移动IPv6的安全性.doc

论移动IPv6的安全性摘要: IPv6 是新一代的IP 协议, 它对现有协议IPv4 进行改进, 针对数据包的路由、安全性的改进提出一些新的方案, 使得移动通信网络接入, 数据包的路由实现起来更方便。文章介绍了移动IPv6 的协议原理, 讨论了移动IPv6 的实现策略、机制及特点, 对IPv6 安全做了分析, 并对IP sec 安全机制进行了进一步探讨。关键词：移动IPv6，安全，IPSecAbstract: In IPv6,which is a new version of IP, some improvements in the route security of data packages have been made over the current IPv4 so that the mobile IP protocol can provide transparent and seam less service to mobile node on Internet. In this paper, the principle and realization strategy of mobile IPv6 are introduced, and the implication of IPSec is also discussed.Key words：mo bile IPv6，security，IPSec目录1 移动IP 的基本原理31.1 移动IP 的设计要求 31.2 移动IPV6及其特点 31.2.1 移动IPv6介绍 31.2.2移动IPv6 术语 31.2.3 移动IPv6技术的特点 42移动IPv6 的安全问题42.1 针对移动主机与本地代理或通信节点之间的绑定更新的威胁42.2 移动IPv6的一些安全对策 52.2.1 IPSEC安全协议简介 52.2.2 对绑定更新的安全策略52.2.3IPSec 安全机制的实现62.2.4IPSec 安全机制的不足63 结束语7附录：参考文献7目前, 由于受到网络路由策略和协议的制约, 计算机只能限制在本地局域网内使用。随着计算机技术和网络技术的不断发展, 越来越多的移动节点希望可以在移动过程中实现透明、无缝的网络连接即无需用户进行手工配置就可以继续保持原有通信Intemet网络工程部( rF)提出了移动II，协议来为移动节点提供无缝、透明的连接笔记本电脑、掌上电脑及其它个人数字助手(PDA ) 都显著增加, 甚至移动电话都可以支持IP。无论设备是通过有线媒体还是无线媒体连接, 人们越来越期望设备移动后还能够无缝访问网络。移动性是移动模式的本质特征，由移动IPv6实现的移动性带来许多安全问题，移动用户在外地与本地子网或其它主机通信时，极易受到攻击，数据可能遭到窃听、截获和修改等破坏因此，移动IPv6的设计，除了能够满足节点的移动性外，还应保障通信的安全IE3Y的移动IPv6工作组1996年公布了第一个移动IPv6草案，到2004年初IPv6主机移动协议草案已经发展到了第24号版本，并于2004年6月发布为RFC3775成为第一个移动IPv6的提案标准本文主要关注移动IPv6所带来的新的安全问题并对RFC3775所提出的关于安全问题进行了分析，并提出了相应的解决方案。1移动IP 的基本原理1. 1移动IP 的设计要求设计移动IP 时有以下要求: 移动节点在改变数据接入点后仍然能与因特网上的其它节点通信。 无论移动节点连接哪个数据接入点, 仍能用原来的IP 地址进行通信。 移动节点能与不具备移动IP 功能的计算机通信。 移动节点不应比因特网上的其它节点面临新的或更多的安全威胁。1.2 移动IPV6及其特点1.2.1 移动IPv6介绍移动IPv6在协议中定义了三种操作实体移动节点(Mobile Node，MN)、通信节点(Correspondence Node，CN)和本地代理(Home Agent，HA)移动IPv6中还新增了四种目的地选项：绑定更新(Binding Update)、绑定确认(Binding Acknowledgment)、绑定请求(Binding Request)和本地地址(Home Address)当移动节点离开本地链路时，它要向本地链路上的一个路由器注册自己的一个转交地址(careof address)移动节点的本地代理得到转交地址后，使用IPv6的邻居发现(Neighbor Discovery，ND)机制来截获发往移动节点的数据包在本地以外的地方，移动设备传送数据包时，通常在IPv6报头中将转交地址作为源地址，并使用一个本地地址目标选项，目的是通过这个选项把移动节点的本地地址告诉给包的接收者进行注册时，移动节点先向本地代理发送绑定更新消息当通节点需要更新某个绑定时，还可以发送一个绑定请求消息到移动节点，移动节点再返回一个绑定更新消息如果移动节点离开本地链路时，原来作为它本地代理的路由器被别的路由器替换，这时移动节点就要利用IPv6中的“动态本地代理地址发现”机制动态地在本地链路上发现一个新的本地代理的地址1.2.2移动IPv6 术语(1) 移动节点MN (Mobile Node)。