移动IPv6协议安全性分析

来源 :高校教育研究 | 被引量 : 0次 | 上传用户:lizhiguo518
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  【摘要】目前移动IPv6基本的功能性问题已经解决,但是协议本身仍然存在安全性问题。本文分析了移动IPv6面临的安全风险,对移动IPv6中提供的两种安全性方法--IPsec和路由返回过程进行了阐述,并对IPsec协议和路由返回过程中的安全问题进行了讨论。
  【关键词】移动IPv6 IPsec 密钥交换(IKE) 路由返回过程
  【中图分类号】TN911.6 【文献标识码】A 【文章编号】1009-9646(2008)08(b)-0152-02
  
  目前IETF移动IP工作组提出了移动IPv6的正式标准RFC 3775《Mobility Support in IPv6》。协议为移动节点与家乡代理、通信对端的通信提供了理论基础,并实现了基本的移动IP功能。但是对于协议本身来说安全性才是最关键的部分。
  
  1 移动IPv6面临的安全威胁
  1.1 拒绝服务攻击
  拒绝服务攻击是指攻击者为阻止合法用户的正常工作而采取的攻击。该攻击主要包括2种方式:一是通过网络向主机或服务器发送大量数据包,使主机忙于处理这些无用数据包而无法响应有用信息;另一种是对通信双方进行干扰。
  1.2 重放攻击
  重放攻击是攻击者可以将一个有效注册请求消息保存起来,然后等待一段时间后再重新发送这个消息来注册一个伪造的转交地址,从而达到攻击的目的。
  1.3 重定向攻击
  (1)攻击者可以冒充移动节点,使用移动节点的家乡地址发送绑定更新消息(例如把自己的地址作为移动节点的新的转交地址),伪装移动节点的移动状况,最终截获发往移动节点的数据包阻断合法用户的正常通信。
  (2)在移动节点和家乡代理通信路径上的攻击者可以通过篡改家乡地址目的地选项域值,将通信节点的流量重新定向到第三方节点上,从而阻断合法用户的正常通行。
  1.4 信息窃取攻击
  (1)被动侦听。由于移动IP可以使用包括无线链路在内的多种传输媒介,攻击者能够不需要网络物理连接就可以进行监听。
  (2)会话窃取。攻击者通过假扮合法节点来窃取会话攻击。攻击者一方面向移动节点发送大量无用的数据包,另一方面假冒移动节点发送数据包并截获发往移动节点的数据包,使合法用户无法获得有用的信息。
  1.5 反射攻击
  主要在移动节点与通信对端间的通信链路上,攻击者本身可能是一个合法的移动节点,它向通信对端提供一个虚假的转交地址企图进行绑定,从而时通信对端向这个虚假的转交地址发送大量数据包。这种反射攻击会严重消耗网络带宽和通信对端的系统处理资源,若反射流足够大将会造成拒绝服务攻击。
  
  2 增强安全性的方法
  针对上述安全威胁,移动IPv6主要提供两种安全认证解决方案。一种是网络安全协议(IPSec);另一种是路由返回机制。
  2.1 IPSec安全协议
  IPSec包括IP认证头(AH)协议和IP封装安全载荷协议(ESP),它们可以提供对IP报头和净荷的认证、完整性检验、不可抵賴性及完成对IP数据包净荷的加密。由于IPSec能够被用来鉴别和加密IP层的数据包,并且具有比其他方法更加安全可靠的特性,为家乡代理和移动节点间的流量提供安全保护。
  使用IPsec方法实现保护的最大问题就是密钥分配及管理。IPsec提供的Internet密钥交换(IKE)协议是负责在两个对等体间协商一条IPsec隧道的协议。该协议主要负责协商协议参数;交换公共密钥;对双方进行认证;以及在交换后对密钥进行管理等内容。IKE靠密钥交换的完全自动化解决了IPsec实现中需要手工操作以及伸缩性问题。
  在密钥交换过程中必须使用事先共享的秘密或者公钥。当某个移动节点和家乡代理之间需要身份认证时,它们必须预先有一些共同的秘密或者提前获知对方的公钥。IKE协议可分为两个阶段。一条IPsec隧道通过以下事件序列在两个通信对等体间建立起来。
  (1)阶段1 IPsec对等体接收或产生感兴趣的流量,对等体通过在流量的IPsec会话发起端的已配置接口上进行。使用IKE协商两个对等体间的IKE安全关联。
  


