移動互聯(lián)的安全技術(shù)素描

相關(guān)專題: 無線

  大家知道,由于互聯(lián)網(wǎng)絡(luò)的共享性和開放性,互聯(lián)網(wǎng)絡(luò)的安全問題就成為人們非常關(guān)注的話題,當然移動互聯(lián)同樣也存在著安全方面的威脅,如何實現(xiàn)移動互聯(lián)時的信息安全就是本文要向大家介紹的內(nèi)容。為了能更好地理解移動互聯(lián)的安全問題,筆者認為大家有必要對移動互聯(lián)的概念、原理進行一個簡單的了解,下面我們就一起來看看這方面的內(nèi)容。



  一、移動互聯(lián)的概念



初識移動互聯(lián)時,總認為是一個很簡單的概念,不就是在各種移動環(huán)境中提供持續(xù)的網(wǎng)絡(luò)連接嗎?也許在這個概念的驅(qū)動下,您會想到目前帶有調(diào)制解調(diào)器的筆記本電腦就可以在有電話的各種環(huán)境下通過撥號上網(wǎng),然而這種通過電話撥號到當?shù)豂SP上來獲得DHCP動態(tài)分配的IP地址,從而實現(xiàn)網(wǎng)絡(luò)接入的方式并不是真正的移動互聯(lián),充其量只能稱為"游牧互聯(lián)"。真正的移動互聯(lián)應(yīng)該是擁有固定的IP地址,而且不論移動到什么地區(qū)或者通過什么方式連接到Internet上都是如此。這種意義上的移動互聯(lián)能使網(wǎng)絡(luò)應(yīng)用程序提供持續(xù)的服務(wù),即使是把正連接在網(wǎng)上的計算機的網(wǎng)線拔掉,無線接入能立即提供網(wǎng)絡(luò)連接,而IP依然是以前所用的地址,從而實現(xiàn)業(yè)務(wù)的無縫轉(zhuǎn)移。在實現(xiàn)移動互聯(lián)中,我們使用移動IP技術(shù)來解決移動節(jié)點和家鄉(xiāng)網(wǎng)絡(luò)之間的數(shù)據(jù)包的傳送問題。該技術(shù)使在不同網(wǎng)絡(luò)中漫游的移動主機可以獲得多個IP地址,并將其新IP地址告訴所有想和它通信的其他主機。移動IP協(xié)議中移動主機至少有兩個IP地址,一個稱為主地址(homeaddress),對于移動主機來說是固定不變的,唯一表示移動主機;另一個稱為轉(zhuǎn)交(臨時)地址(care-of address),它是當移動主機離開主網(wǎng)絡(luò)后為進行數(shù)據(jù)包轉(zhuǎn)發(fā)而獲得的臨時地址,用于路由搜索。



  對數(shù)據(jù)業(yè)務(wù)而言,移動互聯(lián)有兩種形式的移動性:一種是基于大區(qū)的慢速移動,即跨子網(wǎng)的移動;另一種是基于小區(qū)的高速移動,即在蜂窩系統(tǒng)中移動。這兩者對移動性管理的要求是有所區(qū)別的;另外移動多媒體通信與純粹的移動數(shù)據(jù)通信也不盡相同。



  二、移動互聯(lián)的原理



移動互聯(lián)帶給我們這樣一種認識:移動節(jié)點總是連接于其主網(wǎng)上。這構(gòu)成了位于某個IP地址的移動節(jié)點的可連通性的基礎(chǔ),該IP地址能按常規(guī)的方式與其完全資格的域名(FQDN)相聯(lián)系,這樣的描述理解起來很明了,但是要真正在技術(shù)上實現(xiàn)這個目標,還有許多問題需要解決,其中最棘手的就是關(guān)于IP路由的設(shè)置。所有的IP數(shù)據(jù)包要在網(wǎng)絡(luò)上正確地進行傳送,需要路由器來把它們從一個路由器準確地發(fā)送到另外一個路由器,每個路由器通過檢查IP數(shù)據(jù)包中的目的地址來決定發(fā)往的下一個路由器。路由表中存放著所有需要到達不同網(wǎng)絡(luò)的數(shù)據(jù)包所應(yīng)該發(fā)往的下一個路由器的地址。對于移動互聯(lián)而言,其移動的特要求路由表中存放所有可能的路由途徑,而這個信息量是相當龐大的。對于傳統(tǒng)路由器來說,沒有這么多的空間來存儲如此巨大的路由表。采用在移動的瞬時完成更新路由表信息的方法來解決移動互聯(lián)的路由問題不是一個可行的方案,只有在移動的過程中不僅改變目前所用路徑路由器的路由表,而且更改下一個希望移動的路徑中路由器的路由表,才有可能解決路由的難題。



