一种基于身份认证的防止重复地址检测攻击的方法

摘要

本发明提供的一种基于身份认证的防止重复地址检测攻击的方法是一种在IPv6网络防止重复地址检测攻击的方案。用于解决在IPv6网络中的针对DAD检测的拒绝服务攻击。IPv6本身对抵御拒绝服务攻击的能力不是很强，本方法构造的系统由验证服务器、加密/解密模块、更新模块、映射存储模块等组成。这些模块可以通过简单的计算实现对响应DAD地址检测的入网设备进行身份认证，只有在得到身份认证后才能按照原IPv6协议中规定的操作执行，一旦身份认证失败则对响应DAD检测的设备不予回应。在完成一次认证之后及时更新验证服务器中的信息。有效地消除了通过非法入网设备对IPv6网络中DAD地址检测的攻击。

说明书

技术领域

   本发明提出了一种在IPv6 (Internet Protocol version 6，互联网协议第6版)网络地址重复检测中防止拒绝服务攻击的方法，属于互联网中IPv6安全技术领域。

技术背景

 在当前计算机技术大发展的步伐下，Internet经历了爆炸般的发展， 2011 年2 月，全球互联网名称与数字地址分配机构宣布基于IPv4(Internet Protocol version 4，互联网协议第4版)的最后一组IP 地址已经被分配，第一代互联网地址IPv4 的池子正式宣告枯竭。一方面是网络地址资源数量的限制，另一方面随着电子技术及网络技术的持续发展，越来越多的人和物都需要连入全球因特网。在这样的环境下，IPv6应运而生。IPv6的128位地址提供了几乎无尽的地址空间。这不但解决了网络地址资源数量的问题，同时也为除电脑外的设备连入互联网在数量限制上扫清了障碍。

IPv6与IPv4相比有很多优点如：1、地址空间变大，128位的网络地址提供了似乎取之不尽的地址，一劳永逸的解决了地址短缺问题。2、对移动性的良好支持，移动IP需要为每个设备提供一个全球惟一的IP地址，IPv4没有足够的地址空间可以为在Internet上运行的每个移动终端分配一个这样的地址。而移动IPv6能够通过简单的扩展，满足大规模移动用户的需求。这样，它就能在全球范围内解决有关网络和访问技术之间的移动性问题。3、IPv6内置的安全特性已经标准化，可支持对企业网的无缝远程访问。即使终端用户用“实时在线”方式接入企业网，这种安全机制也是可行的，而这种“实时在线”的服务类型在IPv4技术中是无法实现的。

然而即便如此，如同IPv4网络一样，IPv6网络同样面临着互联网中存在的各种各样的安全威胁，且攻击行为的特点有了新的变化。现在IPv6网络面临的安全威胁主要有：实施和部署方面的不足、应用层等其它层对IPv6网的威胁、IPv4/IPv6过渡时期的安全性问题、IPv6协议本身的安全漏洞。尤其是IPv6协议本身对拒绝服务攻击的抵御机制并不完善使得出现了很多针对其协议的攻击，如重定向拒绝服务攻击、重复地址检测攻击等。相比而言重复地址检测攻击中针对无状态地址自动配置的攻击更加容易，后果更加严重。在无状态自动配置机制中通过本地可用信息和路由发布的信息在不需要人工干预的情况下即可进行自动地址配置。这种机制在给用户带来方便性的同时也使得非法用户更容易接入网络。一个IPv6节点会对一个指定的IPv6地址进行地址检测，攻击者冒充该地址响应检测，使得该节点误以为地址发生重复而放弃该地址。下面简要介绍下重复地址检测的过程。

DAD（Duplicated Address Detection，重复地址检测）检测的过程：节点通信之前获得“暂时的”地址，为确定该地址的唯一性，多播发送“邻居请求报文”并请求节点返回其链路层地址，“邻居请求报文”的多播地址是从目标IP地址得到的请求节点多播地址。“邻居请求报文”中选项字段为源链路层地址选项。当目标主机接收到“邻居请求报文”后会根据其源地址和链路层地址来更新它自己的邻居缓存表。接着，目标节点向“邻居请求报文”的发送方发送一个单播的“邻居通告报文”。该“邻居通告报文”中包含目标链路层地址选项，当接收到来自邻居节点的“邻居通告报文”后，发送主机就会根据目标链路层地址选项中的信息，创建一个关于目标节点的新表项，以更新其邻居缓存表。这时若多次发送“邻居请求报文”之后收到的“邻居通告报文”中未发现目标主机的地址与源主机地址重复，则源主机的地址变为“首选的”地址，反之若发现地址重复则变为“废弃的”地址。DAD攻击指的是：在网络中的主机发出“邻居请求报文”后，网络中的攻击设备就会冒充该地址发送“邻居请求报文”或者响应“邻居通告报文”回应检测，使得主机误以为自己的地址不可用而导致拒绝服务攻击。