  (2)阶段2 使用IKE安全关联,创建了两个IPsec对等体间的两个安全关联即IPsec安全关联。数据开始在加密信道上传输,使用了ESP或AH封装技术。
  IPsec能够很好的保护两个通信对等体之间的流量,但是这种保护也只能局限于两个相互信任的对等体之间,使用IPsec作为移动节点和通信对端之间的保护方案却不是很理想。
  2.2 路由返回机制
  由于IPsec对未知节点的局限性,移动节点和通信对端必须采用其他的密钥分配方案来实现两者间绑定消息的鉴别。路由返回机制主要是为了在移动节点和通信对端之间提供安全鉴别。其主要步骤如图2所示下。
  MN使用隧道经HA将HOTI消息发送至CN;
  MN直接发送COTI消息到CN;
  CN发送HOT消息,经由HA转发到MN;
  CN发送COT消息到MN;
  MN收到HOT和COT消息获得令牌Ka,Kc,并生成一个绑定管理密钥Km=H(Ka,Kc)。使用该密钥来验证绑定更新消息中数据。
  消息(1)和消息(2)由移动节点同时发送到通信对端,2条消息中分别包含了移动节点的家乡地址和转交地址。消息(1)由家乡地址发出,通过反向隧道消息首先到达家乡代理,经由家乡代理发送到通信对端。消息(2)由转交地址直接发送到通信对端。
  消息(3)和消息(4)分别作为通信对端对消息(1)和消息(2)的响应。消息中分别包含密钥K0和K1,用来鉴别绑定更新消息。消息(5)是移动节点发送给通信对端的绑定更新消息。
  2.3 方法安全性分析
  上述两种方法中IPsec具有很强的安全性,但是却因为缺少大范围的可信任体系而不能广泛应用于移动节点和通信对端;而路由返回过程虽然可以对移动节点和通信对端提供保护,但容易受到以下2类安全攻击。
  2.3.1 攻击1
  攻击者潜伏在移动节点附近,能够监听到移动节点的数据包并通过数据包信息伪造邻居;除此外攻击者也可以伪造移动节点的转交地址,将伪造的转交地址向通信对端绑定注册。通信对端发往移动节点转交地址的数据包就发送到伪造的转交地址处,攻击者获得了消息。如图3所示。
  2.3.2 攻击2
  攻击者位于靠近通信对端节点附近。由于在家乡代理和通信对端之间缺少有效的安全保护,攻击者很容易在家乡网络和通信对端的路径上获得绑定管理密钥。攻击者可以把自己伪装成任何一个移动节点,并伪造绑定更新消息来破坏或者抢占合法移动节点与通信对端的连接,造成正常通信的中断。如图4所示。
  
  3 结束语
  移动IPv6协议为用户提供了更方便更快捷的生活方式,但从安全角度出发,移动IPv6仍处于一个发展的阶段,尽管文中提到的IPSec、路由返回等方法为现有的移动IPv6协议提供了安全保护,但由于其自身安全缺陷或是额外的代价导致在一定程度上不能实现安全保护本文也给出了分析,相信许多相关的内容还在进一步的改进。
  
