計(jì)算機(jī)與編程移動(dòng)ip技術(shù)詳解

IP包括從一幢大樓內(nèi)的幾間房間到整個(gè)大學(xué)或公司，其最主要的特征是：網(wǎng)絡(luò)特別是路由結(jié)構(gòu)完全由一個(gè)機(jī)構(gòu)來管理。此外，我們還特別假設(shè)這個(gè)網(wǎng)絡(luò)與全球因特網(wǎng)不相連。首先，我們描述在這樣的一個(gè)園區(qū)中移動(dòng)IPIP的好處，然后，討論其中具有挑戰(zhàn)性的問題，即這種情況下的安全措施。我們從移動(dòng)用戶和網(wǎng)絡(luò)運(yùn)營(yíng)者的角度來分析安全威脅。在這一節(jié)中，我們將描述在園區(qū)網(wǎng)中使用移動(dòng)IP到底意味著什么，尤其是我們將介紹家鄉(xiāng)代理和外地代理的選址，以及移動(dòng)節(jié)點(diǎn)如何得到它們的服務(wù)。然后，在其他節(jié)中，我們將檢查這種網(wǎng)絡(luò)面臨的安全威脅，并對(duì)這些安全威脅提供防范措施。內(nèi)部網(wǎng)是基于TCP/IP協(xié)議的一個(gè)專用網(wǎng)，它可以是全球因特網(wǎng)的一部分（但通常用防火墻阻止攻擊來保證安全，也可以是一個(gè)私有的網(wǎng)絡(luò)而根本不和全球因特網(wǎng)相連。一個(gè)園區(qū)內(nèi)部網(wǎng)就是一個(gè)專用網(wǎng)，它為一個(gè)公司的所有計(jì)算機(jī)提供連接。在這一章中，我們假設(shè)一個(gè)園8-1給出了一幢具有這種網(wǎng)絡(luò)的公司大樓。這可以是一個(gè)大公司的園區(qū)，也可能是一個(gè)辦公樓內(nèi)屬于一家公司的幾間房間。圖中，公司的每個(gè)部門有自己的局域網(wǎng)（LAN，包括部門的主機(jī)間通信用的一些物理媒介。為使事情變得更有趣，我們假設(shè)在這個(gè)網(wǎng)內(nèi)有兩種媒介：有線以太網(wǎng)和某些類型的無線LAN網(wǎng)（如ATTaveLAN、Proxim等。在圖8-1中，主機(jī)被表示成一個(gè)個(gè)方盒子，每個(gè)都連接在LAN上。沒有被占用的LAN端口或網(wǎng)絡(luò)插座，被表示成沒有連接主機(jī)的垂直線，這些端口可能位于會(huì)議室等地方。在那些地方，雇員們可能要將一臺(tái)筆記本電腦連接到網(wǎng)絡(luò)上。未用的LAN圖8-1各個(gè)部門的LAN被連到了路由器上，它們對(duì)IP包進(jìn)行盡量少的轉(zhuǎn)發(fā)。每臺(tái)路由器都連到了高速光纖主干網(wǎng)上，使得各個(gè)部門之間可以共享信息。另外，我們還假設(shè)所有主機(jī)完全由公司擁有，因此，假設(shè)在一般情況下這些主機(jī)都是可以相信的。（在第9章中，我們放松了這個(gè)假設(shè)，從而對(duì)安全問題提出了更多的挑戰(zhàn)。將圖8-1中的所有路由器升級(jí)成同時(shí)支持家鄉(xiāng)代理和外地代理絡(luò)，并在所有主機(jī)上安裝移動(dòng)節(jié)點(diǎn)軟件，圖中的網(wǎng)絡(luò)就變成了一個(gè)支持移動(dòng)IP的網(wǎng)絡(luò)。我們也可以將每個(gè)LAN上的一臺(tái)或多臺(tái)主機(jī)升級(jí)成家鄉(xiāng)代理和外地代理。最終的網(wǎng)絡(luò)如圖8-2所示，圖中的每臺(tái)路由器都同時(shí)執(zhí)行家鄉(xiāng)代理和外地代理的功能。在公司的所有路由器上安裝外地代理和家鄉(xiāng)代理軟件，或者將外地代理和家鄉(xiāng)代理軟件安裝在網(wǎng)絡(luò)上的各種個(gè)人計(jì)算機(jī)或工作站上，每一條鏈路至少有一臺(tái)。以簡(jiǎn)單明了的方式為每個(gè)移動(dòng)節(jié)點(diǎn)分配一條家鄉(xiāng)鏈路、一個(gè)家鄉(xiāng)地址和一個(gè)家鄉(xiāng)代理，例如，穿過R&D部門的地板和小間隔斷的以太網(wǎng)網(wǎng)段就可以成為這個(gè)部門的工程師們擁有的移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)鏈路。相似地，他們的移動(dòng)節(jié)點(diǎn)將被分配網(wǎng)絡(luò)前綴與所在鏈路的網(wǎng)絡(luò)前綴相等的本地IP地址。