法律状态公告日
法律状态信息
法律状态
2015-05-13
授权
授权
2011-02-16
实质审查的生效 IPC(主分类):H04L29/12 申请日:20100830
实质审查的生效
2010-12-29
公开
公开
技术领域
本发明属于互联网技术领域,尤其涉及互联网协议版本6(IPv6)无状态地址配置(SLAAC)的技术。
背景技术
IPv6协议作为下一代互联网的主要协议被广泛的使用。SLAAC协议为IPv6主机提供了无状态、自动的地址配置。地址冲突检测(DAD)机制在SLAAC协议中提供了主机自产生地址是否唯一的检测。
然而在公开访问网络中,攻击者可以利用DAD机制,通过不断回复探测响应的方式,恶意节点直接攻击暴露在恳求报文中的地址,使得其它主机无法正常的配置地址;同时DAD机制无法避免检测包丢失时,主机使用已经在使用中的地址,造成地址使用冲突。
此外,地址解析和地址不可达探测过程中也存在着同样的安全和可靠性问题。
发明内容
本发明的目的旨在至少解决现有技术中的上述问题之一。
为此,本发明的实施例提出一种安全的冲突地址检测、地址解析和地址不可达探测方法,来提高IPv6网络中无状态地址自动配置的可靠性、可用性。
根据本发明的一个方面,本发明实施例提出了一种冲突地址检测的方法,应用在IPv6协议栈的网络节点上,所述方法包括以下步骤:根据请求节点生成的IP地址进行单向哈希值计算;从所述请求节点将所述哈希值公布到同一链路的其他节点上;配置有相同哈希值的IP地址的节点向所述请求节点响应其对应的IP地址;以及所述请求节点根据响应的IP地址进行冲突地址检测。
根据本发明的另一方面,本发明的实施例提出一种地址解析/地址不可达探测的方法,应用在IPv6协议栈的网络节点上,所述方法包括以下步骤:根据请求节点需要解析或探测的IP地址进行单向哈希值计算;从所述请求节点将所述哈希值公布到同一链路的其他节点上;配置有相同哈希值的IP地址的节点向所述请求节点响应其对应的IP地址;以及所述请求节点根据响应的IP地址相应地进行地址解析或地址不可达探测。
根据本发明的再一方面,本发明的实施例提出一种冲突地址检测的系统,应用在IPv6协议栈的网络节点上,所述系统包括请求节点和响应节点,所述请求节点,对生成的IP地址进行单向哈希值计算;将所述哈希值公布到同一链路的其他节点上;以及根据响应的IP地址进行冲突地址检测;所述响应节点,配置有与所述请求节点相同哈希值的IP地址,在接收到所述请求节点的公布消息后向所述请求节点响应其对应的IP地址。
根据本发明的又一方面,本发明的实施例提出一种地址解析/地址不可达探测的系统,应用在IPv6协议栈的网络节点上,所述系统包括请求节点和响应节点,所述请求节点,对需要解析或探测的IP地址进行单向哈希值计算;将所述哈希值公布到同一链路的其他节点上;以及根据响应的IP地址相应地进行地址解析或地址不可达探测;所述响应节点,配置有与所述请求节点相同哈希值的IP地址,在接收到所述请求节点的公布消息后向所述请求节点响应其对应的IP地址。
根据本发明的另一方面,本发明的实施例提出一种请求节点,包含于IPv6协议栈的网络节点上,所述请求节点包括:地址生成模块,用于生成随机的IP地址;计算模块,用于对生成的IP地址进行单向哈希值计算;公布模块,将所述哈希值公布到同一链路的其他节点上;以及检测模块,根据响应的IP地址进行冲突地址检测。
根据本发明的再一方面,本发明的实施例提出一种请求节点,包含于IPv6协议栈的网络节点上,所述请求节点包括:计算模块,用于对需要解析或探测的IP地址进行单向哈希值计算;公布模块,将所述哈希值公布到同一链路的其他节点上;以及解析/探测模块,根据响应的IP地址相应地进行地址解析或地址不可达探测。
根据本发明的另一方面,本发明的实施例提出一种响应节点,包含于IPv6协议栈的网络节点上,所述响应节点配置有与进行地址冲突检测/地址解析/地址不可达探测的请求节点具有相同哈希值的IP地址,所述响应节点包括:响应模块,在接收到所述请求节点的公布消息后向所述请求节点响应其对应的IP地址。