 

发明内容

    技术问题： 在IPv4地址枯竭之时，IPv6协议将取而代之。然而要放心的使用IPv6协议，首先要解决的就是安全性问题尤其是拒绝服务攻击问题。本发明的目的是为了弥补IPv6本身抵御拒绝服务攻击的不足，提供一种基于身份认证的防止重复地址检测攻击的方法，使得IPv6网络的使用更加高效、安全。在重复地址检测的过程中针对发出重复地址信息的网络设备进行身份验证，以确保该设备的可信性，从而避免非法设备或者恶意节点对源设备发动重复地址检测的拒

绝服务攻击。

技术方案： 本发明提供了一种在互联网环境下的身份验证机制，其中包括几大模块：验证模块、加密/解密模块、更新模块、映射存储模块。实现了在IPv6无状态自动配置中检测到地址重复信息时对发出该信息的设备进行身份验证以确认该信息的可信性。

传统的地址重复检测的过程如图1所示。本系统通过在传统的网络中加入第三方的验证模块，对发起地址重复检测的网络设备收到的有冲突地址的网络设备的身份进行验证。首先在某一区域的网络中分得地址的网络设备要在第三方的验证模块处备份自己的地址信息，并且与验证模块间共享对称密钥。由已经备份的可信设备向网络中发出邻居请求报文信息，进行地址重复检测，一旦发现有设备发出冲突响应。源节点产生一个随机数并将该地址及其参数信息通过密钥加密传送至第三方的验证服务器处。验证服务器解密数据，改变随机数并加密传至响应地址重复的节点处，节点对数据进行解密，将随机数做逆变换，附加在“邻居通告报文”中传至源节点处，源节点判断后作出决定。

本系统借助第三方提供的信息对响应重复地址检测的网络设备，智能判断该节点的身份，做出相信或者不相信该节点真实性的判断，继而做出下一步的决定。

为保证系统的安全性，系统还可定时的更换与各登记设备之间的会话密钥。防止潜在的破解密钥的攻击。

本系统的维护简单，用户只需周期性的更新系统的映射表，并且定期分配新密钥给系统内登记的网络设备。

方法流程

实现基于第三方验证的防止重复地址攻击的方法所包含的步骤如下：

步骤1) 在验证服务器范围内，计算网络设备接收邻居设备“邻居通告报文”的平均时间Ta和验证服务器的处理时间Tb；

步骤2）设计验证服务器：验证服务器包含了加密/解密模块、更新模块、映射存储模块；加密/解密模块的作用是实现与之通信的网络设备间通信的秘密性。更新模块是负责更新通信双方的密钥，并在周围网络设备发生变化时更新网络设备地址的映射表；映射存储模块是在验证服务器中保存网络中的注册设备地址和与之通话的密钥之间关系的映射表；

步骤3）设计加密、解密模块附加在每个入网设备中；重复地址检测时登记的设备称为A，向其他设备广播一个“邻居请求报文”后，等待其邻居节点的响应报文，如果判定发生地址重复则启动加密模块，产生随机数附加在发生地址重复的地址信息中，并加密发送至验证服务器称为C，进行身份验证；假设网络中只有一个设备被判定地址重复记该设备为B，多个设备地址重复时与设备B的处理相同；数据部分为Eac(Randti||Addb)，其中Eac为设备A和验证服务器C之间共享的会话密钥进行的加密操作；Randti是设备A在时刻ti时产生的随机数；Addb为设备B的地址信息；其中地址重复在以下几种情况下判定：1、发送检测重复地址的“邻居请求报文”前，收到用于同一地址重复检测的“邻居请求报文”；2、在发送“邻居请求报文”后，收到的针对同一地址的重复地址检测的邻居请求报文NS比预期的多；3、发送地址重复检测的“邻居请求报文”后，收到针对同一地址的“邻居通告报文”；若上述三者不发生则无地址冲突，表明该地址可用，不需进行下面步骤就此结束，否则进行步骤4；

步骤4) 存储了每个已登记网络设备会话密钥映射表的验证服务器C收到数据后，从数据头部解析出地址，对照映射表找出与该设备通信的会话密钥解密数据部分可表示为：

Dac(Eac(Randti||Addb))

其中Dac为设备A与验证服务器C之间会话密钥的解密操作，解密之后得到地址冲突的目标地址以及与其所对应的会话密钥和随机数等信息，验证服务器C将随机数减1，加密后发送至设备B，数据部分公式为：

Ebc(Randti-1)

