移動(dòng)IPv6實(shí)施的關(guān)鍵問(wèn)題及在CDMA網(wǎng)絡(luò )中的應用

摘要　IPv4的NAT缺陷、缺乏固定地址限制了CDMA網(wǎng)絡(luò )中移動(dòng)IP業(yè)務(wù)的發(fā)展，CDMA移動(dòng)網(wǎng)絡(luò )向IPv6承載過(guò)渡是必然趨勢。本文探討了移動(dòng)IPv6在CDMA網(wǎng)絡(luò )中的應用，著(zhù)重分析了CDMA網(wǎng)絡(luò )中應用移動(dòng)IPv6所面臨的服務(wù)質(zhì)量、安全、認證、DNS自動(dòng)發(fā)現、演進(jìn)等問(wèn)題，并對現有CDMA網(wǎng)絡(luò )實(shí)體的改動(dòng)加以闡述。

關(guān)鍵詞　碼分多址　移動(dòng)IPv6　服務(wù)質(zhì)量　多媒體域

1、前言

　　CDMA網(wǎng)絡(luò )的部署不僅為用戶(hù)提供了高速的無(wú)線(xiàn)連接，也為用戶(hù)接入到互聯(lián)網(wǎng)提供了更加豐富的接入手段。為在 cdma2000網(wǎng)絡(luò )中向用戶(hù)提供高速的分組數據業(yè)務(wù)，3GPP2的無(wú)線(xiàn)網(wǎng)絡(luò )參考模型中引入了分組域功能實(shí)體，并定義了基于IP技術(shù)的網(wǎng)絡(luò )接口。從業(yè)務(wù)實(shí)現上來(lái)講，分組數據業(yè)務(wù)又可以分為簡(jiǎn)單IP和移動(dòng)IP(MIP)兩大類(lèi)型。其中，簡(jiǎn)單IP業(yè)務(wù)是cdma2000網(wǎng)絡(luò )中最基本的分組數據業(yè)務(wù)模式，類(lèi)似于我們所熟悉的撥號業(yè)務(wù)。移動(dòng)IP業(yè)務(wù)則為移動(dòng)數據用戶(hù)提供了更加完善的移動(dòng)性支持，移動(dòng)數據用戶(hù)可以在無(wú)線(xiàn)網(wǎng)絡(luò )內獲得無(wú)縫服務(wù)，與之對應的分組域技術(shù)也有所不同。

　　由于IPv4地址空間不足，限制了網(wǎng)絡(luò )和用戶(hù)數目的發(fā)展。采用NAT技術(shù)雖然解決了地址不足問(wèn)題，但破壞了網(wǎng)絡(luò )端到端的特性，缺少固定地址、永遠在線(xiàn)機制，限制了移動(dòng)IP、IP電話(huà)、Push業(yè)務(wù)的發(fā)展。IPv6的采用，不僅滿(mǎn)足了未來(lái)移動(dòng)設備對IP地址空間的需求，也讓移動(dòng)終端更易于配置管理(自動(dòng)配置)；而用戶(hù)對基于IP的應用業(yè)務(wù)的使用也更為安全方便。CDMA移動(dòng)網(wǎng)絡(luò )向IPv6承載過(guò)渡是必然趨勢，基于此，本文探討移動(dòng)IPv6在CDMA網(wǎng)絡(luò )中的應用事宜。

2、移動(dòng)IPv6實(shí)施的關(guān)鍵問(wèn)題及目前的解決思路

2.1　移動(dòng)IPv6服務(wù)質(zhì)量問(wèn)題

　　當移動(dòng)節點(diǎn)改變網(wǎng)絡(luò )連接點(diǎn)時(shí)，數據包經(jīng)過(guò)的中間網(wǎng)絡(luò )域可能發(fā)生變化。因此，在這些網(wǎng)絡(luò )域中需要提供適當的服務(wù)質(zhì)量支持，這樣運行在移動(dòng)節點(diǎn)上的對服務(wù)質(zhì)量敏感的應用程序才能保持可用的服務(wù)等級。

