信息產業部電信傳輸研究所 田輝

    移動ip（Mobile IP）是在IP網絡上提供移動功能的解決方案，該協議設計的初衷是在網絡層提供主機的移動性，使得主機在IP網絡上的移動對于高層協議保持透明。移動IP一經推出，就被3G標準技術框架所采納，并隨著3G網絡的部署得到了推廣。

    從IPv4到IPv6，移動IP技術自身發生了革命性的變化，解決了諸多問題。其次，IPv6協議具備的新特性，如“地址自動配置”、“鄰居發現”等，為主機移動提供了更好的支持。另外，IPv6簡化了重組的步驟，對未來Internet移動性也有極大的促進。

    在移動IPv6中，移動節點由家鄉地址（HoA）惟一標識并為高層協議所見。當移動節點移動到外部網絡時，它會在外部網絡獲得一個轉交地址（CoA），該移動節點的轉交地址和家鄉地址的映射關系稱為一個“綁定”。移動節點通過綁定注冊過程把自己的轉交地址通知給位于家鄉網絡的家鄉代理（HA）。此后，對端通信節點（CN）發往移動節點的數據首先被路由到家鄉代理，隨后家鄉代理根據移動節點的綁定關系，將數據包間接傳送（隧道封裝）給移動節點。為了優化三角路由問題，移動IPv6也答應移動節點將綁定信息發送到對端通信節點，來實現移動節點和對端通信節點數據的直接傳送，而無需經過家鄉代理。圖1顯示了移動IPv6的工作原理。

    圖1 移動IPv6原理示意圖

    移動IPv6的基本工作流程僅針對理想狀態的互聯網，并不考慮安全方面的問題。實際網絡中，由于移動性的引入必然會使網絡面臨新的安全問題，這種威脅包括拒絕服務攻擊、重放攻擊以及信息竊取攻擊等。移動IPv6在具體實施中必須謹慎對待這些安全隱患，避免網絡引入移動性后安全級別下降。

    一、安全問題分析

    移動IP必須面對所有無線網絡所固有的安全威脅，移動性的引入使得移動IP比有線的Internet更加脆弱。此外，移動IPv6協議通過定義移動節點、家鄉代理和通信節點之間的信令機制，在實現了三角路由優化的同時，也引入了新的安全威脅。

    假如攻擊者在移動節點、家鄉代理和通信節點之間的通信鏈路上截獲并篡改相關的信令報文，那么它就能夠輕易的發起攻擊。目前移動IPv6可能遭受的攻擊主要包括拒絕服務攻擊、重放攻擊以及信息竊取攻擊。

    1﹒拒絕服務攻擊

    拒絕服務攻擊是指攻擊者為阻止合法用戶獲得正常服務而采用的攻擊手段。

    在移動IPv6中，攻擊者可以通過如下手段達到上述目的：（1）攻擊者發送大量地址綁定更新消息來消耗家鄉代理和通信節點的資源，從而導致綁定緩存表溢出或者是無法及時處理合法用戶的綁定更新報文；（2）惡意主機把Internet上服務器的IPv6地址作為大量移動節點的轉交地址，發送偽裝的綁定更新消息給對端通信節點，引發大量的流量發往受害服務器，導致分布式拒絕服務攻擊；（3）攻擊者冒充移動節點，使用移動節點的家鄉地址發送綁定更新消息，偽裝節點的移動狀況，阻斷合法用戶的正常通信；（4）在移動節點和家鄉代理通信路徑上的攻擊者通過篡改家鄉地址選項域值，將通信節點的流量重定向到第三方節點，阻斷合法用戶的正常通信；（5）在移動節點和通信節點路徑上的攻擊者通過篡改路由擴展頭域值，將通信節點的流量重定向到第三方節點，阻斷合法用戶的正常通信。

    2﹒重放攻擊

    重放攻擊是指攻擊者將一個有效的注冊請求消息錄取并保存起來，等待一段時間之后再重新發送這個消息來注冊一個偽造的轉交地址，從而達到攻擊的目的。在移動節點和通信節點通信路徑上的攻擊者通過這種方式將數據流重定向到第三方實體。

    3﹒信息竊取

    信息竊取可以分為被動監聽和主動會話截取。除了上述主要的安全威脅之外，移動IPv6還可能遭受到其它威脅，如攻擊者可以冒充通信節點給移動節點發送綁定錯誤消息，當家鄉網絡重編號時，家鄉代理可以通過設置家鄉網絡前綴的生存時間來實現位于外部網絡的移動節點更新自己的家鄉地址等。假如惡意主機修改家鄉網絡IPv6前綴的生存時間或者干脆修改前綴的內容，可能引起家鄉代理服務所有的移動節點無法到達，或者竊取移動節點到家鄉代理的流量，或者引起拒絕服務攻擊。

    二、安全機制探討

    互聯網協議設計的一條原則是新協議的引入不為網絡帶來新的安全威脅，假如存在安全隱患，那么協議本身必須要設計相應的安全機制來克服。移動IPv6協議也不例外。

    對于重放攻擊，移動IPv6協議在注冊消息中添加了序列號，并且在協議報文中引入了時間隨機數。移動節點和家鄉代理之間可以建立IPsec安全聯盟來保護信令消息和業務流量。

