2、移动IPv6的安全性
移动IPv6提供了许多安全特性。其中包括对家乡代理和对端节点的绑定更新保护、移动前缀发现保护和移动IPv6使用的数据包传输机制的保护。然而,移动IP必须面对所有无线网络所固有的安全威胁。此外,移动IPv6协议通过定义移动节点、家乡代理和对端节点之间的信令机制,在实现了三角路由优化的同时,也引入了新的安全威胁。目前,移动IPv6可能遭受的攻击主要包括拒绝服务攻击、重放攻击以及信息窃取攻击。
针对重放攻击,移动IPv6协议在注册消息中添加了序列号,并且在协议报文中引入了时间随机数(Nonce)。家乡代理和对端节点可以通过比较前后两个注册消息序列号,并结合Nonce的散列值,来判定注册消息是否为重放攻击。若消息序列号不匹配,或Nonce散列值不正确,则可视之为过期注册消息,不予以处理。
移动节点和家乡代理之间可以建立IPsec安全联盟来保护信令消息和业务流量。由于移动节点的归属地址和家乡代理都是已知的,可以预先为移动节点和家乡代理配置安全联盟,然后使用IPsec AH和ESP建立安全隧道,提供数据源认证、完整性检查、数据加密和重放攻击防护。
移动IPv6协议定义了往返可路由过程(RRP,Return Route ability Procedure)。通过产生绑定管理密钥,来实现对移动节点和对端节点之间控制信令的保护。
3、移动IPv6与移动IPv4技术比较
相对于目前广泛应用于无线网络的IPv4技术,移动IPv6的优势非常明显,这些优势主要体现在以下几个方面。
(1)地址数量大大增加
移动IPv6的128位地址长度对于充满生机的移动市场来说是非常诱人的。另外,采用移动IPv6之后将不再需要NAT,这将使移动IPv6的部署更加简单直接,由于不再需要管理内部地址与公网地址之间的网络地址翻译和地址映射,网络的部署工作只需要管理比移动IPv4少的网络元素和协议即可。
(2)可以实现端到端的对等通信
NAT被广泛地使用在互联网上,绝大多数的应用都是基于客户端/服务器的方式。这种状况完全无法满足人们对未来移动网络的要求。移动手机之间以及与其他网络设备之间的通信绝大部分都要求是对等的,因此需要有全球地址而不是内部地址。去掉NAT将使通信真正实现全球任意点到任意点的连接。
(3)地址的结构层次更加优化
移动IPv6不仅能提供大量的IP地址以满足移动通信的飞速发展,而且可以根据地区注册机构的政策来定义移动IPv6地址的层次结构,从而减小路由表的大小,并且可以通过地区本地地址和选路控制来定义某个组织的内部网络。
(4)内嵌的安全机制
移动IPv6将安全作为标准的有机组成部分,安全的部署是在更加协调统一的层次上,而不是像IPv4那样通过叠加的解决方案来实现。通过移动 IPv6中的IPsec可以对IP层上(也就是运行在IP层上的所有应用)的通信提供加密/授权。通过移动IPv6可以实现远程企业内部网(如企业VPN 网络)的无缝接入,并且可以实现永远连接。
(5)能够实现地址的自动配置
移动IPv6中主机地址的配置方法要比移动IPv4中的多,任何主机IPv6的地址配置包括无状态自动配置、全状态自动配置和静态地址。这意味着在移动IPv6环境中的编址方式能够实现更加有效率的自我管理,使得移动、增加和更改都更加容易,并且显著降低网络管理的成本。
(6)服务质量(QoS)提高
服务质量是多种因素的综合问题。从协议的角度来看,移动IPv6的头标增加了一个流标记域,20位长的流标记域使得任何网络的中间点都能够确定并区别对待某个IP地址的数据流。
(7)移动性更好
移动IPv6实现了完整的IP层的移动性。特别是面对移动终端数量剧增,只有移动IPv6才能为每个设备分配一个永久的全球IP地址。由于移动IPv6很容易扩展、有能力处理大规模移动性的要求,所以它将能解决全球范围的网络和各种接入技术之间的移动性问题。
(8)结构比移动IPv4更加简单并且容易部署
由于每个IPv6的主机都必须具备通信节点(CN)的功能,当与运行移动IPv6的主机通信时,每个IPv6主机都可以执行路由的优化,从而避免三角路由问题。另外,与移动IPv4不同的是,移动IPv6中不再需要外地代理(FA)。IPv6地址的自动配置还简化了移动节点转交地址(CoS)的分配。
4、移动IPv6技术在3G核心网中的应用
无论是3GPP的UMTS还是3GPP2的CDMA2000系统,它们的系统架构都将向全IP的方向演进和发展,包括对、数据、多媒体等业务形式的承载是基于IP的;端到端的业务呼叫模型是基于IP的;RAN及CN核心的网络交换和呼叫控制也是基于IP的。而在3G/B3G的系统规划中, 3GPP、3GPP2规范的方向均确定了IPv6是3G/B3G网络承载、业务应用的发展方向。在3G/B3G的IMS阶段,网络系统(包括分组域和电路域)将全面基于或兼容IPv6。