2.1.1　基于RSVP的移動(dòng)IPv6服務(wù)質(zhì)量體系

　　基于RSVP(資源預留協(xié)議)的移動(dòng)IPv6服務(wù)質(zhì)量體系提出了一套移動(dòng)網(wǎng)絡(luò )中的信令協(xié)議，當移動(dòng)主機從一個(gè)子網(wǎng)移動(dòng)到另一個(gè)子網(wǎng)時(shí)，允許移動(dòng)主機在當前位置的路徑上建立和維持預留資源。

　　移動(dòng)IPv6對QoS的支持主要表現在流標記(flow label)域，流標記是按位產(chǎn)生的偽隨機數，在一定的時(shí)間內，源端不能重用流標記。流標記為0指示這個(gè)包不屬于任何流。普通的移動(dòng)IPv6與RSVP結合，在標識流時(shí)有兩種方式：一種是基于移動(dòng)節點(diǎn)的家鄉地址來(lái)標識流的源端或者目的端；另一種方式是用移動(dòng)節點(diǎn)的轉交地址(COA)來(lái)標識流的源端或者目的端。但不論是哪種方式，都存在一些問(wèn)題：如果使用移動(dòng)節點(diǎn)的家鄉地址來(lái)標識流，則可能會(huì )出現包分類(lèi)的不匹配問(wèn)題，預留路徑上中間路由器的包分類(lèi)將可能是基于移動(dòng)節點(diǎn)的家鄉地址而不是基于移動(dòng)節點(diǎn)的轉交地址，因此該種方法是不可行的。如果用移動(dòng)節點(diǎn)的轉交地址來(lái)標識流，當移動(dòng)節點(diǎn)移動(dòng)到另一個(gè)子網(wǎng)時(shí)，攜帶了新的轉交地址的PATH消息與RESV消息將會(huì )觸發(fā)預留路徑上的路由器進(jìn)行新的資源預留，而不是重用原來(lái)的資源預留，即使新路徑只是在舊路徑基礎上的簡(jiǎn)單更改。因此，無(wú)論移動(dòng)節點(diǎn)作為源端或目的端，都必須在切換后的新路徑上重新進(jìn)行資源預留，不能實(shí)現流透明。

　　針對移動(dòng)IPv6 QoS模型的不足，通過(guò)對移動(dòng)IPv6和RSVP進(jìn)行擴展，出現了一些改進(jìn)的移動(dòng)IPv6 QoS模型。其中包括新加坡國立大學(xué)Charles Qi Shen提出的“流透明的移動(dòng)IPv6 QoS模型”，德國柏林工業(yè)大學(xué)的Xiaoming Fu提出的“移動(dòng)IPv6基于條件的QoS切換模型”等。

　　Charles Qi Shen的方法為了實(shí)現流透明，把移動(dòng)節點(diǎn)發(fā)出的包的“家鄉地址選項”的存放位置由目的地選項頭標改為中繼點(diǎn)選項頭標(hop-by-hop option header)，需要路徑上所有的中間路由器都對每個(gè)包的中繼點(diǎn)選項頭標進(jìn)行檢查，當路徑經(jīng)過(guò)的路由器非常多時(shí)代價(jià)很大，因此這種移動(dòng)IPv6 QoS模型沒(méi)有可擴展性。 {{分頁(yè)}}

　　Xiaoming Fu的方法采用了基于層次化管理的QoS條件切換機制，減少了域內切換時(shí)的信令的數目，但只是提出了一種框架，并沒(méi)有具體的QoS處理機制，而且沒(méi)有考慮流透明。

