IPv6安全

移动IPv6协议的安全漏洞

时间:2012/5/29 15:35:25  作者:  来源:  查看:109  评论:0
内容摘要:移动IPv6协议的安全方面也并非做的很全面。那么针对现在的通讯环境,它又存在什么安全漏洞呢?现在还是让我们从以下几点来分析一下吧。◆区分服务比较适用于设计周全、带宽合理分配的网络,支持移动环境的网...移动IPv6协议的安全方面也并非做的很全面。那么针对现在...
移动IPv6协议的安全方面也并非做的很全面。那么针对现在的通讯环境,它又存在什么安全漏洞呢?现在还是让我们从以下几点来分析一下吧。◆区分服务比较适用于设计周全、带宽合理分配的网络,支持移动环境的网...

移动IPv6协议的安全方面也并非做的很全面。那么针对现在的通讯环境,它又存在什么安全漏洞呢?现在还是让我们从以下几点来分析一下吧。

◆区分服务比较适用于设计周全、带宽合理分配的网络,支持移动环境的网络由于其网络中的节点随时移动,因而其业务量模型比较复杂。

◆在区分服务中,不同QoS区域(如不同的ISP提供的网络)的业务等级协商(SLA)常常是静态的,移动IP的高动态环境与区分服务的静态带宽分配是相矛盾的,因此为了MN的动态带宽分配需要,必须支持动态的业务等级协商。

◆在不同QoS区域的入口处,网络的边缘路由器要对分组流进行识别,传统分组流可以通过分组头标上的五元组(源/目的IP地址、协议类型、源/目的端口号)来识别。而移动IPv6协议中的分组的源IP地址(MN发送的分组)或目的IP地址(MN接收的分组)是MN的转交地址,该地址是随着节点的移动作动态的变化。

为了在移动IP网络上实现区分服务,应精细设计提供移动服务的网络,动态预测移动节点对带宽的需求和接入的MN数,或采用资源预留等信令机制,更准确地预测满足移动节点QoS所需的带宽。区分服务可以选择RSVP作为信令协议,区分服务网络的边缘路由器分析RSVP报文,根据RSVP信息修改区分服务配置参数。但现有的资源预留协议的设计着眼于由静止主机构成的网络,为了支持移动环境的资源预留,还应对RSVP协议进行扩展和修改,使其支持MN的资源预留。另一种方法是定义特别的IPv6扩展头标作为资源预留信令,这样可在一个分组中综合QoS信息、地址绑定信息和IPv6数据分组,节约信令开销。对移动IPv6协议的节点发送的分组中可根据其本地地址和流标记来识别一个数据流,但需要各边缘路由器支持移动IPv6的本地地址信宿选项。

另外,MN在越区切换时引入的分组传输延时和分组丢失也是移动IP急需解决的问题,这个问题不解决,移动Internet的QoS保证就无从谈起。

移动IPv6协议的安全问题

当网络体系结构上添加新的功能时,通常会引入新的安全隐患。对移动IPv6来说,由于节点的移动需要经常向MN的本地代理和CN发送绑定更新报文,这一特征引入了诸多的安全问题。其中最危险的潜在威胁是绑定更新报文具有对分组的重定向功能,攻击者通过冒充MN向CN发送绑定更新报文,就可以将发往MN的分组重定向到攻击者指定的地点。其次是DOS(Denial Of Service)攻击,攻击者能够阻塞未受保护链路上的所有业务量,也能够阻止MN与其他节点的通信。克服这些威胁的手段是MN与本地代理和CN之间进行身份认证,MN与接入路由器(或外地代理)之间也需要认证。

移动IPv6规定了IPSec作为MN的绑定更新报文的安全保护,但在利用IPSec通信之前收发双方需要事先建立安全关联,即决定采用哪种认证、加密算法。一般认为,MN与其本地代理很容易建立安全关联,但大多数情况下,MN与CN不存在安全关联或其他安全关系。移动通信中的无线接入特点,也使得移动用户的通信内容更易受到非法窃听和篡改,用户数据的安全可采用IPSec或上层安全协议加以保护。另外,防火墙也需要支持移动IPv6协议,因为移动IPv6节点发出的分组的源地址是MN的转交地址,它随着节点的移动而变化,防火墙如果不能识别它就不能实现正常的分组过滤。

移动IP业务的使用需要Internet提供支持移动IP的AAA服务,即移动用户的认证、授权和计费服务。当MN移动到外地网络时,MN需要对外地代理或接入设备进行认证,以确定对方的有效性,外地代理也需要对MN进行身份认证,以防止其非法攻击。授权和计费主要涉及MN在外地网络上的资源的使用权和使用情况。目前IETF已出台协议草案来支持移动IP的AAA服务(RFC 2977和draft-ietf-aaa-diameter-mobileip-08.txt)。

移动节点的越区切换

MN在越区切换时,首先需要无线链路的切换,如果新旧链路不在同一个IP子网内,还要进行IP子网切换。即使采用了路由优化技术,在无线链路切换和子网切换过程中的分组延时还相当可观的,而延时的主要部分是由链路切换完成后的端到端的移动IP注册操作引起的。在切换过程中,发给MN的分组可能被丢失。因此快速切换方案将有利于改善分组数据的业务质量。

在下一代无线通信系统中,出于对节约信道等方面的考虑,小蜂窝(micro-cell 和 pico-cell)的架构将会获得越来越多的使用,这样将会导致链路的频繁切换。链路切换常由第二层协议或硬切换完成,而跨越IP子网的切换需要第三层协议或软切换完成。根据切换时采的方法,切换可分为快速切换、平滑切换和无缝切换三种类型。快速切换即低延时切换,它常采用蜂窝组播的方式,以带宽为代价降低MN在越区切换时分组的延时;平滑切换即低丢失率切换,它采用缓存的方式降低MN在越区切换时的分组丢失;无缝切换既要降低分组的丢失率,又要降低分组的延时。

相关评论
评论者:      验证码:  点击获取验证码