李向麗，竇錦身，李一航

（鄭州大學 信息工程學院，河南 鄭州450001）

0 引 言

在移動IPv6（MIPv6）中，當移動節(jié)點 MN （mobile node）移動到外地鏈路時，移動節(jié)點MN直接與通信對端CN通信，有效地避免 “三角路由”問題，實現路由優(yōu)化，降低了系統(tǒng)開銷和冗余、增強了系統(tǒng)健壯性［1］。然而，該路由優(yōu)化過程存在諸多安全隱患，合法節(jié)點在接收未經認證的或者錯誤的綁定更新消息時，易受到惡意節(jié)點的攻擊，比如拒絕服務攻擊、重定向攻擊、反射攻擊、中間人攻擊等［2］。因此，為保證路由優(yōu)化綁定更新的安全進行，必須采用安全驗證機制對綁定更新消息進行認證，即對通信雙方的身份進行認證以及對綁定更新消息的完整性進行認證。

目前，解決移動節(jié)點和通信對端之間的綁定更新過程的方法主要有2種：第1種是借助第三方參與的驗證機制，比如基于PKI以及數字證書技術的驗證機制；第2種是沒有第三方參與的驗證機制［3］。沒有第三方參與的驗證機制具有擴展靈活、移動方便、部署快速等優(yōu)點，成為這一領域的主要研究方向。為此，本文對第2種方法進行研究，并提出一種基于家鄉(xiāng)代理的移動IPv6的路由優(yōu)化安全驗證機制。該驗證機制對MIPv6中移動節(jié)點和通信對端的身份進行認證，對綁定更新消息的完整性進行認證，從而實現移動IPv6路由優(yōu)化中綁定更新消息的安全驗證以及綁定更新過程的安全進行。該驗證機制能夠抵御常見的攻擊，有一定的可靠性。

1 相關工作

目前沒有第三方參與的驗證機制有返回路由可達協(xié)議RRP（return routability procedure）和基于加密生成地址協(xié)議CGA （cryptographically generated addresses）。

為了保證MN在移動過程中，CN能夠繼續(xù)與合法的MN進行信息交換，RRP機制探測家鄉(xiāng)地址HoA和轉交地址CoA地址是否可達［4］。雖然該機制能限制惡意節(jié)點的位置，從一定程度上減少合法節(jié)點受攻擊的可能，但并不能完全抵御綁定更新引起的各種安全威脅。

基于CGA的安全路由優(yōu)化機制，其工作原理是通過綁定公鑰和IP地址的方法來實現對 MN身份的驗證［5］。但是，該方法存在以下缺點：對節(jié)點計算能力要求過高；每次綁定更新過程都要求MN產生數字簽名以及CN對該簽名驗證［6］。

DES（data encryption standard）是一種分組對稱加密體制，是目前應用最廣泛的對稱加密算法之一。DES算法采用64位密鑰技術，是一種安全性比較高的算法，用于對整段數據、整塊數據進行加密以及對消息的完整性進行驗證［7］。對稱加密算法與非對稱加密算法相比通常計算速度非常快，而且可以通過硬件實現加速，從而提高計算效率［8］。

2 新的安全通信機制

本文提出的安全機制基于這樣的前提，即當移動節(jié)點移動到外地鏈路時，MN和CN之間進行綁定更新前MN和家鄉(xiāng)代理HA （home agent）已經進行過綁定更新，MN和CN之間進行綁定更新用HA判斷MN的地址合法性。在MN和HA綁定更新過程中，HA向MN發(fā)送綁定確認消息時，HA產生并向MN發(fā)送密鑰P。HA和MN之間的綁定更新與數據交換由IPSec機制進行保護。CN自己產生一對公私密鑰對，記為Scn／Pcn。具體綁定更新過程如圖1所示。

（1）MN向CN發(fā)送綁定請求消息BUReq。

MN用CN對外宣稱的公鑰Pcn對MN的轉交地址CoA、MN的家鄉(xiāng)地址HoA、Nmn、gx加密，也以明文形式發(fā)送Nmn和T1。

BUReq： ｛Pcn ｛HoA，CoA，P，Nmn，gx｝，Nmn，T1｝

其中MN的轉交地址CoA是該消息的源地址，Nmn是MN產生的隨機數，并用來匹配回復消息，gx是DH交換的一個參數，用于密鑰交換。T1是時間戳，P是之前MN和HA綁定時HA向MN發(fā)送綁定確認消息包含的對稱密鑰。

