張 舒 婷

(太原學(xué)院計算機工程系 山西 太原 030032)

0 引 言

近十年來，互聯(lián)網(wǎng)的廣泛使用給人們生活方式帶來重大改變。通過計算機或移動終端可以很容易地獲得信息的能力促進(jìn)科學(xué)技術(shù)和文化傳播的快速發(fā)展。雖然有些人認(rèn)為這是互聯(lián)網(wǎng)的弊端，它使全世界的團體機構(gòu)比以往任何時候都更加緊密。但是，對大多數(shù)人而言，自由獲取信息是他們生活不可或缺的一部分，甚至能夠幫助他們在科學(xué)、技術(shù)、數(shù)字文化等各個領(lǐng)域發(fā)揮潛力。

但是某些別有目的的攻擊者總是試圖阻止人們訪問某些類型的信息。當(dāng)前有多種方法可以阻止查看網(wǎng)絡(luò)信息，常見的技術(shù)包括[1]：(1) IP地址阻塞：對由IP地址標(biāo)識的某些站點進(jìn)行阻塞訪問；(2) 域名系統(tǒng)(DNS)過濾：阻止訪問某些未被解析的域名；(3) 統(tǒng)一資源定位符(URL)過濾；(4) 數(shù)據(jù)包過濾。

大多數(shù)用戶利用加密隧道和代理來繞過這些審查方法，如VPN[2-4]和Tor[5]。作為響應(yīng)，攻擊者通常試圖查找和阻塞提供服務(wù)的主機。

本文提出了一種結(jié)合移動IPv6(MIPv6)和移動目標(biāo)防御(MTD)技術(shù)特點的解決方案。基于MTD思想，通過檢測洪泛攻擊來防止分布式拒絕服務(wù)(DDoS)攻擊，使服務(wù)器變成移動目標(biāo)[6-8]。該方法也可用來保護(hù)用戶隱私[9]。它與現(xiàn)有的反審查措施不同，用戶不必直接對抗審查措施。并且該方法與現(xiàn)有的反審查方法可以共存。

在MIPv6中，通常使用永久IP地址(歸屬地址)來避免TCP會話的中斷，使用一個或多個轉(zhuǎn)交地址CoA(Care-of Address)來連接其他節(jié)點[10]。應(yīng)用MIPv6將Web服務(wù)器視為移動節(jié)點，利用動態(tài)改變的IP地址(基于CoA)避免過濾和阻塞等攻擊行為。將端用戶隨機分組，并提供一個可以用來訪問網(wǎng)站的CoA。一段時間之后，對用戶重新分組，并用新生成的一組CoA更新用戶。本文所提方案的基本架構(gòu)如圖1所示，在服務(wù)器端，n個不同的CoA被隨機分配給不同的用戶組。一段時間后，用戶重新分組，并將通過新生成的CoA與服務(wù)器連接。MIPv6的有效性取決于所使用CoA的數(shù)量和偽裝成正常用戶的攻擊者數(shù)量，攻擊者通過查找CoA來實施阻塞，通過改變CoA將用戶變?yōu)橐苿幽繕?biāo)。本文提出一種新的地址變化方法，大大增加了攻擊者查找地址的代價。該方法利用了現(xiàn)有的MIPv6技術(shù)，因此不需改變現(xiàn)有的MIPv6協(xié)議。

圖1 基于MIPv6的基本架構(gòu)

1 相關(guān)研究

1.1 反審查技術(shù)

用戶利用代理和加密隧道技術(shù)繞過審查，如VPN[2-4]和開源的HTTPS代理。然而攻擊者可以通過阻塞提供服務(wù)的系統(tǒng)IP地址來阻止這些方法。

近年來，一種叫作“路由誘騙”的技術(shù)被提出[11]。傳統(tǒng)方法中的代理部署在網(wǎng)絡(luò)路徑的末端，而該方法把代理部署在網(wǎng)絡(luò)的中間[12-14]。其中的互聯(lián)網(wǎng)服務(wù)提供方ISP(Internet service providers)過濾被標(biāo)記信息(發(fā)送至虛假地址)，然后將其重新發(fā)送至真實目的地址(被審查地址)。過濾過程需要耗費計算資源和額外的硬件資源，并且為用戶帶來延遲。當(dāng)前的路由誘騙技術(shù)依然無法有效防御流量分析和網(wǎng)站指紋識別方法。

