基于DHCPv6协议的可信地址分配模型研究

探究校园网用户主机的安全,提供安全服务很重要.基于接入控制和可信任的IPv6地址分配角度,分析了网络访问控制、网络安全监测、网络审计与监控、网络反病毒、网络备份系统的运行态势;通过研究现有IPv6地址分配技术,发现存在的问题.根据校园网自身的安全需求和特点,明确IPv6网络未来发展方向:一是面向IPv6可信任校园网的地...     

基于SSDP和DNS-SD协议的双栈主机发现方法及其安全分析

随着全球互联网IPv4地址分配耗尽,IPv6开始加速推广和部署。双栈技术允许设备同时启用IPv4和IPv6 栈,这意味着用户暴露了双倍的安全风险。尽管现有的工作可实现对部分双栈服务器的识别和测量,但仍存在以下问题。首先,双栈主机识别需要对主机服务进行深层协议识别,然而这种方式会消耗过高的扫描资源。其次,实际的网络服务提供商有可能在分布式主机上提供一致的服务,使得通过服务指纹进行双栈主机判别的准确性难以保证。针对此问题,利用局域网服务发现协议将主机服务与 IP 地址绑定的协议特性,提出了基于SSDP和DNS-SD协议的双栈主机发现方法：在IPv4网络环境下,通过SSDP诱导目标主机主动向构建的IPv6服务器发送请求,然后从服务器日志中提取IPv6地址;或通过DNS-SD协议枚举目标主机的服务列表及其对应的AAAA记录,获取目标主机IPv6地址,实现双栈地址对的发现。该方法直接从IPv4主机获取其IPv6 地址,确保了发现的双栈主机的准确性,同时,在发现过程中只需要针对特定协议构造请求数据包,极大地节约了扫描资源。基于该方法,对全球IPv4网络意外暴露的SSDP主机和DNS-SD主机进行了测量,共收集到158 000个不重复的IPv6地址,其中55 000个为拥有全球可达IPv6地址的双栈主机地址对。与现有工作将测量目标聚焦于双栈服务器不同,该方法主要针对终端用户和客户端设备,构建了迄今为止尚未探索过的活跃IPv6设备独特集合及双栈主机地址对集合。通过对获取的IPv6地址编址类型的分析,随机生成已成为当前IPv6地址分配的主要方式,这一方式大大降低了IPv6主机被扫描发现的可能性。特别地,通过对双栈主机的开放端口和服务测量,发现双栈主机在不同协议栈上的安全策略差异：IPv6 栈上暴露了更多高风险服务,扩大了主机的攻击面。研究结果表明,IPv6 地址空间遍历扫描的不可行性缓解了 IPv6 的安全风险,但错误的网络配置大幅增加了这些高风险的IPv6主机被发现的可能性,用户应该重新审视双栈主机上的IPv6安全策略。     

基于IPv6的用户认证模型

为解决IP地址资源日趋紧张和以太网的安全网络管理问题，进行了IPv6用户认证模型的研究与设计。该模型无须对现有的网络拓扑结构进行改动，从IPv6主机的无状态自动配置技术出发，利用已有设备所支持的802.1x协议和RADIU协议，使用户在局域网内的任何地方、自动配置冗长的IPv6地址，输入用户认证信息，就可以接入网络，提高了局域网的安全性。     

基于Windows NT的IPv6构建与应用开发

随着IPv6网络的不断发展，需要将不同操作系统的主机接入网络。本文分析了IPv6在Windows NT平台上实现的原理，并实现了基于Windows NT操作系统主机的IPv6网络的接入及其应用程序的设计开发。     

PMIPv6接入方式的实现与对比

代理移动IPv6协议能够在移动主机不参与信令交互的基础上对IPv6主机进行移动管理,这是通过扩展在网络节点和家乡代理之间交互的移动IPv6信令消息格式实现的。代理移动IPv6不需要移动主机与家乡代理进行信令交互。网络中的代理移动实体将代替移动主机与家乡代理进行信令交互并对移动主机进行管理。提出并分析了移动主机接入代理移动IPv6域内的三种方案,分别是二层接入,三层Router Solicitation接入,通用移动管理协议（GMMP）,并对它们进行了比较,即二层接入速度更快,RS接入具有普适性,GMMP接入则更符合标准化。     