（2）CN向HA發(fā)送判定MN身份的消息PROBE。

CN收到MN的綁定請求消息BUReq消息后，首先檢驗時間戳T1的有效性，再用與公鑰Pcn相對應的私鑰Scn對BUReq消息解密，只有合法的CN才有與公鑰Pcn對應的私鑰Scn，即只有合法的CN才能解密。然后CN向HA發(fā)送PROBE消息用來驗證解密得到的HoA和CoA是否合法。

PROBE：｛T2，P ｛HoA，CoA，N1｝｝

其中N1是CN生成的隨機數，T2是時間戳。

用解密后得到的對稱密鑰P對HoA和CoA加密。

（3）HA向CN發(fā)送MN身份確認消息PROBE CONFIRM。

HA收到PROBE消息后，先檢查時間戳T2的有效性，用HA之前發(fā)送給MN的對稱密鑰P解密，只有合法的MN和合法的CN才有對稱密鑰P以及MN的家鄉(xiāng)地址HoA和轉交地址CoA，HA檢查解密得到的HoA和CoA是否在它的綁定緩存中，如果在的話，從而證實MN的HoA和CoA是合法的。HA向CN發(fā)送MN身份確認消息。該消息使用對稱加密算法對N1加密。

PROBE CONFIRM：｛P ｛N1｝，T3｝

（4）CN發(fā)送BURep消息。

CN收到PROBE CONFIRM后，對消息進行解密，和PROBE消息中發(fā)送的隨機數N1比對，如果一致就說明PROBE CONFIRM消息是安全的，從而證實MN的CoA和HoA的地址有效性，這樣CN就驗證了MN的地址合法性。然后向MN發(fā)送綁定請求確認消息。

BURep：｛Ncn，P ｛Nmn，gy｝，T4｝

其中Ncn是CN生成的隨機數，T4為時間戳，Nmn是BUReq消息中解密得到的隨機數，gy是CN產生的另一個DH交換參數。該消息用對稱密鑰算法對Nmn和gy加密。

（5）MN向CN發(fā)送綁定更新消息 （BUMsg）。

MN收到BURep消息后，首先檢驗時間戳T4的有效性，再用對稱密鑰P對消息解密，檢驗解密得到的Nmn與之前發(fā)送的是否一致，再檢驗解密后的Ncn和以明文發(fā)送的Ncn是否一致，如果都一致，MN就認為CN是合法的。然后MN直接向CN發(fā)送綁定更新消息。該信息使用對稱密鑰算法對HoA和CoA加密。

BUMsg：｛Kbu｛HoA，CoA｝，T5｝

其中，綁定更新密鑰Kbu參照參考文獻 ［9］的計算公式，如式 （1）所示，其中Kdh是DH交換密鑰，參考文獻［9］按式 （2）進行計算

（6）CN向MN發(fā)送綁定更新確認消息BA。

當CN收到MN的綁定更新消息BUMsg，CN首先檢驗時間戳T5的有效性，CN也會檢查解密得到的HoA和CoA是否是和BUReq中的一致，如果這些都一致的話，CN就可以保證節(jié)點聲稱的HoA和CoA都是合法的。最后MN和CN都更新下密鑰，作為以后消息交換的綁定密鑰，按式 （3）計算［10］

至此，該驗證機制完成了MN和CN之間的綁定更新過程，從而實現了路由優(yōu)化。

3 新通信機制的分析

3.1 安全性分析

本文提出的新安全機制在面臨常見的安全性攻擊時都有應對措施。

（1）假如有惡意節(jié)點想冒充MN往CN發(fā)送綁定消息，CN收到BUReq消息后向HA發(fā)送PROBE消息，HA收到PROBE消息檢查HoA和CoA的合法性，從而檢驗MN的合法性，然后向CN發(fā)送PROBE CONFIRM消息，進而CN得知MN的地址合法性。

（2）假如有惡意節(jié)點想冒充CN來接收MN的綁定，當接收到BUReq消息后，要用CN的私鑰對消息解密，只有合法的CN才能解密。BURep消息中CN用對稱密鑰P對解密出來的Nmn再加密發(fā)送給MN，從而MN得知CN的合法性。

（3）本驗證機制沒有公鑰證書或者認證中心等第三方認證機構，擴展靈活，方便管理，成本低。

（4）該安全機制中，除發(fā)送BA消息外始終用加密機制，防止了監(jiān)聽的可能性。而且消息一直對HoA和CoA加密，惡意節(jié)點無法得知并篡改地址。

