移動IPv6網(wǎng)絡(luò)安全管理技術(shù)分析和研究

肖 寒

（大慶油田信息技術(shù)公司北京分公司，北京 100043）

信息時代之下的發(fā)展，無論是對于信息消費(fèi)的需求，還是用以支持和實現(xiàn)滿足需求的網(wǎng)絡(luò)而言，近年來都呈現(xiàn)出突飛猛進(jìn)的發(fā)展。而在眾多的發(fā)展特征環(huán)境中，移動已經(jīng)成為突出趨勢之一，不容忽視。在這樣的發(fā)展?fàn)顟B(tài)下，互聯(lián)網(wǎng)協(xié)議群（IPS，Internet Protocol Suite）負(fù)擔(dān)著保證整個網(wǎng)絡(luò)運(yùn)行的重要職責(zé)，并且其中的IP（Internet Protocol）協(xié)議更是占據(jù)了至關(guān)重要的地位，其主要職責(zé)在于為網(wǎng)絡(luò)環(huán)境提供連接并且實現(xiàn)通信，因此其安全完備性直接關(guān)系到整個網(wǎng)絡(luò)安全水平。同時也正是因為如此，IP協(xié)議體系一直以來都得到廣泛關(guān)注。

1 移動IPv6發(fā)展與特征分析

IPv6（Internet Protocol Version 6）作為替代IPv4的最新版IP協(xié)議，注意到了當(dāng)前網(wǎng)絡(luò)環(huán)境中存在的諸多發(fā)展趨勢，而在這樣的網(wǎng)絡(luò)環(huán)境中，最不容忽視的還是移動特征。

2004年6月，互聯(lián)網(wǎng)工程攻堅組（IETF，International Engineer Task Force）正式提出RFC3775以及RFC3776兩個協(xié)議，對于移動IPv6（MIPv6，Mobile IP version 6）及其安全性，尤其是與移動有直接關(guān)系的安全性方面的要求進(jìn)行了規(guī)范。于此同時，對整個IPv6網(wǎng)絡(luò)環(huán)境中的相關(guān)節(jié)點(diǎn)狀態(tài)也都有所說明，其中包括對于通信節(jié)點(diǎn)（CN，Corresponding Node）、 移 動 節(jié) 點(diǎn)（MN，Mobile Node）、家鄉(xiāng)代理（HA，Home Agent）以及接入路由器（AR，Access Router）等概念的定義。諸如此類的變化，從根本上改變了IPv4在地址、路由以及安全性和擴(kuò)展性方面的固有安全隱患。一個典型的IPv6移動網(wǎng)絡(luò)環(huán)境結(jié)構(gòu)參見圖1。

圖1 IPv6移動網(wǎng)絡(luò)環(huán)境邏輯結(jié)構(gòu)示意圖

從技術(shù)角度看，移動IPv6在安全方面做出了諸多部署。首先其本身具有更為強(qiáng)大的地址空間支持，因此可以實現(xiàn)有MN獨(dú)占的配置轉(zhuǎn)交地址，避免因為需要選用外地代理轉(zhuǎn)交地址而帶來的安全隱患。其次，IPv6在地址自動配置方面做出了進(jìn)一步的明確定義和規(guī)范，在有狀態(tài)配置方面，IPv6的工作比較類似于IPv4體系中的動態(tài)主機(jī)配置協(xié)議（DHCP，Dynamic Host Configuration Protocol）的實現(xiàn)方式加以工作，主要是利用動態(tài)主機(jī)配置協(xié)議予以展開。而對于無狀態(tài)配置，則支持主機(jī)自動生成地址。

除此以外，IPSec的結(jié)構(gòu)也被IPv6認(rèn)定為必備協(xié)議，必須被所有的主機(jī)和路由，以及MN以及CN所執(zhí)行。并且IPv6的報頭結(jié)構(gòu)還采用了固定報頭與擴(kuò)展報頭結(jié)合的方式實現(xiàn)，而擴(kuò)展的報頭能夠包含多個描述信息，對于定義新的增強(qiáng)協(xié)議有著積極意義。并且與之對應(yīng)的包括認(rèn)證報頭（AH，Authentication Header）、封裝安全負(fù)載報頭（ESP，Encapsulation Security Payload）等相關(guān)協(xié)議，同樣會被移動環(huán)境所遵守。

