亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于移動IPv6的安全研究

        2012-01-26 04:24:44南京化工職業(yè)技術(shù)學(xué)院
        電子世界 2012年21期
        關(guān)鍵詞:攻擊者交換機報文

        南京化工職業(yè)技術(shù)學(xué)院 徐 濤

        1.移動IPv6攻擊

        當(dāng)移動節(jié)點在外地網(wǎng)絡(luò)時,會經(jīng)歷如下的幾個過程:

        (1)移動節(jié)點首先獲得一個轉(zhuǎn)交地址,然后它把家鄉(xiāng)地址與轉(zhuǎn)交地址的映射告知家鄉(xiāng)代理,這個過程稱為家鄉(xiāng)注冊;

        (2)通信節(jié)點與移動節(jié)點通信仍然使用移動節(jié)點的家鄉(xiāng)地址,數(shù)據(jù)包仍然發(fā)往移動節(jié)點的家鄉(xiāng)網(wǎng)段;家鄉(xiāng)代理截獲這些數(shù)據(jù)包,并根據(jù)已獲得的映射關(guān)系通過隧道方式將其轉(zhuǎn)發(fā)給移動節(jié)點的轉(zhuǎn)交地址。移動節(jié)點則可以直接和通信節(jié)點進行通信。這個過程也叫做三角路由過程;

        (3)為了避免三角路由,移動節(jié)點也會將家鄉(xiāng)地址與轉(zhuǎn)交地址的映射關(guān)系告知通信節(jié)點,這個過程稱為通信節(jié)點注冊;

        (4)當(dāng)通信節(jié)點知道了移動節(jié)點的轉(zhuǎn)交地址就可以直接將數(shù)據(jù)包轉(zhuǎn)發(fā)到其轉(zhuǎn)交地址所在的外地網(wǎng)段,這樣通信節(jié)點與移動節(jié)點之間就可以直接進行通信。

        對移動IPv6的攻擊研究將集中在家鄉(xiāng)注冊和通信節(jié)點注冊這兩個過程。

        1.1 家鄉(xiāng)注冊的攻擊

        常見的幾種攻擊類型如下:

        ·數(shù)據(jù)保密性攻擊:如圖1.1所示,攻擊者發(fā)送虛假的binding update給家鄉(xiāng)代理,讓后者以為攻擊者的地址就是移動節(jié)點的轉(zhuǎn)交地址,所有通過家鄉(xiāng)代理發(fā)往移動節(jié)點的數(shù)據(jù)將發(fā)往惡意節(jié)點。

        ·阻止通信攻擊:和上面類似,不過攻擊者把移動節(jié)點的轉(zhuǎn)交地址設(shè)置為不存在的地址.這樣發(fā)送給移動節(jié)點的數(shù)據(jù)包就無法到達,造成通信被阻止;

        ·DoS攻擊:攻擊者可以把大量網(wǎng)絡(luò)節(jié)點的轉(zhuǎn)交地址都指向攻擊目標,這樣發(fā)給這些節(jié)點的數(shù)據(jù)都被重定向到攻擊目標,達到DoS攻擊的效果;

        ·假冒家鄉(xiāng)代理:移動IPv6具備動態(tài)家鄉(xiāng)代理發(fā)現(xiàn)的功能,它通過發(fā)送家鄉(xiāng)代理發(fā)現(xiàn)請求到家鄉(xiāng)任意播地址,由某個家鄉(xiāng)代理回應(yīng)一個帶有家鄉(xiāng)代理列表的應(yīng)答消息。家鄉(xiāng)鏈路上的惡意節(jié)點有可能收到這個請求并給出虛假應(yīng)答,如圖1.2所示。

        盡管移動IPv6要求利用IPSec保證家鄉(xiāng)注冊的安全,但是IPSec應(yīng)用本身存在問題。首先IPSec需要在移動節(jié)點和家鄉(xiāng)代理之間建立起安全關(guān)聯(lián),如果采用手工配置的方式,n個移動節(jié)點就要配置n條關(guān)聯(lián),擴展性不好,不適合大規(guī)模部署。如果采用IKE(Internet KeyExchange)動態(tài)建立,IKE本身又是一個耗時和復(fù)雜的過程。其次,IPSec需要公鑰來完成認證和加密,而公鑰的管理一直是個沒有解決好的問題。最后,IPSec不可避免的給主機帶來額外的計算負擔(dān),因為加密/解密運算的復(fù)雜性,攻擊者可以構(gòu)造虛假的IPSec報文,消耗主機的計算資源,造成拒絕服務(wù)攻擊。

