基于SAVI技术的安全DHCPv6系统研究

作     者：蒋雅兰 

作者单位：北京交通大学 

学位级别：硕士

导师姓名：魏慧琴

授予年度：2014年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：DHCPv6 DHCPv6Snooping技术 CGA IPv6 

摘      要：IPv6协议的设计解决了困扰互联网发展的地址短缺问题,同时IPv6地址的安全性问题也备受关注。DHCPv6协议用来为主机动态分配IPv6地址和其他配置信息,但协议本身存在的缺陷使得攻击者能够发起基于IPv6源地址的攻击。为了防止源地址攻击,根据IPv6源地址验证的部署结构和地址本身的构成策略,论文提出新的解决方案来确保IPv6地址分配和使用过程中的安全性。 论文深入分析了DHCPv6协议,SAVI技术的特点及其安全性,并对CGA地址的组成和生成算法进行了研究。SAVI技术通过接入网内的二层交换机监听DHCPv6协议建立IPv6地址绑定,在二层交换机上过滤非法用户的攻击报文,但由于传输实体问缺乏身份认证,使得报文会受到中间人攻击等安全威胁。CGA机制使用密钥与地址绑定的策略来进行地址拥有者和分配者之间的实体认证。但CGA地址同样也存在安全方面的限制和缺陷,而且CGA地址生成过程复杂,这也限制了CGA机制的实际应用。 根据分析结果,论文提出了基于SAVI技术的安全DHCPv6系统,从IPv6源地址验证接入网部署结构的角度,引入DHCPv6Snooping技术,并在基于DHCPv6Snooping技术的安全基础上对CGA机制进行了改进。在同等安全等级时,应用ECC加密算法替代RSA加密算法,减小了密钥长度;同时对Hash2的生成进行了改进,进一步减小了CGA地址的原始报文长度。基于SHA-1哈希算法的分块特点,报文长度的减小减少了压缩函数的迭代调用次数,加快了CGA的生成速度。同时,我们对CGA生成算法的签名进行了优化,增加了CGA地址的抗攻击能力。最后,论文还提供了对基于SAVI技术的安全DHCPv6系统的实验测试和部分测试结果,验证了DHCPv6Snooping技术抵御非法服务器和非法主机的攻击能力。