基于IPv6鄰居發(fā)現(xiàn)協(xié)議的安全威脅研究.pdf

1、IPv6作為下一代互聯(lián)網(wǎng)協(xié)議將逐漸取代IPv4成為網(wǎng)絡的核心技術，并得到越來越廣泛的應用。鄰居發(fā)現(xiàn)協(xié)議(NDP)是IPv6協(xié)議中一個較底層的協(xié)議，主要用于解決同一鏈路上節(jié)點間的互連問題。隨著IPv6的廣泛應用，NDP由于缺乏認證機制成為多種攻擊的主要對象。IPv6的默認安全協(xié)議IPSec用于保護IP及上層協(xié)議的安全，認證報頭協(xié)議AH能夠為數(shù)據(jù)包提供數(shù)據(jù)完整性檢驗和身份認證服務。但密鑰管理協(xié)議IKE僅用來處理點到點的單播通信，不能直接用于

2、鄰居發(fā)現(xiàn)協(xié)議中的多播通信，保障NDP的安全。
　　 本文從介紹IPv6的基本協(xié)議出發(fā)，重點分析了安全協(xié)議IPSec和鄰居發(fā)現(xiàn)協(xié)議，并對NDP的安全威脅進行了深入研究。在此基礎上結合IPSec的認證體系，提出把AH協(xié)議引入鄰居發(fā)現(xiàn)協(xié)議，為數(shù)據(jù)包提供認證，保障通信安全的改進方案。給出了基于IPSec AH和地址綁定的改進策略，以防止偽造NDP報文的各種攻擊，并詳細論述了適用于鄰居組播通信的密鑰管理方案的實現(xiàn)方式，解決了IPSec僅處

3、理點對點單播通信的密鑰管理問題。最后利用開發(fā)包Libnet模擬實現(xiàn)了基于偽造NS/NA報文欺騙的重定向攻擊，通過比較引入AH認證機制前后的攻擊效果，驗證了改進后方案對于保證鄰居發(fā)現(xiàn)協(xié)議安全的有效性。
　　 實驗表明，改進后的方案可以有效防御通過偽造鄰居發(fā)現(xiàn)報文的各種重定向攻擊和拒絕服務攻擊，有效保證鄰居發(fā)現(xiàn)過程的安全。而且IPSec作為IPv6網(wǎng)絡安全的核心，可以與鄰居發(fā)現(xiàn)協(xié)議實現(xiàn)無縫連接。因此，這種改進方案對于加強IPv6的網(wǎng)