袁洪伟胡修林张蕴玉华中科技大学
【摘要】随着移动计算用户的不断增大,如何保证数据传输的可靠性和保密性,增强网络的安全性能和抗攻击的能力受到学术和应用界广泛关注。本文针对移动IP 应用中存在的安全问题进行了讨论,并就各种可能的安全问题提出相应的措施和对策。
1 移动IP 的基本原理
移动计算、无线通信和因特网的融合产生了移动无线互联网络,它使得无线用户能够在任何时间,任何地点都可以进行网络通信。移动IP 协议就是在因特网和采用TCP/IP 协议的局域网上实现IP 终端漫游的网络协议,它具有可扩展性、可靠性和安全性,并使节点在切换链路时仍可保持正在进行的通信。值得特别注意的是,移动IP 提供了一种IP 路由机制,使移动节点可以以一个永久的IP 地址连接到任何链路上。作为网络层协议,移动IP 与运行在什么媒介上毫无关系。因此,采用移动IP 的移动节点可以从一种媒介移动到另一种媒介上,而不会丢失现有连接。
1.1 移动IP 的设计要求
(1)设计移动IP 时有以下几个要求:
(2)移动节点在改变数据链路层的接入点后应仍能与因特网上的其他节点通信。
(3)无论移动节点连接哪个数据链路层接入点,它应仍能用原来的IP 地址进行通信。
(4)移动节点应能与不具备移动IP 功能的计算机通信。
(5)移动节点不应比因特网上的其他节点面临新的或更多的安全威胁。
1.2 移动IP 的功能实体
移动IP 定义了三种必须实现移动协议的功能实体:
(1)移动节点:可以将接入因特网的位置从一条链路切换到另一条链路上,而仍然保持所有正在进行的通信,并且只使用它的家乡地址( Home Address)的那些节点。
(2)家乡代理(Home Agent): 有一个端口与移动节点家乡链路相连的路由器。
当移动节点切换链时,家乡代理一直通知移动节点它的当前位置,这个信息由移动节点保存在它的转交地址( Care of Address)中。有时,家乡代理广播对移动节点家乡地址的网络前缀的可达性,从而吸引那些送往移动节点的家乡地址的IP 包。解析送往移动节点的家乡地址的包,并将这些包通过隧道技术传送到移动节点的转交地址上。
(3)外地代理( Foreign Agent): 在移动节点的外地链路上的路由器。帮助移动节点通知它的家乡代理它的转交地址。有时,提供移动节点的转交地址,并为已被家乡代理设置了隧道的移动节点发送拆封后的包。作为连接在外地链路上的移动节点的缺省路由器。
1.3 移动I P 的工作机制
(1)通过周期地组播或广播一个称为代理广播的消息,家乡代理和外地代理宣告它们与链路的连接关系。
(2)移动节点收到这些代理广播消息后,检查其中的内容以确定自己是连在家乡链路还是外地链路上。当它连在家乡链路上时,移动节点就可像固定节点一样工作,即它不再利用移动I P 的其他功能。
(3)连在外地链路上的移动节点需要一个转交地址。它可以从外地代理广播的代理广播消息中找到外地代理转交地址,配置转交地址必须通过一个配置规程得到,比如用D H C P、P PP 的I P C P 或手工配置。
(4)移动节点向家乡代理注册从第3 步中得到的转交地址,可以通过移动I P 中定义的消息交换来完成。在注册过程中,如果链路上有一个外地代理,移动节点就向它请求服务。为阻止拒绝服务攻击,注册消息要求进行认证。
(5)家乡代理或者是在家乡链路上的其他一些路由器广播对移动节点家乡地址的网络前缀的可达性,从而吸引发往移动节点家乡地址的数据包,家乡代理截取这个包(可能用代理A R P),并根据移动节点在第4 步中注册的转交地址,通过隧道将数据包传送给移动节点。
(6)在转交地址处—可能是外地代理或移动节点的一个端口,原始数据包被从隧道中提取出来送给移动节点。
(7)相反,由移动节点发出的数据包被直接选路到目的节点上,无需隧道技术。对所有来访的移动节点发出的包来说,外地代理完成路由器的功能。同其它的网络一样,在移动IP 的应用中会面临许多信息安全问题,而且由于无线通信的介质的开放性,其信息安全问题更为突出。下面就移动IP 应用中的信息安全问题和可能会受到的非法攻击进行分析,并指出其解决方案。
