移動(dòng)互聯(lián)的安全技術(shù)素描

　　大家知道，由于互聯(lián)網(wǎng)絡(luò)的共享性和開放性，互聯(lián)網(wǎng)絡(luò)的安全問題就成為人們非常關(guān)注的話題，當(dāng)然移動(dòng)互聯(lián)同樣也存在著安全方面的威脅，如何實(shí)現(xiàn)移動(dòng)互聯(lián)時(shí)的信息安全就是本文要向大家介紹的內(nèi)容。為了能更好地理解移動(dòng)互聯(lián)的安全問題，筆者認(rèn)為大家有必要對(duì)移動(dòng)互聯(lián)的概念、原理進(jìn)行一個(gè)簡單的了解，下面我們就一起來看看這方面的內(nèi)容。



　　一、移動(dòng)互聯(lián)的概念



初識(shí)移動(dòng)互聯(lián)時(shí)，總認(rèn)為是一個(gè)很簡單的概念，不就是在各種移動(dòng)環(huán)境中提供持續(xù)的網(wǎng)絡(luò)連接嗎？也許在這個(gè)概念的驅(qū)動(dòng)下，您會(huì)想到目前帶有調(diào)制解調(diào)器的筆記本電腦就可以在有電話的各種環(huán)境下通過撥號(hào)上網(wǎng)，然而這種通過電話撥號(hào)到當(dāng)?shù)豂SP上來獲得DHCP動(dòng)態(tài)分配的IP地址，從而實(shí)現(xiàn)網(wǎng)絡(luò)接入的方式并不是真正的移動(dòng)互聯(lián)，充其量只能稱為"游牧互聯(lián)"。真正的移動(dòng)互聯(lián)應(yīng)該是擁有固定的IP地址，而且不論移動(dòng)到什么地區(qū)或者通過什么方式連接到Internet上都是如此。這種意義上的移動(dòng)互聯(lián)能使網(wǎng)絡(luò)應(yīng)用程序提供持續(xù)的服務(wù)，即使是把正連接在網(wǎng)上的計(jì)算機(jī)的網(wǎng)線拔掉，無線接入能立即提供網(wǎng)絡(luò)連接，而IP依然是以前所用的地址，從而實(shí)現(xiàn)業(yè)務(wù)的無縫轉(zhuǎn)移。在實(shí)現(xiàn)移動(dòng)互聯(lián)中，我們使用移動(dòng)IP技術(shù)來解決移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)網(wǎng)絡(luò)之間的數(shù)據(jù)包的傳送問題。該技術(shù)使在不同網(wǎng)絡(luò)中漫游的移動(dòng)主機(jī)可以獲得多個(gè)IP地址，并將其新IP地址告訴所有想和它通信的其他主機(jī)。移動(dòng)IP協(xié)議中移動(dòng)主機(jī)至少有兩個(gè)IP地址，一個(gè)稱為主地址(homeaddress），對(duì)于移動(dòng)主機(jī)來說是固定不變的，唯一表示移動(dòng)主機(jī)；另一個(gè)稱為轉(zhuǎn)交（臨時(shí)）地址（care-of address），它是當(dāng)移動(dòng)主機(jī)離開主網(wǎng)絡(luò)后為進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)而獲得的臨時(shí)地址,用于路由搜索。



　　對(duì)數(shù)據(jù)業(yè)務(wù)而言，移動(dòng)互聯(lián)有兩種形式的移動(dòng)性：一種是基于大區(qū)的慢速移動(dòng)，即跨子網(wǎng)的移動(dòng)；另一種是基于小區(qū)的高速移動(dòng)，即在蜂窩系統(tǒng)中移動(dòng)。這兩者對(duì)移動(dòng)性管理的要求是有所區(qū)別的；另外移動(dòng)多媒體通信與純粹的移動(dòng)數(shù)據(jù)通信也不盡相同。



