移動(dòng)IPv6安全問(wèn)題分析

摘要　移動(dòng)IPv6協(xié)議作為下一代互聯(lián)網(wǎng)解決移動(dòng)通信的基本理論，為解決“三角路由”問(wèn)題和更好的支持節(jié)點(diǎn)移動(dòng)，定義了一些控制信令和新的移動(dòng)擴(kuò)展頭，但同時(shí)也帶來(lái)了新的安全威脅，為此提出了一些安全策略來(lái)保護(hù)控制信令。本文探討了移動(dòng)IPv6協(xié)議主要面臨的安全威脅，分析了通過(guò)IPSec安全聯(lián)盟來(lái)保護(hù)移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理之間的控制信令以及RR協(xié)議來(lái)保護(hù)移動(dòng)節(jié)點(diǎn)和通信節(jié)點(diǎn)之間的控制信令的安全策略。

關(guān)鍵詞　移動(dòng)IPv6　移動(dòng)節(jié)點(diǎn)　家鄉(xiāng)代理　通信節(jié)點(diǎn)

1、引言

　　隨著因特網(wǎng)和移動(dòng)通信的逐步融合，人們也期待能夠突破時(shí)間和空間的限制隨時(shí)隨地接入因特網(wǎng)。但是按照基本IP協(xié)議進(jìn)行報(bào)文路由，一旦通信節(jié)點(diǎn)在改變了其網(wǎng)絡(luò)接入點(diǎn)以后，如果不重新配置其IP地址，那么它就不能繼續(xù)與網(wǎng)上的其它節(jié)點(diǎn)進(jìn)行通信，因此需要引入一種路由機(jī)制使移動(dòng)節(jié)點(diǎn)可以以一個(gè)永久的IP地址連接到任何鏈路上。移動(dòng)IPv6協(xié)議的提出則可以解決上述問(wèn)題。移動(dòng)IPv6協(xié)議作為下一代互聯(lián)網(wǎng)IPv6協(xié)議的基本組成部分，它建立在IPv6的體系結(jié)構(gòu)上，利用了IPv6的一些特性來(lái)支持節(jié)點(diǎn)的移動(dòng)，并且引入了一些控制報(bào)文來(lái)實(shí)現(xiàn)路由優(yōu)化。本文著重研究移動(dòng)IPv6協(xié)議中的控制信令報(bào)文，分析此類(lèi)報(bào)文對(duì)移動(dòng)節(jié)點(diǎn)、通信節(jié)點(diǎn)以及家鄉(xiāng)代理所造成的安全威脅，以及移動(dòng)IPv6協(xié)議所采取的一些安全機(jī)制。

2、移動(dòng)IPv6協(xié)議介紹

　　移動(dòng)IPv6協(xié)議中定義了三種操作實(shí)體：移動(dòng)節(jié)點(diǎn)(Mobile Node，MN)、通信節(jié)點(diǎn)(Correspondence Node，CN)和家鄉(xiāng)代理(Home Agent，HA)。在移動(dòng)IPv6協(xié)議中并沒(méi)有定義外地代理。因?yàn)楣?jié)點(diǎn)移動(dòng)到外地鏈路可以通過(guò)IPv6基本協(xié)議的鄰居發(fā)現(xiàn)(Neighbor Discovery)協(xié)議判定自己網(wǎng)絡(luò)鏈路的變化情況，同時(shí)通過(guò)有狀態(tài)或者無(wú)狀態(tài)的自動(dòng)地址分配機(jī)制得到外地鏈路上的轉(zhuǎn)交地址。

　　如圖1所示。移動(dòng)IPv6提供兩種基本的通信模式，即雙向隧道機(jī)制和路由優(yōu)化。雙向隧道機(jī)制是指在移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理之間建立隧道。通信節(jié)點(diǎn)發(fā)給移動(dòng)節(jié)點(diǎn)的報(bào)文，首先路由到家鄉(xiāng)代理，家鄉(xiāng)代理通過(guò)代理鄰居發(fā)現(xiàn)機(jī)制截獲該報(bào)文，并且采用IPv6封裝格式通過(guò)隧道轉(zhuǎn)發(fā)到移動(dòng)節(jié)點(diǎn)；移動(dòng)節(jié)點(diǎn)發(fā)往通信節(jié)點(diǎn)的報(bào)文則采用反向隧道先路由到家鄉(xiāng)代理，然后按照正常的路由機(jī)制轉(zhuǎn)發(fā)到通信節(jié)點(diǎn)。另一種通信模式是路由優(yōu)化，移動(dòng)節(jié)點(diǎn)和通信節(jié)點(diǎn)直接通過(guò)轉(zhuǎn)交地址進(jìn)行報(bào)文交互。

