IPv6鄰居發(fā)現(xiàn)的安全性研究.pdf

1、鄰居發(fā)現(xiàn)(NeighborDiscovery)是IPv6協(xié)議體系的一個重要組成部分。描述IPv6鄰居發(fā)現(xiàn)的標準級文檔RFC2461中指出：“同一鏈路上面的結(jié)點利用鄰居發(fā)現(xiàn)來找到彼此的存在，來斷定彼此的鏈路層地址，來發(fā)現(xiàn)路由器以及來維護各個處于活動狀態(tài)的鄰居的可達路徑信息?！碑敹xIPv6鄰居發(fā)現(xiàn)協(xié)議的功能的時候，本地連接被設(shè)想為由相互信任的節(jié)點組成。但是，隨著人們對無線廣播網(wǎng)絡(luò)的應(yīng)用(比如在機場、賓館和醫(yī)院的無線局域網(wǎng))，即使這些連接有

2、在數(shù)據(jù)鏈路層的認證、訪問控制和加密處理，還是會有不可信任的節(jié)點。本地連接上的節(jié)點進行通信時，如果存在惡意節(jié)點，就會產(chǎn)生大量的安全威脅，將導(dǎo)致各種各樣的非法訪問、拒絕服務(wù)(DoS)攻擊等。在IPv4中源地址驗證比較困難，而IPv6較長的地址段提供了基于地址本身驗證源地址的可能性。 本論文為IPv6鄰居發(fā)現(xiàn)的安全威脅提供了一種解決方案：地址加密生成(CryptographicallyGeneratedAddressesCGA)，描述

3、了在鄰居發(fā)現(xiàn)報文中使用CGA選項和CGA簽名選項面對不同的威脅模式時如何增加網(wǎng)絡(luò)通信的安全性。CGA地址就是對IPv6地址的接口標識符(低64位)使用地址擁有者的公鑰和其他參數(shù)進行散列運算得到，在接收端通過重新計算驗證地址的有效性，并且在傳送的消息中含有使用地址擁有者私鑰產(chǎn)生的簽名，也必須在接收端進行驗證。只有CGA地址和簽名同時通過驗證，才能證明該地址的有效性。生成CGA地址的輸入?yún)?shù)由修正序列、EUI-64地址、沖突計數(shù)和地址擁有者

4、的公鑰組成。為了增加CGA地址的加密強度，對修正序列的選取加入了安全參數(shù)Sec，可以根據(jù)不同的Sec值得到不同級別的安全強度的修正序列；另外，生成CGA地址的輸入?yún)?shù)中使用EUI-64地址替代了子網(wǎng)前綴，使得攻擊者不是為每個子網(wǎng)創(chuàng)建查找表，而是要為每個主機創(chuàng)建查找表，并且消除了因為IPv6地址的鏈路本地地址使用相同前綴的缺點，更為重要的是有效避免了使用子網(wǎng)前綴可能造成重放攻擊的弱點；并且，在本論文中使用的加密技術(shù)可以是任一得到公認的散列