计算机与编程移动ip技术详解

IP包括从一幢大楼内的几间房间到整个大学或公司，其最主要的特征是：网络特别是路由结构完全由一个机构来管理。此外，我们还特别假设这个网络与全球因特网不相连。首先，我们描述在这样的一个园区中移动IPIP的好处，然后，讨论其中具有挑战性的问题，即这种情况下的安全措施。我们从移动用户和网络运营者的角度来分析安全威胁。在这一节中，我们将描述在园区网中使用移动IP到底意味着什么，尤其是我们将介绍家乡代理和外地代理的选址，以及移动节点如何得到它们的服务。然后，在其他节中，我们将检查这种网络面临的安全威胁，并对这些安全威胁提供防范措施。内部网是基于TCP/IP协议的一个专用网，它可以是全球因特网的一部分（但通常用防火墙阻止攻击来保证安全，也可以是一个私有的网络而根本不和全球因特网相连。一个园区内部网就是一个专用网，它为一个公司的所有计算机提供连接。在这一章中，我们假设一个园8-1给出了一幢具有这种网络的公司大楼。这可以是一个大公司的园区，也可能是一个办公楼内属于一家公司的几间房间。图中，公司的每个部门有自己的局域网（LAN，包括部门的主机间通信用的一些物理媒介。为使事情变得更有趣，我们假设在这个网内有两种媒介：有线以太网和某些类型的无线LAN网（如ATTaveLAN、Proxim等。在图8-1中，主机被表示成一个个方盒子，每个都连接在LAN上。没有被占用的LAN端口或网络插座，被表示成没有连接主机的垂直线，这些端口可能位于会议室等地方。在那些地方，雇员们可能要将一台笔记本电脑连接到网络上。未用的LAN图8-1各个部门的LAN被连到了路由器上，它们对IP包进行尽量少的转发。每台路由器都连到了高速光纤主干网上，使得各个部门之间可以共享信息。另外，我们还假设所有主机完全由公司拥有，因此，假设在一般情况下这些主机都是可以相信的。（在第9章中，我们放松了这个假设，从而对安全问题提出了更多的挑战。将图8-1中的所有路由器升级成同时支持家乡代理和外地代理络，并在所有主机上安装移动节点软件，图中的网络就变成了一个支持移动IP的网络。我们也可以将每个LAN上的一台或多台主机升级成家乡代理和外地代理。最终的网络如图8-2所示，图中的每台路由器都同时执行家乡代理和外地代理的功能。在公司的所有路由器上安装外地代理和家乡代理软件，或者将外地代理和家乡代理软件安装在网络上的各种个人计算机或工作站上，每一条链路至少有一台。以简单明了的方式为每个移动节点分配一条家乡链路、一个家乡地址和一个家乡代理，例如，穿过R&D部门的地板和小间隔断的以太网网段就可以成为这个部门的工程师们拥有的移动节点的家乡链路。相似地，他们的移动节点将被分配网络前缀与所在链路的网络前缀相等的本地IP地址。最后，连到这条链路上的路由器就成了这些移动节点的家乡代理。由于移动节点带有认证注册规程的要求，应为各个移动节点和它的家乡代理分别分配一个共享密钥。移动IP管理信息库MIB（ManagementInformationBase）[RFC2006]可以帮助网络管理人员管理网上的这些移动节点、外地代理和家乡代理。MIB定义了一个变量集合，它可以采用简单网络管理协议第二版本（SNMPv2SimpleNetworkManagementProtocol）[RFC1905]的MIB允行管理员将一个移动节点的家乡地址和认证密钥配置到移动节点的家乡代理上。当然，这种操作应采用SNMP的安全版本，否则密钥就会在网络上以明码传送，从而很容易被截获。MIB能进行的另外操作包括就认证失败和安全侵害对代理进行监测，它可以提出移动节点和家乡代理是否使用了同一种防止重发攻击的方法（即时间标记还是Nonces。相似地，管理员可以改变家乡代理和外地代理在注册中允许的最大生存时间等配置参数。未用的LAN图8-2移动IP这个移动IP的“园区内部网”应用是非常简明，而且实现起来也很容易，MIB使得这个应IP，雇员可以将他的笔记本电脑搬到内部网的任何地方，插到任何一个网络插座上（或以无线方式通信，然后就可以访问那些连接在自己的桌面上时能访问的信息了。例如，当在会议过程中有一些问题时，人们可以用笔记本电脑查找电子邮箱或一个网页来找寻答案，从而立即解决问题，而不是推迟作出一个重要决定，或在根本没有充分事实的情况下争吵不休而浪费时间。