移动IP的安全策略研究

移动IP的引入解决了终端的移动性接入问题,但又使得入侵者既可以在有线网络部分进行攻击还可以通过无线方式发起攻击。在无线链路上,黑客不直接接入网络就可以发起攻击,加之频带资源的有限,若在无线链路上发起DoS 攻击必将带来很大的危害性。文中分析了移动IP中的安全问题,提出了解决移动IP中DoS攻击的方法。     

IKEv2协议对DoS攻击的防范

对IKEv2协议的交换过程和主要工作原理进行分析,得出其存在着内存耗尽型和基于分片的DoS攻击的安全缺陷,针对内存耗尽型DoS攻击通过改进初始交换过程,增加Cookie信息来认证发起方杜绝IP欺骗引起的耗尽型DoS攻击,针对基于分片的DoS攻击采用增加IP地址分片重组列表的方案来进行抵御,这些针对DoS攻击的防范进一步增强了IKEv2的安全性。     

SCTP在移动IP安全中的应用

移动IP的引入是为了解决终端移动性接入问题,因其存在无线链路和有线链路两部分,使得入侵者不但可以在有线网络部分进行攻击还可以通过无线方式发起攻击。SCTP是IETF为了解决TCP的局限性而构建于IP之上的可靠的传输层协议,它的状态Cookie机制对防御移动IP的DoS攻击具有不可取代的优势,而隧道防火墙则在移动IP中早已经广泛应用。有效将这两种技术进行融合对提高移动IP的数据传输安全具有重要意义。本文在分析SCTP协议特性的基础上,提出了如何实现SCTP与IPSec的融合并应用于移动IP的安全防御中,从而获得更高的安全性能。     

融合网络中电信业务DoS攻击的分析与防御

市场对业务的需求促进了现代电信网从传统语音网络向基于IP分组传输的下一代网络演进,IP网络缺乏QoS保证的缺点日益突出,以IP为承载的电信业务面临潜在DoS攻击的威胁,其攻击结果轻则降低用户接通率,严重时可完全阻断电信业务服务。本文首先剖析了融合网络环境下针对电信业务进行DoS攻击的原理及特点,比较了其与传统网络DoS攻击的不同,提出了有效的电信业务DoS攻击检测方法和防御DoS攻击模型。     

一种SYN Flood DoS攻击工具的实现

为检测目标主机是否存在DoS漏洞及承受DoS攻击的能力,在Linux平台上实现一个基于SYN Flood的DoS攻击工具。首先,介绍SYN Flood攻击原理。然后利用原始套接字结合IP欺骗技术,实现SYN Flood攻击报文的构造和发送,实现了基于SYN Flood攻击工具synAttacker。最后,利用synAttacker进行测试,并对测试结果进行分析。测试结果表明synAttacker能够进行有效的SYN Flood攻击,可以作为DoS渗透攻击工具。     

抗DoS攻击的多用户传感器网络广播认证方案

在vBNN-IBS签名基础上提出了一种抗DoS攻击的多用户传感器网络广播认证方案DDA-MBAS,利用散列运算及用户信息进行虚假数据过滤。与现有的多用户传感器网络广播认证方案相比,DDA-MBAS在抵抗节点妥协攻击、主动攻击的基础上,以较低的能耗过滤虚假消息并有效地限制了妥协用户发起的DoS攻击及共谋攻击的安全威胁。     

IP返回跟踪DoS攻击的压缩边界采样算法

描述了IP返回跟踪DoS(拒绝服务)攻击中的压缩边界采样算法,并在保证后向兼容性的前提下对IP数据包头部进行修改。     

一种认证协议防御拒绝服务攻击的设计方法

拒绝服务(DoS)攻击是一种阻碍授权用户正常获得服务的主动攻击,大量认证协议和密钥建立协议存在着不同程度的DoS隐患.本文提出一种新的解决方法,用于无可信第三方认证协议和密钥建立协议防御DoS攻击,该方法可动态调整DoS防御的强度,并可减少并行会话攻击,增强协议的安全性.     

IP返回跟踪DoS(拒绝服务)攻击中的压缩边界采样算法

本文描述了IP返回跟踪DoS(拒绝服务)攻击中的压缩边界采样算法，并在保证后向兼容性的前提下对IP数据包头部进行修改。     

移动Ad Hoc网络DoS攻击效果评估方法

为了有效评估移动Ad Hoc网络中的DoS攻击效果,文章结合网络安全属性和攻击属性两方面建立了评估指标体系,在此基础上,提出了基于变权灰色模糊的攻击效果评估模型,并给出了量化评估的方法和步骤。最后利用该方法对DoS攻击进行了仿真评估分析,量化评估结果能够较好地反映不同攻击方式的效果。     

基于身份的移动IP注册协议研究

针对移动IP注册协议中家乡和移动节点过多且复杂的计算问题,提出了一个新的基于身份的密钥分发方案,并在此基础上设计了一种高效的移动IP注册协议。该协议实现了移动IP各个节点间相互认证,其中移动节点与家乡代理之间具有双重认证的特点。双线性对和秘密随机数的选取保证了消息的安全性,消息认证码Mac和数字签名Sig保障了消息的完整性。该协议从整体上减少了计算量,降低了注册延迟率,同时也有效地保证了安全性。安全性分析表明,该方案满足移动IP的安全要求。     