  参考文献
  [1] Johnson, D., Perkins, C. and J. Arkko, "Mobility Support in IPv6", RFC 3775, June 2004.
  [2] 周贤伟主编,景晓军等编著,移动IP与安全,国防工业出版社,2005.9.
  [3] 孙利民等编著,移动IP技术,电子工业出版社,2003.8.
其他文献
【摘要】质量是高等教育的生命线,提高教学质量是学校各项工作的出发点和归宿。作为吉林省高等教育教学研究课题成果,本文以吉林农业大学监控与保障体系构建的实践为例,对构建本科教学质量监控与保障体系进行了探索。   【关键词】教学质量 监控 保障 体系   【中图分类号】G424 【文献标识码】A 【文章编号】1009-9646(2008)08(b)-0105-02      人才培养是高等学校的根本任务
期刊
【摘要】高职学生的心理危机在近年来逐渐增多,给高校学生工作的正常开展造成了较大的影响。本文分析了高职生心理危机的多种特点,根据高职生得具体情况研究了产生心理危机与具体成因,从建立体制、加强教育、加深关爱、培养工作人员等多个方面就高职生心理危机的干预进行了深入的探讨。   【关键词】高职学生 心理危机 形成 干预   【中图分类号】G444 【文献标识码】A 【文章编号】1009-9646(2008
期刊
【摘要】高校会计本科教育的重要性日趋受到社会各界的重视,但其所面临的培养目标、教学内容、教学手段以及教学资源方面的不足亦颇为突出。为切实提高我国会计本科教育质量,笔者认为必须及时明确会计本科教育的培养目标,优化课程设置,改进教学手段,以及加强师资力量建设。   【关键词】本科教育 会计教育 教学改革   【中图分类号】H191 【文献标识码】A 【文章编号】1009-9646(2008)08(b)
期刊
【摘要】本文从学生英语水平、教学效果、教材选择及教学模式等方面设计问卷进行调查。结合调查内容,从教学模式、教学方法、教学内容及教材选择方面对学科基础课程实施双语教学进行了探讨。学科基础课程采用双语教学对教学模式、教学方法和手段提出了更高的要求。在讨论提高《运筹学》双语教学效果基础上也为学科基础类课程的双语教学工作提供参考作用。   【关键词】双语教学 学科基础课程 问卷调查   【中图分类号】G6
期刊
【摘要】本文阐述经管类本科实验教学与创新人才培养的重要性,分析了当前经管类本科实验教学中存在的问题及原因,并就购建实验教学体系与学生创新能力培养模式作了初步探讨。   【关键词】实验教学 教学模式 人才培养   【中图分类号】G642.0 【文献标识码】A 【文章编号】1009-9646(2008)08(b)-0107-02      高校本科教育的实践教学主要包括实验、实训、实习,其中经管类本科
期刊
【摘要】随着科学技术及社会的发展,远程教育成为现实社会构建终身学习体系不可或缺的部分,它最重要的任务在于满足广大学习者的学习需求,以适应迅速变化的社会发展的要求。教学过程是保证教育质量的实施环节,对保证教育质量起着至关重要的作用,如何根据远程教育的结构特点设计适合远程教育的教学过程,是本文探讨的重点。   【关键词】远程教育 教学过程 教育活动 知识交流 网络教学   【中图分类号】G642.1
期刊
【摘要】20世纪70年代以来,在会计目标上西方形成了两大流派:决策有用学派和受托责任学派。二者对会计目标的争论对后来的会计理论研究产生了深远影响。目前,决策有用已成为主流观点。但是,受托责任是否就不合适了?决策有用和受托责任二者究竟是替代关系、从属关系还是其他关系?本文拟对此进行初步的探讨。   【关键词】会计 目标   【中图分类号】F23 【文献标识码】A 【文章编号】1009-9646(20
期刊
【摘要】阐述了EDA的常用工具、设计流程,以及计算机组成原理的课程特点,讨论了采用EDA工具进行计算机组成原理部件实验的可行性,并采用Altera公司的MAX+PlusII作为工具进行了运算器部件的设计和仿真,证明了该方案的实施效果。   【关键词】EDA 计算机组成原理 运算器部件   【中图分类号】TP302.4 【文献标识码】A 【文章编号】1009-9646(2008)08(b)-0142
期刊
【摘要】文章从“数字电路与逻辑设计”精品课程建设的课程体系结构改革,理论教学方法和实验教学手段改革,师资队伍建设多个方面,研究并实践如何提高“数字电路与逻辑设计”课程的教学水平。实践证明,通过对该门课程的精品课建设,改进了教学方法,显著提高了课程的教学质量和教学效果。   【关键词】数字电路与逻辑设计 精品课程 教学改革 网络教学平台   【中图分类号】G64 【文献标识码】A 【文章編号】100
期刊
【摘要】知识迁移普遍存在于各种学习过程中,学生对知识的学习和掌握的过程就是知识迁移过程。迁移过程是通过一系列的认知活动进行的,这些认知活动相互联系、相互制约,构成一个有机整体。研究迁移的内部过程,寻找迁移的主要因素,有助于教学中促进学生知识的正迁移。   【关键词】教学 情境 知识迁移   【中图分类号】G641 【文献标识码】A 【文章编号】1009-9646(2008)08(b)-0144-0
期刊