移动IPv6的安全机制
发布时间:2008/11/28 0:00:00 访问次数:456
在移动网络中的安全问题主要是:当mn向家乡代理登记时不会被冒充或数据不会被截获;访问外地子网时,希望与原子网的网络通信安全得到保证,被访问子网不会因移动节点的接人而使安全性受到影响;移动节点无法访问未授权的子网资源。
对于重放攻击,移动ipv6协议在注册消息中添加了序列号,并且在协议报文中引入了时间随机数(nonce)。家乡代理和通信节点通过比较前后两个注册消息序列号并结合nonce的散列值判定出攻击者保存下来的过期注册消息而不予理睬。
有效的保护(移动节点,家乡代理)、(移动节点,通信节点)之间的信令消息传递,可以防御其他形式的攻击。移动节点和家乡代理之间可以建立ipsec安全联盟来保护信令消息和业务流量。由于移动节点家乡地址和家乡代理都是已知的,所以可以预先为移动节点和家乡代理配置安全联盟,然后使用ipsec ah和esp机制建立安全隧道、提供数据源认证、完整性检查、数据加密和防重放攻击保护。
由于移动节点的转交地址是随着移动节点网络接入点变化而不断变化,且与之通信的对端通信节点也是变化的,因此无法预先配置建立二者之间的安全联盟。而且在全球互联网范围内很难实现公有密钥架构(public key infrastructure,pki),不同的认证管理域也很难建立信任关系,所以无法通过公共密钥加密机制保护移动节点与通信节点之间的信令消息。鉴于此,移动ipv6协议定义了往返可路由过程(return routability procedure,rrp),通过产生绑定管理密钥来实现对移动节点和通信节点之间控制信令的保护。
(1)移动节点和家乡代理间的安全
家乡代理通常由运营商部署及运营管理,而移动节点通常也是运营商的可控用户(可通过emsi或ca证书等手段对身份进行验证控制)。可以假设二者处于同一可信任域,移动ipv6使用ipsec技术来实现移动节点和家乡代理之间的信令信息保护。这些信息包括:
①注册过程中移动节点和家乡代理之间的binding update与binding ac-knowledgment消息。
②rrp过程中移动节点和家乡代理之间的home test init与home test消息。
③前缀发现过程中,移动节点和家乡代理之间的icmpv6消息。
④使用ipsec协议来保护移动节点和家乡代理之间交换的净荷信息。
使用ipsec协议可以提供对数据源验证、数据完整性、数据内容的机密性、抗重播保护以及有限的数据流机密性保证。移动ipv6协议利用ipsec的传输模式esp协议来保护从移动节点到家乡代理之间的信令消息。
(2)移动节点和通信节点间的安全
返回路径可达过程的目的在于通信节点必须确认移动节点对于它宣称的家乡地址和转交地址是可达的。只有得到这个确认之后,对端通信节点才会接受来自移动节点的绑定更新消息,而把以后的流量转发到移动节点新的转交地址。rrp过程的开始是由移动节点同时发送hoti和coti消息。hoti消息是经过移动节点的家乡代理发送到通信对端节点的,包含了一个home init cookie,对端通信节点收到这个消息后,回应一个home test消息。这个消息包含了下列的参数:
①home init cookie,这个参数的值必须和hoti消息的值相同。
②home keygen token,这个参数的值为:first(64,hmac ̄sha1(k对端通信节点,(home address|nonce|0))),其中k对端通信节点和n。nee都是由对端通信节点产生的随机数,用于产生home keygen token。
③home nonce index,是对端通信节点产生n°nee值的索引,避免了在消息中直接传送nonce的值。
coti消息是由移动节点直接发送给对端通信节点的,包含了一个care-oftest cookie。对端通信节点收到这个消息后,回应一个care-of test消息。这个消息包含了下列的参数:
①care-of cookie,这个参数必须和coti消息相同。
②care-of keygen token,它的值为first(64,hmac-shal(k对端通信节片虱,(care-of address|nonce| 1)))。
③care-of nonee index,nonce值的索引,避免在消息中直接传送nonce值。
移动节点收到了home test消息和care-of test消息后,往返可路由过程就已经完成了。接下来移动节点就拥有了足够的信息来认证自己可以向对端通信节点发送绑定更新请求消息,绑定更新消息包含的参数为:
①移动节点的家乡地址。
②序列号。
③care-of nonce index。
④firat(96,hmac shai(kbm,(care-of address|对端通信节点|bu)))。
如果对端通信节点验证了绑定更新消息确实为合法移动节点发送,对端通信节点就会创建新的绑定列表选项确认这个绑定更新。
欢迎转载,信息来自维库电子市场网(www.dzsc.com)
在移动网络中的安全问题主要是:当mn向家乡代理登记时不会被冒充或数据不会被截获;访问外地子网时,希望与原子网的网络通信安全得到保证,被访问子网不会因移动节点的接人而使安全性受到影响;移动节点无法访问未授权的子网资源。
对于重放攻击,移动ipv6协议在注册消息中添加了序列号,并且在协议报文中引入了时间随机数(nonce)。家乡代理和通信节点通过比较前后两个注册消息序列号并结合nonce的散列值判定出攻击者保存下来的过期注册消息而不予理睬。
