学位论文 > 优秀研究生学位论文题录展示
基于交换机的IPv6源地址验证的研究与实现
作 者: 廖志芳
导 师: 张凌
学 校: 华南理工大学
专 业: 计算机系统结构
关键词: IPv6 源地址验证 SAVI 交换机 安全
分类号: TP393.04
类 型: 硕士论文
年 份: 2011年
下 载: 80次
引 用: 0次
阅 读: 论文下载
内容摘要
随着全球最后所剩的5组IPv4地址被分配宣布了第一代互联网的地址已经分配完毕,下一代互联网协议IPv6,取代IPv4已经变得不可避免。IPv6引入了新的特性和新的安全协议,如地址自动配置和邻居发现协议,同时也带来了新的安全问题。IPv6邻居发现协议使得节点不需要任何验证就可以和链路上的主机通信,IPv6巨大的地址空间,使得非法主机可以任意匿造源IP实施非法攻击。同时,从IPv4过渡到IPv6,基于IP地址转发的互联网体系结构没有改变,没有对报文的源地址进行检查,使得源地址欺骗伪造变得容易和难于追踪。因此,对下一代互联网提出源地址验证框架的研究具有重要的现实意义。本文首先介绍了IPv6相关知识,研究了全新的邻居发现协议,对新增的地址配置方式无状态地址自动配置(Stateless Address Auto Configuration)的实现机制进行详尽的研究,总结了邻居发现协议的安全漏洞和目前采用的源地址验证技术。在对链路上的各种地址配置方式的研究基础上,在接入网上实现SAVI(Source Address Validation Improvements)源地址框架。利用接入网的交换机,采用侦听链路地址上的地址配置ICMPv6控制报文和DHCPv6报文,分别对SLAAC无状态自动地址配置、DHCPv6有状态地址配置方式过程中主机和服务器、主机和路由器交互的各个阶段,在交换机上侦听记录主机获取地址时各种状态,最终实现主机地址与和交换机相连的端口绑定。针对SLAAC的特殊性和重要性,系统采用了First Come First Serve的策略,同时对链路上的重要报文RA、NA等信息进行有效控制。原型系统透明部署在L2的交换机,不需要节点增加任何新的协议,支持IPv6的各种地址配置方式。本文最后搭建了接入网验证系统的IPv6网络环境,并在L2层的交换机上部署了SAVI系统,分别对SLAAC网络环境、DHCPv6环境进行了地址验证的测试。实验结果表明SAVI系统可以提供细粒度的源地址进行验证,可以将源地址对应到相应的物理位置。
|
全文目录
摘要 5-6 Abstract 6-10 第一章 绪论 10-15 1.1 研究背景及意义 10-11 1.2 国内外研究现状 11-13 1.2.1 国外研究概况 11-12 1.2.2 国内研究概况 12-13 1.3 本文主要工作 13 1.4 本文结构 13-15 第二章 相关技术介绍 15-35 2.1 IPv6 协议 15-16 2.2 IPv6 报头分析 16-19 2.2.1 IPv6 报头 16-17 2.2.2 IPv6 扩展报头 17-19 2.3 IPv6 邻居发现协议 19-26 2.3.1 ICMPv6 19-21 2.3.2 邻居发现协议消息 21-25 2.3.3 邻居发现协议功能 25-26 2.4 L2 层接入控制 26-28 2.4.1 IEEE 802.1x 26-27 2.4.2 Web/Portal 27-28 2.5 源地址真实性安全分析 28-34 2.5.1 各种攻击介绍 28-30 2.5.2 IPv6 邻居发现安全分析 30-31 2.5.3 源地址验证技术 31-34 2.6 本章小结 34-35 第三章 First-Hop Switch IPv6 源地址验证框架 35-42 3.1 总体目标 35-36 3.2 系统部署环境 36-37 3.3 总体流程 37-39 3.4 First-Hop Switch IPv6 源地址验证框架 39-41 3.5 本章小结 41-42 第四章 First-Hop Switch SAVI 原型系统设计与实现 42-67 4.1 数据包捕获模块 42 4.2 SAVI 围墙 42-44 4.3 BST 表的设计 44-47 4.3.1 BST 表的结构设计 44-46 4.3.2 BST 表的同步、一致性问题 46-47 4.3.3 BST 的磁盘存储与读取 47 4.4 采用FCFS 的SLAAC 模块的设计实现 47-57 4.4.1 本地链路地址自动配置 47-49 4.4.2 全局地址自动配置 49 4.4.3 FCFS 49-57 4.5 DHCPv6 模块的设计实现 57-64 4.5.1 DHCPv6 地址配置流程 57-59 4.5.2 DHCPv6 报文侦听处理过程 59-64 4.6 SAVI 对局域网内安全的控制 64-66 4.6.1 NDP 安全 64-65 4.6.2 源地址欺骗攻击 65-66 4.7 本章小结 66-67 第五章 First-Hop Switch 源地址验证系统测试 67-79 5.1 系统的测试环境 67-68 5.1.1 测试的网络环境 67 5.1.2 测试工具 67-68 5.2 系统测试 68-77 5.2.1 系统测试步骤与结果 68-77 5.2.2 系统结果分析 77 5.3 本章小结 77-79 结论与展望 79-81 参考文献 81-84 致谢 84
|
相似论文
- 卫星网络中移动IP路由选择的研究,TN929.5
- Windows内核态密码服务接口设计与实现,TP309.7
- 嵌入式可信计算机系统安全机制的设计与实现,TP309
- 矢量CAD电子图纸保护系统研究,TP391.72
- 基于主动方式的恶意代码检测技术研究,TP393.08
- 面向Gnutella和eMule网络拓扑测量和安全性分析,TP393.08
- 基于功能节点的无线传感器网络多对密钥管理协议研究,TP212.9
- 基于LEACH的安全建簇无线传感器网络路由协议研究,TP212.9
- 基于比对技术的非法网站探测系统的实现与研究,TP393.08
- 浙江大明山景区山地户外运动基地建设研究,G895
- 黄磷储罐区安全评价方法研究,TQ126.317
- 港内拖带钻井平台的通航安全研究,TE951
- 基于PDCA的R施工项目安全管理研究,TU714
- 土地生态安全评价方法综合应用研究,X826
- 土地生态安全评价指标体系研究,X826
- 转基因水稻对肉仔鸡饲用安全性研究,S831.5
- 畜产品质量安全保障监管RFID系统,TS201.6
- 转基因食品中的伦理问题,B82-05
- 基于小学生安全教育的教育游戏设计策略研究,G434
- 基于HTTP代理的安全网关的分析和研究,TP393.08
- 茶饮料质量安全研究,TS275.2
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 通信规程、通信协议
© 2012 www.xueweilunwen.com
|