技術領域

???本發明提出了一種在IPv6?(Internet?Protocol?version?6，互聯網協議第6版)網絡地址重復檢測中防止拒絕服務攻擊的方法，屬于互聯網中IPv6安全技術領域。

技術背景

?在當前計算機技術大發展的步伐下，Internet經歷了爆炸般的發展，?2011?年2?月，全球互聯網名稱與數字地址分配機構宣布基于IPv4(Internet?Protocol?version?4，互聯網協議第4版)的最后一組IP?地址已經被分配，第一代互聯網地址IPv4?的池子正式宣告枯竭。一方面是網絡地址資源數量的限制，另一方面隨著電子技術及網絡技術的持續發展，越來越多的人和物都需要連入全球因特網。在這樣的環境下，IPv6應運而生。IPv6的128位地址提供了幾乎無盡的地址空間。這不但解決了網絡地址資源數量的問題，同時也為除電腦外的設備連入互聯網在數量限制上掃清了障礙。

IPv6與IPv4相比有很多優點如：1、地址空間變大，128位的網絡地址提供了似乎取之不盡的地址，一勞永逸的解決了地址短缺問題。2、對移動性的良好支持，移動IP需要為每個設備提供一個全球惟一的IP地址，IPv4沒有足夠的地址空間可以為在Internet上運行的每個移動終端分配一個這樣的地址。而移動IPv6能夠通過簡單的擴展，滿足大規模移動用戶的需求。這樣，它就能在全球范圍內解決有關網絡和訪問技術之間的移動性問題。3、IPv6內置的安全特性已經標準化，可支持對企業網的無縫遠程訪問。即使終端用戶用“實時在線”方式接入企業網，這種安全機制也是可行的，而這種“實時在線”的服務類型在IPv4技術中是無法實現的。

然而即便如此，如同IPv4網絡一樣，IPv6網絡同樣面臨著互聯網中存在的各種各樣的安全威脅，且攻擊行為的特點有了新的變化?，F在IPv6網絡面臨的安全威脅主要有：實施和部署方面的不足、應用層等其它層對IPv6網的威脅、IPv4/IPv6過渡時期的安全性問題、IPv6協議本身的安全漏洞。尤其是IPv6協議本身對拒絕服務攻擊的抵御機制并不完善使得出現了很多針對其協議的攻擊，如重定向拒絕服務攻擊、重復地址檢測攻擊等。相比而言重復地址檢測攻擊中針對無狀態地址自動配置的攻擊更加容易，后果更加嚴重。在無狀態自動配置機制中通過本地可用信息和路由發布的信息在不需要人工干預的情況下即可進行自動地址配置。這種機制在給用戶帶來方便性的同時也使得非法用戶更容易接入網絡。一個IPv6節點會對一個指定的IPv6地址進行地址檢測，攻擊者冒充該地址響應檢測，使得該節點誤以為地址發生重復而放棄該地址。下面簡要介紹下重復地址檢測的過程。

DAD（Duplicated?Address?Detection，重復地址檢測）檢測的過程：節點通信之前獲得“暫時的”地址，為確定該地址的唯一性，多播發送“鄰居請求報文”并請求節點返回其鏈路層地址，“鄰居請求報文”的多播地址是從目標IP地址得到的請求節點多播地址?！班従诱埱髨笪摹敝羞x項字段為源鏈路層地址選項。當目標主機接收到“鄰居請求報文”后會根據其源地址和鏈路層地址來更新它自己的鄰居緩存表。接著，目標節點向“鄰居請求報文”的發送方發送一個單播的“鄰居通告報文”。該“鄰居通告報文”中包含目標鏈路層地址選項，當接收到來自鄰居節點的“鄰居通告報文”后，發送主機就會根據目標鏈路層地址選項中的信息，創建一個關于目標節點的新表項，以更新其鄰居緩存表。這時若多次發送“鄰居請求報文”之后收到的“鄰居通告報文”中未發現目標主機的地址與源主機地址重復，則源主機的地址變為“首選的”地址，反之若發現地址重復則變為“廢棄的”地址。DAD攻擊指的是：在網絡中的主機發出“鄰居請求報文”后，網絡中的攻擊設備就會冒充該地址發送“鄰居請求報文”或者響應“鄰居通告報文”回應檢測，使得主機誤以為自己的地址不可用而導致拒絕服務攻擊。

?

發明內容

????技術問題：?在IPv4地址枯竭之時，IPv6協議將取而代之。然而要放心的使用IPv6協議，首先要解決的就是安全性問題尤其是拒絕服務攻擊問題。本發明的目的是為了彌補IPv6本身抵御拒絕服務攻擊的不足，提供一種基于身份認證的防止重復地址檢測攻擊的方法，使得IPv6網絡的使用更加高效、安全。在重復地址檢測的過程中針對發出重復地址信息的網絡設備進行身份驗證，以確保該設備的可信性，從而避免非法設備或者惡意節點對源設備發動重復地址檢測的拒

絕服務攻擊。