1、引言

下一代網(wǎng)絡(luò)的發(fā)展方向之一是向多元化的無縫寬帶接入網(wǎng)絡(luò)演進，各種有線、無線接入方式對于用戶業(yè)務體驗需要提供通用的移動性，使用戶隨時隨地可以享受到統(tǒng)一的業(yè)務特性。

移動終端要在三層網(wǎng)絡(luò)切換的過程中保持通信暢通就必須保證移動對于通信應用的透明，即通信應用的網(wǎng)絡(luò)層識別——IP地址保持不變�；ヂ�(lián)網(wǎng)路由模式是根據(jù)網(wǎng)絡(luò)層目的地址來進行選路，并將數(shù)據(jù)包發(fā)送到該目的地址所在的網(wǎng)絡(luò)，從而到達該目的地址所代表的節(jié)點。網(wǎng)絡(luò)層移動必須解決對通信應用全程使用不變IP地址的同時，對于路由使用節(jié)點當前所在網(wǎng)段可達的IP地址。移動IPv6巧妙地解決了這個問題。

2、移動IPv6基本工作原理

移動IPv6對于實現(xiàn)通信在網(wǎng)絡(luò)層移動過程中保持不斷的解決方案可以簡單地歸納為三點：

定義了家鄉(xiāng)地址，上層通信應用全程使用家鄉(xiāng)地址保證了對應用的移動透明;

(2)定義了轉(zhuǎn)交地址，從外地網(wǎng)絡(luò)獲得轉(zhuǎn)交地址，保證了現(xiàn)有路由模式下通信可達;

(3)家鄉(xiāng)地址與轉(zhuǎn)交地址的映射，建立了上層應用所使用的網(wǎng)絡(luò)層標識與網(wǎng)絡(luò)層路由所使用的目的標識之間的關(guān)系。

具體工作流程可簡單歸納如下：

當移動節(jié)點在家鄉(xiāng)網(wǎng)段中時，它與通信節(jié)點之間按照傳統(tǒng)的路由技術(shù)進行通信，不需要移動IPv6的介入。

當移動節(jié)點移動到外地鏈路時，移動節(jié)點的家鄉(xiāng)地址保持不變，同時獲得一個臨時的IP地址(即轉(zhuǎn)交地址)。移動節(jié)點把家鄉(xiāng)地址與轉(zhuǎn)交地址的映射告知家鄉(xiāng)代理。通信節(jié)點與移動節(jié)點通信仍然使用移動節(jié)點的家鄉(xiāng)地址，數(shù)據(jù)包仍然發(fā)往移動節(jié)點的家鄉(xiāng)網(wǎng)段;家鄉(xiāng)代理截獲這些數(shù)據(jù)包，并根據(jù)已獲得的映射關(guān)系通過隧道方式將其轉(zhuǎn)發(fā)給移動節(jié)點的轉(zhuǎn)交地址。移動節(jié)點則可以直接和通信節(jié)點進行通信。這個過程也叫做三角路由過程。

移動節(jié)點也會將家鄉(xiāng)地址與轉(zhuǎn)交地址的映射關(guān)系告知通信節(jié)點，當通信節(jié)點知道了移動節(jié)點的轉(zhuǎn)交地址就可以直接將數(shù)據(jù)包轉(zhuǎn)發(fā)到其轉(zhuǎn)交地址所在的外地網(wǎng)段。這樣通信節(jié)點與移動節(jié)點之間就可以直接進行正常通信。這個通信過程也被稱作路由優(yōu)化后的通信過程。

3、移動IPv6的安全考慮

上述移動IPv6的基本工作過程只是針對于理想狀態(tài)的互聯(lián)網(wǎng)，并沒有考慮安全方面的問題。實際的網(wǎng)絡(luò)中，會存在各種對報文的竊聽或者篡改等攻擊。如果攻擊者截取了綁定報文，并且修改內(nèi)容中轉(zhuǎn)交地址為攻擊者的地址，然后再繼續(xù)發(fā)送給HA或者CN，那么攻擊者就會截取到發(fā)往移動節(jié)點的通信數(shù)據(jù)。同樣對于移動IPv6中目的選項或者路由報頭的攻擊，也會影響到通信的安全。要保證移動IPv6的通信安全，就必須保證移動IPv6的協(xié)議消息的真實性和完整性。

MN與CN的關(guān)系帶有任意性，不適合需要預先建立安全關(guān)聯(lián)的方式，因此IPSec在MN與CN之間不適用。為保證MN與CN的之間的安全性，引入了往返可路由過程。

MN與CN之間的移動消息包括：MN發(fā)往CN的綁定消息，CN發(fā)往MN的綁定確認。往返可路由過程的目的是要確保綁定消息中的家鄉(xiāng)地址和轉(zhuǎn)交地址都是真實可達的，都屬于移動節(jié)點。

MN與HA之間的關(guān)系相對固定，便于預先建立安全關(guān)聯(lián)，因此對于MN和HA之間的協(xié)議消息使用IPSec進行保護，具體的操作可以參考RFC3776，本文不再贅述。

4、移動IPv6的關(guān)鍵過程

移動IPv6的協(xié)議中，從三角路由到路由優(yōu)化的通信過程包含了移動檢測，獲取轉(zhuǎn)交地址，轉(zhuǎn)交地址注冊，隧道轉(zhuǎn)發(fā)等機制，往返可路由等信令過程等。