圖1　移動(dòng)IPv6的兩種通信場(chǎng)景

　　與移動(dòng)IPv4協(xié)議相比，移動(dòng)IPv6協(xié)議引入下述增強(qiáng)特性來(lái)更好地支持節(jié)點(diǎn)的移動(dòng)：

　　(1)在協(xié)議設(shè)計(jì)中沒(méi)有引入外地代理，而是通過(guò)IPv6基本協(xié)議的鄰居發(fā)現(xiàn)和地址自動(dòng)分配(有狀態(tài)或無(wú)狀態(tài))機(jī)制來(lái)實(shí)現(xiàn)外地代理的功能。

　　(2)路由優(yōu)化成為協(xié)議的基本組成部分。移動(dòng)IPv6協(xié)議定義四種消息(Home Test Init，Care-of-Address，Home Test和Care-of Test)和RR(Return Routability)協(xié)議，來(lái)確保通信節(jié)點(diǎn)只接收通過(guò)授權(quán)認(rèn)證的移動(dòng)節(jié)點(diǎn)發(fā)送的地址綁定更新報(bào)文，并且建立移動(dòng)節(jié)點(diǎn)家鄉(xiāng)地址和轉(zhuǎn)交地址對(duì)應(yīng)表項(xiàng)，用于直接與移動(dòng)節(jié)點(diǎn)通信。

　　(3)具有更高的安全性。移動(dòng)IPv6協(xié)議繼承了IPv6基本協(xié)議的IPSec部分，它能夠通過(guò)認(rèn)證頭(Authentication Header，AH)提供數(shù)據(jù)源身份認(rèn)證，通過(guò)安全載荷封裝(Encapsulation Security Payload，ESP)提供數(shù)據(jù)的保密性和完整性，增強(qiáng)對(duì)協(xié)議控制報(bào)文和數(shù)據(jù)流的保護(hù)。

　　(4)支持路由優(yōu)化和“入口過(guò)濾”相融合。在移動(dòng)IPv6協(xié)議中定義了兩類(lèi)新的移動(dòng)擴(kuò)展頭，家鄉(xiāng)地址選項(xiàng)頭(Home Address Option)和類(lèi)型2的路由頭(Type 2 Routing Header)，因而可以將轉(zhuǎn)交地址作為報(bào)文的源地址進(jìn)行通信，而不用擔(dān)心正常的通信報(bào)文會(huì)被配置了“入口過(guò)濾”(Ingress filter)的路由器丟棄。在通信中，由MN發(fā)送到HA的報(bào)文，源地址使用MN的轉(zhuǎn)交地址，在家鄉(xiāng)地址選項(xiàng)擴(kuò)展頭域填寫(xiě)MN的家鄉(xiāng)地址；由CN直接發(fā)送到MN的報(bào)文，目的地址使用MN的轉(zhuǎn)交地址，在類(lèi)型2路由擴(kuò)展頭域填寫(xiě)MN的家鄉(xiāng)地址。

　　(5)在移動(dòng)節(jié)點(diǎn)和當(dāng)前拜訪地網(wǎng)絡(luò)網(wǎng)關(guān)之間提供了對(duì)稱的可達(dá)性檢測(cè)機(jī)制，能夠使得網(wǎng)關(guān)感知到移動(dòng)節(jié)點(diǎn)的移動(dòng)。

　　(6)定義動(dòng)態(tài)家鄉(xiāng)代理發(fā)現(xiàn)和移動(dòng)網(wǎng)絡(luò)前綴信息自動(dòng)獲得機(jī)制。移動(dòng)節(jié)點(diǎn)發(fā)送MPS(Mobile Prefix Solicitation)消息，由家鄉(xiāng)代理響應(yīng)MPA(Mobile Prefix Advertisement)消息，來(lái)獲得家鄉(xiāng)鏈路的網(wǎng)絡(luò)前綴。通過(guò)上述機(jī)制，能夠確保移動(dòng)節(jié)點(diǎn)在發(fā)生下述情況時(shí)繼續(xù)與網(wǎng)上的其它節(jié)點(diǎn)通信：

