移动IPv6实施的关键问题及在CDMA网络中的应用

防御伪造注册请求的DoS攻击的有效办法是对移动节点和本地代理之间交换的所有注册信息进行有效的验证。本地代理向MN回送的注册应答消息采用消息摘要方法。

另外，可利用SCTP(流控制传输协议)四路防御DoS攻击。SCTP是面向连接的可靠传送协议，在SCTP中，TCP 中的连接被引申为关联，每个关联都由两个SCTP端口号和两个IP地址列表来标识。SYN flooding利用了TCP/IP中的TCP三次握手，恶意的攻击者大量向服务器发送SYN报文，使得正常的连接无法建立，并在服务器端形成一个非常大的半连接列表而无法接受正常服务。而在SCTP四路握手中，INIT消息的接收端不必保存任何状态信息或分配任何资源，它在发送INIT ACK消息时，采用了"状态cookie"机制。采用这种方式，即使接收更多的INIT消息，接收端也没有任何资源的消耗，它既不分配任何系统资源，也不保存此次新关联的状态，只是把相应重建状态所用的cookie作为参数，包含在每一个回送的INIT ACK消息中，最后该cookie会被cookie-echo消息发送回来，从而防范SYN flooding等方式的DoS攻击。

2.3　IPv6 DNS自动发现

IPv6网络终端可以利用有状态和无状态自动地址获得机制得到地址，DNS服务器同样也需要有自动获得机制。目前有三种机制，路由宣告选项机制(RA option)、DHCPv6选项(DHCPv6 option)和事先配置的任播地址机制。

(1)路由宣告选项机制

RA选项机制定义了一个新的邻居发现(ND)选项RDNSS，包含了DNS服务器地址，可使用现有的ND宣告和请求机制。该方法具有以下优点：

●只是扩展了ND自动配置机制，不需要对ND协议进行大的改动。

●和ND一样，可在多种类型的链路上运作，包括点到点链路、点到多点链路、多播等。

●适用于多种网络环境。

但也存在以下缺点：

●ND大多在操作系统内实现，而DHCPv6在应用层实现。

●由于ND缓冲之间的同步在内核空间中，而DNS配置文件在用户空间中，所以目前的ND框架需要修改。

●路由器需要配置RDNSS地址。

●无线网络环境中，由于多播不稳定，此方法性能不佳。

(2)DHCPv6选项机制

DHCPv6中包含DNS Recursive Name Server选项来指定可以提供名字服务的服务器地址信息，提供名字搜索顺序选项。主要有以下优点：

●方便配置其它信息，如SIP服务器和NTP服务器地址。

●互操作性好。

●已为RFC，标准性好。

存在以下缺点：

●由于RA消息中不包含DNS信息，主机必须从路由器处接收两个消息。

●增加了延迟，除了必须等待RA消息外，客户还必须和DHCPv6服务器交换报文。

(3)任播地址机制

使用特殊的任播地址，具有以下优点：延迟小，可与其它方法混合使用，在DNS可工作的任意环境下都可以使用。缺点主要有：此方法需要DNS服务器扮演部分路由器角色，向路由系统宣告任播地址。

3、CDMA网络实施移动IPv6有关的问题

3.1　CDMA网络中移动IPv6的演进

CDMA网络中移动IPv6的演进有多种解决方案，如双协议栈技术、隧道技术、协议转换等，下面将就目前主要的几种演进机制进行详细说明。

(1)双协议栈

IPv6和IPv4是功能相近的网络层协议，两者都基于相同的物理平台，而且加载于其上的传输层协议TCP和UDP又没有任何区别。双协议栈，即主机和路由器在同一网络接口上运行IPv4栈和IPv6栈。这样，双栈节点既可以接收和发送IPv4包，也可以接收和发送 IPv6包，因而两个协议可以在同一网络中共存。双协议栈易于实施，但效率较低。

(2)隧道技术

隧道技术的核心思想是通过把IPv6数据报文封装入IPv4数据报文中，让现有IPv4网络成为载体以建立IPv6的通信，隧道两端的节点间数据报文的传送通过IPv4机制进行，隧道被看成一个直接连接的通道。隧道技术只要求在隧道的入口和出口处进行修改，对其它部分没有要求，因而技术实现非常容易。

一个隧道具有一个入口点和一个终点，为了让数据通过，必须知道两个端点的地址。确定入口点是直接的，因为它出现在 IPv4基础结构的边界，确定隧道的终点要复杂一些。根据隧道终点地址的获得方式可将隧道分为配置型隧道和自动型隧道，其中配置型隧道主要用于路由器到路由器，而自动型隧道有以下几种方式：tunnel brokers(RFC 3053)(基于服务器的半自动隧道)、6to4(RFC 3056)(路由器到路由器)、ISATAP(intra-site automatic tunnel addressing protocol)(主机到路由器，路由器到主机，主机到主机)、6over4(RFC 2529)(主机到路由器，路由器到主机)、Teredo(通过IPv4 NAT建立隧道)、IPv64(IPv4/IPv6混合环境下使用)、DSTM(dual stack transition mechanism)(IPv4在IPv6隧道里)。

