本发明专利技术公开了IPv6无状态地址的处理方法和系统,预先选定安全参数和哈希函数,通过由安全参数和哈希函数标识所占位数确定的停止条件确定修饰值的最终取值,以确定最终生成的地址。还可从要验证的地址中提取安全参数标识、哈希函数标识、第一哈希函数输出;根据伴随所述地址的地址参数的数据和提取的所述哈希函数标识计算第一哈希函数输出,验证该第一哈希函数输出是否与提取的所述第一哈希函数输出一致;还根据所述地址参数的数据和提取的所述安全参数标识、哈希函数标识计算第二哈希函数输出,验证该第二哈希函数输出是否满足停止条件。本发明专利技术使生成的地址在不降低安全强度时表示多种哈希函数,并支持进一步基于所述哈希函数进行地址验证。
【技术实现步骤摘要】
一种IPv6无状态地址的处理方法和系统
本专利技术涉及通信领域,具体涉及一种IPv6(网络互联协议第六版,InternetProtocolversion6)无状态地址的处理方法和系统。
技术介绍
IPv6采用128比特的网络地址,提供了充足的地址空间和多种地址生成方法。IETF(互联网工程任务组,InternetEngineeringTaskForce)在RFC(请求意见文档,RequestForComments)4291中公布的最新版的“IPv6地址结构”中规范IPv6地址的所有128比特可以是无结构的;也可以由子网前缀和接口标识组成,或者在更复杂的情况下由全局路由前缀、子网前缀、接口标识组成。接口标识通常遵循ModifiedEUI-64(修改的64比特长的扩展的唯一标识符)格式,该格式的第6-7比特(从左到右且从0开始计数)分别为“u”、“g”标志位。接口标识可以从接口的IEEE(美国电气和电子工程师协会,InstituteofElectricalandElectronicsEngineers)EUI-64地址或IEEEMAC地址简单转换生成,也可以是随机的64比特(除了“u”、“g”标志位),例如RFC4941提出接口标识定期随机生成,其目的是保护主机的隐私。为了增强协议的安全性,尤其是防止地址欺骗,还有现有技术提出将公钥和整个IPv6地址绑定在一起,如主机标识协议(RFC5201)。更进一步地,“CryptographicallyGeneratedAddresses(密码生成地址,CGA)”(RFC3972)提出一种安全性更强地将公钥和IPv6地址绑定的方法,目前已经应用于IPv6的安全邻居发现协议(SecureNeighborDiscovery,SEND),移动IP协议(MobilityinIPv6,MIPv6)、多穴协议(SiteMultihomingbyIPv6Intermediation,Shim6)等。CGA地址的配置过程:要生成CGA地址,首先随机选择一个具有一定长度的修饰值的初始值,预先选定安全参数sec(3比特),接下来的操作包括如下两个过程:根据第二哈希函数输出和由安全参数单独确定的停止条件确定修饰值的取值;根据修饰值和公钥等确定第一哈希函数输出,从而确定最终CGA地址和相关CGA参数(通常称为地址参数)的值。具体的地址生成步骤如图1所示:步骤1A:串接修饰值、9个字节长的全0、公钥、扩展字段;步骤1B:计算步骤1A中串接输入第二哈希函数HASH2函数101后的输出,其中HASH2函数是截取前112比特所输出的SHA-1函数;步骤1C:检查哈希输出102是否满足停止条件,即输出的前16*sec比特是否为0;如果满足停止条件,取冲突次数为0,进入步骤1D;否则将修饰值的值增加1,继续步骤1A;步骤1D:串接修饰值、子网前缀、冲突次数、公钥、扩展字段;步骤1E:计算步骤1D中串接输入第一哈希函数HASH1函数107后的输出,其中HASH1函数是截取前64比特所输出的SHA-1函数;步骤1F:将HASH1输出的前3比特替换成sec的值,将HASH1输出的第6、7比特写为0,作为接口标识,将子网前缀和接口标识组合成IPv6地址,检查是否有地址冲突;如果存在地址冲突且冲突次数小于3,则将冲突次数增加1,继续步骤1D;如果不存在地址冲突且冲突次数小于3,则确定最终的CGA114,具体包含子网前缀113、安全参数111、固定的标志位112、和HASH1的部分输出;将子网前缀、公钥、扩展字段和最终选择的修饰值、冲突次数写入伴随CGA地址的CGA参数的数据结构。CGA地址的验证过程:给定一个CGA地址及其伴随的CGA参数,从CGA参数读取相应数据,包括修饰值、子网前缀、冲突次数、公钥、扩展字段。如果CGA参数的冲突次数不等于0,1,2则验证失败;如果CGA参数的子网前缀不等于CGA地址的前64比特则验证失败;否则按如下过程继续验证:根据从CGA参数读取的数据,计算第一哈希函数输出,验证是否和CGA地址中接口标识中的第一哈希函数输出一致;根据从CGA参数读取的数据和接口标识中的安全参数,计算第二哈希函数输出,验证是否满足停止条件。