基于WiFi的移动IP安全研究

基于WiFi的移动IP安全研究 倍受关注。文章简要介绍 WiFi 技术和移动 IP 的切换机制, 负责频段管理及漫游等指挥工作 。 着重分析了基于 WiFi 的移动 IP 存在的安全隐患和可能遭到 DS,Distribution System ,和多个 BSS 允许 IEEE 8 的 攻击, 并提出了相应的解决方法。 11 构成一个任意大小和复杂的无线网络。IEEE 802.11 WiFi 技术简介 这种网络称为扩展服务集,Extended Service Set , ESS WiFi 是 Wireless Fidelity 的缩写,专指 IEEE802.11b 无 络。同样,ESS 也有一个标识的名称, 即 2移动 IP 工作原理 线。IEEE802.11b 标准是在 IEEE802.11 的基础上发ESSID 。 展 起来的,工作在 2.4GHz 频段,最高传输率能够达到 11Mbps, 移动 IP 的主要目标就是移动节点在改变网络接入点 具有部署方便、通信可靠、抗干扰能力强、成本低、灵活性 不需要改变其 IP 地址,能够在移动过程中保持通信的 好、移动性强、高吞吐量等特点。它使得无线用户可以得到 性,对上层保持透明性,与其他移动节点或不具有 以太网的网络性能、速率和可用性,并且可以无缝地将多种 动 IP 功能的节点进行正常的通信。 AN 技术集成起来,形成一种能够最大限度地满足用户需求 移动 IP 定义了移动节点 , MN ,、 家乡代理 , H 的网络。 和外地代理(FA)。移动节点可以是主机或者是网络中的 STA ,station, 是指接入无线媒介的部分,也常被称 器,家乡代理是本地链路中的主机或者路由器,外地代 为网络适配器或者网络接口卡。STA 可以是移动的,也可 是外地链路中的主机或者路由器。 以是固定的。BSS,Basic Service Set,是 IEEE 802.11 移动 IP 的工作机制,家乡代理或者外地代理周期性 基 本服务集,BSS 基本服务集都有一个覆盖范围,在该覆盖 广播自己的 IP ,移动节点,MN ,判断自己是在家乡网 范围内基本服务集的成员 STA 可以保持相互通信。IBSS , 中还是在外地网络中,如果在家乡网络中就不使用移动 独立的基本服务集,Independen BStS ,是最基本的 功能,如果在外地网络中,就在外地代理注册,获取转 IEEE 02.11b局域网类型,在这种模式下 STA 能够直接通信,这种 地址或者配置转交地址。如果不使用优化路由,注册成 网络工作模式通常被称为 ad hoc 模式。 后,移动节点通信对端的数据发送到家乡代理,由家乡 IEEE 802.11b有两种工作模 式,Ad-hoc 和 Infrastruc- 理使用隧道机制发送到外地代理,然后再转交给移动节 ure 模式。IEEE 标准以独立的基本服务集,IBSS ,来移动节点发送数据一般是直接发送到通信对端,如果使 定 化路由,那么数据可以直接由通信对端发送到移动节点 义 Ad-hoc 模式工作的客户端集合,以基本服务集,BSS , 了最大限度的减少通信延迟和数据包的丢失,移动 IP 使 定义以 Infrastructure 模式工作的客户端集合。 在 Infrastructure 模式中,每一个客户将其通信报文发 层触发,L2T,机制。图 1 是对其工作机制的一个简单示 作者简介,王凤珍,1981 ,,女,-北京工业大学,计算机学院 2003级研究生, 主要研究方向,计算机网络技术及其应用。 息加密,为了 址,必须不使用 网内的其它主机 的安全性大大 同时,由于 ISM 频段,该 的设备都可以自 图 1 移动 IP 的工作机制示意图 信号的干扰。 图中移动节点 B 移动到 B ’位置,在移动过程中通过 3.2 隧道机 向外地代理注册保持与节点 A 的通信。移动后,移动节点 移动节点在 发送给通信对端的数据直接进行传递,而通信对端发送给移 信,通常使用 动节点的数据虽然目的 IP 没有改变,但不能直接发送给移 点 D 在和节点 动节点,而要通过家乡代理使用隧道机制发送给移动节点。 与 A 的通信不中 移动 IP 的切换机制包括预先注册切换、过后注册切换 机制转发到 D 和联合切换三种。预先注册切换就是移动节点在当前二层链 为了实现 路断开前就进行切换,以保证数据通信的不中断。过后注 用 D 的 MAC 地 册切换是当移动节点进入到外地网络时,尽量推迟切换的时 的数据发送给家 间,使用一个家乡代理与外地代理之间的单边隧道进行通 乡网络中的 IP 信。联合切换是综合使用这两种工作机制。 报文的源地址 如果外地 基于 WiFi 的移动 IP 网络安全性分析 3 那么移动节点就 图 2 是基于 WiFi 的移动 IP 的结构示意图,图中移动节 滤是指路由器或 点 D 从家乡网络,subnet 1,移动到外地网络,subnet 2,。子 分组路由到网络 网 1 中仅有一个 AP,子网 2 中有 2 个 AP,两个子网路由器通 分组时,使用 过以太网相连接。 位置不符合, 如果外地网 使用反向隧道才 到家乡代理,家 攻击者可伪造移 组看似来自移动 3.3 代理发 目前移动 IP,特别是基于 WiFi 的移动 IP 技术还不 成熟,文章对其物理链路层安全、隧道机制、代理发现 制等进行了分析并提出了相应的解决方案。但是现实中 的攻击是多种多样的,因此还需要我们进一步对安全性进 研究与分析。 参考文献 [1] 金纯,陈林星.IEEE 802.11无线局域网 [M]. 北京电子 :图 3 基于 AAA 的解决方案 业出版社.2004 年 8 月. 在通信时使用 AAA 认证机制,如虚线所示,如果移动 [2] 孙利民.移动 IP 技术[M].北京:电子工业出版社.2003. 节 点在外地链路, 那么首先发送请求给本地 AAA 服务器 [3] 杨丰瑞,李方伟.移动 IP[M].北京:人民邮电出版社.2003 AAAL,,AAAL 如果没有相应的移动节点的认证信息,那 Security Research On Mobile IP Based on WiFi Wang Fengzhen College of Computer Science and Technology Beijing University of Technology,Beijing,100022 Abstract:This article briefly introduces basic concepts of WiFi (IEEE802.11b) and Mobile IP. It emphasizes giving analysis on security problems of Mobile IP based on WiFi and also puts forward corresponding solutions to these security problems. Key Words:WiFi;Mobile IP;Tunnel Mechanism;AAA 上接 51 页] The Data Center Solution in the Securities Trade Zhong Langhui Shanghaistockcommunicationco.,LTD.,Shanghai,200131 Abstract:This article introduces a data center solution named CBAK. The CBAK is a backup system for disaster recovery and manages the critical data in the securities trade. So, the CBAK avoids building all kinds of backup data center in the securities trade.Using the CBAK, Shanghai stock communication co. LTD can manage the critical data of securities trade safely,effectively and lower cost, then it becomes the data center of the securities trade. Key Words:central backup;data center;data file