　　二、移動(dòng)互聯(lián)的原理



移動(dòng)互聯(lián)帶給我們這樣一種認(rèn)識(shí)：移動(dòng)節(jié)點(diǎn)總是連接于其主網(wǎng)上。這構(gòu)成了位于某個(gè)IP地址的移動(dòng)節(jié)點(diǎn)的可連通性的基礎(chǔ)，該IP地址能按常規(guī)的方式與其完全資格的域名(FQDN)相聯(lián)系，這樣的描述理解起來很明了，但是要真正在技術(shù)上實(shí)現(xiàn)這個(gè)目標(biāo)，還有許多問題需要解決，其中最棘手的就是關(guān)于IP路由的設(shè)置。所有的IP數(shù)據(jù)包要在網(wǎng)絡(luò)上正確地進(jìn)行傳送，需要路由器來把它們從一個(gè)路由器準(zhǔn)確地發(fā)送到另外一個(gè)路由器，每個(gè)路由器通過檢查IP數(shù)據(jù)包中的目的地址來決定發(fā)往的下一個(gè)路由器。路由表中存放著所有需要到達(dá)不同網(wǎng)絡(luò)的數(shù)據(jù)包所應(yīng)該發(fā)往的下一個(gè)路由器的地址。對(duì)于移動(dòng)互聯(lián)而言，其移動(dòng)的特要求路由表中存放所有可能的路由途徑，而這個(gè)信息量是相當(dāng)龐大的。對(duì)于傳統(tǒng)路由器來說，沒有這么多的空間來存儲(chǔ)如此巨大的路由表。采用在移動(dòng)的瞬時(shí)完成更新路由表信息的方法來解決移動(dòng)互聯(lián)的路由問題不是一個(gè)可行的方案，只有在移動(dòng)的過程中不僅改變目前所用路徑路由器的路由表，而且更改下一個(gè)希望移動(dòng)的路徑中路由器的路由表，才有可能解決路由的難題。



　　在傳統(tǒng)的基于網(wǎng)絡(luò)地址匹配的數(shù)據(jù)包轉(zhuǎn)發(fā)機(jī)制中，當(dāng)一個(gè)數(shù)據(jù)包被發(fā)送時(shí)，路由器并不是把它發(fā)往所有的網(wǎng)段，而是發(fā)往與其目的網(wǎng)絡(luò)地址相同的子網(wǎng)。在這種機(jī)制下，一旦目的節(jié)點(diǎn)移動(dòng)到了另外一個(gè)子網(wǎng)中，而發(fā)出的數(shù)據(jù)包仍然會(huì)被傳送到以前的子網(wǎng)中，這樣就造成了數(shù)據(jù)包的丟失。為了解決這個(gè)技術(shù)難題，移動(dòng)互聯(lián)專門制定了相關(guān)標(biāo)準(zhǔn)和解決辦法。移動(dòng)互聯(lián)采用的辦法是，在子網(wǎng)內(nèi)部設(shè)置代理節(jié)點(diǎn)，當(dāng)有數(shù)據(jù)包發(fā)往這個(gè)子網(wǎng)內(nèi)的某個(gè)節(jié)點(diǎn)，而這個(gè)節(jié)點(diǎn)恰好正漫游到其他子網(wǎng)內(nèi)部時(shí)，代理節(jié)點(diǎn)把相應(yīng)的數(shù)據(jù)包接受下來。然后，這個(gè)代理節(jié)點(diǎn)把所接收到的數(shù)據(jù)包發(fā)送到目前相應(yīng)節(jié)點(diǎn)所在的子網(wǎng)中的接收代理，接收代理最后傳送給正在漫游的節(jié)點(diǎn)。一旦節(jié)點(diǎn)需要繼續(xù)移動(dòng)到新的子網(wǎng)時(shí)，就需要更新其初始位置所在子網(wǎng)內(nèi)代理節(jié)點(diǎn)中存放的轉(zhuǎn)發(fā)目的子網(wǎng)地址，從而使數(shù)據(jù)包能準(zhǔn)確地到達(dá)移動(dòng)的節(jié)點(diǎn)。而且在移動(dòng)的過程中發(fā)往節(jié)點(diǎn)的數(shù)據(jù)包，由移動(dòng)之前最后一次的接收代理節(jié)點(diǎn)負(fù)責(zé)發(fā)往新的子網(wǎng)代理節(jié)點(diǎn)。



　　三、移動(dòng)互聯(lián)的結(jié)構(gòu)



