SDN网络中IPv6源地址验证绑定表的安全问题研究
发布时间:2021-03-04 22:31
IPv6能够有效地解决IPv4网络地址短缺的问题,子网地址空间大导致了伪造源地址攻击更加难以防御,源地址验证技术能够从根本上解决源地址伪造的问题。虽然在各种异构网络中源地址验证的实现方法不一,但大多是通过绑定表记录IP与信任锚点的绑定关系来实现,如何保障绑定的安全是源地址验证技术的核心。实际实验表明已实现的软件定义网络(Software Defined Network,SDN)中源地址验证绑定表容易被伪造的AAM(Address Assignment Mechanism)报文破坏、没有更新机制、报文监听机制有漏洞。针对SDN网络中源地址验证绑定表的安全问题,本文设计并实现了绑定表安全保障方案,主要包括AAM报文验证与处理、绑定表更新和AAM报文监听优化三个模块。AAM报文验证与处理模块根据主机信息构建AAM报文验证表,通过验证表和路由通告报文对AAM报文进行验证,并采用先到先服务(First Come First Serve,FCFS)策略和控制器辅助响应方法对报文进行处理。更新模块设置、更新并周期检查IP有效时间,同时通过监听端口状态和主动探测的方式判断主机是否离线以更新绑定表。监听...
【文章来源】:华中科技大学湖北省 211工程院校 985工程院校 教育部直属院校
【文章页数】:64 页
【学位级别】:硕士
【部分图文】:
链路本地地址绑定过程
链路内唯一的。所以主机 H1 配置成功 fe80::200:ff:fe00:1。表 1.3 只绑定了主机 H2 的绑定表SwitchPort MAC IP[s1, 2] 00:00:00:00:00:02 fe80::200:ff:fe00:2在控制器中绑定表只绑定了主机 H2 的链路本地地址如表 1.3 所示。控中下发了监听流表,可以监听到主机 H1 发出的 NS 报文。控制器解析的交换机端口为 1,NS 报文的源 MAC 为 00:00:00:00:00:01,目标地:ff:fe00:1 与绑定表中已绑定的 IP 地址没有发生冲突,控制器随即构建表 1.4 所示。表 1.4 主机 H1 加入网络后的绑定表SwitchPort MAC IP[s1, 2] 00:00:00:00:00:02 fe80::200:ff:fe00:2[s1, 1] 00:00:00:00:00:01 fe80::200:ff:fe00:1
图 1.3 DHCPv6 地址配置.3 是 DHCPv6 配置全球单播地址的过程:(1)主机 H1 发送 DHCPv6络中的 DHCP 服务器;(2)DHCPv6 服务器收到请求报文后响应 DH 表明自己的可用性。(3)主机 H1 收到 DHCPv6Advertise 后(可能来),挑选最合适的服务器并发送 DHCPv6Request 并申请 IP 地址;(务器响发送 DHCPv6 Reply 报文以响应 Request,告知主机 H1 分配给 地址和其他网络参数。这些过程中产生的 DHCPv6 报文都会经过 Ope匹配 OpenFlow 交换机的监听流表规则上发给控制器。而控制器根据 Request 报文和 DHCPv6 Reply 报文可以得知 DHCPv6 服务器给主机 址,从而构建主机 H1 的绑定项。究中存在的问题 网络的可编程和转控分离的特性,让控制器能够灵活的对网络进行管I在SDN网络中的部署十分方便。总结当前SDN网络中的SAVI相关研
本文编号:3064041
【文章来源】:华中科技大学湖北省 211工程院校 985工程院校 教育部直属院校
【文章页数】:64 页
【学位级别】:硕士
【部分图文】:
链路本地地址绑定过程
链路内唯一的。所以主机 H1 配置成功 fe80::200:ff:fe00:1。表 1.3 只绑定了主机 H2 的绑定表SwitchPort MAC IP[s1, 2] 00:00:00:00:00:02 fe80::200:ff:fe00:2在控制器中绑定表只绑定了主机 H2 的链路本地地址如表 1.3 所示。控中下发了监听流表,可以监听到主机 H1 发出的 NS 报文。控制器解析的交换机端口为 1,NS 报文的源 MAC 为 00:00:00:00:00:01,目标地:ff:fe00:1 与绑定表中已绑定的 IP 地址没有发生冲突,控制器随即构建表 1.4 所示。表 1.4 主机 H1 加入网络后的绑定表SwitchPort MAC IP[s1, 2] 00:00:00:00:00:02 fe80::200:ff:fe00:2[s1, 1] 00:00:00:00:00:01 fe80::200:ff:fe00:1
图 1.3 DHCPv6 地址配置.3 是 DHCPv6 配置全球单播地址的过程:(1)主机 H1 发送 DHCPv6络中的 DHCP 服务器;(2)DHCPv6 服务器收到请求报文后响应 DH 表明自己的可用性。(3)主机 H1 收到 DHCPv6Advertise 后(可能来),挑选最合适的服务器并发送 DHCPv6Request 并申请 IP 地址;(务器响发送 DHCPv6 Reply 报文以响应 Request,告知主机 H1 分配给 地址和其他网络参数。这些过程中产生的 DHCPv6 报文都会经过 Ope匹配 OpenFlow 交换机的监听流表规则上发给控制器。而控制器根据 Request 报文和 DHCPv6 Reply 报文可以得知 DHCPv6 服务器给主机 址,从而构建主机 H1 的绑定项。究中存在的问题 网络的可编程和转控分离的特性,让控制器能够灵活的对网络进行管I在SDN网络中的部署十分方便。总结当前SDN网络中的SAVI相关研
本文编号:3064041
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3064041.html
