e a st h en e x t g e n e r a t i o nn e t w o r kl a y e rp r o t o c o lw h i c hd e s i g n e da sas n c c e s s o rt o v 4 i p v 6h a v es o m en e w c h a r a c t e r i s t i c si n c l u d eb e t t e rs u p p o r tf o rm o b i l i t y m o b i l ei p v 6i sp a r to fi p v 6i ti sap r o t o c o l w h i c ha l l o w sn o d e st or e m a i nr e a c h a b l ew h i l em o v i n ga r o u n di nt h ei p v 6i n t e r n e te a c h m o b i l en o d ei sa l w a y si d e n t i f i e db yi t sh o m ea d d r e s s ，r e g a r d l e s so fi t sc u r r e n tp o i n to f a t t a c h m e n tt ot h ei n t e r n e t a c c o r d i n gt oi m t 2 0 0 0 ，e v e r yc o m m u n i c a t i o ns y s t e mm u s ts u p p o r t m o b i l ei pp a c k e ts e r v i c e s i p v 6h a sb e c o m eac h a n c et oc o m b i n ec o m p u t e rn e t w o r ka n d c o m m u n i c a t i o nn e t w o r k t h i sd o c u m e n td e a l sw i t hm o b i l ei p v 6w h i c hi sb a s e do nt h er f c3 7 7 5 ( m o b i l ei n t e r n e t p r o t o c o lv e r s i o n6 ) i nt h ed o c u m e n tw et a l k e da b o u ts o m ep a r t i c u l a rp r o b l e m sa b o u tm o b i l e i p v 6 a n dw ea i s oa n a l y z e dt h es e c u r i t ya r c h i t e c t u r eo fm i p v 6 a tl a s tw et o o ks o m ea d v i c e s t oi m p r o v eo i lt h et r a d i t i o n a lm e t h o di ns e t t i n gu pi p s e es ab e t w e e nm o b i l en o d ea n di t s h o m ea g e n t k e y w o r d s ：i p v 6 ，m o b i l ei p v 6 ，s e c u r i t y ，1 p s e c ，s a 声明 本人呈交给山东科技大学的这篇硕士论文，除了所列参考文献和世所公认 的文献外，全部是本人在导师指导下的研究成果。该论文尚没有呈交于其它任 何学术机关作鉴定。 研究生签名：毛犬翼移 日 期：扣6 印 a f f i r m a t i o n id e c l a r et h a tt h i sd i s s e r t a t i o n ，s u b m i t t e di n f u l f i l l m e n t 。fc h e r e q u i r e m e n t sf o rt h ea w a r do fm a s t e ro f e n g i n e e r i n g ，i ns h a n d 。n 口 u n i v e r s i t yo fs c i e n c ea n dt e c h n o l o g y ，i sw h o l l y m yo w nw o r ku n l e s s r e f e r e n c e do fa c k n o w l e d g e t h ed o c u m e n th a s n o tb e e n s u b m i t t e df 。