2.1.2　基于區分服務(wù)的移動(dòng)IPv6服務(wù)質(zhì)量體系

　　基于區分服務(wù)的移動(dòng)IPv6服務(wù)質(zhì)量體系中，每個(gè)管理域中至少有一個(gè)全局服務(wù)器，稱(chēng)為全局服務(wù)質(zhì)量代理(GQA)，在控制面上；有幾個(gè)歸屬節點(diǎn)作為歸屬服務(wù)質(zhì)量代理(LQA)，在傳輸面上。GQA和LQA之間的通信采用COPS(common open policy service)。由于在中心服務(wù)器上保留全局信息，并且將控制和數據傳輸分開(kāi)，因此用于移動(dòng)環(huán)境時(shí)非常靈活，易于添加新的服務(wù)，并且更加有效。該結構還考慮了集成移動(dòng)IPv6和區分服務(wù)的其它問(wèn)題，如移動(dòng)環(huán)境下的網(wǎng)絡(luò )資源提供、缺乏動(dòng)態(tài)配置問(wèn)題、服務(wù)等級約定的定義和選擇、移動(dòng)數據流的標識和計費問(wèn)題等。但區分服務(wù)用于移動(dòng)IP中存在以下問(wèn)題：

●區分服務(wù)比較適用于設計周全、帶寬合理分配的網(wǎng)絡(luò )，支持移動(dòng)環(huán)境的網(wǎng)絡(luò )由于網(wǎng)絡(luò )中的節點(diǎn)隨時(shí)移動(dòng)，因而業(yè)務(wù)量模型比較復雜。

●在區分服務(wù)中，不同QoS區域(如不同的ISP提供的網(wǎng)絡(luò ))的業(yè)務(wù)等級協(xié)商(SLA)常常是靜態(tài)的，移動(dòng)IP的高動(dòng)態(tài)環(huán)境與區分服務(wù)的靜態(tài)帶寬分配是相矛盾的，因此為了MN的動(dòng)態(tài)帶寬分配需要，必須支持動(dòng)態(tài)的業(yè)務(wù)等級協(xié)商。

●在不同QoS區域的入口處，網(wǎng)絡(luò )的邊緣路由器要對分組流進(jìn)行識別，傳統分組流可以通過(guò)分組頭標上的五元組來(lái)識別。而移動(dòng)IPv6中的分組的源IP地址(MN發(fā)送的分組)或目的IP地址(MN接收的分組)是MN的轉交地址，該地址是隨著(zhù)節點(diǎn)的移動(dòng)動(dòng)態(tài)地變化。

　　為了在移動(dòng)IP網(wǎng)絡(luò )上實(shí)現區分服務(wù)，應精細設計提供移動(dòng)服務(wù)的網(wǎng)絡(luò )，動(dòng)態(tài)預測移動(dòng)節點(diǎn)對帶寬的需求和接入的MN數，或采用資源預留等信令機制，更準確地預測滿(mǎn)足移動(dòng)節點(diǎn)QoS所需的帶寬。

2.1.3　移動(dòng)IPv6的頭標壓縮

　　由于無(wú)線(xiàn)鏈路傳輸速率較低、誤碼率較高，在無(wú)線(xiàn)網(wǎng)絡(luò )上傳輸IP分組的主要問(wèn)題就是頭標的開(kāi)銷(xiāo)過(guò)大。例如，一幀音頻數據凈荷通常只有15-32byte，而在移動(dòng)IPv6環(huán)境中傳輸該數據需要40byte的IPv6頭標，20byte的信宿選項頭標或24byte的尋路頭標，8byte的傳輸層UDP(用戶(hù)數據報協(xié)議)頭標和12byte的RTP(實(shí)時(shí)傳輸協(xié)議)頭標?？偣驳念^標開(kāi)銷(xiāo)是80或84byte，如果通信對端也是MN，那么分組的IP/UDP/RTP加在一起的頭標開(kāi)銷(xiāo)有104byte。這不僅浪費帶寬，同時(shí)還使分組因出錯而被丟棄的概率增大。

　　事實(shí)上，在傳輸過(guò)程中，同一個(gè)數據流的分組的IPv6頭標有很多域是相同的，例如，版本、流標記、下一個(gè)頭標以及源地址、目的地址在一個(gè)小區內都是不變的。動(dòng)態(tài)變化的部分只有業(yè)務(wù)量等級、中繼點(diǎn)限制。此外，信宿選項頭標和尋路頭標中每個(gè)域都是靜態(tài)不變的。因此，頭標壓縮的基本思路是：在無(wú)線(xiàn)鏈路上僅僅在數據流開(kāi)始時(shí)發(fā)送完整的IP分組及相應的選項頭標，后續的IP分組的頭標域可以只傳輸變化的部分和相對于同一個(gè)流的關(guān)聯(lián)識別符，以實(shí)現有效地利用帶寬。但由于用戶(hù)在不斷的移動(dòng)中，因此，有效的頭標壓縮算法和數據流壓縮同步規程是關(guān)鍵所在。

