移動IP中的安全威脅及對策

相關(guān)專題: 無線

北方交通大學(xué) 高福令 陳福

  移動IP是目前唯一可以在Internet上為移動計算機提供無縫漫游的協(xié)議,它突破了計算機機房、電話插座和地域等的限制,使人們能夠隨時、隨地、更加靈活地訪問互聯(lián)網(wǎng)、企業(yè)局域網(wǎng)(LAN)等,以便及時獲得所需信息和進行商務(wù)活動。但移動IP通信既經(jīng)過了無線鏈路,又通過了有線鏈路,增加了受外來攻擊的概率。因此人們在享受豐富的信息資源和便捷服務(wù)的同時,也面臨更大的網(wǎng)絡(luò)信息安全方面的威脅,這些威脅的種類很多,概括起來可以歸納為三個類別:拒絕服務(wù)攻擊、未授權(quán)訪問和冒充,通過分析這些威脅,找出相應(yīng)對策,可以避免或減少損失。

移動IP技術(shù)

  移動IP協(xié)議(RFC2002)定義了移動節(jié)點(Mobile Node)、本地代理(Home Agent)和外地代理(Foreign Agent)三種功能實體。移動節(jié)點是一臺主機,也可以是移動網(wǎng)絡(luò)中的一臺路由器,它在切換鏈路時不改變IP地址,也不中斷正在進行的通信。每個移動節(jié)點有兩個地址:本地地址和轉(zhuǎn)交地址(Care-of-Address)。本地地址是移動節(jié)點的IP地址,當(dāng)移動節(jié)點在互聯(lián)網(wǎng)上移動時,它的本地地址是不變的;轉(zhuǎn)交地址是連接本地代理和移動節(jié)點的隧道的出口,當(dāng)移動節(jié)點切換到外地鏈路時,轉(zhuǎn)交地址也隨之而改變。本地代理和外地代理分別是連接移動節(jié)點的本地網(wǎng)絡(luò)和外地網(wǎng)絡(luò)的主機或路由器。

  移動IP的三個基本功能是:

* 代理搜索:移動節(jié)點通過代理搜索確定它的當(dāng)前位置,并獲得一個轉(zhuǎn)交地址。

* 注冊:通過這個過程,移動節(jié)點向外地代理請求服務(wù),并把它的轉(zhuǎn)交地址通知本地代理。

* 數(shù)據(jù)轉(zhuǎn)發(fā):當(dāng)移動節(jié)點連接在外地網(wǎng)絡(luò)上時,為它發(fā)出的或發(fā)往它的數(shù)據(jù)進行路由選擇。

  1)移動節(jié)點通過發(fā)送代理請求或通過接收本地代理和外地代理發(fā)送的代理廣播信息確定自己是連在本地網(wǎng)絡(luò)還是外地網(wǎng)絡(luò)上。如果是連在本地網(wǎng)絡(luò)上,移動節(jié)點就可像固定節(jié)點一樣工作,即它不再利用移動IP的其它功能;

  2)如果移動節(jié)點連在外地網(wǎng)絡(luò)上,它就從外地代理廣播的代理廣播信息中找到外地代理的轉(zhuǎn)交地址,同時向本地代理注冊得到的轉(zhuǎn)交地址,途中可能經(jīng)過外地代理。本地代理通過向移動節(jié)點發(fā)一條注冊應(yīng)答信息來通知對它的請求的處理——接收或拒絕;

  3)注冊完成后,本地代理截獲發(fā)往移動節(jié)點的數(shù)據(jù)分組,封裝后通過隧道將數(shù)據(jù)分組送到移動節(jié)點的轉(zhuǎn)交地址。在那里數(shù)據(jù)分組被從隧道中取出,送往移動節(jié)點;

  4)相反,由移動節(jié)點發(fā)出的數(shù)據(jù)分組通過標(biāo)準(zhǔn)的路由選擇技術(shù)直接發(fā)送到目的節(jié)點而無需隧道技術(shù)。對移動節(jié)點的數(shù)據(jù)分組來說,外地代理完成默認(rèn)路由器的功能。