4.1移動檢測

移動檢測分為二層移動檢測以及三層移動檢測。不論二層移動檢測采用什么方法，移動IPv6中依靠路由通告來確定是否發(fā)生了三層移動。移動節(jié)點在家鄉(xiāng)網(wǎng)段的時候，在規(guī)定的時間間隔內(nèi)能夠周期性收到路由前綴通告;移動節(jié)點從家鄉(xiāng)網(wǎng)絡(luò)移動到外地網(wǎng)絡(luò)的時候，在規(guī)定的時間間隔內(nèi)不會再收到家鄉(xiāng)網(wǎng)段的路由通告，移動節(jié)點認為發(fā)生了網(wǎng)絡(luò)層移動。

4.2獲取轉(zhuǎn)交地址

當移動節(jié)點監(jiān)測到發(fā)生了網(wǎng)絡(luò)切換時，就需要分配當前網(wǎng)段可達的轉(zhuǎn)交地址。獲得轉(zhuǎn)交地址的方式可以是任何傳統(tǒng)的IPv6地址分配方式，如無狀態(tài)自動配置方式，或者是有狀態(tài)分配方式。最簡單的方式之一就是無狀態(tài)自動配置方式，利用所接收到外地網(wǎng)絡(luò)的路由前綴，與移動節(jié)點的接口地址合成轉(zhuǎn)交地址。

4.3轉(zhuǎn)交地址注冊

移動節(jié)點獲得轉(zhuǎn)交地址后需要將轉(zhuǎn)交地址與家鄉(xiāng)地址的綁定關(guān)系分別通知給家鄉(xiāng)代理以及正在與移動節(jié)點通信的通信節(jié)點，這個過程分別稱為家鄉(xiāng)代理注冊以及通信節(jié)點注冊。轉(zhuǎn)交地址的注冊主要通過綁定更新/確認消息來實現(xiàn)。

4.4隧道轉(zhuǎn)發(fā)機制/三角路由

移動節(jié)點已經(jīng)完成家鄉(xiāng)代理注冊但是還沒有向通信節(jié)點注冊時，通信節(jié)點發(fā)往移動節(jié)點的數(shù)據(jù)在網(wǎng)絡(luò)層仍然使用移動節(jié)點的家鄉(xiāng)地址。家鄉(xiāng)代理會截取這些數(shù)據(jù)包，并根據(jù)已知的移動節(jié)點轉(zhuǎn)交地址與家鄉(xiāng)地址的綁定關(guān)系，通過IPv6inIPv6隧道將數(shù)據(jù)包轉(zhuǎn)發(fā)到移動節(jié)點。移動節(jié)點可以直接回復給通信節(jié)點。這個過程也叫做三角路由。

4.5往返可路由過程

往返可路由過程主要目的在于保證通信節(jié)點接收到綁定更新的真實性和可靠性，由兩個并發(fā)過程組成：家鄉(xiāng)測試過程和轉(zhuǎn)交測試過程。

家鄉(xiāng)測試過程首先由移動節(jié)點發(fā)起家鄉(xiāng)測試初始化消息，通過隧道經(jīng)由家鄉(xiāng)代理轉(zhuǎn)發(fā)給通信節(jié)點，以此告知通信節(jié)點啟動家鄉(xiāng)測試所需的工作。通信節(jié)點收到家鄉(xiāng)測試初始化消息后，會利用家鄉(xiāng)地址及兩個隨機數(shù)Kcn與nonce，進行運算生成homekeygentoken，然后會利用返回給移動節(jié)點的家鄉(xiāng)測試消息把homekeygen token*以及nonce索引號告訴移動節(jié)點;

轉(zhuǎn)交測試首先是移動節(jié)點直接向通信節(jié)點發(fā)送轉(zhuǎn)交測試初始化消息，通信節(jié)點會將消息中攜帶的轉(zhuǎn)交地址與ken和nonce進行相應運算生成care-ofkeygentoken*，然后在返回移動節(jié)點的轉(zhuǎn)交測試息中攜帶care-ofkeygentoken以及nonce索引號。

移動節(jié)點利用homekeygentoken和care-ofkeygentoken生成綁定管理密鑰Kbm，再利用kbm和綁定更新消息進行相應運算生成驗證碼1，攜帶在綁定更新消息中。通信節(jié)點收到綁定更新消息后利用home keygen token，care-ofkeygen token以及nonce數(shù)，與綁定消息進行相應運算，得出驗證碼2。比較兩個驗證碼，如果相同，通信節(jié)點就可以判斷綁定消息真實可信，否則，將視為無效。

4.6動態(tài)家鄉(xiāng)代理地址發(fā)現(xiàn)過程

通常家鄉(xiāng)網(wǎng)絡(luò)的前綴和家鄉(xiāng)代理的地址是固定的，但是也可能因為故障或其他原因出現(xiàn)重新配置。當家鄉(xiāng)網(wǎng)絡(luò)配置改變時，身在外地的移動節(jié)點需要依靠動態(tài)家鄉(xiāng)代理地址發(fā)現(xiàn)過程發(fā)現(xiàn)家鄉(xiāng)代理的地址。這主要借助于目的地為一個特殊anycast地址的ICMP特別消息。據(jù)了解，目前這個過程并沒有設(shè)備實現(xiàn)，因此也不做過多介紹，進一步了解可以參考RFC3775。

圖1示出了移動IPv6的過程。

5、移動IPv6所面臨的問題