将接入因特网的位置从一条链路切换到另一条链路上, 仍然能保持所有正在进行的通信设备, 可以是台式机、笔记本, 也可以是其它设备。(2) 家乡地址HAddr (Home Address)。移动节点在原地子网所获得的IPv6 地址, 又称正常驻地。(3) 家乡代理HA (Home A gent)。有一个端口与移动节点家乡链路相连的路由器。(4) 通信节点CN (Correspondent Node)。和移动节点进行通信的节点。(5) 联合定位关照地址CCOA (Co2locateed care2of2 Address)。移动节点在外地子网自动获得的IPv6 地址, 其子网前缀是外地子网号, 可以通过联合定位关照地址进行寻址。(6) 绑定(B IND IN G)。移动节点的原地址与联合定位关照地址的联合, 外带其生存时间。1.2.3 移动IPv6技术的特点移动IPv6借鉴了设计移动lPv4的许多成功的经验，在移动lPv4的基础上又有很多改进除了提供更大的地址空间外，还包括通过允许任何对等通信节点和移动节点之间直接路由数据分组而实现的“路由优化”，解决了移动lPv4协议中存在的“三角路由”问题；允许移动节点发出的数据包经过带人口过滤的路由器；在移动IPv6中不再有外地代理的概念；可以利用IPv6的IijeC进行安全保护；允许控制信息由IPv6分组捎带传送；“动态本地代理地址发现”机制使用IPv6的任意点传送地址，并且本地链路上只有一个本地代理向移动节点返回一个应答消息；使用无状态地址自动配置，移动IPv6既不需要DHCP，也不需要在外地链路上的代理来配置移动节点的转交地址2移动IPv6 的安全问题在移动网络中的安全问题主要是: 当MN 向家乡代理登记时不会被冒充或数据不会被截获; 访问外地子网时, 希望保持与原子网的网络通信安全得到保证, 被访问子网不会因移动节点的接入而使安全性受到影响, 移动节点无法访问未授权的子网资源。由于移动节点与固定节点相比，所处的环境经常变化，其面临的安全威胁也就越严重而对移动IPv6来说，由于移动节点的移动需要经常向移动节点的本地代理和通信节点发送绑定更新分组，这样，便引入了更多安全问题IPv6 提供网络层IPSec 安全支持 , 使得IPv6 的安全性得到很大提高。21 针对移动主机与本地代理或通信节点之间的绑定更新的威胁随着轻便的无线设备的不断大量增加，移动节点在网络上的漫游越来越频繁，移动节点不断改变着自身的位置为了保持连接就需要不断地进行路由优化，而进行路由优化的途径就是发送绑定更新分组无处不在的攻击者可以利用假的或者未经认证的绑定更新分组进行攻击从未经认证的绑定更新分组来的最基本的威胁是攻击者能够构造假的绑定更新分组并把该消息从互联网的任何地方发到互联网上的任何节点其具体的攻击形式有以下几种：重定向攻击(Redirect Attacks)：所谓重定向是指本该发送到一个节点的数据，被重定向发送到了另一个节点例如，移动节点A正在与通信节点B进行会话，这时如果攻击者知道移动节点A的本地地址就能够发送分组给A，在这个绑定更新分组中包含通信节点c(也可以是攻击者本身)的新的转交地址和B的本地地址选项，而移动节点A不知道通信节点B是否移动，当没有任何认证时就接受了这个绑定更新分组这样移动节点A就会把信息重定向给通信节点c从而移动节点A在不知情的情况下与通信节点c(或攻击者)进行会话移动节点A信息就被通信节点c(或攻击者)窃取了中间人攻击(Man In The Middle Attacks，MITM)：当攻击者在移动节点A与通信节点B中间的通信链路上就可能截取并修改移动节点A的绑定更新分组，并利用它来进行反射攻击等拒绝服务攻击(Denial Of Service Attacks，DoS)：通过对目标主机同时发起大量的服务请求，占用所有的网络资源，导致目标主机无法回应正常的服务请求在移动IPv6中，攻击者发送大量伪绑定更新分组时，远端通信节点也只能拒绝服务绑定更新了另外攻击者向通信节点B发送大量的绑定更新分组来填满存放绑定缓冲人口的存储器，导致通信节点B不能处理移动节点A发来的新的分组重放攻击(Replay Attacks)：移动节点能够记录即使已经被认证的绑定更新消息，当移动节点移到一个不同的转交地址时重新发送这个消息，从而破坏移动节点的通信反射攻击(Reflection