　　IS-835C中指定了兩種頭標壓縮機制：

●選項S061，使用LLA-ROHC來(lái)壓縮RTP/UDP/IP頭標，接近0byte。

●選項S060，刪除頭標，再使用物理信道來(lái)再生。

　　S061的好處是，LLA-ROHC可以被用于VoIP以及其它多媒體應用，可根據RTP時(shí)間戳來(lái)同步語(yǔ)音和視頻流，缺點(diǎn)是實(shí)現復雜。S060實(shí)現簡(jiǎn)單，但不能被用于非VoIP應用。 {{分頁(yè)}}

2.1.4　影響服務(wù)質(zhì)量的其它問(wèn)題

　　MN在越區切換時(shí)引入的分組傳輸延時(shí)和分組丟失也是移動(dòng)IP急需解決的問(wèn)題，這個(gè)問(wèn)題不解決，移動(dòng)IP的QoS保證就無(wú)從談起。

　　目前，關(guān)于移動(dòng)IP快速切換的提案很多，基本思路主要有：分組緩存、組播和基于移動(dòng)觸發(fā)的預先切換等。另外，移動(dòng)IP的資源預留、MN注冊過(guò)程中的認證以及移動(dòng)IPv6頭標壓縮的同步規程都將在MN的切換過(guò)程中引入延時(shí)，因此移動(dòng)IP的越區切換需要更加有效的方法。

2.2　移動(dòng)IPv6安全、認證及DoS防御

2.2.1　移動(dòng)IPv6面臨的安全威脅

　　當網(wǎng)絡(luò )體系結構上添加新的功能時(shí)，通常會(huì )引入一些新的安全隱患：

●對移動(dòng)IPv6來(lái)說(shuō)，由于MN的移動(dòng)需要經(jīng)常向家鄉代理和CN發(fā)送綁定更新報文，這一特征引入了諸多安全問(wèn)題。其中最大的威脅是綁定更新報文具有對分組的重定向功能，攻擊者通過(guò)冒充MN向CN發(fā)送綁定更新報文，就可以將發(fā)往MN的分組重定向到攻擊者指定的地點(diǎn)。

●DoS(denial of service)攻擊，攻擊者能夠阻塞未受保護鏈路上的所有業(yè)務(wù)量，也能夠阻止MN與其它節點(diǎn)的通信。

●在移動(dòng)IPv4協(xié)議中，移動(dòng)節點(diǎn)獲得轉交地址前，外地代理會(huì )對移動(dòng)節點(diǎn)進(jìn)行認證等處理，但是，在移動(dòng)IPv6中沒(méi)有外地代理，這意味著(zhù)移動(dòng)訪(fǎng)問(wèn)的安全策略工作需要由被訪(fǎng)問(wèn)網(wǎng)絡(luò )的路由器來(lái)完成。

●家鄉地址選項的運用雖然解決了網(wǎng)絡(luò )入口過(guò)濾路由器的問(wèn)題，但卻暴露了MN當前的位置信息，這給某些希望隱藏MN位置信息的通信帶來(lái)了安全威脅。

2.2.2　移動(dòng)IPv6的安全保護

　　移動(dòng)IPv6規定了IPSec作為MN的綁定更新報文的安全保護，但在利用IPSec通信之前收發(fā)雙方需要事先建立安全關(guān)聯(lián)，即決定采用哪種認證、加密算法。一般認為，MN與其本地代理很容易建立安全關(guān)聯(lián)，但大多數情況下，MN與CN不存在安全關(guān)聯(lián)或其它安全關(guān)系。

