基于反向檢測的IPv6鄰居緩存保護方法及其裝置制造方法及圖紙

本發明專利技術涉及一種基于反向檢測的IPv6鄰居緩存保護方法及其裝置，該方法包含：目標節點接收到ND報文，在存儲隊列中創建存儲ND報文信息的表項記錄；等待時間t后，從存儲隊列頭部選取一個記錄，向源節點發送IRD鄰居請求報文；通過選取的記錄中的Sequence字段和Timestamp字段對IRD鄰居請求報文的IRD選項進行相應的數據填充，并將表項記錄的Status字段置位；源節點發送IRD通告報文，在IRD選項中填充相同的Sequence字段及發送通告報文時的時間戳；目標節點針對收到的IRD通告報文，通過Sequence字段、Status字段及超時時間閾值進行檢查，根據檢查結果對鄰居緩存和存儲隊列中的相應記錄進行處理。本發明專利技術有效抵抗鄰居緩存欺騙攻擊和拒絕服務攻擊，資源消耗少、協議兼容性強，能夠較好地適應應用環境。

【技術實現步驟摘要】
基于反向檢測的IPv6鄰居緩存保護方法及其裝置
本專利技術涉及IPv6網絡安全通信
，特別涉及一種基于反向檢測的IPv6鄰居緩存保護方法及其裝置。
技術介紹
鄰居發現協議(NeighborDiscoveryProtocol,NDP)是IPv6的一個關鍵協議，它組合了IPv4中的ARP、ICMP路由器發現和ICMP重定向等協議，并對它們作了改進，解決了同一鏈路上不同節點之間的信息交互問題。由于其并沒有針對鏈路內的安全威脅給出任何的安全機制，攻擊者利用NDP存在的安全漏洞，可以對IPv6子網實施拒絕服務攻擊和重定向攻擊。IETF標準規定由IPSecAH來保證NDP中數據包的可靠性和完整性，但是并未給出使用方案。安全鄰居發現協議(SEcureNeighborDiscovery,SEND)通過引入加密生成地址(CryptographicallyGeneratedAddress,CGA)和簽名機制來保證NDP的安全，但其產生的計算開銷過大，并沒有得到廣泛使用。鄰居緩存是一組有關單個鄰居的信息，它包括的信息有：鄰居IP地址與鄰居鏈路層地址映射、鄰居可達性狀態等。鄰居緩存的更新是通過ND報文的交互實現的，而ND協議在設計時并未對報文進行有效保護，因此鄰居緩存易遭受欺騙攻擊和DoS攻擊等。反向檢測方法，雖然其一定程度上降低了鄰居緩存受攻擊的可能，由于反向探測報文沒有任何保護機制，攻擊者仍然可以發送大量的虛假應答報文，進而輕易繞過反向檢測機制，因此，需要一種新的IPv6鄰居緩存保護方法，以提高IPv6內網安全性。
技術實現思路
本專利技術提供一種基于反向檢測的IPv6鄰居緩存保護方法及其裝置，確保鄰居緩存的正確更新，有效抵抗鄰居緩存欺騙攻擊和拒絕服務攻擊等，且資源消耗少，兼容性強。按照本專利技術所提供的設計方案，一種基于反向檢測的IPv6鄰居緩存保護方法，包含如下內容：目標節點接收到ND報文，在存儲隊列中創建存儲ND報文信息的表項記錄，其中，每個節點建立有一個用于ND報文信息存儲的存儲隊列，表項記錄中包含源節點的IP地址，源節點的MAC地址，向源節點發送IRD請求報文時間的Timestamp字段，向源節點發送IRD請求報文序號的Sequence字段，及標識是否已向源節點發送IRD請求報文狀態的Status字段；等待時間t后，從存儲隊列頭部選取一個記錄，向源節點發送IRD鄰居請求報文，其中，0＜t＜τ，IRD鄰居請求報文的IRD選項包含：用于表示IRD報文的選項類型值的Type字段，整個選項長度的Length字段，用于顯示報文匹配的IRD報文序號的Sequence字段，保留Reserved字段，及用于限制報文響應時長的時間戳的Timestamp字段；通過選取的記錄中的Sequence字段和Timestamp字段對IRD鄰居請求報文的IRD選項進行相應的數據填充，并將表項記錄的Status字段置位；源節點發送IRD通告報文，在IRD選項中填充相同的Sequence字段及發送通告報文時的時間戳；目標節點針對收到的IRD通告報文，通過Sequence字段、Status字段及超時時間閾值進行檢查，根據檢查結果對鄰居緩存和存儲隊列中的相應記錄進行處理。