基于IPSec移动IP安全技术.docVIP

基于IPSec移动IP安全技术 　　摘 要：随着通信技术的快速发展以及人们对通信终端移动性的强烈要求，移动IP的出现就成为了必然。对IPSec在移动IP中的应用提高移动IP的通信安全性进行了具体的分析，并简述了移动IP技术的未来发展前景。?? 　　关键词： 　　移动IP；IPSec；移动节点；家乡代理；外地代理?? 　　中图分类号：TP393.08 文献标识码：A 文章编号：1672??7800（2011）05??0042??02?お? 　　?? 　　1 移动IP产生的技术背景?? 　　 IP地址采用的结构是“网络前缀+主机地址”，当主机位于其对应的子网上才能收到以它为目的地的数据分组，因此必须提出新的IP技术用来支持网络节点自由移动，移动IP技术在此基础上产生了。?? 　　2 移动IP的工作原理?? 　　 移动IP实现的基本技术要求是：网络节点在移动中改变接入子网时，无需改变其IP地址值，仍然能和其他普通节点保持正常的通信，且路由器协议无需更新。简单说移动IP就是实现网络能够全方位移动或者漫游。 　　?? 　　 　　2.1 主要功能实体?? 　　 移动IP定义了3种必须实现的移动协议的功能实体：①移动节点（Mobile Node，MN）：可以将接入Internet的位置从一条链路切换到另一条链路上，仍然保持所有正在进行的通信，并且只是用它的家乡地址（Home Address）的那些节点；②家乡代理（Home Agent, HA）：有一个端口与移动节点家乡链路相连的路由器；③外地代理（Foreign Agent, FA）：在移动节点的外地链路上的路由器。?? 　　2.2 主要功能?? 　　 移动节点为了实现移动通信的功能，具有两种地址：家乡地址和转交地址。其中家乡地址是指“永久”分配给移动节点的那些地址。当移动节点切换链路状态时，家乡地址并不会改变。移动节点发出的所有数据包的源IP地址都是由它的家乡地址发出的。转交地址是指移动节点连接在外地链路上时的相关IP地址，它是连接家乡代理和移动节点隧道的出口。?? 　　 在移动IP工作时，其它的节点只能看到一个节点的家乡地址，而不清楚移动节点的具体位置，发给移动节点的所有数据包都发向他的家乡地址。家乡代理收到数据包后，就使用转交地址为数据包添加新的IP头地址来建立隧道，即IP重定向隧道，再把数据包传送给外地代理，最后在传送给移动节点。?? 　　 当移动节点从一条链路切换到另一条链路时还必须进行注册。只有注册才认为是可操作用户，通过注册，移动节点可以通知家乡代理它的转交地址在移动节点的隧道建立家乡代理。?? 　　3 IPSec协议内容?? 　　 首先“Internet 协议安全性 (IPSec)”定义：它是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密且安全的通讯。IPSec必将是以后互联网的长期发展方向。它通过端对端的安全性来提供主动的保护以防止来自专用网络与Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec协议被保护的计算机。?? 　　4 IPSec作用和目标?? 　　 （1）保护 IP 数据包的内容。?? 　　 （2）通过数据包筛选及受信任通讯的实施来防御网络攻击。?? 　　 （3）其中最重要的环节是已接受和发送。?? 　　5 移动IP的安全性分析?? 　　 目前移动IP面临的安全攻击一般有：拒绝服务攻击、重发攻击、被动偷听、会话窃取等。?? 　　5.1 拒绝服务攻击?? 　　在移动终端通信中，由于移动节点和家乡代理之间的注册信息都经过有效的认证，采用“Keyed MD5”作为缺省算法，该算法采用MDS消息摘要算法。由于移动节点和家乡代理之间通信采用了IPSec隧道技术，有效地抵制了拒绝服务攻击的发生。?? 　　5.2 重发攻击?? 　　主要是指恶意的人把一条有效的消息保存起来，经过一段时间后再重发一个消息，冒充该移动节点以达到自己的目的。移动节点为了防止这样的攻击发生为每一个连续的注册消息标识域产生一个唯一值，利用这个值家乡代理就可以知道该移动节点下一次注册的值应该是多少，并采用了时间戳和Nounces两种填写标识域的方法，这样可以更有效地抵抗重发攻击。当移动节点和家乡代理之间采用了IPSec隧道通信后，隧道传输的数据都要经过注册协商，这样可以更加有效地阻止重发攻击的发生。?? 　　5.3 被动偷听?? 　　一般是恶意者偷听移动节点的数据包，由于IPSec的ESP可以对传输数据中的IP地址、TCP头和应用层数据进行加密，因此可以阻止信息被动偷听。?? 　　5.4 会话窃取?? 　　主要是恶意者在偷取会话的数据包时，向移动节点