[发明专利]移动IPv6快速切换的保护方法和设备

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种移动IPv6快速切换的保护方法和设备。

背景技术

移动IPv6(Internet Protocol version 6，因特网协议版本6)使得MN(MobileNode，移动节点)在从一个AR(Access Router，接入路由器)移动至另一个AR时保持其连通性，这一过程称为切换，切换场景如图1所示。

在切换过程中，由于链路转换时延和IPv6协议操作，MN在一段时间内无法发送或接收数据包。这种由于标准的移动IPv6程序(即移动检测、新转交地址配置和绑定更新等)引起的切换时延对于实时流量，例如VoIP(Voiceover IP，基于语音的IP)等来说是不可接受的。而对于非实时而关注吞吐量的应用来说，减少切换时延也能带来很大的好处。

为了减小切换时延，FMIPv6(Fast handover for Mobile IPv6，快速切换移动Ipv6)对移动IPv6进行了扩展。移动IPv6快速切换使得移动节点能够快速检测其是否已经移动到了一个新的子网，这是通过移动节点依然连接至当前子网时就提供新的接入点和相关子网前缀信息而完成的。该快速切换流程具体过程如图2所示：

当MN在移动过程中切换到一个nAR(New Access Router，新接入路由器)时，为了获取新接入链路的信息(比如子网前缀等)，移动节点向当前的接入路由器pAR(Previous Access Router，前接入路由器)发送RtSolPr(RouterSolicitation for Proxy Advertisement，路由请求代理通告)消息；收到该消息后，当前的接入路由器pAR向移动节点发送PrRtAdv(Proxy Router Advertisement，代理路由器通告)消息，在该消息中通知新接入链路的信息。这样移动节点在依然位于前接入路由器链路时就可以了解新的子网前缀，并且获取新的转交地址nCoA(new Care ofAddress，新转交地址)，可以消除由于切换之后的新前缀发现而引起的时延。为了减小绑定更新延时，移动IPv6快速切换在前转交地址和新转交地址间建立一条隧道，MN向pAR发送一个FBU(FastBinding Update，快速绑定更新)消息。pAR收到FBU后，通过与nAR间的交互确认MN的nCoA的有效性后，向MN发送FBAck(Fast BindingAcknowledgement，快速绑定确认消息)，并在pAR上建立PCoA(Previous CareofAddress，前转交地址)和nCoA建立绑定，使发送到pAR链路PCoA的流量重定向到新接入链路的nCoA上。

该方法的问题在于，如果没有验证FBU消息的机制，攻击者可以发送一个伪造的FBU消息，偷窃MN的流量或重定向到一个其他的地址。针对该问题，现有技术中给出了一种通过SeND(Secure Neighbor Discovery，安全邻居发现协议)分发pAR和MN间共享密钥，并使用这一共享密钥保护FBU的方法。具体原理如下：

使用SeND保护代理路由器请求、代理路由器通告消息，在这两条消息交互过程中MN和AR传输一个加密的，共享的切换密钥。MN生成公私钥对，用于加解密共享切换密钥的交换，这一公钥与SeND所使用的共享密钥相同。MN发送RtSolPr消息，在这一消息中携带切换密钥请求选项，该选项包括用于加密切换密钥的公钥。RtSolPr消息的源地址是MN基于CGA(Cryptographically Generated Address，密码学生成地址)生成的CoA(Care ofAddress，转交地址)，该消息需要使用MN CGA密钥进行签名，包含CGA参数选项。AR使用SeND验证这一消息，验证通过后使用公钥加密一个共享切换密钥，该加密的切换密钥被放在PrRtAdv消息中的切换密钥应答选项中，并发送给MN，MN解密得出共享的切换密钥，当MN向AR发送FBU时可以使用该切换密钥生成其授权的MAC。

发明人在实现本发明的过程中，发现现有技术至少存在以下问题：

该方案需要支持SeND，其中CoA是基于CGA方式生成的，所以不适用于通过其他方式生成的CoA。另外，由于CGA是基于公钥密码学，计算复杂。因此对那些计算能力不强、存储资源比较宝贵的移动终端，该机制的资源开销较大。最后，在SeND协议中，MN也需要对AR发送的消息进行验证，所以AR要使用其公钥密码学机制对其发送的消息进行签名，这也需要较多的计算开销及公钥证书机制的支持。

发明内容