移动IPv6的安全分析

　　上面提到的移动互联网的安全要求，对于移动IPv6也是同样适用的。但是，移动IPv6在安全方面有以下四个特征不同于移动IPv4：

　　①没有外地代理。

　　②IPSec协议集成到IPv6标准中了。

　　③家乡地址选项解决了网络入境过滤路由器的问题。

　　④路由优化功能是移动IPv6协议的主要功能之一。

　　在移动IPv4协议中，移动节点获得转交地址之前，外地代理会对移动节点进行等处理。但是，在移动IPv6中没有外地代理，这意味着移动访问的安全策略工作需要由被访问网络的路由器来完成，外地网络必须配置适当的路由器对移动节点实施安全策略。

　　IPSec协议集成到IPv6标准中，所有的IPv6节点都应该能够处理头（AH）和封装安全净荷（ESP）。这就为移动IPv6协议提供了安全基础，移动IPv6协议可以利用AH和ESP来完成安全方面的相关工作，如和加密，这使得移动IPv6协议在安全方面需要的额外工作少一些。

　　移动IPv6在目的地选项扩展报头中增添了家乡地址选项的功能，当移动节点直接向通信对端发送分组时，使用转交地址作为源地址，而家乡地址则放到家乡地址选项中。因为转交地址正确反映了移动节点目前所在的位置，所以实施人境过滤的路由器并不会把这些分组过滤掉。

　　家乡地址选项一方面解决了网络人境过滤路由器的问题，另一方面，也暴露了移动节点当前的位置信息，这给某些希望隐藏移动节点位置信息的通信带来了安全威胁。为了减少针对这种安全威胁进行的攻击，当移动节点和通信对端之间存在必要的安全关联时，家乡地址选项的功能应该和IPSec的ESP加密一起使用。因为家乡地址选项是目的地选项，所以可以采用传输模式的ESP。

　　移动节点和通信对端的绑定更新消除了三角路由，实现了路由优化，双方可以直接通信，这有利于双方建立安全关联。当通信对端在移动节点的家乡网络时，安全关联比较容易建立，因为管理者可以手工分发密钥，或者可以建立一个组织内的机构。当通信对端是Internet中的一些其他节点时，安全关联的建立比较困难，需要建立广泛的公钥基础设施。