（5）每次消息發(fā)送都添加了時間戳，當惡意節(jié)點截獲消息企圖重放時，接收方就可以根據時間戳的大小來斷定該數據包是否過時，從而防止重放攻擊。

（6）當合法的MN和CN綁定時向CN發(fā)送一個錯誤的轉交地址CoA，若CN未對該綁定消息認證，CN將會和擁有該轉交地址的節(jié)點進行綁定，那么該節(jié)點就會成為受害者。由于該驗證機制對MN所宣稱的HoA和CoA都進行了認證，從而防止了反射攻擊，并在一定程度上能抵御DOS攻擊。

（7）對BU消息加密用的是新的對稱密鑰，保證信息的安全性。發(fā)送BU消息之前的信息交換中只有一部分參數而且都采用加密算法對消息加密，只有合法的MN和CN才有全部參數，從而保證BU消息的安全性。

（8）對MN所宣稱的轉交地址進行了認證，惡意節(jié)點無法用非法的地址冒充新的CoA發(fā)送給MN和CN，使得MN和CN誤認為接收到的CoA就是雙方的新轉交地址，從而防止了中間人攻擊。

（9）假如惡意節(jié)點試圖重放以前的一個綁定請求，由于每次發(fā)送綁定消息后，MN和CN都對綁定更新密鑰進行更新，該方式能夠抵御此攻擊。

（10）只有合法的節(jié)點才有密鑰對接收的消息解密，若解密后得到的數據不一致，那么接收方得知發(fā)送方身份不合法，接收方丟棄該消息，從而消息不會重定向到別處，防止了重向攻擊。

通過對以上安全性的分析可知，本文提出的綁定更新方案在安全性方面是比較可靠的。

3.2 性能分析

3.2.1 模擬場景及性能分析

移動IPv6在性能方面主要考慮的是通信所帶來的時間開銷。在網絡模擬軟件NS2環(huán)境下進行仿真實驗。MN與CN進行綁定更新如圖2所示。

在此次模擬過程中，設置網絡時延為0.02s，數據包的傳輸時間是由每次發(fā)送數據包的大小決定的，數據包在MN、HA和CN的處理時間由它們所處理的數據大小和它們各自處理數據包速度共同決定［11］。Trace文件包含了節(jié)點的信息，比如時間、分組大小、分隔符等［12］。Trace文件部分內容如下：

由Trace文件得知MN于0.018122s向CN發(fā)起綁定請求消息，于0.068386s綁定完成，歷時0.050264s。

在此次仿真的基礎上，多次進行綁定更新過程，以提高實驗的可信度和準確性。則得到綁定更新次數與綁定更新平均時間的關系表，見表1。

3.2.2 新機制與經典RRP機制的性能對比

在此次仿真的基礎上，繪制出RRP機制與本文提出的安全綁定機制平均綁定更新時間比對圖。如圖3所示，其中，橫軸表示本方案的模擬次數，縱軸表示綁定更新時間的平均值，NEW代表本文提出的安全綁定機制，RRP代表RRP機制。

通過本次模擬實驗可知，本方案中的綁定更新安全驗證機制隨著綁定更新過程中模擬次數的增加，平均每次綁定更新所花費的時間呈遞減趨勢且基本趨于穩(wěn)定。而且該綁定更新驗證過程只有第一次綁定更新所用的時間多于RRP機制所需的時間，以后的綁定平均時間雖然不穩(wěn)定，但都小于RRP機制所需的時間。

4 結束語

本文提出一種MN和CN之間進行綁定更新的安全驗證機制，在MN和HA已經完成綁定更新的情況下，MN和CN之間的綁定更新通過HA判斷MN的地址合法性來實現。本方案可以驗證通信雙方的身份，多次用到了DES對稱加密算法保證消息的安全性和完整性。對稱加密算法與非對稱加密算法相比通常計算速度非?？?，而且可以通過硬件實現加速，從而提高計算效率。通過分析，可知該驗證機制能夠抵御常見的攻擊，有一定的可靠性。在通信雙方執(zhí)行驗證機制過程中的時間花費上，本文提出的驗證機制具有一定的時間性能優(yōu)勢。但是對節(jié)點計算量有一定要求［13］，而且MN和CN進行綁定更新過程利用HA進行驗證，會增加HA的負擔。后續(xù)工作可以考慮在保證綁定更新過程的安全性情況下，簡化加密解密機制，減小計算量。

