Skip to main content

5. Security Considerations (安全考虑)

Mobile IP面临多种安全威胁,本节描述安全机制和考虑事项。

5.1. Message Authentication Codes (消息认证码)

所有注册消息必须 (MUST) 使用Mobile-Home认证扩展进行认证
默认算法为HMAC-MD5,密钥长度128位
支持其他算法(如HMAC-SHA1)

5.2. Areas of Security Concern in This Protocol (协议中的安全关注领域)

主要安全威胁:

重放攻击: 使用Identification字段防护
伪造注册: 通过认证扩展防护
会话劫持: 通过隧道保护
拒绝服务: 通过资源限制缓解

5.3. Key Management (密钥管理)

移动节点和归属代理之间的共享密钥配置
可以使用手动配置或自动密钥协商(如IKE)
密钥应该 (SHOULD) 定期更新

5.4. Picking Good Random Numbers (选择良好的随机数)

Identification字段应该 (SHOULD) 使用加密安全的随机数生成器或时间戳生成。

5.5. Privacy (隐私)

移动节点的位置信息可能泄露隐私
建议使用IPsec等机制保护数据流
考虑使用临时标识符

5.6. Ingress Filtering (入口过滤)

入口过滤可能阻止移动节点发送带有归属地址的数据报。解决方案:

使用反向隧道
与网络管理员协调

5.7. Replay Protection for Registration Requests (注册请求的重放保护)

5.7.1. Replay Protection Using Timestamps (使用时间戳的重放保护)

Identification字段包含时间戳
归属代理验证时间戳在可接受窗口内
要求移动节点和归属代理时钟同步

5.7.2. Replay Protection Using Nonces (使用Nonce的重放保护)

Identification字段包含nonce
归属代理维护nonce列表
不需要时钟同步但需要更多状态

5.1. Message Authentication Codes (消息认证码)
5.2. Areas of Security Concern in This Protocol (协议中的安全关注领域)
5.3. Key Management (密钥管理)
5.4. Picking Good Random Numbers (选择良好的随机数)
5.5. Privacy (隐私)
5.6. Ingress Filtering (入口过滤)
5.7. Replay Protection for Registration Requests (注册请求的重放保护)
- 5.7.1. Replay Protection Using Timestamps (使用时间戳的重放保护)
- 5.7.2. Replay Protection Using Nonces (使用Nonce的重放保护)