移动IPv6协议及其安全机制分析

第9期刘耀东等:移动IPv6协议及其安全机制分析　　　 149

移动IPv6协议及其安全机制分析

刘耀东,戴冠中

(西北工业大学自动化学院,陕西西安710072)

摘　要:首先结合移动IPv6的应用现状指出了移动IPv6协议安全机制研究的重要性。在简要介绍了移动IP及移动IPv6协议后,列举了移动IPv6协议所面临的主要安全威胁,并分析了用来提供对“绑定更新”轻量级保护的PBK(Purpose2BuiltKeys)协议,提出了改进PBK协议的方法。关键词:移动IPv6;安全;绑定更新;中间人攻击;定制密钥

中图法分类号:TP393108　　　文献标识码:A　　　文章编号:100123695(2005)0920149203

AnalysisofMobileIPv6ProtocolandItsSecureMechanism

LIUYao2dong,DAIGuan2zhong

(CollegeofAutomation,NorthwesternPolytechnicalUniversity,Xi’anShanxi710072,China)

Abstract:Inthispaper,theimportanceofresearchonthesecurityofmobileIPv6protocolisshownaccordingtotheactualuse

ofmobileIPv6inthefirst.Then,afterthepresentationofmobileIPandmobileIPv6,themainthreatstothesecurityofmobileIPv6arelisted.AndthenPBKprotocol,whichisusedtoprotect"BindingUpdate",isanalysed.amethodtoimprovePBKprotocolispresented.

Keywords:MobileIPv6;Security;BindingUpdate;Man2in2theiddle(BuiltKeys)

IPv4协议随着Internet的飞速发展而得到广泛的应用为事实上的工业标准。但随着Internet应用需求,IPv4下一代IP协议———IPv6信网络中得到应用,因而I重要。目前已有了一些在不同操作系统上开发出来的实验系统[1],如Windows下的MicrosoftMIPv6Project(MIPv6)实验系统,FreeBSD下的CMUMonarchProject,KAMEProject实验系统及Linux下的Lancaster移动IPv6,USAGI(UniverSAlplay2

Ground),MIPL(MobileIPv6forLinux)移动IPv6实验系统等。

,应能够保持与Internet上其他节点的;②移动节点无论连接到任何接入点,应能够用原来的IP地址进行通信;③移动节点应能够与不具有移动IP功能的其他节点进行通信,并且不需要修改这些节点的协议;④移动节点不应该比Internet上的其他节点面临更多的安全威胁。

1.2　移动IPv6协议

移动IPv6对基本的IPv6[3,5]协议主要进行了以下修改:

(1)新的移动报头。移动IPv6定义了一种新的报头———移动报头(MobilityHeader),见图1,是一个新的IPv6扩展报头,用于携带HoTI、HoT、CoTI、CoT、绑定更新、绑定更新请求、绑定确认及绑定错误消息等移动IP消息

。

诺基亚、爱立信等公司早已将移动IPv6技术应用到支持

IPv6的移动通信技术研发中

[2]

。目前中国手机用户的数量已

经超过了PC机,IETF认为亚洲将是IPv6市场最先兴起的地区,移动互联网的大规模市场很有可能在中国掀起。在3G标准IMT2000中已经明确规定,第三代移动通信系统必须支持移动IP分组业务[3]。但是,移动互联网迟迟没有大规模进入市场,其中的一个主要的原因,就是其安全问题得不到很好的解决。

(2)新的目的地选项。移动IPv6定义了一个新的目的地

选项,即家乡地址选项,用于实现移动IP对上层协议的透明以及对入境过滤的支持。

(3)新的ICMP消息。为了支持家乡代理地址的自动发现

1　移动IPv6协议概述

1.1　移动IP协议

和移动配置,移动IPv6也引入了一些新的ICMP消息,包括家乡代理地址发现请求消息、家乡代理地址发现应答消息、移动前缀请求消息和ICMP移动前缀应答消息等。

在Internet网络协议中,网络层协议负责网络数据的路由,通过路由协议来实现。移动IP是网络层的支持主机移动的解决方案,目的是把数据分组发送到可能不断改变接入位置的主机,通过在适当的节点建立路由表项,实现转发数据分组到外地链路上的移动主机。移动IP协议满足

