基于移动IPv6网络的路由优化机制的探讨

吴玉东

摘要：IPv6作为现有TCP/IP协议体系中IPv4的替换协议，在未来的计算机网络体系中占有重要的地位。而移动网络作为目前发展速度最快，用户数量最多的网络，准备在未来推广的MIPv6网络的重要性不言而喻。在移动网络安全问题日益突出的今天，对MIPv6网络的路由协议进行优化，提高其响应速度和安全性成为了研究的热点。该文分析了现有的MIPv6安全路由方法，并在此基础上提出了优化方案，具有一定的参考价值。

关键词：MIPv6；路由优化；时延；安全

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）16-0085-02

1 概述

计算机网络在过去的二十年间得到了快速发展，以TCP/IP协议为协议框架的Internet以其实用、灵活、节约的传输方式满足了广大用户对于网络数据通信的日益增长需求，成为了网络发展的成功典范。但随着用户数量的不断增加，通信数据量的不断增大，目前该体系也遇到了许多的问题和弊端，以往体系本身的一些限制以及为了提高通信效率而主动弱化的一些性能指标正在受到越来越多的关注，如地址空间不足、无法提供多样化的通信服务、缺乏可靠的安全性、对移动网络的支持不足等等。IPv6的推出很好地解决了这些问题，尤其是地址空间的发幅度增加，有效地缓解了目前IP地址资源即将枯竭的严重问题。在IPv6体系中，对移动网络的支持也大大增加了，MIPv6（Mobile IP version 6）作为该体系中的重要成员，较好地满足了网络节点的移动性、安全性和可靠性。当该网络中的移动节点变换位置时，不需要再次重新建立连接，而是通过该节点的特定地址来保持该条连接，这显然大大增加了移动设备的通信效率。

2 MIPv6基本机制

2.1 基本路由机制

MIPv6主要解决网络中移动节点之间或移动节点（Mobile Node，MN）与固定节点之间的通信问题。由于节点的移动性，因此需要两种不同的地址来保持通信，分别为家乡地址（Home Address， HoA）和转交地址（Care-of Address， CoA），前者负责在节点移动的过程中始终保持可达性，而后者则根据节点当前所处网络的具体情况得到的属于该网络前缀的IP地址。

MIPv6网络中的节点采用两种不同的路由机制，第一种是传统的路由机制，当节点处于家乡网络中，并且通信的目的地也是家乡网络中其他节点时使用该种机制；第二种则较为复杂，当该节点处于异地网络时，其所发送的数据首先通过转交地址来进行路由查找，而家乡地址和移动地址之间形成了唯一映射的关系。其操作流程为：首先由移动节点在家乡网络中的某台路由器上对其使用的转交地址进行注册，并申请该路由器担任其家乡代理（Home Agent，HA），则两种地址之间的唯一映射关系就可以保留在家乡代理HA中了，随后HA完成映射绑定后，将确认信息返回移动节点完成此过程。在通信过程中，与移动节点通信的节点被称为对应端节点（Correspond Node， CN）。

2.2 节点间通信方式

对应端节点可以是移动或固定节点，与目标移动节点向通信时采用的方式为双向隧道模式。在该模式中，位于异地的对应端节点向目标移动节点发送的数据包首先到达家乡代理HA，此时若移动节点位于家乡网络内，则采用传统的路由方式将数据包送达，若移动节点也位于异地，则HA通过VPN隧道方式将该数据包传输至目标移动节点；另一方面，当移动节点传输数据至对应端节点时，同样需要经过家乡代理HA进行中转，这种模式不要求端节点支持MIPv6，在此过程中，处于异地的移动节点需要使用反向隧道始终保持同HA的连接，这意味着所有与对应段节点的通信都必须经由HA来转发，在通信两端的节点都不处于家乡网段内时，这种方式会大大延长通信距离，降低了网络通信的效率，同时大量的转发工作也可能使得HA超负荷运转，陷入拥塞状况。图1给出了双向隧道通信模式的基本结构。

