移動(dòng)IPv6協(xié)議的安全方面也并非做的很全面。那么針對現(xiàn)在的通訊環(huán)境，它又存在什么安全漏洞呢？現(xiàn)在還是讓我們從以下幾點(diǎn)來分析一下吧。

◆區(qū)分服務(wù)比較適用于設(shè)計(jì)周全､帶寬合理分配的網(wǎng)絡(luò),支持移動(dòng)環(huán)境的網(wǎng)絡(luò)由于其網(wǎng)絡(luò)中的節(jié)點(diǎn)隨時(shí)移動(dòng),因而其業(yè)務(wù)量模型比較復(fù)雜｡

◆在區(qū)分服務(wù)中,不同QoS區(qū)域(如不同的ISP提供的網(wǎng)絡(luò))的業(yè)務(wù)等級(jí)協(xié)商(SLA)常常是靜態(tài)的,移動(dòng)IP的高動(dòng)態(tài)環(huán)境與區(qū)分服務(wù)的靜態(tài)帶寬分配是相矛盾的,因此為了MN的動(dòng)態(tài)帶寬分配需要,必須支持動(dòng)態(tài)的業(yè)務(wù)等級(jí)協(xié)商｡

◆在不同QoS區(qū)域的入口處,網(wǎng)絡(luò)的邊緣路由器要對分組流進(jìn)行識(shí)別,傳統(tǒng)分組流可以通過分組頭標(biāo)上的五元組(源/目的IP地址､協(xié)議類型､源/目的端口號(hào))來識(shí)別｡而移動(dòng)IPv6協(xié)議中的分組的源IP地址(MN發(fā)送的分組)或目的IP地址(MN接收的分組)是MN的轉(zhuǎn)交地址,該地址是隨著節(jié)點(diǎn)的移動(dòng)作動(dòng)態(tài)的變化｡

為了在移動(dòng)IP網(wǎng)絡(luò)上實(shí)現(xiàn)區(qū)分服務(wù),應(yīng)精細(xì)設(shè)計(jì)提供移動(dòng)服務(wù)的網(wǎng)絡(luò),動(dòng)態(tài)預(yù)測移動(dòng)節(jié)點(diǎn)對帶寬的需求和接入的MN數(shù),或采用資源預(yù)留等信令機(jī)制,更準(zhǔn)確地預(yù)測滿足移動(dòng)節(jié)點(diǎn)QoS所需的帶寬｡區(qū)分服務(wù)可以選擇RSVP作為信令協(xié)議,區(qū)分服務(wù)網(wǎng)絡(luò)的邊緣路由器分析RSVP報(bào)文,根據(jù)RSVP信息修改區(qū)分服務(wù)配置參數(shù)｡但現(xiàn)有的資源預(yù)留協(xié)議的設(shè)計(jì)著眼于由靜止主機(jī)構(gòu)成的網(wǎng)絡(luò),為了支持移動(dòng)環(huán)境的資源預(yù)留,還應(yīng)對RSVP協(xié)議進(jìn)行擴(kuò)展和修改,使其支持MN的資源預(yù)留｡另一種方法是定義特別的IPv6擴(kuò)展頭標(biāo)作為資源預(yù)留信令,這樣可在一個(gè)分組中綜合QoS信息､地址綁定信息和IPv6數(shù)據(jù)分組,節(jié)約信令開銷｡對移動(dòng)IPv6協(xié)議的節(jié)點(diǎn)發(fā)送的分組中可根據(jù)其本地地址和流標(biāo)記來識(shí)別一個(gè)數(shù)據(jù)流,但需要各邊緣路由器支持移動(dòng)IPv6的本地地址信宿選項(xiàng)｡

另外,MN在越區(qū)切換時(shí)引入的分組傳輸延時(shí)和分組丟失也是移動(dòng)IP急需解決的問題,這個(gè)問題不解決,移動(dòng)Internet的QoS保證就無從談起｡

