理想情况下,当移动终端和通信终端建立绑定后,就可以实现相互间的通信。但在具体实施中,有可能会发生下面的情况:
(1)当移动终端离开本地链路时,本地链路上的一些结点可能被重新配置,原来作为移动代理的路由器可能被别的路由器所替换。在这种情况下,移动终端可能不再知道它自己归属代理的IP地址。IPv6提供了“动态归属代理地址发现”机制来允许移动终端动态的在本地链路上发现一个归属代理的IP地址,移动终端可以向这个归属代理注册自己的转交地址。
(2)移动终端在越区切换时,要进行无线链路的切换,如果新旧链路不在同一个IP子网内,还要进行IP子网切换。切换过程会引起通信延时。在此过程中,发给移动终端的分组可能被丢失。蜂窝移动IPv6中提出了外地本地代理(FHA)和蜂窝组播(CM)的机制。外地本地代理是位于外地网络的主机,用来转发寻址到移动终端的分组。在外地本地代理中有移动终端的换存列表,用来记录其管理区域内的所有移动终端。由于移动终端转交地址可以通过网络前缀加上其MAC地址来自动配置,当寻址到移动终端的分组到达外地本地代理时,通过查询外地本地代理的移动终端缓存列表,蜂窝组播采用向该区域内具有相同MAC地址的转交地址进行组播的方式,来保证移动终端在该区域的任何一个子网上都能接收到数据。
四、移动IPv6安全问题
移动IP技术可以用户在不中断网络连接的情况下随意漫游,给用户带来了极大的方便。但在移动IP环境中,终端可以随意移动,并且可以使用包括无线信道在内的多种传输媒介,这也带来了许多安全隐患。
移动IPv6通信中要面临的安全隐患有:
(1)拒绝服务(Denial of Service)攻击,攻击者能够阻塞未受保护链路上的所有业务量,也能阻止移动终端和其他终端的通信。
(2)绑定更新报文对分组的重定向功能使得攻击者通过冒充移动终端向通信终端发送绑定更新报文,将发往移动终端的分组重定向到攻击者指定的地点。使通信信息遭到泄露。
(3)归属地址选项虽然解决了网络入境过滤路由器的问题,但也暴露了移动终端当前的位置信息。这给某些希望隐藏移动终端位置信息的通信带来了安全威胁。
(4)在移动IPv4协议中,移动终端获得转交地址前,外地代理会对移动终端进行认证处理;在移动IPv6协议中取消了外地代理,移动访问的安全策略工作需要有访问网络的路由器来完成。
(5)移动终端和通信终端的绑定消除了三角路由,实现了路由优化,当移动终端和通信终端同在一个本地网络时,可以通过手工分发密钥或建立一个组织内的认证机构来建立一个安全关联;但如果通信终端是网络内的其他结点尤其是不可信任的结点时,安全关联的建立就比较困难,此时需要建立广泛的公钥基础设施。
移动IPv6采用了IPSec协议为移动终端的通信提供了安全保护。IPSec有两个基本目标,一是保护IP数据包的安全;二是为抵御网络攻击提供防护措施。IPSec提供的是开放系统的安全框架,提供认证和加密两种安全机制。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动;加密机制通过对数据进行编码来保证数据的机密性。这些机制都是在网络层上实现,对网络层以上的应用是透明的。
五、结束语
本文介绍了在IPv6下移动终端的通信的实现。我们首先分析了移动IPv6的实现机制,然后在此基础上论证了移动终端通信的实现过程,并讨论了移动终端区域切换带来的分组延时问题和移动IPv6的安全问题。
在移动终端通信的实际应用中,将会面临很多问题,例如移动终端的身份认证、授权、计费的具体实现,通信过程中服务质量的保证等,这将使移动终端通信的具体实施变得更加复杂。