  在傳統(tǒng)的基于網(wǎng)絡(luò)地址匹配的數(shù)據(jù)包轉(zhuǎn)發(fā)機制中,當一個數(shù)據(jù)包被發(fā)送時,路由器并不是把它發(fā)往所有的網(wǎng)段,而是發(fā)往與其目的網(wǎng)絡(luò)地址相同的子網(wǎng)。在這種機制下,一旦目的節(jié)點移動到了另外一個子網(wǎng)中,而發(fā)出的數(shù)據(jù)包仍然會被傳送到以前的子網(wǎng)中,這樣就造成了數(shù)據(jù)包的丟失。為了解決這個技術(shù)難題,移動互聯(lián)專門制定了相關(guān)標準和解決辦法。移動互聯(lián)采用的辦法是,在子網(wǎng)內(nèi)部設(shè)置代理節(jié)點,當有數(shù)據(jù)包發(fā)往這個子網(wǎng)內(nèi)的某個節(jié)點,而這個節(jié)點恰好正漫游到其他子網(wǎng)內(nèi)部時,代理節(jié)點把相應(yīng)的數(shù)據(jù)包接受下來。然后,這個代理節(jié)點把所接收到的數(shù)據(jù)包發(fā)送到目前相應(yīng)節(jié)點所在的子網(wǎng)中的接收代理,接收代理最后傳送給正在漫游的節(jié)點。一旦節(jié)點需要繼續(xù)移動到新的子網(wǎng)時,就需要更新其初始位置所在子網(wǎng)內(nèi)代理節(jié)點中存放的轉(zhuǎn)發(fā)目的子網(wǎng)地址,從而使數(shù)據(jù)包能準確地到達移動的節(jié)點。而且在移動的過程中發(fā)往節(jié)點的數(shù)據(jù)包,由移動之前最后一次的接收代理節(jié)點負責發(fā)往新的子網(wǎng)代理節(jié)點。



  三、移動互聯(lián)的結(jié)構(gòu)



移動互聯(lián)系統(tǒng)是由移動主機和移動代理兩部分來組成,其中移動代理又可以分為家鄉(xiāng)代理和外地代理。每個移動主機在“家鄉(xiāng)鏈路”上有一個唯一的“家鄉(xiāng)地址”。與移動主機通信的主機被稱為“通信主機”,通信主機可以是移動的,也可以是靜止的。通信主機與移動主機通信時,通信主機總是把數(shù)據(jù)包發(fā)送到移動主機的家鄉(xiāng)地址,而不考慮移動主機的當前位置情況。在家鄉(xiāng)鏈路上每個移動主機必須有一個“家鄉(xiāng)代理”來為自己維護當前位置信息。這個位置由“轉(zhuǎn)交地址”來確定,移動主機的家鄉(xiāng)地址與它當前轉(zhuǎn)交地址的聯(lián)合稱為“移動綁定”,或簡稱為“綁定”。每當一個移動主機得到一個新的轉(zhuǎn)交地址時,它必須生成一個新的綁定來向家鄉(xiāng)代理注冊,以使家鄉(xiāng)代理即時了解移動主機的當前位置信息。一個家鄉(xiāng)代理可以同時為多個移動主機提供服務(wù)。



