IPv6网络中基于随机无状态地址分配策略的点对点匿名通信方法,属于互联网技术领域。本发明专利技术基于葱头路由匿名通信机制通过改进IPv6地址生成算法,利用巨大的IPv6地址空间,周期性地变换节点IPv6地址,避免了因IPv6地址标识而导致的隐私泄漏;通过葱头路由机制来保证IPv6地址的跨网段隐藏以及数据的加密。该方法可以明显提高匿名通信系统的匿名性,并且该系统的通信效率和兼容性都没有减弱。本发明专利技术优点在于:(1)明显提高匿名通信系统的匿名性;(2)系统的通信效率和兼容性都没有减弱;(3)较强的通用性。本发明专利技术能够为未来互联网的应用提供多种有效的安全通信技术,同时具有良好的可扩展性,能够适应未来互联网应用发展所带来的要求。
【技术实现步骤摘要】
属于互联网技 术领域,尤其涉及下一代互联网通信领域的技术。
技术介绍
匿名通信的主要目的是在通信双方的通信过程中隐藏双方的关联关系,从而保护 通信双方的隐私。匿名通信的基本思想是利用多个节点的逐跳转发来隐藏真实通信双方的 关联关系,并且通过利用各个节点的密钥对转发内容进行多层加密,使各个中间节点只能 知道自己的前驱节点和后继节点,而无法获得真实通信双方的信息。最初的匿名通信采用 公钥加密的思想,但是由于加密效率的低下并没有被广泛应用。 随着葱头路由等采用对称密钥的匿名通信机制的实现,匿名通信的实用性大大增 强,并出现了很多匿名通信机制,提高了匿名通信系统的安全性。但是,基于IP追踪的时间 关联攻击等仍然对于这些机制有效,这是低延时系统所无法避免的攻击手段。在这一过程 中,追查到的任一节点都是以IP地址为标识。由于在IPv4网络中,主机的IP地址可以认 为在较长时间内保持不变,因此在整个攻击分析过程中,利用IP地址作为主机标识是可靠 的:追查到主机的IP地址,即可认为追查到了主机。因此在匿名通信过程中IP地址的长时 间固定成为暴露个人隐私的一个重要原因。解决该问题的一个直观方法是定时更换IP地 址。但是在IPv4环境下,频繁更换IP地址是不可行的,因为IP地址空间非常有限,如果每 个主机主动地频繁更换IP地址,可能会造成同一局域网段内出现大量的IP地址冲突,从而 导致通信效率的下降。在IPv6网络环境中,一个网段所拥有的IP地址空间要远远大于IPv4环境下的网 络,这就为主机定时更换IP地址提供了可能。目前有一种利用哈希算法来产生随机无状态 IPv6地址的方案,该方案可以实现IP地址的伪随机化。但是由于该方案本身并不是为了配 合匿名通信而设计,因此在参数设置等方面并不适些困难。而且,单纯的IP地址变换并不 能实现通信的匿名,这是由于攻击者依然可以通过通信内容对通信双方进行关联,而且地 址变换仅能局限在一个局域网段的范围内,攻击者仍然可以比较简单地进行追踪。针对以上问题,本专利技术结合现有葱头路由机制以及IPv6下的地址分配机制,实现 了一种在IPv6环境下的点对点匿名通信方法。该方法一方面利用IPv6的广泛地址空间来 实现主机地址的定时更新,另一方面通过引入葱头路由机制来保证IPv6地址的跨网段隐 藏以及数据的加密。通过两种机制的互相配合,可以明显地提高系统的匿名性,很好地实现 隐蔽通信的目的,充分保护用户的隐私安全。
技术实现思路