当笔记本电脑从它们的家乡链路上拔下来，然后连接到会议室的一个网络插座上时，不需要进行重新启动或重新配置，另外，应用程序也不需要重起，因为移动IP允许笔记本电脑在园区网内移动时不改变IP地址。在以下的几节中，我们将研究采用前面所述的移动IP的园区网存在哪些安全威胁。注意，安全威胁总是来自某些人，所以，研究带来安全威胁的源头的特性以及减小安全威胁应采取的步骤是非常重要的。我们用安全模型这个词来表示我们在何种情况下允许哪些人访问网络。在本章中，我们假设对网络的物理连接有严格的控制，也就是说，我们有一系列机制来防止未授权的用户将计算机连到网上，无论是通过有线的还是无线的网络接口，这些机制包括安全保卫、印着名字的胸牌等等各种方式。我们还假设网络管理员是唯一允许通过网络或物理连接访问路由器的人。对于那些确实想保护他们的计算机以及计算机中存储的信息的公司来说，这种安全模型提供了非常谨慎的措施。这种安全模型和前面所说的移动IP没有特别的关系，同样的物理安全要求对所有的园区内部网都是适用的，无论这个网是否支持移动IP。如果对网络的物理访问有了严格的控制，那么网络所面对的安全威胁就小得多了，但是物理安全从来都不是完美的，因此，一旦有人危及园区网的物理安全时，我们希望找到一些方法来减少可能发生的攻击带来的影响。在下面几节中，我们将研究几种安全威胁。这种攻击与前面所说的移动IP没有任何关系，但为了内容的完整性，我们注意到移动节点和网络本身对来自“内部人员”的攻击是非常脆弱的。所谓内部人员是指认为是可信的雇员。Ernst&oung和InformationWeek[Viol96]所作的一项调查表明，在对公司网络成功的攻击中，来自内部人员的攻击是从外部攻入网络的两倍。通常，这些内部攻击牵扯到一个不满的雇员得到一些敏感的数据，然后将这些数据通过电子的方式或物理的方式转发给竞争对手。减小这种攻击的影响的唯一方法是：对谁能访问哪些数据作出严格的控制（如让人力资源部的员工访问放在工程部门的计算机中的集成电路设计是毫无必要的。对用户和计算机采取严格的认证来保证这种访问控制。特别是消除用户名/口令的明码对在源和目的计算机间传送的所有数据采用端到端的加密，以防止数据在网上传送时被那些偷听者偷走。这些方法无法阻止不满的雇员将他有权访问的信息透露给竞争对手，然而，这些步骤确实可以防止一个部门的人员将另一个部门的信息泄露出去。我们再一次说明，本节中所介绍的安全威胁不只是针对移动IP的，移动IP也根本不会加剧这些安全威胁。这只是提供一个安全的专用网环境，了解这些安全威胁是非常重要的。在这一节中，我们介绍对移动节点的拒绝服务攻击。如果移动IP不是从开始就设计专门的方法来对付这种攻击，那么任一个移动节点都可能受到这种攻击。特别要注意，这种攻击不是专门针对本章中采用移动IP园区网情况的，这种攻击对所有使用移动节点、外地代理和家乡代理的情况都有效。我们在这一章中讨论这个问题，是因为这是本书研究移动节点所面临的安全威胁的第一个机会。一般来说，拒绝服务攻击是指一个“坏家伙”为阻止另一个人正常工作所做的一些事情。在计算机网络中，拒绝服务攻击常采用以下形式：“坏家伙”向主机（如一个Web服务器）CPU忙于处理“坏家伙”对网络上两个节点之间传送的包进行干扰。通常，这个“坏家伙”必须位于这两个节点之间的路径上才可以发动这种攻击。移动IP本身对这些无用的数据包无能为力。在第10章中，我们还会看到，解决这个问题IP对IP路由技术的一个主要假设变得无效了。这方面的细节我们将在第10.3中研究。如果移动IP没有从开始就设计对付第二种形式的拒绝服务攻击，即“坏家伙”阻止两个合法节点间的数据传送，那么这种攻击引起的威胁会因为移动而加剧。在本节的余下部分，IP是如何来对付它的。回想一下，移动IP注册的一个主要目的是让移动节点将它的转交地址通知给它的家乡代理，家乡代理将根据转交地址把目的地址为移动节点地址的数据包通过隧道送给移动节点。当一个“坏家伙”发出一个伪造的注册请求，把它自己的IP地址当作移动节点的转交地址时，如图8-3所示，通信对端送出的所有数据包都会被移动节点的家乡代理通过隧道送给这个“坏理发送一条伪造的注册请求消息。