真实IPv6源地址验证体系结构

本文介绍了真实IPv6源地址验证体系结构的原理、研究方向和具体实现。

IPv6地址驱动的云网络内生安全机制研究

云网络可以根据不同业务场景对云平台虚拟网络资源快速部署与配置,是现代数据中心性能和安全的重要保障。但传统云网架构中IPv4支撑能力有限,无法实现网络端到端的透明传输,多租户特性使得云管理者对租户子网进行流量管理和约束异常困难,外挂式的安全方案缺乏对不同租户流量的追溯能力,无法在源头对攻击行为进行限制。IPv6具有地址空间大、编址能力强、安全性高的特点,基于此,文章提出一种IPv6地址驱动的云网络内生安全机制,包括地址生成层、地址验证层和地址利用层。地址生成层以对称加密算法为基础,将租户身份信息嵌入IPv6地址后64位,修改DHCPv6地址分配策略,并基于Openstack Neutron进行实现。地址验证层设计实现了云网络动态源地址验证方法,针对不同端口状态集合设计针对性转移方法和安全策略。地址利用层基于IPv6真实地址的特性,实现了基于IPv6地址的数据包溯源机制和访问控制策略。

真实IPv6源地址验证技术研究

真实IPv6源地址验证体系结构(SAVA)包括接入网真实IPv6源地址验证、域内真实IPv6源地址验证和域间真实IPv6源地址验证,通过在三个不同网络层级对IPv6分组源地址进行验证,丢弃伪造IPv6源地址的分组,保证了分组源地址的真实可靠性,对提升IPv6网络的安全性具有重要意义。

一种基于IPv6的物联网分布式源地址验证方案

作者在融合物联网的新一代互联网网络环境下,提出了基于IPv6的源地址验证整体架构.基于该架构,考虑物联网节点资源受限特点,并结合物联网末梢网络的拓扑形态及其路由方式上的特征,设计了基于IPv6的物联网末梢网络分布式源地址验证方案.分别讨论了静态指定、SLAAC(Stateless Address AutoConfiguration)、DHCPv6(Dynamic Host Configuration Protocol Version 6)以及DHCPv6与SLAAC混合情况下的物联网节点IP地址分配及其验证机制.模拟实验表明,该方案仅以微小的代价实现了物联网节点IP地址的分配,同时还保证了物联网节点之间、物联网节点与互联网端系统之间端到端通信时双方IP地址的真实可靠性,从而整体上增强了物联网的安全性.

基于SAVI的IPv6校园网源地址验证方案及其实现

接入网源地址验证技术SAVI是实现网络端系统IP地址一级的细粒度的源地址验证技术。基于SAVI技术,研究并实现了IPv6校园网的源地址验证方案。在校园网IPv6试验网的测试应用中,该方案有效实现了真实源地址验证,可从源头上保证接入网络的安全性。

基于真实IPv6源地址的网络接入认证技术研究

提出了一种新的基于真实IPv6源地址的网络安全接入认证方法。此方法在IPv6无状态地址自动配置过程中加入802.1X认证技术,只有经过授权的节点才能获得IPv6全局地址,同时改进了802.1X认证流程,使管理者可以主动获得节点用户的全局IPv6地址。该方法既保留了IPv6"即插即用"的优点,又从源头上保证接入网络的安全性。

采用源地址验证选项的IPv6源地址验证研究

针对加密认证的源地址验证方法只能在目的主机或者目的自治系统之间进行的问题,提出一种IPv6源地址验证方案。设计逐跳选项扩展首部的新选项,用以存储源地址验证信息。利用Hash运算,将源IP地址生成验证信息,并添加到所设计的源地址验证选项中,从而使得数据包传输途径的每一跳路由器都可以对源地址进行检验。该方案将基于加密认证的源地址验证方法扩展到数据传输的全过程,并针对网络层次性结构,提出进一步的改进考虑。

一种IPv4/IPv6过渡场景下IP源地址验证及追溯通用性框架方案

IP源地址欺骗是互联网安全问题的主要根源之一,目前已有方案仅关注IPv4或IPv6单协议栈等简单的网络场景,鲜有文献对IPv4向IPv6过渡场景下的源地址验证及追溯问题予以研究。鉴于IPv4/IPv6过渡阶段的长期性和必然性,本文提出一种基于SAVI(Source Address Validation Improvement)技术的IPv4/IPv6过渡场景下IP源地址验证及追溯的通用性框架方案。该方案通过提取现有IPv4/IPv6过渡方案中共有而本质的特征属性,并利用SAVI技术的扩展,达到了对不同属性组合过渡场景下IP源地址验证及追溯的目的。通过对主要IPv4/IPv6过渡方案的验证证明了本框架方案的合理性,同时因本方案能够支持IPv4/IPv6过渡所需的所有机制要素,故对未来可能出现的过渡场景也具有适应性。

基于SAVI的IPv6源地址验证研究

本文介绍了一种基于SAVI的IPv6接入网源地址验证的体系、原理、相关协议及具体实现,以解决现有的互联网寻址体系对IP数据包的源地址不做检查,很容易出现伪造源地址的安全问题。

实现真实源地址验证体系结构

IETF批准通过的RFC5210（Source Address Validation Architecture（SAVA）Testbed and Deployment Experience），是我国在国际上首次提出的“基于真实IPv6源地址的网络寻址体系结构”，是我国第一个非信息类（informational）的RFC，也是在非中文相关的互联网核心技术领域以我国学者为主体署名的第一个互联网RFC。