　　●原有的家鄉(xiāng)代理發(fā)生故障，能夠備選出一個(gè)家鄉(xiāng)鏈路上的路由器作為替代的家鄉(xiāng)代理；

　　●家鄉(xiāng)鏈路的網(wǎng)絡(luò)前綴發(fā)生變化，可以實(shí)現(xiàn)移動(dòng)節(jié)點(diǎn)家鄉(xiāng)地址的自動(dòng)更改。

3、移動(dòng)IPv6面臨的主要安全問(wèn)題

　　移動(dòng)IPv6協(xié)議通過(guò)定義移動(dòng)節(jié)點(diǎn)、家鄉(xiāng)代理和通信節(jié)點(diǎn)之間的控制信令，實(shí)現(xiàn)“三角路由”的優(yōu)化，同時(shí)也引入了新的安全威脅。如果攻擊者在移動(dòng)節(jié)點(diǎn)、通訊節(jié)點(diǎn)的鏈路上或者是在發(fā)送數(shù)據(jù)包路徑的鏈路上截獲相關(guān)的控制報(bào)文，那么它就能夠輕易的進(jìn)行攻擊。目前。移動(dòng)IPv6可能遭受的攻擊主要包括拒絕服務(wù)攻擊、重放攻擊以及信息竊取攻擊三大類(lèi)。

　　3.1　拒絕服務(wù)攻擊(DoS)

　　拒絕服務(wù)攻擊是指一個(gè)攻擊者為阻止合法用戶的正常工作而采取的攻擊。這種攻擊主要包括兩種方式：一種是通過(guò)向服務(wù)器或主機(jī)發(fā)送大量數(shù)據(jù)包，使得主機(jī)忙于處理這些無(wú)用的數(shù)據(jù)包而無(wú)法響應(yīng)有用的數(shù)據(jù)包；另一種是直接干擾正常通信。在移動(dòng)IPv6中攻擊者可以通過(guò)如下的攻擊方式達(dá)到上述目的：

　　(1)發(fā)送大量的地址綁定更新消息來(lái)消耗家鄉(xiāng)代理和通信節(jié)點(diǎn)的資源，如CPU、內(nèi)存資源。從而導(dǎo)致綁定Cache表溢出或者是無(wú)法及時(shí)處理真正的綁定更新報(bào)文。

　　(2)冒充移動(dòng)節(jié)點(diǎn)的身份向家鄉(xiāng)代理或是通信節(jié)點(diǎn)發(fā)送含有偽造轉(zhuǎn)交地址的綁定更新報(bào)文，從而截獲后續(xù)的數(shù)據(jù)包，或者是將通信流量重定向到第三方節(jié)點(diǎn)，導(dǎo)致分布式的DoS攻擊。

　　(3)在移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理通信路徑上的攻擊者可以通過(guò)篡改Home Address Option域值，將通信節(jié)點(diǎn)的流量重定向到其它第三方節(jié)點(diǎn)(包括攻擊者自己)。

　　(4)在移動(dòng)節(jié)點(diǎn)和通信節(jié)點(diǎn)通信路徑上的攻擊者可以通過(guò)篡改Routing Header域值，將通信節(jié)點(diǎn)的流量重定向到其它第三方節(jié)點(diǎn)(包括攻擊者自己)。

　　(5)在移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理通信路徑上的攻擊者可以通過(guò)篡改MPA(Mobile Prefix Advertisement)消息的前綴信息來(lái)阻止移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理和通信節(jié)點(diǎn)之間的正常通信。

　　3.2　重放攻擊

　　重放攻擊是指攻擊者將一個(gè)有效的注冊(cè)請(qǐng)求消息保存起來(lái)，等待一段時(shí)間后再重新發(fā)送這個(gè)消息來(lái)注冊(cè)一個(gè)偽造的轉(zhuǎn)交地址，從而達(dá)到攻擊的目的。在移動(dòng)節(jié)點(diǎn)和通信節(jié)點(diǎn)通信路徑上的攻擊者可以通過(guò)這種方式將數(shù)據(jù)流重定向到第三方實(shí)體。

　　3.3　信息竊取攻擊

　　信息竊取可以分為被動(dòng)監(jiān)聽(tīng)和主動(dòng)會(huì)話截取。

　　(1)被動(dòng)的監(jiān)聽(tīng)

