IPv6邻居发现协议的安全性分析

邻居发现协议(NeighborDiscoveryProtocol,NDP)作为IPv6协议的重要组成部分,取代了IPv4中的ARP协议、ICMP路由发现和ICMP重定向功能。文章分析了NDP存在的安全问题,尤其是伪造IP地址攻击,并在此基础上提出采用加密生成地址和签名技术等来解决这些安全威胁。     

改进新密钥交换协议及其形式化分析

Diffie-Hellman协议不具有认证功能且不能抵抗中间人攻击。Seo等人提了一种简单的算法（SAKA）协议可以抵抗中间人攻击且运算简单,但是SAKA协议也存在不足。另有人提出了Lin协议、E-SAKA协议等。分析上述协议可看出存在不足。于是提出改进的新密钥交换协议。它具有SAKA及其改进协议优点的同时可以避免SAKA及其改进协议的缺陷。并给出该协议的BAN逻辑形式分析。     

邻居发现协议在基于FPGA的IPv6 over AOS网关上的实现

针对IPv6协议接入空间通信网络的需求,重点讨论了邻居发现协议(NDP)在基于现场可编程门阵列(FPGA)的IPv6 over CCSDS-AOS网关上的实现。在IPv6 over CCSDS-AOS网关系统上搭建NDP协议模块,实现网关地址解析;通过状态机控制实现NDP协议模块功能。实验表明,该设计解决了IPv6 over CCSDS-AOS网关主动和被动地址解析以及邻居缓存表查找和管理问题,不需要网关对NDP进行协议转换和转发。目前已在IPv6 over CCSDS-AOS网关中应用。     

一个新的密钥交换协议

密钥交换的SAKA协议存在三大安全缺陷.为克服这些缺陷,人们提出了改进的Lin协议、E-SAKA协议和改进的E-SAKA协议.通过分析发现E-SAKA协议及其改进算法仍然会受到密钥猜测攻击,并且E-SAKA协议中攻击者能获得会话密钥.进一步提出了一个基于Lin协议的改进协议,并论证此协议在防止中间人攻击和解决SAKA协议的三大缺陷的同时,能有效抵挡在线猜测攻击.     

IPv6面临的安全威胁

IPv6协议是下一代互联网的主要备选协议,IPv6协议在安全性方面做了一些改进,但是仍有很多不足,有可能会带来更多安全攻击威胁。本文介绍了IPv6协议所面临的主要攻击威胁并给出了一些应用上的检验。     

安全增强的迂回路由机制

分析了移动IPv6中使用的迂回路由机制及其安全性,提出了针对迂回路由机制的一种中间人攻击方案.提出了安全增强的迂回路由机制,分析了其安全性,证明它抵御了中间人攻击.     

基于ICMP缺陷的DoS攻击的机理及其防范

ICMP协议的缺陷常常被攻击者用来进行网络DoS攻击。论文探讨了利用ICMP缺陷进行DoS攻击的机理,模拟了利用ICMP缺陷实施DoS攻击及其拦截,并由此提出了一些防范此类攻击的措施。     

ARP欺骗类病毒的防御

利用TCP／IP协议安全漏洞进行欺骗攻击的事件经常发生,攻击者利用ARP欺骗进行于巨绝服务攻击（DoS）或中间人攻击,造成网络通信中断或数据被截取和窜改,严重影响网络的安全。本文通过ARP协议原理分析揭示ARP协议欺骗,并对ARP病毒攻击提出一套有效可行的防犯措施和解决办法。     

网络安全入侵检测技术在IPv6中的应用分析

随着网络的不断发展,网络攻击工具越来越多,有的攻击工具自动化程度较高,甚至可以针对性地对IPv6漏洞进行攻击,在这种形势下,网络安全入侵检测技术应运而生。文章从IPv6协议和网络安全入侵检测技术的概念入手,分析基于IPv6协议的网络安全入侵检测技术的应用。     

SSL中间人攻击分析与防范

SSL（Secure Socket Layer）协议是Internet应用最为广泛的安全传输协议,在网络银行、电子商务等大型网络交易中用于保护用户的敏感数据。在SSL应用中已经出现了两种较有威胁的中间人（Man-in-the-Middle Attack,MITM）攻击。在介绍SSL协议原理的基础上,详细分析了两种威胁SSL应用安全的MITM攻击方法的实现原理和条件,提出了两类防范此类攻击方法的有效措施。     

