張 學(xué)

[摘要]主要分析移動(dòng)IPv6面臨的攻擊,并提出針對(duì)移動(dòng)IPv6攻擊的幾種解決方案。

[關(guān)鍵詞]移動(dòng)IPv6移動(dòng)節(jié)點(diǎn)解決方案安全問(wèn)題

中圖分類號(hào):TN92文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0820063-01

一、引言

隨著信息技術(shù)日新月異的發(fā)展演變,互聯(lián)網(wǎng)從IPv4過(guò)渡到IPv6已是大勢(shì)所趨,而移動(dòng)IP技術(shù)自身也隨之發(fā)生了革命性的變化。但移動(dòng)計(jì)算與普通計(jì)算的環(huán)境及特性存在較大區(qū)別,如多數(shù)情況移動(dòng)計(jì)算是在無(wú)線環(huán)境下,且移動(dòng)節(jié)點(diǎn)需要不斷更改轉(zhuǎn)交地址,這些都會(huì)導(dǎo)致許多安全問(wèn)題。

二、移動(dòng)IPv6基本工作原理

當(dāng)移動(dòng)節(jié)點(diǎn)在本地鏈路時(shí),其工作方式如同位置固定的主機(jī),移動(dòng)1P不需要進(jìn)行任何特別的操作。當(dāng)移動(dòng)節(jié)點(diǎn)離開(kāi)本地鏈路進(jìn)入外地鏈路時(shí),其工作原理為:

1.移動(dòng)節(jié)點(diǎn)通過(guò)常規(guī)的IPv6無(wú)狀態(tài)或有狀態(tài)的自動(dòng)配置機(jī)制,獲得一個(gè)或多個(gè)轉(zhuǎn)交地址。

2.移動(dòng)節(jié)點(diǎn)在獲得轉(zhuǎn)交地址后,向本地代理申請(qǐng)注冊(cè),為移動(dòng)節(jié)點(diǎn)的本地地址和轉(zhuǎn)交地址在本地代理上建立綁定。

3.移動(dòng)節(jié)點(diǎn)可以直接發(fā)送報(bào)文給通信節(jié)點(diǎn),報(bào)文的源地址為移動(dòng)節(jié)點(diǎn)的當(dāng)前轉(zhuǎn)交地址,本地地址選項(xiàng)是移動(dòng)節(jié)點(diǎn)的本地地址。

4.通信節(jié)點(diǎn)發(fā)送給移動(dòng)節(jié)點(diǎn)時(shí),首先根據(jù)報(bào)文目的IP地址查詢它的綁定緩存,如果在綁定中存在匹配,則發(fā)送報(bào)文給移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址。如果不存在這樣的匹配,則將報(bào)文發(fā)送到其本地地址。

5.移動(dòng)節(jié)點(diǎn)根據(jù)收到本地代理轉(zhuǎn)發(fā)的IPv6報(bào)文判斷通信節(jié)點(diǎn)沒(méi)有自己的綁定緩存,因而向通信節(jié)點(diǎn)發(fā)送綁定更新建立綁定緩存。

6.移動(dòng)節(jié)點(diǎn)離開(kāi)本地后,本地網(wǎng)絡(luò)可能進(jìn)行了重新配置,原來(lái)的本地代理被其它路由器取代。

三、移動(dòng)IPv6面臨的攻擊分析

目前,移動(dòng)IPv6可能遭受的攻擊主要包括以下幾種類型。

(一)拒絕服務(wù)攻擊(DoS)

拒絕服務(wù)攻擊是指攻擊者為阻止合法用戶獲得正常服務(wù)而采用的攻擊手段。在移動(dòng)IPv6中,攻擊者可以通過(guò)如下手段達(dá)到拒絕服務(wù)目的:

1.攻擊者發(fā)送大量地址綁定更新消息來(lái)消耗本地代理和通信節(jié)點(diǎn)的資源,從而導(dǎo)致綁定緩存表溢出或者是無(wú)法及時(shí)處理合法用戶的綁定更新報(bào)文。

