[发明专利]提高地址冲突检测过程安全性的方法

说明书

技术领域

本发明涉及互联网技术领域，具体而言，本发明涉及提高地址冲突检测过程安全性的方法。

背景技术

随着IPv4协议下地址空间耗尽的危机逐渐加剧，能以最直接的方式提供更大地址空间，解决IPv4协议下地址空间耗尽问题的IPv6协议应运而生。IPv6协议下的可用地址在理论上是IPv4的2^96倍，而地址数量上如此巨大的差别也决定了IPv6协议下的地址分配方式势必拥有与IPv4不同的特点。

IPv6协议是下一代互联网的核心协议，他解决了IPv4协议所暴露的诸多缺陷，如地址稀缺、路由表庞大、对移动设备支持不足等。IPv6协议的一个突出特点是支持网络节点的地址自动配置，这极大地简化了网络管理者的工作。IPv6协议下无状态地址自动配置的使用是与IPv4不同的一大特征。无状态地址自动配置的最大特点在于由主机本身、而不是其他主体或固定机制来决定一个主机的全球单播IP地址，它大大缩短了配置一个地址的用时。快速、便捷、即插即用，这些不可替代的特质使无状态地址分配方式成为IPv6协议下的各种地址分配方式中应用极为广泛、占有重要地位的一种。

在无状态地址自动配置过程中，解决地址冲突的问题，采用的是基于ND协议(邻居发现协议)的重复地址检测机制。该机制完全基于地位平等的两主机(请求者与应答者)之间的自发沟通，如果两主机中的一方是恶意的，便可以不受任何约束地进行非法操作，因此是具有很严重安全隐患的。主要包括地址冲突隐瞒、地址冲突谎报、ARP欺骗三种类型的恶意操作。

在不破坏目前IPv6协议下无状态地址自动配置方式便捷、迅速的特点为前提，寻找有效方法消除目前无状态地址自动配置所引发的地址冲突隐瞒、地址冲突谎报、ARP欺骗等安全隐患，提高无状态地址自动配置的安全性具有重要意义。

因此，有必要提出一种有效的技术方案，以解决目前IPv6协议下无状态地址自动配置的提高地址冲突检测过程安全性问题。

发明内容

本发明的目的旨在至少解决上述技术缺陷之一，特别通过在子网内加入中立服务器，来解决Ipv6网络无状态地址自动配置过程中可能出现的地址冲突隐瞒、地址冲突谎报、ARP欺骗等安全隐患的方案，实现提高地址冲突检测过程安全性问题。

为了达到上述目的，本发明的实施例提出了一种提高地址冲突检测过程安全性的方法，包括以下步骤：

子网中的主机在冲突检测的过程中，中立服务器接收所述主机发出重复地址检测DAD信息；

所述中立服务器记录更新的所述DAD信息，根据当前使用中的地址信息进行冲突判断并发出地址冲突公告；

子网中的主机在地址解析的过程中发出地址解析报文，所述中立服务器根据本地存储的地址信息判断所述主机使用的IP地址是否合法。

本发明提出的上述方案，通过在子网内加入中立服务器，来解决Ipv6网络无状态地址自动配置过程中可能出现的地址冲突隐瞒、地址冲突谎报、ARP欺骗等安全隐患的方案，实现提高地址冲突检测过程安全性问题。本发明提出的上述方案，不破坏目前IPv6协议下无状态地址自动配置方式便捷、迅速的优势。此外，本发明提出的上述方案，对现有系统的改动很小，不会影响系统的兼容性，而且实现简单、高效。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为本发明实施例中立服务器部署示意图；

图2为本发明实施例提高地址冲突检测过程安全性的方法的流程图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

为了实现本发明之目的，本发明提出了一种提高地址冲突检测过程安全性的方法，包括以下步骤：子网中的主机在冲突检测的过程中，中立服务器接收所述主机发出重复地址检测DAD信息；所述中立服务器记录更新的所述DAD信息，根据当前使用中的地址信息进行冲突判断并发出地址冲突公告；子网中的主机在地址解析的过程中发出地址解析报文，所述中立服务器根据本地存储的地址信息判断所述主机使用的IP地址是否合法。