移動(dòng)互聯(lián)系統(tǒng)是由移動(dòng)主機(jī)和移動(dòng)代理兩部分來組成，其中移動(dòng)代理又可以分為家鄉(xiāng)代理和外地代理。每個(gè)移動(dòng)主機(jī)在“家鄉(xiāng)鏈路”上有一個(gè)唯一的“家鄉(xiāng)地址”。與移動(dòng)主機(jī)通信的主機(jī)被稱為“通信主機(jī)”，通信主機(jī)可以是移動(dòng)的，也可以是靜止的。通信主機(jī)與移動(dòng)主機(jī)通信時(shí)，通信主機(jī)總是把數(shù)據(jù)包發(fā)送到移動(dòng)主機(jī)的家鄉(xiāng)地址，而不考慮移動(dòng)主機(jī)的當(dāng)前位置情況。在家鄉(xiāng)鏈路上每個(gè)移動(dòng)主機(jī)必須有一個(gè)“家鄉(xiāng)代理”來為自己維護(hù)當(dāng)前位置信息。這個(gè)位置由“轉(zhuǎn)交地址”來確定，移動(dòng)主機(jī)的家鄉(xiāng)地址與它當(dāng)前轉(zhuǎn)交地址的聯(lián)合稱為“移動(dòng)綁定”，或簡稱為“綁定”。每當(dāng)一個(gè)移動(dòng)主機(jī)得到一個(gè)新的轉(zhuǎn)交地址時(shí)，它必須生成一個(gè)新的綁定來向家鄉(xiāng)代理注冊(cè)，以使家鄉(xiāng)代理即時(shí)了解移動(dòng)主機(jī)的當(dāng)前位置信息。一個(gè)家鄉(xiāng)代理可以同時(shí)為多個(gè)移動(dòng)主機(jī)提供服務(wù)。



　　當(dāng)一個(gè)移動(dòng)主機(jī)連接到家鄉(xiāng)鏈路之外的“外地鏈路”時(shí)，可以通過下述兩種方法來獲得轉(zhuǎn)交地址。通常情況下移動(dòng)主機(jī)使用“代理發(fā)現(xiàn)”協(xié)議在外地鏈路上發(fā)現(xiàn)一個(gè)“外地代理”，然后移動(dòng)主機(jī)向這個(gè)外地代理進(jìn)行注冊(cè)，并使用此外地代理的IP地址作為自己的轉(zhuǎn)交地址。外地代理的主要功能是為這個(gè)移動(dòng)主機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)包。另外移動(dòng)主機(jī)也可以通過其他方法（如DHCP）在外地鏈路上獲得一個(gè)臨時(shí)IP地址來作為自己的轉(zhuǎn)交地址，在這種情況下移動(dòng)主機(jī)可以作為自己的外地代理。當(dāng)移動(dòng)主機(jī)離開家鄉(xiāng)鏈路時(shí)，它的家鄉(xiāng)代理把發(fā)往移動(dòng)主機(jī)的所有數(shù)據(jù)包轉(zhuǎn)發(fā)到移動(dòng)主機(jī)的當(dāng)前位置。家鄉(xiāng)代理可以使用“代理ARP”或其他有效方法在家鄉(xiāng)鏈路上截獲發(fā)往移動(dòng)主機(jī)的數(shù)據(jù)包。對(duì)于每個(gè)截獲的數(shù)據(jù)包，家鄉(xiāng)代理使用隧道技術(shù)把它們發(fā)送到移動(dòng)主機(jī)的當(dāng)前轉(zhuǎn)交地址。如果轉(zhuǎn)交地址是外地代理的IP地址，那么這個(gè)外地代理是隧道的終端，此時(shí)外地代理從數(shù)據(jù)包中移走隧道報(bào)頭，并把剩余部分發(fā)送到移動(dòng)主機(jī)。如果移動(dòng)主機(jī)使用一個(gè)臨時(shí)地址作為轉(zhuǎn)交地址，那么數(shù)據(jù)包將直接通過隧道傳送到移動(dòng)主機(jī)。在一個(gè)網(wǎng)絡(luò)上，一臺(tái)路由器可以同時(shí)具有家鄉(xiāng)代理和外地代理的功能，也可以用兩臺(tái)或多臺(tái)路由器分別提供家鄉(xiāng)代理和外地代理服務(wù)。



