IPv6地址認(rèn)證體系研究與實現(xiàn).pdf

1、IETF于1998年12月發(fā)布了標(biāo)準(zhǔn)RFC2460 IPv6(Internet Protocol Version6)作為下一代互聯(lián)網(wǎng)協(xié)議,IPv6的出現(xiàn)從根本上解決了IPv4中存在的危機,但在IPv4和IPv6中有些安全問題的原理和特征從基本上并沒有發(fā)生變化,其中地址偽造就是網(wǎng)絡(luò)的安全威脅之一。
　　 本文提出的IPv6地址認(rèn)證體系,基于RFC3971 SEND協(xié)議中CGA協(xié)議提出的根據(jù)CGA協(xié)議中CGA生成算法生成的IPv6地

2、址可以很好的解決IPv6網(wǎng)絡(luò)環(huán)境中的地址偽造問題,但是CGA生成算法在對哈希算法、簽名算法、地址認(rèn)證方式等支持上還存在一些局限性。具體問題包括:
　　 1)CGA生成算法只支持SHA-1哈希算法和RSA公鑰算法。這樣CGA技術(shù)在將來潛在的應(yīng)用可能導(dǎo)致攻擊者對SHA-1的自由碰撞攻擊比較敏感,其次,只支持單一的哈希算法和公鑰算法將影響CGA技術(shù)的使用,也許將來某一天我們需要采用可選的哈希算法和可選的公鑰算法。
　　 2)攻

3、擊者能夠用任意的子網(wǎng)前綴和他擁有的公鑰來產(chǎn)生一個新的地址,因為CGA本身不被認(rèn)證,這樣很難解決中間人攻擊問題。另外,CGA協(xié)議規(guī)定CGA地址認(rèn)證是通過提取CGA地址攜帶CGA參數(shù)中公鑰和來驗證CGA地址所攜帶的CGA簽名來實現(xiàn)的,沒有采用公鑰基礎(chǔ)設(shè)施(PKI),認(rèn)證機構(gòu)(CA),或其他可信任第三方。這樣的認(rèn)證方式應(yīng)用在安全性要求很高系統(tǒng)上有一定的局限性。
　　 本文的研究內(nèi)容和創(chuàng)新點包括:
　　 1)改進CGA生成算法抵

4、抗中間人攻擊。在CGA生成之前,通信雙方網(wǎng)絡(luò)節(jié)點首先生成共享密鑰K,然在在CGA生成過程中,引入共享密鑰K使用HMAC哈希算法生成CGA,由于生成的CGA包含通信雙方的共享密鑰信息,這樣保證中間人是不可以偽造通信雙方身份發(fā)起攻擊。
　　 2)改進CGA協(xié)議支持多哈希算法、多公鑰算法和多認(rèn)證方式的選擇。通過對接口標(biāo)示符中安全參數(shù)Sec進行編碼實現(xiàn)多哈希算法擴展,即,不同Sec值對于不同哈希算法。通過在CGA參數(shù)擴展域部分增加公鑰擴