  當一個移動主機連接到家鄉(xiāng)鏈路之外的“外地鏈路”時,可以通過下述兩種方法來獲得轉(zhuǎn)交地址。通常情況下移動主機使用“代理發(fā)現(xiàn)”協(xié)議在外地鏈路上發(fā)現(xiàn)一個“外地代理”,然后移動主機向這個外地代理進行注冊,并使用此外地代理的IP地址作為自己的轉(zhuǎn)交地址。外地代理的主要功能是為這個移動主機轉(zhuǎn)發(fā)數(shù)據(jù)包。另外移動主機也可以通過其他方法(如DHCP)在外地鏈路上獲得一個臨時IP地址來作為自己的轉(zhuǎn)交地址,在這種情況下移動主機可以作為自己的外地代理。當移動主機離開家鄉(xiāng)鏈路時,它的家鄉(xiāng)代理把發(fā)往移動主機的所有數(shù)據(jù)包轉(zhuǎn)發(fā)到移動主機的當前位置。家鄉(xiāng)代理可以使用“代理ARP”或其他有效方法在家鄉(xiāng)鏈路上截獲發(fā)往移動主機的數(shù)據(jù)包。對于每個截獲的數(shù)據(jù)包,家鄉(xiāng)代理使用隧道技術(shù)把它們發(fā)送到移動主機的當前轉(zhuǎn)交地址。如果轉(zhuǎn)交地址是外地代理的IP地址,那么這個外地代理是隧道的終端,此時外地代理從數(shù)據(jù)包中移走隧道報頭,并把剩余部分發(fā)送到移動主機。如果移動主機使用一個臨時地址作為轉(zhuǎn)交地址,那么數(shù)據(jù)包將直接通過隧道傳送到移動主機。在一個網(wǎng)絡(luò)上,一臺路由器可以同時具有家鄉(xiāng)代理和外地代理的功能,也可以用兩臺或多臺路由器分別提供家鄉(xiāng)代理和外地代理服務(wù)。



  四、移動互聯(lián)的安全



  在了解了移動互聯(lián)的相關(guān)知識后,我們現(xiàn)在再來談?wù)勔苿踊ヂ?lián)的安全問題。目前,移動互聯(lián)所面臨的、最緊迫最突出的問題是安全性問題,而且人們的大部分注意力都集中于使移動互聯(lián)與Internet中使用的安全特征共存之上。現(xiàn)在,移動互聯(lián)系統(tǒng)中實施的安全技術(shù)主要有以下幾種:



  1、代理服務(wù)器代理服務(wù)器是防火墻系統(tǒng)中的一個服務(wù)器進程,它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/IP功能。一個代理服務(wù)器本質(zhì)上是一個應(yīng)用層的網(wǎng)關(guān),一個為特定網(wǎng)絡(luò)應(yīng)用而連接兩個網(wǎng)絡(luò)的網(wǎng)關(guān)。用戶就一項TCP/IP應(yīng)用,比如Telnet或者ftp,同代理服務(wù)器打交道,代理服務(wù)器要求用戶提供其要訪問的遠程主機名。當用戶答復并提供了正確的用戶身份及認證信息后,代理服務(wù)器連通遠程主機,為兩個通信點充當中繼。整個過程可以對用戶完全透明。用戶提供的用戶身份及認證信息可用于用戶級的認證。最簡單的情況是:它只由用戶標識和口令構(gòu)成。但是,如果防火墻是通過Internet可訪問的,就要使用更強的認證機制,比如一次性口令或挑戰(zhàn)-回應(yīng)式系統(tǒng)。



  2、路由器和過濾器這種結(jié)構(gòu)由路由器和過濾器共同完成對外界計算機訪問內(nèi)部網(wǎng)絡(luò)的限制,也可以指定或限制內(nèi)部網(wǎng)絡(luò)訪問INTERNET。路由器只對過濾器上的特定端口上的數(shù)據(jù)通訊加以路由,過濾器的主要功能就是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過,依照IP(INTERNET PROTOCOL)包信息為基礎(chǔ),根據(jù)IP源地址、IP目標地址、封裝協(xié)議端口號,確定它是否允許該數(shù)據(jù)包通過。這種防火墻措施最大的優(yōu)點就是它對于用戶來說是透明的,也就是說不需要用戶輸入帳號和密碼來登錄,因此速度上要比代理服務(wù)器快,且不容易出現(xiàn)屏頸現(xiàn)象。然而其缺點也是很明顯的,就是沒有用戶的使用記錄,這樣我們就不能從訪問記錄中發(fā)現(xiàn)非法入侵的攻擊記錄。該技術(shù)的安全準則非常靈活,運行速度快,并且多數(shù)不依賴于應(yīng)用,可以作為一種廉價的防火墻解決方案。但是包過濾路由器很難正確配置,ACL經(jīng)常需要在沒有圖形用戶界面的條件下以較模糊的語法改寫,而其中的任何一點錯誤都會成為專用網(wǎng)的弱點而受到非法攻擊。而且,經(jīng)常是沒有什么有效的方法來檢驗一組ACL的正確性,對于網(wǎng)絡(luò)規(guī)模較大,要求靈活的場合,一的分組過濾式防火墻就不能很好的滿足要求了,可以通過代理服務(wù)器與IP分組過濾路由器的配合,偵測出可能是危險的網(wǎng)絡(luò)連接,將所有授權(quán)的應(yīng)用服務(wù)連接轉(zhuǎn)向代理服務(wù)器,構(gòu)造出一個防火墻系統(tǒng)。