1.2 移動目標(biāo)防御技術(shù)

文獻(xiàn)[7]提出一種基于云平臺的防御網(wǎng)絡(luò)DDoS攻擊機制。它首先對服務(wù)器進(jìn)行選擇復(fù)制，對客戶端進(jìn)行重新分配，使被攻擊的服務(wù)器變成移動目標(biāo)。被攻擊的服務(wù)器被部署在其他網(wǎng)絡(luò)中的復(fù)制品代替，客戶端也被移植到該新的服務(wù)器上。客戶端遷移之后回收被攻擊的服務(wù)器進(jìn)行循環(huán)利用。只有遷移到服務(wù)器的客戶端才知道其新地址，新加入的客戶端通過DNS服務(wù)將其引導(dǎo)至服務(wù)器受保護(hù)的云平臺。

該方法運用至反審查策略中的限制條件如下：(1) 審查者能發(fā)起IP阻塞和DNS過濾來阻止用戶訪問服務(wù)器；(2) 普通客戶端群組中檢測審查者比較困難，與該審查者在同一分組的用戶將被永遠(yuǎn)阻塞；(3) DDoS需要向目標(biāo)服務(wù)器發(fā)起大流量攻擊，一旦檢測到服務(wù)器的正確地址，單個審查者就能完成攻擊，這將導(dǎo)致服務(wù)器的頻繁變換；(4) 服務(wù)器重定向過程會導(dǎo)致丟包；(5) 復(fù)制大量的服務(wù)器資源需要建設(shè)相應(yīng)的大規(guī)模云平臺。

文獻(xiàn)[9]提出一種MT6D方法，它是一種動態(tài)的、網(wǎng)絡(luò)層的MTD，在不中斷和不重新發(fā)起會話的前提下，快速改變處于會話中的發(fā)送方和接收方的IPv6地址。MT6D利用了IPv6的優(yōu)勢，創(chuàng)建動態(tài)的接口識別IID(Interface Identifier)來生成動態(tài)的IP地址。這些IID由以下幾部分組成：(1) 每個主機需要一個獨特值作為種子IID；(2) 收發(fā)雙方共享密鑰；(3) 參數(shù)改變需要收發(fā)雙方的同意。

MT6D通過帶外分享種子IID和共享密鑰，對每個數(shù)據(jù)包按照UDP協(xié)議封裝并利用虛擬IP地址隱藏真實的IP地址。然而該方法僅支持點對點網(wǎng)絡(luò)，普通的客戶端-服務(wù)器網(wǎng)絡(luò)沒有考慮在內(nèi)[15]。MT6D的限制條件如下：(1) 由于地址沖突造成數(shù)據(jù)包丟失；(2) 時間必須嚴(yán)格同步；(3) 一個虛擬IP對應(yīng)一個用戶這種方式可擴展性不夠；一個虛擬IP對應(yīng)一個用戶組，這種方式如果組里有一個審查者，該用戶組可以被永久阻塞。

2 背景介紹

2.1 移動IPv6的使用

MIPv6最重要的特點[16]是：一個IP地址可變的移動節(jié)點MN(Mobile Node)在網(wǎng)絡(luò)中移動時依然能夠接收到消息。假設(shè)服務(wù)器是一個移動節(jié)點，在MIPv6中，MN有一個永久的IP地址，稱為歸屬地址HoA(Home Address)，由歸屬代理HA(Home Agent)分配。歸屬代理是MN歸屬鏈路上的路由器，其功能類似于MN的代理。MN也有一個備用地址，稱為轉(zhuǎn)交地址CoA(Care-of Address)，由通信對端節(jié)點CN(Correspondent Nodes)使用與MN保持通信。HA保持與CoA的聯(lián)系，并執(zhí)行必要的轉(zhuǎn)發(fā)。MN通過包含新CoA的綁定更新BU(Binding Update)消息更新HA，HA發(fā)回綁定確認(rèn)BA(Binding Acknowledgement)消息作為響應(yīng)。CN通過HoA(由HA生產(chǎn)并由隧道傳送到MN)與MN建立通信。

