[发明专利]IPv6安全邻居发现过渡环境中CGA参数探测方法及装置

说明书

本发明属于通信技术领域，特别涉及一种IPv6安全邻居发现过渡环境中CGA参数探测方法及装置，该方法包含：以目标子网内主机节点所发送的报文作为截获对象并解析；依据报文解析结果判断目标子网内节点是否应用安全邻居发现SEND机制，建立用于确定目标子网SEND机制作用覆盖范围的参数信息表。本发明通过对目标子网内活跃节点的CGA参数实施探测，并进一步通过实施被动嗅探和主动探测相结合的方式来获悉各节点是否运行SEND机制以及配置参数信息，进而探明目标子网SEND机制的作用覆盖范围，有效保证SEND过渡环境中SEND和邻居发现通信的安全性，有利于提升IPv6网络通信安全性能，具有较强的应用前景。

技术领域

本发明属于通信技术领域，特别涉及一种IPv6安全邻居发现过渡环境中CGA参数探测方法及装置。

背景技术

邻居发现(neighbor discovery，ND)协议负责发现同一链路上的节点、获取链路层地址、检测重复地址、发现路由器和维护到活动邻居节点的路径可达性信息等任务，是IPv6协议簇的重要协议之一。然而，ND协议易遭受哄骗(spoofing)、拒绝服务(denial ofservice)、重放(replay)、重定向(redirect)和恶意路由器(rogue router)等各类攻击，因为它假定链路上所有节点之间可相互信任，但该假设在一些场合下并不适用，恶意用户可通过伪造ND消息模仿合法节点，进而开展攻击。为此，IETF设计了安全邻居发现(secureneighbor discovery，SEND)协议来保护ND消息。SEND使用加密生成地址(cryptographically generated address，CGA)、数字签名和X.509证书来保证消息完整性，阻止IPv6地址偷窃和重放攻击，并提供验证路由器授权的机制。SEND是保护ND的不错选择，使得IPv6更加安全，越来越多的IPv6节点部署了SEND机制。然而，SEND机制本身也存在一定的安全隐患，也会遭受一些攻击，如CGA认证缺陷、时间-内存权衡攻击(time-memorytrade-off attack)和路由器授权攻击等。

目前，SEND协议方面的研究集中在协议分析与优化、安全性提高、应用扩展、地址生成提速、协议实现、轻量化等方面。扫描与信息收集攻击是下一代互联网仍需面对的安全威胁。然而，IPv6相关探测技术大都局限于拓扑发现、操作系统探测、蠕虫传播模型、隧道发现、路径最大传输单元(PMTU)探测等方面，SEND相关信息探测技术的研究尚未有效开展。

发明内容

为此，本发明提供一种IPv6安全邻居发现过渡环境中CGA参数探测方法及装置，保证SEND过渡环境中SEND和邻居发现的安全性。

按照本发明所提供的设计方案，一种IPv6安全邻居发现过渡环境中CGA参数探测方法，包含：以目标子网内主机节点所发送的报文作为截获对象并解析；依据报文解析结果判断目标子网内节点是否应用安全邻居发现SEND机制，建立用于确定目标子网SEND机制作用覆盖范围的参数信息表。

更进一步地，本发明还提供一种IPv6安全邻居发现过渡环境中CGA参数探测装置，包含：包含：解析模块和探测模块，其中，

解析模块，用于以目标子网内主机节点所发送的报文作为截获对象并解析；

探测模块，用于依据报文解析结果判断目标子网内节点是否应用安全邻居发现SEND机制，建立用于确定目标子网SEND机制作用覆盖范围的参数信息表。

本发明的有益效果：

本发明以目标子网内主机节点所发送的报文作为截获对象并解析；依据报文解析结果判断目标子网内节点是否应用安全邻居发现SEND机制，建立用于确定目标子网SEND机制作用覆盖范围的参数信息表；通过对目标子网内活跃节点的CGA参数实施探测，获悉各节点是否运行SEND机制以及配置参数信息，进而探明目标子网SEND机制的作用覆盖范围，提高SEND和邻居发现的安全性，有利于提升IPv6网络通信安全性能，具有较强的应用前景。