移動IP及其信息安全

2019-11-03 09:07:53

字體：大中小

來源：轉載

供稿：網友

袁洪偉胡修林張蘊玉華中科技大學

　　【摘要】隨著移動計算用戶的不斷增大,如何保證數據傳輸的可靠性和保密性,增強網絡的安全性能和抗攻擊的能力受到學術和應用界廣泛關注。本文針對移動ip 應用中存在的安全問題進行了討論,并就各種可能的安全問題提出相應的措施和對策。

1 移動IP 的基本原理

　　移動計算、無線通信和因特網的融合產生了移動無線互聯網絡,它使得無線用戶能夠在任何時間,任何地點都可以進行網絡通信。移動IP 協議就是在因特網和采用TCP/IP 協議的局域網上實現IP 終端漫游的網絡協議,它具有可擴展性、可靠性和安全性，并使節點在切換鏈路時仍可保持正在進行的通信。值得特別注意的是，移動IP 提供了一種IP 路由機制，使移動節點可以以一個永久的IP 地址連接到任何鏈路上。作為網絡層協議，移動IP 與運行在什么媒介上毫無關系。因此，采用移動IP 的移動節點可以從一種媒介移動到另一種媒介上，而不會丟失現有連接。

1.1 移動IP 的設計要求

(1)設計移動IP 時有以下幾個要求：

(2)移動節點在改變數據鏈路層的接入點后應仍能與因特網上的其他節點通信。

(3)無論移動節點連接哪個數據鏈路層接入點，它應仍能用原來的IP 地址進行通信。

(4)移動節點應能與不具備移動IP 功能的計算機通信。

(5)移動節點不應比因特網上的其他節點面臨新的或更多的安全威脅。

1.2 移動IP 的功能實體

　　移動IP 定義了三種必須實現移動協議的功能實體：

　　(1)移動節點:可以將接入因特網的位置從一條鏈路切換到另一條鏈路上，而仍然保持所有正在進行的通信，并且只使用它的家鄉地址（ Home Address）的那些節點。

　　(2)家鄉代理（Home Agent）: 有一個端口與移動節點家鄉鏈路相連的路由器。

　　當移動節點切換鏈時，家鄉代理一直通知移動節點它的當前位置，這個信息由移動節點保存在它的轉交地址（ Care of Address）中。有時，家鄉代理廣播對移動節點家鄉地址的網絡前綴的可達性，從而吸引那些送往移動節點的家鄉地址的IP 包。解析送往移動節點的家鄉地址的包，并將這些包通過隧道技術傳送到移動節點的轉交地址上。

　　(3)外地代理（ Foreign Agent）: 在移動節點的外地鏈路上的路由器。幫助移動節點通知它的家鄉代理它的轉交地址。有時，提供移動節點的轉交地址，并為已被家鄉代理設置了隧道的移動節點發送拆封后的包。作為連接在外地鏈路上的移動節點的缺省路由器。

1.3 移動I P 的工作機制

　　(1)通過周期地組播或廣播一個稱為代理廣播的消息，家鄉代理和外地代理宣告它們與鏈路的連接關系。

　　(2)移動節點收到這些代理廣播消息后，檢查其中的內容以確定自己是連在家鄉鏈路還是外地鏈路上。當它連在家鄉鏈路上時，移動節點就可像固定節點一樣工作，即它不再利用移動I P 的其他功能。

　　(3)連在外地鏈路上的移動節點需要一個轉交地址。它可以從外地代理廣播的代理廣播消息中找到外地代理轉交地址，配置轉交地址必須通過一個配置規程得到，比如用D H C P、P PP 的I P C P 或手工配置。

　　(4)移動節點向家鄉代理注冊從第3 步中得到的轉交地址，可以通過移動I P 中定義的消息交換來完成。在注冊過程中，如果鏈路上有一個外地代理，移動節點就向它請求服務。為阻止拒絕服務攻擊，注冊消息要求進行認證。

　　(5)家鄉代理或者是在家鄉鏈路上的其他一些路由器廣播對移動節點家鄉地址的網絡前綴的可達性，從而吸引發往移動節點家鄉地址的數據包，家鄉代理截取這個包（可能用代理A R P），并根據移動節點在第4 步中注冊的轉交地址，通過隧道將數據包傳送給移動節點。

　　(6)在轉交地址處—可能是外地代理或移動節點的一個端口，原始數據包被從隧道中提取出來送給移動節點。

　　(7)相反，由移動節點發出的數據包被直接選路到目的節點上，無需隧道技術。對所有來訪的移動節點發出的包來說，外地代理完成路由器的功能。同其它的網絡一樣,在移動IP 的應用中會面臨許多信息安全問題,而且由于無線通信的介質的開放性，其信息安全問題更為突出。下面就移動IP 應用中的信息安全問題和可能會受到的非法攻擊進行分析，并指出其解決方案。

