IP安全機制的研究

摘要:針對移動ipv6存在的安全隱患,介紹了移動ipv6中所面臨的主要安全威脅,分析和研究了移動ipv6協議的有效安全策略。

關鍵詞:移動ipv6,安全性,安全機制,策略

1、移動ipv6的由來

為了支援網際網路上的移動裝置,ietf(網際網路工程任務組)推出了移動ip的標準,使使用者保留不變的永久ip位址,而不管他們是否連線在網上。移動ip有兩種:一種是基於ipv4的移動ipv4,一種是基於ipv6的移動ipv6。

對ipv6移動性的要求是:移動性是ipv6的組成部分和重要特色之一,預計所有ipv6的部署都將至少包括最小的移動ip支援(即通訊節點的功能)。在移動ipv6中無論移動節點(mn,mobile node)當前如何,在**接入網際網路,始終都是通過其靜態的家鄉位址(home address:

指分配給移動節點的ip位址)來識別該節點的。離開家鄉網路時,每個移動節點都會獲取另乙個臨時的位址來表示節點當前的位置。到達其家鄉位址的基本資訊被重定向(隧道封裝)到轉交位址(coa,care-of address:

指移動節點訪問外地鏈路時獲得的ip位址)。

2、移動ipv6與移動ipv4的安全性比較和改進

移動ipv6的安全性有四個特徵不同於移動ipv4:沒有外地**;ipsec (ip安全協議)整合到ipv6標準中;家鄉位址選項解決了網路入境過濾路由器的問題;路由優化功能是移動ipv6協議的主要功能之一。

ipsec在ipv6則是乙個必備組成部分,而ipsec只是ipv4的乙個可選擴充套件協議,但是,ipsec是網路層協議,只負責其下層的網路安全,不能負責其上層如web、e-mail等應用的安全;保證端到端的安全是ipv6最大的優勢,ipv6限制使用nat,允許所有的網路節點使用其全球惟一的位址進行通訊;在ipv6的位址概念中,位址分配與源位址檢查有了本地子網位址和本地網路位址的新概念,從安全方面來說,這樣的位址分配為網路管理員強化網路安全管理提供了方便;由於要防止未授權訪問ipv6固有的對身份驗證的支援,對資料完整性和資料機密性的支援和改進,ipv6增強了防止未授權訪問的能力。

3、移動ipv6面臨的主要安全威脅

一是拒絕服務攻擊(dos),是指乙個攻擊者為阻止合法使用者的正常工作而採取的攻擊,主要包括兩種方式:一種是通過向伺服器或主機傳送大量資料報,使主機忙於處理這些無用的資料報而無法響應有用的資料報;另一種是直接干擾正常通訊,如在移動節點和通訊節點通訊路徑上篡改routing header域值,將通訊節點的流量重定向到其它第三方節點(包括攻擊者自己)。二是重放攻擊,它是一種假冒攻擊,利用身份驗證機制中的漏洞先把資訊記錄下來,然後再傳送出去。

在移動ip中,攻擊者通過竊取會話,截獲資料報,把乙個有效的註冊請求資訊儲存起來,向移動節點傳送大量無用的資料分組,占用移動節點cpu的全部時間,再利用儲存的有效註冊請求資訊向**伺服器註冊偽造的轉交位址。三是資訊竊取攻擊。一種是被動的監聽。

移動ipv6使用包括無線鏈路在內的多種傳輸媒介,攻擊者可以不需要物理地連線到網路上就可以進行偵聽。另一種是會話竊取,是指乙個攻擊者等待合法的使用者認證完成並且開始進行會話後,通過假扮合法節點來竊取會話的攻擊。四是與傳送至家鄉**和對端節點的繫結更新相關的威脅。

攻擊者可能使用重定向的資料報,來嘗試將其設定為移動節點和對端節點之間的中間人,這使得攻擊者能夠扮演移動節點,會導致相應的完整性和有效性問題。惡意節點也可能傳送繫結更新,繫結更新中的轉交位址可以被設定為受害節點的位址。五是與負載資料報相關的威脅。