最后，連到這條鏈路上的路由器就成了這些移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)代理。由于移動(dòng)節(jié)點(diǎn)帶有認(rèn)證注冊(cè)規(guī)程的要求，應(yīng)為各個(gè)移動(dòng)節(jié)點(diǎn)和它的家鄉(xiāng)代理分別分配一個(gè)共享密鑰。移動(dòng)IP管理信息庫MIB（ManagementInformationBase）[RFC2006]可以幫助網(wǎng)絡(luò)管理人員管理網(wǎng)上的這些移動(dòng)節(jié)點(diǎn)、外地代理和家鄉(xiāng)代理。MIB定義了一個(gè)變量集合，它可以采用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議第二版本（SNMPv2SimpleNetworkManagementProtocol）[RFC1905]的MIB允行管理員將一個(gè)移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)地址和認(rèn)證密鑰配置到移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)代理上。當(dāng)然，這種操作應(yīng)采用SNMP的安全版本，否則密鑰就會(huì)在網(wǎng)絡(luò)上以明碼傳送，從而很容易被截獲。MIB能進(jìn)行的另外操作包括就認(rèn)證失敗和安全侵害對(duì)代理進(jìn)行監(jiān)測(cè)，它可以提出移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理是否使用了同一種防止重發(fā)攻擊的方法（即時(shí)間標(biāo)記還是Nonces。相似地，管理員可以改變家鄉(xiāng)代理和外地代理在注冊(cè)中允許的最大生存時(shí)間等配置參數(shù)。未用的LAN圖8-2移動(dòng)IP這個(gè)移動(dòng)IP的“園區(qū)內(nèi)部網(wǎng)”應(yīng)用是非常簡(jiǎn)明，而且實(shí)現(xiàn)起來也很容易，MIB使得這個(gè)應(yīng)IP，雇員可以將他的筆記本電腦搬到內(nèi)部網(wǎng)的任何地方，插到任何一個(gè)網(wǎng)絡(luò)插座上（或以無線方式通信，然后就可以訪問那些連接在自己的桌面上時(shí)能訪問的信息了。例如，當(dāng)在會(huì)議過程中有一些問題時(shí)，人們可以用筆記本電腦查找電子郵箱或一個(gè)網(wǎng)頁來找尋答案，從而立即解決問題，而不是推遲作出一個(gè)重要決定，或在根本沒有充分事實(shí)的情況下爭(zhēng)吵不休而浪費(fèi)時(shí)間。當(dāng)筆記本電腦從它們的家鄉(xiāng)鏈路上拔下來，然后連接到會(huì)議室的一個(gè)網(wǎng)絡(luò)插座上時(shí)，不需要進(jìn)行重新啟動(dòng)或重新配置，另外，應(yīng)用程序也不需要重起，因?yàn)橐苿?dòng)IP允許筆記本電腦在園區(qū)網(wǎng)內(nèi)移動(dòng)時(shí)不改變IP地址。在以下的幾節(jié)中，我們將研究采用前面所述的移動(dòng)IP的園區(qū)網(wǎng)存在哪些安全威脅。注意，安全威脅總是來自某些人，所以，研究帶來安全威脅的源頭的特性以及減小安全威脅應(yīng)采取的步驟是非常重要的。我們用安全模型這個(gè)詞來表示我們?cè)诤畏N情況下允許哪些人訪問網(wǎng)絡(luò)。在本章中，我們假設(shè)對(duì)網(wǎng)絡(luò)的物理連接有嚴(yán)格的控制，也就是說，我們有一系列機(jī)制來防止未授權(quán)的用戶將計(jì)算機(jī)連到網(wǎng)上，無論是通過有線的還是無線的網(wǎng)絡(luò)接口，這些機(jī)制包括安全保衛(wèi)、印著名字的胸牌等等各種方式。我們還假設(shè)網(wǎng)絡(luò)管理員是唯一允許通過網(wǎng)絡(luò)或物理連接訪問路由器的人。對(duì)于那些確實(shí)想保護(hù)他們的計(jì)算機(jī)以及計(jì)算機(jī)中存儲(chǔ)的信息的公司來說，這種安全模型提供了非常謹(jǐn)慎的措施。