第八章 网络安全技术与应用


             个绑定。MN通过绑定注册过程将CoA通知给位于归属网络的归属代理（Home
             Agent，HA）。对端通信结点（Correspondent Node，CN）发往MN的数据包首

             先被路由送到HA，然后HA根据 MN的绑定关系，将数据包封装后发送给MN。
             为了优化迂回路由的转发效率，移动IPv6也允许MN直接将绑定消息发送到对端
             CN，无需经过HA的转发，即可实现MN和对端通信主机的直接通信。
                 （2）移动IPv6面临的安全威胁

                 移动IPv6基本工作流程只针对理想状态的互联网，并未考虑现实网络的安全
             问题。
                 而且，移动性地引入也将带来新的安全威胁，如窃听、篡改和拒绝服务攻击
             等。因此，在移动IPv6的具体实施中须谨慎处理这些安全威胁，以免降低网络安

             全级别。
                 移动IP不仅要解决无线网络所有的安全威胁，还要处理由移动性带来的新安
             全问题，所以，移动IP相对有线网络更脆弱和复杂。另外，移动IPv6协议通过定
             义移动结点、HA和通信结点之间的信令机制，较好地解决了移动IPv4的三角路

             由问题，但在优化的同时也出现了新的安全问题。目前，移动IPv6受到的主要威
             胁包括拒绝服务攻击、重放攻击和信息窃取等。
                 5.移动IPv6的安全机制

                 移动IPv6协议针对上述安全威胁，在注册消息中通过添加序列号以防范重放
             攻击，并在协议报文中引入时间随机数。对HA和通信结点可比较前后两个注册
             消息序列号，并结合随机数的散列值，判定注册消息是否为重放攻击。若消息序
             列号不匹配或随机数散列值不正确，则可作为过期注册消息，不予处理。
                 对其他形式的攻击，可利用<移动结点，通信结点＞和<移动结点，归属代

             理＞之间的信令消息传递进行有效防范。移动结点和归属代理之间可通过建立
             IPSec安全联盟，以保护信令消息和业务流量。由于移动结点归属地址和归属代
             理为已知，所以可以预先为移动结点和归属代理配置安全联盟，并使用IPSec

             AH和ESP建立安全隧道，提供数据源认证、完整性检查、数据加密和重放攻击
             防护。

                 二、虚拟专用网 VPN 技术

                 虚拟专用网（VPN）是利用Internet公用物理网络，通过逻辑连接构建的专用
             网络，相当于在广域网中建立一条类似微信的虚拟专用线路（常称隧道），各种


                                                                                    243