基于混沌序列的IPv6地址分配與驗(yàn)證剖析課件_第1頁
基于混沌序列的IPv6地址分配與驗(yàn)證剖析課件_第2頁
基于混沌序列的IPv6地址分配與驗(yàn)證剖析課件_第3頁
基于混沌序列的IPv6地址分配與驗(yàn)證剖析課件_第4頁
基于混沌序列的IPv6地址分配與驗(yàn)證剖析課件_第5頁
已閱讀5頁,還剩17頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、基于混沌序列的IPv6地址分配與驗(yàn)證鄭輝清華大學(xué)網(wǎng)絡(luò)中心CERNET Computer Emergency Response TAgenda基本原理方案設(shè)計(jì)相關(guān)分析小結(jié)問題的提出完整的安全框架包含三個(gè)對(duì)象之間的關(guān)系 端用戶-端用戶 ISP-端用戶 ISP-ISP 主要問題與對(duì)應(yīng)解決方案端用戶-端用戶 主要問題 信息的完整性; 信息的保密性; 解決方案 IPSec ISP-端用戶 主要問題 用戶上網(wǎng)的可控性; 用戶上網(wǎng)的可審計(jì)性; 解決方案 認(rèn)證策略; 計(jì)費(fèi)策略; ISP-ISP 主要問題 地址欺騙(如DDoS 攻擊); 解決方案 地址分配-確認(rèn)策略; IPv6地址結(jié)構(gòu)前綴分配方案后綴分配方案n

2、 位64-n 位64位路由前綴子網(wǎng)標(biāo)識(shí)符接口標(biāo)識(shí)符IPv6地址結(jié)構(gòu)Public Topology:48FP, Fixed Prefix, 001, 3TLA ID, Top-Level Aggregation Identifier, 13RES, Reserved, 8NLA ID, Next-Level Aggregation Identifier, 24Site Topology:16SLA ID, Site-Level Aggregation Identifier, 16Interface Identifier:64Interface ID地址配置方式ManualAutoconfigur

3、ationStatelessStatefulAddress AutoconfigurationStateless address autoconfigurationNo central server needed to aid in address configurationNode forms its own suffix, checks if it is uniqueNode obtains prefix(es) from the nearest routerStateful address autoconfigurationCentral server allocates full ad

4、dresses to nodes on requestDHCPv6 is the current protocol for stateful address autoconfiguration混沌序列的性質(zhì)隨機(jī)性:混沌序列的統(tǒng)計(jì)特性是隨機(jī)的。確定性:盡管混沌序列表現(xiàn)出隨機(jī)的性質(zhì),但整個(gè)序列是由確定的方程給出的。遍歷性:混沌序列值在很大程度上不重復(fù)的取值。對(duì)初值的敏感性:非常微小的初值變化,也將導(dǎo)致完全不同的混沌序列。度量指標(biāo)概率分布函數(shù)PDF(Probability density function)OPT(一次性口令)自相關(guān)函數(shù)ACF(auto-correlation functions)可

5、選的混沌映射一維映射:Logistic映射;二維映射:Smale映射、Henon映射;三維映射:Lorenz映射; 方案設(shè)計(jì)地址位分配混沌映射公式選擇工作流程地址位分配64位(063):路由前綴 + 子網(wǎng)標(biāo)識(shí)符;1位(64):分配類型(0未采用隨機(jī)序列/1采用隨機(jī)序列);15位(6579):保留;16位(8095):某個(gè)混沌序列值對(duì)應(yīng)的迭代次數(shù);32位(96127):混沌序列值(長整形數(shù));64位1位15位16位32位其它方案分配類型保留迭代次數(shù)混沌序列值混沌映射公式選擇一維混沌映射:logistic映射 工作流程地址生成在區(qū)間0.0000010.100000任取一值作為初值通過迭代產(chǎn)生混沌序

