【導讀】提交論文日期：2020年06月日

　　

【正文】 16 頁 共 22 頁 包，使得主機忙于處理這些無用的數(shù)據(jù)包而無法響應有用的信息。二是對網(wǎng)絡上兩個節(jié)點之間的通信直接進行干擾，如采取重定向的方法使合法用戶無法獲得所需要的數(shù) 據(jù)。 在第一種形式的攻擊中，它使用非法的源地址建立大量的 TCP 連接來“轟炸”目標主機。這種攻擊方法能夠成功的一個關鍵原因在于目前 IP 單播數(shù)據(jù)包的選路只依賴于目的地址，而不需要察看源地址。對付這種攻擊，目前還沒有徹底的解決方案，但是可以采用入口過濾來減少這種攻擊的威脅。路由器通過設置入口過濾，可以將源地址與其網(wǎng)絡拓撲不匹配的數(shù)據(jù)包丟棄。對固定主機而言，這種方法可以較好地工作。但對移動 IP 來說，由于一個處于外地鏈路的移動節(jié)點發(fā)出的數(shù)據(jù)包的源地址仍為家鄉(xiāng)地址，而路由器認為該地址應該位于移動節(jié)點的家鄉(xiāng)鏈 路上，所以那些配置了入口過濾的路由器會把這些合法的數(shù)據(jù)包全部丟棄，從而造成數(shù)據(jù)丟失。這個問題可以通過以下兩種方法來解決。一是移動節(jié)點使用配置轉交地址作為發(fā)送數(shù)據(jù)包的源地址。這種方法實現(xiàn)簡單，但存在很大的局限性，因為有些網(wǎng)絡注冊系統(tǒng)只允許 IP 地址在一定范圍內的用戶訪問，配置轉交地址可能處于未經授權的地址范圍內，從而無法享用申請的服務。另一種方法是通過采用反向隧道將數(shù)據(jù)包封裝后送到家鄉(xiāng)代理，然后由家鄉(xiāng)代理負責轉發(fā)收到的數(shù)據(jù)包，此時數(shù)據(jù)包的源地址與其網(wǎng)絡拓撲相匹配而不會被入口過濾路由器丟棄。 在 Inter 中，發(fā)起第二種形式的拒絕服務攻擊通常要求攻擊者位于兩個通信節(jié)點之間的路徑上，但是對移動 IP 而言則沒有這種限制。如果移動主機位于外地鏈路上，它必須向家鄉(xiāng)代理注冊它的轉交地址，然后由家鄉(xiāng)代理根據(jù)注冊的轉交地址通過隧道技術將數(shù)據(jù)包傳送到移動主機。所以一個攻擊者只需要簡單地發(fā)送一條偽造的注冊請求給家鄉(xiāng)代理，就可以截獲本應送往移動節(jié)點的數(shù)據(jù)包，從而使得使合法移動節(jié)點得不到服務。為了對付這種攻擊，移動節(jié)點和家鄉(xiāng)代理之間的注冊消息必須采用有效的認證機制，從而使得攻擊者不可能偽造注冊請求消息。移動 IP 對認證算 法不作特別規(guī)定，但要求所有的認證算法都必須支持 Keyed MD5[18] 消息摘要認證算法。 如圖 41，移動節(jié)點當前的轉交地址為 ，這時網(wǎng)絡中的攻擊者冒充移動節(jié)點，并用 作為轉交地址向家鄉(xiāng)代理發(fā)送注冊請求。假如家鄉(xiāng)代理接受了該請求。那么，通過家鄉(xiāng)代理轉發(fā)給移動節(jié)點的數(shù)據(jù)包將不能路由到移動節(jié)點，而是路由到攻擊者了。 外 地 代 理移 動 節(jié) 點轉 交 地 址 = 1 0 . 1 0 . 1 0 . 1 0家 鄉(xiāng) 代 理攻 擊 者I P 地 址 = 6 . 6 . 6 . 6I n t e r n e t用6.6.6.6作為移動節(jié)點新轉交地址向家鄉(xiāng)代理注冊 圖 41 移動 IP中的拒絕服務攻擊 2020 級電子信息科學技術專業(yè)畢業(yè)論文 第 17 頁 共 22 頁 2) 假冒攻擊 移動 IP 注冊的一個主要目的是讓移動節(jié)點將它的轉交地址通知給它的家鄉(xiāng)代理，家鄉(xiāng)代理將根據(jù)轉交地址把目的地址為移動節(jié)點地址的數(shù)據(jù)包通過隧道送給移動節(jié)點。