一种基于IPv6的物联网分布式源地址验证方案

作者在融合物联网的新一代互联网网络环境下,提出了基于IPv6的源地址验证整体架构.基于该架构,考虑物联网节点资源受限特点,并结合物联网末梢网络的拓扑形态及其路由方式上的特征,设计了基于IPv6的物联网末梢网络分布式源地址验证方案.分别讨论了静态指定、SLAAC(Stateless Address AutoConfiguration)、DHCPv6(Dynamic Host Configuration Protocol Version 6)以及DHCPv6与SLAAC混合情况下的物联网节点IP地址分配及其验证机制.模拟实验表明,该方案仅以微小的代价实现了物联网节点IP地址的分配,同时还保证了物联网节点之间、物联网节点与互联网端系统之间端到端通信时双方IP地址的真实可靠性,从而整体上增强了物联网的安全性.     

采用源地址验证选项的IPv6源地址验证研究

针对加密认证的源地址验证方法只能在目的主机或者目的自治系统之间进行的问题,提出一种IPv6源地址验证方案.设计逐跳选项扩展首部的新选项,用以存储源地址验证信息.利用Hash运算,将源IP地址生成验证信息,并添加到所设计的源地址验证选项中,从而使得数据包传输途径的每一跳路由器都可以对源地址进行检验.该方案将基于加密认证的源地址验证方法扩展到数据传输的全过程,并针对网络层次性结构,提出进一步的改进考虑.     

一种双哈希IP数据包分类算法研究

本文在无冲突哈希算法和异或哈希算法的基础上,提出了一种双哈希的IP分类算法,该算法的核心有三点：一是基于目的／源端口和协议域构造无冲突哈希,由于该三域的组合数目非常少,避免了空间爆炸;二是在异或哈希算法的基础上,将目的／源IP连成比特串后分为四块后进行异或,为了降低冲突率,将异或后的关键值再与一个随机数进行异或,获得分类索引值,并用此值生成多比特Trie树,一般情况下减小了空间和时间复杂度;三是在Trie树终点存放最终分类规则的索引值,为了保证查找到的规则的正确性,对每一个索引值的源／目的IP地址均匹配一次。通过以上三点改进一般要降低算法的时间复杂度和空问复杂度,通过仿真,当对1万条分类规则进行包分类时,该算法的包分类速度可以达到2MPps,所消耗的最大内存为4MB。     

IPv6源地址和网络业务验证体系结构

针对网络中存在的伪造源地址攻击和一些垃圾流量所造成的网络拥塞问题,提出了一种IPv6源地址和网络业务验证体系结构。该体系结构设置了一个管理服务器来安全管理密钥和处理用户请求,合法用户通过从管理服务器处获得的主机密钥来生成一个消息认证码,并将其嵌入数据包扩展首部中,关键路由器通过验证该消息认证码,来验证源地址和业务的合法性。该体系结构对真实IPv6源地址验证体系结构进行了扩展,实现了对主机源地址及网络业务合法性的同时验证,有效地减少了网络中的垃圾流量。     

基于OpenFlow架构的域内源地址验证方法

源地址验证对网络安全、管理和计量都有重要意义.清华大学提出包括接入子网、域内和域间三个层次的源地址验证体系结构.其中域内用到一种基于集中计算路径的方法,但在传统网络环境限制下,其实现遇到很多问题.本文将利用软件定义网络对网络革新的便捷支持,基于OpenFlow网络对域内源地址验证方法进行重新设计与实现,并提出两种方案.一种是在已有路由表的基础上计算出域内任意两个子前缀间的路径并生成源地址前缀、目的地址前缀和入接口三元组作为过滤规则;另一种方案是重新设计新的路由算法,生成同时具有路由功能和验证源地址功能的四元组(源地址前缀、目的地址前缀、入接口和出接口)流表.并分别对两种方案做出对比,给出实验结果.     

基于真实IPv6源地址的网络接入认证技术研究

提出了一种新的基于真实IPv6源地址的网络安全接入认证方法.此方法在IPv6无状态地址自动配置过程中加入802.1X认证技术,只有经过授权的节点才能获得IPv6全局地址,同时改进了802.1X认证流程,使管理者可以主动获得节点用户的全局IPv6地址.该方法既保留了IPv6"即插即用"的优点,又从源头上保证接入网络的安全性.     

