基于CGA技术的MIPv6安全绑定更新方案的研究

摘要

由于网络技术的迅猛发展，Internet已经成为人们日常工作和生活中必不可少的一部分，上网的工具也越来越多，从刚开始笨重的PC机到轻便的笔记本电脑，再到现在更为小巧方便的掌上电脑，手机等。使得人们对网络的移动性、灵活性要求越来越高，人们希望能拥有固定的IP地址随时上网而不受地点的限制。针对这一问题，作为下一代网络层协议IPv6的出现不但解决了地址贫乏，服务质量等问题，而且它提供了对移动性更好的支持，并且是强制性的支持。虽然关于移动IPv6技术的研究已经很多，然而由于其中的某些关键技术尚未解决，尤其是移动IPv6的安全问题使得这一技术仍处于理论研究阶段。
　　 移动IPv6旨在处理IP层的移动性管理，而需要着重关注的就是移动IPv6中各实体移动节点MN、家乡代理HA及通信对端CN之间的通信安全，本文主要研究移动IPv6中移动节点和通信对端之间的绑定更新安全问题。
　　 首先分析了移动IPv6技术的产生背景及当前的研究现状，并分析了移动IPv6当前的安全威胁。针对这些安全威胁重点分析了当前三种主流的安全保护措施，一是由IETF基于当前的加密技术提出的一种数据认证加密协议--IPSec协议，专门用于保证移动IPv6通信的安全性；二是一种基于路由的弱验证机制，即路由返回可达RRP技术，用于保护移动节点和通信对端的安全性；三是基于CGA技术的强加密机制，也用于保护移动节点和通信对端的绑定更新安全。并对此三种保护措施在绑定更新中的应用进行了详细描述。
　　 其次，基于以上研究，针对目前安全措施的不足提出了一种新的安全绑定更新方案。新方案将绑定更新过程分为两种工作模式：需要重新协商绑定管理密钥模式与不需要重新协商绑定管理密钥模式。移动节点第一次向一个通信对端发送绑定更新消息时用自身私钥签名，后续的绑定更新用协商的共享密钥进行签名。对于通信对端，同样是在第一次用自身的公钥进行签名验证，后续的绑定更新用协商的管理密钥进行签名验证。该方案较返回路由可达过程减少了冗余信令的交互；而较基于CGA技术的绑定更新降低了其对移动节点计算能力的要求。
　　 最后，通过NS2仿真平台对新方案进行仿真，验证了方案的可行性以及较传统方案在性能上的提升。