一种基于身份认证的防止重复地址检测攻击的方法

摘要

本发明提供的一种基于身份认证的防止重复地址检测攻击的方法是一种在IPv6网络防止重复地址检测攻击的方案。用于解决在IPv6网络中的针对DAD检测的拒绝服务攻击。IPv6本身对抵御拒绝服务攻击的能力不是很强，本方法构造的系统由验证服务器、加密/解密模块、更新模块、映射存储模块等组成。这些模块可以通过简单的计算实现对响应DAD地址检测的入网设备进行身份认证，只有在得到身份认证后才能按照原IPv6协议中规定的操作执行，一旦身份认证失败则对响应DAD检测的设备不予回应。在完成一次认证之后及时更新验证服务器中的信息。有效地消除了通过非法入网设备对IPv6网络中DAD地址检测的攻击。

主权项

一种基于身份认证的防止重复地址检测攻击的方法，其特征在于该方法的实现步骤如下：步骤1)在验证服务器范围内，计算网络设备接收邻居设备“邻居通告报文”的平均时间Ta和验证服务器的处理时间Tb；步骤2)设计验证服务器：验证服务器包含了加密/解密模块、更新模块、映射存储模块；加密/解密模块的作用是实现与之通信的网络设备间通信的秘密性；更新模块是负责更新通信双方的密钥，并在周围网络设备发生变化时更新网络设备地址的映射表；映射存储模块是在验证服务器中保存网络中的注册设备地址和与之通话的密钥之间关系的映射表；步骤3)设计加密、解密模块附加在每个入网设备中；重复地址检测时登记的设备称为A，向其他设备广播一个“邻居请求报文”后，等待其邻居节点的响应报文，如果判定发生地址重复则启动加密模块，产生随机数附加在发生地址重复的地址信息中，并加密发送至验证服务器称为C，进行身份验证；假设网络中只有一个设备被判定地址重复记该设备为B，多个设备地址重复时与设备B的处理相同；数据部分为Eac(Randti||Addb)，其中Eac为设备A和验证服务器C之间共享的会话密钥进行的加密操作；Randti是设备A在时刻ti时产生的随机数；Addb为设备B的地址信息；其中地址重复在以下几种情况下判定：1、发送检测重复地址的“邻居请求报文”前，收到用于同一地址重复检测的“邻居请求报文”；2、在发送“邻居请求报文”后，收到的针对同一地址的重复地址检测的邻居请求报文NS比预期的多；3、发送地址重复检测的“邻居请求报文”后，收到针对同一地址的“邻居通告报文”；若上述三者不发生则无地址冲突，表明该地址可用，不需进行下面步骤就此结束，否则进行步骤4；步骤4)存储了每个已登记网络设备会话密钥映射表的验证服务器C收到数据后，从数据头部解析出地址，对照映射表找出与该设备通信的会话密钥解密数据部分可表示为：Dac(Eac(Randti||Addb))其中Dac为设备A与验证服务器C之间会话密钥的解密操作，解密之后得到地址冲突的目标地址以及与其所对应的会话密钥和随机数信息，验证服务器C将随机数减1，加密后发送至设备B，数据部分公式为：Ebc(Randti‑1)Ebc是设备B和验证服务器C之间会话密钥的加密操作；步骤5)发出地址重复检测的网络设备得到验证，发出地址重复检测的网络设备将会收到验证服务器的数据，利用其自身与验证服务器C之间的会话密钥，解密数据，公式为：Dbc(Ebc(Randti‑1))其中Dbc为设备B与验证服务器C之间会话密钥的解密操作；解密得到的随机数再减1得到Randti‑2，将其封装在“邻居通告报文”中再次响应A的“邻居请求报文”；步骤6)设备A接收设备B再次发出的“邻居通告报文”判断并做出决定；设备A接收到设备B再次传来的“邻居通告报文”，从中解析出设备B的数据部分信息，验证其中的随机数是否正确；若正确则设备A的DAD地址重复检测失败，将自己的“临时性”地址变成“废弃的”地址，若不正确或者不是在合理时间范围内不能收到设备B再次发出的“邻居通告报文”则默认该设备不合法，对设备B发出的地址冲突不予响应；步骤7)设计更新模块，更新验证服务器C中的映射表，维护整个系统，设备A判定设备B为非法设备，向验证服务器发送一个标识字段以及设备B的参数信息，验证服务器C收到从设备A到验证服务器C的数据报后，解析标识字段，更新验证服务器C中关于设备B的映射表。