了解下代互聯(lián)網(wǎng)協(xié)議里移動(dòng)IPv6的安全性

字號(hào):

IPv6是下一代的互聯(lián)網(wǎng)協(xié)議,它最終將代替IPv4成為互聯(lián)網(wǎng)的主要網(wǎng)絡(luò)協(xié)議。移動(dòng)IPv6是建立在IPv6的體系結(jié)構(gòu)上的,并作為IPv6協(xié)議不可分割的一部分,成為IPv6本質(zhì)性的功能之一。移動(dòng)IP提供了一種IP路由機(jī)制,使移動(dòng)節(jié)點(diǎn)可以以一個(gè)永久的IP地址連接到任何的鏈路上,移動(dòng)IP與其他路由協(xié)議相比,具有特殊的功能,移動(dòng)IPv6就利用了IPv6的一些新特點(diǎn)來支持移動(dòng)IP。
    一、移動(dòng)IPv6介紹
    移動(dòng)IPv6協(xié)議中定義了三種操作實(shí)體:移動(dòng)節(jié)點(diǎn)(Mobile Node,MN)、通信節(jié)點(diǎn)(Correspondence Node,CN)和家鄉(xiāng)代理(Home Agent,HA);四種新的IPv6目的地選項(xiàng):綁定更新、綁定認(rèn)可、綁定請(qǐng)求和家鄉(xiāng)地址;為了實(shí)現(xiàn)"動(dòng)態(tài)家鄉(xiāng)代理地址發(fā)現(xiàn)"機(jī)制定義了兩種ICMP消息類型:家鄉(xiāng)代理地址發(fā)現(xiàn)請(qǐng)求消息和家鄉(xiāng)代理地址發(fā)現(xiàn)應(yīng)答消息;定義了兩種"鄰居發(fā)現(xiàn)"選項(xiàng):宣告消息間隔和家鄉(xiāng)代理信息選項(xiàng)。
    二、移動(dòng)IPv6的主要特點(diǎn)
    移動(dòng)IPv6的設(shè)計(jì)汲取了移動(dòng)IPv4的設(shè)計(jì)經(jīng)驗(yàn),并且利用了IPv6的許多新的特征,提供了比移動(dòng)IPv4更多的、更好的特點(diǎn),成為了IPv6協(xié)議不可缺少的一部分。
    1.在移動(dòng)IPv6中,對(duì)"三角路由"問題的解決已經(jīng)成為協(xié)議的一個(gè)主要部分,并被所有的IPv6節(jié)點(diǎn)所支持。對(duì)路由優(yōu)化問題進(jìn)行了整合:允許任何通信節(jié)點(diǎn)和移動(dòng)節(jié)點(diǎn)之間直接發(fā)送路由數(shù)據(jù)包,而不再經(jīng)過移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)網(wǎng)絡(luò)或使用家鄉(xiāng)代理的轉(zhuǎn)發(fā)功能。這種整合也允許了"注冊(cè)"功能和路由優(yōu)化功能在單獨(dú)一個(gè)協(xié)議中完成。
    2.在移動(dòng)IPv6中可以允許移動(dòng)節(jié)點(diǎn)與具有"入口過濾"功能的路由器同時(shí)存在、有效工作而不互相影響。在移動(dòng)IPv6中移動(dòng)節(jié)點(diǎn)可以使用轉(zhuǎn)交地址作為它所發(fā)送數(shù)據(jù)包的IP報(bào)頭中的源地址,這樣,數(shù)據(jù)包就能正常的通過具有"入口過濾"功能的路由器。其中移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)地址被攜帶在數(shù)據(jù)包的"家鄉(xiāng)地址"目的地選項(xiàng)中,當(dāng)通信節(jié)點(diǎn)接收到包含此種選項(xiàng)的數(shù)據(jù)包時(shí),就能夠自動(dòng)地把數(shù)據(jù)包的源地址替換成"家鄉(xiāng)地址"目的地選項(xiàng)中的家鄉(xiāng)地址,使得轉(zhuǎn)交地址的使用對(duì)IP以上各層透明化。所有IPv6節(jié)點(diǎn)都必須能夠正確處理數(shù)據(jù)包中的"家鄉(xiāng)地址"選項(xiàng),無(wú)論這個(gè)節(jié)點(diǎn)是移動(dòng)的還是靜止的,是主機(jī)還是路由器。