2.2 路由優(yōu)化

路由優(yōu)化過程實現(xiàn)了MN和CN之間的數(shù)據(jù)包傳輸路徑最短。CN需要知道MN當(dāng)前綁定信息。因此，MN必須通過CoA更新CN。路由返回過程用于驗證所請求的CoA[17]和HoA的使用權(quán)限。此過程涉及四個消息，路由優(yōu)化還使用兩種額外消息(BU和BA)。當(dāng)只需要CoA測試消息時這些開銷便會減少[18]。

文獻(xiàn)[19]中指出與路由返回測試相關(guān)的所有消息都通過使用共享對稱密鑰來消除。首先，路由優(yōu)化的低信令開銷將切換延遲最小化，這反過來又減少了在地址變化期間的丟包。其次，在不需要路由返回的情況下，HA可不參與路由優(yōu)化。MN可以直接用新的CoA更新CN，從而與HA斷開連接。盡管如此，靜態(tài)共享密鑰方法也有一些局限性：(1) CN需要信任MN的行為，并且需要假設(shè)MN不會對第三方發(fā)起洪泛攻擊[20]。(2) MN和每個CN之間的共享對稱密鑰可能導(dǎo)致重放攻擊。使用IPSec與MN和CN之間的互聯(lián)網(wǎng)密鑰交換IKE(Internet Key Exchange)可解決這一問題。

在運行路由優(yōu)化機制之后，數(shù)據(jù)包將通過CN直接路由到MN的CoA。為了將數(shù)據(jù)發(fā)送到任何一個IPv6的目的地址，使用第二類路由和目的地址選項頭將數(shù)據(jù)包傳送至MN[21]。

第二類路由頭是一種支持MIPv6的路由報頭類型。當(dāng)數(shù)據(jù)包被發(fā)送到MN的CoA時，HA或CN使用該路由頭攜帶MN的HoA。例如，如果CN知道MN的CoA，則CN可以向CoA發(fā)送數(shù)據(jù)，但是MN需要從目的地址中獲取其HoA信息。因此，CN在第二類路由頭中存儲MN的HoA，然后以MN的CoA作為目的地址發(fā)送數(shù)據(jù)。當(dāng)MN接收到數(shù)據(jù)時，它自動將數(shù)據(jù)的目的地址替換為存儲在第二類路由報頭中的地址。

目的地選項頭用于承載僅需要由目的節(jié)點處理的可選信息，其中很重要一點就是歸屬地址。當(dāng)MN不在歸屬地時，它發(fā)送的數(shù)據(jù)中就含有該選項信息(將其HoA發(fā)送給CN)。此時，數(shù)據(jù)包的源地址是MN的CoA，而歸屬地址選項中的地址是MN的HoA。當(dāng)?shù)刂返挠行员或炞C之后，這兩個地址將被交換。MN的CoA和HoA必須在注冊時相互綁定。

2.3 多轉(zhuǎn)交地址

移動目標(biāo)防御用于反審查的關(guān)鍵技術(shù)之一是多IP地址能力，使得審查者不能在有限的時間內(nèi)檢測到地址并實行阻塞。隨著MIPv6和綁定識別BID(Binding Identification)號碼的擴展，MN可以實現(xiàn)多個CoA綁定同一個HoA。MN可以設(shè)置多個IPv6全局地址并將其注冊為它的CoA。為了注冊多個綁定，MN為每個CoA生成一個獨特的BID。這些BID被存儲在綁定更新列表中，且每條綁定信息都是相互獨立的。MN可以通過BID移動性選項使用BU消息注冊其CoA。

另一方面，可以在CN上禁用多轉(zhuǎn)交地址。這樣CN就無法識別接收到的BU消息中BID移動性選項。根據(jù)RFC 5648[22]協(xié)議，CN可以跳過未知的移動性選項，僅簡單地更新綁定緩存，并將數(shù)據(jù)包發(fā)送到MN最新更新的CoA。

