1、前言 

　　随着网络从IPv4到IPv6的演进，移动IP技术自身发生了革命性的变化。而且，IPv6的许多新特性也为节点移动性提供了更好的支持，如“无状态地址自动配置”和“邻居发现”等。此外控制工程网版权所有，IPv6组网技术大大简化了网络重组的步骤，可以更有效的促进因特网移动性。 

　　在移动IPv6中，归属地址作为移动节点的唯一标识为高层协议所感知。当移动节点移动到外部网络时www.cechina.cn，会在外部网络获得一个转交地址(CoAwww.cechina.cn，Care-of Address)，转交地址和归属地址的映射关系称为一个“绑定”。移动节点通过绑定注册过程把转交地址通知给位于归属网络的归属代理(HA，Home Agent)。随后，对端通信节点(CN，Correspondent Node)发往移动节点的数据包首先被路由到归属代理，然后归属代理根据移动节点的绑定关系，将数据包封装后发送给移动节点。为了优化迂回路由的转发效率，移动IPv6也允许移动节点直接将绑定消息发送到对端通信节点，实现移动

　　移动IPv6的基本工作流程只针对于理想状态的互联网，并未考虑现实网络的安全问题。此外控制工程网版权所有，移动性的引入必然也会为网络带来新的安全威胁，例如对报文的窃听、篡改以及拒绝服务攻击等。所以，在移动IPv6的具体实施中必须谨慎地对待这些安全威胁，以避免网络的安全级别下降。 

　　2、移动IPv6面临的安全问题 

　　移动IP多应用于无线环境，除了要面对所有无线网络所固有的安全威胁外，还需要处理由移动性引入的新的安全问题，这必然导致移动IP相对于有线因特网显得更加脆弱。此外控制工程网版权所有，移动IPv6协议通过定义移动节点、归属代理和通信节点之间的信令机制控制工程网版权所有，巧妙的解决了移动IPv4的三角路由问题，但在优化的同时也引入了新的安全问题。 

　　从移动IP工作过程来看，如果攻击者在移动节点、归属代理和通讯节点之间的通信链路上截获并篡改相关的信令报文，那么它就能够轻易地发起攻击。目前，移动IPv6可能遭受的攻击主要包括拒绝服务攻击、重放攻击以及信息窃取攻击。 

　　(1)拒绝服务攻击 

　　拒绝服务攻击是指攻击者为阻止合法用户获得正常服务而采用的攻击手段。这种攻击主要包括两种方式：一种是通过网络向服务器或主机发送大量数据包，使得服务器忙于处理这些无用的数据包而无法响应有用的信息；另一种是直接干扰服务器与主机之间的正常通信。在移动IPv6中，攻击者能够通过如下手段达到上述目的： 

　　◆攻击者发送大量地址绑定更新消息来消耗归属代理和通信节点的资源，从而导致绑定缓存表溢出或者是无法及时处理合法用户的绑定更新报文； 

　　◆如果恶意主机把因特网上服务器的IPv6地址作为大量移动节点的转交地址，发送伪装的绑定更新消息给对端通信节点，那么将会引发大量的攻击流量发往受害服务器，导致分布式拒绝服务攻击； 

　　◆和上述情况类似，攻击者可以冒充移动节点，使用移动节点的归属地址发送绑定更新消息(例如把自己的地址作为移动节点的新的转交地址)，伪装移动节点的移动状况，最终截获移动节点的数据包，阻断合法用户的正常通信； 

　　◆在移动节点和归属代理通信路径上的攻击者可以通过篡改归属地址选项域值，将通信节点的流量重新定向到第三方节点上，从而阻断合法用户的正常通信； 

　　◆在移动节点和通信节点通信路径上的攻击者可以通过篡改路由来扩展头域值，将通信节点的流量重新定向到第三方节点，从而阻断合法用户的正常通信。 

　　(2)重放攻击 

　　重放攻击是指攻击者将一个合法的、有效的注册请求消息录取并保存起来，等待一段时间后再重新发送这个消息www.cechina.cn，为伪造的转交地址进行注册，从而达到攻击的目的。在移动节点和通信节点通信路径上的攻击者能够通过这种方式将数据流重定向到第三方实体。 

　　(3)信息窃取 

　　信息窃取可以分为被动监听和主动会话截取。 

　　◆被动的监听：移动IPv6虽然可以使用于多种传输介质，但主要应用于无线链路。由于无线链路的信道特性，攻击者可以轻易的实施被动监听。即便是有线链路，或是未经授权的用户也可能通过某些手段接入网络进行监听； 

　　◆会话窃取：会话窃取攻击是指攻击者等待合法的用户认证完成并且正常会话后，通过假扮合法节点来窃取会话的攻击。在移动IPv6中，移动节点向归属代理注册后，攻击者可以截获发往移动节点或通信