本发明提供了一种安全的基于哈希计算和拉模式的IPv6冲突地址检测、地址解析和地址不可达探测方法和系统。本发明可以保证在同一网络中的恶意主机无法通过不断回复探测响应的方式使主机无法正常配置地址,解析地址和进行地址不可达检测。本发明安全的冲突地址检测、地址解析和地址不可达探测方法可以提高IPv6网络中,无状态地址自动配置的可靠性、可用性。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明实施例的冲突地址检测的方法流程图;
图2为本发明实施例的地址解析/地址不可达探测的方法流程图;
图3为本发明实施例的冲突地址检测的系统的结构方框图;
图4为本发明实施例的地址解析/地址不可达探测的系统结构方框图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本发明的安全冲突地址检测、地址解析和地址不可达探测方法可以应用在IPv6协议栈的网络节点上,包含主机、路由器等设备,用来提高IPv6网络中无状态地址自动配置的可靠性、可用性。
参考图1,该图为本发明实施例的冲突地址检测的方法流程图。
如图所示,首先根据请求节点生成的IP地址进行单向哈希值计算,获取一个确定长度的哈希值(步骤102)。
然后,从请求节点将得到的哈希值公布到同一链路的其他节点上,请求具有相同哈希值的已经使用的地址(步骤104)。
其他处于同一链路的节点在收到请求结点公布的消息之后,如果配置了具有相同的哈希值的地址,则向请求节点回复这些地址,即配置有相同哈希值的IP地址的节点向请求节点响应其对应的IP地址(步骤106)。
请求节点在接收一段时间后,检查所需要配置的地址(即生成的地址)是否存在于接收到的响应地址中,从而根据响应的IP地址进行冲突地址检测(步骤108)。
具体地,在响应的IP地址中存在与请求节点生成的IP地址相同的地址时,请求节点放弃使用生成的IP地址(步骤110),进行下一次地址生成和冲突检测。
如果在响应的IP地址中不存在与请求节点生成的IP地址相同的地址时,请求节点使用生成的IP地址进行配置(步骤112)。
参考图2,该图为本发明实施例的地址解析/地址不可达探测方法流程图。
如图所示,如同图1的冲突地址检测的方法,首先根据请求节点需要解析或探测的IP地址进行单向哈希值计算(步骤202),这里解析或探测的IP地址可以从上层传递的信息获取,或其他节点传递的信息获取。
然后,从请求节点将计算的哈希值公布到同一链路的其他节点上,请求具有相同哈希值的已经使用的地址(步骤204);
如果一个节点配置了具有相同哈希值的地址,将向请求节点回复该地址,即配置有相同哈希值的IP地址的节点向请求节点响应其对应的IP地址(步骤206);以及
请求节点在接受一段时间的报文之后,检查接收到的响应报文的目标地址中是否存在相应的需要请求的地址,并根据响应的IP地址相应地进行地址解析或地址不可达探测(步骤208)。
在响应的IP地址中存在与请求节点需要解析/探测的IP地址相同的地址时,请求节点对应完成了地址的解析或地址的不可到达探测(步骤210);
在响应的IP地址中不存在与请求节点需要解析/探测的IP地址相同的地址时,请求节点解析地址失败或者探测的地址不可到达(步骤212)。
此外,图3还给出了本发明实施例的冲突地址检测的系统的结构方框图,应用在IPv6协议栈的网络节点上。
如图所示,该系统包括请求节点10和响应节点20、30等等。其中请求节点10包括地址生成模块12、计算模块14、公布模块16和检测模块18,地址生成模块12用于生成随机的IP地址;计算模块14用于对生成的IP地址进行单向哈希值计算;公布模块16将计算的哈希值公布到同一链路的其他节点上;以及检测模块18根据响应的IP地址进行冲突地址检测。