當攻擊者發(fā)出一個偽造的注冊請求，把他自己的 IP 地址當作移動節(jié)點的轉交地址時，通信對端發(fā)出的所有數(shù)據(jù)包都會被送給攻擊者，這樣會出現(xiàn)兩個明顯的問題：首先，攻擊者能看到每一個送給移動節(jié)點的數(shù)據(jù)包；另外，移動節(jié)點卻被從所有的通信中斷開了，因為它不可能再接收任何數(shù)據(jù)包了。進行這樣的攻擊對攻擊者來說輕而易舉，它只需向移動節(jié)點的家 鄉(xiāng)代理發(fā)送一條偽造的注冊請求消息。與固定的機器和路由器比較一下：對于固定的主機，一個節(jié)點想要中斷另兩個主機之間的通信通常它必須位于這兩個主機之間的路徑上；但在移動狀況下，節(jié)點可以從網(wǎng)絡的任何角落進行這種假冒攻擊。 對這種安全威脅的解決方法是要求移動節(jié)點和它的家鄉(xiāng)代理之間交互的所有注冊消息都進行有效的認證。所謂有效的認證是指幾乎不可能產生一個偽造的注冊請求。移動 IP采用移動 — 家鄉(xiāng)認證擴展 [19]來防止假冒攻擊。圖 出了包含認證擴展的注冊消息的一般結構。 IP報頭（ RFC 791） UDP報頭（ RFC 768） 注冊消息的移動 IP字段（ RFC 3344） （定長部分） 可選擴展?? 移動 — 家鄉(xiāng)認證擴展（ RFC 3344） 更多的可選擴展?? 圖 42 包含認證擴展的注冊消息 3) 重放攻擊 移動 — 家鄉(xiāng)認證擴展防止了假冒攻擊，但這還不夠。因為攻擊者可將一個有效的注冊請求消息存起來，過一段時間再重新發(fā)送這個消息從而注冊一個偽造的轉交地址。為防止這種重新發(fā)送攻擊的發(fā)生，移動節(jié)點為每一個連續(xù)的注冊消息標識域產生一個 唯一值。這個值使得家鄉(xiāng)代理可以知道下一個值應是多少，這樣，重放攻擊就無能為力了，因為它保存的注冊請求消息會被家鄉(xiāng)代理判定為已經過時了。為防止重發(fā)攻擊，移動 IP 定義了兩種填寫標識域的方法。 第一種方法使用時間標簽，移動節(jié)點將它當前估計的日期和時間填寫進標識域。如果這種估計和家鄉(xiāng)代理估計的時間不夠接近，家鄉(xiāng)代理會拒絕這個注冊請求，并向移動節(jié)點提供一些信息來同步它的時鐘，這樣移動節(jié)點以后產生的標識就會在家鄉(xiāng)代理允許的誤差范圍內了。 另一種方法采用 Nonces[20]，它類似于秘密密鑰認證中隨機數(shù)的作用。在這種方法中，移動節(jié)點向家鄉(xiāng)代理規(guī)定了向移動節(jié)點發(fā)送下一個注冊應答消息標識域的低半部分中必須放置的值，相似的，家鄉(xiāng)代理向移動節(jié)點規(guī)定了在下一個注冊請求消息標識域的高半部分中必須放置的值。如果有任一個節(jié)點接收到的注冊消息的標識域與期望的值不符，家鄉(xiāng)代理會拒絕這條消息，而移動節(jié)點則不理會這條消息。拒絕機制使移動節(jié)點可以和家鄉(xiāng)代理同步，以防止他們保留有關下一個標識域過時的趙成聰：移動 IP 協(xié)議關鍵問題研究 第 18 頁 共 22 頁 值。 4) 網(wǎng)絡竊聽攻擊 移動節(jié)點和網(wǎng)絡上的其它節(jié)點面臨的另一個 嚴重的安全威脅就是信息的竊取。當一個人偷聽其他人的數(shù)據(jù)包，以竊取數(shù)據(jù)包中可能包含的機密和私有信息時，就稱為竊取信息。實用上經常采用加密的方法來防止數(shù)據(jù)被未經授權的用戶檢看。這里將介紹兩種方法：數(shù)據(jù)鏈路層加密和端到端加密，它們都是采用了加密來防止數(shù)據(jù)中的機密被網(wǎng)絡上的移動節(jié)點和其它節(jié)點竊取。無線鏈路的物理安全性是非常脆弱的，為得到鏈路上傳送的信息，人們并不需要物理地連接到網(wǎng)絡上，所以可以假設總會有未經授權的用戶通過無線的或有線的方式接入網(wǎng)絡，因此必須采取措施來加固網(wǎng)絡以防止這些人。 我們假設在移動計算機網(wǎng)中， 移動節(jié)點可以通過兩種媒介連接到外地代理和家鄉(xiāng)代理上：無線局域網(wǎng)和有線的以太網(wǎng)。