IPV6的安全性研究

随着网络技术的飞速发展,IPv4地址资源的枯竭,其固有的局限性无法满足网络发展的需求,由IPv4向IPv6的升级过渡成为互联网发展必然趋势。在安全性方面,由于我国大部分企业和学校在IPv4环境下都是通过NAT技术接入互联网,安全性难以得到保障,IPv6协议在网络安全问题上得到改进。IP安全协议(IPSec)对主机上的数据包进行封装,保证了端到端的安全。本文深入分析了IPv6的安全机制,探讨了IPSec、IPV6加密机制、IPV6密钥管理机制等方面的安全问题。     

园区网中的IPv6实现及应用

该文结合一个大型园区网中IPv6网络建设项目的探索与实践,探讨了IPv6在园区网中实现及应用的关键技术和难点。首先给出IPv6地址规划原则,随后介绍IPv6接入的实现方法,最后说明IPv6应用的实现。     

支持DNS的IPv6／IPv4互通网关研究

由于IPv6和IPv4环境下DNS格式的不同，IPv6与IPv4网络中的主机不能直接进行域名访问。NAT-PT过渡技术能够实现IPv6与IPv4网络通过IP地址进行相互访问，但却不能实现主机与主机之间通过域名来访问。本文研究了将DNS-ALG与NAT-PT技术相结合来构建翻译网关，实现IPv6与IPv4网络中的主机通过域名互访．     

一种IPv6穿越CDMA网络的方法*

为了使IPv6客户端能够通过CDMA无线接入方式访问远程的IPv6服务器,介绍了已有的隧道技术并分析其不足,如不能适用于CDMA网络,提出并实现了一种基于NetFilter框架、Libnet和Libipq使得IPv6可以穿越CDMA网络的方法。实际应用表明,运用这种方法,IPv6主机可以有效地通过CDMA方式接入网络,并访问远程的IPv6服务器。     

IPV6网络下的接入用户管理方法研究

随着IPv4地址的耗尽,由IPv4向IPv6的全面转换变成一个现实发生的事情,IPv6网络下同样面临用户安全和管理问题,本文参考IPv4分析了IPv6网络下接入用户进行控制和管理的四种可行的技术。     

基于认证的IPv6地址自动分配

IPv6地址的自动配置技术实现了即插即用功能,但也对网络的安全带来了隐患。结合准入控制技术、在IPv6地址自动配置过程中加入认证机制,这既保留了IPv6地址的即插即用特性,又从源头上保证了接入网络的安全性。     

浅谈IPv6网络下的用户管理

随着全球IPv4地址的告罄,IPv6的大规模应用已经走上舞台。由于业务与用户的迅猛增长,如何能够将IPv6建设成和IPv4网络一样安全、可管理、可运营的模式成为IPv6网络环境下新的挑战。本文结合在IPv4网络中使用的用户管理模式,探讨了IPv6网络环境下如何对网络接入用户进行控制和管理。     

应用Netfilter/iptable框架构建穿越NAT的IPv6隧道网关系统

IPv6协议已经逐步走向成熟,但IPv4向IPv6的过渡注定是一个漫长的过程,现有IPv4网络中广泛使用NAT(network address translation)技术来缓解地址短缺的问题.为了使NAT域内的用户能够接入IPv6网络,成为过渡阶段亟待解决的问题.在研究IPv4向IPv6过渡技术的的基础上,将IPv4下的NAT技术应用到IPv6网络中,提出了利用6to4隧道穿越NAT的网关系统方案,并对系统进行了具体的实现和性能分析.     