与固定的主机和路由器比较一下，对于固定的主机，一个节点要想中断另两个主机之间的通信，通常它必须位于这两台主机之间的路径上，但在移动状况下，节点可以从网络的任一个角落进行这种拒绝服务攻击。这就是IAB（InternetArchitectureBoard）要求移动IP的设计者们对付的又一个安全威胁。地址为外地链 图8-3对这种安全威胁的解决方法是要求移动节点和它的家乡代理之间交互的所有注册消息都7.4中所述，有效的认证是指“坏家伙”几乎不可能产生一个伪造的注册请求消息而又不被家乡代理识破。移动IP允许移动节点和家乡代理采用它们选择的任何认证算法，然而，所有实现必须支持“KeyedMD5”作为缺省算法。这种认证利用MD5消息摘要算法[RFC1321]来提供第7.4.4中所介绍的密钥认证和完整性检查。移动IP认证是这样采用KeyedMD5的，如图8-4所示，移动节点产生一条注册请求消息，其中包括固定部分和移动-家乡认证扩展，移动节点填写消息和扩展部分中除认证域外的所有其他的域，认证域为空白，然后移动节点对以下这一串字节计算出一个MD5[RFC1321消息摘要：包括移动-家乡认证扩展在内的所有扩展（即类型、长度和安全参数索引域，但不包括认证域。MD5计算的输出为一个16字节的消息摘要，移动节点将这个消息摘要放入移动-家乡认证扩展的认证域中，这样就完成了一个注册请求消息的组装。然后，移动节点将这个消息送给家乡代理，具体方法已在第5.3.2中说明了。当消息到达家乡代理后，家乡代理所做的工作与移动节点在组装消息时所做的工作大致相同。家乡代理用它和移动节点共有的秘密密钥以及接收到的注册请求消息的各个域计算消息摘要，然后将计算结果与从移动节点那里接收到的认证域相比较。如果相等，家乡代理就知道移动节点确实发出了一条注册请求消息，而且这条消息在传送过程中没有被更改。因此，移动IP的认证扩展同时提供了认证和完整性检查。家乡代理向移动节点返回注册应答时的过程正好相反。家乡代理计算注册应答消息和密钥的消息摘要，将消息摘要放在注册应答的认证域中，移动节点检查消息摘要来对家乡代理进行认证，并检查应答消息的完整性。函数

图8-4利用KeyedMD5如上所述，移动-家乡认证扩展防止了拒绝服务攻击。然而这还不够，因为一个“坏家伙”可以将一个有效的注册请求消息存起来，然后过了一段时间后再重发这个消息，从而注册一个伪造的转交地址。这防止这种重发攻击的发生，移动节点为每一个连续的注册消息标识域（Identification）产生一个唯一值。这个值使得家乡代理可以知道下一个值应是多少，这样，“坏家伙”就无能为力了，因为它保存的注册请求消息会被家乡代理判定为已经过时了。为防止重发攻击，移动IP定义了两种填写标识域的方法。第一种方法是用时间标签，移动节点将它当前估计的日期和时间填写进标识域中。如果这种估计和家乡代理估计的时间不够接近，那么家乡代理会拒绝这个注册请求，并向移动节点提供一些信息来同步它的时钟，这样移动节点以后产生的标识就会在家乡代理允许的误差范围内了。另一种方法采用Nonces，这让我们联想起第7.4.4中的随机数Challenges。在这种方法中，移动节点向家乡代理规定了向移动节点发送下一个注册应答消息标识域的低半部分中必须放置的值，相似地，家乡代理向移动节点规定了在下一个注册请求消息标识域的高半部分中必须放置的值。如果有任一个节点接收到的注册消息的标识域与期望的值不符，如果是家乡代理，它就拒绝这条消息，而移动节点则不理会这条消息。拒绝机制使移动节点可以和家乡代理同步，以防止它们保留有关下一个消息标识域过时的值。移动IP个假的移动节点当前转交地址报告给移动节点的家乡代理，因为所有的注册消息对消息源进行认证，并有完整性检查和防止重发攻击的机制。移动节点和网络上的其他节点面对的另一个严重的安全威胁就是信息的窃取。当一个“坏家伙”偷听其他人的数据包，以窃取数据包中可能包含的机密和私有信息时，就称为窃取信息。如第7.3中所述，经常采用加密的方法来防止数据被未经授权的人检看。在这一节中，我们将介绍两种方法，这两种方法采用了加密来防止数据中的机密被网络上的移动节点和其他节点发送和接收。