基于SAVI技術(shù)的安全DHCPv6系統(tǒng)研究.pdf

1、IPv6協(xié)議的設(shè)計解決了困擾互聯(lián)網(wǎng)發(fā)展的地址短缺問題，同時IPv6地址的安全性問題也備受關(guān)注。DHCPv6協(xié)議用來為主機動態(tài)分配IPv6地址和其他配置信息，但協(xié)議本身存在的缺陷使得攻擊者能夠發(fā)起基于IPv6源地址的攻擊。為了防止源地址攻擊，根據(jù)IPv6源地址驗證的部署結(jié)構(gòu)[4]和地址本身的構(gòu)成策略[5]，論文提出新的解決方案來確保IPv6地址分配和使用過程中的安全性。
　　論文深入分析了DHCPv6協(xié)議，SAVI技術(shù)的特點及其安全

2、性，并對CGA地址的組成和生成算法進(jìn)行了研究。SAVI技術(shù)通過接入網(wǎng)內(nèi)的二層交換機監(jiān)聽DHCPv6協(xié)議建立IPv6地址綁定，在二層交換機上過濾非法用戶的攻擊報文，但由于傳輸實體間缺乏身份認(rèn)證，使得報文會受到中間人攻擊等安全威脅。CGA機制[8]使用密鑰與地址綁定的策略來進(jìn)行地址擁有者和分配者之間的實體認(rèn)證。但CGA地址同樣也存在安全方面的限制和缺陷，而且CGA地址生成過程復(fù)雜，這也限制了CGA機制的實際應(yīng)用。
　　根據(jù)分析結(jié)果，論

3、文提出了基于SAVI技術(shù)的安全DHCPv6系統(tǒng)，從IPv6源地址驗證接入網(wǎng)部署結(jié)構(gòu)的角度，引入DHCPv6 Snooping技術(shù)，并在基于DHCPv6Snooping技術(shù)的安全基礎(chǔ)上對CGA機制進(jìn)行了改進(jìn)。在同等安全等級時，應(yīng)用ECC加密算法替代RSA加密算法，減小了密鑰長度;同時對Hash2的生成進(jìn)行了改進(jìn)，進(jìn)一步減小了CGA地址的原始報文長度?；赟HA-1哈希算法的分塊特點，報文長度的減小減少了壓縮函數(shù)的迭代調(diào)用次數(shù)，加快了CGA