    1﹒移動節點和家鄉代理間的安全

    家鄉代理通常由運營商部署及運維治理，而移動節點通常也是運營商的可控單元（可通過EMSI或CA證書等手段對身份進行驗證控制），可以假設二者處于同一可信任域。

    移動IPv6使用IPsec技術來實現移動節點和家鄉代理之間的信令信息保護。使用IPsec協議可以提供對數據源驗證、數據完整性、數據內容的機密性、抗重播保護以及有限的數據流機密性保證。移動IPv6協議利用IPsec的傳輸模式的ESP協議來保護從移動節點到家鄉代理之間的信令消息。

    2﹒移動節點和通信節點間的安全

    往返可路由過程的目的在于通信節點必須確認移動節點對于它宣稱的家鄉地址和轉交地址是可達的。只有得到這個確認之后，對端通信節點才會接受來自移動節點的綁定更新消息，而把以后的流量轉發到移動節點新的轉交地址。

    RRP過程的開始是由移動節點同時發送HoTI和CoTI消息，HoTI消息是經過移動節點的家鄉代理發送到對端通信節點的，對端通信節點收到這個消息后，回應一個HomeTest消息，CoTI消息是由移動節點直接發送給對端通信節點的，包含了一個Care-ofTestCookie。對端通信節點收到這個消息后，回應一個Care-of Test消息，移動節點收到了Home Test消息和Care-of Test消息后，往返可路由過程就已經完成了，其過程如圖2所示。移動節點將收到的Home Cookie和Care-of Cookie作為哈希函數的輸入產生會話密鑰，并用此密鑰來認證綁定消息，接下來移動節點就擁有了足夠的信息來認證自己可以向對端通信節點發送綁定更新請求消息。假如對端通信節點驗證了綁定更新消息確實為合法移動節點發送，對端通信節點就會創建新的綁定列表選項，確認這個綁定更新。

    圖2 往返可路由過程示意

    盡管MIPv6中規定了以IPSec來進行MN與HA之間協議消息保護，此外對于數據消息也可以用IPSec進行保護。但是在IPv6中真正啟用IPSec的很少，MIPv6中應用IPSec就更少了。一方面是由于各系統對IPSecforIPv6的支持還不到位，另一方面IPSec的應用主要適用于IPSecVPN之類的公司用戶。對于個人用戶，IPSec的配置還比較繁瑣。如何能使IPSec易于配置，廣泛應用起來，這也是移動IPv6要解決的一個問題。此外，對于如何驗證MN與HA之間的協議消息，也值得進一步研究。安全問題仍然是MIPv6的研究熱點之一。

    三、移動IPv6前景展望

    下一代網絡將是數據業務和移動業務充分融合的產物，并在這個融合的基礎上日益完善，形成承載網以IPv6為演進方向，業務網以NGN/IMS為業務平臺，提供無處不在的、多元接入方式的、無縫移動的業務。在這個發展趨勢下，移動IPv6作為網絡層切換的優選解決方案，可以有效保障無縫漫游的業務屬性有望得到規模應用。

    整個業界沒有任何人否認移動IPv6是一項優秀的技術，但能否取得規模應用不只取決于技術自身的優略，首先還需要IPv6網絡的部署、IPv6業務的普及應用以及成熟的業務環境的支撐。

    此外，移動IPv6的發展還需要解決好當前業務研究中碰到技術問題，然后才能提供完備的業務解決方案，這些技術問題包括簡捷的業務配置解決方案、可靠的信令安全解決方案、快速平滑的切換解決方案、統一的AAA策略解決方案、有效的QoS策略解決方案以及動態域名解決方案等。

    IETF對移動IPv6技術進行了卓有成效的標準化工作，經過多達24版的草案討論，終于在2004年6月形成了“RFC3775-IPv6移動性支持”。2000年~2003年，Connectathons、ETSI等機構一年一度組織了移動IPv6互操作測試，使得不同供給商互通性得到了較全面的驗證。從2005年6月起，IPv6論壇也啟動了“Pv6Ready”二期認證，主要是增加了對移動IPv6和IPSec的認證，大大推動了移動IPv6設備的規范化發展。中國通信標準化協會也加強了對移動IPv6技術的研究，制定了相應的通信行業標準《移動IPv6技術要求》，相應的測試規范也已經提出立項。

    3G及IPv6作為下一代網絡的兩項重要技術革新，下一代移動數據業務成為業務發展的焦點，受到了國內設備制造商以及網絡運營商的廣泛關注。國內設備供給商緊密結合未來的3G規劃，紛紛加強了對NGI移動數據業務的研發投入，以期在未來競爭中獲得市場先機。而國內各大運營商則借助CNGI項目的推動，迅速建設了較為完備的IPv6商用試驗網絡，為后續開展移動數據業務研究提供了良好的試驗平臺。此外，信息產業部電信研究院通過長期的技術積累，建立了完備的CNGI驗證平臺，可為業界提供設備、網絡以及業務系統的完整驗證服務。期待在整個產業界的合作努力下，移動IPv6能夠為廣大用戶提供全新的移動數據業務體驗。