2.惡意主機(jī)把Internet上服務(wù)器的IPv6地址作為大量移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址,發(fā)送偽裝的綁定更新消息給對(duì)端通信節(jié)點(diǎn),引發(fā)大量的流量發(fā)往受害服務(wù)器,導(dǎo)致分布式拒絕服務(wù)攻擊。

3.攻擊者冒充移動(dòng)節(jié)點(diǎn),使用移動(dòng)節(jié)點(diǎn)的本地地址發(fā)送綁定更新消息,偽裝節(jié)點(diǎn)的移動(dòng)狀況,阻斷合法用戶的正常通信。

4.在移動(dòng)節(jié)點(diǎn)和本地代理通信路徑上的攻擊者通過(guò)篡改本地地址選項(xiàng)域值,將通信節(jié)點(diǎn)的流量重定向到第三方節(jié)點(diǎn),阻斷合法用戶的正常通信。

(二)重放攻擊(ReplayAttacks)

重放攻擊是指攻擊者將一個(gè)合法的有效的注冊(cè)請(qǐng)求消息保存起來(lái),等待一段時(shí)間后再重新發(fā)送這個(gè)消息,來(lái)注冊(cè)一個(gè)偽造的轉(zhuǎn)交地址,從而達(dá)到攻擊的目的。在移動(dòng)節(jié)點(diǎn)和通信節(jié)點(diǎn)通信路徑上的攻擊者能夠通過(guò)這種方式將數(shù)據(jù)流重定向到第三方實(shí)體。

(三)信息竊取攻擊

信息竊取可以分為被動(dòng)地監(jiān)聽(tīng)和主動(dòng)地會(huì)話竊取攻擊。

1.被動(dòng)的監(jiān)聽(tīng)。移動(dòng)IPv6可以使用包括無(wú)線鏈路在內(nèi)的多種傳輸媒介,由于無(wú)線鏈路的信道特性,攻擊者不需要網(wǎng)絡(luò)上的物理連接就可以進(jìn)行監(jiān)聽(tīng)。

2.會(huì)話竊取攻擊。會(huì)話竊取攻擊是指攻擊者等待合法的用戶認(rèn)證完成并且正常會(huì)話后,通過(guò)假扮合法節(jié)點(diǎn)來(lái)竊取會(huì)話的攻擊。

(四)中間人攻擊(MITM)

當(dāng)攻擊者在移動(dòng)節(jié)點(diǎn)A與通信節(jié)點(diǎn)B中間的通信鏈路上就可能截取并修改移動(dòng)節(jié)點(diǎn)A的綁定更新分組,并利用它來(lái)進(jìn)行反射攻擊等。

(五)反射攻擊(ReflectionAttacks)

當(dāng)移動(dòng)節(jié)點(diǎn)A正在與通信節(jié)點(diǎn)B進(jìn)行會(huì)話時(shí),一個(gè)請(qǐng)求分組給B,在正常情況下B將返回一個(gè)應(yīng)答分組,但如果A發(fā)送一個(gè)請(qǐng)求分組給B而導(dǎo)致B發(fā)送一個(gè)應(yīng)答分組給C,就稱為反射攻擊。攻擊者可以通過(guò)綁定更新來(lái)進(jìn)行反射攻擊,主要是由于在路由報(bào)頭中指定了數(shù)據(jù)包再?gòu)脑垂?jié)點(diǎn)到目的節(jié)點(diǎn)的過(guò)程中應(yīng)該經(jīng)過(guò)的節(jié)點(diǎn)的地址。如果攻擊者在和移動(dòng)節(jié)點(diǎn)通信,它可能在路由報(bào)頭中插入另外一個(gè)地址而不是移動(dòng)節(jié)點(diǎn)的本地地址,這將導(dǎo)致移動(dòng)節(jié)點(diǎn)把自己的分組傳給另外一個(gè)通信節(jié)點(diǎn)。

四、針對(duì)移動(dòng)IPv6攻擊的幾種解決方案

1.對(duì)于拒絕服務(wù)(DoS)攻擊的防護(hù)方法是檢查認(rèn)證有效期、確定移動(dòng)節(jié)點(diǎn)位置并保持資源的可用性。對(duì)通信節(jié)