Ebc是设备B和验证服务器C之间会话密钥的加密操作；

步骤5)发出地址重复检测的网络设备得到验证，发出地址重复检测的网络设备将会收到验证服务器的数据，利用其自身与验证服务器C之间的会话密钥，解密数据，公式为：

Dbc(Ebc(Randti-1))

其中Dbc为设备B与验证服务器C之间会话密钥的解密操作；解密得到的随机数再减1得到Randti-2，将其封装在“邻居通告报文”中再次响应A的“邻居请求报文”；

步骤6) 设备A接收B再次发出的“邻居通告报文”判断并做出决定；设备A接收到B再次传来的“邻居通告报文”，从中解析出B的数据部分信息，验证其中的随机数是否正确；若正确则设备A的DAD地址重复检测失败，将自己的“临时性”地址变成“废弃的”地址，若不正确或者不是在合理时间范围内不能收到设备B再次发出的“邻居通告报文”则默认该设备不合法，对设备B发出的地址冲突不予响应；

步骤7)设计更新模块，更新验证服务器C中的映射表，维护整个系统，设备A判定设备B为非法设备，向验证服务器发送一个标识字段以及设备B的参数信息，验证服务器收到从设备A到设备C的数据报后，解析标识字段，更新验证服务器C中关于B的映射表。

有益效果： 本发明提供了一种在IPv6环境防止针对地址重复检测攻击的方法。由本方法所产生的系统可以很好地维护系统的安全性，防止针对重复地址检测的攻击。主要用于在联网的环境下对设备的合法性进行验证，以防止非法设备针对地址重复检测攻击。下面我们给出具体说明。

    本方法的核心是引入了设备的身份认证技术，只有被认为是合法设备对DAD地址重复检测的的响应才会被，源设备响应。该身份认证机制是通过一个验证服务器实现的。该服务器发送加密的数据包给产生DAD响应的设备，通过观察它们对该数据包的解密能力来判断该设备的合法性。

    该方法的优点在于：

    ◆ 在互相通信的网络设备中引入了身份认证的机制，使得网络设备的使用更合法有序。

    ◆ 添加的验证服务器，维护了整个有效范围内的网络设备的信息，在网络发生问题时，可以方便网络管理员查询各设备的状态信息。该设备的功能还可以扩展，存储各注册设备的运行状态信息。

    ◆通过硬件的加密/解密机制使得验证更加安全、可靠，而且提高了验证速度。

    ◆网络内的各个设备之间都能进行轻量级计算，构成无所不在的计算环境。

附图说明

    图1是IPv6的DAD检测原理图。

图2是设备在服务器处的注册示意图。给出了在网络中该服务器覆盖范围内的网络设备，所需的初始化操作。

图3是本发明的体系结构图。显示了本发明中各个设备的结构，以及它们的功能。

图4是网络中节点身份验证过程示意图。显示了网络中的各个设备在身份验证过程中的消息交换过程。

图5是该方法所构造系统的执行流程图。显示了在使用该方法所构造的系统的时的操作流程，每一步执行的先后顺序。

具体实施方式

在此，我们在实验室构造了一个小型无线局域网，以此来搭建一个整体的防止DAD检测攻击的方案实例。首先，先改造该网络内的设备，为所有的入网设备添加加密/解密模块。该模块除了能进行硬件的加密与解密功能，还能产生随机数以便对其他设备进行验证。其中的每个设备配备编号。以实验室的服务器作为验证服务器（不妨设为C）添加到网络中。

其次在实验室的小型无线局域网内联网设备进行初始化，所有设备先在服务器上进行注册登记，并产生注册信息对应的映射表。假设一台未注册的设备加入网络中，不妨为其编号B。然后，为已注册的设备和未注册的设备手工分配一个相同的IPv6地址，使得它们的地址出现重复。

接着启动已注册设备和网络内的其他已注册设备进行通信（不妨为该已启动设备编号A）。设备A按照IPv6协议的规定进行DAD地址检测，然后在该系统内完成整个DAD检测和对其他设备的认证过程。

我们在该过程中只要以网络管理员的身份查看设备A设备B和验证服务器C之间的通信过程、历史通信数据、以及服务器中数据的变化就可以判断他们之间如何进行身份认证的。

之后我们可以改变设备B的合法性，让其在服务器中先注册然后再进行上述的实验过程后再观察结果。由结果可以看出该系统可以明确的区分注册设备和未注册设备在DAD重复地址检测中的合法性，并根据合法性做出接受还是拒绝发出地址重复信息的网络设备。

该系统还有可以扩展的功能，网络中的服务器可以存储更多的来自各网络设备运行状态的信息，维护整个网络。当网络发生故障时，网络管理员可以查看服务器端的日志信息、各设备的历史状态等信息及时找出网络故障发生的具体位置，并及时修复。