上述的，通過Sequence字段、Status字段及超時時間閾值進行檢查，并根據檢查結果對鄰居緩存和存儲隊列中的相應記錄進行處理，包含內容如下：首先查詢存儲隊列中是否存在相同Sequence字段的記錄，如果不存在，則不更新鄰居緩存，刪除該記錄并結束；若存在，則檢查存儲隊列中Status字段是否置位，若未置位，則不更新鄰居緩存，刪除該記錄并結束，若置位，則檢驗IRD通告報文是否在超時時間閾值內到達，若是，則更新鄰居緩存并結束，否則，不更新鄰居緩存，刪除該記錄并結束。上述的，還包含：通過基于時間戳的RED方法對節點存儲隊列進行管理，刪除存儲隊列中的表項記錄。優選的，通過基于時間戳的RED方法對節點存儲隊列進行管理，包含內容如下：對存儲隊列中每個Timestamp字段非零的表項啟動定時器，根據定時器刪除存儲隊列中的表項記錄；并根據存儲隊列平均長度計算節點丟包概率，并根據節點丟包概率丟棄存儲隊列中的表項記錄。上述的，對存儲隊列中每個Timestamp字段非零的表項啟動定時器，根據定時器刪除存儲隊列中的表項記錄，內容如下：讀取存儲隊列最小長度、最大長度，當前時間，存儲隊列表項記錄集合，存儲隊列頭部記錄時間戳，超時時間閾值；根據存儲隊列表項記錄集合中每個表項記錄，判斷其Timestamp字段是否大于零，若是，則通過超時時間閾值為對應表項記錄設置定時器；若定時器超時還未收到相應的IRD通告報文，則刪除對應的表項記錄。優選的，根據存儲隊列平均長度計算節點丟包概率，內容如下：若存儲隊列平均長度小于存儲隊列最小長度，則設定丟包率為零；若存儲隊列平均長度大于存儲隊列最小長度且小于存儲隊列最大長度，則根據公式：，計算丟包率；否則，設定丟包率為1。優選的，超時時間閾值根據網絡延遲情況做修正。一種基于反向檢測的IPv6鄰居緩存保護裝置，包含：報文信息記錄模塊、記錄選取模塊及表項記錄檢測模塊；其中，報文信息記錄模塊，目標節點根據接收到的報文信息，在節點存儲隊列中創建該報文信息的表項記錄；記錄選取模塊，選取節點存儲隊列頭部的記錄，并向源節點發送IRD鄰居請求報文，其中，IRD鄰居請求報文及選取的記錄填充相同的時間戳字段和報文序號字段，并將表項記錄中標識是否已向源節點發送IRD請求報文狀態的Status字段進行置位操作；表項記錄檢測模塊，目標節點根據收到的IRD通告報文，通過時間戳字段、報文序號字段經及超時時間閾值對鄰居緩存和存儲隊列中的記錄進行更新處理。上述的裝置，還包含隊列管理模塊，通過基于時間戳的RED方法對節點存儲隊列中的表項記錄進行刪除操作。上述的裝置，還包含有：用于根據網絡延遲情況對超時時間閾值進行調整的時間閾值修正模塊。本專利技術的有益效果：本專利技術針對IPv6鄰居緩存易遭受的欺騙攻擊和拒絕服務攻擊等問題，從鄰居緩存更新過程入手，引入時間戳、報文序號和隊列管理等保護機制，確保鄰居緩存的正確更新；并通過具體實例的數值結果表明，該方法可以有效抵抗鄰居緩存欺騙攻擊和拒絕服務攻擊，具有資源消耗少、協議兼容性強等特點；能夠較好地適應應用環境，有效保護IPv6鄰居緩存，具有很高的實用價值。附圖說明：圖1為本專利技術的方法流程圖；圖2為本專利技術的原理示意圖；圖3為本專利技術的存儲隊列示意圖；圖4為本專利技術的IRD選項示意圖。圖5為本專利技術的工作流程圖；圖6為本專利技術的裝置框圖；圖7為實例的網絡拓撲示意圖。具體實施方式：為了使本專利技術的目的、技術方案和優點更加清楚，下面結合附圖和具體實施例對本專利技術進行詳細描述。參見圖1所示，本專利技術所提供的方法可以主要包括：目標節點接收到ND報文，在存儲隊列中創建存儲ND報文信息的表項記錄，其中，每個節點建立有一個用于ND報文信息存儲的存儲隊列，表項記錄中包含源節點的IP地址，源節點的MAC地址，向源節點發送IRD請求報文時間的Timestamp字段，向源節點發送IRD請求報文序號的Sequence字段，及標識是否已向源節點發送IRD請求報文狀態的Status字段；等待時間t后，從存儲隊列頭部選取一個記錄，本文檔來自技高網...