[3,4]

2　移动IPv6的安全分析

2.1　与移动IPv4的安全性比较

:①移动节点在改

收稿日期:2004208231;修返日期:2004210228移动IPv6的安全性是建立在IPv6的安全机制之上的。移

动IPv6在安全方面有四个特征不同于移动IPv4[3]:①没有外地代理;②IPSec协议集成到IPv6标准中;③家乡地址选项解决了网络入境过滤路由器的问题;④路由优化功能是移动IPv6协议的主要功能之一。

在移动IPv6中没有外地代理,这意味着移动访问的安全策略工作需要由被访问网络的路由器来完成。外地网络必须配置适当的路由器对移动节点实施安全策略。

移动IPv6在目的地选项扩展报头中添加了家乡地址选项的功能,当移动节点直接向通信对端发送分组时,使用转交地址作为源地址,而家乡地址则放到家乡地址选项中。因为转交地址正确反映了移动节点目前所在的位置,所以,实施入境过滤的路由器并不会把这些分组过滤掉。

家乡地址选项一方面解决了网络入境过滤路由器的问题,另一方面也暴露了移动节点当前的位置信息,这给某些希望隐藏移动节点位置信息的通信带来了安全威胁。为了减少针对这种安全威胁进行的攻击,当移动节点和通信对端之间存在必要的安全关联时,家乡地址选项的功能应该与IPSec的ESP加密一齐使用。

移动节点和通信对端的绑定更新消除了三角路由,实现了路由优化,双方可以直接通信,这有利于双方建立安全关联。

2.2　移动IPv6的主要安全威胁

效的认证措施。如果能在通信的过程中保证持续的通信都来自于可信的移动节点,则可将移动安全的等级提高很多。

3　定制密钥(PBK)协议

3.1　定制密钥(PBK)协议概述

移动IP工作组原打算使用现有的IP安全协议(IPSec)来保护“绑定更新”信息,但是由于以下的原因,IPSec暂时还不

能胜任这一工作[3]:①IPSec需要依靠公钥基础设施(PKI)来运作,但该系统目前尚未有很好的实施;②IPSec的密钥管理部分需要终端设备具有很强的处理能力。

对于运算能力强的移动设备,如笔记本电脑等,完全可以承受比较大的计算量和能耗,则可以通过IPv6强制实施的安全机制IPSec来进行移动IPv6的安全保证[7]。而对于手机、

PDA等设备,计算能力较低,能承受的能耗较低,如果还用IP2Sec机制是不现实的。

因此,在目前的条件下需要一个更为简单的安全协议,以便广泛应用到移动IP协议中去。方法之一是PBK(Purpose2BuiltKeys),该方法对终端设备要求较低,所以适合于移动设备。不过,PBK的安全性不如IPSec,而且这两种安全机制都只是对机器进行认证,而不能对用户进行认证。用户的身份可以通过认证)on)、账户(Accoun2

tint),所以用户身份的识

移动IPv6在提供移动性支持的同时,也面临更多的安全问题挑战,主要来自绑定的管理机制与移动IPv6的路由优化机制[3]。

(1)绑定更新相关的安全威胁新中的转交地址。定更新,,导致移动节点无法接收到分组。,发送给移动节点的分组也不能到达目的地。

攻击者也可以伪造绑定更新声称自己拥有受害者的家乡地址。通信对端接收到这样的绑定更新后,会把本来发向移动节点的分组重定向到攻击者,使攻击者窃取到分组的内容;而且攻击者可以把重定向的分组转发到移动节点,从而造成了中间人(Man2in2the2Middle)攻击。

攻击者如果重放移动节点曾经发送过的绑定更新,也可能破坏移动节点当前的通信。如果重放的绑定更新被接收,发向移动节点的分组将被发送到移动节点以前的转交地址。这种攻击称为重放(Replay)攻击。