　　移動(dòng)IPv6可以使用包括無(wú)線鏈路在內(nèi)的多種傳輸媒介。由于無(wú)線鏈路的信道特性，攻擊者可以不需要物理地連接到網(wǎng)絡(luò)上就可以進(jìn)行偵聽(tīng)，而對(duì)于有線鏈路，未經(jīng)授權(quán)的用戶也可能通過(guò)某些手段設(shè)法接入網(wǎng)絡(luò)進(jìn)行偵聽(tīng)。對(duì)于此類(lèi)的攻擊最好的解決辦法就是在通信雙方實(shí)現(xiàn)端到端的加密。

　　(2)會(huì)話竊取

　　會(huì)話竊取攻擊是指一個(gè)攻擊者等待合法的用戶認(rèn)證完成并且開(kāi)始進(jìn)行會(huì)話后，通過(guò)假扮合法節(jié)點(diǎn)來(lái)竊取會(huì)話的攻擊。在移動(dòng)IPv6中，當(dāng)移動(dòng)節(jié)點(diǎn)向它的家鄉(xiāng)代理注冊(cè)后，攻擊者先偵聽(tīng)移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理之間的會(huì)話，當(dāng)發(fā)現(xiàn)某些感興趣的信息后，攻擊者一方面向移動(dòng)節(jié)點(diǎn)發(fā)送大量無(wú)用的數(shù)據(jù)包，另一方面假冒移動(dòng)節(jié)點(diǎn)發(fā)送數(shù)據(jù)包。并截獲發(fā)往移動(dòng)節(jié)點(diǎn)的數(shù)據(jù)包。

　　除了上述主要的安全威脅之外，移動(dòng)IPv6還可能遭受其它的安全威脅，例如：

　　●攻擊者可以冒充通信節(jié)點(diǎn)給移動(dòng)節(jié)點(diǎn)發(fā)送綁定錯(cuò)誤消息。從而導(dǎo)致移動(dòng)節(jié)點(diǎn)通過(guò)隧道經(jīng)由家鄉(xiāng)代理向通信節(jié)點(diǎn)發(fā)送報(bào)文，造成路由迂回，導(dǎo)致網(wǎng)絡(luò)帶寬浪費(fèi)及時(shí)延增加；

　　●攻擊者可以通過(guò)向移動(dòng)節(jié)點(diǎn)發(fā)送大量的綁定刷新請(qǐng)求消息來(lái)實(shí)現(xiàn)資源耗盡類(lèi)別的DoS攻擊。

4、移動(dòng)IPv6協(xié)議解決上述安全問(wèn)題的機(jī)制

　　互聯(lián)網(wǎng)協(xié)議設(shè)計(jì)的一個(gè)基本安全要求就是新協(xié)議的設(shè)計(jì)不能夠引入新的安全威脅，如果存在安全威脅，那么協(xié)議本身必須要規(guī)定相應(yīng)的安全機(jī)制來(lái)克服。同樣，移動(dòng)IPv6協(xié)議也不例外。對(duì)于上節(jié)描述的各種安全威脅，協(xié)議都定義了相應(yīng)的安全機(jī)制。

　　4.1　防御重放攻擊的策略

　　為防止重放攻擊，移動(dòng)IPv6協(xié)議在注冊(cè)消息中定義了序列號(hào)，并且在RR協(xié)議報(bào)文中引入隨機(jī)數(shù)(Nonce)。家鄉(xiāng)代理和通信節(jié)點(diǎn)可以通過(guò)比較前后兩個(gè)注冊(cè)消息序列號(hào)(通信節(jié)點(diǎn)還可以依據(jù)Nonce散列值)，判定出被攻擊者保存下來(lái)的已經(jīng)過(guò)時(shí)的注冊(cè)消息而不予處理。

　　4.2　對(duì)家鄉(xiāng)代理的地址綁定消息的保護(hù)

　　在移動(dòng)IPv6協(xié)議中建議通過(guò)建立IPSec安全聯(lián)盟來(lái)保護(hù)發(fā)送到家鄉(xiāng)代理的地址綁定消息和數(shù)據(jù)流量。由于移動(dòng)節(jié)點(diǎn)家鄉(xiāng)地址和家鄉(xiāng)代理都是已知的，所以可以預(yù)先為移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理配置安全聯(lián)盟，然后使用IPSec AH和ESP機(jī)制建立安全隧道，提供數(shù)據(jù)源認(rèn)證，完整性檢查，數(shù)據(jù)加密和防重放攻擊保護(hù)。

　　4.3　對(duì)通信節(jié)點(diǎn)的地址綁定消息的保護(hù)