r q u a l i f i c a t i o na ta n yo t h e ra c a d e m i ci n s t i t u t e s i g n a t u r e ： d a t e ： 孑 岷垫 山东科技大学硕士学位论文绪论 1 绪论 1 1 课题背景 在过去十几年间，以i n t e m e t 为代表的信息网络给人们的生活带来了巨大的变化， i n t e r n e t 已经逐渐成为很多人日常活动中不可缺少的部分。现在人们生活节奏越来越快， 随着移动技术的迅猛发展，手机、笔记本电脑等便携式移动设备大量应用，用户希望在 日常生活和商务环境中能够使用这些设备方便的上网，而且在移动过程中能够保持网络 接人和连续通信。但是由于目前主要是以固定方式接人i n t e r n e t ，而原来的i p v 4 协议对 网络节点的移动性支持不够。巨大的商业需求给网络技术带来了新的机遇，也带来了新 的技术难题。移动p 就是在原来口协议的基础上为了支持节点移动而提出的解决方案。 采用传统口技术的主机在移动到另外一个网段或者子网的时候，由于不同的网段对 应于不同的口地址，用户不能使用原有m 地址进行通信，必须修改主机口地址为所在 子网的口地址，而且由于各种网络设置的限制，用户一般不能继续访问原有网络的资源， 其他用户也无法通过该用户原有的口地址访问该用户。 所谓移动m 技术，是指移动用户在使用基于t c p i p 协议的网络间随意移动和漫游 时，不用修改计算机原来的m 地址就可以继续网络的访问，并享有原网络中相应权限。 为了支持移动m 的标准化工作，邪于1 9 9 6 年提出了移动p 协议标准( 草案) ，并在随 后公布了建议标准( p r o p o s e ds t a n d a r d ) ，到现在已先后进行了两次的更新，相关的技术也 一直处于研究过程中。r f c 文档一经发表，立刻引发了研究移动妒技术的高潮。国外 有美国哥伦比亚大学、纽约大学、卡耐基梅隆大学，新加坡国立大学，日本科学与技 术研究所，瑞典皇家学院以及i b m 、m o t o r o l a 、n o k i a 、s u n 等公司都有相应的工作组针 对移动妒进行研究。在国内也有多家研究院校开展了相关的研究工作，其中以中科院软 件所、清华大学、西安电子科技大学等机构的研究成果较为突出，可以预见，不久的将 来会有更多的研究成果面世。 移动妒技术的使用有着积极的意义，它应用于所有基于t c p i p 网络环境中，它为人 们提供了无限广阔的网络漫游服务。譬如：在用户离开北京总公司，出差到上海分公司 些至壁蔓垄堂堡主兰垡堕苎 一。 苎堡 时只要简单的将移动终端( 便携笔记本电脑、p d a 等所有基于l p 的没备) 连接至分公 司网络上，不需要做其他任何改动，用户就可以享受到与在北京总公司里一样的所有操 作。用户依旧能使用北京总公司的相关打印机，或者可以依旧访问北京总公司同事电脑 里的共享文件及相关数据库资源；诸如此类的种种操作，让用户感觉不到自己身在外地。 作为事实上的工业标准，i p v 4 协议成为i n t e m e t 飞速发展的基础，获得了巨大的成功。 但是随着i n t e r n e t 用户数量的猛增和新的应用需求， p v 4 协议呈现出一些很大的缺陷。 因此早在2 0 世纪9 0 年代初期人们就开始研究下一代口协议。在众多方案中，i p v 6 协议 被认为是现有的i p v 4 协议最可能的替代者并且得到了包括中国在内的许多国家政府的 支持。 未来的网络协议必须要支持移动性，允许主机在不同的m 网段问无缝的漫游。i e t f 的m o b i l ei p 工作组在研究移动i p v 4 的同时投入了大量的精力研究移动1 p v 6 。对于i i 6 协议，移动性已经是其不可缺少的组成部分，所有的1 p v 6 节点必须实现移动i p v 6 定义 的功能。这使得移动p v 6 比移动l p v 4 具有更好的特性。但在网络层实现了网络互联的 同时，移动i p v 6 的应用不应引入新的安全威胁，这是移动i p v 6 设计的原则之一。随着 l p v 6 协议的逐步实施，对移动i p v 6 及其安全机制的研究具有现实的意义。 本论文就是根据r r f 提出的移动i p v 6 标准( 草案) 开展的研究工作，仔细分析了 移动i p v 6 协议的概念、应用以及存在的问题等，并对移动i p v 6 的安全机制进行了着重 的研究。 1 2 论文结构 本论文第一章为序言；第二章概述移动口技术，并且简要介绍移动l p v 4 基本工作过 程；第三章详细介绍了移动i p v 6 技术的工作原理及主要操作过程；第四章着重分析了移 动i p v 6 可用的安全机制并对移动节点与家乡代理之间建立i p s e e 安全关联的传统方法提 出了改进建议。 出了改进建议。 