        1.2 通信節(jié)點注冊攻擊

        攻擊者從一開始就就假冒移動節(jié)點,欺騙家鄉(xiāng)代理,加上RRP消息都是明

        文的,這樣它通過正常的RRP過程就能夠“合法”的欺騙通信節(jié)點。

        攻擊過程如下:

        (1)攻擊者發(fā)送HoTI消息,源地址是假冒的移動節(jié)點家鄉(xiāng)地址,目的地址是通信節(jié)點地址,通過家鄉(xiāng)代理轉(zhuǎn)發(fā)。

        (2)攻擊者發(fā)送CoTI消息,源地址是攻擊者的地址,目的地址是通信節(jié)點地址,直接發(fā)送。

        (3)攻擊者通過家鄉(xiāng)代理收到HoT消息,源地址是通信節(jié)點地址,目的地址是移動節(jié)點家鄉(xiāng)地址。

        (4)攻擊者收到CoT消息,源地址是通信節(jié)點地址,目的地址是攻擊者的地址。

        (5)攻擊者發(fā)送binding update,源地址是攻擊者的地址,目的地址是通信節(jié)點地址。由于任何能同時接收到HoT消息和CoT消息的攻擊者都可以給通信節(jié)點發(fā)送能通過認證的binding update,結(jié)果就是通信節(jié)點以為攻擊者的地址就是移動節(jié)點的轉(zhuǎn)交地址。

        2.基于AAA的改進綁定更新過程

        由上述分析可知,家鄉(xiāng)注冊和通信節(jié)點注冊這兩個過程都存在攻擊可能,并且目前的解決方案都存在不足。從另一個角度看,不論是家鄉(xiāng)注冊,還是通信節(jié)點注冊過程,都是通過綁定更新/確認消息的交互,攻擊能夠奏效很大程度上是由于綁定更新缺乏認證機制,如果能對綁定更新提供一種認證機制,就能較好的解決其安全問題。

        為此,我們提出一種結(jié)合AAA(認證,計費,授權(quán))過程的改進綁定更新過程。本方案的實現(xiàn)分為兩個部分。一是身份認證以及認證之后AAAH服務(wù)器在移動節(jié)點和家鄉(xiāng)代理之間共享密鑰;二是通過修改移動IPv6的實現(xiàn),把該共享密鑰嵌入到移動IPv6的消息之中。目前只實現(xiàn)了第一部分的工作,身份認證采用802.1x+Radius的方案。

        圖1.1 移動IPv6保密性攻擊

        圖1.2 移動IPv6假冒家鄉(xiāng)代理攻擊

        圖2.1 系統(tǒng)結(jié)構(gòu)圖

        2.1 工作流程

        網(wǎng)絡(luò)拓撲如圖2.1所示,工作流程如圖2.2所示。注意的是,為了防止網(wǎng)絡(luò)竊聽,不是直接傳輸數(shù)i,而是傳輸數(shù)i和用戶口令的異或。

        (1)用戶在客戶端中輸入用戶名和密碼,客戶端向外地網(wǎng)絡(luò)的交換機發(fā)起

        EAPoL認證請求,其中包含用戶名;

        圖2.2 工作流程圖

        圖2.3 客戶端流程

        圖2.4 服務(wù)器端流程1

        圖2.5 服務(wù)器端流程2

        (2)交換機收到用戶請求后,實現(xiàn)從EAPoL報文取出認證消息,并將認證

        消息按照Radius協(xié)議的格式進行封裝,然后向FAAA發(fā)出Access-Request認證請求;

        (3)FAAA收到認證請求后,根據(jù)用戶名做判斷,將Access-Request請求

        報文轉(zhuǎn)發(fā)給家鄉(xiāng)網(wǎng)絡(luò)的HAAA;

        (4)HAAA判斷用戶的狀態(tài),如果是首次認證請求,則產(chǎn)生一個隨機數(shù)R,

        由Access-Challenge報文攜帶返回給FAAA;

        (5)FAAA把Access-Challenge報文返回給交換機,后者進行轉(zhuǎn)換為EAPoL

        格式,返回給用戶;

        (6)用戶從Challenge報文提取出隨機數(shù)R,計算口令P與R的MD5摘要,把摘要放入響應(yīng)消息中,再發(fā)給交換機;