數(shù)據(jù)鏈路層加密可以使移動節(jié)點和它的外地代理之間的數(shù)據(jù)在較脆弱的無線鏈路上傳送時不被偷聽，而端到端加密是一種更好的方法，它與物理介質無關，而且可以在網(wǎng)絡的任一點上保護數(shù)據(jù)，而不僅僅是在移動節(jié)點的外地鏈路上對數(shù)據(jù)進行保護。 5) 會話竊取攻擊 會話竊取攻擊是指攻擊者等一個合法節(jié)點進行認證并開始應用會話后，通過假扮合法節(jié)點將會話竊取過去。通常攻擊者必須發(fā)送大量的無用數(shù)據(jù)包來防止合法節(jié)點發(fā)現(xiàn)會話己經被竊取了。 ? 外地鏈路上的會話竊取 這種安全威脅 的特性與被動偷聽有點相似。也就是說，我們假設這個攻擊者已經通過了網(wǎng)絡的物理安全防護，并且在移動節(jié)點的外地鏈路無線收發(fā)器的工作范圍內。同樣，我們也可以假設它物理地連接在一條基于以太網(wǎng)的外地鏈路上。這種會話竊取攻擊是這樣發(fā)起的： a) 攻擊者等待移動節(jié)點向它的家鄉(xiāng)代理注冊； b) 攻擊者偷聽移動節(jié)點是否開始了一個感興趣的通信； c) 攻擊者向移動節(jié)點發(fā)送大量無用的數(shù)據(jù)包，占用移動節(jié)點 CPU 的全部時間； d) 攻擊者發(fā)送一個似乎是從移動節(jié)點發(fā)出的數(shù)據(jù)包，并截獲發(fā)往移動節(jié)點的數(shù)據(jù)包，從而竊取會話。 移動節(jié)點的用戶可能意識到有些不對頭， 因為它的應用停止工作了。但是這個用戶可能并不知道它的會話己被竊取了，因為在屏幕上并沒有顯示發(fā)生了這種事情。攻擊者還可以竊取那些碰巧與移動節(jié)點連在同一條鏈路上的主機的會話，這些主機包括沒有使用移動 IP 的節(jié)點以及連在家鄉(xiāng)鏈路上的移動節(jié)點。 為了防止這種攻擊的方法與防止偷聽的方法一樣，至少要求移動節(jié)點和它的外地代理之間有鏈路層加密，最好是在移動節(jié)點和它的通信對端之間有端到端加密。加密可以防止會話竊取攻擊的原因是，如果移動節(jié)點和外地代理之間采用了鏈路層加密，那么它們各自都認為從另一方接收到的數(shù)據(jù)包是加密的。這就 意味著，為了得到明文它們中的每個節(jié)點都要對接收到的數(shù)據(jù)包進行解密。注意只有移動節(jié)點和外地代理才擁有對它們之間交換的數(shù)據(jù)進行加解密的密鑰。由于得不到合適的密鑰，攻擊者就不可能產生移動節(jié)點和外地代理能正常解密的密文，或者解出的明文全是亂碼。進一步地，好的加密機制可能提供一種方法讓解密的一方能確定恢復的明文是合法的還是亂碼。 2020 級電子信息科學技術專業(yè)畢業(yè)論文 第 19 頁 共 22 頁 實現(xiàn)這種功能的一種明顯的方法是同時提供數(shù)據(jù)加密和完整性檢查。解密時數(shù)據(jù)如果不能通過完整性檢查，接收節(jié)點就知道這是亂碼了。如文獻 [21]中所描述的，不帶認證的加密存在嚴重的弱點，對敏感的數(shù)據(jù)同時進行加密和認證是明智的選擇。正確使用的加密能夠使得會話竊取攻擊變得無法實現(xiàn)。 ? 其它會話竊取攻擊 如果攻擊者沒有連接到外地鏈路上，他仍然可以發(fā)動會話竊取攻擊。當然，這要求他可以從移動節(jié)點和通信對端之間路徑上的某一個點接入網(wǎng)絡。這里我們仍然假設攻擊者已攻破了網(wǎng)絡的物理安全機制，并建立了到網(wǎng)絡的一條物理連接。這時的會話竊取攻擊與前面討論的外地鏈路上的會話竊取攻擊相似，不同之處在于：第一，只在外地鏈路上采用的鏈路層加密不再有 用；第二，攻擊者可以竊取他所連接的鏈路上的所有會話，而不僅是移動節(jié)點的會話。攻擊的方法也和前面一樣，先偷聽對話過程，直到發(fā)現(xiàn)有感興趣的攻擊目標，然后用無用的數(shù)據(jù)包攻擊一個端點，最后假扮成被攻擊節(jié)點的身份。