基于移動IPv6網(wǎng)絡(luò)的路由優(yōu)化機制的探討

吳玉東

摘要：IPv6作為現(xiàn)有TCP/IP協(xié)議體系中IPv4的替換協(xié)議，在未來的計算機網(wǎng)絡(luò)體系中占有重要的地位。而移動網(wǎng)絡(luò)作為目前發(fā)展速度最快，用戶數(shù)量最多的網(wǎng)絡(luò)，準備在未來推廣的MIPv6網(wǎng)絡(luò)的重要性不言而喻。在移動網(wǎng)絡(luò)安全問題日益突出的今天，對MIPv6網(wǎng)絡(luò)的路由協(xié)議進行優(yōu)化，提高其響應(yīng)速度和安全性成為了研究的熱點。該文分析了現(xiàn)有的MIPv6安全路由方法，并在此基礎(chǔ)上提出了優(yōu)化方案，具有一定的參考價值。

關(guān)鍵詞：MIPv6；路由優(yōu)化；時延；安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）16-0085-02

1 概述

計算機網(wǎng)絡(luò)在過去的二十年間得到了快速發(fā)展，以TCP/IP協(xié)議為協(xié)議框架的Internet以其實用、靈活、節(jié)約的傳輸方式滿足了廣大用戶對于網(wǎng)絡(luò)數(shù)據(jù)通信的日益增長需求，成為了網(wǎng)絡(luò)發(fā)展的成功典范。但隨著用戶數(shù)量的不斷增加，通信數(shù)據(jù)量的不斷增大，目前該體系也遇到了許多的問題和弊端，以往體系本身的一些限制以及為了提高通信效率而主動弱化的一些性能指標正在受到越來越多的關(guān)注，如地址空間不足、無法提供多樣化的通信服務(wù)、缺乏可靠的安全性、對移動網(wǎng)絡(luò)的支持不足等等。IPv6的推出很好地解決了這些問題，尤其是地址空間的發(fā)幅度增加，有效地緩解了目前IP地址資源即將枯竭的嚴重問題。在IPv6體系中，對移動網(wǎng)絡(luò)的支持也大大增加了，MIPv6（Mobile IP version 6）作為該體系中的重要成員，較好地滿足了網(wǎng)絡(luò)節(jié)點的移動性、安全性和可靠性。當該網(wǎng)絡(luò)中的移動節(jié)點變換位置時，不需要再次重新建立連接，而是通過該節(jié)點的特定地址來保持該條連接，這顯然大大增加了移動設(shè)備的通信效率。

2 MIPv6基本機制

2.1 基本路由機制

MIPv6主要解決網(wǎng)絡(luò)中移動節(jié)點之間或移動節(jié)點（Mobile Node，MN）與固定節(jié)點之間的通信問題。由于節(jié)點的移動性，因此需要兩種不同的地址來保持通信，分別為家鄉(xiāng)地址（Home Address， HoA）和轉(zhuǎn)交地址（Care-of Address， CoA），前者負責在節(jié)點移動的過程中始終保持可達性，而后者則根據(jù)節(jié)點當前所處網(wǎng)絡(luò)的具體情況得到的屬于該網(wǎng)絡(luò)前綴的IP地址。

MIPv6網(wǎng)絡(luò)中的節(jié)點采用兩種不同的路由機制，第一種是傳統(tǒng)的路由機制，當節(jié)點處于家鄉(xiāng)網(wǎng)絡(luò)中，并且通信的目的地也是家鄉(xiāng)網(wǎng)絡(luò)中其他節(jié)點時使用該種機制；第二種則較為復(fù)雜，當該節(jié)點處于異地網(wǎng)絡(luò)時，其所發(fā)送的數(shù)據(jù)首先通過轉(zhuǎn)交地址來進行路由查找，而家鄉(xiāng)地址和移動地址之間形成了唯一映射的關(guān)系。其操作流程為：首先由移動節(jié)點在家鄉(xiāng)網(wǎng)絡(luò)中的某臺路由器上對其使用的轉(zhuǎn)交地址進行注冊，并申請該路由器擔任其家鄉(xiāng)代理（Home Agent，HA），則兩種地址之間的唯一映射關(guān)系就可以保留在家鄉(xiāng)代理HA中了，隨后HA完成映射綁定后，將確認信息返回移動節(jié)點完成此過程。在通信過程中，與移動節(jié)點通信的節(jié)點被稱為對應(yīng)端節(jié)點（Correspond Node， CN）。

