IPv6鄰居發(fā)現的安全性研究.pdf

1、鄰居發(fā)現(NeighborDiscovery)是IPv6協(xié)議體系的一個重要組成部分。描述IPv6鄰居發(fā)現的標準級文檔RFC2461中指出：“同一鏈路上面的結點利用鄰居發(fā)現來找到彼此的存在，來斷定彼此的鏈路層地址，來發(fā)現路由器以及來維護各個處于活動狀態(tài)的鄰居的可達路徑信息?！碑敹xIPv6鄰居發(fā)現協(xié)議的功能的時候，本地連接被設想為由相互信任的節(jié)點組成。但是，隨著人們對無線廣播網絡的應用(比如在機場、賓館和醫(yī)院的無線局域網)，即使這些連接有

2、在數據鏈路層的認證、訪問控制和加密處理，還是會有不可信任的節(jié)點。本地連接上的節(jié)點進行通信時，如果存在惡意節(jié)點，就會產生大量的安全威脅，將導致各種各樣的非法訪問、拒絕服務(DoS)攻擊等。在IPv4中源地址驗證比較困難，而IPv6較長的地址段提供了基于地址本身驗證源地址的可能性。 本論文為IPv6鄰居發(fā)現的安全威脅提供了一種解決方案：地址加密生成(CryptographicallyGeneratedAddressesCGA)，描述

3、了在鄰居發(fā)現報文中使用CGA選項和CGA簽名選項面對不同的威脅模式時如何增加網絡通信的安全性。CGA地址就是對IPv6地址的接口標識符(低64位)使用地址擁有者的公鑰和其他參數進行散列運算得到，在接收端通過重新計算驗證地址的有效性，并且在傳送的消息中含有使用地址擁有者私鑰產生的簽名，也必須在接收端進行驗證。只有CGA地址和簽名同時通過驗證，才能證明該地址的有效性。生成CGA地址的輸入參數由修正序列、EUI-64地址、沖突計數和地址擁有者

4、的公鑰組成。為了增加CGA地址的加密強度，對修正序列的選取加入了安全參數Sec，可以根據不同的Sec值得到不同級別的安全強度的修正序列；另外，生成CGA地址的輸入參數中使用EUI-64地址替代了子網前綴，使得攻擊者不是為每個子網創(chuàng)建查找表，而是要為每個主機創(chuàng)建查找表，并且消除了因為IPv6地址的鏈路本地地址使用相同前綴的缺點，更為重要的是有效避免了使用子網前綴可能造成重放攻擊的弱點；并且，在本論文中使用的加密技術可以是任一得到公認的散列