移动IP技术指南10.pdfVIP

下载 第10章 服务提供商对移动IP 的应用 本章从服务提供商的角度介绍移动 I P 的应用，可以看到服务提供商为了给用户提供家乡 代理和外地代理，可能会使用移动 I P技术。 我们还将介绍服务提供商普遍会面临的两种安全威胁：窃取服务和拒绝服务攻击。虽然 这些安全威胁并不是移动 I P所独有的，但它们是商业服务提供商非常关心的话题。因此，我 们将研究对付这些威胁的解决方案，以及它们对移动 I P可能的影响。 最后，我们以 M O TO R O L A 公司的集成数字增强网络（ i D E N ）的案例分析为例，说明基 于移动I P 的商用、无线和数据服务。 10.1 商用移动IP服务的模型 本节介绍一个商务模型，商业因特网提供者可以使用它来支持客户的移动 I P功能。介绍 的背景是拥有移动节点、外地代理、家乡代理以及这些服务相对于因特网和各个专用网的位 置。最后讨论后续章节会解决的安全威胁。 本章的参考模型如图 1 0 - 1所示。该模型具有下面的假设： ? P P P 是个人通过服务提供商连接因特网使用最普遍的链路层协议。因此， I S P通过P P P对 外地代理提供拨号接入。 ? 一些移动节点属于 I S P 的企业用户有自己连入因特网的专用网，并全部安装了移动 I P功 能设备。假设这些移动节点在其所属专用网内有自己的家乡代理。除非特别声明，否则 继续做第9章中的假设：专用网和因特网被一个安全隧道防火墙分隔开。 ? 其他移动节点属于I S P 的个人用户没有这些专用网络，由I S P负责为其提供家乡代理功能。 第二项意味着家乡代理不归服务提供商控制，这一点对后面几个章节中发展的安全模型 有一些影响。然而，我们有理由假设所有的外地代理 至少服务提供商担心的那些 确实在服务 提供商的控制之下。 服务提供商 其他服务提 公司客户的家乡 的设备 供商的设备 代理和相关网络 移动节点 外地代理 家乡代理 电话线上的 PPP Internet 的其余部分 外地代理 家乡代理 图10-1 移动IP/PPP参考模型 130使用第三部分 移动IP 的应用 下载 现在开始讨论服务提供商面临的各种威胁，以及我们提供的保护措施。窃取服务和拒绝 服务攻击是所有服务提供商都必须面对的，而不与移动 I P存在必然联系。我们分析任何情况 下移动I P对这些威胁的效果，并设计针对新产生问题的解决方案。 10.2 窃取服务 当一个“坏家伙”能够不缴费就使用某个通信资源时，就认为“服务窃取”出现了。典 型的例子就是北美的模拟、蜂窝电话系统欺骗。本节通过分析蜂窝系统来理解窃取服务攻击 的特性，提出为了设计基于移动I P 的安全服务而要采取不同的做法。 蜂窝“克隆”欺骗 Ya n k e e集团的高级分析家Phillip Redman 指出，北美市场 1 9 9 6年因为蜂窝欺骗造成的业界 损失大约有 11亿美元 [ R e d m a n 9 7 ] 。大多数的欺骗方法是通过一种称为“克隆（ C l o n i n g ）”的 较简单的窃取服务攻击实现的。“克隆”攻击能够实现的最主要的原因是北美使用的“自欺欺 人”认证方式，而不是强密码认证方式。 攻击过程如图 1 0 - 2所示。蜂窝电话用户呼叫时，系统要求电话通过无线链路发送两个数 字来“认证”自己。这两个数字是：移动身份号码（ M I N ） 服务提供商分配给客户的号码 和 电子序列号码（E S N ） 制造商做进电话里的一个数值 。 然而，这两个数值是以明码传送的，“坏家伙”可以使用一个无线电扫描仪来窃听传输并 发现M I N和E S N 。“坏家伙”可