基于DHCPv6协议的可信地址分配模型研究

探究校园网用户主机的安全,提供安全服务很重要.基于接入控制和可信任的IPv6地址分配角度,分析了网络访问控制、网络安全监测、网络审计与监控、网络反病毒、网络备份系统的运行态势;通过研究现有IPv6地址分配技术,发现存在的问题.根据校园网自身的安全需求和特点,明确IPv6网络未来发展方向:一是面向IPv6可信任校园网的地...     

IPV6园区网中基于源地址认证安全的应用研究

在IPV6园区网的接入使用中,怎样安全有效的判定接入用户IPV6地址合法、有效、真实是目前一个突出的问题。基于现有的IPV6技术,通过基于接入用户源地址的有效性安全校验（SAVI）技术研究应用,可以获取一种积极有效的提高IPV6园区网准入安全的途径。在未来IPV6园区网的应用中,提供一种有效安全的认证办法,最大限度的增加园区网IPV6技术的应用推广。     

采用分段哈希方法的IPv6路由查找算法研究

分析了现有IPv4路由表查找算法和IPv6地址的特性以及主干网路由表的前缀分布特点,借鉴LFT哈希表结构简单、查找快速的特点,提出了以32bits为查找路由前缀起点的分段哈希表和多分支Tile树相结合的IPv6路由查找算法.该算法结构简单、查找效率高、易于更新,多数情况下只需一次内存访问就可查找到路由信息,提高了IPv6主干网路由器转发速度,以满足下一代互联网IPv6发展的需求.     

基于无冲突哈希表和多比特树的两级IPv6路由查找算法

为了提高IPv6的路由查找效率,根据IPv6路由前缀分布规律和前缀层次关系,提出了基于无冲突哈希表和多比特树的两级IPv6路由查找算法。该算法将地址前缀划分区间并按长度为32,40,48比特分别存储于3个哈希表中,剩下不足的前缀比特由多比特树存储,IPv6路由查找时在无冲突哈希表和多比特树中两级查找。实验表明,该查找算法的平均查找路径数为1.0~1.7,适用于高速的IPv6路由查找。     

Hidasav:一种层次化的域间真实源地址验证方法

可信任是下一代互联网的重要特征,真实地址访问是可信任的基础和前提.自治域级真实地址访问是整个可信任互联网体系结构中最为复杂的一个层次.基于标签的源地址验证不受拓扑结构影响,无需中间节点特殊处理,是实现域间真实地址访问的有效方法.然而,现有方法中信任联盟过于扁平化和单一化的问题导致验证开销随联盟规模增大而急剧增大,影响和制约了机制的可扩展性和过滤能力,难以进行增量部署.对此,文中提出了一种层次化的基于标签替换的域间真实源地址验证方法(Hidasav),该方法通过合理规划联盟层次和聚类整合,构建出一种多级并存的信任联盟体系结构,通过引入实现轻量级标签替换的联盟边界,将每一层级联盟和外界网络隔离,使得下层联盟和更高层联盟内部的网络环境彼此互不可见、互无影响.与现有同类典型方法在CNGI真实环境中的实验结果比较表明,该方法能够在确保域间高速通信的同时有效降低边界路由设备的状态机存储、更新和报文验证开销.     

互联网自治域间IP源地址验证技术综述

当前互联网是基于目的地址转发,对源地址不做验证.而互联网很多安全问题的根源在于源地址的不可信.另一方面,随着互联网规模和复杂度的增大以及对政治、经济利益影响的加深,域间路由系统对互联网的稳定运行起着愈发关键作用.美国国土安全部将域间路由安全问题列入了美国信息安全的国家战略.近年来,以IP源地址伪造为主要方式的分布式拒绝服务攻击不断地对互联网的安全性和可用性造成极大的破坏,这其中以跨越多个管理域和国家的攻击最为频繁.因此,建立以自治域为单位的源地址验证防御体系对互联网的安全意义重大.尽管在相关的标准和研究领域已经提出了多种域间源地址验证技术,但是目前仍未有适用于大规模部署的技术方案.本文对域间源地址验证的已有研究和标准进展进行了细致的梳理.首先,本文分析了源地址安全性缺失的原因及后果,结合国际标准化领域的研究现状,指出了域间源地址验证的重要意义.其次,本文从域间源地址验证技术的特征类别入手,对已有各类研究成果的技术原理和优缺点进行了深入的总结,对研究的演进脉络进行了详细的分析,并在此基础上提出了目前域间源地址验证技术面临的困境及原因.最后,本文提出了域间源地址验证技术未来可能的研究发展方向及设计原则建议,为后续相关研究工作的开展提供参考.     

