移动IPv6协议安全性分析.docVIP

移动IPv6协议安全性分析【摘要】目前移动IPv6基本的功能性问题已经解决,但是协议本身仍然存在安全性问题。本文分析了移动IPv6面临的安全风险,对移动IPv6中提供的两种安全性方法--IPsec和路由返回过程进行了阐述,并对IPsec协议和路由返回过程中的安全问题进行了讨论。 【关键词】移动IPv6 IPsec 密钥交换(IKE) 路由返回过程 【中图分类号】TN911.6 【文献标识码】A 【文章编号】1009-9646(2008)08(b)-0152-02 目前IETF移动IP工作组提出了移动IPv6的正式标准RFC 3775《Mobility Support in IPv6》。协议为移动节点与家乡代理、通信对端的通信提供了理论基础,并实现了基本的移动IP功能。但是对于协议本身来说安全性才是最关键的部分。 1 移动IPv6面临的安全威胁 1.1 拒绝服务攻击 拒绝服务攻击是指攻击者为阻止合法用户的正常工作而采取的攻击。该攻击主要包括2种方式：一是通过网络向主机或服务器发送大量数据包,使主机忙于处理这些无用数据包而无法响应有用信息;另一种是对通信双方进行干扰。 1.2 重放攻击 重放攻击是攻击者可以将一个有效注册请求消息保存起来,然后等待一段时间后再重新发送这个消息来注册一个伪造的转交地址,从而达到攻击的目的。 1.3 重定向攻击 (1)攻击者可以冒充移动节点,使用移动节点的家乡地址发送绑定更新消息(例如把自己的地址作为移动节点的新的转交地址),伪装移动节点的移动状况,最终截获发往移动节点的数据包阻断合法用户的正常通信。 (2)在移动节点和家乡代理通信路径上的攻击者可以通过篡改家乡地址目的地选项域值,将通信节点的流量重新定向到第三方节点上,从而阻断合法用户的正常通行。 1.4 信息窃取攻击 (1)被动侦听。由于移动IP可以使用包括无线链路在内的多种传输媒介,攻击者能够不需要网络物理连接就可以进行监听。 (2)会话窃取。攻击者通过假扮合法节点来窃取会话攻击。攻击者一方面向移动节点发送大量无用的数据包,另一方面假冒移动节点发送数据包并截获发往移动节点的数据包,使合法用户无法获得有用的信息。 1.5 反射攻击 主要在移动节点与通信对端间的通信链路上,攻击者本身可能是一个合法的移动节点,它向通信对端提供一个虚假的转交地址企图进行绑定,从而时通信对端向这个虚假的转交地址发送大量数据包。这种反射攻击会严重消耗网络带宽和通信对端的系统处理资源,若反射流足够大将会造成拒绝服务攻击。 2 增强安全性的方法 针对上述安全威胁,移动IPv6主要提供两种安全认证解决方案。一种是网络安全协议(IPSec);另一种是路由返回机制。 2.1 IPSec安全协议 IPSec包括IP认证头(AH)协议和IP封装安全载荷协议(ESP),它们可以提供对IP报头和净荷的认证、完整性检验、不可抵赖性及完成对IP数据包净荷的加密。由于IPSec能够被用来鉴别和加密IP层的数据包,并且具有比其他方法更加安全可靠的特性,为家乡代理和移动节点间的流量提供安全保护。 使用IPsec方法实现保护的最大问题就是密钥分配及管理。IPsec提供的Internet密钥交换(IKE)协议是负责在两个对等体间协商一条IPsec隧道的协议。该协议主要负责协商协议参数;交换公共密钥;对双方进行认证;以及在交换后对密钥进行管理等内容。IKE靠密钥交换的完全自动化解决了IPsec实现中需要手工操作以及伸缩性问题。 在密钥交换过程中必须使用事先共享的秘密或者公钥。当某个移动节点和家乡代理之间需要身份认证时,它们必须预先有一些共同的秘密或者提前获知对方的公钥。IKE协议可分为两个阶段。一条IPsec隧道通过以下事件序列在两个通信对等体间建立起来。 (1)阶段1 IPsec对等体接收或产生感兴趣的流量,对等体通过在流量的IPsec会话发起端的已配置接口上进行。使用IKE协商两个对等体间的IKE安全关联。 (2)阶段2 使用IKE安全关联,创建了两个IPsec对等体间的两个安全关联即IPsec安全关联。数据开始在加密信道上传输,使用了ESP或AH封装技术。 IPsec能够很好的保护两个通信对等体之间的流量,但是这种保护也只能局限于两个相互信任的对等体之间,使用IPsec作为移动节点和通信对端之间的保护方案却不是很理想。 2.2 路由返回机制 由于IPsec对未知节点的局限性,移动节点和通信对端必须采用其他的密钥分配方案来实现两者间绑定消息的鉴别。路由返回机制主要是为了在移动节点和通信对端之间提供安全鉴别。其主要步骤如图2所示下。 MN使用