2.2 節(jié)點間通信方式

對應(yīng)端節(jié)點可以是移動或固定節(jié)點，與目標移動節(jié)點向通信時采用的方式為雙向隧道模式。在該模式中，位于異地的對應(yīng)端節(jié)點向目標移動節(jié)點發(fā)送的數(shù)據(jù)包首先到達家鄉(xiāng)代理HA，此時若移動節(jié)點位于家鄉(xiāng)網(wǎng)絡(luò)內(nèi)，則采用傳統(tǒng)的路由方式將數(shù)據(jù)包送達，若移動節(jié)點也位于異地，則HA通過VPN隧道方式將該數(shù)據(jù)包傳輸至目標移動節(jié)點；另一方面，當移動節(jié)點傳輸數(shù)據(jù)至對應(yīng)端節(jié)點時，同樣需要經(jīng)過家鄉(xiāng)代理HA進行中轉(zhuǎn)，這種模式不要求端節(jié)點支持MIPv6，在此過程中，處于異地的移動節(jié)點需要使用反向隧道始終保持同HA的連接，這意味著所有與對應(yīng)段節(jié)點的通信都必須經(jīng)由HA來轉(zhuǎn)發(fā)，在通信兩端的節(jié)點都不處于家鄉(xiāng)網(wǎng)段內(nèi)時，這種方式會大大延長通信距離，降低了網(wǎng)絡(luò)通信的效率，同時大量的轉(zhuǎn)發(fā)工作也可能使得HA超負荷運轉(zhuǎn)，陷入擁塞狀況。圖1給出了雙向隧道通信模式的基本結(jié)構(gòu)。

考慮到雙向隧道方式的效率過于低下，因此MIPv6引入路由優(yōu)化模式，在該模式下，對應(yīng)端節(jié)點未記錄移動節(jié)點當前的映射地址，而是采用普通的VPN方式來完成數(shù)據(jù)包的傳輸；而在移動節(jié)點發(fā)送更新報文后，對應(yīng)端節(jié)點就可直接根據(jù)報文中存放的轉(zhuǎn)發(fā)地址來發(fā)送數(shù)據(jù)包，因此可以避免雙向隧道模式必須經(jīng)過HA轉(zhuǎn)發(fā)的弊端。如圖2所示。

3 安全路由優(yōu)化策略分析

3.1 返回路由可達協(xié)議（Return Routability Protocol， RRP）

RRP優(yōu)化協(xié)議的主旨是確認家鄉(xiāng)地址和轉(zhuǎn)發(fā)地址是否可達，在保證可達性的基礎(chǔ)上再由數(shù)據(jù)傳送協(xié)議負責具體的通信事務(wù)。該模式最大的優(yōu)勢在于通過彼此間令牌的交換來完成密鑰協(xié)商任務(wù)，從而大大提高了網(wǎng)絡(luò)通信的安全性，保證移動節(jié)點無論處于何地，都不會受到偽基站的誘騙而與非法站點進行通信，而只與通過驗證的真實移動節(jié)點進行數(shù)據(jù)交換。其缺點在于安全機制過于依賴令牌，一旦令牌被惡意截獲，就可能將數(shù)據(jù)連接到攻擊者所在站點，因此仍舊不能很好地保護用戶數(shù)據(jù)安全。圖3給出了RRP協(xié)議的執(zhí)行過程，圖中的HoTI和CoTI分別為家鄉(xiāng)數(shù)據(jù)測試信息和轉(zhuǎn)發(fā)數(shù)據(jù)測試信息。

