[发明专利]一种SDN环境中的重复地址检测方法

说明书

本发明涉及一种SDN环境中的重复地址检测方法，host生成新的加密地址CGAx后，进行NS广播，为T1，收到应答NA，为T2；检查MAC地址，进行CGA验证，从而来检测地址的重复性。本发明采用的反馈机制，反馈机制利用OC的集中控制，通过对Switch的轮询来辨别MAC地址的真实性，实现在软件定义网络SDN中，用于防止重复地址检测DAD过程中的拒绝服务DoS攻击，降低主机CPU资源消耗。

【技术领域】

本发明涉及计算机网络技术，具体涉及一种SDN环境中的重复地址检测方法。

【背景技术】

对于复杂的网络通讯，一般使用分层的方法来简化计算机网络的设计与实现，无论是TCP/IP的四层结构，还是OSI(Open System Interconnection，开放系统互联)的七层结构，都是模块化思想的体现。为了简化计算机网络各层的设计，每一层都使用了各不相同的、相互独立的通信属性(或称为通信地址、网络标识)。典型的比如三层使用IP地址作为数据包的通信属性，而二层则使用MAC(Media Access Control，媒体接入控制)地址作为通信属性，对数据帧进行转发。

所以有两个问题需要被解决：一个是每个网络实体如何得到通信地址，如何保证地址是唯一的；另一个是当数据在n+1层被封装完成后转发到下层(n层)进行封装的时候，如何确定n+1层与n层之间的通信属性的对应关系。比如当三层对数据使用IP地址进行封装之后，转发到数据链路层，链路层如何确定使用什么MAC地址进行封装。

目前有两个主要协议用于解决上面提到的两个问题：ARP(Address ResolutionProtocol，地址解析协议)和NDP(Neighbor Discovery Protocol，邻居发现协议)。ARP协议是互联网协议第四版IPv4体系中用于解决IP与MAC地址对应关系的协议。在互联网协议第六版IPv6中体系中，使用NDP来完成同样的功能。当然，NDP协议在功能上对ARP进行了扩展，它包括地址重复检测DAD(Duplicate Address Detection)、邻居不可达检测NUD(NeighborUnreachable Detection)、无状态定址自动配置SLAAC(Stateless AddressAutOConfiguration)等新的功能。但很多在ARP中存在的问题并未得到妥善的解决，在NDP中仍然存在，比如针对重复地址检测的DoS(Denial of service，攻击拒绝服务攻击)。

DAD攻击无论在ARP还是NDP中都始终存在。当一个节点接入到局域网时，它必须要有一个局域网地址才能开始网络通信。而一个节点在使用一个新的地址之前，一定要进行重复地址检测，以确保该地址是唯一的。所以恶意节点可以利用这一点进行攻击，声明该地址已经被占用，或者是也发重复地址检测，而检测的目的地址也是IPx。这两种方式都可以导致节点认为该地址已经被占用，只能选择其他地址重新进行DAD。如果恶意节点的攻击一直持续，将导致节点受害者无地址可用，如图1所示。

为了防止地址欺骗，国际互联网工程任务组IETF提出了SEND协议。SEND协议作为NDP的增强机制，它使用加密地址生成(Cryptographically Generated Address，CGA)、数字签名、时间戳等方法来保护NDP报文，并防止IP地址盗用。CGA是SEND协议特有的地址格式，产生方法为由子网前缀(Subnet Prefix)，公钥(Public Key)，碰撞次数(CollisionCount)，Modifier(调节参数)经过多次hash运算找到合适的Modifier值，然后再进行二次hash运算，然后取160位hash值的前59位，再结合Sec(Security Level，安全级别)值与其他参数共同形成最终地址，CGA计算过程见图2所示。