有效的保护(移动节点,家乡代理)、(移动节点,通信节点)之间的信令消息传递,可以防御其他形式的攻击。移动节点和家乡代理之间可以建立ipsec安全联盟来保护信令消息和业务流量。由于移动节点家乡地址和家乡代理都是已知的,所以可以预先为移动节点和家乡代理配置安全联盟,然后使用ipsec ah和esp机制建立安全隧道、提供数据源认证、完整性检查、数据加密和防重放攻击保护。
由于移动节点的转交地址是随着移动节点网络接入点变化而不断变化,且与之通信的对端通信节点也是变化的,因此无法预先配置建立二者之间的安全联盟。而且在全球互联网范围内很难实现公有密钥架构(public key infrastructure,pki),不同的认证管理域也很难建立信任关系,所以无法通过公共密钥加密机制保护移动节点与通信节点之间的信令消息。鉴于此,移动ipv6协议定义了往返可路由过程(return routability procedure,rrp),通过产生绑定管理密钥来实现对移动节点和通信节点之间控制信令的保护。
(1)移动节点和家乡代理间的安全
家乡代理通常由运营商部署及运营管理,而移动节点通常也是运营商的可控用户(可通过emsi或ca证书等手段对身份进行验证控制)。可以假设二者处于同一可信任域,移动ipv6使用ipsec技术来实现移动节点和家乡代理之间的信令信息保护。这些信息包括:
①注册过程中移动节点和家乡代理之间的binding update与binding ac-knowledgment消息。
②rrp过程中移动节点和家乡代理之间的home test init与home test消息。
③前缀发现过程中,移动节点和家乡代理之间的icmpv6消息。
④使用ipsec协议来保护移动节点和家乡代理之间交换的净荷信息。
使用ipsec协议可以提供对数据源验证、数据完整性、数据内容的机密性、抗重播保护以及有限的数据流机密性保证。移动ipv6协议利用ipsec的传输模式esp协议来保护从移动节点到家乡代理之间的信令消息。
(2)移动节点和通信节点间的安全
返回路径可达过程的目的在于通信节点必须确认移动节点对于它宣称的家乡地址和转交地址是可达的。只有得到这个确认之后,对端通信节点才会接受来自移动节点的绑定更新消息,而把以后的流量转发到移动节点新的转交地址。rrp过程的开始是由移动节点同时发送hoti和coti消息。hoti消息是经过移动节点的家乡代理发送到通信对端节点的,包含了一个home init cookie,对端通信节点收到这个消息后,回应一个home test消息。这个消息包含了下列的参数:
①home init cookie,这个参数的值必须和hoti消息的值相同。
②home keygen token,这个参数的值为:first(64,hmac ̄sha1(k对端通信节点,(home address|nonce|0))),其中k对端通信节点和n。nee都是由对端通信节点产生的随机数,用于产生home keygen token。
③home nonce index,是对端通信节点产生n°nee值的索引,避免了在消息中直接传送nonce的值。
coti消息是由移动节点直接发送给对端通信节点的,包含了一个care-oftest cookie。对端通信节点收到这个消息后,回应一个care-of test消息。这个消息包含了下列的参数:
①care-of cookie,这个参数必须和coti消息相同。
②care-of keygen token,它的值为first(64,hmac-shal(k对端通信节片虱,(care-of address|nonce| 1)))。
③care-of nonee index,nonce值的索引,避免在消息中直接传送nonce值。
移动节点收到了home test消息和care-of test消息后,往返可路由过程就已经完成了。接下来移动节点就拥有了足够的信息来认证自己可以向对端通信节点发送绑定更新请求消息,绑定更新消息包含的参数为:
①移动节点的家乡地址。
②序列号。
③care-of nonce index。
④firat(96,hmac shai(kbm,(care-of address|对端通信节点|bu)))。
如果对端通信节点验证了绑定更新消息确实为合法移动节点发送,对端通信节点就会创建新的绑定列表选项确认这个绑定更新。
欢迎转载,信息来自维库电子市场网(www.dzsc.com)
上一篇:Ad Hoc网络的特点及安全威胁
上一篇:移动IP本身提供的安全机制
相关技术资料- 7-15高分子混合铝电解电容器应用探究
- 7-15高效节能4kW双向PFC电源方案解读
- 7-15离散半导体元件(晶体管、二极管等)技术参数设计
- 7-15CommonGround Human AI核心技术简
- 7-15520线车规级数字化激光雷达应用前景
- 7-15MPronto-12 (M12 Push Pull 连接器R
- 7-14NeuPro NPUs+ SensPro DSP技术参数设计
- 7-14双通道ATA-2022H高压放大器
- 7-14旗舰大模型Grok 4、Grok 4 API发展趋势
- 7-14耦合仿真技术及高保真模型试验技术应用探究
- 7-14GPU、FPGA、ASIC。GPU、FPGA技术解释
- 7-14ASIC/FPGA/GPU芯片及边缘-云端
- 相关IC型号
公网安备44030402000607