在移動ipv6中引入了家鄉位址目的地選項及更新路由報頭型別(第二類),並且在負載資料報中使用了隧道報頭。對於移動節點和家鄉**之間,攻擊者可以偽造移動節點和家鄉**之間的隧道資料報,使其顯示為來自移動節點的流量,實際上並不是這樣的。

4、移動ipv6的安全策略

4.1移動ipv6的安全機制

首先,針對重放攻擊,移動ipv6協議在註冊訊息中新增了序列號,並且在協議報文中引入了時間隨機數。其次,移動ipv6對移動節點與通訊節點之間、移動節點與歸屬**之間的信令訊息傳遞的有效保護,能夠防禦其它形式的攻擊。保護信令訊息和業務流量就可以在移動節點和歸屬**之間建立ipsec安全聯盟。

移動節點歸屬位址和歸屬**都是已知的,那麼可以預先為移動節點和歸屬**配置安全聯盟,使用ah和esp建立安全隧道,提供資料來源認證、完整性檢查、資料加密和重放攻擊防護。

4.2增強移動ipv6安全性的策略

一是信令優化,可以保證節點更好的qos需求。二是應用ipsec在移動ipv6中使網路建立起安全連線、並對傳輸資料進行加密,保持資料的可靠性,從而大大提高網路安全管理的可擴充套件性。三是避免「三角路由」問題:

提高動態家鄉**的有效性,並通過使用路由優化機制及正確分配。但進行路由優化的同時應兼顧安全性,此時移動節點必須和通訊節點進行相互認證。四是採用隧道和源路由技術向連線在外地鏈路上的移動節點傳送資料報。

移動ipv6使用選路擴充套件報頭來安全地實現源路由。五是採用層次化移動ipv6來解決不同切換下的安全問題,移動節點發生切換時實現認證資訊快速切換的傳遞,簡化認證過程。

4.3定製金鑰的安全機制

定製金鑰(pbk,purpose-built key)可以廣泛應用到移動ipv6協議中。ipsec需要依靠公鑰基礎設施(pki)來運作,但pki目前尚未有很好的實施,終端裝置的運算能力層次不齊。在目前的條件下需要更為簡單的pbk安全協議。

pbk的目的是要確認某個漫遊裝置正是發起某次特定通訊的裝置。pbk協議假定,在確保一些操作是安全的基礎上,可以認為後續的操作是安全的。在每乙個移動ip會話前,通訊雙方產生一對新的公鑰/私鑰,這對金鑰是臨時的,只有通訊雙方能夠使用,無需向第三方註冊,不會為第三方獲得。

4.4返回路徑可達方法的安全機制

返回路徑可達(rrp,return routability procedure)方法用來在mn和cn之間提供適當驗證保護。通過返回路徑可達過程,通訊對端知道自己是否能夠使用轉交位址和家鄉位址訪問移動節點。如果rrp測試失敗,通訊對端就不能接收移動節點的繫結更新,也不能直接傳送分組到移動節點的轉交位址。

4.5 ipsec與防火牆結合的安全機制

ipsec的實施並不能替代傳統安全裝置,防火牆和入侵檢測系統仍有存在的必要,但是ipsec的採用卻對現有安全體系結構帶來了挑戰,封裝安全載荷(esp)和隧道,使得防火牆、入侵檢測系統無法分析報文內容,惡意者甚至可以利用這一點繞過防火牆對內部網路主機實施攻擊。ipsec也為我們設計安全體系提供了新的思路,即把保密和認證機制融入其中,使傳統的安全裝置更加完善和強健。

IP安全機制的研究

有關銀行晶元卡安全機制研究

銀行考核機制研究

ip安全策略配置

IP安全機制的研究

有關銀行晶元卡安全機制研究

銀行考核機制研究

ip安全策略配置

相關推薦