點(diǎn)而言,它可以采用以下方式來(lái)抵抗拒絕服務(wù)攻擊:如果通信節(jié)點(diǎn)被大量綁定更新的信息所堵塞,它可以通過(guò)中止處理綁定更新信息的流程來(lái)減緩堵塞下的系統(tǒng)壓力;若通信節(jié)點(diǎn)察覺(jué)到分配在檢查虛假綁定信息上的資源遠(yuǎn)遠(yuǎn)超出用來(lái)接收真實(shí)綁定更新信息的資源時(shí),通信節(jié)點(diǎn)會(huì)在不執(zhí)行任何加密機(jī)制的情況下,逐步拋棄部分或是全部的綁定更新的信息。

2.在移動(dòng)IPv6中可以采用兩種方式來(lái)預(yù)防重放攻擊:第一種方法是使用時(shí)間戳,移動(dòng)節(jié)點(diǎn)可以通過(guò)附加的注冊(cè)請(qǐng)求消息的日期和時(shí)間來(lái)防止重放攻擊;第二種方法是通過(guò)使用隨機(jī)數(shù)。在這種方法中,家鄉(xiāng)代理規(guī)定了移動(dòng)節(jié)點(diǎn)發(fā)送的下一條注冊(cè)請(qǐng)求消息中標(biāo)識(shí)域的值,如果家鄉(xiāng)代理收到的注冊(cè)請(qǐng)求消息中的標(biāo)識(shí)域的值與期望的值不符,則拒絕這條消息,并通知移動(dòng)節(jié)點(diǎn)。由于這種方法要求移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理之間進(jìn)行相互認(rèn)證,所以它還能夠防止移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理因受到攻擊而引起的不同步,當(dāng)然通信節(jié)點(diǎn)也必須在認(rèn)證有效期內(nèi)保留相關(guān)隨機(jī)數(shù)信息。

3.對(duì)付被動(dòng)監(jiān)聽(tīng)這種攻擊,可以根據(jù)實(shí)際情況采用數(shù)據(jù)鏈路層加密或者端到端加密的方法。數(shù)據(jù)鏈路層加密通常是對(duì)通信路徑中保密性能較差的無(wú)線鏈路進(jìn)行加密,而端到端加密則是對(duì)整個(gè)通信路徑進(jìn)行加密。采用端到端加密是一種更為有效的防止竊取信息攻擊的方法。

4.中間入攻擊包括竊聽(tīng)、插入、刪除、修改消息,反射消息回到發(fā)送者,重放舊消息以及重定向消息。要使在移動(dòng)節(jié)點(diǎn)和本地代理之間發(fā)送的綁定更新和綁定應(yīng)答消息是完整的,必需在它們之間進(jìn)行相互認(rèn)證。IPsec體系結(jié)構(gòu)的Intemet安全關(guān)聯(lián)和密鑰管理協(xié)議(ISAKMP)～夠抵御中間入攻擊。

5.為了對(duì)付反射攻擊,移動(dòng)節(jié)點(diǎn)和本地代理之間的注冊(cè)消息必須采用有效的認(rèn)證機(jī)制,從而使得攻擊者不可能偽造注冊(cè)請(qǐng)求消息,檢查認(rèn)證有效期、確定移動(dòng)節(jié)點(diǎn)位置并保持資源的可用性。對(duì)通信節(jié)點(diǎn)而言,它可以采用以下方式來(lái)抵抗拒絕服務(wù)攻擊:如果通信節(jié)點(diǎn)被大量綁定更新的信息所堵塞,它可以通過(guò)中止處理綁定更新信息的流程來(lái)減緩堵塞下的系統(tǒng)壓力;若通信節(jié)點(diǎn)察覺(jué)到分配在檢查虛假綁定信息上的資源遠(yuǎn)遠(yuǎn)超出用來(lái)接收真實(shí)綁定更

