本文首先詳細分析了移動IPv6技術的基本原理，關鍵過程以及安全考慮等。在此基礎上，就移動IPv6目前存在的問題作了深入探討。最后，介紹了移動IPv6現狀并對其發展作了展望。

　　1、引言

　　下一代網絡的發展方向之一是向多元化的無縫寬帶接入網絡演進，各種有線、無線接入方式對于用戶業務體驗需要提供通用的移動性，使用戶隨時隨地可以享受到統一的業務特性。

　　移動終端要在三層網絡切換的過程中保持通信暢通就必須保證移動對于通信應用的透明，即通信應用的網絡層識別——IP地址保持不變。互聯網路由模式是根據網絡層目的地址來進行選路，并將數據包發送到該目的地址所在的網絡，從而到達該目的地址所代表的節點。網絡層移動必須解決對通信應用全程使用不變IP地址的同時，對于路由使用節點當前所在網段可達的IP地址。移動IPv6巧妙地解決了這個問題。

　　2、移動IPv6基本工作原理

　　移動IPv6對于實現通信在網絡層移動過程中保持不斷的解決方案可以簡單地歸納為三點：

　　(1)定義了家鄉地址，上層通信應用全程使用家鄉地址保證了對應用的移動透明;

　　(2)定義了轉交地址，從外地網絡獲得轉交地址，保證了現有路由模式下通信可達;

　　(3)家鄉地址與轉交地址的映射，建立了上層應用所使用的網絡層標識與網絡層路由所使用的目的標識之間的關系。

　　具體工作流程可簡單歸納如下：

　　當移動節點在家鄉網段中時，它與通信節點之間按照傳統的路由技術進行通信，不需要移動IPv6的介入。

　　當移動節點移動到外地鏈路時，移動節點的家鄉地址保持不變，同時獲得一個臨時的IP地址(即轉交地址)。移動節點把家鄉地址與轉交地址的映射告知家鄉代理。通信節點與移動節點通信仍然使用移動節點的家鄉地址，數據包仍然發往移動節點的家鄉網段;家鄉代理截獲這些數據包，并根據已獲得的映射關系通過隧道方式將其轉發給移動節點的轉交地址。移動節點則可以直接和通信節點進行通信。這個過程也叫做三角路由過程。

　　移動節點也會將家鄉地址與轉交地址的映射關系告知通信節點，當通信節點知道了移動節點的轉交地址就可以直接將數據包轉發到其轉交地址所在的外地網段。這樣通信節點與移動節點之間就可以直接進行正常通信。這個通信過程也被稱作路由優化后的通信過程。

　　3、移動IPv6的安全考慮

　　上述移動IPv6的基本工作過程只是針對于理想狀態的互聯網，并沒有考慮安全方面的問題。實際的網絡中，會存在各種對報文的竊聽或者篡改等攻擊。如果攻擊者截取了綁定報文，并且修改內容中轉交地址為攻擊者的地址，然后再繼續發送給HA或者CN，那么攻擊者就會截取到發往移動節點的通信數據。同樣對于移動IPv6中目的選項或者路由報頭的攻擊，也會影響到通信的安全。要保證移動IPv6的通信安全，就必須保證移動IPv6的協議消息的真實性和完整性。

　　MN與CN的關系帶有任意性，不適合需要預先建立安全關聯的方式，因此IPSec在MN與CN之間不適用。為保證MN與CN的之間的安全性，引入了往返可路由過程。

　　MN與CN之間的移動IPv6協議消息包括：MN發往CN的綁定消息，CN發往MN的綁定確認。往返可路由過程的目的是要確保綁定消息中的家鄉地址和轉交地址都是真實可達的，都屬于移動節點。

　　MN與HA之間的關系相對固定，便于預先建立安全關聯，因此對于MN和HA之間的協議消息使用IPSec進行保護，具體的操作可以參考RFC3776，本文不再贅述。

　　4、移動IPv6的關鍵過程

　　移動IPv6的協議中，從三角路由到路由優化的通信過程包含了移動檢測，獲取轉交地址，轉交地址注冊，隧道轉發等機制，往返可路由等信令過程等。

　　4.1移動檢測

　　移動檢測分為二層移動檢測以及三層移動檢測。不論二層移動檢測采用什么方法，移動IPv6中依靠路由通告來確定是否發生了三層移動。移動節點在家鄉網段的時候，在規定的時間間隔內能夠周期性收到路由前綴通告;移動節點從家鄉網絡移動到外地網絡的時候，在規定的時間間隔內不會再收到家鄉網段的路由通告，移動節點認為發生了網絡層移動。