這種安全模型和前面所說的移動(dòng)IP沒有特別的關(guān)系，同樣的物理安全要求對(duì)所有的園區(qū)內(nèi)部網(wǎng)都是適用的，無論這個(gè)網(wǎng)是否支持移動(dòng)IP。如果對(duì)網(wǎng)絡(luò)的物理訪問有了嚴(yán)格的控制，那么網(wǎng)絡(luò)所面對(duì)的安全威脅就小得多了，但是物理安全從來都不是完美的，因此，一旦有人危及園區(qū)網(wǎng)的物理安全時(shí)，我們希望找到一些方法來減少可能發(fā)生的攻擊帶來的影響。在下面幾節(jié)中，我們將研究幾種安全威脅。這種攻擊與前面所說的移動(dòng)IP沒有任何關(guān)系，但為了內(nèi)容的完整性，我們注意到移動(dòng)節(jié)點(diǎn)和網(wǎng)絡(luò)本身對(duì)來自“內(nèi)部人員”的攻擊是非常脆弱的。所謂內(nèi)部人員是指認(rèn)為是可信的雇員。Ernst&oung和InformationWeek[Viol96]所作的一項(xiàng)調(diào)查表明，在對(duì)公司網(wǎng)絡(luò)成功的攻擊中，來自內(nèi)部人員的攻擊是從外部攻入網(wǎng)絡(luò)的兩倍。通常，這些內(nèi)部攻擊牽扯到一個(gè)不滿的雇員得到一些敏感的數(shù)據(jù)，然后將這些數(shù)據(jù)通過電子的方式或物理的方式轉(zhuǎn)發(fā)給競(jìng)爭(zhēng)對(duì)手。減小這種攻擊的影響的唯一方法是：對(duì)誰能訪問哪些數(shù)據(jù)作出嚴(yán)格的控制（如讓人力資源部的員工訪問放在工程部門的計(jì)算機(jī)中的集成電路設(shè)計(jì)是毫無必要的。對(duì)用戶和計(jì)算機(jī)采取嚴(yán)格的認(rèn)證來保證這種訪問控制。特別是消除用戶名/口令的明碼對(duì)在源和目的計(jì)算機(jī)間傳送的所有數(shù)據(jù)采用端到端的加密，以防止數(shù)據(jù)在網(wǎng)上傳送時(shí)被那些偷聽者偷走。這些方法無法阻止不滿的雇員將他有權(quán)訪問的信息透露給競(jìng)爭(zhēng)對(duì)手，然而，這些步驟確實(shí)可以防止一個(gè)部門的人員將另一個(gè)部門的信息泄露出去。我們?cè)僖淮握f明，本節(jié)中所介紹的安全威脅不只是針對(duì)移動(dòng)IP的，移動(dòng)IP也根本不會(huì)加劇這些安全威脅。這只是提供一個(gè)安全的專用網(wǎng)環(huán)境，了解這些安全威脅是非常重要的。在這一節(jié)中，我們介紹對(duì)移動(dòng)節(jié)點(diǎn)的拒絕服務(wù)攻擊。如果移動(dòng)IP不是從開始就設(shè)計(jì)專門的方法來對(duì)付這種攻擊，那么任一個(gè)移動(dòng)節(jié)點(diǎn)都可能受到這種攻擊。特別要注意，這種攻擊不是專門針對(duì)本章中采用移動(dòng)IP園區(qū)網(wǎng)情況的，這種攻擊對(duì)所有使用移動(dòng)節(jié)點(diǎn)、外地代理和家鄉(xiāng)代理的情況都有效。我們?cè)谶@一章中討論這個(gè)問題，是因?yàn)檫@是本書研究移動(dòng)節(jié)點(diǎn)所面臨的安全威脅的第一個(gè)機(jī)會(huì)。一般來說，拒絕服務(wù)攻擊是指一個(gè)“壞家伙”為阻止另一個(gè)人正常工作所做的一些事情。在計(jì)算機(jī)網(wǎng)絡(luò)中，拒絕服務(wù)攻擊常采用以下形式：“壞家伙”向主機(jī)（如一個(gè)Web服務(wù)器）CPU忙于處理“壞家伙”對(duì)網(wǎng)絡(luò)上兩個(gè)節(jié)點(diǎn)之間傳送的包進(jìn)行干擾。通常，這個(gè)“壞家伙”必須位于這兩個(gè)節(jié)點(diǎn)之間的路徑上才可以發(fā)動(dòng)這種攻擊。移動(dòng)IP本身對(duì)這些無用的數(shù)據(jù)包無能為力。在第10章中，我們還會(huì)看到，解決這個(gè)問題IP對(duì)IP路由技術(shù)的一個(gè)主要假設(shè)變得無效了。這方面的細(xì)節(jié)我們將在第10.3中研究。如果移動(dòng)IP沒有從開始就設(shè)計(jì)對(duì)付第二種形式的拒絕服務(wù)攻擊，即“壞家伙”阻止兩個(gè)合法節(jié)點(diǎn)間的數(shù)據(jù)傳送，那么這種攻擊引起的威脅會(huì)因?yàn)橐苿?dòng)而加劇。