　　采用IPSec的另外一個(gè)問(wèn)題是，它依賴(lài)于PKI，而PKI的建設是一個(gè)復雜的工程。IPSec的密鑰管理要求終端具有很強的處理能力，未來(lái)使用移動(dòng)IP的設備諸如手機、PDA計算能力都很弱，而且能耗也需要考慮，因此要求進(jìn)行大量計算的安全機制不太適合這些設備。為此目前也在討論一種輕量級的安全保護協(xié)議，如定制密鑰(PBK，purpose built key)。

　　PBK協(xié)議中，在每一個(gè)移動(dòng)IP會(huì )話(huà)之前，通信雙方產(chǎn)生一對新的公鑰/私鑰，這對密鑰匙是臨時(shí)的，只有通信雙方能夠使用，無(wú)需向第三方注冊。當會(huì )話(huà)結束時(shí)，密鑰失效。PBK協(xié)議簡(jiǎn)單，但安全性沒(méi)有IPSec好，如沒(méi)有解決中間人攻擊等問(wèn)題，并且PBK實(shí)現的不是用戶(hù)認證，而是設備認證。

2.2.3　移動(dòng)IPv6中DoS的防御

　　在移動(dòng)IPv6中DoS表現形式為：

●黑客向本地代理發(fā)出偽造的注冊請求，把自己的IP地址當作移動(dòng)節點(diǎn)的轉交地址，在注冊成功后，本地代理將根據黑客注冊的轉交地址，把目的地址是移動(dòng)節點(diǎn)的數據分組通過(guò)隧道送給黑客，黑客得到應送給移動(dòng)節點(diǎn)的數據，而真正的移動(dòng)節點(diǎn)卻被拒絕服務(wù)。

●黑客以數據分組不斷轟炸服務(wù)器，服務(wù)器不得不處理這些請求，并為每一個(gè)請求分配資源，而無(wú)法響應其它有用信息。 {{分頁(yè)}}

　　防御偽造注冊請求的DoS攻擊的有效辦法是對移動(dòng)節點(diǎn)和本地代理之間交換的所有注冊信息進(jìn)行有效的驗證。本地代理向MN回送的注冊應答消息采用消息摘要方法。

　　另外，可利用SCTP(流控制傳輸協(xié)議)四路防御DoS攻擊。SCTP是面向連接的可靠傳送協(xié)議，在SCTP中，TCP 中的連接被引申為關(guān)聯(lián)，每個(gè)關(guān)聯(lián)都由兩個(gè)SCTP端口號和兩個(gè)IP地址列表來(lái)標識。SYN flooding利用了TCP/IP中的TCP三次握手，惡意的攻擊者大量向服務(wù)器發(fā)送SYN報文，使得正常的連接無(wú)法建立，并在服務(wù)器端形成一個(gè)非常大的半連接列表而無(wú)法接受正常服務(wù)。而在SCTP四路握手中，INIT消息的接收端不必保存任何狀態(tài)信息或分配任何資源，它在發(fā)送INIT ACK消息時(shí)，采用了“狀態(tài)cookie”機制。采用這種方式，即使接收更多的INIT消息，接收端也沒(méi)有任何資源的消耗，它既不分配任何系統資源，也不保存此次新關(guān)聯(lián)的狀態(tài)，只是把相應重建狀態(tài)所用的cookie作為參數，包含在每一個(gè)回送的INIT ACK消息中，最后該cookie會(huì )被cookie-echo消息發(fā)送回來(lái)，從而防范SYN flooding等方式的DoS攻擊。

2.3　IPv6 DNS自動(dòng)發(fā)現

　　IPv6網(wǎng)絡(luò )終端可以利用有狀態(tài)和無(wú)狀態(tài)自動(dòng)地址獲得機制得到地址，DNS服務(wù)器同樣也需要有自動(dòng)獲得機制。目前有三種機制，路由宣告選項機制(RA option)、DHCPv6選項(DHCPv6 option)和事先配置的任播地址機制。

(1)路由宣告選項機制

　　RA選項機制定義了一個(gè)新的鄰居發(fā)現(ND)選項RDNSS，包含了DNS服務(wù)器地址，可使用現有的ND宣告和請求機制。該方法具有以下優(yōu)點(diǎn)：