根据第8.1.4中介绍的安全模型，我们已经知道为使安全措施有效，必须保证网络的物理安全性。总有一些人会被授予访问网络的权力，如销售商、客户、求职者和维修人员等。物理安全也很难做得完美，总有一些未经授权的人被允许接入网络。我们注意到，无线链路是非常脆弱的，为得到链路上传送的信息，人们并不需要物理地连接到网络上。我们认识到了网络物理安全的脆弱特性，并采取措施来加固网络的安全。假设总会有未经授权的用户通过无线的或有线的方式接入网络，因此必须采取步骤来加固网络以防止这些人。在本章的移动园区网例子中，我们假设移动节点可以通过两种媒介连接到外地代理和家乡代理上：无线LAN（LocalAreaNetworks）和有线的以太网。在这一节中，我们将介绍一种当移动节点和它的外地代理之间的数据在较脆弱的无线链路上传送时，防止“坏家伙”偷听的方法。下一节中，我们将介绍一种更好的方法，它与物理媒介无关，而且可以在网络的任一个点上保护数据，而不仅仅是在移动节点的外地链路上对数据进行保护。图8-5所示的上半部分表明了数据链路层加密。在这里，移动节点和外地代理对它们在外地链路上交换的所有数据包进行加密，我们还假设这种加密中的密钥管理没有将密钥泄露给任何经授权的人，这样在链路上传送的帧包含了只有移动节点和外地代理才能解密的加密数据包。当外地链路是无线LAN时，数据链路层加密变得尤为重要。在无线链路上进行偷听要更容易一些，因为偷听者不需要物理地连接到链路上就可以接收数据了。因此，为防止偷听，对无线链路上传送的数据包进行加密是非常重要的。正是由于这个原因，许多销售无线LAN网络接口的销售商都将加密作为一个可选项做进了他们的产品。还有一些销售商不提供这种加密机制，而宣称就偷听而言，他们的物理层协议是“安全的”，因为他们的物理层协议很难解码。这种宣称是不可信的，因为许多密码学家一致认为这些产品传送的信息相对来说是比较容易攻破的，特别是与强大的加密算法相比时。对这种方法有一个说法称为“隐匿中的安全”，它可能被称为是“隐匿”的，但决不是“安全”的！对于想保证他们的数据的机密性和完整性的人来说，采用端到端加密总是对的。端到端加密是指在通信的源对数据进行加密，在目的地对数据进行解密，而不只是在最后一段或第一段链路上对数据进行加解密(这并不是说链路加密不好，只是说，端到端加密要更好些)。端到端加密的好处有很多：无论外地链路采用的是什么媒介，数据都得到了保护（很难找到一种产品，它采用特定的链路技术，同时又实现了加密。只在源和目的地(而不是在许多地方)才对数据进行展开，这样防止了通信过程中不必要的时延。这种方法可以扩展到通过公用网访问专用网的情况，这时不会牺牲专用网上数据的机密性（在第9章中可以看到这种例子。图8-5中的第二张图表明了采用端到端加密对付信息窃取的方法。如图所示，链路层加密不能阻止“坏家伙”在外地代理和通信对端之间的路径上偷听，它只能阻止“坏家伙”在外地链路上偷听。相反，端到端加密不存在这种脆弱性。在图8-5的第二张图中，在任何一点偷听的偷听者看到的只是他无法解密的密文。在基于因特网的应用中采用端到端加密的例子有SSH（Secureremote[Unix]SHell、（SecureremotefileCoPy）和SSL(SecureSocketsLayer)(在许多安全站点和WWW浏览器上使用)。ESP（EncapsulationSecurityPayload）[RFC1827]可以为不能支持加密的应用程序提供1.1.移动节点外地链路2.使用IP封装安全净荷进行的端到端加密：没有明显的漏 移动节点未加密的移动IP图8-5窃取信息：会话窃取攻击会话窃取攻击是指一个“坏家伙”等一个合法节点进行认证并开始应用会话后，通过假扮合法节点将会话窃取过去。通常，这个“坏家伙”必须发送大量的无用数据包来防止合法节点发现会话已被窃取了。这一节中的安全威胁的特性与被动偷听的特性有些相似。也就是说，我们假设这个“坏家伙”已经通过了公司的物理安全防护，并且在移动节点的外地链路无线收发器的工作范围内。同样，我们也可以假设它物理地连接在一条基于以太网的外地链路上。