互联网域间源地址验证的可部署性评价模型

近年来,IP源地址伪造被频繁应用于网络攻击中,对互联网安全造成极大威胁.域间源地址验证方法通过对IP报文进行自治域级别的验证来防御这类网络攻击.学术界提出了这类方法的评价指标,并依照该指标设计出很多新的方法.然而,这些方法尽管指标值优秀,却无一能在实际中得到互联网服务提供商的广泛部署.究其原因,是现有评价指标主要关注互联网整体的安全性,而没有考虑到互联网服务提供商的个体利益.文中首次从互联网服务提供商的经济诉求出发,研究域间源地址验证方法的可部署性评价模型.作者提出将部署收益、部署开销和运维风险作为可部署性评价的3项基本指标,并给出其形式化定义;从理论上证明了该指标体系的合理性;建立了评价模型,为每个指标设计了完善的量化评价方法;以现有著名域间源地址方法的部署收益评价为例,展示了将理论模型应用于方法评价的具体流程,并对评价结果进行深入分析;最后,作者讨论了方法可部署性与互联网整体安全性的关系、方法设计的优化目标以及如何应用模型指导方法的设计.该评价模型的提出,对于设计更易于部署的方法具有指导意义,并有利于促进域间源地址验证方法在互联网的部署.     

基于IPV6的源地址验证整体架构的物联网分布式源地址验证

IPv6作为下一代物联网IP层技术,进一步扩大了地址空间,并在国家政策的号召以及国家电网公司的积极响应下在电力、石油等方面获得了广泛的应用,为智能电网与下一代互联网的深度融合探索道路、提供经验。但是其应用中仍然存在较多重大的问题,其中最为突出的就是其安全性和真实性。当前的网络体系结构,大多数情况下并不检查源地址,这就导致源地址伪造事件很容易发生。本文主要分析了物联网对IPv6的需求,总结了多种IPv6源地址验证方案,并重点对SAVS框架下的IPv6源地址验证方案进行分析和探讨。     

IPv6链路本地地址安全技术研究

IPv6协议虽然在某些方面增强了安全性,但同时也引入了新的安全风险,因此网络安全威胁在IPv6时代依旧存在。通过从IPv6地址、报文格式和相关协议等方面分析了IPv6可能带来的安全新问题,分析IPv6报文结构和IPv6链路本地地址的结构。结合物联网的应用范围和特点,研究了ND协议的应用原理和ND协议的无状态地址技术在物联网中的应用过程。根据物联网中存在安全隐患的特点,从链路本地地址结构出发,提出了基于“贝特反转”的IPv6链路本地地址安全技术。     

基于抽样的IPv6高效地址扫描

传统的地址扫描方法难以适用于IPv6巨大的地址空间,该文根据IPv6主机地址在地址空间中的分布状况,建立了随机地址扫描和抽样地址扫描2种效率分析模型。通过对2种模型的分析并结合IPv6网络特性,提出了基于抽样的高效地址扫描方法;通过在IPv6实验网中进行实验,证明了该方法是快速有效的。     

基于滑动时间窗口的IPv6地址跳变主动防御模型

针对IPv6恢复端到端通信,IPv6节点易被攻击者探测攻击等问题,提出一种基于滑动时间窗口的IPv6地址跳变（AHSTW）主动防御模型。首先通过共享密钥进行地址跳变间隔等会话参数的协商,之后引入收发时间窗口的概念,通信双方仅发送或接收处于时间窗口内的数据包,通过时间窗口自适应调整（TWAA）算法,依据网络时延的变化及时调整时间窗口大小以适应网络环境的变化。理论分析证明,该模型能够有效抵抗攻击者对目标IPv6节点的数据截获分析攻击和拒绝服务攻击（DoS）。实验结果表明,在传输相同数据包大小时,AHSTW的额外CPU开销在2~5个百分点,并无显著提高,通信效率并无显著下降;在通信过程中,通信双方地址与端口呈随机、分散、无序等特点,极大增加了攻击者的开销与攻击难度,保护了IPv6网络安全。