PDF《开题报告》

? 用户登录时,输入NID和password,进行认证;

? 认证通过之后,身份认证系统向DHCPv6服务 器发送GID;

? 地址分配: ? DHCPv6服务器根据GID生成IPv6地址,发送给 客户端 ? 客户端获取回复之后配置地址 ? 将发送给身份溯源系统记 录5. 系统实现:身份认证&地址分配 ? 交互流程: ? 1,用户登录时输入用户 名和密码;

? 2,Solicit:NID ? 3, 确认NID存在 ? 4,产生Nonce ? 5,Advertise:Nonce ? 6,Request:digest ? 7,确认digest正确 ? 8,产生GID ? 9,产生IPv6地址 ? 10,Reply:GID 5. 系统实现:身份溯源&报文过滤 地址分配系统 SAVI AS1 身份认证系统 身份溯源系统 子网A ? 身份溯源: ? 主机B在首次收到主机A的报文之后,可以通 过身份溯源系统对主机A的身份进行验证.验 证分为两个层次,分别需要对应的权限: ? 真实性验证:验证主机A的身份是否真实可信;

? 真实身份获取:可以获取主机A的真实身份, 即NID;

? 报文过滤: ? 主机B在确认主机A的身份是真实的之后,会 将其加入到真实主机表中. ? 当主机B再次收到报文时,会先检查该主机是 否存在于真实主机表中.若存在,则可以正 常通信;

若不存在,则开始身份溯源过程. 5. 系统实现:身份溯源&报文过滤 交互流程:6. 系统评价 ? 性能评估: ? 可信身份系统中地址分配流程中 添加了身份认证环节,带来了一 定的延时. ? PC1:对照组;

PC2:实验组 6. 系统评价 ? 性能评估: ? 实验组平均比对照组需要多耗时0.047s,比对照组增加耗时 2.63%,是身份认证系统所带来的延时效果. ? 两次t检验结果说明:引入身份认证系统后,并没有显著增加 地址分配流程的耗时,所引入耗时在统计上可以忽略不计. 统计指标 实验组 对照组 均值 1.831s 1.784s 方差 0.099s2 0.122s2 标准差 0.315s 0.349s 中位数 1.903s 1.870s 最大值 2.214s 2.207s 最小值 0.699s 0.663s ? 假设检验: ? 双样本等方差t检验: P-value=0.345 > 0.05,无法拒绝原假设. ? 双样本异方差t检验: P-value=0.356 > 0.05,无法拒绝原假设. 6. 系统评价 ? 安全性:攻击者伪造GID ? 假冒攻击:如果攻击者通过随机伪造密码,试图获取特定NID 对应的GID.以每次地址分配耗时1.831s计算,则攻击者需要 4.7*1032年才能攻击成功一次. ? 实验模拟攻击者进行假冒攻击.攻击者知道NID,通过随机产 生密码希望获取GID.经过200次攻击,没有成功获取GID. ? 重放攻击:会被源地址验证系统过滤 ? 隐私性:攻击者通过GID或者EID获取用户身份NID ? 主要依靠加密算法安全性来保证,本系统中采用RSA-2048 密钥长度n/bit MIPS年512 3*104

768 2*108

1024 3*1011

2048 3*1020 7. 总结 ? 由于缺乏可信基础而常常发生伪造攻击,设计了真实 可信身份通信系统,通过将用户身份嵌入到IPv6地址 中,能够有效地防止用户身份被假冒. ? 保证了用户身份的隐私性、可验证性、真实性 ? 设计了开放的用户身份映射接口,可以支持身份映射 算法的自定义 ? 实现了原型系统,并对系统进行了测试和评价 主要参考文献 [1] Droms, Ralph, et al. Dynamic host configuration protocol for IPv6 (DHCPv6)[EB/OL]. http://tools.ietf.org/html/rfc3315. 2003. [2] Narten, Thomas, Susan Thomson, et al. IPv6 stateless address autoconfiguration[EB/OL]. http://tools.ietf.org/html/rfc3736. 2007. [3] Bi, Jun, et al. A source address validation architecture (sava) testbed and deployment experience[EB/OL]. http://tools.ietf.org/html/rfc5210. 2008. [4] Kumari, Warren, and Danny McPherson. Remote Triggered Black Hole Filtering with Unicast Reverse Path Forwarding (uRPF)[EB/OL]. http://tools.ietf.org/html/rfc5635. 2009. [5] Li, Jun, et al. SAVE: Source address validity enforcement protocol[A]. INFOCOM 2002. Twenty-First Annual Joint Conference of the IEEE Computer and Communications Societies[C]. Proceedings. IEEE. Vol. 3. IEEE, 2002. [6] Bi, Jun, et al. Source Address Validation Improvement (SAVI) Framework. [EB/OL]. https://tools.ietf.org/html/rfc7039. 2013. [7] Droms, Ralph, and William Arbaugh. Authentication for DHCP messages[EB/OL]. http://tools.ietf.org/html/rfc3118. 2001. [8] Arbaugh, William, and Ralph Droms. Authentication for DHCP Messages[EB/OL]. http://tools.ietf.org/html/rfc3118. 2001. 谢谢