　　4.2獲取轉交地址

　　當移動節點監測到發生了網絡切換時，就需要分配當前網段可達的轉交地址。獲得轉交地址的方式可以是任何傳統的IPv6地址分配方式，如無狀態自動配置方式，或者是有狀態分配方式。最簡單的方式之一就是無狀態自動配置方式，利用所接收到外地網絡的路由前綴，與移動節點的接口地址合成轉交地址。

　　4.3轉交地址注冊

　　移動節點獲得轉交地址后需要將轉交地址與家鄉地址的綁定關系分別通知給家鄉代理以及正在與移動節點通信的通信節點，這個過程分別稱為家鄉代理注冊以及通信節點注冊。轉交地址的注冊主要通過綁定更新/確認消息來實現。

　　4.4隧道轉發機制/三角路由

　　移動節點已經完成家鄉代理注冊但是還沒有向通信節點注冊時，通信節點發往移動節點的數據在網絡層仍然使用移動節點的家鄉地址。家鄉代理會截取這些數據包，并根據已知的移動節點轉交地址與家鄉地址的綁定關系，通過IPv6inIPv6隧道將數據包轉發到移動節點。移動節點可以直接回復給通信節點。這個過程也叫做三角路由。

　　4.5往返可路由過程

　　往返可路由過程主要目的在于保證通信節點接收到綁定更新的真實性和可靠性，由兩個并發過程組成：家鄉測試過程和轉交測試過程。

　　家鄉測試過程首先由移動節點發起家鄉測試初始化消息，通過隧道經由家鄉代理轉發給通信節點，以此告知通信節點啟動家鄉測試所需的工作。通信節點收到家鄉測試初始化消息后，會利用家鄉地址及兩個隨機數Kcn與nonce，進行運算生成homekeygentoken，然后會利用返回給移動節點的家鄉測試消息把homekeygen token*以及nonce索引號告訴移動節點;

　　轉交測試首先是移動節點直接向通信節點發送轉交測試初始化消息，通信節點會將消息中攜帶的轉交地址與ken和nonce進行相應運算生成care-ofkeygentoken*，然后在返回移動節點的轉交測試息中攜帶care-ofkeygentoken以及nonce索引號。

　　移動節點利用homekeygentoken和care-ofkeygentoken生成綁定管理密鑰Kbm，再利用kbm和綁定更新消息進行相應運算生成驗證碼1，攜帶在綁定更新消息中。通信節點收到綁定更新消息后利用home keygen token，care-ofkeygen token以及nonce數，與綁定消息進行相應運算，得出驗證碼2。比較兩個驗證碼，如果相同，通信節點就可以判斷綁定消息真實可信，否則，將視為無效。

#p#副標題#e#

　　4.6動態家鄉代理地址發現過程

　　通常家鄉網絡的前綴和家鄉代理的地址是固定的，但是也可能因為故障或其他原因出現重新配置。當家鄉網絡配置改變時，身在外地的移動節點需要依靠動態家鄉代理地址發現過程發現家鄉代理的地址。這主要借助于目的地為一個特殊anycast地址的ICMP特別消息。據了解，目前這個過程并沒有設備實現，因此也不做過多介紹，進一步了解可以參考RFC3775。

　　圖1示出了移動IPv6的過程。

　　

　　圖1 移動IPv6過程圖解

　　5、移動IPv6所面臨的問題

　　5.1安全

　　MIPv6中規定了以IPSec來進行MN與HA之間協議消息保護，此外對于數據消息也可以用IPSec進行保護。但是在IPv6中真正啟用IPSec的很少，MIPv6中應用IPSec就更少了。一方面是由于各系統對IPSecforIPv6的支持還不到位，另一方面IPSec的應用主要適用于IPSecVPN之類的公司用戶應用。對于個人用戶，IPSec的配置還是比較繁瑣。如何能使IPSec易于配置，廣泛應用起來，這也是移動IPv6要解決的一個問題。此外，對于如何驗證MN與HA之間的協議消息，已經提出了其他的草案。安全問題仍然是MIPv6的研究熱點之一。