  威脅的種類和對策

  根據(jù)以上移動IP工作的機制,下面便可分析移動IP中存在的各種安全威脅和對策。

  1 拒絕服務(wù)攻擊和對策

  拒絕服務(wù)(DoS:Denial of Service)是指服務(wù)的中斷,中斷原因可能是系統(tǒng)被毀壞或暫時性不可用,如摧毀計算機硬盤、物理設(shè)備和耗盡所有可用內(nèi)存。在移動IP中具體的攻擊形式為:

  (1)黑客向本地代理發(fā)出偽造的注冊請求,把自己的IP地址當(dāng)作移動節(jié)點的轉(zhuǎn)交地址,在注冊成功后,本地代理將根據(jù)黑客注冊的轉(zhuǎn)交地址,把目的地址是移動節(jié)點的數(shù)據(jù)分組通過隧道送給黑客,黑客得到應(yīng)送給移動節(jié)點的數(shù)據(jù),而真正的移動節(jié)點卻被拒絕服務(wù),因此再也收不到任何數(shù)據(jù)。

  對付這種攻擊的有效方法是:對移動節(jié)點和本地代理之間交換的所有注冊信息進行有效的驗證。移動節(jié)點與本地代理共享密鑰,移動節(jié)點采用Keyed MD5(Message Digest 5)算法,計算注冊請求信息和共享密鑰的信息摘要,得到定長為16字節(jié)的信息摘要,移動節(jié)點把信息摘要放入注冊請求信息的移動-本地認(rèn)證擴展的認(rèn)證域中,組成一個具有認(rèn)證和完整性檢查功能的注冊請求信息。當(dāng)此信息到達本地代理后,本地代理利用和移動節(jié)點共享的密鑰計算信息得到信息摘要,把它與信息認(rèn)證域中的信息摘要比較,如果相等,則說明是真正移動節(jié)點發(fā)出的注冊請求,并且這個請求在傳送過程中沒有被篡改;如果不相等,則丟棄這個數(shù)據(jù)分組。本地代理向移動節(jié)點回送的注冊應(yīng)答信息同樣采用信息摘要的方法。

  (2)黑客以(TCP連接請求)數(shù)據(jù)分組不斷“轟炸”服務(wù)器,服務(wù)器不得不處理這些請求,并為每一個請求分配一塊內(nèi)存和其他資源,服務(wù)器的CPU忙于處理這些無用的數(shù)據(jù)分組或耗盡內(nèi)存,而無法響應(yīng)其它有用信息。因為目前的單播數(shù)據(jù)分組的路由只依賴于目的地址,并不一定要查看源地址,因此黑客將數(shù)據(jù)分組的源地址設(shè)置成一個不存在的地址或一個合法的地址來欺騙,使得合法的移動節(jié)點被拒絕服務(wù)。

  到目前為止,還沒有較好的技術(shù)方法解決這類攻擊,但“包過濾技術(shù)”(IP Filtering or packet filtering)可以減輕它的威脅。包過濾技術(shù)原理在于監(jiān)視并過濾網(wǎng)絡(luò)上流入流出的IP包,拒絕發(fā)送可疑的包。路由器設(shè)置包過濾技術(shù):如果有一個數(shù)據(jù)分組進入路由器后,路由器發(fā)現(xiàn)通常到達該數(shù)據(jù)分組源地址所屬網(wǎng)絡(luò)端口地址與其進入的端口不相符,則懷疑該源地址是假冒的,于是將該數(shù)據(jù)分組丟棄。但黑客可以繼續(xù)假冒網(wǎng)絡(luò)中的某個IP地址,發(fā)起攻擊。如果所有的ISP都設(shè)置包過濾技術(shù),就可以把這種攻擊的數(shù)據(jù)分組封鎖在其發(fā)起地,而不會秧及外面的網(wǎng)絡(luò)。但包過濾技術(shù)也嚴(yán)重影響到了位于外地鏈路上的移動節(jié)點發(fā)出的數(shù)據(jù)分組,因為一個連接在外地鏈路上的移動節(jié)點發(fā)出的數(shù)據(jù)分組以本地地址為源地址,而路由器認(rèn)為該地址應(yīng)位于移動節(jié)點的本地鏈路上,因此將其丟棄。采用反向隧道技術(shù)可以解決包過濾技術(shù)給移動IP帶來的這個問題。當(dāng)移動節(jié)點注冊時,可以申請反向隧道服務(wù),將自己產(chǎn)生的數(shù)據(jù)分組加以隧道封裝后再送到本地代理,根據(jù)移動節(jié)點采用的是外地轉(zhuǎn)交地址還是配置轉(zhuǎn)交地址,封裝工作可以由外地代理或移動節(jié)點完成。封裝后的數(shù)據(jù)分組的源地址和目的地址在拓?fù)渖隙际钦_的,不會被過濾機制丟棄。

