移动互联的安全技术素描
发布时间:2006-10-14 7:56:37   收集提供:gaoqian
  大家知道,由于互联网络的共享性和开放性,互联网络的安全问题就成为人们非常关注的话题,当然移动互联同样也存在着安全方面的威胁,如何实现移动互联时的信息安全就是本文要向大家介绍的内容。为了能更好地理解移动互联的安全问题,笔者认为大家有必要对移动互联的概念、原理进行一个简单的了解,下面我们就一起来看看这方面的内容。

  一、移动互联的概念

初识移动互联时,总认为是一个很简单的概念,不就是在各种移动环境中提供持续的网络连接吗?也许在这个概念的驱动下,您会想到目前带有调制解调器的笔记本电脑就可以在有电话的各种环境下通过拨号上网,然而这种通过电话拨号到当地ISP上来获得DHCP动态分配的IP地址,从而实现网络接入的方式并不是真正的移动互联,充其量只能称为"游牧互联"。真正的移动互联应该是拥有固定的IP地址,而且不论移动到什么地区或者通过什么方式连接到Internet上都是如此。这种意义上的移动互联能使网络应用程序提供持续的服务,即使是把正连接在网上的计算机的网线拔掉,无线接入能立即提供网络连接,而IP依然是以前所用的地址,从而实现业务的无缝转移。在实现移动互联中,我们使用移动IP技术来解决移动节点和家乡网络之间的数据包的传送问题。该技术使在不同网络中漫游的移动主机可以获得多个IP地址,并将其新IP地址告诉所有想和它通信的其他主机。移动IP协议中移动主机至少有两个IP地址,一个称为主地址(homeaddress),对于移动主机来说是固定不变的,唯一表示移动主机;另一个称为转交(临时)地址(care-of address),它是当移动主机离开主网络后为进行数据包转发而获得的临时地址,用于路由搜索。

  对数据业务而言,移动互联有两种形式的移动性:一种是基于大区的慢速移动,即跨子网的移动;另一种是基于小区的高速移动,即在蜂窝系统中移动。这两者对移动性管理的要求是有所区别的;另外移动多媒体通信与纯粹的移动数据通信也不尽相同。

  二、移动互联的原理

移动互联带给我们这样一种认识:移动节点总是连接于其主网上。这构成了位于某个IP地址的移动节点的可连通性的基础,该IP地址能按常规的方式与其完全资格的域名(FQDN)相联系,这样的描述理解起来很明了,但是要真正在技术上实现这个目标,还有许多问题需要解决,其中最棘手的就是关于IP路由的设置。所有的IP数据包要在网络上正确地进行传送,需要路由器来把它们从一个路由器准确地发送到另外一个路由器,每个路由器通过检查IP数据包中的目的地址来决定发往的下一个路由器。路由表中存放着所有需要到达不同网络的数据包所应该发往的下一个路由器的地址。对于移动互联而言,其移动的特要求路由表中存放所有可能的路由途径,而这个信息量是相当庞大的。对于传统路由器来说,没有这么多的空间来存储如此巨大的路由表。采用在移动的瞬时完成更新路由表信息的方法来解决移动互联的路由问题不是一个可行的方案,只有在移动的过程中不仅改变目前所用路径路由器的路由表,而且更改下一个希望移动的路径中路由器的路由表,才有可能解决路由的难题。

  在传统的基于网络地址匹配的数据包转发机制中,当一个数据包被发送时,路由器并不是把它发往所有的网段,而是发往与其目的网络地址相同的子网。在这种机制下,一旦目的节点移动到了另外一个子网中,而发出的数据包仍然会被传送到以前的子网中,这样就造成了数据包的丢失。为了解决这个技术难题,移动互联专门制定了相关标准和解决办法。移动互联采用的办法是,在子网内部设置代理节点,当有数据包发往这个子网内的某个节点,而这个节点恰好正漫游到其他子网内部时,代理节点把相应的数据包接受下来。然后,这个代理节点把所接收到的数据包发送到目前相应节点所在的子网中的接收代理,接收代理最后传送给正在漫游的节点。一旦节点需要继续移动到新的子网时,就需要更新其初始位置所在子网内代理节点中存放的转发目的子网地址,从而使数据包能准确地到达移动的节点。而且在移动的过程中发往节点的数据包,由移动之前最后一次的接收代理节点负责发往新的子网代理节点。