在本節(jié)的余下部分，IP是如何來對(duì)付它的?；叵胍幌拢苿?dòng)IP注冊(cè)的一個(gè)主要目的是讓移動(dòng)節(jié)點(diǎn)將它的轉(zhuǎn)交地址通知給它的家鄉(xiāng)代理，家鄉(xiāng)代理將根據(jù)轉(zhuǎn)交地址把目的地址為移動(dòng)節(jié)點(diǎn)地址的數(shù)據(jù)包通過隧道送給移動(dòng)節(jié)點(diǎn)。當(dāng)一個(gè)“壞家伙”發(fā)出一個(gè)偽造的注冊(cè)請(qǐng)求，把它自己的IP地址當(dāng)作移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址時(shí)，如圖8-3所示，通信對(duì)端送出的所有數(shù)據(jù)包都會(huì)被移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)代理通過隧道送給這個(gè)“壞理發(fā)送一條偽造的注冊(cè)請(qǐng)求消息。與固定的主機(jī)和路由器比較一下，對(duì)于固定的主機(jī)，一個(gè)節(jié)點(diǎn)要想中斷另兩個(gè)主機(jī)之間的通信，通常它必須位于這兩臺(tái)主機(jī)之間的路徑上，但在移動(dòng)狀況下，節(jié)點(diǎn)可以從網(wǎng)絡(luò)的任一個(gè)角落進(jìn)行這種拒絕服務(wù)攻擊。這就是IAB（InternetArchitectureBoard）要求移動(dòng)IP的設(shè)計(jì)者們對(duì)付的又一個(gè)安全威脅。地址為外地鏈 圖8-3對(duì)這種安全威脅的解決方法是要求移動(dòng)節(jié)點(diǎn)和它的家鄉(xiāng)代理之間交互的所有注冊(cè)消息都7.4中所述，有效的認(rèn)證是指“壞家伙”幾乎不可能產(chǎn)生一個(gè)偽造的注冊(cè)請(qǐng)求消息而又不被家鄉(xiāng)代理識(shí)破。移動(dòng)IP允許移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理采用它們選擇的任何認(rèn)證算法，然而，所有實(shí)現(xiàn)必須支持“KeyedMD5”作為缺省算法。這種認(rèn)證利用MD5消息摘要算法[RFC1321]來提供第7.4.4中所介紹的密鑰認(rèn)證和完整性檢查。移動(dòng)IP認(rèn)證是這樣采用KeyedMD5的，如圖8-4所示，移動(dòng)節(jié)點(diǎn)產(chǎn)生一條注冊(cè)請(qǐng)求消息，其中包括固定部分和移動(dòng)-家鄉(xiāng)認(rèn)證擴(kuò)展，移動(dòng)節(jié)點(diǎn)填寫消息和擴(kuò)展部分中除認(rèn)證域外的所有其他的域，認(rèn)證域?yàn)榭瞻?，然后移?dòng)節(jié)點(diǎn)對(duì)以下這一串字節(jié)計(jì)算出一個(gè)MD5[RFC1321消息摘要：包括移動(dòng)-家鄉(xiāng)認(rèn)證擴(kuò)展在內(nèi)的所有擴(kuò)展（即類型、長(zhǎng)度和安全參數(shù)索引域，但不包括認(rèn)證域。MD5計(jì)算的輸出為一個(gè)16字節(jié)的消息摘要，移動(dòng)節(jié)點(diǎn)將這個(gè)消息摘要放入移動(dòng)-家鄉(xiāng)認(rèn)證擴(kuò)展的認(rèn)證域中，這樣就完成了一個(gè)注冊(cè)請(qǐng)求消息的組裝。然后，移動(dòng)節(jié)點(diǎn)將這個(gè)消息送給家鄉(xiāng)代理，具體方法已在第5.3.2中說明了。當(dāng)消息到達(dá)家鄉(xiāng)代理后，家鄉(xiāng)代理所做的工作與移動(dòng)節(jié)點(diǎn)在組裝消息時(shí)所做的工作大致相同。家鄉(xiāng)代理用它和移動(dòng)節(jié)點(diǎn)共有的秘密密鑰以及接收到的注冊(cè)請(qǐng)求消息的各個(gè)域計(jì)算消息摘要，然后將計(jì)算結(jié)果與從移動(dòng)節(jié)點(diǎn)那里接收到的認(rèn)證域相比較。如果相等，家鄉(xiāng)代理就知道移動(dòng)節(jié)點(diǎn)確實(shí)發(fā)出了一條注冊(cè)請(qǐng)求消息，而且這條消息在傳送過程中沒有被更改。因此，移動(dòng)IP的認(rèn)證擴(kuò)展同時(shí)提供了認(rèn)證和完整性檢查。家鄉(xiāng)代理向移動(dòng)節(jié)點(diǎn)返回注冊(cè)應(yīng)答時(shí)的過程正好相反。家鄉(xiāng)代理計(jì)算注冊(cè)應(yīng)答消息和密鑰的消息摘要，將消息摘要放在注冊(cè)應(yīng)答的認(rèn)證域中，移動(dòng)節(jié)點(diǎn)檢查消息摘要來對(duì)家鄉(xiāng)代理進(jìn)行認(rèn)證，并檢查應(yīng)答消息的完整性。函數(shù)

