真实源地址验证体系结构下安全组播研究.pptVIP

**Addsignaturechecksignature,validRemovesignatureIngressfilteringChecksignature,invalidUnsignedFlowSignedFlow1.绿线向自治系统注册，获取可被验证的签名2蓝线为注册过的数据流4红线表示未经过注册的攻击者3经过注册的IP地址通过自治系统时，对签名进行验证，通过验证则去掉签名并向下转发，反之丢弃。1、真实源地址验证的需求和概念**内容基于身份密码及流认证的IPv6源地址验证方法真实源地址框架下的特定源组播新的跨域特定源与任意源组播方案真实源地址验证的需求和概念组播研究的热点问题**SAVA(SourceAddressValidationArchitecture)01RFC5210,IETF200803速度要快。05清华大学吴建平、毕军。02进一步的目标：实现密码学意义上的源地址验证方案。04背景2、基于身份密码及流认证的IPv6源地址验证方法**2、基于身份密码及流认证的IPv6源地址验证方法基于身份密码及流认证的IPv6源地址验证方法的基本思想是：把主机MAC地址作为身份同主机公钥相绑定，利用CGA算法从主机公钥衍生出IPv6接入子网地址，通过数字签名提供主机真实性的验证，以消息认证码和流认证技术实现接入网关对数据包IPv6地址的快速安全的验证。**2、基于身份密码及流认证的IPv6源地址验证方法私钥生成中心是设置在接入子网内的一台可信计算机，主要用于生成系统公开参数，生成并安全保存主私钥，进行主机身份注册，生成并分发主机私钥。安全网关是设置在接入子网边界的一个安全网络设备，主要用于验证向接入子网外转发的数据包的源IP地址。主机中需要包含一个密钥发生器，用于生成会话密钥。添加标题添加标题添加标题**2、基于身份密码及流认证的IPv6源地址验证方法基于身份密码及流认证的IPv6源地址验证方法的大致分三阶段进行：第一阶段，构建一个基于身份的密码系统；第二阶段，主机根据第一阶段产生的公钥来生成对应的IPv6地址；第三阶段，主机根据主机私钥和会话密钥来生成主机IP地址的认证信息，网关根据数据包中的验证信息来对源IP地址进行验证。**基于身份密码系统的构建该阶段分为两步进行，主机注册和主机密钥产生。主机注册实现了合法主机向私钥生成中心PKG的安全注册，保证每个主机都必须以真实的MAC地址作为身份进行注册，同时，为注册成功的主机对应分配一个随机数，为下一步做准备。我们认为，这一步是整个系统运行安全的前提，可以结合实际应用场景采用一些人工手段来保证注册的安全性。主机密钥产生过程主要为各主机安全产生并分发私钥，而主机公钥是由主机自己根据其MAC地址和系统公开参数生成的。通过PKG的主私钥和主机在上一步得到的随机数，可以保证只有拥有合法身份的主机才能获得对应的私钥，同时保证主机获得的私钥是PKG产生的，不是伪造的且没有被恶意篡改。2、基于身份密码及流认证的IPv6源地址验证方法2、基于身份密码及流认证的IPv6源地址验证方法第二阶段，IPv6真实源地址产生该阶段主要使用之前产生的主机公钥生成一个基于身份密码的IPv6地址，具体过程如下。(1)主机从路由器公告中获取一个地址前缀，或者使用链路本地地址的地址前缀。然后采用密码产生地址(CryptographicallyGeneratedAddress,CGA)算法，根据公钥KP、子网前缀及一些调节参数，采用一个单向哈希函数计算出一个比特串，然后将子网前缀结合这个比特串得到一个密码产生IPv6地址。(2)主机使用上述IPv6地址作为目标地址发送邻居请求(NeighborSolicitation)报文。报文附加一个选项头，其中包含主机公钥KP以及一个基于身份密码的签名，该签名中包含使用主机私钥KS对报文的签名。如果上述IPv6地址不与其它主机的IP地址冲突，则此主机使用该地址作为其IP地址；如果地址有冲突，则调整密码产生地址算法中使用的参数，生成一个新的IP地址，再次发送邻居请求报文。****2、基于身份密码及流认证的IPv6源地址验证方法单击此处添加正文，文字是您思想的提炼，为了演示发布的良好效果，请言简意赅地阐述您的观点。您的内容已经简明扼要，字字珠玑，但信息却千丝万缕、错综复杂，需要用更多的文字来表述；但请您尽可能提炼思想的精髓，否则容易造成观者的阅读压力，适得其反。正如我们都希望改变世界，希望给别人带去光明，但更多时候我们只需