●只是擴展了ND自動(dòng)配置機制，不需要對ND協(xié)議進(jìn)行大的改動(dòng)。

●和ND一樣，可在多種類(lèi)型的鏈路上運作，包括點(diǎn)到點(diǎn)鏈路、點(diǎn)到多點(diǎn)鏈路、多播等。

●適用于多種網(wǎng)絡(luò )環(huán)境。

但也存在以下缺點(diǎn)：

●ND大多在操作系統內實(shí)現，而DHCPv6在應用層實(shí)現。

●由于ND緩沖之間的同步在內核空間中，而DNS配置文件在用戶(hù)空間中，所以目前的ND框架需要修改。

●路由器需要配置RDNSS地址。

●無(wú)線(xiàn)網(wǎng)絡(luò )環(huán)境中，由于多播不穩定，此方法性能不佳。

(2)DHCPv6選項機制

　　DHCPv6中包含DNS Recursive Name Server選項來(lái)指定可以提供名字服務(wù)的服務(wù)器地址信息，提供名字搜索順序選項。主要有以下優(yōu)點(diǎn)：

●方便配置其它信息，如SIP服務(wù)器和NTP服務(wù)器地址。

●互操作性好。

●已為RFC，標準性好。 {{分頁(yè)}}

　　存在以下缺點(diǎn)：

●由于RA消息中不包含DNS信息，主機必須從路由器處接收兩個(gè)消息。

●增加了延遲，除了必須等待RA消息外，客戶(hù)還必須和DHCPv6服務(wù)器交換報文。

(3)任播地址機制

　　使用特殊的任播地址，具有以下優(yōu)點(diǎn)：延遲小，可與其它方法混合使用，在DNS可工作的任意環(huán)境下都可以使用。缺點(diǎn)主要有：此方法需要DNS服務(wù)器扮演部分路由器角色，向路由系統宣告任播地址。

3、CDMA網(wǎng)絡(luò )實(shí)施移動(dòng)IPv6有關(guān)的問(wèn)題

3.1　CDMA網(wǎng)絡(luò )中移動(dòng)IPv6的演進(jìn)

　　CDMA網(wǎng)絡(luò )中移動(dòng)IPv6的演進(jìn)有多種解決方案，如雙協(xié)議棧技術(shù)、隧道技術(shù)、協(xié)議轉換等，下面將就目前主要的幾種演進(jìn)機制進(jìn)行詳細說(shuō)明。

(1)雙協(xié)議棧

　　IPv6和IPv4是功能相近的網(wǎng)絡(luò )層協(xié)議，兩者都基于相同的物理平臺，而且加載于其上的傳輸層協(xié)議TCP和UDP又沒(méi)有任何區別。雙協(xié)議棧，即主機和路由器在同一網(wǎng)絡(luò )接口上運行IPv4棧和IPv6棧。這樣，雙棧節點(diǎn)既可以接收和發(fā)送IPv4包，也可以接收和發(fā)送 IPv6包，因而兩個(gè)協(xié)議可以在同一網(wǎng)絡(luò )中共存。雙協(xié)議棧易于實(shí)施，但效率較低。

(2)隧道技術(shù)

　　隧道技術(shù)的核心思想是通過(guò)把IPv6數據報文封裝入IPv4數據報文中，讓現有IPv4網(wǎng)絡(luò )成為載體以建立IPv6的通信，隧道兩端的節點(diǎn)間數據報文的傳送通過(guò)IPv4機制進(jìn)行，隧道被看成一個(gè)直接連接的通道。隧道技術(shù)只要求在隧道的入口和出口處進(jìn)行修改，對其它部分沒(méi)有要求，因而技術(shù)實(shí)現非常容易。