(2)路由优化相关的安全威胁。相对于移动IPv4会产生

。

P信的设备。PBK协议假定:在确保一些操作是安全的基础上,可以认为后续的操作是安全的。在每一个移动IP会话前,通信双方产生一对新的公钥、私钥,这对密钥是临时的,只有通信双方能够使用,无需向第三方注册。当会话结束时,该对密钥不再有效。这一对密钥只会由参与通信的设备使用,不会为第三方获得。由于密钥会经常变化,用户的身份将会被保护。

3.2　定制密钥(PBK)协议实现步骤

采用PBK协议实现移动IP的安全的基本步骤[6]如图2所示

。

三角路由问题,移动IPv6使用了路由优化机制。由于在IPv6分组中使用了家乡地址选项、新的路由头和隧道头等,也带来了一些与这些机制相关的安全问题。

家乡地址选项可能引起第三方的反射攻击。当恶意节点在家乡地址选项中使用其他节点的地址时,可能使得通信对端把响应发送到那个IP地址,入境过滤并不会发现这种伪造的返回地址。

攻击者也可伪造移动节点向家乡代理发送的隧道数据分组,使得家乡代理以为是移动节点所发的分组而转发到通信对端,从而获取对通信对端的访问权限。攻击者也可伪造移动节点直接发往通信对端的分组,还可利用隧道机制避开入境过滤和分组跟踪。可见,移动IPv6的安全威胁主要来自于缺乏有

(1)移动节点创建公钥、私钥对Kpub,Kpri。

(2)移动节点生成PBID,PBID=hash(Kpub)。这里PBID

作为移动节点的鉴别标识。

(3)移动节点在发往通信对端的第一个包中加入PBID信息,对移动IPv6来说,PBID可以放在选项头中(如果PBK用在像HTTP等这样的应用服务中,则PBID的位置就应该在应用层),也可以在这时把公钥Kpub一起传送(或在任何需要进行认证之前传送)。

(4)通信对端接收移动节点发来的PBID,并验证Hash

(Kpub),如果匹配则将PBID和Kpub保存。

(5)当漫游到一个新的地区时,移动节点用私钥Kpri签名

新消息。由于这个认证码对于每次连接都是变化的、不同的、无法预知的,并且硬件特征码和时间戳的关系对外是未

知的(这里我们对两者进行异或运算 ,当然也可以采用别的运算方式),所以作为中间人的恶意节点是始终无法伪造这个值的,从而达到鉴别是否是第一次初始化时的移动节点的目的。对于移动节点,也通过类似的方法来认证通信对端。

这里要注意的有两点:①必须保证第一次初始化时经过

3A认证的双方节点是真实的身份,否则,恶意节点抢先进行注

绑定更新消息,并且在其中包含PBID。如果需要抵抗重放攻击,则可以在其中放置临时随机数(Nonce)或时间戳(Times2

tamp)。

(6)移动节点将签名后的消息发送给通信对端。(7)通信对端用所存储的公钥Kpub对接收到的签名进行验

证,并向移动节点所在网段的IP地址发送一个检测挑战值封包(ChallengePacket),该封包包含一个由通信对端产生的随机数测试值。检测挑战值封包被传送到源IP地址,可以不被包括在用私钥Kpri签名的操作请求包中。所以这种机制可以工作在移动中需要经常改变地址的装置中。

(8)当移动节点接收到检测挑战值封包后,它用它的私钥

Kpri对随机数测试值进行加密,再把结果发送给通信对端。

册其硬件特征码,则真实身份的节点初始化连接时就不会成功。②必须保证每次初始化连接时双方的时间戳同步,这样才能做到对真实的节点身份的确认(可以降低时间的准确度来实现精确的同步)。经过上述对PBK协议的改进,PBK协议便有了抵御中间人攻击的能力。