　　5.2快速切換

　　移動IPv6的目的是為了使在移動過程中通信仍然能夠保持和流暢，這就意味著在網絡切換的過程對丟包和時延的要求比較苛刻。對于交互式語音通信，可以接受的雙向時延小于300ms，丟包率小于3%。但是目前MIPv6實現的試驗結果并不理想，切換速度一般在3-4s。

　　為了減小切換的時延，RFC3775中規定了在實現MIPv6網絡中各網段的接入接入路由器的路由前綴通告的間隔范圍：min=0.03ms，max=0.07ms。而普通的IPv6網絡中，這個參數的值在min=(3s，0.75*max)，max=(4s，600s)。頻繁的路由通告可以使移動節點快速檢測到網段遷移，啟動移動IPv6的后續過程;但是頻繁的路由通告也使MIPv6的通信效率有所降低。此外，業界針對快速切換還提出了層次化移動IPv6的概念。所有的這些措施，都還需要進一步的評估檢驗。

　　5.3實現

　　目前，Linux系統中對IPv6的支持是基于2.4系列內核的，已經基本實現對RFC3775的支持，但是由于沒有支持IPSecforIPv6，Linux系統的MN/HA并不能使用IPSec保護MIPv6的通信安全。不過，Linux現在正在進行2.6系列內核的操作系統中對MIPv6的支持，屆時，LinuxMIPv6將可以使用IPSec功能。

　　Cisco，Nokia等廠家的網絡設備也實現了對MIPv6提供了基本的支持。

　　5.4應用

　　移動IPv6與IPv6共同描繪出一個美好的移動數據應用的未來。各種家用電器、手持設備、車載系統、以及傳感系統、通信終端等都可以通過網絡進行任何時間，任何地點，保持豐富的信息傳送。但是移動IPv6從提出到現在近10年的時間里，還沒有過真正的商業部署。一方面，IPv6的網絡和應用并沒有大規模鋪開。另一方面，移動IPv6的應用很多都是面向未來的，比如日本在研究的ADHOC的ITS系統，不是近2～3年內就能夠為推廣應用的，也就是說一些移動IPv6的應用是以IPv6數字生活為前提的。

　　至于何時移動IPv6所描繪出來的無所不在的流暢通信時代才能走進千家萬戶，還很難給出一個確切的估計，但是很明確的是這中間還有很多方面需要努力。

　　6、結束語

　　移動IPv6真正推廣，一方面需要借助下一代網絡的快速發展需求，如多模終端的應用，IPv6業務的普及等。另一方面也需要克服目前存在的一些問題，具體而言，移動IPv6的發展需要先解決當前業務研究方向中遇到的技術問題(便于配置和部署的信令安全方案;快速和平滑的切換方案;移動過程中保持統一的AAA策略的解決方案;移動過程中保持統一QoS策略的解決方案;動態域名解決方案等)，然后才能做好業務解決方案。

　　此外，移動IPv6為特色的業務普及還需要一個成熟的技術和業務環境條件，包括：異質接入網絡的融合，包括各種有線、無線接入方式之間的切換;統一的或者良好互通的后臺管理系統;多模終端的應用;IPv6網絡的部署以及業務的普及應用;NGI移動數據業務廣泛應用等。

　　如果失去了這些前提條件，移動IPv6的技術將失去發展的空間。移動IPv6的標準歷經至少24版RFCDraft，于2004年6月終于標準化成為RFC3775。2005年6月，日本的IPv6促進協會啟動了“IPv6Ready”二期認證，主要是增加了對MIPv6和IPSec的認證，這將有利于推動移動IPv6的發展。期待在不久的將來結合移動IPv6，將有更豐富的移動數據業務或者業務特性提供給用戶體驗。

　　注：*移動節點：指發生網絡切換的網絡節點。

　　*通信節點：指與移動節點進行通信的對端網絡節點。

　　*家鄉代理：指能夠接受移動節點的綁定消息并且能夠截取發往移動節點家鄉地址的數據包然后將這些數據包轉發給移動節點的路由器。

　　*homekeygentoken：homekeygen token=First(64，HMAC_SHA1(Kcn，(home address|nonce|0)))

　　*care-ofkeygentoken：First(64，HMAC_SHA1(Kcn，(care-ofaddress|nonce|1)))

　　*左邊的側括號標明的是信令過程，右邊的側括號標明的是數據過程。淺字體的表示為信令消息，深字體為數據消息。很多時候，信令消息是攜帶在數據消息中的。