　　四、移動(dòng)互聯(lián)的安全



　　在了解了移動(dòng)互聯(lián)的相關(guān)知識(shí)后，我們現(xiàn)在再來談?wù)勔苿?dòng)互聯(lián)的安全問題。目前，移動(dòng)互聯(lián)所面臨的、最緊迫最突出的問題是安全性問題，而且人們的大部分注意力都集中于使移動(dòng)互聯(lián)與Internet中使用的安全特征共存之上�，F(xiàn)在，移動(dòng)互聯(lián)系統(tǒng)中實(shí)施的安全技術(shù)主要有以下幾種：



　　1、代理服務(wù)器代理服務(wù)器是防火墻系統(tǒng)中的一個(gè)服務(wù)器進(jìn)程，它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/IP功能。一個(gè)代理服務(wù)器本質(zhì)上是一個(gè)應(yīng)用層的網(wǎng)關(guān)，一個(gè)為特定網(wǎng)絡(luò)應(yīng)用而連接兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。用戶就一項(xiàng)TCP/IP應(yīng)用，比如Telnet或者ftp，同代理服務(wù)器打交道，代理服務(wù)器要求用戶提供其要訪問的遠(yuǎn)程主機(jī)名。當(dāng)用戶答復(fù)并提供了正確的用戶身份及認(rèn)證信息后，代理服務(wù)器連通遠(yuǎn)程主機(jī)，為兩個(gè)通信點(diǎn)充當(dāng)中繼。整個(gè)過程可以對(duì)用戶完全透明。用戶提供的用戶身份及認(rèn)證信息可用于用戶級(jí)的認(rèn)證。最簡單的情況是:它只由用戶標(biāo)識(shí)和口令構(gòu)成。但是，如果防火墻是通過Internet可訪問的，就要使用更強(qiáng)的認(rèn)證機(jī)制，比如一次性口令或挑戰(zhàn)-回應(yīng)式系統(tǒng)。



　　2、路由器和過濾器這種結(jié)構(gòu)由路由器和過濾器共同完成對(duì)外界計(jì)算機(jī)訪問內(nèi)部網(wǎng)絡(luò)的限制，也可以指定或限制內(nèi)部網(wǎng)絡(luò)訪問ＩＮＴＥＲＮＥＴ。路由器只對(duì)過濾器上的特定端口上的數(shù)據(jù)通訊加以路由，過濾器的主要功能就是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過，依照ＩＰ（ＩＮＴＥＲＮＥＴ�。校遥希裕希茫希蹋┌�信息為基礎(chǔ)，根據(jù)ＩＰ源地址、ＩＰ目標(biāo)地址、封裝協(xié)議端口號(hào)，確定它是否允許該數(shù)據(jù)包通過。這種防火墻措施最大的優(yōu)點(diǎn)就是它對(duì)于用戶來說是透明的，也就是說不需要用戶輸入帳號(hào)和密碼來登錄，因此速度上要比代理服務(wù)器快，且不容易出現(xiàn)屏頸現(xiàn)象。然而其缺點(diǎn)也是很明顯的，就是沒有用戶的使用記錄，這樣我們就不能從訪問記錄中發(fā)現(xiàn)非法入侵的攻擊記錄。該技術(shù)的安全準(zhǔn)則非常靈活，運(yùn)行速度快，并且多數(shù)不依賴于應(yīng)用，可以作為一種廉價(jià)的防火墻解決方案。但是包過濾路由器很難正確配置，ACL經(jīng)常需要在沒有圖形用戶界面的條件下以較模糊的語法改寫，而其中的任何一點(diǎn)錯(cuò)誤都會(huì)成為專用網(wǎng)的弱點(diǎn)而受到非法攻擊。而且，經(jīng)常是沒有什么有效的方法來檢驗(yàn)一組ACL的正確性，對(duì)于網(wǎng)絡(luò)規(guī)模較大，要求靈活的場合，一的分組過濾式防火墻就不能很好的滿足要求了，可以通過代理服務(wù)器與IP分組過濾路由器的配合，偵測出可能是危險(xiǎn)的網(wǎng)絡(luò)連接，將所有授權(quán)的應(yīng)用服務(wù)連接轉(zhuǎn)向代理服務(wù)器，構(gòu)造出一個(gè)防火墻系統(tǒng)。



