1、引言

下一代網絡的發展方向之一是向多元化的無縫寬帶接入網絡演進，各種有線、無線接入方式對于用戶業務體驗需要提供通用的移動性，使用戶隨時隨地可以享受到統一的業務特性。

移動終端要在三層網絡切換的過程中保持通信暢通就必須保證移動對于通信應用的透明，即通信應用的網絡層識別——IP地址保持不變。互聯網路由模式是根據網絡層目的地址來進行選路，并將數據包發送到該目的地址所在的網絡，從而到達該目的地址所代表的節點。網絡層移動必須解決對通信應用全程使用不變IP地址的同時，對于路由使用節點當前所在網段可達的IP地址。移動IPv6巧妙地解決了這個問題。

2、移動IPv6基本工作原理

移動IPv6對于實現通信在網絡層移動過程中保持不斷的解決方案可以簡單地歸納為三點：

定義了家鄉地址，上層通信應用全程使用家鄉地址保證了對應用的移動透明;

(2)定義了轉交地址，從外地網絡獲得轉交地址，保證了現有路由模式下通信可達;

(3)家鄉地址與轉交地址的映射，建立了上層應用所使用的網絡層標識與網絡層路由所使用的目的標識之間的關系。

具體工作流程可簡單歸納如下：

當移動節點在家鄉網段中時，它與通信節點之間按照傳統的路由技術進行通信，不需要移動IPv6的介入。

當移動節點移動到外地鏈路時，移動節點的家鄉地址保持不變，同時獲得一個臨時的IP地址(即轉交地址)。移動節點把家鄉地址與轉交地址的映射告知家鄉代理。通信節點與移動節點通信仍然使用移動節點的家鄉地址，數據包仍然發往移動節點的家鄉網段;家鄉代理截獲這些數據包，并根據已獲得的映射關系通過隧道方式將其轉發給移動節點的轉交地址。移動節點則可以直接和通信節點進行通信。這個過程也叫做三角路由過程。

移動節點也會將家鄉地址與轉交地址的映射關系告知通信節點，當通信節點知道了移動節點的轉交地址就可以直接將數據包轉發到其轉交地址所在的外地網段。這樣通信節點與移動節點之間就可以直接進行正常通信。這個通信過程也被稱作路由優化后的通信過程。

3、移動IPv6的安全考慮

上述移動IPv6的基本工作過程只是針對于理想狀態的互聯網，并沒有考慮安全方面的問題。實際的網絡中，會存在各種對報文的竊聽或者篡改等攻擊。如果攻擊者截取了綁定報文，并且修改內容中轉交地址為攻擊者的地址，然后再繼續發送給HA或者CN，那么攻擊者就會截取到發往移動節點的通信數據。同樣對于移動IPv6中目的選項或者路由報頭的攻擊，也會影響到通信的安全。要保證移動IPv6的通信安全，就必須保證移動IPv6的協議消息的真實性和完整性。

MN與CN的關系帶有任意性，不適合需要預先建立安全關聯的方式，因此IPSec在MN與CN之間不適用。為保證MN與CN的之間的安全性，引入了往返可路由過程。

MN與CN之間的移動消息包括：MN發往CN的綁定消息，CN發往MN的綁定確認。往返可路由過程的目的是要確保綁定消息中的家鄉地址和轉交地址都是真實可達的，都屬于移動節點。

MN與HA之間的關系相對固定，便于預先建立安全關聯，因此對于MN和HA之間的協議消息使用IPSec進行保護，具體的操作可以參考RFC3776，本文不再贅述。

4、移動IPv6的關鍵過程

移動IPv6的協議中，從三角路由到路由優化的通信過程包含了移動檢測，獲取轉交地址，轉交地址注冊，隧道轉發等機制，往返可路由等信令過程等。

4.1移動檢測

移動檢測分為二層移動檢測以及三層移動檢測。不論二層移動檢測采用什么方法，移動IPv6中依靠路由通告來確定是否發生了三層移動。移動節點在家鄉網段的時候，在規定的時間間隔內能夠周期性收到路由前綴通告;移動節點從家鄉網絡移動到外地網絡的時候，在規定的時間間隔內不會再收到家鄉網段的路由通告，移動節點認為發生了網絡層移動。

4.2獲取轉交地址

當移動節點監測到發生了網絡切換時，就需要分配當前網段可達的轉交地址。獲得轉交地址的方式可以是任何傳統的IPv6地址分配方式，如無狀態自動配置方式，或者是有狀態分配方式。最簡單的方式之一就是無狀態自動配置方式，利用所接收到外地網絡的路由前綴，與移動節點的接口地址合成轉交地址。

4.3轉交地址注冊

移動節點獲得轉交地址后需要將轉交地址與家鄉地址的綁定關系分別通知給家鄉代理以及正在與移動節點通信的通信節點，這個過程分別稱為家鄉代理注冊以及通信節點注冊。轉交地址的注冊主要通過綁定更新/確認消息來實現。

4.4隧道轉發機制/三角路由

移動節點已經完成家鄉代理注冊但是還沒有向通信節點注冊時，通信節點發往移動節點的數據在網絡層仍然使用移動節點的家鄉地址。家鄉代理會截取這些數據包，并根據已知的移動節點轉交地址與家鄉地址的綁定關系，通過IPv6inIPv6隧道將數據包轉發到移動節點。移動節點可以直接回復給通信節點。這個過程也叫做三角路由。

4.5往返可路由過程

往返可路由過程主要目的在于保證通信節點接收到綁定更新的真實性和可靠性，由兩個并發過程組成：家鄉測試過程和轉交測試過程。

家鄉測試過程首先由移動節點發起家鄉測試初始化消息，通過隧道經由家鄉代理轉發給通信節點，以此告知通信節點啟動家鄉測試所需的工作。通信節點收到家鄉測試初始化消息后，會利用家鄉地址及兩個隨機數Kcn與nonce，進行運算生成homekeygentoken，然后會利用返回給移動節點的家鄉測試消息把homekeygen token*以及nonce索引號告訴移動節點;

轉交測試首先是移動節點直接向通信節點發送轉交測試初始化消息，通信節點會將消息中攜帶的轉交地址與ken和nonce進行相應運算生成care-ofkeygentoken*，然后在返回移動節點的轉交測試息中攜帶care-ofkeygentoken以及nonce索引號。

移動節點利用homekeygentoken和care-ofkeygentoken生成綁定管理密鑰Kbm，再利用kbm和綁定更新消息進行相應運算生成驗證碼1，攜帶在綁定更新消息中。通信節點收到綁定更新消息后利用home keygen token，care-ofkeygen token以及nonce數，與綁定消息進行相應運算，得出驗證碼2。比較兩個驗證碼，如果相同，通信節點就可以判斷綁定消息真實可信，否則，將視為無效。

4.6動態家鄉代理地址發現過程

通常家鄉網絡的前綴和家鄉代理的地址是固定的，但是也可能因為故障或其他原因出現重新配置。當家鄉網絡配置改變時，身在外地的移動節點需要依靠動態家鄉代理地址發現過程發現家鄉代理的地址。這主要借助于目的地為一個特殊anycast地址的ICMP特別消息。據了解，目前這個過程并沒有設備實現，因此也不做過多介紹，進一步了解可以參考RFC3775。

圖1示出了移動IPv6的過程。

5、移動IPv6所面臨的問題