面向數據鏈路層的自主地址解析協議安全機制研究.pdf

1、計算機網絡采用層次化的方法來簡化網絡的設計與實現。為了減少上下層之間的耦合程度，網絡體系的每一層在設計過程中都盡可能的使用獨立的通信屬性，這種設計導致上下層間的通信屬性要有明確的對應關系。地址解析協議則重點解決數據鏈路層物理地址與網絡層的IP地址之間的對應關系。
　　在現有的網絡體系中，處理通信屬性對應關系主要有兩種模式：一種是以DNS為代表的集中解析方式；另外一種則是以地址解析協議為代表的自主發(fā)現模式。由于在自主發(fā)現模式中不存在

2、權威的服務器，地址的產生與使用無需注冊與認證，因此地址解析協議極易受到欺騙攻擊，所以安全是地址解析協議不可回避的問題。針對當前地址解析協議面臨的安全威脅，論文力求在協議機制、關鍵信息隱藏、地址解析的特殊性研究、安全協議設計等方面取得研究成果。
　　首先，論文證明了與地址解析協議相關的兩個重要問題：對應關系的不可判定性及地址解析與地址重復的等價性。以往的研究多采用判定的方式來提升解析過程的安全性，通過判定來過濾非法報文，這種判定或者

3、使用自身的系統軟件或者通過第三方設備來實現，但對應的不可判定性則表明采用判定的方式是不完美的，誤判率是不可消除的。而地址解析與DAD的等價性則表明NDP、SEND等協議在設計上可以簡化，部分功能可以合并，解析過程與DAD在安全方法上可以互相借鑒。
　　進一步，針對協議設計缺少理論支撐問題，本文從博弈論角度對地址解析協議的安全性進行了研究。首先提出了錢包問題，通過對錢包問題的博弈樹分析，指出了地址解析協議的設計的不合理之處。從博弈論

4、的角度看，地址解析問題是一個三階段的信號博弈。第一階段即信號設計階段，此階段的目的是要最大限度提升主機的安全性；第二階段為主機發(fā)出信號，其他參與人決定是否參與；第三階段各個參與人根據博弈規(guī)則與收益函數決定最終收益。分析表明，如果協議機制設計的合理，理性的參與人會放棄無謂的攻擊，因為攻擊行為的收益會小于正常參與行為下的收益。
　　其次，本文提出了WAY機制的重復地址檢測過程。傳統的重復地址檢測過程在發(fā)起階段直接將檢測的目的地址（關鍵

5、信息）在網絡中進行廣播，導致檢測過程容易受到針對性的DoS攻擊，結果是節(jié)點無法配置新地址。為克服這種弱點，論文提出了WAY。WAY機制將重復地址檢測的目的地址視為關鍵信息，通過自我聲明及WAY-table檢查的方法，同時使用逆向地址確認使攻擊節(jié)點暴露真實MAC地址，從而對欺騙報文進行過濾，使欺騙節(jié)點攻擊成本增加且無法進行二次及多次欺騙。
　　第三，本文提出了逆向地址解析機制Re-AR。機制設計理論表明，傳統的地址解析協議的機制設計

6、是不合理的，它并沒有實現機制設計的目的，即機制設計者利益的最大化或者盡可能的公平。它使得惡意節(jié)點可以通過簡單的欺騙手段就可以獲取更多的收益。針對這些問題，論文提出了基于逆向機制的地址解析過程與重復地址檢測過程。根據機制設計理論中的顯示原理，逆向地址解析過程將主機的網絡地址與物理地址視為私有類型，在地址解析過程中，節(jié)點收到地址解析廣播報文后將私有類型單播給解析主機，解析主機根據事先確定的機制將通信權交給正確的被解析方。由于逆向地址解析在進

7、行廣播時不公開解析目的地址，使得欺騙節(jié)點無法根據目的地址進行攻擊，有效防止了欺騙。在逆向重復地址檢測過程Re-DAD中，檢測主機并不直接給出檢測的目的地址，而是通過前綴信息來給出檢測范圍，讓應答節(jié)點主動聲明符合條件的地址，主機通過驗證這些地址，判斷是否存在地址沖突，從而顯著增加了攻擊難度。
　　第四，論文提出了尋找秘密人問題SSM及匿名地址解析協議AS-AR?，F實中還存在很多問題與錢包問題類似，這些問題具有自身的特點，論文將這類問

8、題稱為尋找秘密人問題，地址解析是尋找秘密人問題的一個實例。論文針對尋找秘密人問題的特點，提出了一種新的安全協議，即尋找秘密人協議。尋找秘密人協議要解決的問題是：在關鍵信息必須公開的情況下，如何降低尋找秘密人的風險。論文設計了兩種尋找秘密人協議的模型：一種基于隨機預示機模型；另外一種則為綜合安全協議。并在這兩種模型的基礎上設計了新的重復地址檢測過程DAD-h與地址解析過程AS-AR。新的地址解析過程稱為匿名的地址解析過程，這種地址解析過程