移动IPv4的安全分析

　　移动IPv4协议使用的机制包括代理发现机制、移动注册机制、隧道机制。这些机制采用的协议消息包括：代理通告、移动注册请求／应答。下面从安全的角度，对这些机制和协议消息进行分析，指出潜在的安全威胁。

　　（1）代理发现机制

　　家乡代理和外地代理每隔一定周期广播代理通告，移动节点收到该消息后，通过检查其内容来判断自己是在家乡链路还是在外地链路。如果是在外地链路上，那么可以从外地代理广播的代理通告消息中获取转交地址，或者通过其他协议来获取转交地址。

　　在移动IPv4中，代理通告是ICMP路由器发现消息的移动扩展。代理通告中包含一个16位编码的系列号，根据该系列号，移动节点可以判断外地代理是否已经重设了状态，改变了移动节点的移动绑定。

　　这种机制可能会遭受中间人的攻击。恶意节点伪造一个代理通告，使得移动节点认为当前的绑定已经丢失。攻击者通常位于移动节点所在的当前链路，因为代理通告的TTL值必须为1时，移动节点才会处理该通告。如果攻击者不在本地链路，他可以设置恰当的TTL值，使得移动节点收到该通告时TTL值正好是1。

　　代理通告的发送方式可以是广播、组播和单播。广播时使用的目的地址是全子网广播地址255．255.255.255，组播时目的地址则是所有主机组播地址224．0.0.1。攻击者如果与移动节点不在同一条链路上，那么无法采用这两个目的地址进行攻击，因为它发出的分组不能路由到移动节点当前的链路上。当代理通告是响应移动节点的代理请求时，代理通告使用单播形式，目的地址为移动节点的单播地址。这种情况下，攻击者可以从不同于移动节点所在链路的其他位置发起攻击。为安全起见，除非正在等待代理请求消息的应答，移动节点应该忽略任何单播的代理通告。

　　（2）移动注册机制

　　当移动节点移动到外地网络，获得转交地址之后，必须进行注册。移动节点向家乡代理发出注册请求，家乡代理返回注册应答，这样保证发往移动节点的分组能够正确路由到移动节点。针对移动注册的攻击有以下几种：

　　①拒绝服务攻击。攻击者向家乡代理发送伪造的注册请求，把自己的IP地址当做移动节点的转交地址。注册成功后，发往移动节点的消息均由攻击者接收，而真正的移动节点却被拒绝服务。

　　②假冒攻击。这是一种典型的重放攻击。攻击者通过窃听会话，截取数据包，把一个有效的注册请求信息储存起来，然后，利用储存的注册请求向家乡代理注册伪造的转交地址。

　　（3）隧道机制

　　家乡代理在家乡链路上通告关于移动节点家乡地址网络前缀的可达信息，这样，发往移动节点家乡地址的分组首先发到家乡代理。家乡代理获取这些分组之后，以隧道的方式发到移动节点先前注册的转交地址。通常情况下，移动节点发出的分组不能使用隧道，而是直接路由到目的节点。

　　如果外地网络配置了网络入境过滤的路由器或者防火墙，那么移动节点不能直接向通信对端发送分组。网络入境过滤是指路由器或防火墙配置成不允许源地址拓扑不正确的分组路由到网络中。因为移动节点如果直接向通信对端发送分组时，使用的是家乡地址，与移动节点当前所在的网络位置不符合，所以防火墙会把这些分组过滤掉，通信对端无法接收到。

　　如果外地网络实施了人境过滤策略，那么移动节点需要使用反向隧道来传送数据，即首先将原始分组以隧道方式发送到家乡代理，家乡代理获取原始分组之后再转发给目的节点。攻击者可以伪造移动节点和家乡代理之间的隧道分组，这些分组看似来自移动节点，从而利用这些分组访问家乡网络。