这种会话窃取攻击是这样发起的：“坏家伙”偷听移动节点是否开始了一个感兴趣的通信（如主机的远程登录会话或连接到它在远端的电子邮箱。CPU“坏家伙”发送一个似乎是从移动节点发出的数据包，并截获发往移动节点的数据包，从而窃取会话。移动节点的用户可能意识到有些不对头，因为它的应用停止工作了。但是，这个用户可能并不知道它的会话已被窃取了，因为在屏幕上并没有显示发生了这种事情。“坏家伙”还可以窃取那些碰巧与移动节点连在同一条链路上的主机的会话。这些主机包括没有使用移动IP的节点以及连在家乡链路上的移动节点。防止这种攻击的方法与防止偷听的方法一样，至少要求移动节点和它的外地代理之间有链路层加密。和前面所说的一样，最好是在移动节点和它的通信对端之间有端到端加密，我们将把这方面的讨论放到下一节中去。加密可以防止会话窃取攻击的原因是：如果移动节点和外地代理之间采用了链路层加密，那么它们各自都认为从另一方接收到的数据包是加密的。这就意味着，为了得到明文，它们中的每个节点都要对接收到的数据包进行解密。注意，只有移动节点和外地代理才拥有对它们之间交换的数据进行加解密的密钥。“坏家伙”由于得不到合适的密钥，他就不可能产生移动节点和外地代理能正常解密的密文，或者解出的明文全是乱码。进一步地，好的加密机制可以提供一种方法让解密的一方能确定恢复的明文是合法的还是乱码。实现这种功能的一种明显的方法是同时提供数据加密和完整性检查，在解密时，如果数据不能通过完整性检查，那么接收节点就知道这是乱码了。如[Bellovin96]中所描述的，不带认证的加密存在严重的弱点，对敏感的数据同时进行加密和认证是明智的选择。正确使用的加密使得本节中所描述的会话窃取攻击变得无法实现。如果“坏家伙”没有连接到外地链路上（如链路是有线的，或他位于无线收发器的工作范围以外，他仍然可以发动会话窃取攻击。当然，这要求他可以从移动节点和通信对端之间“坏家伙”发动攻击的方法也与前一节中讨论的一样。也就是说，他先偷听对话过程，直到发现有感兴趣的攻击目标，然后用无用的数据包攻击一个端点，最后假扮被攻击节点加密仍然是防止这种攻击的方法。显然，只在外地链路上使用的链路层加密不再够用，而要求用端到端加密来保护网络上任一点上的数据，这种加密可以用ESP8.4.3这一节描述一个“坏家伙”在本章所说的园区网上可能发起的其他主动攻击。与前面几IP地址，并设法攻入网络上的其他主机。这种威胁的特性与第8.5.2中所说的攻击相同。也就是说，“坏家伙”先通过网络的物理安收听移动IP收听链路上各个节点的数据包，仔细检查源IP地址和目的IP地址，从中推断出链路的网向DHCP服务器发送数据包，由于这台服务器的安全漏洞或配置错误，服务器会告诉他想要的东西，甚至给他分配一个IP地址！“坏家伙”猜测一个可用的主机号，与第一步中得到的网络前缀一起就得到了一个在IP地址。一种得到未用主机号的方法是：对数据包进行一段时间的监听，然后找到一个目前可能没用的主机号。另一种方法是选一个主机号，发送一些带这个IP地址的ARP请求消息，然后看一下这个消息是否得到应答。如果没有应答，那么这个主机号很可能还没有被使用。“坏家伙”继续设法攻入网络上的其他主机。例如，设法登录到一台UNIX机器，猜测用户名/口令直到成功。我们注意到，有那么多的网络具有口令很容易猜的主机帐号，因此这8个字符长，并至少有一个或多个标点符号或空格，而且不应写在纸上或贴在计算机监视器上。防止网络攻击的一种方法是使“坏家伙”在这种网络接口上无法与网络上的其他节点通信，这要求以下的安全措施：所有公共的网络接口（如在会议室内的）必须连接到外地代理上，这个外地代理配置成实现与它的代理广播消息中的R比特有关的策略。这台外地代理应拒绝为链路上那些没有在外地代理上注册过的节点路由数据包（5.3.7。在会话可能被窃取的链路上不应该有任何节点，不管是移动的还是非移动的。提供这种保护的最简单的方法是将所有非移动的节点从这条链路上移走，并要求所有合法的移动节点（至少）使用链路层加密。进行攻击了。需要注意，与连接这种会议室的路由器相比，上面所描述的R比特置位的外地代理能提供更好的防范攻击的能力。因此，在某种意义上，如果使用得当，移动IP能提供更好一些的安在这一章中我们介绍了在一个公司网络上