移動(dòng)IPv6協(xié)議的安全問題

當(dāng)網(wǎng)絡(luò)體系結(jié)構(gòu)上添加新的功能時(shí),通常會(huì)引入新的安全隱患｡對移動(dòng)IPv6來說,由于節(jié)點(diǎn)的移動(dòng)需要經(jīng)常向MN的本地代理和CN發(fā)送綁定更新報(bào)文,這一特征引入了諸多的安全問題｡其中最危險(xiǎn)的潛在威脅是綁定更新報(bào)文具有對分組的重定向功能,攻擊者通過冒充MN向CN發(fā)送綁定更新報(bào)文,就可以將發(fā)往MN的分組重定向到攻擊者指定的地點(diǎn)｡其次是DOS(Denial Of Service)攻擊,攻擊者能夠阻塞未受保護(hù)鏈路上的所有業(yè)務(wù)量,也能夠阻止MN與其他節(jié)點(diǎn)的通信｡克服這些威脅的手段是MN與本地代理和CN之間進(jìn)行身份認(rèn)證,MN與接入路由器(或外地代理)之間也需要認(rèn)證｡

移動(dòng)IPv6規(guī)定了IPSec作為MN的綁定更新報(bào)文的安全保護(hù),但在利用IPSec通信之前收發(fā)雙方需要事先建立安全關(guān)聯(lián),即決定采用哪種認(rèn)證､加密算法｡一般認(rèn)為,MN與其本地代理很容易建立安全關(guān)聯(lián),但大多數(shù)情況下,MN與CN不存在安全關(guān)聯(lián)或其他安全關(guān)系｡移動(dòng)通信中的無線接入特點(diǎn),也使得移動(dòng)用戶的通信內(nèi)容更易受到非法竊聽和篡改,用戶數(shù)據(jù)的安全可采用IPSec或上層安全協(xié)議加以保護(hù)｡另外,防火墻也需要支持移動(dòng)IPv6協(xié)議,因?yàn)橐苿?dòng)IPv6節(jié)點(diǎn)發(fā)出的分組的源地址是MN的轉(zhuǎn)交地址,它隨著節(jié)點(diǎn)的移動(dòng)而變化,防火墻如果不能識(shí)別它就不能實(shí)現(xiàn)正常的分組過濾｡

移動(dòng)IP業(yè)務(wù)的使用需要Internet提供支持移動(dòng)IP的AAA服務(wù),即移動(dòng)用戶的認(rèn)證､授權(quán)和計(jì)費(fèi)服務(wù)｡當(dāng)MN移動(dòng)到外地網(wǎng)絡(luò)時(shí),MN需要對外地代理或接入設(shè)備進(jìn)行認(rèn)證,以確定對方的有效性,外地代理也需要對MN進(jìn)行身份認(rèn)證,以防止其非法攻擊｡授權(quán)和計(jì)費(fèi)主要涉及MN在外地網(wǎng)絡(luò)上的資源的使用權(quán)和使用情況｡目前IETF已出臺(tái)協(xié)議草案來支持移動(dòng)IP的AAA服務(wù)(RFC 2977和draft-ietf-aaa-diameter-mobileip-08.txt)｡

移動(dòng)節(jié)點(diǎn)的越區(qū)切換

MN在越區(qū)切換時(shí),首先需要無線鏈路的切換,如果新舊鏈路不在同一個(gè)IP子網(wǎng)內(nèi),還要進(jìn)行IP子網(wǎng)切換｡即使采用了路由優(yōu)化技術(shù),在無線鏈路切換和子網(wǎng)切換過程中的分組延時(shí)還相當(dāng)可觀的,而延時(shí)的主要部分是由鏈路切換完成后的端到端的移動(dòng)IP注冊操作引起的｡在切換過程中,發(fā)給MN的分組可能被丟失｡因此快速切換方案將有利于改善分組數(shù)據(jù)的業(yè)務(wù)質(zhì)量｡

在下一代無線通信系統(tǒng)中,出于對節(jié)約信道等方面的考慮,小蜂窩(micro-cell 和 pico-cell)的架構(gòu)將會(huì)獲得越來越多的使用,這樣將會(huì)導(dǎo)致鏈路的頻繁切換｡鏈路切換常由第二層協(xié)議或硬切換完成,而跨越IP子網(wǎng)的切換需要第三層協(xié)議或軟切換完成｡根據(jù)切換時(shí)采的方法,切換可分為快速切換､平滑切換和無縫切換三種類型｡快速切換即低延時(shí)切換,它常采用蜂窩組播的方式,以帶寬為代價(jià)降低MN在越區(qū)切換時(shí)分組的延時(shí);平滑切換即低丟失率切換,它采用緩存的方式降低MN在越區(qū)切換時(shí)的分組丟失;無縫切換既要降低分組的丟失率,又要降低分組的延時(shí)｡