圖8-4利用KeyedMD5如上所述，移動(dòng)-家鄉(xiāng)認(rèn)證擴(kuò)展防止了拒絕服務(wù)攻擊。然而這還不夠，因?yàn)橐粋€(gè)“壞家伙”可以將一個(gè)有效的注冊(cè)請(qǐng)求消息存起來，然后過了一段時(shí)間后再重發(fā)這個(gè)消息，從而注冊(cè)一個(gè)偽造的轉(zhuǎn)交地址。這防止這種重發(fā)攻擊的發(fā)生，移動(dòng)節(jié)點(diǎn)為每一個(gè)連續(xù)的注冊(cè)消息標(biāo)識(shí)域（Identification）產(chǎn)生一個(gè)唯一值。這個(gè)值使得家鄉(xiāng)代理可以知道下一個(gè)值應(yīng)是多少，這樣，“壞家伙”就無能為力了，因?yàn)樗４娴淖?cè)請(qǐng)求消息會(huì)被家鄉(xiāng)代理判定為已經(jīng)過時(shí)了。為防止重發(fā)攻擊，移動(dòng)IP定義了兩種填寫標(biāo)識(shí)域的方法。第一種方法是用時(shí)間標(biāo)簽，移動(dòng)節(jié)點(diǎn)將它當(dāng)前估計(jì)的日期和時(shí)間填寫進(jìn)標(biāo)識(shí)域中。如果這種估計(jì)和家鄉(xiāng)代理估計(jì)的時(shí)間不夠接近，那么家鄉(xiāng)代理會(huì)拒絕這個(gè)注冊(cè)請(qǐng)求，并向移動(dòng)節(jié)點(diǎn)提供一些信息來同步它的時(shí)鐘，這樣移動(dòng)節(jié)點(diǎn)以后產(chǎn)生的標(biāo)識(shí)就會(huì)在家鄉(xiāng)代理允許的誤差范圍內(nèi)了。另一種方法采用Nonces，這讓我們聯(lián)想起第7.4.4中的隨機(jī)數(shù)Challenges。在這種方法中，移動(dòng)節(jié)點(diǎn)向家鄉(xiāng)代理規(guī)定了向移動(dòng)節(jié)點(diǎn)發(fā)送下一個(gè)注冊(cè)應(yīng)答消息標(biāo)識(shí)域的低半部分中必須放置的值，相似地，家鄉(xiāng)代理向移動(dòng)節(jié)點(diǎn)規(guī)定了在下一個(gè)注冊(cè)請(qǐng)求消息標(biāo)識(shí)域的高半部分中必須放置的值。如果有任一個(gè)節(jié)點(diǎn)接收到的注冊(cè)消息的標(biāo)識(shí)域與期望的值不符，如果是家鄉(xiāng)代理，它就拒絕這條消息，而移動(dòng)節(jié)點(diǎn)則不理會(huì)這條消息。拒絕機(jī)制使移動(dòng)節(jié)點(diǎn)可以和家鄉(xiāng)代理同步，以防止它們保留有關(guān)下一個(gè)消息標(biāo)識(shí)域過時(shí)的值。移動(dòng)IP個(gè)假的移動(dòng)節(jié)點(diǎn)當(dāng)前轉(zhuǎn)交地址報(bào)告給移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)代理，因?yàn)樗械淖?cè)消息對(duì)消息源進(jìn)行認(rèn)證，并有完整性檢查和防止重發(fā)攻擊的機(jī)制。移動(dòng)節(jié)點(diǎn)和網(wǎng)絡(luò)上的其他節(jié)點(diǎn)面對(duì)的另一個(gè)嚴(yán)重的安全威脅就是信息的竊取。當(dāng)一個(gè)“壞家伙”偷聽其他人的數(shù)據(jù)包，以竊取數(shù)據(jù)包中可能包含的機(jī)密和私有信息時(shí)，就稱為竊取信息。如第7.3中所述，經(jīng)常采用加密的方法來防止數(shù)據(jù)被未經(jīng)授權(quán)的人檢看。