6、列,混沌序列值的精度取到小數(shù)點(diǎn)后10位,因?yàn)?2位無符號(hào)長整形數(shù)可以表示的數(shù)值范圍為04294967295,如果混沌序列值大于0.4294967295,則減去0. 4294967295以便可以用對(duì)應(yīng)的長整形數(shù)表示。將迭代次數(shù)和對(duì)應(yīng)的混沌序列值組合構(gòu)造出網(wǎng)絡(luò)所需的多個(gè)IPv6地址。地址分配DHCP地址驗(yàn)證不同管理域之間,通過相同的混沌映射公式和初值來驗(yàn)證訪問本管理域的IP地址是否是對(duì)方產(chǎn)生的?;煦缬成涔娇梢允孪葏f(xié)商,初值的傳遞應(yīng)該采用安全的信息通道(如DNSSEC)?;煦缧蛄械男再|(zhì)(2)保證了可驗(yàn)證性,(1)、(4)保證了IP地址是很難仿冒的。后繼處理根據(jù)地址驗(yàn)證的結(jié)果采取不同的處理措施,例如

7、當(dāng)發(fā)現(xiàn)針對(duì)本ISP的DoS攻擊時(shí),在網(wǎng)絡(luò)邊界屏蔽掉未能通過驗(yàn)證的某個(gè)ISP的所有地址。周期性的選取新的初值來生成地址,可以增大本ISP的地址被偽造的難度。相關(guān)性質(zhì)分析可表達(dá)網(wǎng)絡(luò)規(guī)模16位65535次不同迭代,相當(dāng)于一個(gè)B類網(wǎng)絡(luò)的規(guī)模;網(wǎng)絡(luò)的可管理性網(wǎng)絡(luò)的稀疏程度運(yùn)算復(fù)雜度分析O(1)安全強(qiáng)度分析未知算法:2(-48)未知初值:10(-6)小結(jié)靈活性本方案限制了本管理域內(nèi)的IP地址分配必須采用有狀態(tài)的自動(dòng)分配機(jī)制,這在某種程度上降低了用戶使用網(wǎng)絡(luò)的靈活性。簡單性采用基于混沌序列的IPv6地址分配與驗(yàn)證把對(duì)單個(gè)節(jié)點(diǎn)地址的可信性驗(yàn)證(n個(gè))縮減為對(duì)ISP的可信性驗(yàn)證(1個(gè)),同時(shí)只使用/交換一個(gè)初值

8、就可以生成/驗(yàn)證網(wǎng)絡(luò)中的所有地址,減少了認(rèn)證信息交換的頻度和數(shù)量。安全性在實(shí)際應(yīng)用當(dāng)中,可以通過選擇更高維數(shù)的混沌映射公式來生成混沌序列,擴(kuò)大初值的選擇空間,從而得到更好的安全性。整個(gè)地址的分配和驗(yàn)證流程以及公式和參數(shù)的選擇也需要進(jìn)一步完善,以便改進(jìn)方案的靈活性和嚴(yán)謹(jǐn)性。ReferencesR. Atkinson. RFC1826. IP Authentication Header. 1995. 王殿清,趙曉宇,馬嚴(yán),IPv6地址的管理及規(guī)劃探討,華中科技大學(xué)學(xué)報(bào)(自然科學(xué)版),31卷增刊,2003。唐雨,王華民,李清,IPv6地址中截取若干位賦予方位意義,華中科技大學(xué)學(xué)報(bào)(自然科學(xué)版),31

9、卷增刊,2003。IAB/IESG. RFC3177. IAB/IESG Recommendations on IPv6 Address Allocations to Sites. 2001. Tuomas Aura. Cryptographically Generated Addresses (CGA). In Proc. 6th Information Security Conference (ISC03), volume 2851 of LNCS, pages 29-43, Bristol, UK, October 2003. Springer.S. Deering, R. Hinden

10、. RFC1883. Internet Protocol, Version 6 (IPv6) Specification. 1995. 伍海桑,陳茂科,陳名華等,IPv6原理與實(shí)踐,人民郵電出版社,2000年。R. Hinden, S. Deering. RFC1884, RFC2373. IP Version 6 Addressing Architecture. 1998. R. Hinden, S. Deering, E. Nordmark. IPv6 Global Unicast Address Format. RFC3587, 2003.S. Thomson, T. Narten. RFC1971, RFC2462. IPv6 Stateless Address Autoconfiguration. 1998. 曾斌,卿華,瞿國平,IPv6地址動(dòng)態(tài)管理技術(shù),計(jì)算機(jī)工程與科學(xué),2000年第22卷第1期。曹玖新,張德運(yùn),丁會(huì)寧,新一代協(xié)議IPv6自動(dòng)地址配置的實(shí)現(xiàn),小型微型計(jì)算機(jī)系統(tǒng),第23卷第4期,2002。周福才

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論