IPv6鄰居發(fā)現(xiàn)的安全性研究.pdf

1、鄰居發(fā)現(xiàn)(NeighborDiscovery)是IPv6協(xié)議體系的一個(gè)重要組成部分。描述IPv6鄰居發(fā)現(xiàn)的標(biāo)準(zhǔn)級(jí)文檔RFC2461中指出：“同一鏈路上面的結(jié)點(diǎn)利用鄰居發(fā)現(xiàn)來找到彼此的存在，來斷定彼此的鏈路層地址，來發(fā)現(xiàn)路由器以及來維護(hù)各個(gè)處于活動(dòng)狀態(tài)的鄰居的可達(dá)路徑信息。”當(dāng)定義IPv6鄰居發(fā)現(xiàn)協(xié)議的功能的時(shí)候，本地連接被設(shè)想為由相互信任的節(jié)點(diǎn)組成。但是，隨著人們對(duì)無線廣播網(wǎng)絡(luò)的應(yīng)用(比如在機(jī)場(chǎng)、賓館和醫(yī)院的無線局域網(wǎng))，即使這些連接有

2、在數(shù)據(jù)鏈路層的認(rèn)證、訪問控制和加密處理，還是會(huì)有不可信任的節(jié)點(diǎn)。本地連接上的節(jié)點(diǎn)進(jìn)行通信時(shí)，如果存在惡意節(jié)點(diǎn)，就會(huì)產(chǎn)生大量的安全威脅，將導(dǎo)致各種各樣的非法訪問、拒絕服務(wù)(DoS)攻擊等。在IPv4中源地址驗(yàn)證比較困難，而IPv6較長(zhǎng)的地址段提供了基于地址本身驗(yàn)證源地址的可能性。 本論文為IPv6鄰居發(fā)現(xiàn)的安全威脅提供了一種解決方案：地址加密生成(CryptographicallyGeneratedAddressesCGA)，描述

3、了在鄰居發(fā)現(xiàn)報(bào)文中使用CGA選項(xiàng)和CGA簽名選項(xiàng)面對(duì)不同的威脅模式時(shí)如何增加網(wǎng)絡(luò)通信的安全性。CGA地址就是對(duì)IPv6地址的接口標(biāo)識(shí)符(低64位)使用地址擁有者的公鑰和其他參數(shù)進(jìn)行散列運(yùn)算得到，在接收端通過重新計(jì)算驗(yàn)證地址的有效性，并且在傳送的消息中含有使用地址擁有者私鑰產(chǎn)生的簽名，也必須在接收端進(jìn)行驗(yàn)證。只有CGA地址和簽名同時(shí)通過驗(yàn)證，才能證明該地址的有效性。生成CGA地址的輸入?yún)?shù)由修正序列、EUI-64地址、沖突計(jì)數(shù)和地址擁有者

4、的公鑰組成。為了增加CGA地址的加密強(qiáng)度，對(duì)修正序列的選取加入了安全參數(shù)Sec，可以根據(jù)不同的Sec值得到不同級(jí)別的安全強(qiáng)度的修正序列；另外，生成CGA地址的輸入?yún)?shù)中使用EUI-64地址替代了子網(wǎng)前綴，使得攻擊者不是為每個(gè)子網(wǎng)創(chuàng)建查找表，而是要為每個(gè)主機(jī)創(chuàng)建查找表，并且消除了因?yàn)镮Pv6地址的鏈路本地地址使用相同前綴的缺點(diǎn)，更為重要的是有效避免了使用子網(wǎng)前綴可能造成重放攻擊的弱點(diǎn)；并且，在本論文中使用的加密技術(shù)可以是任一得到公認(rèn)的散列