加密仍然是防止這種攻擊的方法。顯然，這時要求用端到端加密來保護網(wǎng)絡上任一節(jié)點的數(shù)據(jù)，這種加密可以采用應用層加密。 移動 IP可以使用戶在不中斷網(wǎng)絡連接的情況下隨意漫游，給用戶帶來了極大的方便。但在移動IP環(huán)境中，主機可以隨意進行移動，并且可以使用包括無線信道在內的多種傳輸媒介，這些都帶來了許多新的安全隱患，為 了保證移動 IP網(wǎng)絡的安全通信，對移動 IP 面臨常見的安全威脅進行深入的分析以及相應的對策。 趙成聰：移動 IP 協(xié)議關鍵問題研究 第 20 頁 共 22 頁 5 結束語 互聯(lián)網(wǎng)已經深入到人們生活的方方面面，成為很多人日?；顒硬豢扇鄙俚牟糠?。目前主要采用固定接入方式使用互聯(lián)網(wǎng)，這在很多方面限制了互聯(lián)網(wǎng)的進一步應用。隨著人類生活節(jié)奏的加快，需要在任何地點、任何時候都能獲得互聯(lián)網(wǎng)服務，這使得提供移動的互聯(lián)網(wǎng)接入成為當前互聯(lián)網(wǎng)技術研究的熱點之一。移動 IP 就是在原來 IP協(xié)議基礎上為了支持節(jié)點移動而提出的解決方案，讓人們不論在家中或辦公室，還是火車或飛機上都能通過手持設備隨時連接到互聯(lián) 網(wǎng)。因此，移動 IP協(xié)議的提出為移動節(jié)點在不同網(wǎng)絡中的漫游提供了一個網(wǎng)絡層的解決策略。由于移動節(jié)點在不同網(wǎng)絡中移動時需要進行接入點甚至接入網(wǎng)絡的不斷切換，如何保證移動節(jié)點在移動時進行低延遲切換甚至無縫切換以及安全性已成為移動 IP的研究重點。本文的主要工作如下： 1) 概述移動 IP技術，分析了移動 IP解決的問題、應用的范圍、設計的要求及目標、功能實體和基本術語及基本操作過程。 2) 研究移動 IP中的切換技術，闡述了移動 IP切換的基本概念，比如，移動 IP的切換問題和切換注冊過程，具體分析了預先注冊切換方法、過后注冊切換方法及 聯(lián)合切換方法。 3) 研究移動 IP的安全問題，首先敘述了網(wǎng)絡安全現(xiàn)狀和網(wǎng)絡安全的目標，最后對移動 IP 的安全進行分析，全面分析了目前移動 IP使用過程中可能受到的安全威脅及理論對策。 本文講述的幾種切換技術主要是為了滿足移動 IP中傳播實時業(yè)務的需要，它對減少數(shù)據(jù)報的丟失也起到了很好的作用。但是，如果移動節(jié)點在幾個外地代理之間頻繁移動，而每次切換都要向家鄉(xiāng)代理注冊，由家鄉(xiāng)代理來維護移動節(jié)點的移動綁定，這樣勢必在網(wǎng)絡中引發(fā)大量的注冊報文的傳輸，從而嚴重影響了網(wǎng)絡的性能，并且造成了較大的切換延遲，尤其是移動節(jié)點離家鄉(xiāng)代理較 遠的時候，問題嚴重，還會引起數(shù)據(jù)報的丟失，從而降低了通信吞吐量，這些問題都值得我們進一步去研究，此外，移動 IP安全的加密技術和認證機制還有待改進。 由于時間及本人的知識能力有限，僅對移動 IP技術及相關問題進行了簡單的分析探討，如有不對之處請給予批評指正。 參考文獻 [1] , Mobility Support for [S],Inter Engineering Task Force,2020,8 [2] IP Mobility Support. IETF RFC . October 1996 [3] IP Encapsulation within RFC . Perkins. October 1996 [4] Minimal Encapsulation within RFC . Perkins. October 1996 [5] . Applicability Statement for IP Mobility Support. RFC 2020 [S], Inter Engineering Task Force,1996,10 [6] ,