移动IPv6实施的关键问题及在CDMA网络中的应用

　　DoS(denialofservice)攻击，攻击者能够阻塞未受保护链路上的所有业务量，也能够阻止MN与其它节点的通信。

　　在移动IPv4协议中，移动节点获得转交地址前，外地代理会对移动节点进行认证等处理，但是，在移动IPv6中没有外地代理，这意味着移动访问的安全策略工作需要由被访问网络的路由器来完成。

　　家乡地址选项的运用虽然解决了网络入口过滤路由器的问题，但却暴露了MN当前的位置信息，这给某些希望隐藏MN位置信息的通信带来了安全威胁。

　　2.2.2移动IPv6的安全保护

　　移动IPv6规定了IPSec作为MN的绑定更新报文的安全保护，但在利用IPSec通信之前收发双方需要事先建立安全关联，即决定采用哪种认证、加密算法。一般认为，MN与其本地代理很容易建立安全关联，但大多数情况下，MN与CN不存在安全关联或其它安全关系。

　　采用IPSec的另外一个问题是，它依赖于PKI，而PKI的建设是一个复杂的工程。IPSec的密钥管理要求终端具有很强的处理能力，未来使用移动IP的设备诸如手机、PDA计算能力都很弱，而且能耗也需要考虑，因此要求进行大量计算的安全机制不太适合这些设备。为此目前也在讨论一种轻量级的安全保护协议，如定制密钥(PBK，purposebuiltkey)。

　　PBK协议中，在每一个移动IP会话之前，通信双方产生一对新的公钥/私钥，这对密钥匙是临时的，只有通信双方能够使用，无需向第三方注册。当会话结束时，密钥失效。PBK协议简单，但安全性没有IPSec好，如没有解决中间人攻击等问题，并且PBK实现的不是用户认证，而是设备认证。

　　2.2.3移动IPv6中DoS的防御

　　在移动IPv6中DoS表现形式为：

　　黑客向本地代理发出伪造的注册请求，把自己的IP地址当作移动节点的转交地址，在注册成功后，本地代理将根据黑客注册的转交地址，把目的地址是移动节点的数据分组通过隧道送给黑客，黑客得到应送给移动节点的数据，而真正的移动节点却被拒绝服务。