　　一個(gè)隧道具有一個(gè)入口點(diǎn)和一個(gè)終點(diǎn)，為了讓數據通過(guò)，必須知道兩個(gè)端點(diǎn)的地址。確定入口點(diǎn)是直接的，因為它出現在 IPv4基礎結構的邊界，確定隧道的終點(diǎn)要復雜一些。根據隧道終點(diǎn)地址的獲得方式可將隧道分為配置型隧道和自動(dòng)型隧道，其中配置型隧道主要用于路由器到路由器，而自動(dòng)型隧道有以下幾種方式：tunnel brokers(RFC 3053)(基于服務(wù)器的半自動(dòng)隧道)、6to4(RFC 3056)(路由器到路由器)、ISATAP(intra-site automatic tunnel addressing protocol)(主機到路由器，路由器到主機，主機到主機)、6over4(RFC 2529)(主機到路由器，路由器到主機)、Teredo(通過(guò)IPv4 NAT建立隧道)、IPv64(IPv4/IPv6混合環(huán)境下使用)、DSTM(dual stack transition mechanism)(IPv4在IPv6隧道里)。

　　隧道技術(shù)的優(yōu)點(diǎn)在于隧道的透明性，IPv6主機之間的通信可以忽略隧道的存在，隧道只起到物理通道的作用，不需要大量的 IPv6專(zhuān)用路由器設備和專(zhuān)用鏈路，可以明顯地減少投資。其缺點(diǎn)是：過(guò)程繁瑣，IPv4主機和IP6主機無(wú)法互通。在IPv6網(wǎng)絡(luò )建設的初期，可以采用這種方式。

(3)翻譯機制

　　目前，翻譯機制有多種層次，如網(wǎng)絡(luò )層翻譯器，包括SIIT(stateless IP/ICMP translation algorithm，RFC2765)、NAT-PT(RFC2766)和BIS(bump in the stack，RFC2767)；傳輸層翻譯器有TRT(transport relay translator，RFC3142)、BIA(bump in the API，RFC3338)和SOCKS64(RFC3089)；應用層翻譯器有ALG(application level gateway)。

3.2　移動(dòng)IPv6的自舉

　　自舉(bootstrapping)是指MN必須創(chuàng )建并維護以下三種信息：MN的家鄉地址，家鄉代理地址，MN與家鄉代理之間的IPSec安全關(guān)聯(lián)或者共享密鑰，以實(shí)現在家鄉代理完成注冊的過(guò)程。一般來(lái)講，MN每次啟動(dòng)、地址前綴變化或當有更優(yōu)的家鄉代理出現時(shí)都會(huì )進(jìn)行自舉。自舉可以看成是移動(dòng)服務(wù)提供商驗證移動(dòng)服務(wù)訂購者的身份后，為移動(dòng)服務(wù)訂購者配置所需參數的過(guò)程，有以下兩種模式：

●移動(dòng)服務(wù)提供商(MSP)模式的自舉，MIPv6認證獨立于網(wǎng)絡(luò )接入認證。

●綜合接入服務(wù)提供商(IASP)模式的自舉，MIPv6認證依賴(lài)于網(wǎng)絡(luò )接入認證。

　　從網(wǎng)絡(luò )運營(yíng)模式方面，移動(dòng)IPv6服務(wù)運營(yíng)實(shí)體可以分為：接入服務(wù)提供商(ASP)、MSP和IASP，其中MSP必須通過(guò)ASP為其提供業(yè)務(wù)的基本接入，而IASP自身既是ASP又是MSP。

　　運營(yíng)商在網(wǎng)絡(luò )部署初期，可以先只作為MSP，通過(guò)與第三方ASP簽訂協(xié)議，利用其作為用戶(hù)的網(wǎng)絡(luò )接入認證，而自己為用戶(hù)進(jìn)行移動(dòng)IPv6自舉。后期則可采用基于IASP模式的自舉，同時(shí)進(jìn)行網(wǎng)絡(luò )接入認證與自舉過(guò)程，更易于實(shí)現可運營(yíng)、可管理，但部署難度相對較大。

　　目前自舉過(guò)程本身尚有不足之處，有待進(jìn)一步研究解決，如MN和處理自舉過(guò)程的實(shí)體間的相互認證和信任關(guān)系；如何確保密鑰在生命周期內不被盜用；特定HA和地址分配的SA綁定；如何支持SA的多種算法及如何避免拒絕服務(wù)攻擊等。