本专利技术的目的在于:提供一种IPv6网络中基于随机无状态地址分配策略的点对 点匿名通信方法,使得在不破坏IPv6端到端特性的条件下很好地实现隐蔽通信的目的,充 分保护用户的隐私安全,提高IPv6网络的安全性。 本专利技术的技术方案特征在于,所述方法依次含有以下步骤: 步骤(1),无状态随机IPv6地址的生成与更新: 步骤(1. 1),生成初始IPv6地址。通过IPv6地址分配服务器为节点A生成一个 128位的初始IPv6地址; 步骤(1. 2),保存IPv6前缀地址。IPv6地址中,前64位为网络地址,需要保持不 变,后64位为主机地址,可以改变。将这个128位的IPv6地址分为高低64位两部分,将高 64位地址HIP作为地址前缀保存; 步骤(1.3),生成新的随机IPv6地址以及下一轮更新IPv6地址的种子。通过随机 函数将低64位的主机地址映射为一个128位的IPv6地址,并将这个128位值也分为高低 两个64位的部分。其中高64位与步骤(1.2)中保存的地址前缀执行连接操作,生成一个 新的128位IPv6地址。同时,保存低64位作为种子Sed,用于下一轮地址更新操作; 步骤(1.4),无状态随机IPv6地址的更新。当所生成的地址过期时,利用步骤 (1. 3)中保存的种子值Sed再次通过随机函数映射成一个128位的IPv6地址值,并采用相 同的方法产生新的IPv6地址,并且保存低64位MD5值作为新的种子; 步骤(1.5),重复步骤(1.4)直到节点A主机下线或停止该功能;步骤(2),节点标识与邻居发现; 步骤(2. 1),节点标识。对于一个P2P系统来讲,任何一个节点既是客户端又是服 务器,客户端主动发起连接请求,服务器端被动等待客户端的连接请求。作为客户端,节点 应该尽量隐藏个人身份,而作为服务器,节点应该让其他节点容易找到。为了达到这个目 的,为每个节点至少同时配置两个IP地址:服务器IP地址SIP和客户端IP地址CIP。月艮 务器IP地址SIP为长期不变的IP地址,用于接受其他节点的接入请求;客户端IP地址 CIP因为匿名性的要求,需要周期更新的随机IP地址,用于节点主动向外部发出连接请求。 对于任何一个节点,其他主机仅知道他的服务器IP地址SIP,而无法获知其客户端IP地址 CIP。由此,如果采用IP地址作为节点标识,同一主机则会被看作是不相关的两台主机,从 而使这种标识变得模糊; 步骤(2. 2),邻居发现。初始化时,每个节点配置有某个邻居的服务器IP地址SIP。 如图2所示,执行邻居发现时,节点A会将自己已知的邻居节点通过可变的客户端IP地址 CIP广播给自己的邻居B和C,同时A的邻居节点B和C也会以同样的方式做同样的广播, 从而实现邻居节点信息的交互,使每个节点获得更多的邻居,实现邻居发现功能。由于在广 播过程中采用的是可变的客户端IP地址CIP,因此不会泄漏节点的隐私信息。 步骤(3),消息转发。执行步骤如下: 步骤(3. 1),当一个节点需要进行匿名通信时,节点首先从自己的邻居节点中随机 选择若干节点,并且通过可变的客户端IP地址CIP与相关节点协商会话密钥。 步骤(3. 2),如图3所示,假设有3个节点A、B、C,会话密钥为KA,KB,KC。节点依 次使用3个密钥对待发送消息Μ进行加密,S卩{B{C{M}KC}KB}KA。 步骤(3. 3),当转发消息时,首先将消息Μ发送给节点A,节点A利用会话密钥KA 解密后得知下一跳为B,则将解密后的内容转发给节点B; 步骤(3.4),节点B利用KB解密后同样将消息发送给C,C解密后发现为明文,则 将消息直接转送给目标主机。在这一过程中,虽然节点A了解初始节点,但任意节点仅知道 前驱和后继节点,并无法获得实际的匿名通信双方; 步骤(3. 5),为了保证消息的完整性,还需要为每一跳加密数据计算摘要; 步骤(3. 6),为了避免过长数据传输的不可靠,将较长数据全部分割为512字节的 消息进行依次转发。 本专利技术之技术方法的有益效果: (1)增强主机在IPv6环境下的匿名性,节点部署本专利技术所开发的匿名通信系统 后,可以方便快捷地实现端到端的匿名通信与加密通信功能,而中转节点及其他节点无法 获取通信双方的地址信息以及通信内容,有效保护了用户的隐私; (2)兼容现有IPv6当前第1页1 2 3 本文档来自技高网...