Attacks)：当移动节点A正在与通信节点B进行会话时，一个请求分组给B正常情况下B将返回一个应答分组，但如果A发送一个请求分组给B而导致B发送一个应答分组给C就称为反射攻击攻击者可以通过绑定更新来进行反射攻击2.2 移动IPv6的一些安全对策2.2.1 IPSEC安全协议简介移动II)工作组建议在移动口中采用IPSEC安全协议，IWoec为II)网络通信提供透明的安全服务，保护，IPII)通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性IPSec有两个基本目标：l、保护II)数据包安全，2、为抵御网络攻击提供防护措施IPSEC包括II)认证头(II)AH)协议和II)封装安全净荷协议(II)ESP)和密钥交换协议(IKE)，它们可以提供对II)报头和净荷的认证、完整性检查、不可抵赖性及完成对II)数据包净荷的加密IPSEC作为IPv6的一部分做了规定，每个IPv6主机必须支持两种安全负载：AH和ESPAH提供消息认证和完整性，ESP提供消息的机密性和完整性如果采用适当的算法，ESP也可以提供认证服务，而IKE主要是对密钥进行交换管理以及对算法、协议和密钥三个方面进行协商使用在II)安全框架中，安全机制和密钥管理相互独立，二者之间的界面是sA(安全关联)SA可以包含认证算法、加密算法、用于认证和加密的密钥IPSe使用一种密钥分配和交换协议如互联网安全关联和密钥管理协议(Intemet Security Association and KeyManagement Protocol，ISAKMP)来创建和维护sAsA是一个单向的逻辑连接，也就是说，两个主机之间的认证通信将使用两个SA，分别用于通信的发送方与接受方2.2.2 对绑定更新的安全策略移动IPv6使用IPSe来满足更新绑定时的所有安全需求IPsec ESP通过在移动节点和本地代理之间发送安全的移动消息来保证绑定更新和绑定应答的完整性绑定更新选项能够把目的地是移动节点的数据包发送到转交地址如果包含绑定更新的数据包没有被认证，那么改变数据包路由的功能就非常危险如果绑定更新选项所带来的“远端重定向”没有经过认证的话，也会带来很多安全问题绑定确认选项同样需要经过认证，否则攻击者就可以欺骗移动节点中间人攻击包括窃听、插入、删除、修改消息，反射消息回到发送者，重放旧消息以及重定向消息要使得在移动节点和本地代理之间发送的绑定更新和绑定应答消息是完整的，必需在它们之间进行相互认证II)Sec体系结构的Intemet安全关联和密钥管理协议(IsAKMP)能够抵御中间人攻击为了对付DoS攻击移动节点和本地代理之间的注册消息必须采用有效的认证机制，从而使得攻击者不可能伪造注册请求消息，检查认证有效期、确定移动节点位置并保持资源的可用性对通信节点而言，它可以采用以下方式来抵抗拒绝服务攻击：如果通信节点被大量绑定更新的信息所堵塞，它可以通过中止处理绑定更新信息的流程来减缓堵塞下的系统压力；若通信节点察觉到分配在检查虚假绑定信息上的资源远远超出用来接收真实绑定更新信息的资源时，通信节点会在不执行任何加密机制的情况下，逐步抛弃部分或是全部的绑定更新的信息为防止重发攻击的发生，移动节点为每一个连续的注册消息标识域(Identification)产生一个惟一值这个值使得本地代理可以知道下一个值应是多少，这样重发攻击就无能为力了，因为本地代理可以判定注册请求消息是否过时为防止重发攻击，移动II定义了两种填写标识域的方法第一种方法使用时间标签，另一种方法采用Nonces2.2.3IPSec 安全机制的实现IPSec 提供2 种工作模式: 传输模式和隧道模式。在传输模式中, 只有IP 负载即高层协议(TCP,UDP, ICM P 等) 及数据是加密的, 在该模式下, 原地址、目的地址及IP 包头的内容都不加密。在隧道模式中, 整个用户的IP 数据包被用来计算ESP 包头, 整个IP 包被加密并和ESP 包头一起被封装在一个新的IP 包内。在该模式中, 路由器充当IPSec 代理功能, 即加、解密等安全处理只在路由上进行, 终端主机系统不需做任何改动即可获得IP 安全功能, 而且终端主机系统可以使用内部IP 地址。在实际应用中均采用隧道模式。此外, IPSec 组件实现对SA 等数据库的维护和查询,IPSec 组件中的IKE 7 ( In ternet Key Exchange 互连网密钥交换) 用于通信双方进行身份认证、商加密算法、散列算法和生成公钥。为登记控制消息不受攻击, 需要给每个绑到更新和帮定确认分组加上AH 或ESP 即可实现身份鉴别和加密; 利用IPSec 建立MN 和HA 之间的安全IP 隧道, 可以保证移动节点和家乡子网安全通信。同样, 通过IPSec 的安全IP隧道, 可以实现外地子网资源得到保护。2.2.