  三、移动互联的结构

移动互联系统是由移动主机和移动代理两部分来组成,其中移动代理又可以分为家乡代理和外地代理。每个移动主机在“家乡链路”上有一个唯一的“家乡地址”。与移动主机通信的主机被称为“通信主机”,通信主机可以是移动的,也可以是静止的。通信主机与移动主机通信时,通信主机总是把数据包发送到移动主机的家乡地址,而不考虑移动主机的当前位置情况。在家乡链路上每个移动主机必须有一个“家乡代理”来为自己维护当前位置信息。这个位置由“转交地址”来确定,移动主机的家乡地址与它当前转交地址的联合称为“移动绑定”,或简称为“绑定”。每当一个移动主机得到一个新的转交地址时,它必须生成一个新的绑定来向家乡代理注册,以使家乡代理即时了解移动主机的当前位置信息。一个家乡代理可以同时为多个移动主机提供服务。

  当一个移动主机连接到家乡链路之外的“外地链路”时,可以通过下述两种方法来获得转交地址。通常情况下移动主机使用“代理发现”协议在外地链路上发现一个“外地代理”,然后移动主机向这个外地代理进行注册,并使用此外地代理的IP地址作为自己的转交地址。外地代理的主要功能是为这个移动主机转发数据包。另外移动主机也可以通过其他方法(如DHCP)在外地链路上获得一个临时IP地址来作为自己的转交地址,在这种情况下移动主机可以作为自己的外地代理。当移动主机离开家乡链路时,它的家乡代理把发往移动主机的所有数据包转发到移动主机的当前位置。家乡代理可以使用“代理ARP”或其他有效方法在家乡链路上截获发往移动主机的数据包。对于每个截获的数据包,家乡代理使用隧道技术把它们发送到移动主机的当前转交地址。如果转交地址是外地代理的IP地址,那么这个外地代理是隧道的终端,此时外地代理从数据包中移走隧道报头,并把剩余部分发送到移动主机。如果移动主机使用一个临时地址作为转交地址,那么数据包将直接通过隧道传送到移动主机。在一个网络上,一台路由器可以同时具有家乡代理和外地代理的功能,也可以用两台或多台路由器分别提供家乡代理和外地代理服务。

  四、移动互联的安全

  在了解了移动互联的相关知识后,我们现在再来谈谈移动互联的安全问题。目前,移动互联所面临的、最紧迫最突出的问题是安全性问题,而且人们的大部分注意力都集中于使移动互联与Internet中使用的安全特征共存之上。现在,移动互联系统中实施的安全技术主要有以下几种:

  1、代理服务器代理服务器是防火墙系统中的一个服务器进程,它能够代替网络用户完成特定的TCP/IP功能。一个代理服务器本质上是一个应用层的网关,一个为特定网络应用而连接两个网络的网关。用户就一项TCP/IP应用,比如Telnet或者ftp,同代理服务器打交道,代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后,代理服务器连通远程主机,为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。最简单的情况是:它只由用户标识和口令构成。但是,如果防火墙是通过Internet可访问的,就要使用更强的认证机制,比如一次性口令或挑战-回应式系统。

  2、路由器和过滤器这种结构由路由器和过滤器共同完成对外界计算机访问内部网络的限制,也可以指定或限制内部网络访问INTERNET。路由器只对过滤器上的特定端口上的数据通讯加以路由,过滤器的主要功能就是在网络层中对数据包实施有选择的通过,依照IP(INTERNET PROTOCOL)包信息为基础,根据IP源地址、IP目标地址、封装协议端口号,确定它是否允许该数据包通过。这种防火墙措施最大的优点就是它对于用户来说是透明的,也就是说不需要用户输入帐号和密码来登录,因此速度上要比代理服务器快,且不容易出现屏颈现象。然而其缺点也是很明显的,就是没有用户的使用记录,这样我们就不能从访问记录中发现非法入侵的攻击记录。该技术的安全准则非常灵活,运行速度快,并且多数不依赖于应用,可以作为一种廉价的防火墙解决方案。但是包过滤路由器很难正确配置,ACL经常需要在没有图形用户界面的条件下以较模糊的语法改写,而其中的任何一点错误都会成为专用网的弱点而受到非法攻击。而且,经常是没有什么有效的方法来检验一组ACL的正确性,对于网络规模较大,要求灵活的场合,一的分组过滤式防火墙就不能很好的满足要求了,可以通过代理服务器与IP分组过滤路由器的配合,侦测出可能是危险的网络连接,将所有授权的应用服务连接转向代理服务器,构造出一个防火墙系统。

