5.5. Пакеты полезных данных
Пакеты полезных данных, обмен которыми осуществляют мобильные узлы, могут защищаться обычным образом, тем же самым методом, которым их могут защитить стационарные хосты. Однако протокол мобильного IPv6 вводит в пакеты полезных данных опцию места назначения Home Address, заголовок маршрутизации и заголовки туннелирования. Ниже мы определяем меры безопасности, созданные для их защиты, а также для предотвращения их использования в атаках против других сторон.
Данная спецификация ограничивает использование опции места назначения Home Address ситуацией, когда узел-корреспондент уже имеет элемент кэша обновлений привязки для данного домашнего адреса. Это позволяет избежать использования опции Home Address в атаках, описанных в разд. 15.1.
Протокол мобильного IPv6 использует специальный тип заголовка маршрутизации. Этот тип заголовка обеспечивает необходимую функциональность, но не открывает слабые места в системе защиты, которые обсуждаются в разд. 15.1.
Туннели между мобильным узлом и домашним агентом защищаются путем обеспечения надлежащего использования адресов источника и дополнительной криптографической защиты. Мобильный узел проверяет, что внешний IP-адрес соответствует его домашнему агенту. Домашний агент проверяет, что внешний IP-адрес соответствует текущему местоположению мобильного узла (сообщения Binding Update, посылаемые домашнему агенту, защищены). Домашний агент идентифицирует мобильный узел по адресу источника, находящемуся во внутреннем пакете. (Обычно это домашний адрес мобильного узла, но это может быть и «локальный для линка» адрес, как обсуждается в разд. 10.4.2. Чтобы распознать последний тип адреса, домашний агент требует, чтобы в обновлении привязки был установлен флаг Link-Local Address Compatibility (L)). Эти меры защищают туннели от слабых мест, обсуждаемых в разд. 15.1.
Для трафика, туннелируемого через домашнего агента, может (MAY) поддерживаться и использоваться дополнительная инкапсуляция IPsec ESP. Если поддерживаются протоколы управления членством в мультикастовой группе или протоколы контекстного (с сохранением состояния) автоконфигурирования адресов, защита полезных данных должна (MUST) поддерживаться.