一種基于增強綁定的IPv6移動終端抗攻擊方法

一種基于增強綁定的IPv6移動終端抗攻擊方法
【技術領域】
[0001]本發明涉及互聯網技術領域，具體地，涉及一種基于增強綁定的IPv6移動終端抗攻擊方法。
【背景技術】
[0002]隨著互聯網應用的迅猛發展，現有IPv4地址已近枯竭。以IPv6協議為核心的新一代互聯網提供無限地址空間，提供更快、更高、更強的服務。但隨著IPv6應用的增多，特別是以智能手機為主的IPv6應用的爆炸式增長過程中，不斷產生新的針對IPv6移動終端的安全問題，如IPv6的地址配置、鄰居發現、擴展報頭問題等，給社會和個人帶來巨大損失。
[0003]在IPv6移動終端的家鄉注冊和通信節點注冊過程中，攻擊者可以通過發送虛假的綁定更新來破壞正常的通信，或者重定向數據流，使移動節點之間的通信遭受數據保密性攻擊、DoS攻擊、假冒家鄉代理攻擊、中間人攻擊等。目前的解決方案是利用IPSec在移動節點和家鄉代理之間提供認證加密機制，但這種機制在實際使用中有諸多問題，如密鑰管理問題、配置復雜、地址轉換問題等，同時IPSec的引入不可避免地大幅度度增加系統開銷，缺乏可操作性。
[0004]從另一個角度看，不論是家鄉注冊，還是通信節點注冊過程，都是通過綁定更新/綁定確認消息的交互，針對IPv6移動終端的攻擊能夠奏效，很大程度上是由于綁定更新缺乏認證機制，如果能對綁定更新提供一種認證機制，就能較好的解決其安全問題。從這個思路出發，有方案提出利用CGA來實現地址和公鑰的綁定，同時利用非對稱加密算法的可認證性來實現安全綁定更新和綁定確認。但是，RSA算法對移動節點而言可能計算復雜度太高。

【發明內容】

[0005]本發明的目的是提供一種基于增強綁定的IPv6移動終端抗攻擊方法。所述方法通過改進AAA認證過程，將AAA認證和家鄉注冊結合起來，并由家鄉網絡的AAA服務器在移動節點和家鄉代理之間共享密鑰，降低重復計算量，構建安全高效的綁定更新消息或綁定確認消息，不僅能夠為IPv6移動終端的家鄉注冊和通信節點注冊提供安全保障，提高IPv6網絡的安全性，而且無需依賴開銷大、效率低、配置繁瑣的IPSec。
[0006]為了實現上述目的，本發明提供一種基于增強綁定的IPv6移動終端抗攻擊方法。所述方法包括:
[0007]獲取輸入的用戶信息，并根據所述用戶信息發送認證請求；
[0008]接收根據所述認證請求返回的接入質詢報文；
[0009]根據所述接入質詢報文生成響應報文，并發送所述響應報文，以使得服務器根據所述響應報文認證所述用戶信息；
[0010]在認證成功的情況下，接收根據所述響應報文返回的接入接受報文；
[0011]提取所述接入接受報文中所包含的共享密鑰，并根據預設的更新規則加密綁定更新消息或綁定確認消息，從而抵抗安全攻擊。
[0012]可選地，所述根據所述接入質詢報文生成響應報文，包括:
[0013]提取所述接入質詢報文中所包含的隨機數；
[0014]根據所述隨機數和預設的口令計算得到消息摘要；
[0015]根據所述消息摘要生成所述響應報文。
[0016]可選地，所述預設的更新規則包括:
[0017]將所述共享密鑰添加到綁定更新消息頭或綁定確認消息頭的保留字段中；
[0018]每接收或發送一次所述綁定更新消息或綁定確認消息，更新所述共享密鑰。
[0019]相應地，本發明還提供一種基于增強綁定的IPv6移動終端抗攻擊方法。所述方法包括:
[0020]接收移動終端的客戶端發送的認證請求；
[0021]根據所述認證請求生成接入質詢報文，并發送所述接入質詢報文；
[0022]接收根據所述接入質詢報文返回的響應報文，并將所述響應報文與計算得到的消息摘要進行比較，得到比較結果；
[0023]在根據所述比較結果判斷所述響應報文中所包含的消息摘要與所述計算得到的消息摘要相同的情況下，生成共享密鑰；
[0024]根據所述共享密鑰生成接入接受報文，并發送所述接入接受報文，以使得所述客戶端根據預設的更新規則和所述接入接受報文中包含的共享密鑰加密綁定更新消息或綁定確認消息，從而抵抗安全攻擊。
[0025]可選地，所述根據所述認證請求生成接入質詢報文，包括:
[0026]根據所述認證請求產生一個隨機數；
[0027]根據所產生的一個隨機數生成所述接入質詢報文。
[0028]可選地，所述響應報文與計算得到的消息摘要進行比較之前，所述方法還包括:
[0029 ]根據所述認證請求在數據庫中讀取用戶口令；
[0030]根據所述用戶口令和所述接入質詢報文中包含的隨機數計算得到所述消息摘要。
[0031]可選地，所述生成共享密鑰，包括:
[0032 ]獲取當前時間的哈希值的前16位，得到所述共享密鑰。
[0033]可選地，所述方法還包括:
[0034]將所述共享密鑰與所述用戶口令進行異或運算，得到密鑰信息；
[0035]根據所述密鑰信息生成所述接入接受報文。
[0036]可選地，所述方法還包括:
[0037]將生成的所述共享密鑰分享給家鄉代理，以使得所述家鄉代理根據預設的更新規則和所述共享密鑰加密綁定更新消息或綁定確認消息，從而抵抗安全攻擊，
[0038]其中，所述預設的更新規則包括:
[0039]將所述共享密鑰添加到綁定更新消息頭或綁定確認消息頭的保留字段中；
[0040]每接收或發送一次所述綁定更新消息或綁定確認消息，更新所述共享密鑰。
[0041 ]可選地，所述方法還包括:
[0042]在根據所述比較結果判斷所述響應報文中所包含的消息摘要與所述計算得到的消息摘要不相同的情況下，生成接入拒絕報文，并發送所述接入拒絕報文終止認證。
[0043 ]通過上述技術方案，將AAA認證和家鄉注冊結合起來，并由家鄉網絡的AAA服務器在移動節點和家鄉代理之間共享密鑰，降低重復計算量，構建安全高效的綁定更新消息或綁定確認消息，不僅能夠為IPv6移動終端的家鄉注冊和通信節點注冊提供安全保障，提高IPv6網絡的安全性，而且無需依賴開銷大、效率低、配置繁瑣的IPSec。
【附圖說明】
[0044]為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹。顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些圖獲得其他的附圖。
[0045]圖1是本發明一實施例提供的基于增強綁定的IPv6移動終端抗攻擊系統的示意圖；
[0046]圖2是本發明一實施例提供的基于增強綁定的IPv6移動終端抗攻擊方法的流程圖；
[0047]圖3是本發明另一實施例提供的基于增強綁定的IPv6移動終端抗攻擊方法的