一种IPv6选项显式源地址加密安全验证网关及验证方法技术

本发明专利技术公开了一种IPv6选项显式源地址加密安全验证网关，该安全验证网关设备包括：数据概率采集模块，用于对传输数据进行概率采集数据包，并将其发送至加密功能模块；加密功能模块，用于对数据包内的源IPv6地址进行加密、签名，经过签名得到的密文加载到数据包内的逐跳选项头中并且将携带源地址验证信息的数据包发送到目的端；验证功能模块，用于验证接收数据的源地址信息、动态验证表的初始化创建和动态更新。本发明专利技术还提供了一种IPv6选项显式源地址加密安全验证网关的验证方法，既可以对传输的数据进行加密，又可以对所传的数据进行验证，实现了加密验证的一体化。实现了加密验证的一体化。实现了加密验证的一体化。

【技术实现步骤摘要】
一种IPv6选项显式源地址加密安全验证网关及验证方法


[0001]本专利技术属于网络安全
，具体涉及一种IPv6选项显式源地址加密安全验证网关及验证方法。

技术介绍

[0002]近些年来由于源地址验证领域研究的不断深入，开始逐渐对不同的网络环境、多元的网络应用和多样的网络威胁进行针对性、细致性的研究，弥补传统源地址验证技术的缺陷，以促使网络防御能力更加突出，更能抵御复杂多变网络环境上的各类网络威胁。基于此，针对传统验证技术的存储开销问题，Vijayalakshmi 等人提出了一种新颖的增强分组标记算法，该算法可直接部署在受害端，以提供对单个数据包的回溯，由于不需遍历整个计算机网络或利用带外消息来识别攻击源，使该标记算法易于应用且不具有存储开销的问题；Suresh等人解决了DPM 验证机制存在的可伸缩性难题，设计出一种基于确定性多分组标记(DMPM)的回溯方案，利用全局标记分发服务器(MOD按需标记)来标记不信任的数据包，有效防御了DDoS攻击；鲁宁等人提出一种基于出口过滤的层次化反匿名联盟构建方法(EAGLE)，克服了出口过滤(Egress filtering)和基于对等过滤的域间源地址验证方法(MEF)的可扩展性差、难以适应增量部署等难题；而吴波针对分组转发中源地址与路径验证所面临的开销花费大、转发效率低等问题，提出了基于数据包随机标记的源地址与路径高效验证机制PPV，依据数据流验证的角度设计了 PPV验证机制，通过利用数据包随机标识的安全验证，避免了传统方案的逐跳逐包验证，降低了分组转发验证的额外通信和验证时延的开销，提高了分组转发安全验证的效率。
[0003]据此分析，大多数源地址验证技术多采用加密验证方案的技术原理，但现有基于加密验证方案的技术多采取端验证方式，少数采取端/路径验证的混合模式。由于端验证模式缺少路径传输上的验证导致其网络防御能力呈假阳性低、假阴性高的特点；而采用全路径传输验证的模式会造成计算开销增大、通信开销增高、占用带宽及网络资源消耗增多、部署兼容性降低等问题。