  3、IP通道技術(shù)經(jīng)常會出現(xiàn)這種情況,一個大公司的兩個子公司相隔較遠,通過Internet通信。這種情況下,可以采用IP通道技術(shù)來防止Internet上的黑客截取信息。從而在Internet上形成一個虛擬的企業(yè)網(wǎng)。例如,我們假設(shè)子網(wǎng)A中一主機(IP地址為X.X.X.X)欲向子網(wǎng)B中某主機(IP地址為Y.Y.Y.Y)發(fā)送報文,該報文經(jīng)過本網(wǎng)防火墻FW1(IP地址N.N.N.1)時,防火墻判斷該報文是否發(fā)往子網(wǎng)B,若是,則再增加一報頭,變成從此防火墻到子網(wǎng)B防火墻FW2(N.N.N.2)的IP報文,而將原IP地址封裝在數(shù)據(jù)區(qū)內(nèi),同原數(shù)據(jù)一起加密后經(jīng)Internet發(fā)往FW2。FW2接收到報文后,若發(fā)現(xiàn)源IP地址是FW1的,則去掉附加報頭,解密,在本網(wǎng)上傳送。從Internet上看,就只是兩個防火墻的通信。即使黑客偽裝了從FW1發(fā)往FW2的報文,由于FW2在去掉報頭后不能解密,會拋棄報文。   4、網(wǎng)絡(luò)地址轉(zhuǎn)換器當受保護網(wǎng)連到Internet上時,受保護網(wǎng)用戶若要訪問Internet,必須使用一個合法的IP地址。但由于合法Internet IP地址有限,而且受保護網(wǎng)絡(luò)往往有自己的一套IP地址規(guī)劃(非正式IP地址)。網(wǎng)絡(luò)地址轉(zhuǎn)換器就是在防火墻上裝一個合法IP地址集。當內(nèi)部某一用戶要訪問Internet時,防火墻動態(tài)地從地址集中選一個未分配的地址分配給該用戶,該用戶即可使用這個合法地址進行通信。同時,對于內(nèi)部的某些服務(wù)器如Web服務(wù)器,網(wǎng)絡(luò)地址轉(zhuǎn)換器允許為其分配一個固定的合法地址。外部網(wǎng)絡(luò)的用戶就可通過防火墻來訪問內(nèi)部的服務(wù)器。這種技術(shù)既緩解了少量的IP地址和大量的主機之間的矛盾,又對外隱藏了內(nèi)部主機的IP地址,提高了安全性。



  5、隔離域名服務(wù)器這種技術(shù)是通過防火墻將受保護網(wǎng)絡(luò)的域名服務(wù)器與外部網(wǎng)的域名服務(wù)器隔離,使外部網(wǎng)的域名服務(wù)器只能看到防火墻的IP地址,無法了解受保護網(wǎng)絡(luò)的具體情況,這樣可以保證受保護網(wǎng)絡(luò)的IP地址不被外部網(wǎng)絡(luò)知悉。



