移动 IP 的安全注意事项

在许多情况下，移动计算机使用无线链接来连接到网络。无线链路特别容易受到被动窃听、主动重放攻击和其他主动攻击。

因为移动 IP 意识到它无法减少或消除此漏洞，所以移动 IP 会使用验证的形式来保护移动 IP 注册消息免受这些类型的攻击。所使用的缺省算法是 MD5，密钥的大小为 128 位。缺省的操作模式要求在要散列的数据前后都使用这个 128 位密钥。外地代理使用 MD5 来支持验证，还会使用 128 位或更多位的密钥以及手动密钥分发方法。移动 IP 可以支持多种验证算法、算法模式、密钥分发方法和密钥大小。

这些方法确实可防止移动 IP 注册消息被修改。不过，当移动 IP 实体收到与以前的移动 IP 注册消息重复的消息时，移动 IP 还会使用重放保护的形式来警告这些实体。如果未使用此保护方法，那么，当移动节点或其家乡代理接收注册消息时，两者可能会变得不同步。因此，移动 IP 需要对其状态进行更新。例如，通过外地代理注册移动节点时，家乡代理会收到一条重复的取消注册消息。

可通过称为 nonce 或时间标记的方法来确保实现重放保护。当前值和时间标记由家乡代理和移动节点在移动 IP 注册消息内进行交换。验证机制可保护当前值和时间标记不会更改。因此，如果家乡代理或移动节点收到重复的消息，则可将该消息丢弃。

使用隧道可能会产生重大漏洞，尤其是在注册未经过验证时。另外，地址解析协议 (Address Resolution Protocol, ARP) 也未经过验证，可能会用于窃取另一台主机的流量。