MIPV的安全性.pptVIP

The Security of Mobile IPV6 Contents 移动IPv6面临的主要安全问题 移动IPv6协议的安全机制 增强移动IPV6安全性的策略 定制密钥的安全帆制 返回路径可达方法的安全机制 IPSec与防火墙结合的安全机制 移动IPv6面临的主要安全问题 拒绝服务(DoS)攻击 重定向攻击(RpS) 反射攻击 信息窃取攻击 重放攻击 问题 移动IPv6协议的安全机制 1． 防御重放攻击的策略 移动IPv6协议在注册消息中定义了序列号，并且在RR协议报文中引入随机数(Nonce)。家乡代理和通信节点可以通过比较前后两个注册消息序列号(通信节点还可以依据Nonce散列值)，判定出被攻击者保存下来的已经过时的注册消息而不予处理。 2 3 4 5 对家乡代理的地址绑定消息的保护(建立IPSec安全联盟) 对通信节点的地址绑定消息的保护(RR协议) 对MPS／M PA消息的保护(可使用ESP传输模式非空载荷认证算法) 对通信流量的保护(使用IP Sec体系中AH和ESP机制) 增强移动IPV6安全性的策略 一是信令优化，可以保证节点更好的服务质量的需求。 二是应用IPSec在移动IPv6中使网络建立起安全连接、并对传输数据进行加密，保持数据的可靠性，从而大大提高网络安全管理的可扩展性。 三是避免“三角路由”问题,提高动态家乡代理的有效性，并通过使用路由优化机制及正确分配。此时移动节点必须和通信节点进行相互认证。 四是采用隧道和源路由技术向连接在外地链路上的移动节点传送数据包。移动IPv6使用选路扩展报头来安全地实现源路由。 五是采用层次化移动IPv6来解决不同切换下的安全问题，移动节点发生切换时实现认证信息快速切换的传递，简化认证过程。 IPSec与防火墙结合 返回路径可达方法 定制密钥 返回路径可达方法的安全机制 RRP(Return Routability Procedure )用来在MN和CN之间提供适当验证保护 通过返回路径可达过程，通信对端知道自己是否能够使用转交地址和家乡地址访问移动节点。如果RRP测试失败，通信对端就不能接收移动节点的绑定更新，也不能直接发送分组到移动节点的转交地址。 IPSec与防火墙结合的安全机制 IPSec的采用对现有安全体系结构带来了挑战，封装安全载荷(ESP)和隧道，使得防火墙、入侵检测系统无法分析报文内容，恶意者甚至可以利用这一点绕过防火墙对内部网络主机实施攻击。IPSec也为我们设计安全体系提供了新的思路，即把保密和认证机制融入其中，使传统的安全设备更完善和强健。 定制密钥（ PBK ）的安全帆制 每一个移动IP会话前，通信双方产生一对新的公/私钥，这对密钥是临时的，只有通信双方能够使用，无需向第三方注册，不会为第三方获得。 假定，在确保一些操作是安全的基础上，可以认为后续的操作是安全的。 目的是要确认某个漫游设备正是发起某次特定通信的设备。