  3、IP通道技术经常会出现这种情况,一个大公司的两个子公司相隔较远,通过Internet通信。这种情况下,可以采用IP通道技术来防止Internet上的黑客截取信息。从而在Internet上形成一个虚拟的企业网。例如,我们假设子网A中一主机(IP地址为X.X.X.X)欲向子网B中某主机(IP地址为Y.Y.Y.Y)发送报文,该报文经过本网防火墙FW1(IP地址N.N.N.1)时,防火墙判断该报文是否发往子网B,若是,则再增加一报头,变成从此防火墙到子网B防火墙FW2(N.N.N.2)的IP报文,而将原IP地址封装在数据区内,同原数据一起加密后经Internet发往FW2。FW2接收到报文后,若发现源IP地址是FW1的,则去掉附加报头,解密,在本网上传送。从Internet上看,就只是两个防火墙的通信。即使黑客伪装了从FW1发往FW2的报文,由于FW2在去掉报头后不能解密,会抛弃报文。   4、网络地址转换器当受保护网连到Internet上时,受保护网用户若要访问Internet,必须使用一个合法的IP地址。但由于合法Internet IP地址有限,而且受保护网络往往有自己的一套IP地址规划(非正式IP地址)。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾,又对外隐藏了内部主机的IP地址,提高了安全性。

  5、隔离域名服务器这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离,使外部网的域名服务器只能看到防火墙的IP地址,无法了解受保护网络的具体情况,这样可以保证受保护网络的IP地址不被外部网络知悉。

  6、应用层中继为了更有效地抵制非法侵入,因特网的网络管理员便采用更为严格的防火墙--应用层中继。专用网中的一个主机与防火墙建立连接,将应用层数据发送给防火墙,防火墙随后用一个与最终目的地的新连接将应用层数据中继出去。应用层中继不仅可以理解数据报头的信息,而且还能理解应用信息内容本身,可以支持更为复杂高级的安全策略。同时更容易配置,能够将专用网内的节点地址对公网隐藏起来,在设计时可以具有足够的磁盘空间,有能力提供全部的审计和日志功能。但是应用层中继比包过滤路由器慢,而且不允许即使是合法的移动用户象普通连接到专用网的用户那样建立连接,同样具有象包过滤路由器那样的安全威胁,所以就需要在上面配置的基础上加上密码部分,这就是安全隧道防火墙技术。

  7、基于IP的VPN技术单纯依靠防火墙并不能解决Internet网络级安全问题,可以用安全隧道防火墙在公共网上建立虚拟专用网VPN(Virtual Private Network)来增强其功能。利用IP安全协议可以建立穿越Internet的安全隧道,与以前的防火墙相结合,从而构造出增强的VPN安全系统。在安全隧道一端,发方将IP数据分组加密封装成IP安全数据分组(IP Sec packets),封装后的数据分组通过Internet传输到隧道的另一端后,收方把IP安全分组解密并恢复成原来的IP数据分组。IP安全数据分组的封装模式有两种:一种是整个IP分组被封装在IP Sec分组中,称为隧道模式;另一种是只将传输层数据封装在IP Sec分组中,称为传输方式。无论采用哪种封装方式,IP安全分组的首部都是一个普通的IP分组首部。因此,这种安全机制不需要Internet中的其他路由设备的支持,并且也不影响原有的防火墙系统。IP安全分组的封装可以在VPN的主机中执行,也可以在VPN的安全网关中进行。如果封装在主机中完成,一般采用传输模式,这样可以保证VPN中的各主机也以安全方式通信;当封装在VPN的安全网关中完成时,可以采用隧道模式,IP安全分组的源地址和目的地址将分别是发端和收端的安全网关地址,这样可以防止黑客对VPN中的主机进行通信量分析。

  8、用户身份验证技术移动互联还可以采用三种认证扩展:移动主机--主代理认证扩展、客代理--主代理认证扩展、客代理--主代理认证扩展。它们有相似的格式,只是类型不同。所有的等级请求和登记应答中都要有移动主机--客代理认证扩展。认证扩展中的SPI域定义了用于认证计算的安全性上下文,如认证算法和模式、共享密钥等。

  移动互联技术还处于发展阶段,安全问题是移动互联目前面临的一大难题,应用代理服务器与分组过滤路由器结合的防火墙将是未来防火墙技术的发展方向。

 摘自“赛迪网”      
 
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50