　　3、IP通道技術(shù)經(jīng)常會(huì)出現(xiàn)這種情況，一個(gè)大公司的兩個(gè)子公司相隔較遠(yuǎn)，通過Internet通信。這種情況下，可以采用IP通道技術(shù)來防止Internet上的黑客截取信息。從而在Internet上形成一個(gè)虛擬的企業(yè)網(wǎng)。例如，我們假設(shè)子網(wǎng)A中一主機(jī)（IP地址為X.X.X.X）欲向子網(wǎng)B中某主機(jī)（IP地址為Y.Y.Y.Y）發(fā)送報(bào)文，該報(bào)文經(jīng)過本網(wǎng)防火墻FW1（IP地址N.N.N.1）時(shí)，防火墻判斷該報(bào)文是否發(fā)往子網(wǎng)B，若是，則再增加一報(bào)頭，變成從此防火墻到子網(wǎng)B防火墻FW2（N.N.N.2）的IP報(bào)文，而將原IP地址封裝在數(shù)據(jù)區(qū)內(nèi)，同原數(shù)據(jù)一起加密后經(jīng)Internet發(fā)往FW2。FW2接收到報(bào)文后，若發(fā)現(xiàn)源IP地址是FW1的，則去掉附加報(bào)頭，解密，在本網(wǎng)上傳送。從Internet上看，就只是兩個(gè)防火墻的通信。即使黑客偽裝了從FW1發(fā)往FW2的報(bào)文，由于FW2在去掉報(bào)頭后不能解密，會(huì)拋棄報(bào)文。 　　4、網(wǎng)絡(luò)地址轉(zhuǎn)換器當(dāng)受保護(hù)網(wǎng)連到Internet上時(shí)，受保護(hù)網(wǎng)用戶若要訪問Internet，必須使用一個(gè)合法的IP地址。但由于合法Internet IP地址有限，而且受保護(hù)網(wǎng)絡(luò)往往有自己的一套IP地址規(guī)劃（非正式IP地址）。網(wǎng)絡(luò)地址轉(zhuǎn)換器就是在防火墻上裝一個(gè)合法IP地址集。當(dāng)內(nèi)部某一用戶要訪問Internet時(shí)，防火墻動(dòng)態(tài)地從地址集中選一個(gè)未分配的地址分配給該用戶，該用戶即可使用這個(gè)合法地址進(jìn)行通信。同時(shí)，對(duì)于內(nèi)部的某些服務(wù)器如Web服務(wù)器，網(wǎng)絡(luò)地址轉(zhuǎn)換器允許為其分配一個(gè)固定的合法地址。外部網(wǎng)絡(luò)的用戶就可通過防火墻來訪問內(nèi)部的服務(wù)器。這種技術(shù)既緩解了少量的IP地址和大量的主機(jī)之間的矛盾，又對(duì)外隱藏了內(nèi)部主機(jī)的IP地址，提高了安全性。



　　5、隔離域名服務(wù)器這種技術(shù)是通過防火墻將受保護(hù)網(wǎng)絡(luò)的域名服務(wù)器與外部網(wǎng)的域名服務(wù)器隔離，使外部網(wǎng)的域名服務(wù)器只能看到防火墻的IP地址，無法了解受保護(hù)網(wǎng)絡(luò)的具體情況，這樣可以保證受保護(hù)網(wǎng)絡(luò)的IP地址不被外部網(wǎng)絡(luò)知悉。