3 基于MIPv6的MTD反審查方法

本節(jié)描述了基于MIPv6的移動目標(biāo)防御MI-MTD(MIPv6-based Moving Target Defense)方法，并通過建模來協(xié)助分析影響方案有效性的各種因素。最后，通過實驗結(jié)果證明所提方案的可行性。

該方法的核心技術(shù)就是使用多個IPv6的CoA。與實際的移動應(yīng)用不同，主機(如：Web服務(wù)器)被視為移動節(jié)點，HoA作為服務(wù)器的永久地址，CoA作為動態(tài)地址。被分配CoA的用戶組稱為訪問組。每隔一段時間生成偽隨機IP地址，替換服務(wù)器的所有CoA。在每個間隔內(nèi)，通過地址變化和重新分配用戶，隨機改變每個訪問組成員身份。通過綁定更新機制用新的CoA更新用戶。

本文所提出的方案只需要在服務(wù)器中設(shè)置MIPv6參數(shù)，為HoA選擇一個與服務(wù)器子網(wǎng)前綴不一樣的IP地址。當(dāng)MIPv6運行時，服務(wù)器從其路由器接收路由宣告消息，該路由器歸屬鏈路的前綴與HoA的前綴不同。這樣，服務(wù)器就認(rèn)為它在外地網(wǎng)絡(luò)中，并在本網(wǎng)絡(luò)中注冊一個CoA。隨機生成64位地址，與歸屬鏈路前綴結(jié)合來生成新的CoA。這些新的CoA在子網(wǎng)中注冊之前通過鄰居請求消息來檢測是否已經(jīng)被占用。根據(jù)MIPv6的多個CoA注冊規(guī)則，服務(wù)器(MN)將會向其用戶發(fā)送含有新CoA的BU消息。當(dāng)用戶接收到BU時，服務(wù)器的HoA和CoA被插入到綁定緩存中，并刪除以前的CoA。

為了部署MIPv6，服務(wù)器端需要一些改變：(1)允許對不同訪問組進(jìn)行用戶分配；(2)通過分配的CoA更新每個訪問組。用戶端不需要任何改變，MIPv6協(xié)議標(biāo)準(zhǔn)也不需改變。

該方法的兩個關(guān)鍵之處在于多個CoA的分配和變化。將不同的CoA分配給每個訪問組限制了一個組內(nèi)有一個審查員(假裝成正常用戶的攻擊者)的影響。一旦審查者發(fā)現(xiàn)一個CoA，它將阻塞該地址來切斷對可能通過CoA產(chǎn)生的服務(wù)器訪問。所有與此審查者在同一訪問組中的用戶都將失去與服務(wù)器的連接。為了解決這個問題，每隔一段時間使用戶地址在不同訪問組之間隨機變化。為了消除地址變化期間的丟包，在刪除以前的CoA之前，服務(wù)器要為新的CoA發(fā)送BU消息。因此，在切換延遲期間，用戶發(fā)送的數(shù)據(jù)報頭中含有舊的CoA。每個訪問組中的所有用戶接收到各自的BA或在一段時間之后，服務(wù)器刪除舊的CoA。地址變化間隔可以動態(tài)變化，為方便分析，本文使用了固定變化間隔。

3.1 模型與分析

本文通過分析攻擊者偽裝成正常用戶所付出的代價來衡量MI-MTD方案的有效性。審查者在每個變化間隔之后都會接收到含有最新CoA的BU消息，該CoA將被阻塞或攻擊。在每個間隔期間，包含至少一個審查者的訪問組中的所有端用戶將被禁止訪問服務(wù)器。首先計算在任意時刻，用戶被阻塞的概率與CoA和審查者的數(shù)量的關(guān)系。

建立變化過程的數(shù)學(xué)模型來協(xié)助分析。該模型中使用的符號如表1所示。

表1 模型使用符號對應(yīng)表

用戶總數(shù)N是審查者(Na)和正常用戶(Nu)的和。在每個變化間隔中，正常用戶可分為兩類：被審查者和未被審查者。訪問概率p是用戶在任意時刻訪問服務(wù)器的概率。為了計算p，首先需要計算未被審查者數(shù)量(Nuf)的期望值：

(1)

假設(shè)訪問組大小與式(1)相同，則用戶在可用CoA上均勻分布，即N可以被I整除。

(2)

