IP平安机制的研究

1、摘要: 针对移动 ipv6 存在的平安隐患 , 介绍了移动 ipv6 中所面临的要紧平安要挟, 分析和研究了移动ipv6协议的有效平安策略。关键词 : 移动 ipv6, 平安性 , 平安机制 , 策略一、移动 ipv6 的由来为了支持因特网上的移动设备,ietf( 互联网工程任务组) 推出了移动 ip 的标准 , 利用户保留不变的永久ip 地址 , 而不管他们是不是连接在网上。 移动 ip 有两种 : 一种是基于 ipv4 的移动 ipv4,一种是基于 ipv6 的移动 ipv6。对 ipv6 移动性的要求是 : 移动性是 ipv6 的组成部份和重要特色之一, 估量所有 ipv6 的部署都将至

2、少包括最小的移动ip 支持( 即通信节点的功能 )。在移动 ipv6中不管移动节点 (mn,mobile node) 当前如何 , 在哪里接入因特网,始终都是通过其静态的家乡地址(home address: 指分派给移动节点的 ip 地址) 来识别该节点的。离开家乡网络时, 每一个移动节点都会获取另一个临时的地址来表示节点当前的位置。抵达其家 乡 地 址 的 大 体 信 息 被 重 定 向 ( 隧 道 封 装 ) 到 转 交 地 址(coa,care-of address: 指移动节点访问外地链路时取得的ip 地址) 。二、移动 ipv6 与移动 ipv4 的平安性比较和改良移动 ipv6 的

3、平安性有四个特点不同于移动ipv4: 没有外地代理 ;ipsec (ip平安协议 ) 集成到 ipv6 标准中 ; 家乡地址选项解决了网络入境过滤器的问题; 路由优化功能是移动ipv6 协议的要紧功能之一。ipsec 在 ipv6 那么是一个必备组成部份, 而 ipsec 只是 ipv4的一个可选扩展协议, 可是 ,ipsec是网络层协议 , 只负责其基层的, 不能负责其上层如web 、 e-mail 等应用的平安 ; 保证端到端的安满是 ipv6 最大的优势 ,ipv6 限制利用 nat,许诺所有的网络节点利用其全世界惟一的地址进行通信; 在 ipv6 的地址概念中 , 地址分派与源地址检查

4、有了本地子网地址和本地网络地址的新概念, 从平安方面来讲, 如此的地址分派为网络治理员强化网络平安治理提供了方便; 由于要避免未授权访问ipv6 固有的对身份验证的支持 , 对数据完整性和数据机密性的支持和改良,ipv6增强了避免未授权访问的能力。3、移动 ipv6 面临的要紧平安要挟一是拒绝效劳解决(dos), 是指一个解决者为阻止合法用户的正常工作而采取的解决, 要紧包括两种方式: 一种是通过向效劳器或主机发送大量数据包, 使主机忙于处置这些无用的数据包而无法响应有效的数据包; 另一种是直接干扰正常通信, 如在移动节点和通信节点通信途径上窜改routing header 域值, 将通信节点

5、的流量重定向到其它第三方节点(包括解决者自己 ) 。 二是重放解决 , 它是一种冒充解决, 利用身份验证机制中的漏洞先把信息记录下来 , 然后再发送出去。在移动ip 中, 解决者通过窃取会话, 截获数据包 , 把一个有效的注册请求信息贮存起来, 向移动节点发送大量无用的数据分组, 占用移动节点cpu的全数时刻 , 再利用存储的有效注册请求信息向代理效劳器注册伪造的转交地址。三是信息窃取解决。一种是被动的监听。移动ipv6 利用包括无线链路在内的多种传输媒介, 解决者能够不需要物理地连接到网络上就能够够进行侦听。另一种是会话窃取, 是指一个解决者等待合法的用户完成而且开始进行会话后, 通过假扮合

6、法节点来窃取会话的解决。 四是与发送至家乡代理和对端节点的绑定更新相关的要挟。解决者可能利用重定向的数据包, 来尝试将其设置为移动节点和对端节点之间的中间人, 这使得解决者能够扮演移动节点 , 会致使相应的完整性和有效性问题。歹意节点也可能发送绑定更新 , 绑定更新中的转交地址能够被设置为受害节点的地址。五是与负载数据包相关的要挟。在移动ipv6 中引入了家乡地址目的地选项及更新报头类型( 第二类 ), 而且在负载数据包中利用了隧道报头。关于移动节点和家乡代理之间, 解决者能够伪造移动节点和家乡代理之间的隧道数据包, 使其显示为来自移动节点的流量 , 事实上并非是如此的。4、移动 ipv6 的

7、平安策略第一, 针对重放解决 , 移动 ipv6 协议在注册消息中添加了序列号 , 而且在协议报文中引入了时刻随机数。第二, 移动 ipv6 对移动节点与通信节点之间、移动节点与归属代理之间的信令消息传递的有效爱惜 , 能够防御其它形式的解决。爱惜信令消息和业务流量就能够够在移动节点和归属代理之间成立ipsec平安联盟。移动节点归属地址和归属代理都是已知的, 那么能够预先为移动节点和归属代理配置平安联盟, 利用 ah和 esp成立平安隧道 ,提供数据源认证、完整性检查、数据加密和重放解决防护。一是信令优化 , 能够保证节点更好的qos需求。二是应用ipsec 在移动 ipv6 中使网络成立起平

8、安连接、并对传输数据进行加密 , 维持数据的靠得住性, 从而大大提高治理的可扩展性。三是幸免“三角” 问题 : 提高动态家乡代理的有效性, 并通过利用路由优化机制及正确分派。但进行路由优化的同时应兼顾性, 现在移动节点必需和通信节点进行彼此。四是采纳隧道和源路由技术向连接在外地链路上的移动节点传送数据包。移动ipv6 利用选路扩展报头来平安地实现源路由。五是采纳层次化移动ipv6 来解决不同切换下的平安问题, 移动节点发生切换时实现认证信息快速切换的传递 , 简化认证进程。定制密钥 (pbk,purpose-built key)能够普遍应用到移动ipv6 协议中。 ipsec 需要依托公钥基础

9、设施(pki) 来运作 , 但 pki目前尚未有专门好的实施, 终端设备的运算能力层次不齐。在目前的条件下需要更为简单的pbk平安协议。 pbk的目的是要确认某个漫游设备正是发起某次特定通信的设备。pbk 协议假定 , 在确保一些操作是平安的基础上, 能够以为后续的操作是平安的。在每一个移动ip 会话前 , 通信两边产生一对新的公钥/ 私钥 , 这对密钥是临时的 , 只有通信两边能够利用, 无需向第三方注册, 可不能为第三方取得。返回途径可达 (rrp,return routability procedure) 方式用来在 mn和 cn之间提供适当验证爱惜。通过返回途径可达进程,通信对端明白自己是不是能够利用转交地址和家乡地址访问移动节点。若是rrp测试失败 , 通信对端就不能接收移动节点的绑定更新 , 也不能直接发送分组到移动节点的转交地址。4.5 ipsec与防火墙结合的平安机制ipsec 的实施并非能替代传统平安设备, 防火墙和入侵检测系统仍有存在的必要, 可是 ip