本发明专利技术公开了一种提升IPv6协议数据包安全性的方法,该方法包括在IPv6目标选项包头扩展身份标识选项,该选项包含选项类型、选项长度、选项版本、保留字段、自治域号、用户身份标识、时间戳、数字签名等字段,并公开了各字段的意义、数据生成方式、以及实施方法等。本方法实现了在用户发送数据包中添加身份标识,防止身份标识的假冒、篡改以及逆向推导,总体机制有利于增强互联网可追责性,减少互联网假冒攻击行为的产生,对构建安全可信的互联网具有积极意义。
【技术实现步骤摘要】
本专利技术涉及IPv6协议及网络安全领域,特别是涉及一种携带用户真实身份标识的IPv6目标选项包头扩展方法。
技术介绍
随着近年来互联网网络规模的急剧膨胀、上层应用的不断丰富,网络结构和功能日趋复杂,网络的管控能力也日趋减弱,互联网安全形势也更加严峻,这使得互联网可追责性问题成为互联网急待解决的问题之一,其意义在于发生网络安全事件后,可以通过攻击数据包样本从而确定发送责任人。当前互联网体系架构中,仅能支持根据数据包的源地址确定发送方的来源,但仅根据IP源地址来推断发送者的身份的方式是不充分的,这是因为:(1)IP地址与用户身份仅具有弱关连性,仅从数据包的源地址出发,断定其发送者的身份是不可取的;(2)互联网体系架构本身并无源地址认证机制,路由器也仅根据目标地址进行转发,使得数据包源地址可以被任意修改;(3)路由器对数据包的转发是没有状态的,即路由器并不保存数据包转发的情况,这使得数据包的转发路径没有追溯性;(4)IP地址的短缺以及IPv4/IPv6过渡需要等情况,在NAT(NetworkAddressTranslation)机制支持下,IP源地址在到达目的网络时已不断被转换;(5)互联网自治域间拓扑连接复杂,即使了解数据包在某一区域的转发路径,仍无法确定其整个转发路径以确定真实发送源;(6)最后,自治域与其拥有的IP前辍列表时有变动,同时该映射关系在BGP协议中还有收敛延迟;以上这些问题使得数据包携带发送者身份标识具有积极的意义。目前已有方案对数据包标识用户或主机的身份做出了研究,这些研究主要分为地址加密方案、语义分离方案以及其他创新方案。GSE方案提出将IPv6地址的前64位作为路由标识,后64位作为主机身份标识。此方案为最早提出IP地址携带主机身份标识的方案,但该方案最终没有被IETF采用作为IPv6标准。在现有IPv6标准的SLAAC(StatelessAddressAuto-Configuration)地址分配模式下,主机将自身48位网卡物理地址(MAC)转换为IEEE-EUI64位标识符后,与接入路由器使用路由器通告(RA)消息的64位路由前辍相结合形成128位IPv6地址,故其地址的后64位可作为主机标识,但是该机制无法解决源地址假冒的问题。CGA,TrueIP以及AIP等方案通过对源地址对称加密的方式,将数据包中的IP源地址字段用加密后的数据取代,最后在网络出口设备上对该地址予以检验和还原,从而达到了源地址验证的目的。然而由于公共密钥的共享问题,使得这些方案适用的范围受到了限制。IPSec是一种端到端加密认证方案,其主要通过认证包头(AuthenticatedHeader)、对称加密算法以及ISAKMP协议进行密钥协商,从而实现端到端的用户认证,但该方案无法阻止中间人攻击(man-in-the-middleattack)手段,也无法支持第三方判别与审计。SPM是一个自治系统到自治系统的解决方案,每一对互相通信的自治域对均拥有对方的临时密钥并进行源地址验证,但方案无法克服不相邻的自治域间、中间节点进行假冒和重放的攻击行为。为了解决IP地址主义过载、解耦IP地址所包含的位置(LOC)与身份(ID)语义,LISP等方案均采用在IP层上建立身份标识层,同时对EIDs(EndpointIdentifiers)与RLOCs(RoutingLocators)标识进行映射解析,达到语义分离以及缓解路由爆炸的问题;之后的LISP+ALT、LISP+DHT、AMIA,HIP等方案采用在IP层上建立身份标识层的做法进行IP双重语义分离,但这些方案均需要额外的身份、位置映射系统或机机,才能保证分组的可达性,并且实现开销及部署难度都较大。还有如RBA在内的创新方案,将现有TCP/IP架构完全推倒,提出基于身份角色的体系架构(Role-BasedArchitecture)。该架构将现有的协议栈改为协议堆的方式,将层级架构转变为扁平架构,使每个节点赋予一个唯一的角色ID,并在数据包头中填入接收的角色ID,路由器则根据目标角色进行转发。因此,RBA具有灵活性、可扩展性、可审计性等优点,但实现开销较大、且处理开销效率不如IP协议,同时还会增加系统和用户理解的复杂性。最后APIP方案通过建立域内可信担保代理,在验证用户身份后,在数据包发送时对其源地址用可信代理的IP地址予以替换,同时在数据包接收时再进行相应的转发。其优点是不仅可以对数据包进行真实性担保、对用户的数据流的隐私予以保护,还可对用户数据流进行灵活地控制,但该方案并没有解决源地址假冒的问题,同时可信代理实际已成为一个NAT设备,在大规模并发请求下其可能成为故障瓶颈点。