　　由于移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址是隨著移動(dòng)節(jié)點(diǎn)網(wǎng)絡(luò)接入點(diǎn)的變化而變化的，并且與其通信的節(jié)點(diǎn)也是在不斷變化的，所以不能通過(guò)預(yù)先靜態(tài)配置的方式在移動(dòng)節(jié)點(diǎn)和通信節(jié)點(diǎn)之間建立安全聯(lián)盟，而且在全球互聯(lián)網(wǎng)范圍內(nèi)很難實(shí)現(xiàn)PKI(Public Key Infrastructure)架構(gòu)，不同的認(rèn)證管理域也很難建立信任關(guān)系，所以無(wú)法通過(guò)公共密鑰加密機(jī)制保護(hù)移動(dòng)節(jié)點(diǎn)與通信節(jié)點(diǎn)之間的控制信令。移動(dòng)IPv6協(xié)議定義了RR協(xié)議，通過(guò)產(chǎn)生綁定管理密鑰來(lái)實(shí)現(xiàn)對(duì)移動(dòng)節(jié)點(diǎn)和通信節(jié)點(diǎn)之間控制信令的保護(hù)，其基本原理如下：

　　當(dāng)移動(dòng)節(jié)點(diǎn)采用路由優(yōu)化方式時(shí)，它發(fā)送HoTI(Home Test Init)消息經(jīng)由家鄉(xiāng)代理向通信節(jié)點(diǎn)通告其家鄉(xiāng)地址，直接發(fā)送CoTI(Care-of Test Init)消息向通信節(jié)點(diǎn)通告其轉(zhuǎn)交地址；當(dāng)通信節(jié)點(diǎn)收到上述消息后，將源地址、密鑰和隨機(jī)數(shù)作為哈希散列函數(shù)的輸入，分別產(chǎn)生Home Cookie和Care-of Cookie，(Home Cookie=hash{Key,HoA|Nonce}；Care-of Cookie=hash{Key,CoA|Nonce})并且向移動(dòng)節(jié)點(diǎn)分別響應(yīng)HoT(Home Test)消息和CoT(Care-ofTest)消息；移動(dòng)節(jié)點(diǎn)將收到的Home Cookie和Care-ofCookie作為哈希函數(shù)的輸入產(chǎn)生會(huì)話密鑰，并用此密鑰來(lái)加密綁定消息，其中：

　　BU={MAC,Seq#,Nonce indices,CoA}，其中MACBU=hash(kBU，CoA|CN|HoA|Seq#|LT)

　　BA={MAC,Seq#,status}其中MACBA=hash(kBU，CN|CoA|HoA|Seq#|LT)。

　　(注：HoA—Home Address；CoA—Care-of Address；BU—Binding Update；BA—Binding Acknowledgement；MAC—Message Authentication Code；CN—Correspondent Node；LT—Lifetime；)

　　4.4　對(duì)MPS/MPA消息的保護(hù)

　　考慮到移動(dòng)網(wǎng)絡(luò)前綴發(fā)現(xiàn)機(jī)制可能會(huì)造成網(wǎng)絡(luò)拓?fù)湫畔⒌男孤�，移�?dòng)IPv6協(xié)議建議采用IPSec安全聯(lián)盟來(lái)保護(hù)MPS/MPA數(shù)據(jù)的完整性以及對(duì)數(shù)據(jù)源身份進(jìn)行認(rèn)證，例如可以使用ESP傳輸模式非空載荷認(rèn)證算法。

　　4.5　對(duì)通信流量的保護(hù)

　　在移動(dòng)IPv6協(xié)議中建議使用IPSec體系中AH和ESP機(jī)制提供數(shù)據(jù)流的數(shù)據(jù)源認(rèn)證、完整性和機(jī)密性保護(hù)。

5、結(jié)束語(yǔ)

　　移動(dòng)IPv6的發(fā)展還處在初級(jí)階段，目前提出來(lái)的還只是移動(dòng)解決方案的基礎(chǔ)理論。移動(dòng)IPv6的最終目標(biāo)是實(shí)現(xiàn)全球范圍真正的移動(dòng)網(wǎng)絡(luò)。它會(huì)滿足移動(dòng)計(jì)算和個(gè)人通信的所有要求。而要真正實(shí)現(xiàn)全球范圍內(nèi)的移動(dòng)網(wǎng)絡(luò)，還需要進(jìn)一步完善Mobile IPv6，IPSec，Diameter等協(xié)議，解決服務(wù)質(zhì)量及安全性問(wèn)題。

作者：馬軍鋒　侯樂(lè)青 來(lái)源：泰爾網(wǎng)