基于抽样的IPv6高效地址扫描

传统的地址扫描方法难以适用于IPv6巨大的地址空间,该文根据IPv6主机地址在地址空间中的分布状况,建立了随机地址扫描和抽样地址扫描2种效率分析模型。通过对2种模型的分析并结合IPv6网络特性,提出了基于抽样的高效地址扫描方法;通过在IPv6实验网中进行实验,证明了该方法是快速有效的。     

DSTM过渡技术及其网络安全策略

DSTM概述 IPv4/IPv6过渡问题是一个相当复杂的问题,现在已经提出了许多种不同的方法来解决这个问题,包括双栈、SIIT、NAT-PT、SOCKS64、BIA、Tunnel Broker、6to4和BIS等等,这些方法各自适用于过渡过程中的不同情况。DSTM(Dual Stack Transition Mechanism)的目标在于解决纯IPv6网络中的主机与其他IPv4主机或应用的连接问题,它的出发点是提供IPv6节点一个获得IPv4地址的方式,从而     

基于真实IPv6源地址的网络接入认证技术研究

提出了一种新的基于真实IPv6源地址的网络安全接入认证方法.此方法在IPv6无状态地址自动配置过程中加入802.1X认证技术,只有经过授权的节点才能获得IPv6全局地址,同时改进了802.1X认证流程,使管理者可以主动获得节点用户的全局IPv6地址.该方法既保留了IPv6"即插即用"的优点,又从源头上保证接入网络的安全性.     

IPv4和IPv6的地址管理及过渡时期的地址共存

论文首先介绍了IPv4地址所面临的问题和现有的一些解决方案,然后介绍了IPv6在地址管理方面所做的工作,随后探讨了在IPv6网络过渡时期IPv4地址和IPv6地址共存的一些问题,最后针对这些问题为IPv6网络的部署提出了一些建议。     

基于IPv6的容器云内生安全机制北大核心CSCD

容器具有占用资源少、资源利用率高、启动速度快和弹性能力强等优点,在数据中心云计算资源建设中的应用越来越广泛。相关研究表明,目前容器云存在缺乏可信接入机制的问题,IPv6具有地址空间大和安全性高的特点,基于IPv6构建容器云平台能够建立端到端的透明连接,实现可信接入。针对容器云平台的安全可信问题,文章对IPv6真实源地址验证方法进行改进,将真实用户身份信息嵌入IPv6地址的后64位,同时针对容器多备份且高度动态性的特点,采用哈希加盐的方式生成用户标识,并在IPv6地址中嵌入数据索引,替代原有的加密编码方式,解决因密钥管理和线性匹配导致的效率低下问题。文章还对地址生成流程进行优化,降低了地址解析的时间复杂度,满足容器云平台的地址分配要求。实验结果表明,优化后的IPv6真实源地址验证方法在地址生成阶段效率提升约35%,在地址溯源阶段将时间复杂度从O(n)降到O(1),有效避免了密钥的管理和匹配问题,能够适应容器多备份和高动态环境,提升了容器云平台的内生安全能力。     

DIAMETER移动IPv6应用扩展方案

该文在DIAM ETER移动IPv6应用扩展基本模型的基础上,针对IPv6的无状态和DH CP有状态两种地址自动配置方式,分别在接入路由器和DH CP服务器上进行AAA功能扩展,给出了相应的DIAM ETER移动IPv6应用扩展方案。之后提出一个将两种地址自动分配方式结合使用的DIAM ETER移动IPv6 AAA解决方案,既可以减少移动节点跨域移动的时延,又便于网络资源的统一分配。文章最后给出了已实现的无状态地址分配方式下DIAM ETER移动IPv6AAA系统的实验结果,从而证明了所提方案的有效性。     

IPv6与隧道多地址性的DoS攻击放大问题研究

DoS攻击是威胁IPv4网络安全的重要问题之一.随着IPv6的发展,相关安全问题也逐步体现并影响IPv6网络的正常运行.该文指出利用IPv6和隧道主机的多地址性,攻击者可获得大量合法IPv6地址,通过伪装成多个虚拟主机实施对目标设备的DoS攻击.这种攻击具有大量的可用地址范围,且受控于同一真实主机,通过不断使用新地址和多地址间配合,可避开以IP为单位的传统检测与防御策略,并可有效放大攻击节点数目或减少实际攻击节点数量.为此提出了基于地址特征分类的防御框架(defense framework based on addresses classification,DFAC).通过分类不同地址特征,构造特征子集,在特征子集基础上实施对虚拟主机攻击的检测和防御,解决虚拟主机引发的放大问题.原型系统实验结果表明,DFAC有效地降低了上述DoS攻击对系统负载的影响.