从对PBK协议的分析可知,PBK协议并没有对传送的数据加密。除非是移动节点或通信对端的处理能力能够承受强加密、解密的代价,则可以考虑在加密、解密机制的基础上应用

PBK协议来实现认证;否则,被动的消息泄漏攻击是不可抵御

(9)通信对端用接收到的公钥及PBID解密,如果结果匹

配,则通信对端确认移动节点就是初始化连接时的移动节点。

(10)连接结束后,公钥Kpub、私钥Kpri对被丢弃。下次连

接初始化时,又会随机产生新的密钥对。

3.3　定制密钥(PBK)协议的改进

PBK的好处是它是轻量级认证方法,协议简单,是一种无

的。当然,随着科技的发展,如果当移动节点或通信对端的处理能力能够承受加密、,PKI公钥基础设施可能,IPSec协议来实现安,,在所。

须安全基础框架支持的方法;缺点是比起IPSec来,安全性要差,没有解决中间人攻击的问题,这为PBK协议的实施带来一定的影响[6]。从上述来看,PBK可以通过类似认证Diffie2man密钥交换

[8]

这样的机制挫败中间人攻击,赖于公钥基础设施(PKI)来运作P的初衷。

中间人攻击问题,有效的认证,以至于移动节点或通信对端接收了恶意节点所伪造的绑定更新消息。如果能够明确绑定更新消息来自虚假身份的节点,则可以对该绑定更新消息不予处理或者是报警,从而达到解除中间人攻击的目的。故对PBK协议作如下改进:

在移动节点(MN)和通信对端(CN)首次初始化连接时,经过3A认证,确定建立连接的双方身份后,互相交换彼此的硬件特征码HCCMN,HCCCN,将该硬件特征码作为特定的节点的标志保存起来。以通信对端为例,以后每当移动节点与通信对端初始化连接时,同步双方的时间,移动节点对其硬件特征码和时间戳取认证码MACMN

MACMN=H(HCCMN TSTAMP)

本文分析了移动IPv6协议及其存在的安全威胁,详细给出了PBK协议实现的步骤,讨论了PBK协议的优点和缺点,提出了改进PBK协议使之能抵抗中间人攻击的方法,并指出除非采取强加密、解密体制,否则PBK协议无法抵御像消息泄漏那样的被动攻击。参考文献:

[1]王淼,李军.移动IPv6技术简介[EB/OL].130.

com/2004/5210/22356.html,2004205210.

[2]杨晓非,秦忠兰.新的移动IPv6有关的技术应用[EB/OL].ht2

tp:///article/list.asp?id=431,2002211227.[3]孙利民,等.移动IP技术[M].北京:电子工业出版社,20031124,

67273,1942195.

[4]CPerkins.IPMobilitySupportforIPv4[S].RFC3220,2002.[5]DJohnson,CPerkins,JArkko.MobilitySupportinIPv6[R].dra2

ft2ietf2mobileip2ipv6224.txt,2003206.

[6]ScottBradner,AllisonMankin,etal.AFrameworkforPurpose2Built

Keys(PBK)[R].draft2bradner2pbk2frame206.txt,2003206.[7]JArkko,VDevarapalli,ingIPSectoProtectMobile

IPv6SignalingbetweenMobileNodesandHomeAgents[R].dra2ft2ietf2mobileip2mipv62ha2ipsec206.txt,2003206.

[8]CarltonRDavis.IPSec:VPN的安全实施[M].周永彬,等1北京:

(1)

这里H表示我们使用的摘要算法,HCCMN表示移动节点的硬件特征码,TSTAMP表示同步的时间戳。

将该认证码MACMN传给通信对端,同时通信对端对存储在自身系统中的移动节点的硬件特征码和时间戳取认证码

MACMNC

MACMNC=H(HCCMNC TSTAMP)

(2)

式中HCCMNC指存储在通信对端(CN)的移动节点(MN)的硬件特征码,H,TSTAMP的含义同式(1)。

然后比较这两个认证码MACMN和MACMNC,如果相等,即如果MACMN=MACMNC,则可以断定是首次初始化连接时注册的移动设备,接下来就可以继续PBK协议的实现了(见上述

PBK协议实现步骤),否则就是中间人攻击所伪造的绑定更

清华大学出版社,2002191293.

作者简介:

刘耀东(19782),男,硕士,研究方向为计算机网络信息安全、IPv6、移动

IP等;戴冠中(19372),男,博士生导师,研究方向为自动控制、计算机

网络信息安全、具有通信网络的大系统理论等。

本文来源：https://www.bwwdw.com/article/p471.html