【技術保護點】
一種基于反向檢測的IPv6鄰居緩存保護方法，其特征在于，包含如下內容：目標節點接收到ND報文，在存儲隊列中創建存儲ND報文信息的表項記錄，其中，每個節點建立有一個用于ND報文信息存儲的存儲隊列，表項記錄中包含源節點的IP地址，源節點的MAC地址，向源節點發送IRD請求報文時間的Timestamp字段，向源節點發送IRD請求報文序號的Sequence字段，及標識是否已向源節點發送IRD請求報文狀態的Status字段；等待時間t后，從存儲隊列頭部選取一個記錄，向源節點發送IRD鄰居請求報文，其中，0＜t＜τ，IRD鄰居請求報文的IRD選項包含：用于表示IRD報文的選項類型值的Type字段，整個選項長度的Length字段，用于顯示報文匹配的IRD報文序號的Sequence字段，保留Reserved字段，及用于限制報文響應時長的時間戳的Timestamp字段；選取的記錄中的Sequence字段和Timestamp字段對IRD鄰居請求報文的IRD選項進行相應的數據填充，并將表項記錄的Status字段置位；源節點發送IRD通告報文，在IRD選項中填充相同的Sequence字段及發送通告報文時的時間戳；目標節點針對收到的IRD通告報文，通過Sequence字段、Status字段及超時時間閾值進行檢查，根據檢查結果對鄰居緩存和存儲隊列中的相應記錄進行處理。...

【技術特征摘要】
1.一種基于反向檢測的IPv6鄰居緩存保護方法，其特征在于，包含如下內容：目標節點接收到ND報文，在存儲隊列中創建存儲ND報文信息的表項記錄，其中，每個節點建立有一個用于ND報文信息存儲的存儲隊列，表項記錄中包含源節點的IP地址，源節點的MAC地址，向源節點發送IRD請求報文時間的Timestamp字段，向源節點發送IRD請求報文序號的Sequence字段，及標識是否已向源節點發送IRD請求報文狀態的Status字段；等待時間t后，從存儲隊列頭部選取一個記錄，向源節點發送IRD鄰居請求報文，其中，0＜t＜τ，IRD鄰居請求報文的IRD選項包含：用于表示IRD報文的選項類型值的Type字段，整個選項長度的Length字段，用于顯示報文匹配的IRD報文序號的Sequence字段，保留Reserved字段，及用于限制報文響應時長的時間戳的Timestamp字段；選取的記錄中的Sequence字段和Timestamp字段對IRD鄰居請求報文的IRD選項進行相應的數據填充，并將表項記錄的Status字段置位；源節點發送IRD通告報文，在IRD選項中填充相同的Sequence字段及發送通告報文時的時間戳；目標節點針對收到的IRD通告報文，通過Sequence字段、Status字段及超時時間閾值進行檢查，根據檢查結果對鄰居緩存和存儲隊列中的相應記錄進行處理。2.根據權利要求1所述的基于反向檢測的IPv6鄰居緩存保護方法，其特征在于，通過Sequence字段、Status字段及超時時間閾值進行檢查，并根據檢查結果對鄰居緩存和存儲隊列中的相應記錄進行處理，包含內容如下：首先查詢存儲隊列中是否存在相同Sequence字段的記錄，如果不存在，則不更新鄰居緩存，刪除該記錄并結束；若存在，則檢查存儲隊列中Status字段是否置位，若未置位，則不更新鄰居緩存，刪除該記錄并結束，若置位，則檢驗IRD通告報文是否在超時時間閾值內到達，若是，則更新鄰居緩存并結束，否則，不更新鄰居緩存，刪除該記錄并結束。3.根據權利要求1所述的基于反向檢測的IPv6鄰居緩存保護方法，其特征在于，還包含：通過基于時間戳的RED方法對節點存儲隊列進行管理，刪除存儲隊列中的表項記錄。4.根據權利要求3所述的基于反向檢測的IPv6鄰居緩存保護方法，其特征在于，通過基于時間戳的RED方法對節點存儲隊列進行管理，包...

【專利技術屬性】
技術研發人員：張連成，孔亞洲，王振興，郭毅，王禹，辜苛峻，
申請(專利權)人：中國人民解放軍信息工程大學，
類型：發明
國別省市：河南,41