  2 假冒

  假冒與未授權(quán)訪問有密切的關(guān)系,假冒是指通過出示偽造的憑證來冒充別的事物或別人的能力,可以通過包欺騙和重發(fā)攻擊產(chǎn)生假冒。重發(fā)攻擊就是一種假冒攻擊,它利用身份驗證機制中的漏洞先把信息記錄下來,然后再發(fā)送出去。通常在竊聽他人的數(shù)據(jù)分組后,會發(fā)生重發(fā)攻擊,在移動IP中,最常用的重發(fā)攻擊是,黑客通過竊取會話,截獲數(shù)據(jù)分組,把一個有效的注冊請求信息儲存起來,然后向移動節(jié)點發(fā)送大量無用的數(shù)據(jù)分組,占用移動節(jié)點CPU的全部時間,再利用存儲的有效注冊請求信息向代理服務(wù)器注冊偽造的轉(zhuǎn)交地址。

  為了防止這種重發(fā)攻擊的發(fā)生,移動節(jié)點為每一個注冊信息標(biāo)識域產(chǎn)生一個唯一值,這個值使本地代理能夠知道下一次注冊請求的值是多少。移動IP共定義了兩種標(biāo)識域的填寫方法,第一種是利用時間標(biāo)簽,移動節(jié)點將當(dāng)前的日期和時間寫進標(biāo)識域,移動節(jié)點產(chǎn)生的這種標(biāo)識域必須在本地代理允許的時間誤差范圍之內(nèi),否則本地代理將拒絕請求,并向移動節(jié)點提供同步時鐘的信息。第二種采用Nonce,移動節(jié)點規(guī)定了本地代理發(fā)送的下一個注冊應(yīng)答信息標(biāo)識域的低半部分中設(shè)置的值,本地代理也規(guī)定了移動節(jié)點發(fā)送的下一個注冊請求信息標(biāo)識域的高半部分中設(shè)置的值,如果任一方在收到的信息的標(biāo)識域中的值與期望的不匹配,則將此信息丟棄。此措施使黑客存儲的注冊請求成為過時的信息,不被本地代理和移動節(jié)點理睬。

  3 未授權(quán)訪問

  未授權(quán)訪問是指未經(jīng)授權(quán)的實體獲得了訪問網(wǎng)絡(luò)的資格,并有可能篡改資源的情況。未授權(quán)訪問一般是在不安全的傳輸通道上截取正在傳輸?shù)男畔⒒蛘呃脜f(xié)議或網(wǎng)絡(luò)的弱點來實現(xiàn)的。網(wǎng)絡(luò)上的數(shù)據(jù)分組是否被竊聽主要取決于采用的技術(shù),介質(zhì)共享的網(wǎng)絡(luò)最容易被竊聽。而移動IP正是這樣一種網(wǎng)絡(luò),其中的無線鏈路是非常脆弱的,為得到鏈路上傳送的信息,黑客并不需要物理地連接到網(wǎng)絡(luò)上,目前市場上可以用于竊聽的設(shè)備和程序是很多的。例如可利用SNMP協(xié)議、TraceRoute程序、Whois協(xié)議和Finger協(xié)議等獲得有關(guān)信息。

  對于這種攻擊,可以采用鏈路加密、節(jié)點對節(jié)點加密和端對端加密等方式處理,但本文認(rèn)為最好的方法是采用端到端加密。端到端加密是指在通信的源對數(shù)據(jù)加密,在目的地對數(shù)據(jù)解密,中間鏈路上傳輸?shù)娜敲芪。此方法的?yōu)點主要有:

