IPv6地址认证体系研究与实现
IETF于1998年12月发布了标准RFC2460 IPv6(Internet Protocol Version6)作为下一代互联网协议,IPv6的出现从根本上解决了IPv4中存在的危机,但在IPv4和IPv6中有些安全问题的原理和特征从基本上并没有发生变化,其中地址伪造就是网络的安全威胁之一。
本文提出的IPv6地址认证体系,基于RFC3971 SEND协议中CGA协议提出的根据CGA协议中CGA生成算法生成的IPv6地址可以很好的解决IPv6网络环境中的地址伪造问题,但是CGA生成算法在对哈希算法、签名算法、地址认证方式等支持上还存在一些局限性。具体问题包括:
1)CGA生成算法只支持SHA-1哈希算法和RSA公钥算法。这样CGA技术在将来潜在的应用可能导致攻击者对SHA-1的自由碰撞攻击比较敏感,其次,只支持单一的哈希算法和公钥算法将影响CGA技术的使用,也许将来某一天我们需要采用可选的哈希算法和可选的公钥算法。
2)攻击者能够用任意的子网前缀和他拥有的公钥来产生一个新的地址,因为CGA本身不被认证,这样很难解决中间人攻击问题。另外,CGA协议规定CGA地址认证是通过提取CGA地址携带CGA参数中公钥和来验证CGA地址所携带的CGA签名来实现的,没有采用公钥基础设施(PKI),认证机构(CA),或其他可信任第三方。这样的认证方式应用在安全性要求很高系统上有一定的局限性。
本文的研究内容和创新点包括:
1)改进CGA生成算法抵抗中间人攻击。在CGA生成之前,通信双方网络节点首先生成共享密钥K,然在在CGA生成过程中,引入共享密钥K使用HMAC哈希算法生成CGA,由于生成的CGA包含通信双方的共享密钥信息,这样保证中间人是不可以伪造通信双方身份发起攻击。
2)改进CGA协议支持多哈希算法、多公钥算法和多认证方式的选择。通过对接口标示符中安全参数Sec进行编码实现多哈希算法扩展,即,不同Sec值对于不同哈希算法。通过在CGA参数扩展域部分增加公钥扩展选项使CGA协议支持多种签名算法。增加证书扩展选项使CGA协议支持采用PKI体系,认证机构CA,通过可信第三方来实现身份认证,这样用户可以根据系统安全需求选择不同的认证方式。
3)提出一种新的IPv6扩展头-CGA扩展头,设计CGA扩展头中不同CGA选项,CGA模块,并实现IPv6地址认证体系。
山东大学
硕士
系统分析与集成
周大水
2010
中文
TN915.08
52
2011-02-15(万方平台首次上网日期,不代表论文的发表时间)