移动互连的基本原理及安全问题

移动互连的基本原理及安全问题

Risun 2003-6-19

[以前课堂上的一个小论文，快速制造] 

互联网的应用飞速发展，但是到目前为止，我们要从互联网上获得信息，必须在家中、办公室或其他的地方，通过一台拥有固定ip的电脑联入互联网。这个ip正如我们的住址，通过它，我们可以域外界交流，别人的信件才可以寄到我的手中。ip就是我们在internet 中的一个标识，也是internet上数据报寻址的依据。随着各种提供internet连接的无限设备的出现，在不同的地方使用同一台移动设备接入internet越来越广泛。这就是移动互连的意义所在。您也许会想到目前带有调制解调器的笔记本电脑就可以在有电话的各种环境下通过拨号上网，然而这种通过电话拨号到当地ISP上来获得DHCP动态分配的IP地址，从而实现网络接入的方式并不是真正的移动互联。真正的移动互联，是应该拥有一个固定的ip地址，不论在什么地方，都可以通过这个ip联入internet，并与其他主机进行通讯。这种意义上的移动互联能使网络应用程序提供持续的服务，即使是把正连接在网上的计算机的网线拔掉，无线接入能立即提供网络连接，而IP依然是以前所用的地址，从而实现业务的无缝转移。

        随着人们对于便利生活的追求和大量移动通讯设备的出现，移动互连具有快速发展的趋势和广泛应用的前景。但是目前移动互联在技术上还存在嶂碍。最基础的部分就是目前的应用与Internet的基础协议－Internet Protocol。它的机制是通过ip来寻址，这个地址是和一个固定的网络位置关联的正如一个固定电话号码同某个房间相关联。在这种情况下，如果拥有这个ip的主机在Internet中移动位置，就会造成网络路由的失败。       Mobile IP (RFC 2002)－一份由IETF建议的标准通过允许移动节点使用两个ip来解决这个问题。一个是固定的ip(home ip),另一则是随着接入点不同而变化的ip(care-of ip)

       目前，在Internet 市场中，移动ip 的前景还不是很明显，还存在很多需要解决的问题，其中最主要的也就是安全问题。可以想象，一旦这些问题得到很好的解决，那些移动的用户就可以尽情享受漫游状态下的无缝连接和透明传输的便捷了。

 

移动ip的工作原理

 

ip数据报通过目的ip得到目的节点所在的网络号，再根据路由器中的路由表来决定此数据报的下一步去向。一个TCP连接是由源和目的的ip和port四元组来标识的，改变其中的任意一项都会导致连接的破坏或丢失。另一方面，为了正确的路由，必须在目的ip中指示当前目的节点所在的网络号。为了解决这个问题，移动ip允许使用两个ip。Home ip是固定不变的，用它来组成TCP连接的标识，care-of ip 是随着接入点的不同而改变，反映了网络的拓扑结构的。当一个移动节点移动时，它向它的home agent 注册一个新的care-of address

为了从home agent 获得发向移动节点的数据报，home agent 将数据报重新封装，把care-of address作为新的数据报的目的ip部分，数据报到达care-of address后，数据报被解封，移动节点的home address有作为数据报的目的ip部分，当数据报到达移动节点时，它的TCP标识不变。在移动ip中，home agent转寄数据报到care-of address，这是通过在home agent 封装数据报和在care-of address解报来实现的，这种技术叫做通道（tunnelling）。

 

移动ip的实现主要由一下三个机制的协同完成：

检测the care-of address

注册the care-of address

转发到the care-of address

具体的技术细节请参见【参1】。

移动互联的安全

目前，移动互联所面临的、最紧迫最突出的问题是安全性问题，而且人们的大部分注意力都集中于使移动互联与Internet中使用的安全特征共存之上。现在，移动互联系统中实施的安全技术主要有以下几种：

　　1、代理服务器代理服务器是防火墙系统中的一个服务器进程，它能够代替网络用户完成特定的TCP/IP功能。一个代理服务器本质上是一个应用层的网关，一个为特定网络应用而连接两个网络的网关。用户就一项TCP/IP应用，比如Telnet或者ftp，同代理服务器打交道，代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后，代理服务器连通远程主机，为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。最简单的情况是:它只由用户标识和口令构成。但是，如果防火墙是通过Internet可访问的，就要使用更强的认证机制，比如一次性口令或挑战-回应式系统。

　　2、路由器和过滤器这种结构由路由器和过滤器共同完成对外界计算机访问内部网络的限制，也可以指定或限制内部网络访问ＩＮＴＥＲＮＥＴ。路由器只对过滤器上的特定端口上的数据通讯加以路由，过滤器的主要功能就是在网络层中对数据包实施有选择的通过，依照ＩＰ（ＩＮＴＥＲＮＥＴ　ＰＲＯＴＯＣＯＬ）包信息为基础，根据ＩＰ源地址、ＩＰ目标地址、封装协议端口号，确定它是否允许该数据包通过。这种防火墙措施最大的优点就是它对于用户来说是透明的，也就是说不需要用户输入帐号和密码来登录，因此速度上要比代理服务器快，且不容易出现屏颈现象。然而其缺点也是很明显的，就是没有用户的使用记录，这样我们就不能从访问记录中发现非法入侵的攻击记录。该技术的安全准则非常灵活，运行速度快，并且多数不依赖于应用，可以作为一种廉价的防火墙解决方案。但是包过滤路由器很难正确配置，ACL经常需要在没有图形用户界面的条件下以较模糊的语法改写，而其中的任何一点错误都会成为专用网的弱点而受到非法攻击。而且，经常是没有什么有效的方法来检验一组ACL的正确性，对于网络规模较大，要求灵活的场合，一的分组过滤式防火墙就不能很好的满足要求了，可以通过代理服务器与IP分组过滤路由器的配合，侦测出可能是危险的网络连接，将所有授权的应用服务连接转向代理服务器，构造出一个防火墙系统。