具体的验证步骤如图2所示:步骤2A:串接从CGA参数读取的修饰值、子网前缀、冲突次数、公钥、扩展字段;步骤2B:计算步骤2A中串接输入第一哈希函数HASH1函数107后的输出,其中HASH1函数是截取前64比特所输出的SHA-1函数;步骤2C:比较HASH1输出和接口标识是否相同(忽略前3比特和第6、7比特);如果不同,验证失败;否则进入步骤2D继续验证;步骤2D:串接修饰值、0、公钥、扩展字段;步骤2E:计算步骤2D中串接输入第二哈希函数HASH2函数101后的输出,其中HASH2函数是截取前112比特所输出的SHA-1函数;步骤2F:检查哈希输出102是否满足停止条件,即输出的前16*sec比特是否为0;如果满足停止条件,验证成功,否则验证失败。综上所述,要使用CGA地址增强协议的安全性,除了把IPv6地址用CGA地址替换外,还要伴随发送一个CGA参数,其中CGA参数包括子网前缀字段、公钥字段、扩展字段字段、修饰值字段、冲突次数字段。最终生成的CGA是64比特的子网前缀和64比特的接口标识的串接,其中接口标识是修饰值字段、子网前缀字段、冲突次数字段、公钥字段、扩展字段字段按上述顺序输入哈希函数的输出的前64比特,且第0-2比特被sec赋值、第6-7比特(也就是“u”、“g”)被0赋值。但是现有CGA地址的生成只规范了一种哈希函数,即SHA-1哈希函数,随着对哈希函数的研究进展,目前使用的哈希函数存在被攻破的威胁,于是提出了在CGA地址中增加表示哈希函数的标识。一种现有技术在CGA参数的扩展字段中增加表示所用哈希函数的标识,但是这样做会引起降级攻击,也就是CGA地址和CGA参数可以被替换成安全强度比较低的哈希函数。还有一种现有技术在CGA地址中增加表示所用哈希函数的标识,也就是在接口标识的除安全参数sec和“u”、“g”以外剩下的59比特中再占用若干位表示哈希函数,这样CGA地址中哈希函数的输出位数就减少了,而哈希函数的安全性和输出位数有正相关关系,因此这种现有技术将牺牲CGA的安全性。还有一种现有技术使用CGA地址中的接口标识的第0-2比特位表示哈希函数,由于这3位已经被安全参数sec占用,因此这3个比特位就有了双重含义,具体含义需要重新定义,在规范中给出了sec=0,1,2的定义(如图3所示):sec=0表示使用SHA-1函数且安全参数为0;sec=1表示使用SHA-1函数且安全参数为1;sec=2表示使用SHA-1函数且安全参数为2。这种技术可以表示的安全参数和哈希函数的组合只有8种,非常有限。可见,目前无法在不降低安全强度的同时表示多种哈希函数,导致IPv6地址不具有哈希函数敏捷性。
技术实现思路
有鉴于此,本专利技术的主要目的在于提供一种IPv6无状态地址的处理方法和系统,保证所生成的地址能够在不降低安全强度的同时表示多种哈希函数,使得所生成的地址具有哈希函数敏捷性;即便所采用的哈希函数被攻破后,也能够方便地替换为安全性更高的哈希函数。为达到上述目的,本发本文档来自技高网...
【技术保护点】
一种网络互联协议第六版IPv6无状态地址的处理方法,其特征在于,该方法包括:预先选定安全参数和哈希函数,选择修饰值的初始值并根据停止条件确定修饰值的最终取值;根据所选的上述参数确定最终生成的地址。
【技术特征摘要】
1.一种网络互联协议第六版IPv6无状态地址的处理方法,其特征在于,该方法包括:预先选定安全参数和哈希函数,选择修饰值的初始值并根据停止条件确定修饰值的最终取值;根据所选的安全参数、哈希函数和修饰值确定最终生成的地址;所述修饰值的初始值是随机数;并且,所述修饰值的取值从初始值开始变化,直至满足停止条件;所述停止条件与第二哈希函数输出、安全参数标识和哈希函数标识在所述地址中的占用位数均相关。2.根据权利要求1所述的方法,其特征在于,最终生成的所述地址中包含独立的安全参数标识、哈希函数标识、第一哈希函数输出;计算所述第一哈希函数输出时所应用的输入包括修饰值的最终取值。3.根据权利要求1或2所述的方法,其特征在于,该方法还包括:要验证生成的所述地址时,从该地址中提取安全参数标识、哈希函数标识、第一哈希函数输出;根据伴随所述地址的地址参数中的数据和提取的所述哈希函数标识,计算第一哈希函数输出,验证该第一哈希函数输出是否与提取的所述第一哈希函数输出一致;还根据所述地址参数的数据和提取的所述安全参数标识、哈希函数标识,计算第二哈希函数输出,验证该第二哈希函数输出是否满足停止条件。4.一种IPv6无状态地址的处理方法,其特征在于,该方法包括:从要验证的地址中提取安全参数标识、哈希函数标识、第一哈希函数输出;根据伴随所述地址的地址参数中的数据和提取的所述哈希函数标识,计算第一哈希函数输出,验证该第一哈希函数输出是否与提取的所述第一哈希函数输出一致;还根据所述地址参数的数据和提取的所述安全参数标识、哈希函数标识,计算第二哈希函数输出,验证该第二哈希函数输出是否满足停止条件;所述停止条件与第二哈希函数输出、安全参数标识和哈希函数标识在所述地址中的占用位数均相关。5.一种IPv6无状态地址的处理系统,其特征在于,该系统包括参数选择单元、地址生成单元;其中,所述参数选择单元...
【专利技术属性】
技术研发人员:周苏静,张瑞山,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。