　　6、應(yīng)用層中繼為了更有效地抵制非法侵入，因特網(wǎng)的網(wǎng)絡(luò)管理員便采用更為嚴(yán)格的防火墻－－應(yīng)用層中繼。專用網(wǎng)中的一個(gè)主機(jī)與防火墻建立連接，將應(yīng)用層數(shù)據(jù)發(fā)送給防火墻，防火墻隨后用一個(gè)與最終目的地的新連接將應(yīng)用層數(shù)據(jù)中繼出去。應(yīng)用層中繼不僅可以理解數(shù)據(jù)報(bào)頭的信息，而且還能理解應(yīng)用信息內(nèi)容本身，可以支持更為復(fù)雜高級(jí)的安全策略。同時(shí)更容易配置，能夠?qū)�專用網(wǎng)內(nèi)的節(jié)點(diǎn)地址對(duì)公網(wǎng)隱藏起來，在設(shè)計(jì)時(shí)可以具有足夠的磁盤空間，有能力提供全部的審計(jì)和日志功能。但是應(yīng)用層中繼比包過濾路由器慢，而且不允許即使是合法的移動(dòng)用戶象普通連接到專用網(wǎng)的用戶那樣建立連接，同樣具有象包過濾路由器那樣的安全威脅，所以就需要在上面配置的基礎(chǔ)上加上密碼部分，這就是安全隧道防火墻技術(shù)。



　　7、基于IP的VPN技術(shù)單純依靠防火墻并不能解決Internet網(wǎng)絡(luò)級(jí)安全問題，可以用安全隧道防火墻在公共網(wǎng)上建立虛擬專用網(wǎng)VPN(Virtual Private Network)來增強(qiáng)其功能。利用IP安全協(xié)議可以建立穿越Internet的安全隧道，與以前的防火墻相結(jié)合，從而構(gòu)造出增強(qiáng)的VPN安全系統(tǒng)。在安全隧道一端，發(fā)方將IP數(shù)據(jù)分組加密封裝成IP安全數(shù)據(jù)分組(IP Sec packets)，封裝后的數(shù)據(jù)分組通過Internet傳輸?shù)剿淼赖牧硪欢撕�，收方把IP安全分組解密并恢復(fù)成原來的IP數(shù)據(jù)分組。IP安全數(shù)據(jù)分組的封裝模式有兩種：一種是整個(gè)IP分組被封裝在IP Sec分組中，稱為隧道模式；另一種是只將傳輸層數(shù)據(jù)封裝在IP Sec分組中，稱為傳輸方式。無論采用哪種封裝方式，IP安全分組的首部都是一個(gè)普通的IP分組首部。因此，這種安全機(jī)制不需要Internet中的其他路由設(shè)備的支持，并且也不影響原有的防火墻系統(tǒng)。IP安全分組的封裝可以在VPN的主機(jī)中執(zhí)行，也可以在VPN的安全網(wǎng)關(guān)中進(jìn)行。如果封裝在主機(jī)中完成，一般采用傳輸模式，這樣可以保證VPN中的各主機(jī)也以安全方式通信；當(dāng)封裝在VPN的安全網(wǎng)關(guān)中完成時(shí)，可以采用隧道模式，IP安全分組的源地址和目的地址將分別是發(fā)端和收端的安全網(wǎng)關(guān)地址，這樣可以防止黑客對(duì)VPN中的主機(jī)進(jìn)行通信量分析。



　　8、用戶身份驗(yàn)證技術(shù)移動(dòng)互聯(lián)還可以采用三種認(rèn)證擴(kuò)展：移動(dòng)主機(jī)－－主代理認(rèn)證擴(kuò)展、客代理－－主代理認(rèn)證擴(kuò)展、客代理－－主代理認(rèn)證擴(kuò)展。它們有相似的格式，只是類型不同。所有的等級(jí)請(qǐng)求和登記應(yīng)答中都要有移動(dòng)主機(jī)－－客代理認(rèn)證擴(kuò)展。認(rèn)證擴(kuò)展中的SPI域定義了用于認(rèn)證計(jì)算的安全性上下文,如認(rèn)證算法和模式、共享密鑰等。



　　移動(dòng)互聯(lián)技術(shù)還處于發(fā)展階段，安全問題是移動(dòng)互聯(lián)目前面臨的一大難題，應(yīng)用代理服務(wù)器與分組過濾路由器結(jié)合的防火墻將是未來防火墻技術(shù)的發(fā)展方向。



　摘自“賽迪網(wǎng)”