面向數(shù)據(jù)鏈路層的自主地址解析協(xié)議安全機制研究.pdf_第1頁
已閱讀1頁,還剩120頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、計算機網(wǎng)絡(luò)采用層次化的方法來簡化網(wǎng)絡(luò)的設(shè)計與實現(xiàn)。為了減少上下層之間的耦合程度,網(wǎng)絡(luò)體系的每一層在設(shè)計過程中都盡可能的使用獨立的通信屬性,這種設(shè)計導(dǎo)致上下層間的通信屬性要有明確的對應(yīng)關(guān)系。地址解析協(xié)議則重點解決數(shù)據(jù)鏈路層物理地址與網(wǎng)絡(luò)層的IP地址之間的對應(yīng)關(guān)系。
  在現(xiàn)有的網(wǎng)絡(luò)體系中,處理通信屬性對應(yīng)關(guān)系主要有兩種模式:一種是以DNS為代表的集中解析方式;另外一種則是以地址解析協(xié)議為代表的自主發(fā)現(xiàn)模式。由于在自主發(fā)現(xiàn)模式中不存在

2、權(quán)威的服務(wù)器,地址的產(chǎn)生與使用無需注冊與認證,因此地址解析協(xié)議極易受到欺騙攻擊,所以安全是地址解析協(xié)議不可回避的問題。針對當(dāng)前地址解析協(xié)議面臨的安全威脅,論文力求在協(xié)議機制、關(guān)鍵信息隱藏、地址解析的特殊性研究、安全協(xié)議設(shè)計等方面取得研究成果。
  首先,論文證明了與地址解析協(xié)議相關(guān)的兩個重要問題:對應(yīng)關(guān)系的不可判定性及地址解析與地址重復(fù)的等價性。以往的研究多采用判定的方式來提升解析過程的安全性,通過判定來過濾非法報文,這種判定或者

3、使用自身的系統(tǒng)軟件或者通過第三方設(shè)備來實現(xiàn),但對應(yīng)的不可判定性則表明采用判定的方式是不完美的,誤判率是不可消除的。而地址解析與DAD的等價性則表明NDP、SEND等協(xié)議在設(shè)計上可以簡化,部分功能可以合并,解析過程與DAD在安全方法上可以互相借鑒。
  進一步,針對協(xié)議設(shè)計缺少理論支撐問題,本文從博弈論角度對地址解析協(xié)議的安全性進行了研究。首先提出了錢包問題,通過對錢包問題的博弈樹分析,指出了地址解析協(xié)議的設(shè)計的不合理之處。從博弈論

4、的角度看,地址解析問題是一個三階段的信號博弈。第一階段即信號設(shè)計階段,此階段的目的是要最大限度提升主機的安全性;第二階段為主機發(fā)出信號,其他參與人決定是否參與;第三階段各個參與人根據(jù)博弈規(guī)則與收益函數(shù)決定最終收益。分析表明,如果協(xié)議機制設(shè)計的合理,理性的參與人會放棄無謂的攻擊,因為攻擊行為的收益會小于正常參與行為下的收益。
  其次,本文提出了WAY機制的重復(fù)地址檢測過程。傳統(tǒng)的重復(fù)地址檢測過程在發(fā)起階段直接將檢測的目的地址(關(guān)鍵

5、信息)在網(wǎng)絡(luò)中進行廣播,導(dǎo)致檢測過程容易受到針對性的DoS攻擊,結(jié)果是節(jié)點無法配置新地址。為克服這種弱點,論文提出了WAY。WAY機制將重復(fù)地址檢測的目的地址視為關(guān)鍵信息,通過自我聲明及WAY-table檢查的方法,同時使用逆向地址確認使攻擊節(jié)點暴露真實MAC地址,從而對欺騙報文進行過濾,使欺騙節(jié)點攻擊成本增加且無法進行二次及多次欺騙。
  第三,本文提出了逆向地址解析機制Re-AR。機制設(shè)計理論表明,傳統(tǒng)的地址解析協(xié)議的機制設(shè)計

6、是不合理的,它并沒有實現(xiàn)機制設(shè)計的目的,即機制設(shè)計者利益的最大化或者盡可能的公平。它使得惡意節(jié)點可以通過簡單的欺騙手段就可以獲取更多的收益。針對這些問題,論文提出了基于逆向機制的地址解析過程與重復(fù)地址檢測過程。根據(jù)機制設(shè)計理論中的顯示原理,逆向地址解析過程將主機的網(wǎng)絡(luò)地址與物理地址視為私有類型,在地址解析過程中,節(jié)點收到地址解析廣播報文后將私有類型單播給解析主機,解析主機根據(jù)事先確定的機制將通信權(quán)交給正確的被解析方。由于逆向地址解析在進

7、行廣播時不公開解析目的地址,使得欺騙節(jié)點無法根據(jù)目的地址進行攻擊,有效防止了欺騙。在逆向重復(fù)地址檢測過程Re-DAD中,檢測主機并不直接給出檢測的目的地址,而是通過前綴信息來給出檢測范圍,讓應(yīng)答節(jié)點主動聲明符合條件的地址,主機通過驗證這些地址,判斷是否存在地址沖突,從而顯著增加了攻擊難度。
  第四,論文提出了尋找秘密人問題SSM及匿名地址解析協(xié)議AS-AR?,F(xiàn)實中還存在很多問題與錢包問題類似,這些問題具有自身的特點,論文將這類問

8、題稱為尋找秘密人問題,地址解析是尋找秘密人問題的一個實例。論文針對尋找秘密人問題的特點,提出了一種新的安全協(xié)議,即尋找秘密人協(xié)議。尋找秘密人協(xié)議要解決的問題是:在關(guān)鍵信息必須公開的情況下,如何降低尋找秘密人的風(fēng)險。論文設(shè)計了兩種尋找秘密人協(xié)議的模型:一種基于隨機預(yù)示機模型;另外一種則為綜合安全協(xié)議。并在這兩種模型的基礎(chǔ)上設(shè)計了新的重復(fù)地址檢測過程DAD-h與地址解析過程AS-AR。新的地址解析過程稱為匿名的地址解析過程,這種地址解析過程

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論