發(fā)布時間：2021-03-04 22:31

　　IPv6能夠有效地解決IPv4網(wǎng)絡(luò)地址短缺的問題,子網(wǎng)地址空間大導(dǎo)致了偽造源地址攻擊更加難以防御,源地址驗證技術(shù)能夠從根本上解決源地址偽造的問題。雖然在各種異構(gòu)網(wǎng)絡(luò)中源地址驗證的實現(xiàn)方法不一,但大多是通過綁定表記錄IP與信任錨點的綁定關(guān)系來實現(xiàn),如何保障綁定的安全是源地址驗證技術(shù)的核心。實際實驗表明已實現(xiàn)的軟件定義網(wǎng)絡(luò)（Software Defined Network,SDN）中源地址驗證綁定表容易被偽造的AAM（Address Assignment Mechanism）報文破壞、沒有更新機制、報文監(jiān)聽機制有漏洞。針對SDN網(wǎng)絡(luò)中源地址驗證綁定表的安全問題,本文設(shè)計并實現(xiàn)了綁定表安全保障方案,主要包括AAM報文驗證與處理、綁定表更新和AAM報文監(jiān)聽優(yōu)化三個模塊。AAM報文驗證與處理模塊根據(jù)主機信息構(gòu)建AAM報文驗證表,通過驗證表和路由通告報文對AAM報文進(jìn)行驗證,并采用先到先服務(wù)（First Come First Serve,FCFS）策略和控制器輔助響應(yīng)方法對報文進(jìn)行處理。更新模塊設(shè)置、更新并周期檢查IP有效時間,同時通過監(jiān)聽端口狀態(tài)和主動探測的方式判斷主機是否離線以更新綁定表。監(jiān)聽... 

【文章來源】：華中科技大學(xué)湖北省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：64 頁

【學(xué)位級別】：碩士

【部分圖文】：

鏈路本地地址綁定過程

鏈路內(nèi)唯一的。所以主機 H1 配置成功 fe80::200:ff:fe00:1。表 1.3 只綁定了主機 H2 的綁定表SwitchPort MAC IP[s1, 2] 00:00:00:00:00:02 fe80::200:ff:fe00:2在控制器中綁定表只綁定了主機 H2 的鏈路本地地址如表 1.3 所示。控中下發(fā)了監(jiān)聽流表，可以監(jiān)聽到主機 H1 發(fā)出的 NS 報文�？刂破鹘馕龅慕粨Q機端口為 1，NS 報文的源 MAC 為 00:00:00:00:00:01，目標(biāo)地:ff:fe00:1 與綁定表中已綁定的 IP 地址沒有發(fā)生沖突，控制器隨即構(gòu)建表 1.4 所示。表 1.4 主機 H1 加入網(wǎng)絡(luò)后的綁定表SwitchPort MAC IP[s1, 2] 00:00:00:00:00:02 fe80::200:ff:fe00:2[s1, 1] 00:00:00:00:00:01 fe80::200:ff:fe00:1

圖 1.3 DHCPv6 地址配置.3 是 DHCPv6 配置全球單播地址的過程：（1）主機 H1 發(fā)送 DHCPv6絡(luò)中的 DHCP 服務(wù)器；（2）DHCPv6 服務(wù)器收到請求報文后響應(yīng) DH 表明自己的可用性。（3）主機 H1 收到 DHCPv6Advertise 后（可能來），挑選最合適的服務(wù)器并發(fā)送 DHCPv6Request 并申請 IP 地址；（務(wù)器響發(fā)送 DHCPv6 Reply 報文以響應(yīng) Request，告知主機 H1 分配給 地址和其他網(wǎng)絡(luò)參數(shù)。這些過程中產(chǎn)生的 DHCPv6 報文都會經(jīng)過 Ope匹配 OpenFlow 交換機的監(jiān)聽流表規(guī)則上發(fā)給控制器。而控制器根據(jù) Request 報文和 DHCPv6 Reply 報文可以得知 DHCPv6 服務(wù)器給主機 址，從而構(gòu)建主機 H1 的綁定項。究中存在的問題 網(wǎng)絡(luò)的可編程和轉(zhuǎn)控分離的特性，讓控制器能夠靈活的對網(wǎng)絡(luò)進(jìn)行管I在SDN網(wǎng)絡(luò)中的部署十分方便�？偨Y(jié)當(dāng)前SDN網(wǎng)絡(luò)中的SAVI相關(guān)研


本文編號：3064041