山东科技大学硕士学位论文 移动i p 技术概述 2 移动i p 技术概述 2 1 移动i p 解决的问题 移动m 技术在当前基于网络前缀路由的前提下使主机在不同网络间移动的过程中仍 能保持通信，是一个在i n t e m e t 上基于网络层提供移动支持的解决方案。它主要解决： 移动主机可以通过一个永久的琅地址连接到任何链路上； 移动主机在切换到新的链路上时，仍然能够保持原有的通信。 与改变p 地址、特定主机路由和链路层方案不同，移动口具有扩展性、可靠性和安 全性的优势。它与下层的物理传输介质无关，不需要改变移动主机的永久标识，与现有 的i n t e r n e t 协议兼容，能够与不具有移动口功能的主机进行正常通信。 2 2 移动i p 的设计目标 移动p 的主要设计目标就是移动节点在改变网络接入点时不必改变其m 地址，能在 在移动过程中保持通信的连续性，对上层协议保持透明性，与其他移动节点或不具有移 动口功能的节点能够进行正常的通信。具体来说，移动口协议的设计应满足如下的要 求： 移动节点在改变数据链路层接入点以后，应该能够保持与i n t e r n e t 上其他节点的 连续通信； 移动节点无论连接到任何接入点都能够用原来的地址进行通信； 移动节点应该能够与不具有移动m 功能的其他节点进行通信，并且不需要修改 这些节点的协议。 移动节点不应该比n t e m e t 上的其他节点面临更多的安全威胁。 另外，移动节点经常通过无线链路连接到i n t e r n e t 上，无线链路具有低带宽、高误码 率的特点，因此长消息容易出错。而且大量的移动节点如笔记本电脑等通常由能量有限 的电池供电，因此减少通信中的能量消耗非常重要。所以，设计移动m 时要考虑使移动 节点接人时发送的管理消息数目尽量少，消息的长度应该尽量短。 山东科技大学硕士学位论文移动i p 技术概述 2 3 移动i p 的应用范围 在i n t e m e t 蹲络协议中，网络层协议负责将网络数据正确转发到响应的目的地址，其 主要部分就是路由协议。路由协议通过路由器之间交换路由信息，建立用于转发分组的 路由表，路由器根据接收分组的目的p 地址查找路由表，转发分组到相应的端口。移动 p 技术通过在合适的节点上建立路由表项来实现转发数据分组到在外地链路上的移动主 机处。因此采用移动p 功能的移动主机可以从一个网段移动到另一个网段，甚至从一种 介质的网络移动到另一种介质的网络而同时保持已有连接的通信，这种在不同网络价质 问移动同时保持已有通信的功能是移动p 的重要标志。 作为网络层的一个协议，移动i p 协议与下层数据链路层协议无关，也与物理传输介 质无关。移动p 是支持主机移动的p 分组转发的网络层标准。 2 4 1 移动i p v 4 的基本术语 2 4 移动i p v 4 1 、移动i p 4 的功能实体 ( 1 ) 移动节点( m o b i l en o d e ) ：指从一个网络或子网切换到另一个网络或子网的主机 或者路由器。移动节点可以改变它的网络接人点但不需要改变i p 地址，并且能够使用原 有的i p 地址继续与其他节点通信? ( 2 ) 家乡代理( h o m e a g e n t ) ：指位于移动节点家乡链路( h o m e l i n k ) 上的路由器。 当移动节点离开家乡网络时，它负责把发往移动节点的分组通过隧道转发给移动节点， 并且维护移动节点当前位置的信息。 ( 3 ) 外地代理( f o r e i g n a g e n t ) ：指位于移动节点所访问的网络上的路由器，为注册 的移动节点提供路由服务。它接收移动节点的家乡代理通过隧道发来的报文进行拆封后 发给移动节点；对于移动节点发出的报文，外地代理提供类似默认路由器的服务。 这里的家乡代理和外地代理可以统称为“移动代理”。 4 山东科技大学硕士学位论文移动l p 技术概述 ，i i ；j l ；i i i i i 誊 4 i j 4 “4 。一 7 0 j ”。i ”i ：- 端篡”习 照 “j ”i i| 、国工 图2 1 移动m 功能实体及相互关系 f i g 2 1 f u n c t i o n a le n t i t yi nm o b i l ei p 2 、其他的常用术语 ( 1 ) 家乡地址( h o m ea d d r e s s ) ：指每个移动节点在家乡链路上拥有的一个“长期有 效”的地址。对这种地址的管理类似对固定主机m 地址的管理。 ( 2 ) 转交地址( c a r e o f a d & e s s ) ：当移动节点离开家乡链路后它被赋予的反映其当前 链路接人点的临时地址。 ( 3 ) 家乡网络( h o m e n e t w o r k ) ：与移动节点的家乡地址具有相同前缀的网络，发往 移动节点家乡地址的口分组会被标准的p 路由机制转发到其家乡网络上。 ( 4 ) 家乡链路( h o m el i n k ) ：与移动节点的家乡地址具有相同网络前缀的链路，是 移动节点在家乡网络时的链路。家乡链路比家乡网络更为精确的描述了移动节点在家乡 的位置。 ( 5 ) 外地网络( f o r e i g n n e t w o r k ) ：除移动节点家乡网络之外的任何网络，也就是网 络前缀与移动节点家乡网络前缀不同的网络。 ( 6 ) 外地链路d r e i 印l i n k ) ：家乡链路以外的链路，也就是网络前缀与移动节点家乡 地址网络前缀不同链路。外地链路比外地网络更精确的描述了移动节点移动时的位置。 ( 7 ) 通信对端节点( c o r r e s p o n d e n tn o d e ) ：指与移动节点通信的对等实体，可简称为通 信对端。它可以是移动节点或者位置固定的节点。 ( 8 ) 移动绑定( m o b i l i t y b i n d i n g ) ：指有家乡代理维护的移动节点的家乡地址与转交 地址的关联，它还包括关于关联的剩余生存期等其他信息。 3 、隧道( t u n n e l ) 和转交地址 紫旦一 山东科技大学硕士学位论文 移动i p 技术概述 船i p =“i o i i f j f p 一：! 。y1 0 口0 靠 i t 一百h 。叶? c 一j 、+一一一一一， j 。 “ i i 一* l 、i l 忡，= h c ! ，l c 受互工! 二二二二二互二二二 ”一。1 - 一一j ；j f 、_ 图2 2m 隧道及移动p 中的应用 p i g 2 2 口t m r m e la n di t sa p p l i c a t i o ni nm o b i l ei p 如图2 2 所示，当一个数据分组被封装在另一个数据分组的净荷中进行传送时，所经 过的路径称为隧道。在移动疋中，家乡代理将发送给移动节点的分组通过隧道转发，隧 道的一端是家乡代理，另一端是外地代理或移动节点。 由于采用隧道技术，隧道上的中间路由器看不到移动节点的家乡地址，隧道终点是 移动节点的转交地址，这个转交地址必须是个通过传统的p 路由能够到达的地址，在 这里发往移动节点的分组被取出来分析，以便进一步的处理。 移动i p v 4 提供了外地代理转交地址( f o r e i g na g e n tc a r e - o f a d d r e s s ) 和配置转交地址 ( c o l o c a t e dc a r e - o f a d d r e s s ) 两种类型的转交地址。外地代理转交地址是从外地代理的 代理通告中获得，通常为外地代理的一个口地址。使用这种地址的优点是很多移动节点 可以共享一个转交地址，不会为已经很紧张的i p v 4 地址空间分配带来更多的麻烦。配置 转交地址是通过地址分配机制为移动节点分配的p 地址，地址前缀与目前访问网络的前 缀相同，它可以是通过动态主机配置协议( d h c p ，d y n a m i ch o s tc o n f i g u r a t i o np r o t o c 0 1 ) 动态分配的暂时地址，也可以是移动节点在外地网络上长期使用的永久地址。使用这种 转交地址的优点是移动节点不需要外地代理，但是会给i p v 4 地址空间的分配增加额外的 负担，它要求外地网络预留一些地址供来访的移动节点使用。 2 4 2 移动i p v 4 的基本操作 移动节点在移动到外地网络时如何收到其他节点发送给它的分组以及它如何发送分 组给其他节点呢? 当移动节点连接到外地网络时，按照基于网络前缀的路由机制就不能 正常接收到发送给移动节点家乡地址的分组。为了解决这一问题，移动口提出了家乡地 址、转交地址以及它们之间的绑定的概念，并采用隧道技术作为其数据转发机制。 6 些壅然查茎堡主堂堡笙墨 整垫! 蔓型! ! 垦鲨 下面通过移动节点在移动过程中的几个通信阶段来简单说明移动p 的工作机制。 1 、代理发现( a g e n td i s c o v e r y ) ( 1 ) 家乡代理和外地代理周期性的在若干条它们作为移动代理的链路上组播或 广播称为代理通告( a g e n td i s c o v e r y ) 的消息，通告它们与相应链路的连接关系。 ( 2 ) 移动节点根据收到的代理通告消息判断它是在家乡链路或是在外地链路上。 当连接在家乡链路上时，移动节点像固定节点一样工作，不再利用移动的其他功 能。当移动节点检测到它从家乡链路移动到外地链路、或从一个外地链路移动到新 的外地链路时它就要向家乡代理进行注册。 2 、注册( r e g i s t r a t i o n ) ( 1 ) 当移动节点连接在外地网络时，它需要一个代表它当前所在位置的转交地 址。移动节点可以从外地代理通告消息中获得外地代理转交地址，或通过动态配置 协议d h c p 、手工配置等方法获得配置转交地址。 ( 2 ) 移动主机在获得转交地址后，通过移动p 定义的消息向家乡代理请求注册。 家乡代理确认后，将家乡地址和相应的转交地址存放在绑定缓存中，完成家乡地址 和转交地址的绑定，并向移动节点发送注册应答。 3 、分组路由( p a c k e tr o u t i n g ) ( 1 ) 家乡代理和家乡链路上的其他路由器通过与外地链路上的路由器交换路由 信息，使得发送给移动节点家乡地址的分组被正确转发到家乡链路上。家乡代理通 过a r p ( a d d r e s sr e s o l u t i o np r o t o c 0 1 ) 协议来截取发向移动节点家乡地址的分组。 图2 3 移动i p v 4 的三角路由 f i g 2 3t r i a n g u l a rr o u t i n gp a t hi nm i p v 4 = - q l - = i一一一一4 鳎曼墨墨墨歹 山东科技大学硕士学位论文 移动球技术概述 f 一。 。j _ ，嗣曾= 乏；l f o 蕾叠叠宣= _ 二= _ ：j _ 一 i n 忙m e t 外地代 ” 茹2 扪 重i 二倒端 、一一一一一一 图2 4移动n ：，v 4 的优化路由 。 f i g 2 4o p t i ：m mr o u t i n gp a t hi nm i p v 4 ( 2 ) 家乡代理根据分组的目的地址查找绑定缓存，获得移动节点注册的转交地址 后通过隧道发送分组到移动节点的转交地址。 ( 3 ) 移动节点使用外地网络的路由器作为默认的路由器，它发送的分组通过默认 路由器直接发送给通信对端，无需采用隧道机制。这样，通信对端发送的分组通过 移动节点的家乡代理转发给移动节点，移动节点的分组直接发送给通信对端，形成 如图2 3 所示的基本移动l p v 4 的三角路由现象。三角路由不是优化的路由，优化的 路由如图2 4 所示。 4 、注销( d e r e g i s t e r i n g ) 移动节点根据收到的代理通告消息判断它是否返回道家乡链路上，如果是，则移 动节点直接注册到家乡代理完成注销。注销之后，移动节点和固定节点一样工作。 2 5小结 本节简要介绍了移动m 技术的产生、应用范围及设计目标等问题以及移动i p v 4 的基 本概念和基本操作。并且简要介绍了移动i p v 4 基本工作过程。 山东科技大学硕士学位论文 移动毋v 6 3 移动i p v 6 i p v 6 是下一代的互联网协议，它被认为最终将代替i p v 4 成为互联网的主要网络协议。 未来的网络协议必须要支持移动性，允许主机在不同的网络间无缝隙的漫游。对于i p v 6 协议，移动性已经是其不可缺少的组成部分，所有的i p v 6 节点必须实现移动i p v 6 定义 的功能，可以这么说，移动i p v 6 是对i p v 6 协议提供移动性支持的扩展。 3 1 移动i p v 6 协议 3 1 1 1 1 6 协议的特点 i p v 4 协议易于实现，具有良好的互操作性，经受了从早期小规模互联网络到如今全 球范围的i n t e r n e t 应用的考验，但随着i n t e m e t 的飞速发展，i p v 4 协议出现了地址严重匮 乏以及对网络安全和服务质量支持不够等很多问题，逐渐不能满足目前网络应用及发展 的需求。为此，i e t f 开发了新一代网络协议i p v 6 以彻底解决i p v 4 目前存在的问题，并 且集成了网络安全、服务质量、移动性等内容，使路由器分组处理更简便，协议的扩展 性也更好。 i p v 6 协议具有以下主要特点： ( 1 ) i p v 6 的地址长度。l p v 6 的1 2 8 为地址长度能形成巨大的地址空间，在可预见的 很长一段时期内，它都能够为所有可以想象出的网络设备提供一个全球唯一的p 地址。 ( 2 ) 简化的报头设计。i p v 6 报头设计的原则是尽力降低报头处理开销。具体做法是， 将一些非关键性字段和可选字段移出固定报头，放在其后的扩展报头( e x t e n s i o nh e a d e r ) 中，中间路由器可以简单的跳过扩展报头进行分组处理以提高处理效率。i p v 6 报头的 “n e x th e a d e r 域指向扩展报头，相对i p v 4 而言，增加了第二类路由头( r o u t i n gh e a d e r t y p e2 ) 、移动报头( m o b i l i t yh e a d e r ) 等多个扩展报头。 ( 3 ) i p v 6 可以实现自动配置。i p v 6 支持无状态和有状态两种自动配置地址的方式。 在无状态地址自动配置方式下，节点使用邻居发现机制获得一个链路局部地址，通过使 用即插即用的机制在没有任何人工干预的情况下能够获得二个唯一的全球i p 地址。