3.2 加密生成地址協(xié)議CGA （Cryptographically Generated Addresses， CGA）

基于此協(xié)議的安全路由優(yōu)化策略最大的特點是不需要依賴公共密鑰基礎(chǔ)設(shè)施。而是將自身IP地址進行再次編碼，將128位的IP地址分為兩層，前64位為網(wǎng)絡(luò)前綴，表明所在網(wǎng)絡(luò)號，后64位作為接口號，隨后利用Hash算法基于公鑰生成一個合法的IPv6地址，于是該地址就同公鑰形成了唯一映射關(guān)系，實現(xiàn)了數(shù)據(jù)的安全傳輸。其缺點在于無法驗證轉(zhuǎn)發(fā)地址是否合法，因而對所有的轉(zhuǎn)發(fā)地址都必須接受，這可能會導(dǎo)致惡意者使用洪泛法進行網(wǎng)絡(luò)攻擊。

3.3 基于身份識別的安全路由優(yōu)化

該策略對返回路由可達協(xié)議進行改進，如前文所述，前者最大的缺點在于安全性較差，而本策略則在原有的基礎(chǔ)上融入了身份識別和加密機制IBC（ID based Cryptography， IBC）。其原理是使用移動節(jié)點的家鄉(xiāng)地址和轉(zhuǎn)發(fā)地址共同作為其身份信息分別產(chǎn)生公鑰和私鑰并參與兩種地址的識別，由于對通信的兩端節(jié)點都需要進行這種身份的識別驗證，因此有效地提高了通信的安全級別。但缺點是因此降低了通信效率，網(wǎng)絡(luò)時延較大。圖4給出了基于身份識別的路由優(yōu)化過程。

3.4 改進型身份識別安全路由優(yōu)化策略

由于身份識別安全路由效率低下，不利于推廣使用，因此有研究人員提出了多種改進方案，其中較為著名的快速MIPv6安全路由優(yōu)化策略，在基于身份的公鑰體系中，公鑰就是用戶的ID，或者可依據(jù)用戶ID計算得出；私鑰由密鑰生成中心KGC生成。該優(yōu)化策略的過程如圖5所示，其核心優(yōu)化思想是當移動節(jié)點移動到一個新的外地鏈路，并且通過返回可達性協(xié)議得到新轉(zhuǎn)發(fā)地址（NCoA）后，如果發(fā)現(xiàn)與端節(jié)點之間的數(shù)據(jù)交換依然需要通過HA進行轉(zhuǎn)交，則啟動優(yōu)化策略，首先由移動節(jié)點向HA發(fā)送私鑰生成請求REQ，HA在對其進行應(yīng)答的同時，向?qū)?yīng)端節(jié)點發(fā)送加密和解密參數(shù)平param，對應(yīng)端節(jié)點向移動節(jié)點發(fā)送對稱密鑰k0，移動節(jié)點在收到并確認密鑰有效后，反向發(fā)送綁定更新信息BU，完成密鑰的綁定工作，對應(yīng)端節(jié)點最后再對此綁定信息進行確認即可。由此可以看出，該優(yōu)化算法可以保證數(shù)據(jù)傳輸不經(jīng)由HA而直接在移動節(jié)點與對應(yīng)端節(jié)點之間完成。

4 結(jié)束語

移動IPv6網(wǎng)絡(luò)是未來無線通信網(wǎng)絡(luò)發(fā)展的主要方向，隨著網(wǎng)絡(luò)用戶對通信服務(wù)質(zhì)量的要求越來越高，加上網(wǎng)絡(luò)安全的威脅日益嚴重，因此對于移動網(wǎng)絡(luò)安全性能的優(yōu)化工作勢在必行，相信隨著信息安全技術(shù)的不斷發(fā)展，會涌現(xiàn)出更多更優(yōu)秀的優(yōu)化策略，保障移動網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)母咝耘c安全性。

參考文獻：

[1] IET F RFC 4225. Mobile IP Version 6 Rout e Optimization Security Design Background[S] .2010.

[2] Ren Kui， Lou Wenjing. Routing Optimization Security in Mobile IPv6[J]. Computer Network， 2012， 50（1）： 2401-2419.

[3] 田野， 張玉軍， 李忠誠. 使用對技術(shù)的基于身份密碼學研究綜述[J]. 計算機研究與發(fā)展， 2013， 43（10）： 1810-1819.