2 IP 的信息安全问题及其解决方案
2.1 移动节点的拒绝服务攻击
拒绝服务攻击是指非法人员为了阻止他人正常被服务所作的一些事情,在计算机网络中,拒绝服务的攻击方式通常有以下形式:非法人员向主机发送大量的数据包,使得主机的CPU 忙于处理这些无用的信息,导致他人的
请求无法得到正常响应。
非法人员对网络上的两节点间传送的数据包进行干扰,使得数据传输不能正常进行。移动IP 本身在设计阶段没有考虑到如何对付第二种形式的攻击。移动IP 注册是为了让移动节点将它的转交地址通知它的家乡代理,家乡代理将根据转交地址把目的地址为移动节点地址的数据包通过隧道传送给移动节点。若移动节点的注册请求是非法人员伪造的,非法人员把自己的IP地址作为移动节点的转交地址,则发往移动节点的数据包将会被移动节点的家乡代理通过隧道送给该非法人员。移动节点将接收不到任何原本属于自己的数据包,从而失去了正常的通信服务。
对付拒绝服务攻击的解决方法是要求移动节点和它的家乡代理之间交互的所有注册信息都必须进行有效的认证,有效的认证是指非法人员几乎不可能产生一个伪造的注册请求消息而又不被家乡代理识破。移动IP 允许移动节点和它的家乡代理采用它们选择的任何认证算法,然而所有对移动IP的实现必须支持“Keyed MD5”作为缺省算法,该算法利用MD5 消息摘要算法[REC1321]来提供密钥认证和完整性认证。
移动节点产生的注册消息包括固定部分和移动家乡认证扩展部分,移动节点填写消息和扩展部分中除认证域外的所有其它域,并对以下消息摘要计算给出一个MD5。
(1)只有移动节点和它的家乡代理知道共享的秘密密钥。
(2)注册请求消息的定长部分。
(3)包括移动家乡认证在内的所有扩展,但不包括认证域。
(4)移动节点和家乡代理共享的秘密密钥。
MD5 计算出一个16B 的消息摘要,移动节点将这个消息摘要填入移动家乡认证域中,以产生一个注册请求消息,然后移动节点将这个消息发送给家乡代理。家乡代理收到移动节点的注册请求后,家乡代理用它和移动节点共享的秘密密钥以及接收到的注册请求消息的各个域计算消息摘要,并将计算结果和注册请求消息认证域相比较。如果两者相等,家乡代理就确认这条来自移动节点的注册请求消息;反之,则否定并丢弃这条注册请求消息。家乡代理向移动节点返回注册应答的过程正好相反,家乡代理计算注册应答消息和密钥的消息摘要,将消息摘要放在注册应答的认证域中,然后将应答消息发往移动节点,移动节点检查消息摘要,完成对家乡代理的认证,并检查其应答消息的完整性。
2.2 重发攻击
重发攻击是指非法人员将一条有效的注册请求消息保存起来,然后过一段时间后再重新发送这个消息,从而注册一个伪造的转交地址。为防止重发攻击的发生,移动节点为每一个连续的注册消息标识域产生一个唯一值。利用这个值,家乡代理可以知道下一个值应该是多少,从而使得被非法人员保存下来的注册消息被家乡代理判定为已经过时的注册消息而不予处理。
针对重发攻击,移动IP 定义了两种填写标识域的方法。其一,利用时间标签,移动节点将当前估计日期和时间填写进标识域,如果这种估计和家乡代理估计的时间不够接近,家乡代理将拒绝这个注册请求,并提供一定的同步信息给移动节点来同步其时钟。其二,采用Nonces 算法,在该算法中,移动节点向家乡代理规定向移动节点发送下一个应答消息标识域的低半部分中必须放置的值,相反,家乡代理向移动节点规定下一个注册请求消息标识域的高半部分中必须放置的值。若有任一节点接收到的注册消息的标识域与期望不符,若该节点为家乡节点,则它拒绝这条消息;若是移动节点则不理会这条消息。
2.3 被动地偷听
移动节点和网络所面对的另一严重的安全威胁是信息的窃取。信息窃取是指非法人员偷听他人的数据包,以窃取数据包中可能包含的机密和私有信息为目的的攻击行为。通常采取加密的办法防止数据被未经授权的人查看。常用的加密方式有端对端加密和数据链路层加密两种方式。
2.4 会话窃取攻击
会话窃取攻击是指非法人员在一个合法节点被受攻击者的家乡代理认证、并开始进行会话后,通过假扮合法节点将会话窃取过去。在这种情况下,一般假扮者会发送大量的数据包给移动节点,以防止移动节点发现通讯会话已被窃取。