基于SSLStrip的HTTPS会话劫持

文中在研究了目前广泛虚用的HTTPS协议的基础上,分析了HTTPS会话劫持的手段和方法,并重点分析和揭示了一种基于中间人攻击（MITM）的HTTPS会话劫持方法——SSLStrip。进而提出了关于HTTPS协议本身以及所有通过HTTPS进行涉密交互的客户端的安全性问题,并提供了针对SSLStrip可行的防范措施。     

SSL-Webmail中间人监测技术研究

SSL协议是实现网络通信安全的关键协议之一,对信息的传输起到了认证和加密的作用,绝大多数电子邮箱都采用此技术传输信息,但其并非毫无漏洞。文中首先介绍SSL协议和HTTP协议,然后介绍了SSL欺骗,即SSL中间人攻击的原理,再结合DNS欺骗原理,重点分析了SSL中间人攻击的实现过程,并且分析了一种基于有限状态自动机的模式匹配算法的解析数据的方法,最后提出了基本的防范方法。     

Authenticated Key Exchange Provably Secure Against the Man-in-the-Middle Attack

The standard Diffie—Hellman key exchange is suseptible to an attack known as the man-in-the-middle attack. Lack of authentication in the protocol makes this attack possible. Adding separate authentication to the protocol solves the problem but adds extra transmission and computation costs. Protocols which combine the authentication with the key exchange (an authenticated key exchange) are more efficient but until now none were provably secure against the man-in-the-middle attack. This paper describes an authenticated key exchange based on the difficulty of the q th-root problem, a problem believed to be equivalent to the discrete logarithm problem over groups of order q ² (where q is a large prime) and parallel to the square-root problem over the ring modulo N , where N is a strong two prime composite integer. We show that mounting a man-in-the-middle attack for our protocol is equivalent to breaking the Diffie—Hellman problem in the group. Received March 2000 and revised August 2001 Online publication 23 November 2001     

邻居发现协议的NDP-ESP安全增强方案

基于可信网络提出的NDP协议在现实中受到多种安全威胁,为了保护NDP协议的安全,提出了一种NDP-ESP模型安全增强方案,不仅可有效保护NDP协议的安全,还可以实现节点之间的保密通信,增强了下一代网络的安全性。     

基于SAT的安全协议惰性形式化分析方法

提出了一种基于布尔可满足性问题的安全协议形式化分析方法SAT-LMC,通过引入惰性分析的思想优化初始状态与转换规则,提高了安全性的检测效率。另一方面,通过在消息类型上定义偏序关系,SAT-LMC能够检测出更丰富的类型缺陷攻击。基于此方法实现了一个安全协议分析工具,针对Otway-Rees协议检测出了一种类型缺陷攻击;针对OAuth2.0协议,检测结果显示对现实中存在的一些应用场景,存在一种利用授权码截取的中间人攻击。     

IPv4／IPv6过渡技术在校园网中的应用

分析了IPv4／IPv6三种过渡技术：双协议栈技术、隧道技术、翻译技术（NAT-PT和DNS—ALG）,重点讲述了NAT—PT和DNS-ALG的工作原理。利用双协议栈技术、NAT-PT和DNS-ALG技术结合,建设一个IPv6实验床。实验结果表明：纯IPv4、IPv6网络可以共存,并通过域名实现互通互联。     

IPv6邻居发现协议的一致性测试序列生成

自1998年互联网工程任务组(IETF)提出下一代互联网标准规范以来,IPv6已经历了十多年的发展。现今已有越来越多的IPv6产品被投入到了开发与应用中。而如何提高不同产品间的互通性和可靠性则成为了一个关键问题。进行协议一致性测试是提高IPv6实现可靠性的一种有效方式。本文就重点针对IPv6邻居发现协议进行了一致性测试分析。本文首先简要分析了IPv6邻居发现协议的主要功能及实现原理,并据此抽象出其有限状态机（FSM）模型。进而结合一种现有基于有限状态机(FSM)的一致性测试序列改进算法生成了该协议的抽象测试序列。本文在最后对得到的测试序列进行了有效性和可靠性分析,分析表明,使用该算法得到的测试序列不仅在序列长度上较传统UIO序列法有了明显的缩短,同时对测试过程中可能发生的输出错误及末状态转换错误也具备良好的检测能力。本文获得的抽象测试序列可对相关IPv6协议开发者提供有效参考。