学位论文 > 优秀研究生学位论文题录展示

基于交换机的IPv6源地址验证的研究与实现

作 者: 廖志芳
导 师: 张凌
学 校: 华南理工大学
专 业: 计算机系统结构
关键词: IPv6 源地址验证 SAVI 交换机 安全
分类号: TP393.04
类 型: 硕士论文
年 份: 2011年
下 载: 80次
引 用: 0次
阅 读: 论文下载
 

内容摘要


随着全球最后所剩的5组IPv4地址被分配宣布了第一代互联网的地址已经分配完毕,下一代互联网协议IPv6,取代IPv4已经变得不可避免。IPv6引入了新的特性和新的安全协议,如地址自动配置和邻居发现协议,同时也带来了新的安全问题。IPv6邻居发现协议使得节点不需要任何验证就可以和链路上的主机通信,IPv6巨大的地址空间,使得非法主机可以任意匿造源IP实施非法攻击。同时,从IPv4过渡到IPv6,基于IP地址转发的互联网体系结构没有改变,没有对报文的源地址进行检查,使得源地址欺骗伪造变得容易和难于追踪。因此,对下一代互联网提出源地址验证框架的研究具有重要的现实意义。本文首先介绍了IPv6相关知识,研究了全新的邻居发现协议,对新增的地址配置方式无状态地址自动配置(Stateless Address Auto Configuration)的实现机制进行详尽的研究,总结了邻居发现协议的安全漏洞和目前采用的源地址验证技术。在对链路上的各种地址配置方式的研究基础上,在接入网上实现SAVI(Source Address Validation Improvements)源地址框架。利用接入网的交换机,采用侦听链路地址上的地址配置ICMPv6控制报文和DHCPv6报文,分别对SLAAC无状态自动地址配置、DHCPv6有状态地址配置方式过程中主机和服务器、主机和路由器交互的各个阶段,在交换机上侦听记录主机获取地址时各种状态,最终实现主机地址与和交换机相连的端口绑定。针对SLAAC的特殊性和重要性,系统采用了First Come First Serve的策略,同时对链路上的重要报文RA、NA等信息进行有效控制。原型系统透明部署在L2的交换机,不需要节点增加任何新的协议,支持IPv6的各种地址配置方式。本文最后搭建了接入网验证系统的IPv6网络环境,并在L2层的交换机上部署了SAVI系统,分别对SLAAC网络环境、DHCPv6环境进行了地址验证的测试。实验结果表明SAVI系统可以提供细粒度的源地址进行验证,可以将源地址对应到相应的物理位置。

全文目录


摘要  5-6
Abstract  6-10
第一章 绪论  10-15
  1.1 研究背景及意义  10-11
  1.2 国内外研究现状  11-13
    1.2.1 国外研究概况  11-12
    1.2.2 国内研究概况  12-13
  1.3 本文主要工作  13
  1.4 本文结构  13-15
第二章 相关技术介绍  15-35
  2.1 IPv6 协议  15-16
  2.2 IPv6 报头分析  16-19
    2.2.1 IPv6 报头  16-17
    2.2.2 IPv6 扩展报头  17-19
  2.3 IPv6 邻居发现协议  19-26
    2.3.1 ICMPv6  19-21
    2.3.2 邻居发现协议消息  21-25
    2.3.3 邻居发现协议功能  25-26
  2.4 L2 层接入控制  26-28
    2.4.1 IEEE 802.1x  26-27
    2.4.2 Web/Portal  27-28
  2.5 源地址真实性安全分析  28-34
    2.5.1 各种攻击介绍  28-30
    2.5.2 IPv6 邻居发现安全分析  30-31
    2.5.3 源地址验证技术  31-34
  2.6 本章小结  34-35
第三章 First-Hop Switch IPv6 源地址验证框架  35-42
  3.1 总体目标  35-36
  3.2 系统部署环境  36-37
  3.3 总体流程  37-39
  3.4 First-Hop Switch IPv6 源地址验证框架  39-41
  3.5 本章小结  41-42
第四章 First-Hop Switch SAVI 原型系统设计与实现  42-67
  4.1 数据包捕获模块  42
  4.2 SAVI 围墙  42-44
  4.3 BST 表的设计  44-47
    4.3.1 BST 表的结构设计  44-46
    4.3.2 BST 表的同步、一致性问题  46-47
    4.3.3 BST 的磁盘存储与读取  47
  4.4 采用FCFS 的SLAAC 模块的设计实现  47-57
    4.4.1 本地链路地址自动配置  47-49
    4.4.2 全局地址自动配置  49
    4.4.3 FCFS  49-57
  4.5 DHCPv6 模块的设计实现  57-64
    4.5.1 DHCPv6 地址配置流程  57-59
    4.5.2 DHCPv6 报文侦听处理过程  59-64
  4.6 SAVI 对局域网内安全的控制  64-66
    4.6.1 NDP 安全  64-65
    4.6.2 源地址欺骗攻击  65-66
  4.7 本章小结  66-67
第五章 First-Hop Switch 源地址验证系统测试  67-79
  5.1 系统的测试环境  67-68
    5.1.1 测试的网络环境  67
    5.1.2 测试工具  67-68
  5.2 系统测试  68-77
    5.2.1 系统测试步骤与结果  68-77
    5.2.2 系统结果分析  77
  5.3 本章小结  77-79
结论与展望  79-81
参考文献  81-84
致谢  84

相似论文

  1. 卫星网络中移动IP路由选择的研究,TN929.5
  2. Windows内核态密码服务接口设计与实现,TP309.7
  3. 嵌入式可信计算机系统安全机制的设计与实现,TP309
  4. 矢量CAD电子图纸保护系统研究,TP391.72
  5. 基于主动方式的恶意代码检测技术研究,TP393.08
  6. 面向Gnutella和eMule网络拓扑测量和安全性分析,TP393.08
  7. 基于功能节点的无线传感器网络多对密钥管理协议研究,TP212.9
  8. 基于LEACH的安全建簇无线传感器网络路由协议研究,TP212.9
  9. 基于比对技术的非法网站探测系统的实现与研究,TP393.08
  10. 浙江大明山景区山地户外运动基地建设研究,G895
  11. 黄磷储罐区安全评价方法研究,TQ126.317
  12. 港内拖带钻井平台的通航安全研究,TE951
  13. 基于PDCA的R施工项目安全管理研究,TU714
  14. 土地生态安全评价方法综合应用研究,X826
  15. 土地生态安全评价指标体系研究,X826
  16. 转基因水稻对肉仔鸡饲用安全性研究,S831.5
  17. 畜产品质量安全保障监管RFID系统,TS201.6
  18. 转基因食品中的伦理问题,B82-05
  19. 基于小学生安全教育的教育游戏设计策略研究,G434
  20. 基于HTTP代理的安全网关的分析和研究,TP393.08
  21. 茶饮料质量安全研究,TS275.2

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 通信规程、通信协议
© 2012 www.xueweilunwen.com