按假扮者的窃取位置,会话窃取一般可分为外地链路上的窃取和其它链路上的窃取。外地链路上的窃取是指假扮者位于外地链路上,这种会话窃取攻击一般由下面几个部分构成。首先,攻击者等待移动节点向他的家乡代理注册,偷听到一个感兴趣的会话。其次,攻击者向移动节点发送大量的无用数据包,占用移动节点的全部CPU 时间。最后,攻击者假冒移动节点发出数据包给家乡代理,并截取发往移动节点的数据包,从而达到窃取会话的目的。防止会话被窃取通常也采用对数据进行加密的方式来进行保护。这样,攻击者窃取会话的数据包后,还必须对其进行解密才能得到可读的明文,加大了信息被窃取的难度。其它链路上的会话窃取是指攻击者在家乡代理和通讯终端之间的路径上的某一点接入网络,同外地链路上的窃取相比较,这种会话窃取攻击使得只对外地链路上采用链路层加密不再有效,攻击者可以窃取所接链路上的所有会话。在这种情况下,一般采用端对端的加密方法来防止会话被非法窃取。
2.5 主动攻击
主动攻击是与被动攻击相对而言的,攻击者不再是被动地监听或主动地窃取一个已存在的会话,而是主动地接入网络并设法攻击网络上的其它主机。欲进行主动攻击,非法人员首先必须通过物理安全这一关,直接连入到被攻击主机所在的物理链路中,其次,还必须获取其打算攻击的主机所在网段的一个合法IP 地址。通常,非法人员通过监听网络上的数据包以获取该主机所在网络的网络前缀,并推测一个可用的主机号同所得到的网络前缀一起产生一个可用的IP 地址。或者直接利用网络中存在的安全漏洞获取一个可用的IP 地址。利用这个IP 地址,非法人员就可以对网上的主机进行攻击了。用于攻击固定主机的方法同样可以攻击移动主机。要防止这种攻击,首先得保证非法人员无法与网络上的其它节点通信,因此网络的物理安全必须得到合理的安全保护。在会话可能被窃取的物理链路上不应该有任何节点,移动节点和固定节点都应该从这样的链路上移走。同时对所有合法的节点至少使用链路层以上的加密。
2.6 Flooding 攻击
TCP SYN Flooding 攻击对采用TCP/IP 协议的网络都具有攻击能力,这种攻击是利用TCP/IP协议自身的设计缺陷进行的。由于服务器收到TCP 连接请求数据包后,会为每一个请求分配一定的内存和其他资源。此时若服务器缺乏必要的自身保护能力的话,攻击者就可利用TCP 的这一设计缺陷,向服务器不断地发送TCP 请求数据包,达到耗尽服务器资源的目的,从而使得服务器无法处理正常的连接请求,或直接导致服务器的崩溃。
对于TCP SYN Flooding 攻击,目前尚没有什么好办法能彻底解决,但是可以通过某些安全措施减轻其造成的危害,可以通过检查数据包的源地址在一定程度上抵御这种攻击。一般通过配置路由器的路由表来拒绝那些来自不可信地址的服务请求。入口过滤就是其中的一种方案,但是若不对移动IP 进行改进,当移动主机位于外地链路上时,入口过滤会影响移动主机发出的数据包。因此若采用入口过滤来预防TCP SYN Flooding 攻击,当移动主机在向家乡代理注册时,应将自己产生的数据包进行隧道封装后再送给家乡代理。只有隧道报头的IP 源地址和目的地址在物理拓扑都正确时,才不会被入口过滤掉。
3 结束语
移动IP 作为一种适应无线通信需要的网络层解决方案,既有着较好的应用前景,也比固定IP 有更多的信息安全风险。随着移动IP 应用的不断发展,新的攻击方法会不断出现,同时相应的解决方案亦会被提出来。另外,由于更多移动IP 服务提供商的参与,移动IP 服务会更加完善,会更好地适应人们对移动办公的需要。
参考文献
【1】JamesD Solomn.裘晓峰译.移动IP.机械工业出版社,2000
【2】张小斌,严望佳.黑客分析与防范技术.清华大学出版社,1999
【3】A D Joseph,J A Tauber,M F Kaashoek.Mobile Coputing with the Rover Toolkit.IEEETransaction of Computer,1997,46(3):337-352
★
----《移动通信在线》
|
