IPv6能夠有效地解決IPv4網(wǎng)絡(luò)地址短缺的問(wèn)題,子網(wǎng)地址空間大導(dǎo)致了偽造源地址攻擊更加難以防御,源地址驗(yàn)證技術(shù)能夠從根本上解決源地址偽造的問(wèn)題。雖然在各種異構(gòu)網(wǎng)絡(luò)中源地址驗(yàn)證的實(shí)現(xiàn)方法不一,但大多是通過(guò)綁定表記錄IP與信任錨點(diǎn)的綁定關(guān)系來(lái)實(shí)現(xiàn),如何保障綁定的安全是源地址驗(yàn)證技術(shù)的核心。實(shí)際實(shí)驗(yàn)表明已實(shí)現(xiàn)的軟件定義網(wǎng)絡(luò)（Software Defined Network,SDN）中源地址驗(yàn)證綁定表容易被偽造的AAM（Address Assignment Mechanism）報(bào)文破壞、沒(méi)有更新機(jī)制、報(bào)文監(jiān)聽(tīng)機(jī)制有漏洞。針對(duì)SDN網(wǎng)絡(luò)中源地址驗(yàn)證綁定表的安全問(wèn)題,本文設(shè)計(jì)并實(shí)現(xiàn)了綁定表安全保障方案,主要包括AAM報(bào)文驗(yàn)證與處理、綁定表更新和AAM報(bào)文監(jiān)聽(tīng)優(yōu)化三個(gè)模塊。AAM報(bào)文驗(yàn)證與處理模塊根據(jù)主機(jī)信息構(gòu)建AAM報(bào)文驗(yàn)證表,通過(guò)驗(yàn)證表和路由通告報(bào)文對(duì)AAM報(bào)文進(jìn)行驗(yàn)證,并采用先到先服務(wù)（First Come First Serve,FCFS）策略和控制器輔助響應(yīng)方法對(duì)報(bào)文進(jìn)行處理。更新模塊設(shè)置、更新并周期檢查IP有效時(shí)間,同時(shí)通過(guò)監(jiān)聽(tīng)端口狀態(tài)和主動(dòng)探測(cè)的方式判斷主機(jī)是否離線以更新綁定表。監(jiān)聽(tīng)... 

【文章來(lái)源】：華中科技大學(xué)湖北省 211工程院校 985工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：64 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

鏈路本地地址綁定過(guò)程

鏈路內(nèi)唯一的。所以主機(jī) H1 配置成功 fe80::200:ff:fe00:1。表 1.3 只綁定了主機(jī) H2 的綁定表SwitchPort MAC IP[s1, 2] 00:00:00:00:00:02 fe80::200:ff:fe00:2在控制器中綁定表只綁定了主機(jī) H2 的鏈路本地地址如表 1.3 所示�？刂邢掳l(fā)了監(jiān)聽(tīng)流表，可以監(jiān)聽(tīng)到主機(jī) H1 發(fā)出的 NS 報(bào)文�？刂破鹘馕龅慕粨Q機(jī)端口為 1，NS 報(bào)文的源 MAC 為 00:00:00:00:00:01，目標(biāo)地:ff:fe00:1 與綁定表中已綁定的 IP 地址沒(méi)有發(fā)生沖突，控制器隨即構(gòu)建表 1.4 所示。表 1.4 主機(jī) H1 加入網(wǎng)絡(luò)后的綁定表SwitchPort MAC IP[s1, 2] 00:00:00:00:00:02 fe80::200:ff:fe00:2[s1, 1] 00:00:00:00:00:01 fe80::200:ff:fe00:1

圖 1.3 DHCPv6 地址配置.3 是 DHCPv6 配置全球單播地址的過(guò)程：（1）主機(jī) H1 發(fā)送 DHCPv6絡(luò)中的 DHCP 服務(wù)器；（2）DHCPv6 服務(wù)器收到請(qǐng)求報(bào)文后響應(yīng) DH 表明自己的可用性。（3）主機(jī) H1 收到 DHCPv6Advertise 后（可能來(lái)），挑選最合適的服務(wù)器并發(fā)送 DHCPv6Request 并申請(qǐng) IP 地址；（務(wù)器響發(fā)送 DHCPv6 Reply 報(bào)文以響應(yīng) Request，告知主機(jī) H1 分配給 地址和其他網(wǎng)絡(luò)參數(shù)。這些過(guò)程中產(chǎn)生的 DHCPv6 報(bào)文都會(huì)經(jīng)過(guò) Ope匹配 OpenFlow 交換機(jī)的監(jiān)聽(tīng)流表規(guī)則上發(fā)給控制器。而控制器根據(jù) Request 報(bào)文和 DHCPv6 Reply 報(bào)文可以得知 DHCPv6 服務(wù)器給主機(jī) 址，從而構(gòu)建主機(jī) H1 的綁定項(xiàng)。究中存在的問(wèn)題 網(wǎng)絡(luò)的可編程和轉(zhuǎn)控分離的特性，讓控制器能夠靈活的對(duì)網(wǎng)絡(luò)進(jìn)行管I在SDN網(wǎng)絡(luò)中的部署十分方便。總結(jié)當(dāng)前SDN網(wǎng)絡(luò)中的SAVI相關(guān)研


本文編號(hào)：3064041