在這一節(jié)中，我們將介紹兩種方法，這兩種方法采用了加密來防止數(shù)據(jù)中的機(jī)密被網(wǎng)絡(luò)上的移動(dòng)節(jié)點(diǎn)和其他節(jié)點(diǎn)發(fā)送和接收。根據(jù)第8.1.4中介紹的安全模型，我們已經(jīng)知道為使安全措施有效，必須保證網(wǎng)絡(luò)的物理安全性?？傆幸恍┤藭?huì)被授予訪問網(wǎng)絡(luò)的權(quán)力，如銷售商、客戶、求職者和維修人員等。物理安全也很難做得完美，總有一些未經(jīng)授權(quán)的人被允許接入網(wǎng)絡(luò)。我們注意到，無線鏈路是非常脆弱的，為得到鏈路上傳送的信息，人們并不需要物理地連接到網(wǎng)絡(luò)上。我們認(rèn)識(shí)到了網(wǎng)絡(luò)物理安全的脆弱特性，并采取措施來加固網(wǎng)絡(luò)的安全。假設(shè)總會(huì)有未經(jīng)授權(quán)的用戶通過無線的或有線的方式接入網(wǎng)絡(luò)，因此必須采取步驟來加固網(wǎng)絡(luò)以防止這些人。在本章的移動(dòng)園區(qū)網(wǎng)例子中，我們假設(shè)移動(dòng)節(jié)點(diǎn)可以通過兩種媒介連接到外地代理和家鄉(xiāng)代理上：無線LAN（LocalAreaNetworks）和有線的以太網(wǎng)。在這一節(jié)中，我們將介紹一種當(dāng)移動(dòng)節(jié)點(diǎn)和它的外地代理之間的數(shù)據(jù)在較脆弱的無線鏈路上傳送時(shí)，防止“壞家伙”偷聽的方法。下一節(jié)中，我們將介紹一種更好的方法，它與物理媒介無關(guān)，而且可以在網(wǎng)絡(luò)的任一個(gè)點(diǎn)上保護(hù)數(shù)據(jù)，而不僅僅是在移動(dòng)節(jié)點(diǎn)的外地鏈路上對(duì)數(shù)據(jù)進(jìn)行保護(hù)。圖8-5所示的上半部分表明了數(shù)據(jù)鏈路層加密。在這里，移動(dòng)節(jié)點(diǎn)和外地代理對(duì)它們?cè)谕獾劓溌飞辖粨Q的所有數(shù)據(jù)包進(jìn)行加密，我們還假設(shè)這種加密中的密鑰管理沒有將密鑰泄露給任何經(jīng)授權(quán)的人，這樣在鏈路上傳送的幀包含了只有移動(dòng)節(jié)點(diǎn)和外地代理才能解密的加密數(shù)據(jù)包。當(dāng)外地鏈路是無線LAN時(shí)，數(shù)據(jù)鏈路層加密變得尤為重要。在無線鏈路上進(jìn)行偷聽要更容易一些，因?yàn)橥德犝卟恍枰锢淼剡B接到鏈路上就可以接收數(shù)據(jù)了。因此，為防止偷聽，對(duì)無線鏈路上傳送的數(shù)據(jù)包進(jìn)行加密是非常重要的。正是由于這個(gè)原因，許多銷售無線LAN網(wǎng)絡(luò)接口的銷售商都將加密作為一個(gè)可選項(xiàng)做進(jìn)了他們的產(chǎn)品。還有一些銷售商不提供這種加密機(jī)制，而宣稱就偷聽而言，他們的物理層協(xié)議是“安全的”，因?yàn)樗麄兊奈锢韺訁f(xié)議很難解碼。這種宣稱是不可信的，因?yàn)樵S多密碼學(xué)家一致認(rèn)為這些產(chǎn)品傳送的信息相對(duì)來說是比較容易攻破的，特別是與強(qiáng)大的加密算法相比時(shí)。對(duì)這種方法有一個(gè)說法稱為“隱匿中的安全”，它可能被稱為是“隱匿”的，但決不是“安全”的！對(duì)于想保證他們的數(shù)據(jù)的機(jī)密性和完整性的人來說，采用端到端加密總是對(duì)的。端到端加密是指在通信的源對(duì)數(shù)據(jù)進(jìn)行加密，在目的地對(duì)數(shù)據(jù)進(jìn)行解密，而不只是在最后一段或第一段鏈路上對(duì)數(shù)據(jù)進(jìn)行加解密(這并不是說鏈路加密不好，只是說，端到端加密要更好些)。端到端加密的好處有很多：無論外地鏈路采用的是什么媒介，數(shù)據(jù)都得到了保護(hù)（很難找到一種產(chǎn)品，它采用特定的鏈路技術(shù)，同時(shí)又實(shí)現(xiàn)了加密。只在源和目的地(而不是在許多地方)才對(duì)數(shù)據(jù)進(jìn)行展開，這樣防止了通信過程中不必要的時(shí)延。這種方法可以擴(kuò)展到通過公用網(wǎng)訪問專用網(wǎng)的情況，這時(shí)不會(huì)犧牲專用網(wǎng)上數(shù)據(jù)的機(jī)密性（在第9章中可以看到這種例子。