在有 状态地址自动配置机制中，地址分配要使用诸如动态主机配置协议( d h c p ) 等外部服 务，需要一个额外的服务器，也就需要很多额外的操作和维护。 9 坐查燮查兰堡圭兰丝堡兰 堕塑! ! ! 鱼 ( 4 ) 服务质量( q o s ，q u a l i t yo fs e r v i c e ) 支持。i p v 6 报头中新增了“业务级别”( t r a f f i c c l a s s ) 1 1 “流标签”( f l o wl a b e l ) 字段，支持资源预留，从而支持集成服务( i n t s e r v ) 和差分 服务( d i f f s e r v ) 机制。在分组传输过程中，中间路由节点通过它们识别和分开处理各种分 组，并按要求对这些分组进行特定的处理。 ( 5 ) 内置的安全特性。l p v 6 协议同i p s e c 安全机制一体化，通过认证头( a h ， a u t h e n t i c a t i o nh e a d c r ) 和封装安全净荷( e s p ，e n c r y p t e ds e c u r i t yp a y l o a d ) 扩展报头提供了 m 分组的认证和加密。对所有i p v 6 节点，i p s e c 是要求强制实现的。i p v 6 强制性的安全 要求包括两方面的内容。一方面，i p v 6 数据分组的接收者要求发送者首选利用i p v 6 的 a h 进行验证后才能接收数据分组，这种验证是算法独立的，可以有效的阻止网络黑客 的攻击。另一方面，也可以选用i p v 6 的e s p 加密数据分组，这种加密也是算法独立的， 意味着可以更加安全的在i n t e m e t 上传输敏感数据而不用担心被第三方截取。 ( 6 ) i p v 6 的移动性。i p v 4 协议对移动的支持是可选的功能，而移动i p v 6 是l p v 6 协 议不可缺少的组成部分，能够通过简单的扩展来满足大规模移动应用的要求。 3 1 2 j 移动i p v 6 常用术语 在移动i p v 6 中定义了下面一些术语： ( 1 ) 移动节点( m n ，m o b i l e n o d e ) ：指移动l p v 6 中能够在不同的网络间移动，同时仍 能通过其原有地址被访问的节点。 ( 2 ) 通信对端( c a ，c o r r e s p o n d e n tn o d e ) ：所有与移动节点通信的节点。 ( 3 ) 家乡代理( h a ，h o m e a g e n t ) ：指移动节点家乡链路上的一个路由器，它允许移 动节点向其注册当前的转交地址，并且在移动节点离开家乡时截取其家乡链路上目的地 址是移动节点家乡地址的分组，然后通过隧道转发到移动节点注册的转交地址。 移动节点、家乡代理和通信对端是移动i p v 6 中最重要的三类功能实体。这种分类只 是概念上的，并非对i p v 6 节点的分类定义。例如，移动节点同时也可能是其他节点的通 信对端，家乡代理也可能是移动节点的通信对端等。 ( 4 ) 家乡地址d o m ea d d r e s s ) ：指分配给移动节点的口地址，它属于移动节点的家乡 链路，标准的p 路由机制会把发给移动节点家乡地址的分组发送到其家乡链路。 ( 5 ) 转交地址( c a ，c a r e - o f a d d r e s s ) ：指移动节点访问外地链路时获得的p 地址。这 个m 地址的子网前缀是外地子网前缀。移动节点同时可以得到多个转交地址，其中注册 1 0 些查型垫查堂堡主堂垡堡壅 壁塑! 坠! 到家乡代理的转交地址称为主转交地址( p r i m a r yc a r e o fa d d r e s s ) 。 ( 6 ) 移动( m o v e m e n t ) ：指移动节点改变其到i n t e m c t 的连接点的行为。如果移动节点 当前不在它的家乡链路上，则称为离开家乡。 ( 7 ) 家乡子网前缀( h o m es u b n e tp r e f i x ) ：对应于移动节点家乡地址的p 子网前缀。 ( 8 ) 家乡链路( h o m el i n k ) ：对应于移动节点家乡子网前缀的链路。 ( 9 ) 外地子网前缀( f o r e i g ns u b n e t p r e f i x ) ：对于一个移动节点而言，指除了其家乡予 网前缀之外的任何口子网前缀。 ( 1 0 ) 外地链路( f o r e i g nl i n k ) ：对移动节点，指除了其家乡链路之外的任何链路。 ( 1 】) 绑定i n d i n 曲：指移动节点的家乡地址和转交地址之间的关联。家乡代理通过这 种关联把发往移动节点家乡地址的分组转发到移动节点的当前位置，通信对端通过这种 关联也可以知道移动节点的当前接入点，从而可以实现通信的路由优化。 