学位论文 > 优秀研究生学位论文题录展示

基于TPM的IPv6网络安全架构研究

作 者: 黄艺华
导 师: 贾智平
学 校: 山东大学
专 业: 计算机系统结构
关键词: IP地址欺骗 IPv6地址所有权问题 TPM 身份认证
分类号: TP393.08
类 型: 硕士论文
年 份: 2011年
下 载: 53次
引 用: 0次
阅 读: 论文下载
 

内容摘要


伴随着互联网的兴起,同时各种各样的网络攻击也在困扰着互联网的用户。随着互联网技术的革新和网络覆盖率的快速增长,攻击手段也日益趋向多样化和复杂化,其中尤其以拒绝服务攻击造成的影响为大且难以防范。拒绝服务攻击往往以知名服务器或整个网络为目标,不少大型服务提供商都曾因为遭到攻击而蒙受损失。在包括拒绝服务攻击在内的林林种种的攻击手段中,攻击者往往通过伪造源地址来达成攻击目标或逃避追踪,IP地址欺骗作为攻击的辅助手段,给受害者组织防御和追踪攻击源造成了极大的困难。随着下一代IP协议即IPv6的提出和标准化,IPv6网络付诸部署并渐次取代IPv4网络的步伐已经展开。但是由于IPv6的设计原则相比IPv4没有重大改变,特别是身份标识方面仍然沿用旧有的理念,使得地址欺骗的行为仍然无法有效遏止。而且由于IPv6地址空间的扩大以及移动IPv6等带有更大灵活性的机制的引入,更增加了防范地址欺骗攻击的困难。本文首先阐述了在IPv6网络中地址欺骗造成的危害以及实施防御措施存在的困难,重点讨论了IPv6节点身份认证中存在的地址所有权问题,进而通过剖析IPv6默认的安全协议IPsec及密钥交换协议IKE的机制和过程,说明传统的加密和认证机制在解决地址所有权问题时所遇到的困难。针对这个问题,研究人员提出了各种有益的解决方案,其中包括已经标准化的密钥生成地址和安全邻居发现协议,也包括基于地址的密钥以及循此思路产生的其他认证方案。这些方案都在各自的领域内解决了一部分问题,但由于现有环境下缺乏有效的地址授权机制,它们都没有彻底解决问题,或者依赖于很强的前提条件。纯软件方法的不足促使人们把眼光投向硬件领域,可信计算组提出了可信平台模块TPM及其规范。TPM是嵌入到计算平台上、带有独立计算能力的安全芯片,烧写在芯片内部的标识和受硬件保护的存储空间保证了TPM的可信性。本文在分析了TPM的工作原理和功能特点之后,依靠它向平台提供的可信根,利用TPM的远程证明功能部分取代了授权的认证中心,提出了一个基于TPM的IPv6网络安全框架。该框架在主机IPv6地址生成阶段增加了地址授权,使用边界路由器作为授权者对带有TPM的主机生成的地址进行授权。当主机使用该地址访问互联网的服务器时,服务器可以通过协议验证地址的真实性。进一步,服务器可以利用TPM提供的远程度量功能,检验主机平台的完整性。为了限制主机拥有地址的数量,协议还为每个授权地址设置了有效生命期以及相应的过期地址废弃手段。该框架为IPv6网络中的带有TPM的主机提供了有效的地址授权机制,同时也为不带TPM的主机提供了受限的访问能力,在不需要覆盖全互联网的庞大认证中心的条件下,为对抗IPv6地址欺骗攻击提供了可行的手段。

全文目录


摘要  8-10
ABSTRACT  10-12
第1章 绪论  12-19
  1.1 课题研究背景和意义  12-13
  1.2 国内外研究与发展概况  13-17
    1.2.1 IP地址欺骗  13-14
    1.2.2 分组过滤和分组标记方法  14-16
    1.2.3 发送者身份认证  16-17
  1.3 论文的主要工作  17-19
第2章 IPv6网络的地址欺骗问题及对抗手段  19-31
  2.1 IPv6地址所有权问题  19-22
    2.1.1 IPv6协议特点简介  19-20
    2.1.2 IPv6地址所有权问题  20-22
  2.2 IPsec与互联网密钥交换协议  22-24
    2.2.1 IPsec安全协议  22-23
    2.2.2 互联网密钥交换协议  23-24
  2.3 密码生成地址与安全邻居发现协议  24-27
  2.4 基于身份的密码体制  27-31
    2.4.1 基于地址的密钥  27-28
    2.4.2 基于身份的CGA  28-31
第3章 基于可信平台模块的远程证明  31-39
  3.1 可信平台模块(TPM)原理  31-32
  3.2 TPM的密钥管理机制  32-35
  3.3 直接匿名证明  35-37
  3.4 TPM作为信任根和平台完整性度量  37-39
第4章 基于TPM的IPv6网络安全框架  39-55
  4.1 理论模型与前提假设  39-42
  4.2 节点身份认证原理和算法  42-47
    4.2.1 基本原理  42-43
    4.2.2 带时间戳的CGA生成算法  43-45
    4.2.3 地址有效期与路由器入口和出口过滤  45-46
    4.2.4 基于远程度量的准入机制  46-47
  4.3 协议过程  47-49
    4.3.1 认证地址生成过程  47-48
    4.3.2 安全联盟建立及通信过程  48-49
  4.4 门限可调的访问控制  49-50
  4.5 模拟实验及实验结果分析  50-55
第5章 总结与展望  55-57
  5.1 全文总结  55-56
  5.2 课题展望  56-57
参考文献  57-61
致谢  61-62
攻读学位期间发表的学术论文目录  62-63
攻读学位期间参与科研项目  63-64
学位论文评阅及答辩情况表  64

相似论文

  1. 安全应用层组播组成员管理模型,TP393.08
  2. 基于椭圆曲线动态口令身份认证方案的研究与实现,TP393.08
  3. 电力信息管理系统中统一身份认证技术研究及应用,TP393.08
  4. 基于UEFI体系的虚拟TPM研究,TP309
  5. 基于Linux环境的源代码保护系统的研究与实现,TP309.2
  6. 高校资产管理IE应用与信息系统开发,TP311.52
  7. 精益生产在F公司SMT制造的应用研究,F273
  8. 煤矿设备维修管理研究,TD407
  9. 校园网络电视认证子系统的设计与实现,TP393.18
  10. BD产品有限公司装配过程质量改进研究,F273.2
  11. 基于TPM和专家系统的设备维修管理研究,F426.471
  12. 基于模型的组群安全分析方法及应用,TP393.08
  13. 基于椭圆曲线的移动Ad hoc网络门限身份认证方案算法,TN918
  14. 铸造一厂灰造车间推行TPS工作研究,F426.4
  15. 深圳安费诺精益生产之全面生产维护的研究,F273
  16. 株冶集团仪表设备的全面规范化生产维护管理研究,F426.31
  17. 隐含身份认证的无线传感器网络密钥协商方案研究与实现,TN918.82
  18. 基于TNPM的SDGD公司设备维修管理研究,F273.4
  19. 精益生产在CH汽车公司的应用研究,F426.471
  20. iSCSI协议的安全性研究,TP393.04

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com