代理移动IPv6实现及其安全防护的研究.docVIP

代理移动IPv6实现及其安全防护的研究 　　摘要：为了加速基于IP移动性管理的部署，分析研究了IPsec安全防护体系，提出了代理IPv6上的安全防护措施，并设计实现了代理移动IPv6在真实试验台的实现，该实现有利于与MIPL集成，尊重标准规范，同时降低切换延迟并为通信安全提供保障。具有简化移动节点协议栈的显著优点。 　　关键词：代理IPv6协议；移动节点；安全防护 　　中图分类号：TP393.4 文献标识码：A 文章编号：1007-9599　（2012）　17-0000-02 　　在过去的几年中，已经有两种方法解决了移动管理问题，一种是被多数IETF协议使用的基于主机的方法，例如层次型移动IPv6（Hierarchical　Mobile　IPv6，HMIPv6），另一种是在不同子网的无线局域网（Wireless　Local　Area　Networks，WLAN）转换中使用私人无线局域网转换的方法。但是这两种方法都没有完全解决问题。于是互联网工程任务组（Internet　Engineering　Task　Force，IETF）的基于网络的移动性管理协议管理工作组（Network-based　Localized　Mobility　Management　Working　Group，NETLMM　WG）提出了代理移动（Proxy　Mobile　，PMIPv6）作为一种新型的基于网络的移动协议[1]，在这个协议中IPv6节点不需要主机的参与。 　　1 PMIPv6的基本思想 　　PMIPv6扩展了移动IPv6信令和重用了许多概念[2]，比如家乡代理（Home　Agent，HA）功能。作为PMIPv6旨在提供基于网络的一个本地拓扑域对移动节点（Mobile　Node，MN）的移动管理支持，它的创新点在于它免除了MN参与任何移动相关信令并且用代理移动代理来代表MN在服务网络中执行移动相关信令。一旦MN进入PMIPv6域和执行访问认证，服务网络确保MN相信它总是在其家乡网络以及在任何接入网络可以获得其家乡地址。这个服务网络分配一个独有的家乡网络前缀（Home　Network　Prefix，HNP）给每个MN，只要MN在PMIPv6域内移动，这个前缀始终跟随着MN。因此，整个PMIPv6域就显示为MN的家乡网络。PMIPv6架构的核心功能实体主要分为两个部分，一个是本地移动锚点（Local　Mobility　Anchor，LMA），另一个是移动接入网关（Mobile　Access　Gateway，MAG）。 　　本地移动锚点（LMA）作为MN家庭网络前缀的拓扑锚点，接收所有从通信节点（Correspondent　Node，CN）发给MN的数据包，并将这些数据包通过双向隧道转发给正在等待接收的移动接入网关。移动接入网关在隧道另一端接收到数据包后，除去外部标头，并且通过接入链路转发给MN。 　　移动接入网关（MAG）在接入链路上基本扮演者默认路由的角色。它截获所有MN发往任何CN的数据包，并且同过双向隧道将这些数据包发送给本地移动锚点。本地移动锚点在隧道另一端接收到数据包后，除去外部标头并发送到目标地址。 　　2 IPSec安全防护 　　移动IP技术可以让用户在不中断网络连接的情况下随意漫游，给用户带来了极大的方便。但在移动IP环境中，终端可以随意移动，这一特征引入了诸多安全问题。并且对PMIPv6的LMA与MAG之间的双向隧道中来说，安全性考虑机制也是非常重要的。移动IPv6采用了IPSec协议为移动终端的通信提供了安全保护[3]149-150。IPsec提供的安全服务包括对网络单元的访问控制，数据源认证，提供用于无连接服务的协议（如UDP协议）的无连接完整性检验，对重放数据报进行监测和拒绝，使用加密来提供数据流保密。由于IPsec服务是在网络层提供的，任何上层协议，如TCP、UDP、ICMP和IGMP，或者任何应用层协议都可以使用这些服务。因此本文提出对不同LMA之间以及LMA和MAG之间的传送消息同样使用IPSec来进行安全防护，且在PMIPv6中IPSec的应用方法应与移动IPv6协议应用的方法相同。 　　3 PMIPv6的实现 　　本文研究PMIPv6的设计实现是基于Linux　vanilla　kernel　2.6.2.内核，重用移动IPv6　Linux　（Mobile　IPv6　for　Linux，MIPL）2.0.2版本[4]21-24，在真实试验台来完成实现的。在该设计实现中，使用了多线程来实现移动IPv6：一个用来处理互联网控制消息协议（Internet　Control　Message　Protocol　Version　6，ICMPv6）消息，一个用于处理移动头信息，另一个用于处理任务和时间事件。为了支持