因此，對于任意CoA，IPj未被阻塞的概率為：

(3)

(4)

基于上述假設(shè)，Aj=Ai,?i,j∈(i,j)，N=I×Aj，由此可得：

(5)

(6)

因此，用戶在給定時刻訪問服務(wù)器的概率p為：

(7)

例如，假設(shè)有1 000 000個用戶和5 000個審查者，在每個變化間隔中使用10 000個CoA，對于任意用戶，在一個變化間隔期間訪問服務(wù)器的概率大約為60.88%。

基于上述結(jié)果來考慮實際(如網(wǎng)站訪問模式)中的其他重要因素。比如：用戶訪問網(wǎng)站上的特定信息通常不與Web服務(wù)器以連續(xù)的方式進(jìn)行交互。也就是說用戶并不是一直點擊和加載網(wǎng)頁。典型的訪問模式是用戶先與服務(wù)器短暫交互，然后瀏覽自己機器上已經(jīng)呈現(xiàn)的信息(持續(xù)時間較長)?；诒疚奶岢龅淖兓瘷C制所求得的訪問概率是相互獨立的，由此可較容易計算出在一段時間δ內(nèi)的阻塞概率bk，其中k表示變化間隔的數(shù)量，則k個獨立時間間隔內(nèi)，受審查的用戶被阻塞的概率為：

(8)

以1分鐘為例計算該期間的阻塞概率，設(shè)定變化間隔t為10 s，則b6=(1-0.608 8)6≈0.358%。即用戶每分鐘大概有99.6%的幾率可以成功訪問服務(wù)器。

通過計算分群比的最大值可以得出系統(tǒng)可用的最低概率p，這與具體的應(yīng)用場景有關(guān)。例如，在極限條件下，每幾小時可以訪問服務(wù)器一次已經(jīng)足夠滿足用戶需求。相比之下，典型的通過網(wǎng)頁瀏覽新聞可能每隔幾分鐘左右就需要訪問服務(wù)器一次。因此，衡量有效性與攻擊者的攻擊方式(完全阻塞或僅制造一點不便)有關(guān)。為方便說明，本文以一分鐘制造5%的阻塞為例，如果用戶在一分鐘內(nèi)訪問網(wǎng)站的概率達(dá)不到95%，則認(rèn)為系統(tǒng)被破壞，而實際上這僅給用戶造成些許不便。用戶在審查者干預(yù)下將要承受更高的阻塞率。

在本例中，當(dāng)φ=0.933 9時達(dá)到最大值，因此可以討論IPv6地址空間和網(wǎng)站硬件資源限制問題。Web服務(wù)器在一個子網(wǎng)中能夠利用的IP地址數(shù)量為264，服務(wù)器在一個變化間隔內(nèi)可以利用的CoA數(shù)量取決于兩點：(1) 如果264個地址全部使用，服務(wù)器在一個間隔內(nèi)全部用完，訪問組將無法收到新的CoA。當(dāng)然，對于服務(wù)器系統(tǒng)來說同時使用264個地址就目前的技術(shù)水平來說不太現(xiàn)實。如果每個間隔使用1 000 000個CoA，5.849×107年之后才會用光這些地址。(2) 每個間隔用于創(chuàng)建和綁定CoA的IP地址受服務(wù)器和路由的硬件條件限制。由文獻(xiàn)[15]可知，取I值為10 000(不會帶來較大延遲)，為了使分群比φ=0.933 9，Na=0.933 9×10 000=9 339，即攻擊者必須每分鐘利用9 339個審查者才能導(dǎo)致大于5%的阻塞率。以此類推，如果攻擊者想要達(dá)到持續(xù)10小時(足夠阻止用戶下載一條新聞信息)造成99%以上的阻塞率，分群比φ=0.12，需要部署12 800個審查者。以5分鐘注冊為例，攻擊者需要1 067人才能在第10個小時完全阻塞注冊過程，這意味著10小時之內(nèi)用戶依然可以訪問網(wǎng)站。為了實現(xiàn)完全阻塞10小時，攻擊者需要在一開始就部署128 000個審查者。當(dāng)服務(wù)器重置用戶時需要重復(fù)執(zhí)行這些過程。圖2展示了三種不同時間內(nèi)，攻擊者為了達(dá)到不同等級的阻塞所需的分群比。可以看出，阻塞時間越長，阻塞率越高，所需的分群比越高，即需要在網(wǎng)絡(luò)中部署的審查者越多。