    3.在移動(dòng)IPv6中不再有外地代理的概念。移動(dòng)節(jié)點(diǎn)在離開家鄉(xiāng)鏈路時(shí)可以利用IPv6的增強(qiáng)功能(如"鄰居發(fā)現(xiàn)"和"地址自動(dòng)配置"機(jī)制)進(jìn)行獨(dú)立操作,而不需要任何來自于當(dāng)?shù)芈酚善鞯奶厥庵С?。?shí)質(zhì)上,移動(dòng)IPv6中外地代理與家鄉(xiāng)代理具有相同的功能,所以為了具體實(shí)現(xiàn)上的方便,在外地的鏈路上也使用家鄉(xiāng)代理的概念。
    4.在安全性方面,移動(dòng)IPv6使用IPSec來滿足更新綁定時(shí)的所有安全需求,包括:發(fā)送者認(rèn)證,數(shù)據(jù)完整性保護(hù),重傳保護(hù)等。也就是說移動(dòng)IPv6的安全性是建立在IPv6的安全機(jī)制之上的。當(dāng)移動(dòng)節(jié)點(diǎn)在當(dāng)前位置與它的缺省路由器進(jìn)行通信時(shí),移動(dòng)IPv6的"移動(dòng)檢測(cè)"機(jī)制為移動(dòng)節(jié)點(diǎn)提供了雙向認(rèn)證的能力(雙向是指從路由器向移動(dòng)節(jié)點(diǎn)發(fā)送數(shù)據(jù)包和從移動(dòng)節(jié)點(diǎn)向路由器發(fā)送數(shù)據(jù)包)。
    5.在移動(dòng)IPv6中,"動(dòng)態(tài)家鄉(xiāng)代理地址發(fā)現(xiàn)"機(jī)制使用IPv6的"任意發(fā)送"地址,并且家鄉(xiāng)鏈路上只有一個(gè)家鄉(xiāng)代理向移動(dòng)節(jié)點(diǎn)返回一個(gè)應(yīng)答消息;由于在移動(dòng)IPv4中使用直接的廣播地址,所以移動(dòng)節(jié)點(diǎn)家鄉(xiāng)鏈路上的每個(gè)家鄉(xiāng)代理均返回一個(gè)獨(dú)立的應(yīng)答消息。因?yàn)閮H僅只有一個(gè)數(shù)據(jù)包從家鄉(xiāng)鏈路返回到移動(dòng)節(jié)點(diǎn),所以移動(dòng)IPv6的這種機(jī)制更加有效和可靠。
    三、移動(dòng)IPv6面臨的安全問題
    移動(dòng)IPv6與其它網(wǎng)絡(luò)技術(shù)一樣,都面臨著安全方面的問題。
    1. 拒絕服務(wù)攻擊
    拒絕服務(wù)攻擊(DoS)是移動(dòng)IPv6面臨的最嚴(yán)重的一種攻擊,它是指一個(gè)攻擊者為阻止合法用戶的正常工作而采取的攻擊。這種攻擊主要包括兩種方式:一是通過向服務(wù)器或主機(jī)發(fā)送大量數(shù)據(jù)包,使得主機(jī)忙于處理這些無(wú)用的數(shù)據(jù)包而無(wú)法響應(yīng)有用的信息;二是對(duì)網(wǎng)絡(luò)上兩個(gè)節(jié)點(diǎn)之間的通信直接進(jìn)行干擾,如采取重定向的方法使合法用戶無(wú)法獲得所需要的數(shù)據(jù)。
    對(duì)于DoS攻擊的防護(hù)方法是檢查認(rèn)證有效期、確定移動(dòng)節(jié)點(diǎn)位置并保持資源的可用性。對(duì)通信節(jié)點(diǎn)而言,它可以采用以下方式來抵抗拒絕服務(wù)攻擊:如果通信節(jié)點(diǎn)被大量綁定更新的信息所堵塞,它可以通過中止處理綁定更新信息的流程來減緩堵塞下的系統(tǒng)壓力;若通信節(jié)點(diǎn)察覺到分配在檢查虛假綁定信息上的資源遠(yuǎn)遠(yuǎn)超出用來接收真實(shí)綁定更新信息的資源時(shí),通信節(jié)點(diǎn)會(huì)在不執(zhí)行任何加密機(jī)制的情況下,逐步拋棄部分或是全部的綁定更新的信息。