IPv6下的校园网真实地址安全体系设计

作     者：石磊 

作者单位：天津大学 

学位级别：硕士

导师姓名：鹿凯宁

授予年度：2007年

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：IPv6 真实地址 源地址欺骗 DoS/DDoS 802.1x 

摘      要：随着互联网的飞速发展,人们对互联网的安全性、可信性的要求越来越高。然而,网络安全却在不断恶化,网络攻击频繁发生。源地址欺骗是网络攻击中经常使用的重要手段之一,它利用了现有IPv4网络自身设计上的缺陷,使得攻击屡屡奏效。尤其是基于源地址欺骗的DoS/DDoS攻击,以其影响范围大,破坏性强,难于防范的特点,成为当前网络安全的主要威胁之一。 IPv6在协议安全上弥补了IPv4的众多不足,特别是将IPSec作为必备协议,大大提高了IPv6自身的安全性。但是本文发现,IPSec的安全机制存在两个主要的漏洞。一方面,IPSec仅能保证端到端的安全,缺乏对网络基础设施的保护,无法在传输过程中保证数据源地址的真实性;另一方面,IPSec的加密认证机制需要消耗一定的系统资源,可能成为DoS/DDoS攻击的目标。由此可见,IPv6并没有完全解决源地址欺骗问题,真实地址仍然是IPv6安全性的重要组成部分。 传统的防御源地址欺骗的方法缺乏对二层地址欺骗的防护,为了弥补这一缺陷,本文将802.1x协议运用到接入认证中,从而有效的保证了链路层地址的真实性。针对校园网的特点,本文提出了一套利用网络基础设备,将三层过滤和二层认证相结合的保证地址真实性的安全体系。最后,利用OPNET仿真软件对这一安全体系防御DoS/DDoS攻击的效果进行了仿真,仿真结果表明,利用本安全体系,可以保证网络中传输的数据的源地址的真实性,有效的防御基于源地址欺骗的DoS/DDoS攻击。