圖2 不同阻塞概率所需的分群比大小

3.2 用戶注冊過程

實際上，攻擊者不需要Na臺電腦來模擬Na個審查者。攻擊者可以創(chuàng)建一個綁定多個IP地址的系統(tǒng)。由文獻(xiàn)[15]可知，55 000個IPv6地址可以同時綁定在同一臺機器(Intel i7處理器，3.4 GHz，16 GB RAM，千兆以太網(wǎng)接口)上，即攻擊者可以部署55 000個審查者。為了防御審查者，需要人為干預(yù)，對用戶來說，只需要在初始注冊的時候操作一下即可。一些其他方法，比如復(fù)雜的驗證碼檢驗，需要用戶花費大量時間來處理。

注冊狀態(tài)應(yīng)該每隔一段時間(如12小時)重置一次，迫使攻擊者的每一個審查者都要重復(fù)注冊過程。另一個重要因素就是每一個審查者的使用時間。如果審查者在每一次注冊開始時立即部署，則它在整個變化期間都會有影響。如果審查者在第11個小時部署，那他僅在下1個小時內(nèi)有效，之后便重新注冊。如上所述，12小時的注冊周期，10小時內(nèi)造成完全阻塞，1分鐘的解決時間，攻擊者需要在注冊重置前2個小時內(nèi)準(zhǔn)備128 000個審查者。這樣在接下來的10個小時內(nèi)，沒有用戶能夠訪問服務(wù)器。在這種情況下，攻擊者需要1 067人操作2個小時。在服務(wù)器端，可以相對容易地額外增加計算機附件、網(wǎng)絡(luò)接口和路由器。為了攻擊配有10個服務(wù)器(配有10個接口)的站點，攻擊者需要106 700個并行工作的人。此外，在第1個小時內(nèi)，仍有大量用戶能夠訪問服務(wù)器。

由于本方案中不存在HA，新用戶將無法使用服務(wù)器的HoA連接到服務(wù)器。相反，服務(wù)器在接收到用戶的請求時，由它發(fā)起連接。在用戶端，需要使用服務(wù)器的HoA和域名來設(shè)置主機文件。新用戶為了連接服務(wù)器，必須向服務(wù)器發(fā)送其IP地址和共享密鑰。一個簡單的方法是利用安全郵件來完成交換。

3.3 IPsec

當(dāng)節(jié)點N1向另一個節(jié)點N2發(fā)送數(shù)據(jù)包時，需要在數(shù)據(jù)包報頭中添加源地址(作為HoA)和目的地址。然后，N1檢查綁定更新列表是否已經(jīng)將BU發(fā)送到N2，從N2處搜索CoA。如果發(fā)現(xiàn)，N1將其CoA寫進(jìn)歸屬地址選項中，檢查其綁定緩存以確定N2的BU是否已送達(dá)。如果發(fā)現(xiàn)，N1將生成包含N2的CoA的第二類路由報頭。含有源地址和目的地址的數(shù)據(jù)包將送達(dá)IPSec。加密后添加報頭，歸屬地址選項與源地址交換，第二類路由報頭與數(shù)據(jù)包目的地址交換。當(dāng)N2收到數(shù)據(jù)包時，按照報頭在數(shù)據(jù)包中出現(xiàn)的順序進(jìn)行處理。IPSec過程HoA總是在數(shù)據(jù)包報頭中的源地址和目的地址中[23]。IPSec沒有加密第二類路由報頭和歸屬地址選項。

為了防止審查，可以刪除數(shù)據(jù)包中目的地選項頭(和第二類路由報頭)來解決這個問題。在IP封裝安全有效載荷ESP(Encapsulated Security Payload)報頭中的安全參數(shù)索引SPI(Security Parameter Index)足以訪問HoA(數(shù)據(jù)包的真實源地址和目的地址)。刪除目的地選項頭和第二類路由報頭之前和之后的數(shù)據(jù)包格式如圖3所示。