圖8-5中的第二張圖表明了采用端到端加密對(duì)付信息竊取的方法。如圖所示，鏈路層加密不能阻止“壞家伙”在外地代理和通信對(duì)端之間的路徑上偷聽，它只能阻止“壞家伙”在外地鏈路上偷聽。相反，端到端加密不存在這種脆弱性。在圖8-5的第二張圖中，在任何一點(diǎn)偷聽的偷聽者看到的只是他無法解密的密文。在基于因特網(wǎng)的應(yīng)用中采用端到端加密的例子有SSH（Secureremote[Unix]SHell、（SecureremotefileCoPy）和SSL(SecureSocketsLayer)(在許多安全站點(diǎn)和WWW瀏覽器上使用)。ESP（EncapsulationSecurityPayload）[RFC1827]可以為不能支持加密的應(yīng)用程序提供1.1.移動(dòng)節(jié)點(diǎn)外地鏈路2.使用IP封裝安全凈荷進(jìn)行的端到端加密：沒有明顯的漏 移動(dòng)節(jié)點(diǎn)未加密的移動(dòng)IP圖8-5竊取信息：會(huì)話竊取攻擊會(huì)話竊取攻擊是指一個(gè)“壞家伙”等一個(gè)合法節(jié)點(diǎn)進(jìn)行認(rèn)證并開始應(yīng)用會(huì)話后，通過假扮合法節(jié)點(diǎn)將會(huì)話竊取過去。通常，這個(gè)“壞家伙”必須發(fā)送大量的無用數(shù)據(jù)包來防止合法節(jié)點(diǎn)發(fā)現(xiàn)會(huì)話已被竊取了。這一節(jié)中的安全威脅的特性與被動(dòng)偷聽的特性有些相似。也就是說，我們假設(shè)這個(gè)“壞家伙”已經(jīng)通過了公司的物理安全防護(hù)，并且在移動(dòng)節(jié)點(diǎn)的外地鏈路無線收發(fā)器的工作范圍內(nèi)。同樣，我們也可以假設(shè)它物理地連接在一條基于以太網(wǎng)的外地鏈路上。這種會(huì)話竊取攻擊是這樣發(fā)起的：“壞家伙”偷聽移動(dòng)節(jié)點(diǎn)是否開始了一個(gè)感興趣的通信（如主機(jī)的遠(yuǎn)程登錄會(huì)話或連接到它在遠(yuǎn)端的電子郵箱。CPU“壞家伙”發(fā)送一個(gè)似乎是從移動(dòng)節(jié)點(diǎn)發(fā)出的數(shù)據(jù)包，并截獲發(fā)往移動(dòng)節(jié)點(diǎn)的數(shù)據(jù)包，從而竊取會(huì)話。移動(dòng)節(jié)點(diǎn)的用戶可能意識(shí)到有些不對(duì)頭，因?yàn)樗膽?yīng)用停止工作了。但是，這個(gè)用戶可能并不知道它的會(huì)話已被竊取了，因?yàn)樵谄聊簧喜]有顯示發(fā)生了這種事情?！皦募一铩边€可以竊取那些碰巧與移動(dòng)節(jié)點(diǎn)連在同一條鏈路上的主機(jī)的會(huì)話。這些主機(jī)包括沒有使用移動(dòng)IP的節(jié)點(diǎn)以及連在家鄉(xiāng)鏈路上的移動(dòng)節(jié)點(diǎn)。防止這種攻擊的方法與防止偷聽的方法一樣，至少要求移動(dòng)節(jié)點(diǎn)和它的外地代理之間有鏈路層加密。和前面所說的一樣，最好是在移動(dòng)節(jié)點(diǎn)和它的通信對(duì)端之間有端到端加密，我們將把這方面的討論放到下一節(jié)中去。加密可以防止會(huì)話竊取攻擊的原因是：如果移動(dòng)節(jié)點(diǎn)和外地代理之間采用了鏈路層加密，那么它們各自都認(rèn)為從另一方接收到的數(shù)據(jù)包是加密的。這就意味著，為了得到明文，它們中的每個(gè)節(jié)點(diǎn)都要對(duì)接收到的數(shù)據(jù)包進(jìn)行解密。注意，只有移動(dòng)節(jié)點(diǎn)和外地代理才擁有對(duì)它們之間交換的數(shù)據(jù)進(jìn)行加解密的密鑰?！皦募一铩庇捎诘貌坏胶线m的密鑰，他就不可能產(chǎn)生移動(dòng)節(jié)點(diǎn)和外地代理能正常解密的密文，或者解出的明文全是亂碼。進(jìn)一步地，好的加密機(jī)制可以提供一種方法讓解密的一方能確定恢復(fù)的明文是合法的還是亂碼。實(shí)現(xiàn)這種功能的一種明顯的方法是同時(shí)提供數(shù)據(jù)加密和完整性檢查，在解密時(shí)，如果數(shù)據(jù)不能通過完整性檢查，那么接收節(jié)點(diǎn)就知道這是亂碼了。