真实源地址框架下的特定源组播接收者认证

为了解决特定源组播接收者认证问题,在研究真实IPv6源地址验证体系结构的基础上,提出了一种该体系结构下的特定源组播接收者认证方案。该方案在与主机直连的路由器上加载了认证功能,能够对组播接收者的组播认证码进行认证,以此实现组播接收者的合法性验证,防止网络中组播服务盗用;设计了一种存储于三层交换机的组播端口列表,解决了同一局域网内组播接收者访问控制问题。通过仿真实验证明,该方案能够实现对组播接收者的认证功能,而且对组播效率影响不大。

软件定义网络中源地址验证绑定表安全

为了提高软件定义网络(SDN)中IPv6源地址验证(SAVI)绑定表的安全性,从地址分配机制(AAM)消息验证、绑定项更新和拒绝服务(DoS)攻击防御三方面对绑定表进行保护.基于SDN控制器构建AAM消息验证表,记录交换机端口、MAC地址、主机IP地址等信息;建立DHCPv6和SLAAC这2种地址配置报文的验证模型,下发流表监听路由器通告(RA)消息,获取DHCPv6 request/reply报文和NS/NA报文,基于AAM消息验证表验证报文中的地址信息;针对网络的动态变化建立绑定信息监听和更新机制,监听主机离线或者主机IP失效事件,及时更新绑定信息,保证绑定表和实际网络信息的一致性;基于OpenFlow多级流表建立交换机端口限速表,防止拒绝服务攻击.实验结果表明,本方案能够有效防御多种针对绑定表的伪造AAM报文攻击,及时更新绑定表信息,提高AAM消息的处理效率.

基于IPv6的容器云内生安全机制

容器具有占用资源少、资源利用率高、启动速度快和弹性能力强等优点,在数据中心云计算资源建设中的应用越来越广泛。相关研究表明,目前容器云存在缺乏可信接入机制的问题,IPv6具有地址空间大和安全性高的特点,基于IPv6构建容器云平台能够建立端到端的透明连接,实现可信接入。针对容器云平台的安全可信问题,文章对IPv6真实源地址验证方法进行改进,将真实用户身份信息嵌入IPv6地址的后64位,同时针对容器多备份且高度动态性的特点,采用哈希加盐的方式生成用户标识,并在IPv6地址中嵌入数据索引,替代原有的加密编码方式,解决因密钥管理和线性匹配导致的效率低下问题。文章还对地址生成流程进行优化,降低了地址解析的时间复杂度,满足容器云平台的地址分配要求。实验结果表明,优化后的IPv6真实源地址验证方法在地址生成阶段效率提升约35%,在地址溯源阶段将时间复杂度从O(n)降到O(1),有效避免了密钥的管理和匹配问题,能够适应容器多备份和高动态环境,提升了容器云平台的内生安全能力。

关于IPv6中安全技术问题的研究

本文讨论新一代IP网络协议IPv6中有关的安全技术问题,有身份验证技术、加密有效数据、安全应用,这些问题构成了Internet的安全体系结构。

李星:纯IPv6的演进和创新之路

“向IPv6单栈演进成为全球范围内IPv6发展的大势所趋。在推进IPv6跨越式发展的过程中,要充分关注和利用IVI翻译、真实源地址验证体系结构SAVA、切片等关键技术。”在日前召开的会议上,CERNET网络中心副主任、清华大学李星教授表示。同时,他呼吁,要为IPv6创新提供环境和平台,充分把握互联网技术发展的时代趋势,力求为“突破核心技术,建设网络强国”贡献力量。

IPv6全球进展研究

2007年2月，日本开展了基于IPv6多播的可行性及网络传输验证试验；2008年5月，欧盟发表了《欧洲IPv6行动计划》，全面部署下一代互联网过渡工作，大力推进IPv6广泛使用……在全球IPv4地址资源将于2012年耗尽的预警下，IPv6开始广泛部署。本报告从IPv6的发展历程入手，详细分析其发展驱动力、引导力，商用规模以及演进展望。报告指出，目前IPv6标准体系基本完善，网络设备和基础软件对其支持能力逐步增强，

下一代互联网体系结构基础研究及探索

随着人们对互联网的规模、功能和性能等方面的需求越来越高,以IPv4协议为核心技术的互联网面临着越来越严重的技术挑战.近年来,下一代互联网及其应用的研究引起了许多国家的特别关注,发达国家相继启动了下一代互联网研究计划,意图掌握未来互联网核心技术.国家"九七三"计划项目"新一代互联网体系结构理论研究",经过近5年的研究,在探索新一代互联网体系结构所面临的基础问题上,取得了初步的研究结果:提炼出新一代互联网体系结构研究的4个基本科学问题;初步提出了一种多维可扩展的新一代互联网体系结构及其基本要素;从基于IPv6的规模可扩展、基于可扩展交换节点的性能可扩展、基于真实IPv6地址的安全可扩展、基于4over6机制的功能可扩展和基于端到端无连接服务质量控制的服务可扩展等5个方面对新一代互联网多维可扩展体系结构进行了深入研究.这5项基本要素将构成未来新一代互联网的基础.

哈希在FCFS SAVI算法中的应用研究

FCFS SAVI是一种基于IPv6无状态地址自动配置协议的真实源地址验证方案,查找算法在该方案中起着关键作用.提出将哈希查找应用到FCFS SAVI方案中,详细分析哈希查找在FCFS SAVI方案中的性能,并进行了实验测试.