2 移動IPv6的安全問題分析

移動環(huán)境下的網(wǎng)絡(luò)實現(xiàn)，本身存在比較多的安全問題。一方面移動主機(jī)通過無線鏈路接入網(wǎng)絡(luò)的方式，從鏈路的實現(xiàn)角度看更容易遭受包括重放攻擊在內(nèi)的諸多主動攻擊，并且相對而言比較難于檢測發(fā)現(xiàn)。另一個方面，移動 IP協(xié)議使用的信令，包括代理通告、綁定更新等，以及相應(yīng)的隧道機(jī)制，如果不設(shè)置合理的安全措施，同樣是遭受安全攻擊的重點(diǎn)區(qū)域。

針對于當(dāng)前的網(wǎng)絡(luò)環(huán)境，可以發(fā)現(xiàn)有如下兩類安全問題，是移動IPv6必須引起重視的。

2.1 拒絕服務(wù)攻擊DoS

所謂拒絕服務(wù)攻擊，即指攻擊者通過相關(guān)手段阻止合法用戶獲取正常服務(wù)。相關(guān)的攻擊手段相對較為多樣化，其中包括攻擊者發(fā)送大量的更新信息從而實現(xiàn)對于本地代理以及通信節(jié)點(diǎn)資源的占用，從而導(dǎo)致綁定緩存表溢出，從而導(dǎo)致相關(guān)節(jié)點(diǎn)無法接受正常服務(wù)請求；也包括外部攻擊將IPv6地址作為大量移動節(jié)點(diǎn)的轉(zhuǎn)交地址，并且發(fā)送大量更新信息給對方端點(diǎn)的通信節(jié)點(diǎn)，從而導(dǎo)致對應(yīng)服務(wù)器流量暴增，無法滿足正常服務(wù)請求等。除此以外，攻擊方冒充移動節(jié)點(diǎn)偽裝移動狀況或者偽裝發(fā)送信息行為，也同樣是造成合法用戶通信阻斷的重要方式。針對此種攻擊方式，在IPv6體系之下有效的防范方式是檢查認(rèn)證有效期、確定移動節(jié)點(diǎn)位置并保持資源的可用性。IPv6支持通信節(jié)點(diǎn)中止處理綁定更新信息的流程，通信節(jié)點(diǎn)在發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境異常的情況下，能夠自行拋棄部分或者全部綁定更新信息，從而確保整個網(wǎng)絡(luò)環(huán)境的正常運(yùn)行。

2.2 信息竊取攻擊

從根本上看，此種攻擊可以進(jìn)一步分為被動監(jiān)聽和主動會話竊取兩種。其中被動監(jiān)聽即基于無線鏈路本身工作特征，使得攻擊方無需實現(xiàn)物理連接就可以接入網(wǎng)絡(luò)環(huán)境實現(xiàn)監(jiān)聽的攻擊狀態(tài)。而主動的會話竊取則是指攻擊方在合法用戶實現(xiàn)身份驗證之后，通過假扮合法用戶的方法竊取會話內(nèi)容的攻擊方式。針對于這樣兩種信息竊取形式，IPv6環(huán)境分別支持不同形式的攻擊防范。對于被動監(jiān)聽而言，可以依據(jù)具體情況展開面向數(shù)據(jù)鏈路層或者端對端鏈路實現(xiàn)加密，尤其是端對端的加密，等于實現(xiàn)了一個相對安全的數(shù)據(jù)通道構(gòu)建，相對而言比較符合當(dāng)前的安全需求。在這一方面，封裝安全負(fù)載報頭等工作方式都能夠支持其良好的加密工作。具體而言，封裝安全負(fù)載報頭的職責(zé)不僅僅可以實現(xiàn)應(yīng)用層數(shù)據(jù)和協(xié)議報頭加密，還能對傳輸層報頭加密，從而可以防止攻擊者推測出運(yùn)行的是哪種應(yīng)用，具有較好的安全特性。

3 結(jié)論

在IPv6環(huán)境中，安全隱患來自于多個方面，除上述主要的兩個方面以外，反射攻擊以及中間人攻擊也是移動通信環(huán)境中常見的安全問題。在實際工作中，IPv6都會給出具有一定針對性的安全防范措施，因此實際工作中，必須緊跟技術(shù)發(fā)展步伐，切實依據(jù)實際環(huán)境中的安全需求對相應(yīng)技術(shù)展開配置和引入，構(gòu)建安全合理的立體安全體系，服務(wù)應(yīng)用環(huán)境。

[1]李振汕.IPv4與IPv6的技術(shù)比較和過渡策略[J].中國管理信息化，2006（8）.

[2]徐周斌.移動IPv6的安全性研究[J].軟件導(dǎo)刊，2007（2）.