T则是CN对HoTI消息的响应。HoT由于以MN的家乡地址为目的地址,需要通过HA的中转才能到达MN。此外,来自MN的家乡测试初始Cookie也在HoT消息中返还,以确保这些消息通过了家乡代理和CN的可达路径。发往MN的家乡临时随机数索引,也使CN随后可以迅速有效地找到它创建家乡Cookie所使用的临时随机数,因而是必不可少的。
CoT消息是CN对CoTI消息的响应,CoT消息被直接发送到MN的转交地址,并且在其中包括转交测试初始Cookie,以便MN确信它们来自CN的可达路径。CoT消息中提供了转交临时随机数索引,主要是用于标示产生转交Cookie的临时随机数。转交和家乡临时随机数索引在CoT和HoT消息中通常是相同的。
当MN接收到COT和HOT消息后,RRP过程就全部结束了。
1.3绑定过程
·RRP与绑定过程
只有通过返回路由可达过程测试,CN才能接收来自MN的绑定更新。所以,RRP对于MN与CN之间的绑定更新和绑定确认具有非常重要的作用。在RRP过程结束之后,MN确信CN既可以通过家乡地址,也可以通过转交地址访问自己,并获得向CN发送BU所必须的数据。MN通过对家乡密钥生成令牌、转交密钥生成令牌进行SHA1散列运算可以得到一个绑定管理密钥Kbm(bindingmanagementKey),其过程如下:
Kbm=SHA1(homekeygentoken"care-ofkeygen token)
通过该Kbm,MN或以向CN发送一个BU,进行CN上的绑定。
·MN发送绑定更新信息
携带绑定更新消息的分组,除了使用MN的转交地址作为源地址和使用CN作为目的地址外,还包括家乡地址、MAC(messageauthenticationcodes)、家乡和转交临时随机数索引、顺序号等参数。MN通过创建Kbm对消息的发送进行授权,通过临时随机数索引选项通知CN使用哪个家乡和转交密钥生成令牌进行Kbm的计算。计算MAC时使用的参数包括转交地址、CN地址以及移动报头数据,计算结果将用于产生认证者字段。顺序号字段用于匹配随后接收到的绑定确认。CN一旦验证了MAC的结果,将会为该绑定创建一个绑定缓存表项。
·CN响应绑定确认信息
对于绑定确认信息,携带的参数主要是顺序号和一个MAC编码。顺序号字段来自相应的绑定更新。MAC编码的计算根据是转交地址、CN地址以及绑定确认消息的部分内容,与绑定更新消息中MAC编码的计算类似。
因为移动节点在不断移动,所以转交地址也在不断变化,也就造成了转交密钥生成令牌的变化,最终使得Kbm不断变化。对于Kbm的更新可以与Nonce一同进行,这样一个Nonce索引可以同时标示这两个值。因此,老的Kbm也应该与老的Nonce一同保留。
在发送BU之前,MN必须等待家乡和转交密钥生成令牌生成Kbm。然而,由于资源的限制、绑定的快速删除及节点的重新启动,当CN使用这些密钥生成令牌处理BU时,密钥生成令牌不能保证仍然是"新鲜"而且可以接受的。当它们变得太旧时,CN将在BU中使用一个错误的编码通知MN,使它重新深度RRP。移动IPv6协议规定了临时随机数有一个最大的生存期(MAX_TO-KEN_LIFETIME)。在该生存期内,临时随机数都是可用的,密钥生成令牌在该段时间内也被认为是可用的,所以,MN可以把它用于多次的RRP。一个典型的例子就是节点愉速移动时,在新的位置可以重复使用最近来自于CN的家乡密钥令牌,并且仅仅获得一个转交密钥生成令牌以表示它在新位置的可达性。虽然由于转交和家乡返回路径可达测试本质上是可行的,但通过HA中转的家乡测试通常会花费更长的时间。尽管如此,这种优化在很多情况下也是有用的。对于有多个家乡地址的MN,也可以为这些地址使用相同的转交密钥生成令牌。
通过上述情况分析,RRP不仅能够防范有权访问互联网上某一特定路径的潜在攻击者,还能有效地防止重防攻击[6],因而给MN和CN的通信提供了安全保证。
尽管移动IPv6的RRP机制能够使MN与CN的通信基本上安全可靠。然而,RRP机制同样给二者之间的通信带来了较大的负荷,使得移动信息大大增加。要在移动IPv6路由优化的基础上再进行优化,必须在保证安全的前提下尽可能减少移动信息量。在此基础上,人们又提出了OMIPv6的概念。OMIPv6与移IPv6路由优化模式相比,大大减少了移动信令并且使之更不易受外部的攻击,极大地提高了效率[3]。
2OMIPv6优点及原理
2.1OMIPv6优点
OMIPv6与移动IPv6的路由优化模式相比,至少具有以下特点[3]:
·大大减少了恶意节点实施欺骗的可能性。通过将HoT和CoT灵活地结合在一起,将易受攻击的漏洞减少到最小。
·不需要对密钥的分发专门进行管理,因而减少了可扩展性问题。
·与传统移动IPv6相比,OMIPv6使用一个更长的共享
|