移动IPv6实施的关键问题及在CDMA网络中的应用

IPv4的NAT缺陷、缺乏固定地址限制了CDMA网络中移动IP业务的发展,CDMA移动网络向IPv6承载过渡是必然趋势。本文探讨了移动IPv6在CDMA网络中的应用,着重分析了CDMA网络中应用移动IPv6所面临的服务质量、安全、认证、DNS自动发现、演进等问题,并对现有CDMA网络实体的改动加以阐述。     

具有快速ID匿名的移动IP注册协议

针对移动IP注册过程中的匿名和认证问题,提出一个具有快速ID匿名的移动IP注册协议。该协议安全性是基于椭圆曲线CDH问题,通过构造临时ID保证真实ID的匿名性,每次注册请求中的临时ID都在不断变化,实现了用户ID的匿名性和位置隐蔽性。     

基于证书的移动通信认证模型

本文针对GSM移动通信系统的安全缺陷,提出了一种基于证书的安全认证模型,并设计了基于证书的移动通信安全协议.该模型将IP网络的CA认证技术引入到无线网络,并对经典PKI进行了改进,将身份认证和访问授权进行了区分,实现了密钥和持有人的1:n关系,并支持匿名访问.通过实验证明了证书模型解决移动通信安全性的可行性.     

移动通信网中端端认证方案的研究

现有的数字移动通信网中提供移动用户与基地地间的保密通信服务,移动用户的间的端端保密通信在移动通信网中还是一个新问题。本文分析了已有端端认证方案的安全性,提出了一种单钥体制域内端端认证方案和一种单钥／双钥混合体制域间端端认证方案。分析结果结果：新方案不仅安全性很高,而且利用于移动端的实现,也便于网络端的密钥管理。     

A secure dynamic IP configuration scheme for mobile ad hoc networks

Secure dynamic IP addressing is a prime requirement for unicast communication between authorized hosts in mobile ad hoc networks (MANETs). Recently, several approaches have been proposed for dynamic addressing scheme. However, most of the approaches rely on broadcasting for address solicitation and/or duplicate address detection. As a result, several types of security threats in dynamic IP configuration can be observed. In this paper, we present an ID based dynamic IP configuration scheme that can securely allocate IP addresses to the authorized hosts for a mobile ad hoc network without broadcasting over the entire network. Each host in the MANET can generate an unique IP address from its own IP address for a new host. The proposed scheme provides authentication for address configuration without the help of a trusted third party while taking care of the security-threats associated with dynamic IP configuration. Performance analysis shows that even with added security mechanisms our proposed addressing scheme has fairly good addressing latency and control overhead compared to the similar existing schemes. Moreover, the proposed scheme is able to solve the problem of network partitions and mergers along with the arrival and departure of a host efficiently and securely.     

An Integrated Handover Authentication for FMIPv6 Over Heterogeneous Access Link Technologies

This paper proposes an integrated handover authentication for NGN equipped with FMIPv6-based IP mobility over various kinds of access links. In ITU-T, an integrated authentication model has been introduced to support network attachment with mobility in NGN. Since existing studies for handover authentication have focused on the link layer or network layer respectively, there are additional authentication overhead such as duplicated authentication procedures and authentication messages delivery cost. The proposed integrated handover authentication contributes to reducing complexity of the authentication procedure and to enhancing the efficiency of it by means of the combined key management architecture; a mobile node generates a handover key to transfer it to the next access router through the AAA server, and hierarchical key management scheme addresses the locality of movement to authenticate the mobile node at the link layer. The evaluation of the handover authentication costs shows that it reduces the average number of handover authentication events and the authentication message delivery cost during moves in mobile networks. Also, the security aspects of the proposed scheme are discussed.     

UMTS分组路由的演进

文章比较了移动IP协议和GTP协议,分析了从GTP向移动IP演进的3个阶段,并讨论了家区代理、移动IP的安全及移动IP协议对非移动IP终端的支持等相关技术问题。     

基于“北斗”的战场移动装备域间身份认证方法

为了实现对移动装备在不同管理域间切换时身份的快速、安全认证,基于“北斗”卫星导航系统所提供的安全可靠的短报文通信功能和高精度的授时功能,提出了一种基于“北斗”的战场移动装备域间身份认证方法,设计了基于“北斗”的战场移动装备域间身份认证体系结构和战场移动装备域间身份认证协议。该认证体系采用两级认证机制。整个移动网络通过“北斗”系统的高精度授时实现全网时钟的精确同步,将“北斗”系统提供的时钟信息作为时间戳加入到身份认证信息中,并利用“北斗”系统传输身份认证信息。经过对协议的安全性分析表明,该协议安全可靠,可以实现域间身份认证时新管理域中的认证中心与移动装备的双向认证,也可以实现移动装备的匿名认证,同时具有抗重放攻击能力。此外,该协议有效地减小了家乡域认证中心的开销。     

移动IP的安全隧道实现

在当前的安全机制中，移动IP遇到了一些挑战。在利用网络进行通讯时IPSec协议提供了一个强加密的标准协议（RFC2002）的安全、快速的移动网络。