浅谈移动IPv6安全策略.docVIP

浅谈移动IPv6安全策略 　　摘要：本文着重研究了移动IPv6的安全目标和受到的威胁，介绍了移动IPv6的安全策略中推荐的认证方法，即IPSec及返回路由。 　　关键词：移动IPv6 安全性 IPSec 返回路由 　　中图分类号： P441 文献标识码： A 文章编号： 　　移动IPv6规范还没有完成，它需要一些研究工作使它运作起来并广泛地被接受。基本的功能性问题已经差不多解决了，但问题就在于协议的安全性。安全性被认为是协议的最关键部分，因为没有一套合适的安全策略，协议根本不可能被接受和使用。 　　1．移动IPv6的安全目标和受到的威胁 　　移动IPv6可以看做是IPv6加上了移动扩展功能。从数据安全的角度来看，移动IPv6发展的基本目标是这样的：从移动节点的角度考虑，它必须至少和基本的IPv6或者IPv4一样安全；从网络上其他节点的角度考虑，对IPv6不应该引入新的安全威胁。 　　1）移动IPv6的安全威胁可以划分为以下几类： 　　（1）阻碍绑定消息到家乡代理的威胁； 　　（2）阻碍通信对端最佳路由的威胁； 　　（3）利用移动IPv6通信对端的功能性特点来对其他用户发起反向攻击的威胁； 　　（4）移动节点和家乡代理之间的隧道有被攻击的威胁； 　　（5）移动IPv6中使用的IPv6路由报头有被 攻击的威胁； 　　（6）通过强制实施代价高昂的加密算法，也会使安全机制受到攻击。 　　2）移动IPv6的安全目标 　　上面提到的大部分威胁都是关于拒绝服务攻击的。有些威胁也可能是由中间有攻击、窃听连接或者假冒攻击引起的。所有的安全隐患都是由于开启网络的移动性而修改的路由方法引起的，所以安全目标主要是使路由变得安全。 　　前2种威胁都是关于绑定消息鉴别的，但从安全角度来说他们又是不同的，因为不同的实体之间也需要鉴别。第1种情况关系到移动节点和家乡代理之间的相互信任和鉴别。移动节点使用家乡代理服务，因此事先它们必须有些关联和信任，因为移动节点不管怎样都要使用这种服务。它们预先需要交换一些秘密消息，这些秘密的消息随后被用到绑定消息的鉴别中。这种情况下，可能引发对某些私有的鉴别基础设施的攻击。 　　第2种情况，通信对端可以是网络中的任意节点，因此移动节点和通信对端可能预先没有任何联系。很多方法都能用来鉴别移动节点和通信对端之间的绑定消息。一种可选的方法是使用公钥鉴别方法，但问题是不存在必需的认证中心。也有利用移动IPv6专用网络架构的方法。 　　通过正确制定协议所需的条件，我们能够消除后四种安全威胁。 　　第3种情况是由于家乡地址目标选项的错误使用造成的：如果某个恶意节点故意使用某个家乡地址目标选项中的地址A向通信对端发送1个包，那么通信对端将发送该包的上层协议响应到地址A；地址A的真正者看到通信对端发给他恶意的包，因而会引起拒绝服务攻击。通信对端通过检验在地址A和发送包的源地址之间绑定的有效性，可以预防这种攻击。 　　第4种威胁是家乡代理和移动节点之间隧道的错误使用造成的：如果某个恶意节点通过隧道向移动节点某个家乡代理发送以移动节点地址B作为源地址的包，家乡代理收到后又发出该包，这看上去是由移动节点使用地址B发送的，事实上却不是他发的。这至少能够造成拒绝服务攻击，然而，如果要求家乡代理在它要发出包之前，除了检验接收包的源地址外，还检验它和移动节点之间的绑定是否有效，那么这种攻击也是可以防御的。 　　第5种威胁可能通过定义1种新的路由报头类型来防御，该类型仅仅允许移动IPv6使用并且仅仅使用1个家乡地址。这阻止了普通路由报头的错误使用，使非法信息不能绕过防火墙从而到达网络中的一些禁区。 　　第6种威胁可能是最难预防的，一直存在使用安全算法来进行拒绝服务攻击的可能。通过向受害者频繁发送好像含有正确信息的包，而后迫使受害者执行开销很大的加解密算法。在移动IPv6中，一个受害的通信对端在这种情况下可以停止执行所有的加密算法，而进行正常的IPv6操作。这样带来的后果是不能再使用移动IPv6的路由最优化功能，但是仍然可以和移动节点进行通信。 　　2．推荐的认证方法 　　最初我们计划仅仅使用IPSee认证头（AH）来进行绑定消息鉴别，没有定义和开发任何新的鉴别协议。这样带来了很多问题，因而随后提出了一些其他方法。当前的规范建议移动节点和家乡代理之间的鉴别应该使用IPSee封装安全载荷，而移动节点和通信对端之间的鉴别应该使用返回路由（RR）。规范中也指出了使用一些比RR更加安全的方法来进行移动节点和通信结端之间的鉴别。 　　1）IPSec 　　IPSec能够被用来鉴别和加密IP层的数据包，所以它自然成为绑定消息鉴别的首选方法。IPSec方法的最大问题是密钥分配。IPSec的密钥分配方案——Internet