移動IPv6協議的安全方面也并非做的很全面。那么針對現在的通訊環境，它又存在什么安全漏洞呢？現在還是讓我們從以下幾點來分析一下吧。

◆區分服務比較適用于設計周全､帶寬合理分配的網絡,支持移動環境的網絡由于其網絡中的節點隨時移動,因而其業務量模型比較復雜｡

◆在區分服務中,不同QoS區域(如不同的ISP提供的網絡)的業務等級協商(SLA)常常是靜態的,移動IP的高動態環境與區分服務的靜態帶寬分配是相矛盾的,因此為了MN的動態帶寬分配需要,必須支持動態的業務等級協商｡

◆在不同QoS區域的入口處,網絡的邊緣路由器要對分組流進行識別,傳統分組流可以通過分組頭標上的五元組(源/目的IP地址､協議類型､源/目的端口號)來識別｡而移動IPv6協議中的分組的源IP地址(MN發送的分組)或目的IP地址(MN接收的分組)是MN的轉交地址,該地址是隨著節點的移動作動態的變化｡

為了在移動IP網絡上實現區分服務,應精細設計提供移動服務的網絡,動態預測移動節點對帶寬的需求和接入的MN數,或采用資源預留等信令機制,更準確地預測滿足移動節點QoS所需的帶寬｡區分服務可以選擇RSVP作為信令協議,區分服務網絡的邊緣路由器分析RSVP報文,根據RSVP信息修改區分服務配置參數｡但現有的資源預留協議的設計著眼于由靜止主機構成的網絡,為了支持移動環境的資源預留,還應對RSVP協議進行擴展和修改,使其支持MN的資源預留｡另一種方法是定義特別的IPv6擴展頭標作為資源預留信令,這樣可在一個分組中綜合QoS信息､地址綁定信息和IPv6數據分組,節約信令開銷｡對移動IPv6協議的節點發送的分組中可根據其本地地址和流標記來識別一個數據流,但需要各邊緣路由器支持移動IPv6的本地地址信宿選項｡

另外,MN在越區切換時引入的分組傳輸延時和分組丟失也是移動IP急需解決的問題,這個問題不解決,移動Internet的QoS保證就無從談起｡

移動IPv6協議的安全問題

當網絡體系結構上添加新的功能時,通常會引入新的安全隱患｡對移動IPv6來說,由于節點的移動需要經常向MN的本地代理和CN發送綁定更新報文,這一特征引入了諸多的安全問題｡其中最危險的潛在威脅是綁定更新報文具有對分組的重定向功能,攻擊者通過冒充MN向CN發送綁定更新報文,就可以將發往MN的分組重定向到攻擊者指定的地點｡其次是DOS(Denial Of Service)攻擊,攻擊者能夠阻塞未受保護鏈路上的所有業務量,也能夠阻止MN與其他節點的通信｡克服這些威脅的手段是MN與本地代理和CN之間進行身份認證,MN與接入路由器(或外地代理)之間也需要認證｡

移動IPv6規定了IPSec作為MN的綁定更新報文的安全保護,但在利用IPSec通信之前收發雙方需要事先建立安全關聯,即決定采用哪種認證､加密算法｡一般認為,MN與其本地代理很容易建立安全關聯,但大多數情況下,MN與CN不存在安全關聯或其他安全關系｡移動通信中的無線接入特點,也使得移動用戶的通信內容更易受到非法竊聽和篡改,用戶數據的安全可采用IPSec或上層安全協議加以保護｡另外,防火墻也需要支持移動IPv6協議,因為移動IPv6節點發出的分組的源地址是MN的轉交地址,它隨著節點的移動而變化,防火墻如果不能識別它就不能實現正常的分組過濾｡

移動IP業務的使用需要Internet提供支持移動IP的AAA服務,即移動用戶的認證､授權和計費服務｡當MN移動到外地網絡時,MN需要對外地代理或接入設備進行認證,以確定對方的有效性,外地代理也需要對MN進行身份認證,以防止其非法攻擊｡授權和計費主要涉及MN在外地網絡上的資源的使用權和使用情況｡目前IETF已出臺協議草案來支持移動IP的AAA服務(RFC 2977和draft-ietf-aaa-diameter-mobileip-08.txt)｡

移動節點的越區切換

MN在越區切換時,首先需要無線鏈路的切換,如果新舊鏈路不在同一個IP子網內,還要進行IP子網切換｡即使采用了路由優化技術,在無線鏈路切換和子網切換過程中的分組延時還相當可觀的,而延時的主要部分是由鏈路切換完成后的端到端的移動IP注冊操作引起的｡在切換過程中,發給MN的分組可能被丟失｡因此快速切換方案將有利于改善分組數據的業務質量｡

在下一代無線通信系統中,出于對節約信道等方面的考慮,小蜂窩(micro-cell 和 pico-cell)的架構將會獲得越來越多的使用,這樣將會導致鏈路的頻繁切換｡鏈路切換常由第二層協議或硬切換完成,而跨越IP子網的切換需要第三層協議或軟切換完成｡根據切換時采的方法,切換可分為快速切換､平滑切換和無縫切換三種類型｡快速切換即低延時切換,它常采用蜂窩組播的方式,以帶寬為代價降低MN在越區切換時分組的延時;平滑切換即低丟失率切換,它采用緩存的方式降低MN在越區切換時的分組丟失;無縫切換既要降低分組的丟失率,又要降低分組的延時｡