技术实现思路

[0004]针对上述存在的问题，本专利技术的目的是提供一种IPv6选项显式源地址加密安全验证网关及验证方法。
[0005]本专利技术采用的技术方案是：
[0006]一种IPv6选项显式源地址加密安全验证网关，该安全验证网关设备包括：
[0007]数据概率采集模块，用于对传输数据进行概率采集数据包，并将其发送至加密功能模块；
[0008]加密功能模块，用于对数据包内的源IPv6地址进行加密、签名，经过签名得到的密文加载到数据包内的逐跳选项头中并且将携带源地址验证信息的数据包发送到目的端；
[0009]验证功能模块，用于验证接收数据的源地址信息、动态验证表的初始化创建和动
态更新。
[0010]优选的，所述数据概率采集模块包括
[0011]数据采集模块，用于对数据包进行概率采样，为加密功能模块提供标记信息的数据；
[0012]关键节点动态识别模块，用于针对传输路径中的各传输节点进行流量状态的监控，并利用复杂网络指标计算并识别关键节点，然后通过加密功能模块进行加密签名，利用验证功能模块进行验证。
[0013]优选的，所述加密功能模块包括：
[0014]第一SHA224哈希模块，用于加密源IPv6地址生成28Byte的消息摘要MAC，为下一步数字签名做准备；
[0015]ECDSA签名模块，用于将消息摘要MAC经数字签名生成密文C，提供源地址验证信息；
[0016]第一ECC密钥库，使用ECC密钥生成算法生成密钥对(Pk，Sk)，将密钥对(Pk，Sk)存于密钥库中，便于ECDSA签名模块提取密钥；
[0017]发送模块，用于发送携带源地址验证信息的数据到目的端，完成源地址验证的第一步动作。
[0018]优选的，所述验证功能模块包括：
[0019]接收模块，用于接收携带源地址验证信息的数据包和利用邻居SAG初始化创建本地动态验证表；
[0020]逐跳头校验模块，用于对数据包中逐跳头选项类型字段进行位值判断，选择源地址验证模式；
[0021]读取数据模块，用于对接收的数据包进行读取，获取源IPv6地址和密文C 信息；
[0022]动态验证表：通过将三元组作为规则表项创建一个动态更新的验证表，三元组包括源IPv6、子网前缀以及Pk；
[0023]时钟模块，用于向动态验证表提供时间信号，定期更新动态验证表，默认3h 为一个周期；
[0024]第二SHA224哈希模块，用于对获取的源IPv6地址进行哈希，计算出一个消息摘要MAC
’
，以备验证使用，是验证模块的一个输入；
[0025]ECDSA验签模块，对密文C进行验签，恢复出原始消息摘要MAC，以备验证使用，是验证模块的另一个输入；
[0026]第二ECC密钥库，使用ECC密钥生成算法生成密钥对(Pk，Sk)，根据密钥库找出对应的公钥Pk，为ECDSA验签模块提供公钥，并为动态验证表提供相应密钥信息；
[0027]验证模块，用于验证数据来源的真实性。
[0028]优选的，所述验证模块的验证过程包括：
[0029]在单数据验证时，通过第二SHA224哈希模块得到MAC
’
和ECDSA验签模块的MAC进行比对，若相等，则数据来源真实；否则为伪造数据；在流数据验证时，通过接收的数据读取，包括源IPv6、MAC、Pk或子网前缀、Pk与动态验证表中的源IPv6、子网前缀、Pk的元组信息进行匹配，若元组匹配，则数据来源真实；否则为伪造数据。
[0030]一种IPv6选项显式源地址加密安全验证网关的验证方法，包括以下步骤：
[0031]步骤1：加密阶段
[0032]101：初始化，利用ECC密钥生成算法产生密钥对(Pk，Sk)，以备数字签名调用；
[0033]102：用第一SHA224哈希模块对数据包的源IPv6地址进行哈希，计算消息摘要MAC，作为ECDSA签名模块的输入；
[0034]103：ECDSA签名模块调用第一ECC密钥库的密钥对，使用私钥Sk对消息摘要MAC进行数字签名，得到密文C；
[0035]104：将密文C加载到数据包中的逐跳选项头中，得到一个携带源地址验证信息的数据包，再进行发送；
[0036]步骤2：验证阶段
[0037]201：初始化，动态验证表通过共享相邻SAG的验证表来初始化创建本地动态验证表；
[0038]202：通过判断逐跳选项头中选项类型字段的位值，采取适合的源地址验证模式，进行验证操作。
[0039]优选的，在步骤202中其判断及验证过程如下：
[0040]若判定采用单数据验证时，通过目的端接收的数据获取源IPv6地址和密文 C，因加密阶段和验证阶段使用统一的密钥库可提取公钥Pk，用公钥Pk对密文 C进行验签得到原消息摘要MAC，并用源IPv6地址进本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种IPv6选项显式源地址加密安全验证网关，其特征在于，该安全验证网关设备包括：数据概率采集模块，用于对传输数据进行概率采集数据包，并将其发送至加密功能模块；加密功能模块，用于对数据包内的源IPv6地址进行加密、签名，经过签名得到的密文加载到数据包内的逐跳选项头中并且将携带源地址验证信息的数据包发送到目的端；验证功能模块，用于验证接收数据的源地址信息、动态验证表的初始化创建和动态更新。2.根据权利要求1所述的一种IPv6选项显式源地址加密安全验证网关，其特征在于，所述数据概率采集模块包括数据采集模块，用于对数据包进行概率采样，为加密功能模块提供标记信息的数据；关键节点动态识别模块，用于针对传输路径中的各传输节点进行流量状态的监控，并利用复杂网络指标计算并识别关键节点，然后通过加密功能模块进行加密签名，利用验证功能模块进行验证。3.根据权利要求1所述的一种IPv6选项显式源地址加密安全验证网关，其特征在于，所述加密功能模块包括：第一SHA224哈希模块，用于加密源IPv6地址生成28Byte的消息摘要MAC，为下一步数字签名做准备；ECDSA签名模块，用于将消息摘要MAC经数字签名生成密文C，提供源地址验证信息；第一ECC密钥库，使用ECC密钥生成算法生成密钥对(Pk，Sk)，将密钥对(Pk，Sk)存于密钥库中，便于ECDSA签名模块提取密钥；发送模块，用于发送携带源地址验证信息的数据到目的端，完成源地址验证的第一步动作。4.根据权利要求1所述的一种IPv6选项显式源地址加密安全验证网关，其特征在于，所述验证功能模块包括：接收模块，用于接收携带源地址验证信息的数据包和利用邻居SAG初始化创建本地动态验证表；逐跳头校验模块，用于对数据包中逐跳头选项类型字段进行位值判断，选择源地址验证模式；读取数据模块，用于对接收的数据包进行读取，获取源IPv6地址和密文C信息；动态验证表：通过将三元组作为规则表项创建一个动态更新的验证表，三元组包括源IPv6、子网前缀以及Pk；时钟模块，用于向动态验证表提供时间信号，定期更新动态验证表，默认3h为一个周期；第二SHA224哈希模块，用于对获取的源IPv6地址进行哈希，计算出一个消息摘要MAC
’
，以备验证使用，是验证模块的一个输入；ECDSA验签模块，对密文C进行验签，恢复出原始消息摘要MAC，以备验证使用，是验证模块的另一个输入；第二ECC密钥库，使用ECC密钥生成算法生成密钥对(Pk，Sk)，根据密钥库找出对应的公
钥Pk，为ECDSA验签模块提供公钥，并为动态验证表提供相应...

【专利技术属性】
技术研发人员：甄龙飞，马克，
申请(专利权)人：甄龙飞，
类型：发明
国别省市：