如[Bellovin96]中所描述的，不帶認(rèn)證的加密存在嚴(yán)重的弱點(diǎn)，對(duì)敏感的數(shù)據(jù)同時(shí)進(jìn)行加密和認(rèn)證是明智的選擇。正確使用的加密使得本節(jié)中所描述的會(huì)話竊取攻擊變得無法實(shí)現(xiàn)。如果“壞家伙”沒有連接到外地鏈路上（如鏈路是有線的，或他位于無線收發(fā)器的工作范圍以外，他仍然可以發(fā)動(dòng)會(huì)話竊取攻擊。當(dāng)然，這要求他可以從移動(dòng)節(jié)點(diǎn)和通信對(duì)端之間“壞家伙”發(fā)動(dòng)攻擊的方法也與前一節(jié)中討論的一樣。也就是說，他先偷聽對(duì)話過程，直到發(fā)現(xiàn)有感興趣的攻擊目標(biāo)，然后用無用的數(shù)據(jù)包攻擊一個(gè)端點(diǎn)，最后假扮被攻擊節(jié)點(diǎn)加密仍然是防止這種攻擊的方法。顯然，只在外地鏈路上使用的鏈路層加密不再夠用，而要求用端到端加密來保護(hù)網(wǎng)絡(luò)上任一點(diǎn)上的數(shù)據(jù)，這種加密可以用ESP8.4.3這一節(jié)描述一個(gè)“壞家伙”在本章所說的園區(qū)網(wǎng)上可能發(fā)起的其他主動(dòng)攻擊。與前面幾IP地址，并設(shè)法攻入網(wǎng)絡(luò)上的其他主機(jī)。這種威脅的特性與第8.5.2中所說的攻擊相同。也就是說，“壞家伙”先通過網(wǎng)絡(luò)的物理安收聽移動(dòng)IP收聽鏈路上各個(gè)節(jié)點(diǎn)的數(shù)據(jù)包，仔細(xì)檢查源IP地址和目的IP地址，從中推斷出鏈路的網(wǎng)向DHCP服務(wù)器發(fā)送數(shù)據(jù)包，由于這臺(tái)服務(wù)器的安全漏洞或配置錯(cuò)誤，服務(wù)器會(huì)告訴他想要的東西，甚至給他分配一個(gè)IP地址！“壞家伙”猜測(cè)一個(gè)可用的主機(jī)號(hào)，與第一步中得到的網(wǎng)絡(luò)前綴一起就得到了一個(gè)在IP地址。一種得到未用主機(jī)號(hào)的方法是：對(duì)數(shù)據(jù)包進(jìn)行一段時(shí)間的監(jiān)聽，然后找到一個(gè)目前可能沒用的主機(jī)號(hào)。另一種方法是選一個(gè)主機(jī)號(hào)，發(fā)送一些帶這個(gè)IP地址的ARP請(qǐng)求消息，然后看一下這個(gè)消息是否得到應(yīng)答。如果沒有應(yīng)答，那么這個(gè)主機(jī)號(hào)很可能還沒有被使用?！皦募一铩崩^續(xù)設(shè)法攻入網(wǎng)絡(luò)上的其他主機(jī)。例如，設(shè)法登錄到一臺(tái)UNIX機(jī)器，猜測(cè)用戶名/口令直到成功。我們注意到，有那么多的網(wǎng)絡(luò)具有口令很容易猜的主機(jī)帳號(hào)，因此這8個(gè)字符長(zhǎng)，并至少有一個(gè)或多個(gè)標(biāo)點(diǎn)符號(hào)或空格，而且不應(yīng)寫在紙上或貼在計(jì)算機(jī)監(jiān)視器上。防止網(wǎng)絡(luò)攻擊的一種方法是使“壞家伙”在這種網(wǎng)絡(luò)接口上無法與網(wǎng)絡(luò)上的其他節(jié)點(diǎn)通信，這要求以下的安全措施：所有公共的網(wǎng)絡(luò)接口（如在會(huì)議室內(nèi)的）必須連接到外地代理上，這個(gè)外地代理配置成實(shí)現(xiàn)與它的代理廣播消息中的R比特有關(guān)的策略。這臺(tái)外地代理應(yīng)拒絕為鏈路上那些沒有在外地代理上注冊(cè)過的節(jié)點(diǎn)路由數(shù)據(jù)包（5.3.7。在會(huì)話可能被竊取的鏈路上不應(yīng)該有任何節(jié)點(diǎn)，不管是移動(dòng)的還是非移動(dòng)的。提供這種保護(hù)的最簡(jiǎn)單的方法是將所有非移動(dòng)的節(jié)點(diǎn)從這條鏈路上移走，并要求所有合法的移動(dòng)節(jié)點(diǎn)（至少）使用鏈路層加密。進(jìn)行攻擊了。需要注意，與連接這種會(huì)議室的路由器相比，上面所描述的R比特置位的外地代理能提供更好的防范攻擊的能力。因此，在某種意義上，如果使用得當(dāng)，移動(dòng)IP能提供更好一些的安在這一章中我們介紹了在一個(gè)公司網(wǎng)絡(luò)上