2 IP 的信息安全問題及其解決方案

2.1 移動節點的拒絕服務攻擊

　　拒絕服務攻擊是指非法人員為了阻止他人正常被服務所作的一些事情,在計算機網絡中,拒絕服務的攻擊方式通常有以下形式:非法人員向主機發送大量的數據包,使得主機的CPU 忙于處理這些無用的信息,導致他人的請求無法得到正常響應。

　　非法人員對網絡上的兩節點間傳送的數據包進行干擾,使得數據傳輸不能正常進行。移動IP 本身在設計階段沒有考慮到如何對付第二種形式的攻擊。移動IP 注冊是為了讓移動節點將它的轉交地址通知它的家鄉代理,家鄉代理將根據轉交地址把目的地址為移動節點地址的數據包通過隧道傳送給移動節點。若移動節點的注冊請求是非法人員偽造的,非法人員把自己的IP地址作為移動節點的轉交地址,則發往移動節點的數據包將會被移動節點的家鄉代理通過隧道送給該非法人員。移動節點將接收不到任何原本屬于自己的數據包,從而失去了正常的通信服務。

　　對付拒絕服務攻擊的解決方法是要求移動節點和它的家鄉代理之間交互的所有注冊信息都必須進行有效的認證，有效的認證是指非法人員幾乎不可能產生一個偽造的注冊請求消息而又不被家鄉代理識破。移動IP 允許移動節點和它的家鄉代理采用它們選擇的任何認證算法,然而所有對移動IP的實現必須支持“Keyed md5”作為缺省算法,該算法利用MD5 消息摘要算法[REC1321]來提供密鑰認證和完整性認證。

　　移動節點產生的注冊消息包括固定部分和移動家鄉認證擴展部分,移動節點填寫消息和擴展部分中除認證域外的所有其它域,并對以下消息摘要計算給出一個MD5。

(1)只有移動節點和它的家鄉代理知道共享的秘密密鑰。

(2)注冊請求消息的定長部分。

(3)包括移動家鄉認證在內的所有擴展,但不包括認證域。

(4)移動節點和家鄉代理共享的秘密密鑰。

　　MD5 計算出一個16B 的消息摘要,移動節點將這個消息摘要填入移動家鄉認證域中,以產生一個注冊請求消息,然后移動節點將這個消息發送給家鄉代理。家鄉代理收到移動節點的注冊請求后,家鄉代理用它和移動節點共享的秘密密鑰以及接收到的注冊請求消息的各個域計算消息摘要,并將計算結果和注冊請求消息認證域相比較。如果兩者相等,家鄉代理就確認這條來自移動節點的注冊請求消息;反之,則否定并丟棄這條注冊請求消息。家鄉代理向移動節點返回注冊應答的過程正好相反,家鄉代理計算注冊應答消息和密鑰的消息摘要,將消息摘要放在注冊應答的認證域中,然后將應答消息發往移動節點,移動節點檢查消息摘要,完成對家鄉代理的認證,并檢查其應答消息的完整性。

2.2 重發攻擊

　　重發攻擊是指非法人員將一條有效的注冊請求消息保存起來,然后過一段時間后再重新發送這個消息,從而注冊一個偽造的轉交地址。為防止重發攻擊的發生,移動節點為每一個連續的注冊消息標識域產生一個唯一值。利用這個值,家鄉代理可以知道下一個值應該是多少,從而使得被非法人員保存下來的注冊消息被家鄉代理判定為已經過時的注冊消息而不予處理。

　　針對重發攻擊,移動IP 定義了兩種填寫標識域的方法。其一,利用時間標簽,移動節點將當前估計日期和時間填寫進標識域,如果這種估計和家鄉代理估計的時間不夠接近,家鄉代理將拒絕這個注冊請求,并提供一定的同步信息給移動節點來同步其時鐘。其二,采用Nonces 算法,在該算法中,移動節點向家鄉代理規定向移動節點發送下一個應答消息標識域的低半部分中必須放置的值,相反,家鄉代理向移動節點規定下一個注冊請求消息標識域的高半部分中必須放置的值。若有任一節點接收到的注冊消息的標識域與期望不符,若該節點為家鄉節點,則它拒絕這條消息;若是移動節點則不理會這條消息。

2.3 被動地偷聽

　　移動節點和網絡所面對的另一嚴重的安全威脅是信息的竊取。信息竊取是指非法人員偷聽他人的數據包,以竊取數據包中可能包含的機密和私有信息為目的的攻擊行為。通常采取加密的辦法防止數據被未經授權的人查看。常用的加密方式有端對端加密和數據鏈路層加密兩種方式。