【技术保护点】
IPv6网络中基于随机无状态地址分配策略的点对点匿名通信方法,其特征在于,所述方法依次含有以下步骤:步骤(1),无状态随机IPv6地址的生成与更新:步骤(1.1),生成初始IPv6地址,通过IPv6地址分配服务器为节点A生成一个128位的初始IPv6地址;步骤(1.2),保存IPv6前缀地址,IPv6地址中,前64位为网络地址,需要保持不变,后64位为主机地址,可以改变,将这个128位的IPv6地址分为高低64位两部分,将高64位地址HIP作为地址前缀保存;步骤(1.3),生成新的随机IPv6地址以及下一轮更新IPv6地址的种子,通过随机函数将低64位的主机地址映射为一个128位的IPv6地址,并将这个128位值也分为高低两个64位的部分,其中高64位与步骤(1.2)中保存的地址前缀执行连接操作,生成一个新的128位IPv6地址,同时,保存低64位作为种子Sed,用于下一轮地址更新操作;步骤(1.4),无状态随机IPv6地址的更新,当所生成的地址过期时,利用步骤(1.3)中保存的种子值Sed再次通过随机函数映射成一个128位的IPv6地址值,并采用相同的方法产生新的IPv6地址,并且保存低64位MD5值作为新的种子;步骤(1.5),重复步骤(1.4)直到节点A主机下线或停止该功能;步骤(2),节点标识与邻居发现;步骤(2.1),节点标识,对于一个P2P系统来讲,任何一个节点既是客户端又是服务器,客户端主动发起连接请求,服务器端被动等待客户端的连接请求,作为客户端,节点应该尽量隐藏个人身份,而作为服务器,节点应该让其他节点容易找到,为每个节点至少同时配置两个IP地址:服务器IP地址SIP和客户端IP地址CIP,服务器IP地址SIP为长期不变的IP地址,用于接受其他节点的接入请求;客户端IP地址CIP因为匿名性的要求,需要周期更新的随机IP地址,用于节点主动向外部发出连接请求,对于任何一个节点,其他主机仅知道他的服务器IP地址SIP,而无法获知其客户端IP地址CIP,由此,如果采用IP地址作为节点标识,同一主机则会被看作是不相关的两台主机,从而使这种标识变得模糊;步骤(2.2),邻居发现,初始化时,每个节点配置有某个邻居的服务器IP地址SIP,如图2所示,执行邻居发现时,节点A会将自己已知的邻居节点通过可变的客户端IP地址CIP广播给自己的邻居B和C,同时A的邻居节点B和C也会以同样的方式做同样的广播,从而实现邻居节点信息的交互,使每个节点获得更多的邻居,实现邻居发现功能,由于在广播过程中采用的是可变的客户端IP地址CIP,因此不会泄漏节点的隐私信息;步骤(3),消息转发,执行步骤如下:步骤(3.1),当一个节点需要进行匿名通信时,节点首先从自己的邻居节点中随机选择若干节点,并且通过可变的客户端IP地址CIP与相关节点协商会话密钥;步骤(3.2),如图3所示,假设有3个节点A、B、C,会话密钥为KA,KB,KC,节点依次使用3个密钥对待发送消息M进行加密,即{B{C{M}KC}KB}KA;步骤(3.3),当转发消息时,首先将消息M发送给节点A,节点A利用会话密钥KA解密后得知下一跳为B,则将解密后的内容转发给节点B;步骤(3.4),节点B利用KB解密后同样将消息发送给C,C解密后发现为明文,则将消息直接转送给目标主机,在这一过程中,虽然节点A了解初始节点,但任意节点仅知道前驱和后继节点,并无法获得实际的匿名通信双方;步骤(3.5),为了保证消息的完整性,还需要为每一跳加密数据计算摘要;步骤(3.6),为了避免过长数据传输的不可靠,将较长数据全部分割为512字节的消息进行依次转发。...
【技术特征摘要】
【专利技术属性】
技术研发人员:刘武,唐再良,文永革,赵永驰,
申请(专利权)人:绵阳师范学院,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。