(a) 去除目的地址選項頭和第二類路由報頭之前數(shù)據(jù)包格式

(b) 去除目的地址選項頭和第二類路由報頭之后數(shù)據(jù)包格式圖3 去除目的地選項頭和第二類路由報頭之前和之后的數(shù)據(jù)包格式

3.4 原型實現(xiàn)

為了證明本方案的有效性，并對該設(shè)計的性能進(jìn)行評估，搭建一個基于IPv6的測試臺如圖4所示。使用三臺路由器(R1、R2、R3)和五臺Ubuntu 14.04系統(tǒng)(Linux內(nèi)核版本3.8-2)的計算機(2.4 GHz雙核CPU，4 GB DDR2，800 MHz RAM)。基于Linux的開源MIPv6(UMIP)，路由器R1作為因特網(wǎng)的“中心”。審查者之間像路由器一樣轉(zhuǎn)發(fā)數(shù)據(jù)，單個訪問組的用戶(USER1、USER 2和USER 3)使用一個CoA，審查者不在該組中。

開啟服務(wù)器和用戶的可移動進(jìn)程，服務(wù)器的HoA與R2的路由宣告不在同一個網(wǎng)段。服務(wù)器在R2上的注冊地址為CoA并將其更新到所有用戶。通過編程來實現(xiàn)每10秒生成一個新的CoA(實時刪除前一個)。根據(jù)MIPv6，服務(wù)器向用戶發(fā)送BU消息告知其新的CoA。BU消息的ACK比特使用戶發(fā)回BU的確認(rèn)響應(yīng)消息，以保證用戶成功接收BU消息并更新其綁定緩存條目。因此，每10秒便在服務(wù)器和每個用戶之間產(chǎn)生兩個開銷數(shù)據(jù)包，如圖5所示。圖中，實線表示服務(wù)器端，源地址為服務(wù)器CoA，目的地址為用戶地址，目的地址選項頭中的歸屬地址為服務(wù)器HoA；虛線表示用戶端，源地址為用戶地址，目的地址為服務(wù)器CoA，第二類路由頭中的歸屬地址為服務(wù)器HoA。通常，在此更新期間，用戶在接收到BU消息之前無法訪問服務(wù)器。在服務(wù)器端注冊多個CoA可以解決這一問題，也就是說直到用戶接收到下一個CoA之前，當(dāng)前時間間隔內(nèi)的CoA保持有效。一旦所有用戶更新到新的CoA才刪除當(dāng)前CoA。

圖5 綁定更新過程

本文方法會產(chǎn)生兩種開銷，更新過程BU和BA消息產(chǎn)生的信令開銷和服務(wù)器和用戶之間傳輸數(shù)據(jù)產(chǎn)生的傳輸開銷。

信令開銷：一個完整的節(jié)點注冊過程需要與服務(wù)器傳輸兩類消息(BU和BA消息)，每條消息110字節(jié)(使用IPSec，移除目的地址選項和第二類路由報頭)。在最初的MIPv6中，BU和BA的長度是110字節(jié)，由于使用路由返回機制，會有四條額外信息。此外，為了最小化消息數(shù)量，減少開銷，該系統(tǒng)可以不使用BA運行，即如果數(shù)據(jù)從客戶端傳輸新的CoA，服務(wù)器知道客戶端接收到BU就不需要BA消息。

傳輸開銷：在應(yīng)用IPSec條件下，每個數(shù)據(jù)包會產(chǎn)生24字節(jié)的開銷。即便不使用本方法，仍然需要使用IPSec來確保服務(wù)器和用戶之間建立安全連接，所以本文方法對每個數(shù)據(jù)包造成的實際開銷包為零。

4 結(jié) 語

本文基于移動IPv6和移動目標(biāo)防御技術(shù)提出一種反審查機制架構(gòu)。并通過理論分析證明，通過改變分群比率值，可以使攻擊者部署審查機制的代價大大增加。該方法不改變標(biāo)準(zhǔn)MIPv6和網(wǎng)絡(luò)協(xié)議，也不需要第三方中介介入。最后通過設(shè)計一種基于MIPv6的測試實驗平臺證實該方案的可行性。