* 不論鏈路是有線還是無線,在網(wǎng)絡(luò)的任一點上,數(shù)據(jù)均得到保護,其它方法只能對網(wǎng)絡(luò)的一部分有效。

* 只在目的地對數(shù)據(jù)解密,既保證了安全性,又降低了傳輸時延。

* 通過公網(wǎng)訪問專網(wǎng)不會降低專網(wǎng)里數(shù)據(jù)的安全性。

  ESP(Encapsulting Security Payload,封裝安全凈荷)協(xié)議提供了端到端的加密功能,它不僅對應(yīng)用層數(shù)據(jù)和協(xié)議報頭加密,也對傳輸層報頭加密,并能提供驗證和完整性檢查。其它端到端加密協(xié)議還有SSH(Secure remote SHell,遠程安全外殼)、SCP(Secure remote file Copy,遠程文件安全拷貝)和SSL(Secure Sockets Layer,安全套接層)。

  4 其它攻擊

  移動節(jié)點和網(wǎng)絡(luò)本身對來自“內(nèi)部的攻擊”是非常脆弱的,其它網(wǎng)絡(luò)亦如此。據(jù)美國聯(lián)邦調(diào)查局的報告,計算機犯罪每年造成的經(jīng)濟損失高達50億美元,而這些犯罪中的三分之二來自內(nèi)部攻擊。這些攻擊一般與員工素質(zhì)有關(guān),對待這種攻擊的對策如下:

(1)對用戶和計算機采取嚴(yán)格的驗證,取消用戶名/口令的明碼傳輸。

(2)對計算機間傳送的數(shù)據(jù)采用端到端加密。

(3)對各部門的數(shù)據(jù)訪問采用嚴(yán)格的等級限制。

  另一種攻擊是黑客利用內(nèi)部的管理不善,突破網(wǎng)絡(luò)的物理安全機制,建立到達網(wǎng)絡(luò)的一條物理連接,如偷偷溜進一間會議室,將計算機連接到一個網(wǎng)絡(luò)插座上,通過監(jiān)聽移動IP的代理廣播信息和各節(jié)點的數(shù)據(jù)分組,推測出鏈路的網(wǎng)絡(luò)前綴,并欺騙服務(wù)器而有可能獲得一個 IP地址,攻擊其它主機等。對于此類攻擊,可采用以下措施:

(1)所有公共的網(wǎng)絡(luò)接口,如會議室內(nèi)的接口應(yīng)設(shè)置為連接到外地代理上,把外地代理配置成實現(xiàn)與其代理廣播信息中R比特有關(guān)的策略,并拒絕為鏈路上沒有在本地代理注冊的節(jié)點路由數(shù)據(jù)分組。

(2)將所有可能被竊聽的鏈路節(jié)點全部移走,不論是移動的還是非移動的。

(3)加強機房管理、運行管理、安全組織和人事管理。

  總結(jié)

  總之,黑客的攻擊是多種多樣的,并不僅限于以上形式和手段,有些是預(yù)料不到的,因此在組建、應(yīng)用網(wǎng)絡(luò)時要進行風(fēng)險管理,根據(jù)風(fēng)險評估,確定風(fēng)險緩解和安全成本,制定安全策略,避免安全威脅造成的損失或減少損失。

摘自《通訊世界》


微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號,免費領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費領(lǐng)取《中國移動:5G網(wǎng)絡(luò)AI應(yīng)用典型場景技術(shù)解決方案白皮書
  • 2、回復(fù)“5G6G”免費領(lǐng)取《5G_6G毫米波測試技術(shù)白皮書-2022_03-21
  • 3、回復(fù)“YD6G”免費領(lǐng)取《中國移動:6G至簡無線接入網(wǎng)白皮書
  • 4、回復(fù)“LTBPS”免費領(lǐng)取《《中國聯(lián)通5G終端白皮書》
  • 5、回復(fù)“ZGDX”免費領(lǐng)取《中國電信5GNTN技術(shù)白皮書
  • 6、回復(fù)“TXSB”免費領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費領(lǐng)取《中國移動算力并網(wǎng)白皮書
  • 8、回復(fù)“5GX3”免費領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
  • 本周熱點本月熱點

     

      最熱通信招聘

    業(yè)界最新資訊


      最新招聘信息