[发明专利]一种IPv6无状态地址的处理方法和系统

说明书

技术领域

本发明涉及通信领域，具体涉及一种IPv6(网络互联协议第六版，Internet Protocol version 6)无状态地址的处理方法和系统。

背景技术

IPv6采用128比特的网络地址，提供了充足的地址空间和多种地址生成方法。

IETF(互联网工程任务组，Internet Engineering Task Force)在RFC(请求意见文档，Request For Comments)4291中公布的最新版的“IPv6地址结构”中规范IPv6地址的所有128比特可以是无结构的；也可以由子网前缀和接口标识组成，或者在更复杂的情况下由全局路由前缀、子网前缀、接口标识组成。接口标识通常遵循Modified EUI-64(修改的64比特长的扩展的唯一标识符)格式，该格式的第6-7比特(从左到右且从0开始计数)分别为“u”、“g”标志位。

接口标识可以从接口的IEEE(美国电气和电子工程师协会，Institute of Electrical and Electronics Engineers)EUI-64地址或IEEE MAC地址简单转换生成，也可以是随机的64比特(除了“u”、“g”标志位)，例如RFC4941提出接口标识定期随机生成，其目的是保护主机的隐私。

为了增强协议的安全性，尤其是防止地址欺骗，还有现有技术提出将公钥和整个IPv6地址绑定在一起，如主机标识协议(RFC5201)。更进一步地，“Cryptographically Generated Addresses(密码生成地址，CGA)”(RFC 3972)提出一种安全性更强地将公钥和IPv6地址绑定的方法，目前已经应用于IPv6的安全邻居发现协议(Secure Neighbor Discovery，SEND)，移动IP协议(Mobility in IPv6，MIPv6)、多穴协议(Site Multihoming by IPv6Intermediation，Shim6)等。

CGA地址的配置过程：

要生成CGA地址，首先随机选择一个具有一定长度的修饰值的初始值，预先选定安全参数sec(3比特)，接下来的操作包括如下两个过程：

根据第二哈希函数输出和由安全参数单独确定的停止条件确定修饰值的取值；

根据修饰值和公钥等确定第一哈希函数输出，从而确定最终CGA地址和相关CGA参数(通常称为地址参数)的值。

具体的地址生成步骤如图1所示：

步骤1A：串接修饰值、9个字节长的全0、公钥、扩展字段；

步骤1B：计算步骤1A中串接输入第二哈希函数HASH2函数101后的输出，其中HASH2函数是截取前112比特所输出的SHA-1函数；

步骤1C：检查哈希输出102是否满足停止条件，即输出的前16*sec比特是否为0；如果满足停止条件，取冲突次数为0，进入步骤1D；否则将修饰值的值增加1，继续步骤1A；

步骤1D：串接修饰值、子网前缀、冲突次数、公钥、扩展字段；

步骤1E：计算步骤1D中串接输入第一哈希函数HASH1函数107后的输出，其中HASH1函数是截取前64比特所输出的SHA-1函数；

步骤1F：将HASH1输出的前3比特替换成sec的值，将HASH1输出的第6、7比特写为0，作为接口标识，将子网前缀和接口标识组合成IPv6地址，检查是否有地址冲突；如果存在地址冲突且冲突次数小于3，则将冲突次数增加1，继续步骤1D；如果不存在地址冲突且冲突次数小于3，则确定最终的CGA 114，具体包含子网前缀113、安全参数111、固定的标志位112、和HASH1的部分输出；将子网前缀、公钥、扩展字段和最终选择的修饰值、冲突次数写入伴随CGA地址的CGA参数的数据结构。

CGA地址的验证过程：

给定一个CGA地址及其伴随的CGA参数，从CGA参数读取相应数据，包括修饰值、子网前缀、冲突次数、公钥、扩展字段。如果CGA参数的冲突次数不等于0，1，2则验证失败；如果CGA参数的子网前缀不等于CGA地址的前64比特则验证失败；否则按如下过程继续验证：

根据从CGA参数读取的数据，计算第一哈希函数输出，验证是否和CGA地址中接口标识中的第一哈希函数输出一致；

根据从CGA参数读取的数据和接口标识中的安全参数，计算第二哈希函数输出，验证是否满足停止条件。

具体的验证步骤如图2所示：

步骤2A：串接从CGA参数读取的修饰值、子网前缀、冲突次数、公钥、扩展字段；