  6、應(yīng)用層中繼為了更有效地抵制非法侵入,因特網(wǎng)的網(wǎng)絡(luò)管理員便采用更為嚴格的防火墻--應(yīng)用層中繼。專用網(wǎng)中的一個主機與防火墻建立連接,將應(yīng)用層數(shù)據(jù)發(fā)送給防火墻,防火墻隨后用一個與最終目的地的新連接將應(yīng)用層數(shù)據(jù)中繼出去。應(yīng)用層中繼不僅可以理解數(shù)據(jù)報頭的信息,而且還能理解應(yīng)用信息內(nèi)容本身,可以支持更為復雜高級的安全策略。同時更容易配置,能夠?qū)S镁W(wǎng)內(nèi)的節(jié)點地址對公網(wǎng)隱藏起來,在設(shè)計時可以具有足夠的磁盤空間,有能力提供全部的審計和日志功能。但是應(yīng)用層中繼比包過濾路由器慢,而且不允許即使是合法的移動用戶象普通連接到專用網(wǎng)的用戶那樣建立連接,同樣具有象包過濾路由器那樣的安全威脅,所以就需要在上面配置的基礎(chǔ)上加上密碼部分,這就是安全隧道防火墻技術(shù)。



  7、基于IP的VPN技術(shù)單純依靠防火墻并不能解決Internet網(wǎng)絡(luò)級安全問題,可以用安全隧道防火墻在公共網(wǎng)上建立虛擬專用網(wǎng)VPN(Virtual Private Network)來增強其功能。利用IP安全協(xié)議可以建立穿越Internet的安全隧道,與以前的防火墻相結(jié)合,從而構(gòu)造出增強的VPN安全系統(tǒng)。在安全隧道一端,發(fā)方將IP數(shù)據(jù)分組加密封裝成IP安全數(shù)據(jù)分組(IP Sec packets),封裝后的數(shù)據(jù)分組通過Internet傳輸?shù)剿淼赖牧硪欢撕,收方把IP安全分組解密并恢復成原來的IP數(shù)據(jù)分組。IP安全數(shù)據(jù)分組的封裝模式有兩種:一種是整個IP分組被封裝在IP Sec分組中,稱為隧道模式;另一種是只將傳輸層數(shù)據(jù)封裝在IP Sec分組中,稱為傳輸方式。無論采用哪種封裝方式,IP安全分組的首部都是一個普通的IP分組首部。因此,這種安全機制不需要Internet中的其他路由設(shè)備的支持,并且也不影響原有的防火墻系統(tǒng)。IP安全分組的封裝可以在VPN的主機中執(zhí)行,也可以在VPN的安全網(wǎng)關(guān)中進行。如果封裝在主機中完成,一般采用傳輸模式,這樣可以保證VPN中的各主機也以安全方式通信;當封裝在VPN的安全網(wǎng)關(guān)中完成時,可以采用隧道模式,IP安全分組的源地址和目的地址將分別是發(fā)端和收端的安全網(wǎng)關(guān)地址,這樣可以防止黑客對VPN中的主機進行通信量分析。



  8、用戶身份驗證技術(shù)移動互聯(lián)還可以采用三種認證擴展:移動主機--主代理認證擴展、客代理--主代理認證擴展、客代理--主代理認證擴展。它們有相似的格式,只是類型不同。所有的等級請求和登記應(yīng)答中都要有移動主機--客代理認證擴展。認證擴展中的SPI域定義了用于認證計算的安全性上下文,如認證算法和模式、共享密鑰等。



  移動互聯(lián)技術(shù)還處于發(fā)展階段,安全問題是移動互聯(lián)目前面臨的一大難題,應(yīng)用代理服務(wù)器與分組過濾路由器結(jié)合的防火墻將是未來防火墻技術(shù)的發(fā)展方向。



 摘自“賽迪網(wǎng)”      


   

微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號,免費領(lǐng)取以下5G精品資料
  • 1、回復“YD5GAI”免費領(lǐng)取《中國移動:5G網(wǎng)絡(luò)AI應(yīng)用典型場景技術(shù)解決方案白皮書
  • 2、回復“5G6G”免費領(lǐng)取《5G_6G毫米波測試技術(shù)白皮書-2022_03-21
  • 3、回復“YD6G”免費領(lǐng)取《中國移動:6G至簡無線接入網(wǎng)白皮書
  • 4、回復“LTBPS”免費領(lǐng)取《《中國聯(lián)通5G終端白皮書》
  • 5、回復“ZGDX”免費領(lǐng)取《中國電信5GNTN技術(shù)白皮書
  • 6、回復“TXSB”免費領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復“YDSL”免費領(lǐng)取《中國移動算力并網(wǎng)白皮書
  • 8、回復“5GX3”免費領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
  • 本周熱點本月熱點

     

      最熱通信招聘

      最新招聘信息