移动IPv6安全认证及DoS防御

  当网络体系结构上添加新的功能时,通常会引入一些新的安全隐患。对移动IPv6来说,由于MN的移动需要经常向家乡代理和CN发送绑定更新报文,这一特征引入了诸多安全问题。其中最大的威胁是绑定更新报文具有对分组的重定向功能,攻击者通过冒充MN向CN发送绑定更新报文,就可以将发往MN的分组重定向到攻击者指定的地点。在移动IPv4协议中,移动节点获得转交地址前,外地代理会对移动节点进行认证等处理,但是,在移动IPv6中没有外地代理,这意味着移动访问的安全策略工作需要由被访问网络的路由器来完成。家乡地址选项的运用虽然解决了网络入口过滤路由器的问题,但却暴露了MN当前的位置信息,这给某些希望隐藏MN位置信息的通信带来了安全威胁。

  
移动IPv6安全保护

  移动IPv6规定了IPSec作为MN的绑定更新报文的安全保护,但在利用IPSec通信之前收发双方需要事先建立安全关联,即决定采用哪种认证。加密算法。一般认为,MN与其本地代理很容易建立安全关联,但大多数情况下,MN与CN不存在安全关联或其它安全关系。

  采用IPSec的另外一个问题是,它依赖于PKI,而PKI的建设是一个复杂的工程。IPSec的密钥管理要求终端具有很强的处理能力,未来使用移动IP的设备诸如手机。PDA计算能力都很弱,而且能耗也需要考虑,因此要求进行大量计算的安全机制不太适合这些设备。为此目前也在讨论一种轻量级的安全保护协议,如定制密钥(PBK,purposebuiltkey)。

  PBK协议中,在每一个移动IP会话之前,通信双方产生一对新的公钥/私钥,这对密钥匙是临时的,只有通信双方能够使用,无需向第三方注册。当会话结束时,密钥失效。PBK协议简单,但安全性没有IPSec好,如没有解决中间人攻击等问题,并且PBK实现的不是用户认证,而是设备认证。

  
移动IPv6安全中DoS的防御

  在移动IPv6中DoS表现形式为:黑客向本地代理发出伪造的注册请求,把自己的IP地址当作移动节点的转交地址,在注册成功后,本地代理将根据黑客注册的转交地址,把目的地址是移动节点的数据分组通过隧道送给黑客,黑客得到应送给移动节点的数据,而真正的移动节点却被拒绝服务。或黑客以数据分组不断轰炸服务器,服务器不得不处理这些请求,并为每一个请求分配资源,而无法响应其它有用信息。

  防御伪造注册请求的DoS攻击的有效办法是对移动节点和本地代理之间交换的所有注册信息进行有效的验证。本地代理向MN回送的注册应答消息采用消息摘要方法。

  另外,可利用SCTP(流控制传输协议)四路防御DoS攻击。SCTP是面向连接的可靠传送协议,在SCTP中,TCP中的连接被引申为关联,每个关联都由两个SCTP端口号和两个IP地址列表来标识。SYNflooding利用了TCP/IP中的TCP三次握手,恶意的攻击者大量向服务器发送SYN报文,使得正常的连接无法建立,并在服务器端形成一个非常大的半连接列表而无法接受正常服务。而在SCTP四路握手中,INIT消息的接收端不必保存任何状态信息或分配任何资源,它在发送INITACK消息时,采用了“状态cookie”机制。采用这种方式,即使接收更多的INIT消息,接收端也没有任何资源的消耗,它既不分配任何系统资源,也不保存此次新关联的状态,只是把相应重建状态所用的cookie作为参数,包含在每一个回送的INITACK消息中,最后该cookie会被cookie-echo消息发送回来,从而防范SYN flooding等方式的DoS攻击。

原创文章,作者:中国IPv6网,如若转载,请注明出处:https://www.ipv6s.com/basis/mobile/20100809492.html

(0)
中国IPv6网的头像中国IPv6网
上一篇 2010年8月8日
下一篇 2010年8月10日

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注