　　3、IP通道技术经常会出现这种情况，一个大公司的两个子公司相隔较远，通过Internet通信。这种情况下，可以采用IP通道技术来防止Internet上的黑客截取信息。从而在Internet上形成一个虚拟的企业网。例如，我们假设子网A中一主机（IP地址为X.X.X.X）欲向子网B中某主机（IP地址为Y.Y.Y.Y）发送报文，该报文经过本网防火墙FW1（IP地址N.N.N.1）时，防火墙判断该报文是否发往子网B，若是，则再增加一报头，变成从此防火墙到子网B防火墙FW2（N.N.N.2）的IP报文，而将原IP地址封装在数据区内，同原数据一起加密后经Internet发往FW2。FW2接收到报文后，若发现源IP地址是FW1的，则去掉附加报头，解密，在本网上传送。从Internet上看，就只是两个防火墙的通信。即使黑客伪装了从FW1发往FW2的报文，由于FW2在去掉报头后不能解密，会抛弃报文。

　　4、网络地址转换器当受保护网连到Internet上时，受保护网用户若要访问Internet，必须使用一个合法的IP地址。但由于合法Internet IP地址有限，而且受保护网络往往有自己的一套IP地址规划（非正式IP地址）。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾，又对外隐藏了内部主机的IP地址，提高了安全性。

　　5、隔离域名服务器这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离，使外部网的域名服务器只能看到防火墙的IP地址，无法了解受保护网络的具体情况，这样可以保证受保护网络的IP地址不被外部网络知悉。

　　6、应用层中继为了更有效地抵制非法侵入，因特网的网络管理员便采用更为严格的防火墙－－应用层中继。专用网中的一个主机与防火墙建立连接，将应用层数据发送给防火墙，防火墙随后用一个与最终目的地的新连接将应用层数据中继出去。应用层中继不仅可以理解数据报头的信息，而且还能理解应用信息内容本身，可以支持更为复杂高级的安全策略。同时更容易配置，能够将专用网内的节点地址对公网隐藏起来，在设计时可以具有足够的磁盘空间，有能力提供全部的审计和日志功能。但是应用层中继比包过滤路由器慢，而且不允许即使是合法的移动用户象普通连接到专用网的用户那样建立连接，同样具有象包过滤路由器那样的安全威胁，所以就需要在上面配置的基础上加上密码部分，这就是安全隧道防火墙技术。

　　7、基于IP的VPN技术单纯依靠防火墙并不能解决Internet网络级安全问题，可以用安全隧道防火墙在公共网上建立虚拟专用网VPN(Virtual Private Network)来增强其功能。利用IP安全协议可以建立穿越Internet的安全隧道，与以前的防火墙相结合，从而构造出增强的VPN安全系统。在安全隧道一端，发方将IP数据分组加密封装成IP安全数据分组(IP Sec packets)，封装后的数据分组通过Internet传输到隧道的另一端后，收方把IP安全分组解密并恢复成原来的IP数据分组。IP安全数据分组的封装模式有两种：一种是整个IP分组被封装在IP Sec分组中，称为隧道模式；另一种是只将传输层数据封装在IP Sec分组中，称为传输方式。无论采用哪种封装方式，IP安全分组的首部都是一个普通的IP分组首部。因此，这种安全机制不需要Internet中的其他路由设备的支持，并且也不影响原有的防火墙系统。IP安全分组的封装可以在VPN的主机中执行，也可以在VPN的安全网关中进行。如果封装在主机中完成，一般采用传输模式，这样可以保证VPN中的各主机也以安全方式通信；当封装在VPN的安全网关中完成时，可以采用隧道模式，IP安全分组的源地址和目的地址将分别是发端和收端的安全网关地址，这样可以防止黑客对VPN中的主机进行通信量分析。

　　8、用户身份验证技术移动互联还可以采用三种认证扩展：移动主机－－主代理认证扩展、客代理－－主代理认证扩展、客代理－－主代理认证扩展。它们有相似的格式，只是类型不同。所有的等级请求和登记应答中都要有移动主机－－客代理认证扩展。认证扩展中的SPI域定义了用于认证计算的安全性上下文,如认证算法和模式、共享密钥等。

　　移动互联技术还处于发展阶段，安全问题是移动互联目前面临的一大难题，应用代理服务器与分组过滤路由器结合的防火墙将是未来防火墙技术的发展方向。

 

 

参考文献：

1.       James D. Solomon , Mobile IP：The Internet Unplugged , Prentice Hall 2000.1

2.       Charles E. Perkins , Mobile Networking Through Mobile IP ,
http://www.computer.org/internet/v2n1/perkins.htm