3.3　基于業(yè)務(wù)的承載控制

　　PDSN充當SBBC(service based bearer control)時(shí)候，需要標識會(huì )話(huà)中的流，但MN到CN的數據是通過(guò)MN-HA隧道傳送的，對PDSN透明。為了解決此問(wèn)題，目前方法為移動(dòng)IP歸屬地址只使用在SIP信令消息中，而使用IP轉交地址來(lái)承載。

3.4　移動(dòng)IPv6與TFT的交互

　　移動(dòng)IPv6和TFT(traffic flow template)交互時(shí)，有時(shí)不能正確映射TFT到IPv6的地址，目前有兩種解決方法。方法一是修改SDP(會(huì )話(huà)描述協(xié)議)，在draft-ietf -mmusic-sdp-srcfilter-05.txt中描述，此方法方便，但效率較低。方法二是在移動(dòng)性選項中增加轉交地址移動(dòng)性選項，此方法復雜，但效率較高。

3.5　互通問(wèn)題

　　3GPP標準要求IMS使用IPv6，并確立了其惟一性。3GPP2出于兩種體系融合的考慮，也采用了IMS模式?，F階段最突出的問(wèn)題是IETF與3GPP/3GPP2 SIP網(wǎng)元之間的差異，以及IMS與外部使用IPv4的SIP設備之間的互通性。

3.6　認證問(wèn)題

　　在蜂窩網(wǎng)絡(luò )中，基于SIM的認證過(guò)程中產(chǎn)生的會(huì )話(huà)密鑰也可以用來(lái)對移動(dòng)IPv6中的綁定選項進(jìn)行加密認證，還可以用來(lái)保證運行在IP網(wǎng)絡(luò )上的其它應用的安全。

　　理論上講，可用SIM6機制來(lái)為移動(dòng)節點(diǎn)、家鄉代理和一些通信節點(diǎn)的認證提供綁定認證密鑰，從而完善在多接入環(huán)境中提供移動(dòng)性所必須的安全機制。但如何在CDMA網(wǎng)絡(luò )中引入SIM6，并適應機卡分離這一要求，仍然處于探索階段。

4、實(shí)施中對CDMA網(wǎng)絡(luò )設備的具體要求

　　PDSN：PDSN需要支持雙協(xié)議棧，并且能夠支持IPv6CP over PPP，即：PDSN如果不是純IPv6的連接，則可以將IPv6數據通過(guò)隧道方式傳送到外部。PDSN仍需支持基于IPv4的到PCF的A10和A11 接口。如果PDSN具有純IPv6連接，而終端協(xié)議為IPv4，PDSN必須具有某種翻譯機制。

　　DNS：現有的DNS服務(wù)器必須支持雙協(xié)議棧，包含IPv6業(yè)務(wù)使用的AAAA記錄，能夠接受通過(guò)IPv4或IPv6的DNS查詢(xún)。如果運營(yíng)商希望動(dòng)態(tài)配置歸屬地址，HA或者AAAH(歸屬地AAA)必須在歸屬地址的DNS改變時(shí)，發(fā)送DNS更新到DNS服務(wù)器。

　　無(wú)線(xiàn)網(wǎng)絡(luò )：可保持不變，但PCF必須可以基于IPv4的A10和A11接口來(lái)與雙協(xié)議棧的PDSN進(jìn)行通信。

　　終端：為雙協(xié)議棧，支持IS-835規范(cdma2000 wireless IP network)。

　　HA：如果運營(yíng)商需要支持永遠在線(xiàn)，HA必須為雙協(xié)議棧，且支持移動(dòng)IPv6協(xié)議。

　　AS：如果網(wǎng)絡(luò )為純IPv6，HTTP服務(wù)器、Java、下載等應用服務(wù)器必須支持雙協(xié)議棧。通信協(xié)議也需相應改動(dòng)。

　　SIP服務(wù)器：必須支持雙協(xié)議棧，且SDP也應支持IPv6。