2.4 會話竊取攻擊

　　會話竊取攻擊是指非法人員在一個合法節點被受攻擊者的家鄉代理認證、并開始進行會話后,通過假扮合法節點將會話竊取過去。在這種情況下,一般假扮者會發送大量的數據包給移動節點,以防止移動節點發現通訊會話已被竊取。

　　按假扮者的竊取位置,會話竊取一般可分為外地鏈路上的竊取和其它鏈路上的竊取。外地鏈路上的竊取是指假扮者位于外地鏈路上,這種會話竊取攻擊一般由下面幾個部分構成。首先,攻擊者等待移動節點向他的家鄉代理注冊,偷聽到一個感興趣的會話。其次,攻擊者向移動節點發送大量的無用數據包,占用移動節點的全部CPU 時間。最后,攻擊者假冒移動節點發出數據包給家鄉代理,并截取發往移動節點的數據包,從而達到竊取會話的目的。防止會話被竊取通常也采用對數據進行加密的方式來進行保護。這樣,攻擊者竊取會話的數據包后,還必須對其進行解密才能得到可讀的明文,加大了信息被竊取的難度。其它鏈路上的會話竊取是指攻擊者在家鄉代理和通訊終端之間的路徑上的某一點接入網絡,同外地鏈路上的竊取相比較,這種會話竊取攻擊使得只對外地鏈路上采用鏈路層加密不再有效,攻擊者可以竊取所接鏈路上的所有會話。在這種情況下,一般采用端對端的加密方法來防止會話被非法竊取。

2.5 主動攻擊

　　主動攻擊是與被動攻擊相對而言的,攻擊者不再是被動地監聽或主動地竊取一個已存在的會話,而是主動地接入網絡并設法攻擊網絡上的其它主機。欲進行主動攻擊,非法人員首先必須通過物理安全這一關,直接連入到被攻擊主機所在的物理鏈路中,其次,還必須獲取其打算攻擊的主機所在網段的一個合法IP 地址。通常,非法人員通過監聽網絡上的數據包以獲取該主機所在網絡的網絡前綴,并推測一個可用的主機號同所得到的網絡前綴一起產生一個可用的IP 地址?；蛘咧苯永镁W絡中存在的安全漏洞獲取一個可用的IP 地址。利用這個IP 地址,非法人員就可以對網上的主機進行攻擊了。用于攻擊固定主機的方法同樣可以攻擊移動主機。要防止這種攻擊,首先得保證非法人員無法與網絡上的其它節點通信,因此網絡的物理安全必須得到合理的安全保護。在會話可能被竊取的物理鏈路上不應該有任何節點,移動節點和固定節點都應該從這樣的鏈路上移走。同時對所有合法的節點至少使用鏈路層以上的加密。

2.6 Flooding 攻擊

　　TCP SYN Flooding 攻擊對采用TCP/IP 協議的網絡都具有攻擊能力,這種攻擊是利用TCP/IP協議自身的設計缺陷進行的。由于服務器收到TCP 連接請求數據包后,會為每一個請求分配一定的內存和其他資源。此時若服務器缺乏必要的自身保護能力的話,攻擊者就可利用TCP 的這一設計缺陷,向服務器不斷地發送TCP 請求數據包,達到耗盡服務器資源的目的,從而使得服務器無法處理正常的連接請求,或直接導致服務器的崩潰。

　　對于TCP SYN Flooding 攻擊,目前尚沒有什么好辦法能徹底解決,但是可以通過某些安全措施減輕其造成的危害,可以通過檢查數據包的源地址在一定程度上抵御這種攻擊。一般通過配置路由器的路由表來拒絕那些來自不可信地址的服務請求。入口過濾就是其中的一種方案,但是若不對移動IP 進行改進,當移動主機位于外地鏈路上時,入口過濾會影響移動主機發出的數據包。因此若采用入口過濾來預防TCP SYN Flooding 攻擊,當移動主機在向家鄉代理注冊時,應將自己產生的數據包進行隧道封裝后再送給家鄉代理。只有隧道報頭的IP 源地址和目的地址在物理拓撲都正確時,才不會被入口過濾掉。

3 結束語

　　移動IP 作為一種適應無線通信需要的網絡層解決方案,既有著較好的應用前景，也比固定IP 有更多的信息安全風險。隨著移動IP 應用的不斷發展,新的攻擊方法會不斷出現,同時相應的解決方案亦會被提出來。另外,由于更多移動IP 服務提供商的參與,移動IP 服務會更加完善,會更好地適應人們對移動辦公的需要。

參考文獻

【1】JamesD Solomn.裘曉峰譯.移動IP.機械工業出版社,2000

【2】張小斌,嚴望佳.黑客分析與防范技術.清華大學出版社，1999

【3】A D Joseph,J A Tauber,M F Kaashoek.Mobile Coputing with the Rover Toolkit.IEEETransaction of Computer,1997,46(3):337-352★

----《移動通信在線》