0 2 ) 绑定过程( b i n d i n gp r o c e d u r e ) ：由移动节点发起，通知通信对端或家乡代理关于本 节点当前绑定信息的过程。 ( 1 3 ) 绑定授权( b i n d i n ga u t h o r i z a t i o n ) ：绑定过程需要授权，使得接收者相信发送者有 权指定新的绑定。 ( 1 4 ) 安全关联( s a ，s e c u r i t y a s s o c i a t i o n ) ：指两个节点共享的安全对象，含有在某些 加密算法中用于相互认可的数据，通常会包含一个密钥。 ( 1 5 ) 安全策噼g ( s e c u r i t y p o l i c y d a t a b a s e ) ：用来描述如何为不同类别的数据分组使用 安全关联的规则库。 ( 1 6 ) 1 i i 的地选项( d e s t i n a t i o no p t i o n ) ：目的地选项存在于i p v 6 的扩展报头中，只有i p v 6 分组报头中的目的地址字段指定的节点才需要检查它。 3 1 3移动i p v 6 对基本i p v 6 协议的修改 移动i p v 6 对基本i p v 6 协议重要进行了如下三个方面的修改。 1 、新的移动报头 移动i p v 6 定义了一种新的报头类型移动报头( m o b i l i t yh e a d e r ) ，用于携带下述移 动琅消息： 家乡测试初始( h o t i ，h o m e t e s t h i t ) 、家乡测试( h o t ，h o m e t e s t ) 、转交测试初 始( c o t i ，c a r e o f t e s ti n i t ) 、转交测试( c o t ，c a r e o f t e s 0 等四个消息，用于返回 坐查登垫查兰堡主兰垡堡茎 登垫堡塑 路径可达过程； 绑定更新消息( b i n d i n gu p d a t e ) ，用于通知通信对端或家乡代理移动节点当前的绑 定信息； 绑定确认消息( b i n d i n g a c k n o w l e d g e m e n t ) ，用于对移动节点发出的绑定更新进行 确认； 绑定刷新请求信息( b i n d i n gr e f r e s hr e q u e s t ) ，用于请求移动节点发送新的绑定信 息，例如可以在绑定的生存期接近过期时使用； 绑定错误信息( b i n d i n ge r r o r ) ，通信对端使用它来通报与移动性相关的错误。 2 、新的目的地选项 移动i p v 6 定义了一个新的目的地选项即家乡地址选项，用于实现移动m 对上层协议 的透明以及对入境过滤的支持。 3 、新的i c m p 消息 为了支持家乡代理地址的自动发现和移动配置，移动i p v 6 也引入了一些新的i c m p 消息，包括： i c m p 家乡代理地址发现请求消息和i c m p 家乡代理地址发现应答消息，用于移 动节点动态发现家乡代理的地址； i c m p 移动前缀请求消息和i c m p 移动前缀应答消息，用于网络的重新编号和移 动配置机制。 3 1 4 移动i p v 6 与移动i p v 4 的比较 移动i p v 6 协议继承了移动i p v 4 协议的众多特性。移动i p v 6 仍然有移动节点、家乡 代理、家乡地址和转交地址等概念，其设计吸取了移动i p v 4 协议开发的经验，结合了i p v 6 协议的许多新特性。但相对移动i p v 4 协议而言，移动l p v 6 协议有许多显著的改进。 1 、转交地址 移动i p v 4 有一种转交地址是外地代理转交地址，是外地网络上外地代理的一个口 地址。由于i p v 6 具有巨大的地址空间，每个移动节点在任何访问的外地网络上都能获彳导 一个全球唯一的口地址，从而不需要使用外地代理转交地址，因此，移动i p v 6 协议没 有外地代理转交地址的概念，也不存在外地代理。 在移动母v 4 中，移动代理通过代理通告消息通告其本身相关信息。在移动i p v 6 中， 些查壁茎查兰堡主兰垡堡茎 堡垫婴生 移动节点在外地网络上使用i p v 6 的特性如路由器通告、无状态或有状态地址自动配置方 式自动获得和配置转交地址，无须外地网络的路由器提供特别的功能支持。 在移动i p v 6 中，移动节点可能会同时拥有多个转交地址，它向家乡代理注册的转交 地址是主转交地址，家乡代理截取的分组都转发到移动节点的主转交地址上。移动节点 有多个转交地址是很有用的，如移动节点通过无线链路与基站相连，基站都有一个有效 覆盖范围，当移动节点从一个基站移动到另一个基站时，在两个基站的交叠区利用两个 转交地址与两个基站同时通信会有助于提高服务质量。 