技术实现思路
本专利技术的主要目的在于,提出一种提升IPv6协议数据包安全性的方法,使数据包能够携带发送者用户真实身份标识,同时防止身份标识的假冒与篡改,并支持第三方审计与验证。本专利技术提供了一种提升IPv6协议数据包安全性的方法,包含如下步骤:A1.设备根据数据包的IP源地址匹配用户身份;A2.对身份匹配成功的用户数据包扩展身份标识选项并填充字段数据;A3.更新数据包相关字段。可选的,在如上的步骤A1之前,还可以进行步骤A0:排除不适合扩展身份标识选项的数据包。优选地,所述步骤A2包括在IPv6目标选项包头扩展身份标识选项。进一步优选地,所述身份标识选项包括选项类型字段、选项长度字段、选项版本字段、保留字段、自治域号字段、用户身份标识字段、时间戳字段、数字签名字段。更进一步地优选,所述选项类型字段表示身份标识选项的类型,8位,赋值为“00011111”;选项长度字段表示身份标识选项的总长度,8位,最大长度≤64字节;选项版本字段表示身份标识选项的版本,4位,赋值为“0001”;保留字段表示用于将来可能需要补充的数据,8位,赋值“00000000”;自治域号字段表示用户所在的自治域号,32位,旧的16位自治域号在前面补齐16位0成为32位;用户身份标识UID字段用于指示用户标识,64位;时间戳字段表示身份标识选项的创建时间,64位;数字签名字段为用户私钥对数据包的数字签名,长度取决于所采用的数字签名算法。再更进一步地优选,用户身份标识的生成算法为:UID=SubString(Houtside(Hinside(useroriginalidentitycode),user-password));其中,UID为用户身份标识,Hinside表示普通哈希算法,Houtside表示普通哈希算法和加密哈希混合算法,参数useroriginalidentitycode与user-password表示用户原始的身份标识及密码。最优选,所述普通哈希算法为MD5,加密哈希混合算法为HMAC-SHA1,SubString表示截断函数。再更进一步地优选,所述数字签名的生成算法为:Signature(P)=H(Ks||PUID-Header||H(Pbody));其中,P表示当前需要签名的数据包,H为数字签名算法,Ks表示发送者私钥,PUID-Header和Pbody分别代表本扩展选项除数字签名字段外的内容,数据包IP协议之上的数据内容。最优选,所述数字签名算法为DSA-SHA1算法。进一步地优选,所述更新数据包相关字段本文档来自技高网...
【技术保护点】
一种提升IPv6协议数据包安全性的方法,其特征在于,包含如下步骤:A1.设备根据数据包的IP源地址匹配用户身份;A2.对身份匹配成功的用户数据包扩展身份标识选项并填充字段数据;A3.更新数据包相关字段。
【技术特征摘要】
1.一种提升IPv6协议数据包安全性的方法,其特征在于,包含如下步骤:A1.设备根据数据包的IP源地址匹配用户身份;A2.对身份匹配成功的用户数据包扩展身份标识选项并填充字段数据;A3.更新数据包相关字段。2.如权利要求1所述的方法,其特征在于,还包括在步骤A1之前,进行步骤A0:排除不适合扩展身份标识选项的数据包。3.如权利要求1或2所述的方法,其特征在于,所述步骤A2包括在IPv6目标选项包头扩展身份标识选项。4.如权利要求3所述的方法,其特征在于,所述身份标识选项包括选项类型字段、选项长度字段、选项版本字段、保留字段、自治域号字段、用户身份标识字段、时间戳字段、数字签名字段。5.如权利要求4所述的方法,其特征在于,所述选项类型字段表示身份标识选项的类型,8位,赋值为“00011111”;选项长度字段表示身份标识选项的总长度,8位,最大长度≤64字节;选项版本字段表示身份标识选项的版本,4位,赋值为“0001”;保留字段表示用于将来可能需要补充的数据,8位,赋值“00000000”;自治域号字段表示用户所在的自治域号,32位,旧的16位自治域号在前面补齐16位0成为32位;用户身份标识字段用于指示用户标识,64位;时间戳字段表示身份标识选项的创建时间,64位;数字签名字段为用户私钥对数据包的数字签名,长度取决于所采用的数...
【专利技术属性】
技术研发人员:胡光武,张平安,延霞,曲绪纲,张海平,孔令晶,马泉,
申请(专利权)人:深圳信息职业技术学院,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。