了解下代互聯(lián)網(wǎng)協(xié)議里移動IPv6的安全性

IPv6是下一代的互聯(lián)網(wǎng)協(xié)議，它最終將代替IPv4成為互聯(lián)網(wǎng)的主要網(wǎng)絡(luò)協(xié)議。移動IPv6是建立在IPv6的體系結(jié)構(gòu)上的，并作為IPv6協(xié)議不可分割的一部分，成為IPv6本質(zhì)性的功能之一。移動IP提供了一種IP路由機制，使移動節(jié)點可以以一個永久的IP地址連接到任何的鏈路上，移動IP與其他路由協(xié)議相比，具有特殊的功能，移動IPv6就利用了IPv6的一些新特點來支持移動IP。
    一、移動IPv6介紹
    移動IPv6協(xié)議中定義了三種操作實體：移動節(jié)點(Mobile Node，MN)、通信節(jié)點(Correspondence Node，CN)和家鄉(xiāng)代理(Home Agent，HA)；四種新的IPv6目的地選項：綁定更新、綁定認可、綁定請求和家鄉(xiāng)地址；為了實現(xiàn)"動態(tài)家鄉(xiāng)代理地址發(fā)現(xiàn)"機制定義了兩種ICMP消息類型：家鄉(xiāng)代理地址發(fā)現(xiàn)請求消息和家鄉(xiāng)代理地址發(fā)現(xiàn)應(yīng)答消息；定義了兩種"鄰居發(fā)現(xiàn)"選項：宣告消息間隔和家鄉(xiāng)代理信息選項。
    二、移動IPv6的主要特點
    移動IPv6的設(shè)計汲取了移動IPv4的設(shè)計經(jīng)驗，并且利用了IPv6的許多新的特征，提供了比移動IPv4更多的、更好的特點，成為了IPv6協(xié)議不可缺少的一部分。
    1.在移動IPv6中，對"三角路由"問題的解決已經(jīng)成為協(xié)議的一個主要部分，并被所有的IPv6節(jié)點所支持。對路由優(yōu)化問題進行了整合：允許任何通信節(jié)點和移動節(jié)點之間直接發(fā)送路由數(shù)據(jù)包，而不再經(jīng)過移動節(jié)點的家鄉(xiāng)網(wǎng)絡(luò)或使用家鄉(xiāng)代理的轉(zhuǎn)發(fā)功能。這種整合也允許了"注冊"功能和路由優(yōu)化功能在單獨一個協(xié)議中完成。
    2.在移動IPv6中可以允許移動節(jié)點與具有"入口過濾"功能的路由器同時存在、有效工作而不互相影響。在移動IPv6中移動節(jié)點可以使用轉(zhuǎn)交地址作為它所發(fā)送數(shù)據(jù)包的IP報頭中的源地址，這樣，數(shù)據(jù)包就能正常的通過具有"入口過濾"功能的路由器。其中移動節(jié)點的家鄉(xiāng)地址被攜帶在數(shù)據(jù)包的"家鄉(xiāng)地址"目的地選項中，當通信節(jié)點接收到包含此種選項的數(shù)據(jù)包時，就能夠自動地把數(shù)據(jù)包的源地址替換成"家鄉(xiāng)地址"目的地選項中的家鄉(xiāng)地址，使得轉(zhuǎn)交地址的使用對IP以上各層透明化。所有IPv6節(jié)點都必須能夠正確處理數(shù)據(jù)包中的"家鄉(xiāng)地址"選項，無論這個節(jié)點是移動的還是靜止的，是主機還是路由器。
    3.在移動IPv6中不再有外地代理的概念。移動節(jié)點在離開家鄉(xiāng)鏈路時可以利用IPv6的增強功能(如"鄰居發(fā)現(xiàn)"和"地址自動配置"機制)進行獨立操作，而不需要任何來自于當?shù)芈酚善鞯奶厥庵С帧嵸|(zhì)上，移動IPv6中外地代理與家鄉(xiāng)代理具有相同的功能，所以為了具體實現(xiàn)上的方便，在外地的鏈路上也使用家鄉(xiāng)代理的概念。
    4.在安全性方面，移動IPv6使用IPSec來滿足更新綁定時的所有安全需求，包括：發(fā)送者認證，數(shù)據(jù)完整性保護，重傳保護等。也就是說移動IPv6的安全性是建立在IPv6的安全機制之上的。當移動節(jié)點在當前位置與它的缺省路由器進行通信時，移動IPv6的"移動檢測"機制為移動節(jié)點提供了雙向認證的能力(雙向是指從路由器向移動節(jié)點發(fā)送數(shù)據(jù)包和從移動節(jié)點向路由器發(fā)送數(shù)據(jù)包)。
    5.在移動IPv6中，"動態(tài)家鄉(xiāng)代理地址發(fā)現(xiàn)"機制使用IPv6的"任意發(fā)送"地址，并且家鄉(xiāng)鏈路上只有一個家鄉(xiāng)代理向移動節(jié)點返回一個應(yīng)答消息；由于在移動IPv4中使用直接的廣播地址，所以移動節(jié)點家鄉(xiāng)鏈路上的每個家鄉(xiāng)代理均返回一個獨立的應(yīng)答消息。因為僅僅只有一個數(shù)據(jù)包從家鄉(xiāng)鏈路返回到移動節(jié)點，所以移動IPv6的這種機制更加有效和可靠。
    三、移動IPv6面臨的安全問題
    移動IPv6與其它網(wǎng)絡(luò)技術(shù)一樣，都面臨著安全方面的問題。
    1. 拒絕服務(wù)攻擊
    拒絕服務(wù)攻擊(DoS)是移動IPv6面臨的最嚴重的一種攻擊，它是指一個攻擊者為阻止合法用戶的正常工作而采取的攻擊。這種攻擊主要包括兩種方式：一是通過向服務(wù)器或主機發(fā)送大量數(shù)據(jù)包，使得主機忙于處理這些無用的數(shù)據(jù)包而無法響應(yīng)有用的信息；二是對網(wǎng)絡(luò)上兩個節(jié)點之間的通信直接進行干擾，如采取重定向的方法使合法用戶無法獲得所需要的數(shù)據(jù)。
    對于DoS攻擊的防護方法是檢查認證有效期、確定移動節(jié)點位置并保持資源的可用性。對通信節(jié)點而言，它可以采用以下方式來抵抗拒絕服務(wù)攻擊：如果通信節(jié)點被大量綁定更新的信息所堵塞，它可以通過中止處理綁定更新信息的流程來減緩堵塞下的系統(tǒng)壓力；若通信節(jié)點察覺到分配在檢查虛假綁定信息上的資源遠遠超出用來接收真實綁定更新信息的資源時，通信節(jié)點會在不執(zhí)行任何加密機制的情況下，逐步拋棄部分或是全部的綁定更新的信息。