[发明专利]基于证书请求的安全邻居发现运行模式探测方法

说明书

本发明属于通信技术领域，涉及一种基于证书请求的安全邻居发现运行模式探测方法，包含：探测节点发起授权委托发现ADD过程，请求路由器证书链；等待应答报文并分析路由器相应，判断认证中心是否为目标子网安全邻居发现SEND机制提供证书签发服务；提取路由器证书链，针对认证中心提供签发服务的情形和认证中心不提供证书签发服务的情形，通过目标子网内所含节点集探明目标子网SEND运行模式，构建与目标IPv6子网路由器身份认证关联的信息表。本发明克服IPv6路由器认证过程独立于ND机制给SEND运行探测带来的困难，可有效探明目标IPv6子网SEND机制的运行模式种类及认证中心所依赖的信任模型类型，有利提升IPv6网络SEND环境安全，保证网络通信安全性能，具有较强应用前景。

技术领域

本发明属于通信技术领域，特别涉及一种基于证书请求的安全邻居发现运行模式探测方法。

背景技术

IPv6子网ND(Neighbor Discovery，邻居发现)安全机制SEND(Secure NeighborDiscovery，安全邻居发现)增强了IPv6子网邻居发现、路由器发现和重定向过程的安全性，越来越多的IPv6节点部署了SEND机制。然而，SEND机制本身也存在一定的安全隐患，也会遭受一些攻击，如CGA认证缺陷、时间-内存权衡攻击(time-memory trade-off attack)和路由器授权攻击等。目前，SEND协议方面的研究集中在协议分析与优化、安全性提高、应用扩展、地址生成提速、协议实现、轻量化等方面。扫描与信息收集攻击是下一代互联网仍需面对的安全威胁。然而，IPv6相关探测技术大都局限于拓扑发现、操作系统探测、蠕虫传播模型、隧道发现、路径最大传输单元(PMTU)探测等方面，SEND相关信息探测技术的研究尚未有效开展。

发明内容

为此，本发明提供一种基于证书请求的安全邻居发现运行模式探测方法，针对SEND过渡环境通过探测SEND运行模式，以保证SEND环境安全性。

按照本发明所提供的设计方案，IPv6路由器的认证过程独立于ND机制给SEND运行模式探测带来挑战，通过分析认证中心与SEND机制之间的相互关系，提供一种基于证书请求的安全邻居发现运行模式探测方法，包含：探测节点发起授权委托发现ADD过程，请求路由器证书链；等待应答报文并分析路由器相应，判断认证中心是否为目标子网安全邻居发现SEND机制提供证书签发服务；提取路由器证书链，针对认证中心提供签发服务的情形和认证中心不提供证书签发服务的情形，通过目标子网内所含节点集探明目标子网SEND运行模式，并构建与目标IPv6子网路由器身份认证关联的信息表，以实现SEND运行模式探测。

本发明的有益效果：

本发明克服IPv6路由器的认证过程独立于ND机制给SEND运行探测带来的困难，采用基于证书请求的方法发起授权委托发现，以请求路由器的认证路径，进而实施目标IPv6子网SEND机制运行模式探测，可有效探明目标IPv6子网SEND机制的运行模式种类及认证中心所依赖的信任模型类型，有利于提升IPv6网络SEND环境安全性能，保证网络通信安全，具有较强的应用前景。

附图说明：

图1为实施例中SEND运行模式探测流程图一；

图2为实施例中第Ⅰ类SEND运行模式示意；

图3为实施例中基于单认证中心的第Ⅱ类SEND运行模式示意；

图4为实施例中基于层级认证中心的第Ⅱ类SEND运行模式示意；

图5为实施例中基于分布式认证中心的第Ⅱ类SNED运行模式示意；

图6为实施例中SEND报文相关参数执行验证结果示意；

图7为实施例中SEND运行模式探测原理图；

图8为实施例中SOMD-CR方法实施的整体流程图；