欢迎来到天天文库
浏览记录
ID:23934266
大小:51.50 KB
页数:4页
时间:2018-11-11
《移动ipv6中的安全问题及其对策》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、移动IPv6中的安全问题及其对策:移动IPv6作为一种全新的InterX络标准出现,不但继承了移动IPv4的优点,同时也在安全性方面做出了很大程度的修改和补充。该文对移动IPv6面临的主要安全问题进行了探讨,并且介绍了移动IPv6的几种安全机制。 关键词:移动IPv6;安全威胁;IPSec :TP393:A:1009-3044(2011)10-2264-02 SecurityIssuesandCountermeasuresinMobileIPv6 SHABo (CenterforthePeople'sBankofCh
2、inaBranchinUrumqi,Urumqi830002,China) Abstract:AsaneIPv4,andmakesalotofmodificationsandsupplementsonsecurity.ThepaperdiscussesthemainlysecurityissuesthatMobileIPv6hastoface,andintroducessomesecuritymechanisms. KeyeTestInitial)和转交测试初始化(CoTI,CareofTestInitial)消息,HoT
3、I消息由移动节点的家乡代理中转发送到通信对端,包含一个归属初始Cookie.通信对端收到该消息后,回应一个家乡测试(HoT,HomeTest)消息,包含以下参数: 1)初始Cookie,该参数的值必须和HoTI消息的值相同; 2)家乡Keygen令牌的值为First(64,HMAC-SHA1(K对端通信节点,(homead-dress
4、nonce
5、0))),其中K对端通信节点和nonce都是由对端通信节点产生的随机数,用于产生归属Keygen令牌; 3)转交nonce索引和nonce值的索引,避免在消息中直接传送nonc
6、e值。移动节点收到HomeTest消息和Care-ofTest消息后,就完成了往返可路由过程,其过程如图所示。移动节点将收到的家乡Cookie和转交Cookie作为哈希函数的输入产生会话密钥,并用此密钥来认证绑定消息: Kbm=SHA1(homekengentoken
7、care-ofkengentoken)。 接下来,移动节点向通信对端发送的绑定更新请求消息中就具备了足够的认证信息。绑定更新消息包含的参数为: 1)移动节点的家乡地址; 2)序列号; 3)转交nonce索引; 4)First(96,HMAC-SHA1
8、(Kbm,(care-ofad-dress
9、对端通信节点
10、BU)))。 如果通信对端验证绑定更新消息确实为合法移动节点发送的,则通信对端就会创建新的绑定列表选项,确认这个绑定更新。 针对重放攻击,移动IPv6协议在注册消息中添加了系列号,并且在协议报文中引入了时间随机数(nonce)。家乡代理和通信对端可以通过比较前后两个注册消息序列号,并结合nonce散列值,来判断注册消息是否为重放攻击。若消息序列号不匹配,或nonce散列值不正确,则可视之为过期注册消息,不予处理。 3安全性分析 从目前移动IPv6提供的这些安全机
11、制来看,仍有许多不足之处。 1)最明显的安全缺陷是移动节点与通信对端间缺乏有效的安全保护。目前虽然有RR过程来保护移动节点与通信对端间的绑定注册,但在完成绑定注册后,两者间的通信流量没有任何保护,完全暴露在危险重重的X络中。 2)RR过程的安全也是一个问题,仔细分析RR过程,发现存在着不少漏洞。如果攻击者在通信对端所在的链路上,就有可能干预到通信对端与移动节点和家乡代理的通信,有可能同时窃取到HOT和COT,构造出Kbm,发送伪造的绑定更新给通信对端,从而终端通信对端和移动节点的正常通信,即攻击者能过同时监听到HOT和CO
12、T时,可以随意伪造移动节点的家乡地址和转交地址。 3)缺少有效的身份认证机制,这有可能导致许多可能的攻击。 4结束语 移动IPv6的最终目标是实现全球范围真正的移动X络,它会满足移动计算和个人通信的所有要求。目前的安全机制虽然已经足够强大,但从本质上来讲仍然是一种被动防御形式。以后的发展还应该在个人数字证书上有比较大的发展,使之实现用户端的主动防御体系,比如IPv6地址和人的绑定,将X络安全和个人紧密联系起来,只有这样才能真正保障移动IPv6的安全。
此文档下载收益归作者所有