[发明专利]一种基于身份认证的防止重复地址检测攻击的方法

说明书

技术领域

   本发明提出了一种在IPv6 (Internet Protocol version 6，互联网协议第6版)网络地址重复检测中防止拒绝服务攻击的方法，属于互联网中IPv6安全技术领域。

技术背景

 在当前计算机技术大发展的步伐下，Internet经历了爆炸般的发展， 2011 年2 月，全球互联网名称与数字地址分配机构宣布基于IPv4(Internet Protocol version 4，互联网协议第4版)的最后一组IP 地址已经被分配，第一代互联网地址IPv4 的池子正式宣告枯竭。一方面是网络地址资源数量的限制，另一方面随着电子技术及网络技术的持续发展，越来越多的人和物都需要连入全球因特网。在这样的环境下，IPv6应运而生。IPv6的128位地址提供了几乎无尽的地址空间。这不但解决了网络地址资源数量的问题，同时也为除电脑外的设备连入互联网在数量限制上扫清了障碍。

IPv6与IPv4相比有很多优点如：1、地址空间变大，128位的网络地址提供了似乎取之不尽的地址，一劳永逸的解决了地址短缺问题。2、对移动性的良好支持，移动IP需要为每个设备提供一个全球惟一的IP地址，IPv4没有足够的地址空间可以为在Internet上运行的每个移动终端分配一个这样的地址。而移动IPv6能够通过简单的扩展，满足大规模移动用户的需求。这样，它就能在全球范围内解决有关网络和访问技术之间的移动性问题。3、IPv6内置的安全特性已经标准化，可支持对企业网的无缝远程访问。即使终端用户用“实时在线”方式接入企业网，这种安全机制也是可行的，而这种“实时在线”的服务类型在IPv4技术中是无法实现的。

然而即便如此，如同IPv4网络一样，IPv6网络同样面临着互联网中存在的各种各样的安全威胁，且攻击行为的特点有了新的变化。现在IPv6网络面临的安全威胁主要有：实施和部署方面的不足、应用层等其它层对IPv6网的威胁、IPv4/IPv6过渡时期的安全性问题、IPv6协议本身的安全漏洞。尤其是IPv6协议本身对拒绝服务攻击的抵御机制并不完善使得出现了很多针对其协议的攻击，如重定向拒绝服务攻击、重复地址检测攻击等。相比而言重复地址检测攻击中针对无状态地址自动配置的攻击更加容易，后果更加严重。在无状态自动配置机制中通过本地可用信息和路由发布的信息在不需要人工干预的情况下即可进行自动地址配置。这种机制在给用户带来方便性的同时也使得非法用户更容易接入网络。一个IPv6节点会对一个指定的IPv6地址进行地址检测，攻击者冒充该地址响应检测，使得该节点误以为地址发生重复而放弃该地址。下面简要介绍下重复地址检测的过程。

DAD（Duplicated Address Detection，重复地址检测）检测的过程：节点通信之前获得“暂时的”地址，为确定该地址的唯一性，多播发送“邻居请求报文”并请求节点返回其链路层地址，“邻居请求报文”的多播地址是从目标IP地址得到的请求节点多播地址。“邻居请求报文”中选项字段为源链路层地址选项。当目标主机接收到“邻居请求报文”后会根据其源地址和链路层地址来更新它自己的邻居缓存表。接着，目标节点向“邻居请求报文”的发送方发送一个单播的“邻居通告报文”。该“邻居通告报文”中包含目标链路层地址选项，当接收到来自邻居节点的“邻居通告报文”后，发送主机就会根据目标链路层地址选项中的信息，创建一个关于目标节点的新表项，以更新其邻居缓存表。这时若多次发送“邻居请求报文”之后收到的“邻居通告报文”中未发现目标主机的地址与源主机地址重复，则源主机的地址变为“首选的”地址，反之若发现地址重复则变为“废弃的”地址。DAD攻击指的是：在网络中的主机发出“邻居请求报文”后，网络中的攻击设备就会冒充该地址发送“邻居请求报文”或者响应“邻居通告报文”回应检测，使得主机误以为自己的地址不可用而导致拒绝服务攻击。

 

发明内容

    技术问题： 在IPv4地址枯竭之时，IPv6协议将取而代之。然而要放心的使用IPv6协议，首先要解决的就是安全性问题尤其是拒绝服务攻击问题。本发明的目的是为了弥补IPv6本身抵御拒绝服务攻击的不足，提供一种基于身份认证的防止重复地址检测攻击的方法，使得IPv6网络的使用更加高效、安全。在重复地址检测的过程中针对发出重复地址信息的网络设备进行身份验证，以确保该设备的可信性，从而避免非法设备或者恶意节点对源设备发动重复地址检测的拒

绝服务攻击。