［1］HAN Mingqui，PAN Jin，CHEN Zhiguang，et al.Mobile IPv6binding update mechanism and verification ［J］.Computer Engineering，2011，37 （1）：151－153 （in Chinese）.［韓明奎，潘進，陳志廣，等.MIPv6綁定更新機制及驗證 ［J］.計算機工程，2011，37 （1）：151－153.］

［2］ZHOU Ying，WU Zhongfu，ZHONG Jiang，et al.Simulation of binding update message authentication based on home agent［J］.Computer Simulation，2008，25 （1）：166－172 （in Chinese）.［周瑛，吳中福，鐘將，等.基于家鄉(xiāng)代理的綁定更新注冊驗證機 制仿真 ［J］.計算 機 仿 真，2008，25 （1）：166－172.］

［3］XU Xingqi，PAN Jin，CHEN Anlin，et al.Efficient authentication mechanism for general registration in MIPv6network［J］.Computer Engineering，2011，37 （20）：108－111 （in Chinese）.［徐邢啟，潘進，陳安林，等.MIPv6網絡中一般注冊的高效認證機制 ［J］.計算機工程，2011，37 （20）：108－111.］

［4］YANG Jin，SHEN Pubing，SHEN Xiangyu，et al.The fast security route optimization mechanism in mobile IPv6 ［J］.Computer Engineering ＆ Science，2011，33 （7）：36－39 （in Chinese）.［楊瑾，申普兵，沈向余，等.MIPv6的快速安全路由優(yōu)化機制 ［J］.計算機工程與科學，2011，33 （7）：36－39.］

［5］HUANG Zhibin，HONG Peilin.Proposal of route optimization security in mobile IPv6 ［J］.Computer Engineering and Applications，2009，45 （6）：120－123 （in Chinese）.［黃志彬，洪佩琳.移動IPv6路由優(yōu)化安全方案 ［J］.計算機工程與應用，2009，45 （6）：120－123.］

［6］KavithaK D，Sreenivasa Murthy KE，Sathyanarayana B，et al.An efficient hierarchical certificate based binding update protocol for route optimization in mobile IPv6 ［J］.Global Journal of Computer Science and Technology，2010，10 （2）：47－51.

［7］XIE Zhiqiang，GAO Pengfei，YANG Jing.Research on improved algorithm of DES based on prefix codes ［J］.Computer Engineering and Applications，2009，45 （9）：92－95 （in Chinese）.［謝志強，高鵬飛，楊靜.基于前綴碼的DES算法改進研究 ［J］.計算機工程與應用，2009，45 （9）：92－95.］

［8］GAO Tiegang，GU Qiaolun，CHEN Zengqiang.Study on encrypt arithmetic of symmetry enforced byhyper－chaos and its application ［J］.Computer Engineering and Design，2007，28（1）：36－38 （in Chinese）.［高鐵杠，顧巧論，陳增強.超混沌強化對稱加密算法的研究與應用 ［J］.計算機工程與設計，2007，28 （1）：36－38.］

［9］Rajkumar S，Ramkumar Prabhu M，Sivabalan A.Securing binding updates in routing optimization of mobile IPv6 ［J］.Research Journal of Applied Sciences，Engineering and Technology，2012，4 （12）：1633－1636.

［10］Yeh Lo－Yao，Yang Chun－Chuan，Chan Jee－Gong，et al.A secure and efficient batch binding update scheme for route opti－mization of nested network mobility（NEMO）in NETs ［J］.Journal of Network and Computer Applications，2013，36（1）：284－292.

［11］WU Kaigui，XIE Qi，ZHU Zhengzhou，et al.Research on security of binding update to correspond nodes in mobile IPv6［J］.Computer Science，2008，35 （1）：45－50 （in Chinese）.［吳開貴，謝琪，朱鄭州，等.移動IPv6通信對端綁定更新安全研究 ［J］.計算機科學，2008，35 （1）：45－50.］

［12］WANG Zheng.Security policy research of mobile IPv6based on NS－2 ［D］.Beijing：Beijing University of Chemical Technology，2008 （in Chinese）.［王錚.基于 NS－2的移動IPv6的安全機制研究 ［D］.北京：北京化工大學，2008.］

［13］CAO Fang，DU Xuehui，QIAN Yanbin.Security mechanism of mobile IPv6binding update based on CGA ［J］.Computer Engineering，2008，34 （6）：167－169 （in Chinese）.［曹昉，杜學繪，錢雁斌.基于CGA技術的移動IPv6綁定更新安全機制 ［J］.計算機工程，2008，34 （6）：167－169.］