        (7)交換機進行轉(zhuǎn)換后發(fā)給FAAA,后者轉(zhuǎn)發(fā)給HAAA;HAAA從本地數(shù)據(jù)庫取出用戶口令P’,計算P’與R的MD5摘要,并與收到的做比較,如果相等

        則認證成功,接下來HAAA生成數(shù)i,i=First(16,sha1(time)),把數(shù)i和口

        令P異或,得到i’,即i’=i xor P。i’攜帶在Access-Accept報文里發(fā)給FAAA;

        (8)FAAA把Access-Accept報文返回給交換機,后者打開相應(yīng)端口,并且把報文返回給用戶;

        (9)用戶提取出數(shù)i’,通過i’xor P恢復(fù)出數(shù)i并保存起來。

        2.2 客戶端設(shè)計

        客戶端是自己開發(fā)的802.1x客戶端,在客戶端和交換機之間報文格式是

        EAPoL,工作流程如圖2.3所示:

        2.3 AAA服務(wù)器端設(shè)計

        AAA服務(wù)器使用開源軟件FreeRadius,工作流程如圖2.4,2.5所示,認證方法采用EAP-MD5。

        本文針對移動IPv6家鄉(xiāng)注冊和通信節(jié)點注冊這兩個過程的安全問題,以及目前的解決方案IPSec和RRP在應(yīng)用中的一些問題,提出了一種改進的綁定更新方案,利用802.1x和AAA技術(shù)實現(xiàn)了該方案的一部分。

        [1]孫利民.移動IP技術(shù)[M].電子工業(yè)出版社,2003.

        [2]Greg O’Shea et al.Child proof authentication for MIPv6(CAM),ACM SIGCOMM Computer Communication Review 2001,Volume 31,Issue 2,Pages:4-8.

        [3]劉述.國內(nèi)外下一代互聯(lián)網(wǎng)試驗網(wǎng)淺析[J].網(wǎng)絡(luò)專家.2006,4(13):B5-B6.

        [4]P.Congdon et al,IEEE 802.1X Remote Authentication Dial In User Service(RADIUS)Usage Guidelines,RFC 3580,September 2003.

        猜你喜歡
        攻擊者交換機報文
        基于J1939 協(xié)議多包報文的時序研究及應(yīng)用
        汽車電器(2022年9期)2022-11-07 02:16:24
        基于微分博弈的追逃問題最優(yōu)策略設(shè)計
        CTCS-2級報文數(shù)據(jù)管理需求分析和實現(xiàn)
        淺析反駁類報文要點
        中國外匯(2019年11期)2019-08-27 02:06:30
        修復(fù)損壞的交換機NOS
        正面迎接批判
        愛你(2018年16期)2018-06-21 03:28:44
        使用鏈路聚合進行交換機互聯(lián)
        ATS與列車通信報文分析
        有限次重復(fù)博弈下的網(wǎng)絡(luò)攻擊行為研究
        PoE交換機雷擊浪涌防護設(shè)計
        亚洲国产精品高清在线| 中文字幕人成人乱码亚洲| 亚洲青涩在线不卡av| 视频女同久久久一区二区| 俺去啦最新地址| 又色又爽又黄又硬的视频免费观看 | 亚洲免费在线视频播放| 亚洲精品国精品久久99热| 制服丝袜人妻中文字幕在线| 国内精品一区二区2021在线| 中文字幕一区二区在线| 男女av一区二区三区| 成年免费视频黄网站zxgk| jjzz日本护士| 亚洲av大片在线免费观看| 免费国产在线视频自拍白浆| 国产一区二区波多野结衣| 人伦片无码中文字幕| 五月激情在线观看视频| 一区二区三区内射美女毛片 | 少妇被爽到自拍高潮在线观看| 国产自拍成人在线免费视频| 亚洲自偷自拍另类第1页| 麻豆高清免费国产一区| 国产欧美亚洲另类第一页| 亚洲精品成人一区二区三区| 一本久久综合亚洲鲁鲁五月天| 在线精品国产一区二区三区| 夜夜爽无码一区二区三区| 国产一区二区一级黄色片| 免费午夜爽爽爽www视频十八禁| 午夜福利试看120秒体验区| 免费的一级毛片| 少妇人妻在线伊人春色| 婷婷五月深深久久精品| 大学生被内谢粉嫩无套| 美女被射视频在线观看91| 亚洲天堂精品成人影院| 毛片24种姿势无遮无拦| 国产91第一页| 人妻少妇精品专区性色anvn |