基于SAVI技術(shù)的安全DHCPv6系統(tǒng)研究.pdf

1、IPv6協(xié)議的設(shè)計(jì)解決了困擾互聯(lián)網(wǎng)發(fā)展的地址短缺問(wèn)題，同時(shí)IPv6地址的安全性問(wèn)題也備受關(guān)注。DHCPv6協(xié)議用來(lái)為主機(jī)動(dòng)態(tài)分配IPv6地址和其他配置信息，但協(xié)議本身存在的缺陷使得攻擊者能夠發(fā)起基于IPv6源地址的攻擊。為了防止源地址攻擊，根據(jù)IPv6源地址驗(yàn)證的部署結(jié)構(gòu)[4]和地址本身的構(gòu)成策略[5]，論文提出新的解決方案來(lái)確保IPv6地址分配和使用過(guò)程中的安全性。
　　論文深入分析了DHCPv6協(xié)議，SAVI技術(shù)的特點(diǎn)及其安全

2、性，并對(duì)CGA地址的組成和生成算法進(jìn)行了研究。SAVI技術(shù)通過(guò)接入網(wǎng)內(nèi)的二層交換機(jī)監(jiān)聽(tīng)DHCPv6協(xié)議建立IPv6地址綁定，在二層交換機(jī)上過(guò)濾非法用戶的攻擊報(bào)文，但由于傳輸實(shí)體間缺乏身份認(rèn)證，使得報(bào)文會(huì)受到中間人攻擊等安全威脅。CGA機(jī)制[8]使用密鑰與地址綁定的策略來(lái)進(jìn)行地址擁有者和分配者之間的實(shí)體認(rèn)證。但CGA地址同樣也存在安全方面的限制和缺陷，而且CGA地址生成過(guò)程復(fù)雜，這也限制了CGA機(jī)制的實(shí)際應(yīng)用。
　　根據(jù)分析結(jié)果，論

3、文提出了基于SAVI技術(shù)的安全DHCPv6系統(tǒng)，從IPv6源地址驗(yàn)證接入網(wǎng)部署結(jié)構(gòu)的角度，引入DHCPv6 Snooping技術(shù)，并在基于DHCPv6Snooping技術(shù)的安全基礎(chǔ)上對(duì)CGA機(jī)制進(jìn)行了改進(jìn)。在同等安全等級(jí)時(shí)，應(yīng)用ECC加密算法替代RSA加密算法，減小了密鑰長(zhǎng)度;同時(shí)對(duì)Hash2的生成進(jìn)行了改進(jìn)，進(jìn)一步減小了CGA地址的原始報(bào)文長(zhǎng)度?；赟HA-1哈希算法的分塊特點(diǎn)，報(bào)文長(zhǎng)度的減小減少了壓縮函數(shù)的迭代調(diào)用次數(shù)，加快了CGA