表3 1 移动i p v 4 与移动i p v 6 的比较 t a b l e3 1 c o m p a r i s o nb e t w e e nm i p v 4a n dm i p v 6 移动i p v 4 概念 等效的移动i p v 6 概念 移动节点、家乡代理、家乡链路、外地链路相同 移动节点的家乡地址全球可路由的家乡地址和链路局部地址 外地代理、外地转交地址外地链路上的一个普通i p v 6 路由器，没 有外地代理，只有配置转交地址 配置转交地址，通过代理发现、d h c p 或手通过主动地址自动配置、d h c p 或手工得 工得到转交地址到转交地址 代理发现 路由器发现 向家乡代理发出的经过认证的注册向家乡代理和其他通信对端( c n ) 发出 的带认证的通知 到移动节点的数据传送采用隧道到移动节点的数据传送可采用隧道和优 化路由 通过其他协议实现路由优化集成了路由优化 2 、优化路由 在移动i p v 6 中，与家乡代理上的绑定相类似，移动节点可以在通信对端上绑定移动 节点当前转交地址和家乡地址，称为“通信对端绑定”。当i p v 6 节点发送分组时，首先 检查绑定缓存中是否包含该目的地址，如果绑定缓存包含这个目的地址，则用新的i p v 6 些查然查兰堡主兰堡丝墨 壁垫! ：皇 第二类路由头把数据分组发送到绑定指定的转交地址；否则正常发送分组( 不使用第二 类路由头) o 没有使用第二类路由头的分组会发送到移动节点的家乡链路，如果移动节点 已经离开家乡网络，分组就会被家乡代理截取并通过隧道转发给移动节点。移动节点收 到通过隧道发送来的分组后，认为没有与通信对端建立绑定，将试图和通信对端建立移 动绑定。 为了保证分组的选路是优化的，我们希望通信对端在多数情况下都把分组直接发送 到移动节点的转交地址而尽量不通过家乡代理转发。这样就避免了在基本移动i p v 4 协议 中出现的三角路由问题。对路由优化的支持已经成为移动i p v 6 协议的基本组成部分。 3 、家乡代理 移动节点在离开家乡网络时，移动i p v 6 中的家乡代理使用l p v 6 协议的邻居发现机制 截取发送到移动节点家乡地址的分组，而移动i p v 4 中家乡代理使用a r p 协议。由于应 用邻居发现机制不像a r p 那样需要关心链路层的特定情况，从而提高了协议的鲁棒性， 也简化了移动m 的实现。 移动节点在需要向家乡代理发送绑定更新时，由于家乡链路上某些节点的重新配置， 它可能不知道家乡链路上提供家乡代理服务的路由器地址。为此，移动i p v 6 定义了家乡 代理地址动态发现机制，移动节点发送i c m p v 6 的家乡代理地址发现请求信息，目的地 址是其家乡子网前缀的移动i p v 6 家乡代理组播地址，家乡链路上的一个家乡代理返回单 个应答给移动节点，给出其全球地址以及包含家乡链路上所有家乡代理的全球p 地 址的列表。而移动i p v 4 使用广播机制向家乡链路发送请求，家乡链路上每个家乡代理都 返回一个应答。相比而言，移动l p v 6 家乡代理地址动态发现机制更加高效和可靠，不会 引起应答爆炸问题。 4 、扩展选项 移动i p v 6 为i p v 6 协议的目的地扩展报头定义了一个称为“家乡地址选项”的新选项。 家乡地址选项用在离开家乡的移动节点发送的分组中，选项包含的内容是移动节点的家 乡地址，用来通告通信对端移动节点的家乡地址。移动节点一般使用它的一个转交地址 作为分组报头的源地址，通信对端在处理这样的分组时把移动节点的转交地址替换为其 家乡地址，使得转交地址的使用对于通信对端的上层协议透明。 移动i p v 6 定义了称为“第二类路由头”的新的扩展报头选项，通信对端使用它能够 1 4 坐查兰堕丕兰堡主兰堡堡壅 一 堡垫! 兰 直接发送分组倒移动节点，移动节点的转交地址放在分组的目的地址字段，移动节点的 家乡地址包含在第二类路由头中。当分组到达转交地址时，移动节点从路由头中提取家 乡地址作为这个分组的最终目的地址，使得移动性对上层协议透明。新的路由头不同于 i p v 6 常规的源路由，这样防火墙能够对移动i p v 6 分组和源路由分组使用不同的规则。 网络中很多路由器实现了如“入境过滤”等安全策略，用来过滤掉源地址中拓扑结 构错误的分组。在移动i p v 6 中，通过使用这些扩展选项，路由优化与路由器的过滤功能 能够高效并存，分组既能携带转交地址和家乡地址，又能够正常通过具有输入过滤策略 的路由器。 5 、移动安全 移动i p v 4 的安全性是通过各种附加的方法比如使用i p s e c 等来实现的。而在i p v 6 协 议中，i p s e c 协议与母协议内置的捆绑在一起，所有节点都要强制实现。移动i p v 6 也能 够集成或采用其他的安全机制以保护移动节点发往家乡代理或通信对端的绑定更新以及 隧道、家乡地址信息和分组中的路由指令。 6 、移动检测 移动i p v 6 提供了移动节点与当前位置默认路由器之间通信能力的双向