新信息的資源時(shí),通信節(jié)點(diǎn)會(huì)在不執(zhí)行任何加密機(jī)制的情況下,逐步拋棄部分或是全部的綁定更新的信息。

五、增強(qiáng)移動(dòng)IPv6安全性的策略

1.移動(dòng)IPv6中同時(shí)采用隧道和源路由技術(shù)向連接在外地鏈路上的移動(dòng)節(jié)點(diǎn)傳送數(shù)據(jù)包。移動(dòng)IPv6可以使用選路擴(kuò)

展報(bào)頭來(lái)安全地實(shí)現(xiàn)源路由,避免了存在一個(gè)攻擊者可以將一個(gè)偽造的轉(zhuǎn)交地址當(dāng)作中間目的地址,而使移動(dòng)節(jié)點(diǎn)無(wú)法獲得有用的信息的安全隱患。

2.提高動(dòng)態(tài)家鄉(xiāng)代理的有效性,并通過(guò)使用路由優(yōu)化機(jī)制及正確分配來(lái)避免“三角路由”問(wèn)題。但進(jìn)行路由優(yōu)化的同時(shí)應(yīng)兼顧安全性,此時(shí)移動(dòng)節(jié)點(diǎn)必須和通信節(jié)點(diǎn)進(jìn)行相互認(rèn)證,即它們需要一對(duì)密鑰,要注意初始密鑰分配問(wèn)題。但當(dāng)移動(dòng)節(jié)點(diǎn)和通信節(jié)點(diǎn)的數(shù)目較多時(shí),為每一個(gè)移動(dòng)節(jié)點(diǎn)和通信節(jié)點(diǎn)都分配一對(duì)密鑰是不現(xiàn)實(shí)的,可以為每個(gè)移動(dòng)節(jié)點(diǎn)和其家鄉(xiāng)代理配置一對(duì)密鑰。

3.移動(dòng)節(jié)點(diǎn)發(fā)生切換時(shí)實(shí)現(xiàn)認(rèn)證信息快速切換的傳遞,簡(jiǎn)化認(rèn)證過(guò)程,并采用層次化移動(dòng)IPv6來(lái)解決不同切換下的安全問(wèn)題。移動(dòng)節(jié)點(diǎn)可以在向新的家鄉(xiāng)代理發(fā)送注冊(cè)請(qǐng)求的同時(shí)向舊家鄉(xiāng)代理發(fā)送綁定更新消息,并通知舊家鄉(xiāng)代理暫時(shí)緩存數(shù)據(jù)。而后移動(dòng)節(jié)點(diǎn)對(duì)新家鄉(xiāng)代理進(jìn)行認(rèn)證,如果認(rèn)證成功,移動(dòng)節(jié)點(diǎn)將通知舊家鄉(xiāng)代理轉(zhuǎn)發(fā)它緩存的數(shù)據(jù)到新家鄉(xiāng)代理,從而可以實(shí)現(xiàn)一種更平滑、安全的切換機(jī)制。

4.通過(guò)信令的優(yōu)化,可以保證節(jié)點(diǎn)更好的QoS需求。

5.在移動(dòng)IPv6中應(yīng)用IPSec可以使網(wǎng)絡(luò)建立起安全連接、并對(duì)傳輸數(shù)據(jù)進(jìn)行加密,保持?jǐn)?shù)據(jù)的可靠性,從而大大提高網(wǎng)絡(luò)安全管理的可擴(kuò)展性。

六、結(jié)語(yǔ)

安全性是決定移動(dòng)IP能否得到廣泛應(yīng)用的至關(guān)重要的因素之一。移動(dòng)IPV6中采用了多種機(jī)制來(lái)防止各種安全威脅,在很大程度上解決了移動(dòng)IPV4中的安全隱患。但是,目前還有很多安全問(wèn)題沒(méi)有得到很好的解決,例如密鑰的管理和各種安全軟件的集成化?？傊?網(wǎng)絡(luò)安全問(wèn)題的解決是一項(xiàng)艱巨的系統(tǒng)工程。

作者簡(jiǎn)介:

張學(xué)(1978-),男,江西人,研究方向:通信。