[发明专利]基于证书请求的安全邻居发现运行模式探测方法

权利要求书

1.一种基于证书请求的安全邻居发现运行模式探测方法，其特征在于，包含：

探测节点发起授权委托发现ADD过程，请求路由器证书链；

等待应答报文并分析路由器响应，判断认证中心是否为目标子网安全邻居发现SEND机制提供证书签发服务；

提取路由器证书链，针对认证中心提供签发服务的情形和认证中心不提供证书签发服务的情形，通过目标子网内所含节点集探明目标子网SEND运行模式，并构建与目标IPv6子网路由器身份认证关联的信息表；

SEND机制包含非对称密钥技术和基于证书的认证技术两部分内容，根据子网对ND不同的部署策略与安全需求，将其分为四类运行模式，其中，第Ⅰ类：应用非对称密钥技术却无认证中心支持；第II类：应用非对称密钥技术且有认证中心支持；第III类：未应用非对称密钥技术却有认证中心支持；第IV类：未应用非对称密钥技术也无认证中心支持。

2.根据权利要求1所述的基于证书请求的安全邻居发现运行模式探测方法，其特征在于，探测节点发起授权委托发现ADD过程前，首先获取根认证中心CA的信任锚。

3.根据权利要求2所述的基于证书请求的安全邻居发现运行模式探测方法，其特征在于，探测节点获取根认证中心CA信任锚过程中，首先寻找本地证书存储区是否存储有根认证中心的证书，找到根认证中心CA的证书后，执行证书撤销列表检查，确认该证书在有效期内；并验证证书签名合法性，提取根认证中心CA的公开密钥及所拥有的IP地址范围；本地未存储根认证中心CA证书的情形，探测节点执行证书申请操作，获取所有可能存在的根认证中心CA证书。

4.根据权利要求3所述的基于证书请求的安全邻居发现运行模式探测方法，其特征在于，获取根认证中心CA证书的途径，包括：向公开发布证书的文件服务器或目录服务器申请根CA的证书；从注册中心RA申请根CA的证书；通过密钥交换协议获取。

5.根据权利要求2或3或4所述的基于证书请求的安全邻居发现运行模式探测方法，其特征在于，获取信任锚后，探测节点主动发送安全邻居发现路由请求报文触发路由器应答，并接收目标子网内路由器发送的安全邻居发现路由器公告报文。

6.根据权利要求2或3或4所述的基于证书请求的安全邻居发现运行模式探测方法，其特征在于，探测节点依据所获取的信任锚，发送认证路径请求CPS报文请求路由器证书链。

7.根据权利要求6所述的基于证书请求的安全邻居发现运行模式探测方法，其特征在于，路由器接收到证书链请求后，若探测节点接收到路由器利用认证路径公告CPA进行应答，则确认目标路由器支持授权委托发现功能，认证中心CA支持目标子网SEND机制运作；否则，探测节点判定路由器不支持授权委托发现功能，认证中心CA不支持目标子网SEND机制运作。

8.根据权利要求1所述的基于证书请求的安全邻居发现运行模式探测方法，其特征在于，针对认证中心不提供证书签发服务的情形，依据目标子网内所含的节点集，设定SEND节点集运行于应用非对称密钥技术无认证中心支持的第Ⅰ类运行模式，设定邻居发现ND节点集运行于未应用非对称密钥技术无认证中心支持的第Ⅳ类运行模式。

9.根据权利要求1所述的基于证书请求的安全邻居发现运行模式探测方法，其特征在于，针对认证中心CA支持目标子网SEND机制运作的情形，探测节点对路由器发送证书链的合法验证，以确认被授权路由器合法性，并获取路由器合法证书链；针对认证中心CA支持下的目标子网内节点集，设定SEND节点集运行于应用非对称密钥技术有认证中心支持的第Ⅱ运行模式，设定ND节点集运行于未应用非对称密钥技术有认证中心支持的第Ⅲ运行模式。

10.根据权利要求1所述的基于证书请求的安全邻居发现运行模式探测方法，其特征在于，针对认证中心CA支持目标子网SEND机制运作的情形，探测节点对路由器发送证书链的合法验证，以确认被授权路由器合法性，并获取路由器合法证书链；探测节点以所提取的合法证书链作为判断依据，在获取信任锚的过程中，只获得仅有的一个信任锚且在接收到的证书链中仅有一个被信任锚签名的路由器证书，则目标子网SEND机制基于单CA的信任模型运作；若目标子网中仅有一个唯一的信任锚，且证书链表明从路由器到达信任锚经过多个不同的认证中心CA实体，则目标子网SEND机制基于层级CA的信任模型运作；若目标子网中有多个信任锚，且证书链表明部分CA实体支持双向认证，则目标子网SEND机制基于分布式CA的信任模型运作。