考虑到双向隧道方式的效率过于低下，因此MIPv6引入路由优化模式，在该模式下，对应端节点未记录移动节点当前的映射地址，而是采用普通的VPN方式来完成数据包的传输；而在移动节点发送更新报文后，对应端节点就可直接根据报文中存放的转发地址来发送数据包，因此可以避免双向隧道模式必须经过HA转发的弊端。如图2所示。

3 安全路由优化策略分析

3.1 返回路由可达协议（Return Routability Protocol， RRP）

RRP优化协议的主旨是确认家乡地址和转发地址是否可达，在保证可达性的基础上再由数据传送协议负责具体的通信事务。该模式最大的优势在于通过彼此间令牌的交换来完成密钥协商任务，从而大大提高了网络通信的安全性，保证移动节点无论处于何地，都不会受到伪基站的诱骗而与非法站点进行通信，而只与通过验证的真实移动节点进行数据交换。其缺点在于安全机制过于依赖令牌，一旦令牌被恶意截获，就可能将数据连接到攻击者所在站点，因此仍旧不能很好地保护用户数据安全。图3给出了RRP协议的执行过程，图中的HoTI和CoTI分别为家乡数据测试信息和转发数据测试信息。

3.2 加密生成地址协议CGA （Cryptographically Generated Addresses， CGA）

基于此协议的安全路由优化策略最大的特点是不需要依赖公共密钥基础设施。而是将自身IP地址进行再次编码，将128位的IP地址分为两层，前64位为网络前缀，表明所在网络号，后64位作为接口号，随后利用Hash算法基于公钥生成一个合法的IPv6地址，于是该地址就同公钥形成了唯一映射关系，实现了数据的安全传输。其缺点在于无法验证转发地址是否合法，因而对所有的转发地址都必须接受，这可能会导致恶意者使用洪泛法进行网络攻击。

3.3 基于身份识别的安全路由优化

该策略对返回路由可达协议进行改进，如前文所述，前者最大的缺点在于安全性较差，而本策略则在原有的基础上融入了身份识别和加密机制IBC（ID based Cryptography， IBC）。其原理是使用移动节点的家乡地址和转发地址共同作为其身份信息分别产生公钥和私钥并参与两种地址的识别，由于对通信的两端节点都需要进行这种身份的识别验证，因此有效地提高了通信的安全级别。但缺点是因此降低了通信效率，网络时延较大。图4给出了基于身份识别的路由优化过程。

3.4 改进型身份识别安全路由优化策略

由于身份识别安全路由效率低下，不利于推广使用，因此有研究人员提出了多种改进方案，其中较为著名的快速MIPv6安全路由优化策略，在基于身份的公钥体系中，公钥就是用户的ID，或者可依据用户ID计算得出；私钥由密钥生成中心KGC生成。该优化策略的过程如图5所示，其核心优化思想是当移动节点移动到一个新的外地链路，并且通过返回可达性协议得到新转发地址（NCoA）后，如果发现与端节点之间的数据交换依然需要通过HA进行转交，则启动优化策略，首先由移动节点向HA发送私钥生成请求REQ，HA在对其进行应答的同时，向对应端节点发送加密和解密参数平param，对应端节点向移动节点发送对称密钥k0，移动节点在收到并确认密钥有效后，反向发送绑定更新信息BU，完成密钥的绑定工作，对应端节点最后再对此绑定信息进行确认即可。由此可以看出，该优化算法可以保证数据传输不经由HA而直接在移动节点与对应端节点之间完成。

4 结束语

移动IPv6网络是未来无线通信网络发展的主要方向，随着网络用户对通信服务质量的要求越来越高，加上网络安全的威胁日益严重，因此对于移动网络安全性能的优化工作势在必行，相信随着信息安全技术的不断发展，会涌现出更多更优秀的优化策略，保障移动网络数据传输的高效性与安全性。

参考文献：

[1] IET F RFC 4225. Mobile IP Version 6 Rout e Optimization Security Design Background[S] .2010.

[2] Ren Kui， Lou Wenjing. Routing Optimization Security in Mobile IPv6[J]. Computer Network， 2012， 50（1）： 2401-2419.

[3] 田野， 张玉军， 李忠诚. 使用对技术的基于身份密码学研究综述[J]. 计算机研究与发展， 2013， 43（10）： 1810-1819.