【技术实现步骤摘要】
一种IPv6选项显式源地址加密安全验证网关及验证方法
[0001]本专利技术属于网络安全
,具体涉及一种IPv6选项显式源地址加密安全验证网关及验证方法。
技术介绍
[0002]近些年来由于源地址验证领域研究的不断深入,开始逐渐对不同的网络环境、多元的网络应用和多样的网络威胁进行针对性、细致性的研究,弥补传统源地址验证技术的缺陷,以促使网络防御能力更加突出,更能抵御复杂多变网络环境上的各类网络威胁。基于此,针对传统验证技术的存储开销问题,Vijayalakshmi 等人提出了一种新颖的增强分组标记算法,该算法可直接部署在受害端,以提供对单个数据包的回溯,由于不需遍历整个计算机网络或利用带外消息来识别攻击源,使该标记算法易于应用且不具有存储开销的问题;Suresh等人解决了DPM 验证机制存在的可伸缩性难题,设计出一种基于确定性多分组标记(DMPM)的回溯方案,利用全局标记分发服务器(MOD按需标记)来标记不信任的数据包,有效防御了DDoS攻击;鲁宁等人提出一种基于出口过滤的层次化反匿名联盟构建方法(EAGLE),克服了...
【技术保护点】
【技术特征摘要】
1.一种IPv6选项显式源地址加密安全验证网关,其特征在于,该安全验证网关设备包括:数据概率采集模块,用于对传输数据进行概率采集数据包,并将其发送至加密功能模块;加密功能模块,用于对数据包内的源IPv6地址进行加密、签名,经过签名得到的密文加载到数据包内的逐跳选项头中并且将携带源地址验证信息的数据包发送到目的端;验证功能模块,用于验证接收数据的源地址信息、动态验证表的初始化创建和动态更新。2.根据权利要求1所述的一种IPv6选项显式源地址加密安全验证网关,其特征在于,所述数据概率采集模块包括数据采集模块,用于对数据包进行概率采样,为加密功能模块提供标记信息的数据;关键节点动态识别模块,用于针对传输路径中的各传输节点进行流量状态的监控,并利用复杂网络指标计算并识别关键节点,然后通过加密功能模块进行加密签名,利用验证功能模块进行验证。3.根据权利要求1所述的一种IPv6选项显式源地址加密安全验证网关,其特征在于,所述加密功能模块包括:第一SHA224哈希模块,用于加密源IPv6地址生成28Byte的消息摘要MAC,为下一步数字签名做准备;ECDSA签名模块,用于将消息摘要MAC经数字签名生成密文C,提供源地址验证信息;第一ECC密钥库,使用ECC密钥生成算法生成密钥对(Pk,Sk),将密钥对(Pk,Sk)存于密钥库中,便于ECDSA签名模块提取密钥;发送模块,用于发送携带源地址验证信息的数据到目的端,完成源地址验证的第一步动作。4.根据权利要求1所述的一种IPv6选项显式源地址加密安全验证网关,其特征在于,所述验证功能模块包括:接收模块,用于接收携带源地址验证信息的数据包和利用邻居SAG初始化创建本地动态验证表;逐跳头校验模块,用于对数据包中逐跳头选项类型字段进行位值判断,选择源地址验证模式;读取数据模块,用于对接收的数据包进行读取,获取源IPv6地址和密文C信息;动态验证表:通过将三元组作为规则表项创建一个动态更新的验证表,三元组包括源IPv6、子网前缀以及Pk;时钟模块,用于向动态验证表提供时间信号,定期更新动态验证表,默认3h为一个周期;第二SHA224哈希模块,用于对获取的源IPv6地址进行哈希,计算出一个消息摘要MAC
’
,以备验证使用,是验证模块的一个输入;ECDSA验签模块,对密文C进行验签,恢复出原始消息摘要MAC,以备验证使用,是验证模块的另一个输入;第二ECC密钥库,使用ECC密钥生成算法生成密钥对(Pk,Sk),根据密钥库找出对应的公
钥Pk,为ECDSA验签模块提供公钥,并为动态验证表提供相应...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。