基于MAC的CGA技术研究

邻居发现协议(Neighbor Discovery Protocol)是IPv6协议的一个重要组成部分,它取代了IPv4中的ARP协议、ICMP路由发现和ICMP重定向功能。加密产生地址技术(Cryptographically Generated Addresses,CGA)可以有效解决邻居发现协议的伪造IP地址攻击,但是它忽略了伪造MAC地址攻击。在CGA的基础上提出基于MAC地址的CGA技术(MCGA),并详细阐述了MCGA地址的产生与验证过程,最后还对MCGA地址验证进行了防御实验。实验表明,该技术可以解决CGA技术无法解决的伪造MAC地址攻击。

基于CGA技术的MIPv6安全绑定更新方案研究

针对移动IPv6网络的移动节点和通信对端之间的绑定更新安全问题,提出了一种基于CGA技术改进的移动IPv6安全绑定更新方案。新方案对移动IPv6的BU信令及BU/BA过程进行格式扩展,并在绑定更新过程中引入两种不同的工作模式:不需要协商绑定管理密钥工作模式和需要协商绑定管理密钥工作模式。在生成管理密钥后,不用私钥签名和公钥验证,只采用协商好的管理密钥进行签验。该方案减少了冗余信令交互,降低了CGA计算复杂度,提高了路由优化过程的安全性。通过仿真,验证了方案的可行性。

基于CGA技术的移动IPv6绑定更新安全机制

为解决移动IPv6路由优化过程当中绑定更新消息的安全问题,结合返回路径可达协议和CAM协议的优点,提出一种基于加密生成地址(CGA)技术的绑定更新安全机制。该机制在没有部署PKI的环境下,利用CGA技术实现了跨信任域的2个节点基于地址的身份认证,可有效防止攻击者伪造、篡改绑定更新消息,解决路由优化过程中存在的反射式攻击问题。

一种基于OpenFlow光接入网的轻量级安全身份认证加密机制

为满足互联网多业务背景下各方对于安全性的更高要求,平衡因引入安全机制造成的高代价问题,通过分析软件定义光接入网(SDOAN)所面临的通信安全挑战,提出了一种基于加密生成地址(CGA)算法与哈希生成地址(HGA)算法相结合的轻量级安全身份认证加密机制(CH-CNA)。该机制遵循OpenFlow协议的信息交互方式,通过引入无第三方参与的CGA算法和HGA算法,以此分别完成通信节点之间的首次认证绑定和非首次认证绑定。在认证绑定过程中可有效防止攻击者伪造、篡改认证交互消息,从而建立起面向接入网的端到端可信连接。采用OMNeT++网络仿真软件对提出的CH-CNA机制进行了测试,实验结果表明,该机制在保证通信节点之间安全性交互的同时,降低了平均计算开销和因恶意攻击引起的阻塞率,符合轻量级的定义要求。

IPv6邻居发现协议的安全性分析

邻居发现协议(NeighborDiscoveryProtocol,NDP)作为IPv6协议的重要组成部分,取代了IPv4中的ARP协议、ICMP路由发现和ICMP重定向功能。文章分析了NDP存在的安全问题,尤其是伪造IP地址攻击,并在此基础上提出采用加密生成地址和签名技术等来解决这些安全威胁。