隧道技术的优点在于隧道的透明性，IPv6主机之间的通信可以忽略隧道的存在，隧道只起到物理通道的作用，不需要大量的 IPv6专用路由器设备和专用链路，可以明显地减少投资。其缺点是：过程繁琐，IPv4主机和IP6主机无法互通。在IPv6网络建设的初期，可以采用这种方式。

(3)翻译机制

目前，翻译机制有多种层次，如网络层翻译器，包括SIIT(stateless IP/ICMP translation algorithm，RFC2765)、NAT-PT(RFC2766)和BIS(bump in the stack，RFC2767);传输层翻译器有TRT(transport relay translator，RFC3142)、BIA(bump in the API，RFC3338)和SOCKS64(RFC3089);应用层翻译器有ALG(application level gateway)。

3.2　移动IPv6的自举

自举(bootstrapping)是指MN必须创建并维护以下三种信息：MN的家乡地址，家乡代理地址，MN与家乡代理之间的IPSec安全关联或者共享密钥，以实现在家乡代理完成注册的过程。一般来讲，MN每次启动、地址前缀变化或当有更优的家乡代理出现时都会进行自举。自举可以看成是移动服务提供商验证移动服务订购者的身份后，为移动服务订购者配置所需参数的过程，有以下两种模式：

●移动服务提供商(MSP)模式的自举，MIPv6认证独立于网络接入认证。

●综合接入服务提供商(IASP)模式的自举，MIPv6认证依赖于网络接入认证。

从网络运营模式方面，移动IPv6服务运营实体可以分为：接入服务提供商(ASP)、MSP和IASP，其中MSP必须通过ASP为其提供业务的基本接入，而IASP自身既是ASP又是MSP。

运营商在网络部署初期，可以先只作为MSP，通过与第三方ASP签订协议，利用其作为用户的网络接入认证，而自己为用户进行移动IPv6自举。后期则可采用基于IASP模式的自举，同时进行网络接入认证与自举过程，更易于实现可运营、可管理，但部署难度相对较大。

目前自举过程本身尚有不足之处，有待进一步研究解决，如MN和处理自举过程的实体间的相互认证和信任关系;如何确保密钥在生命周期内不被盗用;特定HA和地址分配的SA绑定;如何支持SA的多种算法及如何避免拒绝服务攻击等。

3.3　基于业务的承载控制

PDSN充当SBBC(service based bearer control)时候，需要标识会话中的流，但MN到CN的数据是通过MN-HA隧道传送的，对PDSN透明。为了解决此问题，目前方法为移动IP归属地址只使用在SIP信令消息中，而使用IP转交地址来承载。

3.4　移动IPv6与TFT的交互

移动IPv6和TFT(traffic flow template)交互时，有时不能正确映射TFT到IPv6的地址，目前有两种解决方法。方法一是修改SDP(会话描述协议)，在draft-ietf -mmusic-sdp-srcfilter-05.txt中描述，此方法方便，但效率较低。方法二是在移动性选项中增加转交地址移动性选项，此方法复杂，但效率较高。

3.5　互通问题

3GPP标准要求IMS使用IPv6，并确立了其惟一性。3GPP2出于两种体系融合的考虑，也采用了IMS模式。现阶段最突出的问题是IETF与3GPP/3GPP2 SIP网元之间的差异，以及IMS与外部使用IPv4的SIP设备之间的互通性。

3.6　认证问题

在蜂窝网络中，基于SIM的认证过程中产生的会话密钥也可以用来对移动IPv6中的绑定选项进行加密认证，还可以用来保证运行在IP网络上的其它应用的安全。

理论上讲，可用SIM6机制来为移动节点、家乡代理和一些通信节点的认证提供绑定认证密钥，从而完善在多接入环境中提供移动性所必须的安全机制。但如何在CDMA网络中引入SIM6，并适应机卡分离这一要求，仍然处于探索阶段。

4、实施中对CDMA网络设备的具体要求

PDSN：PDSN需要支持双协议栈，并且能够支持IPv6CP over PPP，即：PDSN如果不是纯IPv6的连接，则可以将IPv6数据通过隧道方式传送到外部。PDSN仍需支持基于IPv4的到PCF的A10和A11 接口。如果PDSN具有纯IPv6连接，而终端协议为IPv4，PDSN必须具有某种翻译机制。

DNS：现有的DNS服务器必须支持双协议栈，包含IPv6业务使用的AAAA记录，能够接受通过IPv4或IPv6的DNS查询。如果运营商希望动态配置归属地址，HA或者AAAH(归属地AAA)必须在归属地址的DNS改变时，发送DNS更新到DNS服务器。

无线网络：可保持不变，但PCF必须可以基于IPv4的A10和A11接口来与双协议栈的PDSN进行通信。

终端：为双协议栈，支持IS-835规范(cdma2000 wireless IP network)。

HA：如果运营商需要支持永远在线，HA必须为双协议栈，且支持移动IPv6协议。

AS：如果网络为纯IPv6，HTTP服务器、Java、下载等应用服务器必须支持双协议栈。通信协议也需相应改动。

SIP服务器：必须支持双协议栈，且SDP也应支持IPv6。

作者：张云勇　张智江　施万亚等 来源：中国联通