响应节点20、30是与请求节点10处于同一链路的节点中、配置有与请求节点10所公布哈希值相同的IP地址的节点,响应节点可以有一个或多个。在接收到请求节点10的公布消息后,响应节点20、30向请求节点10响应其对应的IP地址。
如图3所示,响应节点20、30在接收到请求节点10的公布消息后,可以分别通过其包含的响应模块22、32,向请求节点10响应其对应的IP地址。
请求节点10在接收一段时间之后,通过检测模块18检查所需要配置的地址是否存在于接收到的响应地址中。在响应的IP地址中存在与地址生成模块12生成的IP地址相同的地址时,检测模块18检测该生成IP地址存在地址冲突,则请求节点10放弃使用生成的IP地址,并且进行下一次地址生成和冲突检测。
如果在响应的IP地址中不存在与请求节点生成的IP地址相同的地址时,检测模块18检测该生成IP地址不存在地址冲突,请求节点10则使用地址生成模块12生成的IP地址进行配置。
部署有该地址冲突检测系统的系统在进行地址冲突检测时,通过计算IP地址的哈希值并公布哈希值的方法检测地址冲突。拥有相同哈希值IP地址的主机返回地址冲突报文。发起主机根据响应包中的IP地址判断是否发现地址冲突。
图4给出了本发明实施例的地址解析/地址不可达探测的系统的结构方框图,该系统应用在IPv6协议栈的网络节点上。
如图所示,该系统包括请求节点40和响应节点50、60等等。其中请求节点40包括计算模块44、公布模块46和检测模块48。
与图3实施例的冲突地址检测的系统相比,该系统省去了地址生成模块12,因为这里解析或探测的IP地址是非请求节点40的地址,可以从上层传递的信息获取,或其他节点传递的信息获取。
计算模块44用于请求节点40需要解析或探测的IP地址进行单向哈希值计算;公布模块46将计算的哈希值公布到同一链路的其他节点上;以及检测模块48根据响应的IP地址进行冲突地址检测。
同样地,响应节点50、60是与请求节点40处于同一链路的节点中、配置有与请求节点40所公布哈希值相同的IP地址的节点,响应节点可以有一个或多个。在接收到请求节点40的公布消息后,响应节点50、60向请求节点40响应其对应的IP地址。
如图4所示,响应节点50、60在接收到请求节点40的公布消息后,可以分别通过其包含的响应模块52、62,向请求节点40响应其对应的IP地址。
请求节点40在接收一段时间之后,通过检测模块48检查接收到的响应报文的目标地址中是否存在相应的需要请求的地址,并根据响应的IP地址相应地进行地址解析或地址不可达探测。
具体地,检测模块48在检测响应的IP地址中存在与请求节点40需要解析/探测的IP地址相同的地址时,请求节点40对应完成了地址的解析或地址的不可到达探测;
检测模块48在检测响应的IP地址中不存在与请求节点40需要解析/探测的IP地址相同的地址时,请求节点40解析地址失败或者探测的地址不可到达。
部署有该地址解析/地址不可达探测系统的系统在地址解析或者地址不可达探测时,主机计算并公布IP地址哈希值,拥有相同哈希值IP地址的主机回复IP地址。发起主机根据响应包中的IP地址判断结果。
本发明提供了一种安全的基于哈希计算和拉模式的IPv6冲突地址检测、地址解析和地址不可达探测方法和系统。
本发明可以保证在同一网络中的恶意主机无法通过不断回复探测响应的方式使主机无法正常配置地址,解析地址和进行地址不可达检测。本发明安全的冲突地址检测、地址解析和地址不可达探测方法可以提高IPv6网络中,无状态地址自动配置的可靠性、可用性。
此外,本发明相对与其它同类型方案,具有无需复杂的密码学运算,实现和部署简单的特点。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同限定。
机译: 用户注册地址解析例程以提供地址解析过程的系统,数据链接提供者接口使用该系统来解决地址冲突
机译: 检测地址解析协议攻击的方法和使用该方法的系统,能够检测地址解析协议分组假攻击和IP分组伪攻击
机译: 地址解析协议填充攻击检测系统,能够使用地址解析协议的弱点来检测外部攻击