專利名稱:一種通信的建立方法、系統(tǒng)和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明實(shí)施例涉及通信技術(shù)領(lǐng)域����,特別涉及一種通信的建立方法、系統(tǒng) 和裝置�����。
背景技術(shù):
在IP (Internet Protocol,因特網(wǎng)協(xié)議)地址、子網(wǎng)段和自動(dòng)系統(tǒng)中�����,部分 容許IP地址欺騙�����。因此��,大部分的互聯(lián)網(wǎng)都很容易遇到IP地址欺騙的問題����,而 且持續(xù)頻發(fā)的這種IP地址欺騙可能成為 一個(gè)非常嚴(yán)重的問題�。例如
a) 偽裝源地址的能力會(huì)衍生出某種類型的網(wǎng)絡(luò)攻擊,比如回應(yīng)攻擊����,中 間人攻擊;
b) 偽裝以后的源地址可以實(shí)現(xiàn)某些其他形式的攻擊����,比如DDOS (Distribute Denial of Service,分布式拒絕服務(wù)攻擊)攻擊,而且非常難以凈皮
發(fā)覺�;
c )允許偽裝的源地址進(jìn)入網(wǎng)絡(luò)將無法通過查看源地址來得知IP數(shù)據(jù)包的 來源�����。
現(xiàn)有4支術(shù)中的URPF (Unicast Reverse Path Forwarding,單兮番反向路徑轉(zhuǎn) 發(fā))方法可以很好地解決IP地址欺騙的問題�����。URPF設(shè)定了以下數(shù)據(jù)包轉(zhuǎn)發(fā)機(jī) 制�����,當(dāng)路由器接收到一個(gè)數(shù)據(jù)包時(shí)����,該路由器檢查路由表���,確定返回?cái)?shù)據(jù)包 的源IP地址的路由是否從接收到該數(shù)據(jù)包的接口出去�����,如果是���,則正常轉(zhuǎn)發(fā)該 數(shù)據(jù)包,否則��,就會(huì)丟棄該凄t據(jù)包。
在實(shí)現(xiàn)本發(fā)明的過程中��,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題 采用URPF在網(wǎng)絡(luò)邊界阻斷偽造源地址IP的攻擊�,對于當(dāng)前的DDoS攻擊, 并不能奏效�,其根本原因就在于URPF的基本原理是路由器判斷出口流量的源 地址,如果該出口流量的源地址不屬于內(nèi)部子網(wǎng)的地址�,則阻斷出口流量。 但是攻擊者完全可以偽造其所在子網(wǎng)的IP地址進(jìn)行DDoS攻擊��,這樣就完全可以繞過URPF的防護(hù)策略����。因此,現(xiàn)有技術(shù)仍然會(huì)使帶有虛假源地址的數(shù)據(jù)包 通過����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種通信的建立方法�、系統(tǒng)和裝置,以實(shí)現(xiàn)通過CGA 參數(shù)和CGA簽名��,驗(yàn)證地址的真實(shí)性�,防止IP地址欺騙。
本發(fā)明實(shí)施例一方面提供一種通信的建立方法���,用于建立至少兩個(gè)通信 方之間的通信����,包括第第一通信方和第二通信方,包括
發(fā)送加密生成地址CGA請求至所述第一通信方�����;
接收所述第一通信方回復(fù)的CGA參數(shù)和CGA簽名�;
對所述CGA參數(shù)和CGA簽名進(jìn)行驗(yàn)證,在驗(yàn)證成功之后���,與所述第一 通信方建立通信����。
另一方面����,本發(fā)明實(shí)施例還提供一種通信的建立系統(tǒng),包括
第一通信方��,用于接收加密生成地址CGA請求��,并回復(fù)CGA參數(shù)和CGA 簽名�;
第二通信方���,用于發(fā)送所述CGA請求至所述第一通信方, -接收所述第一 通信方回復(fù)的CGA參數(shù)和CGA簽名���,并對所述CGA參數(shù)和CGA簽名進(jìn)行 驗(yàn)證��,在驗(yàn)證成功之后��,與所述第一通信方建立通信��。
再一方面��,本發(fā)明實(shí)施例還提供一種通信設(shè)備�,包括 發(fā)送模塊�,用于發(fā)送加密生成地址CGA請求至另 一通信設(shè)備; 接收模塊�����,用于接收所述另 一通信設(shè)備回復(fù)的CGA參數(shù)和CGA簽名���; 驗(yàn)證模塊,用于對所述接收模塊接收的CGA參數(shù)和CGA簽名進(jìn)行驗(yàn)證��; 通信建立模塊,用于在所述驗(yàn)證模塊驗(yàn)證成功之后��,與所述第一通信方 建立通信�。
再一方面,本發(fā)明實(shí)施例還提供一種傳輸幀格式��,所述傳輸幀格式包括 加密生成地址CGA請求數(shù)據(jù)���,用于在兩個(gè)通信方采用通信的建立方法建立通 信的過程中��,在兩個(gè)通信方之間傳輸CGA請求����,所述傳輸幀格式包括類型字 段����、預(yù)留字段和序列號(hào)字段,其中����,所述序列號(hào)字段,包括防止重放攻擊的信息����。
再一方面�,本發(fā)明實(shí)施例還提供一種傳輸幀格式�����,所述傳輸幀格式包括
加密生成地址CGA參數(shù)數(shù)據(jù)���,用于在兩個(gè)通信方采用通信的建立方法建立通 信的過程中�,在兩個(gè)通信方之間傳輸CGA參數(shù)���,所述傳輸幀格式包括類型字 段��、長度字段�����、填充長度字段�����、預(yù)留域字段�����、序列號(hào)字段���、CGA參數(shù)字段和 填充字段,其中��,
所述序列號(hào)字段��,包括防止重放攻擊的信息��;
所述CGA參數(shù)字段���,包括CGA參數(shù)信息���。
再一方面,本發(fā)明實(shí)施例還提供一種傳輸幀格式�����,所述傳輸幀格式包括 加密生成地址CGA簽名數(shù)據(jù)�,用于在兩個(gè)通信方采用通信的建立方法建立通 信的過程中,在兩個(gè)通信方之間傳輸CGA簽名�,所述傳輸幀格式包括類型字 段、長度字段�、填充長度字段�、預(yù)留域字段�����、CGA簽名字段和填充字段���,其 中�����,所述CGA簽名字段���,包括用發(fā)送者私鑰對數(shù)據(jù)包內(nèi)容的簽名。
與現(xiàn)有l(wèi)支術(shù)相比�,本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn)通過本發(fā)明實(shí)施例,在 建立通信的過程中�,通信方通過驗(yàn)證CGA擴(kuò)展頭所包括的CGA參數(shù)和CGA 簽名,確定CGA的真實(shí)性���,有效防止了IP地址欺騙���,防止或減輕了由于IP 地址欺騙引起的 一些網(wǎng)絡(luò)安全問題。
為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案�����,下面將對實(shí)施例描述中所 需要使用的附圖作簡單地介紹,顯而易見地�,下面描述中的附圖僅僅是本發(fā) 明的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動(dòng)的前 提下�,還可以根據(jù)這些附圖獲得其他的附圖��。
圖1為本發(fā)明實(shí)施例通信的建立方法的流程圖2為本發(fā)明通信的建立方法實(shí)施例一的流程圖3為本發(fā)明通信的建立方法實(shí)施例二的流程圖4為本發(fā)明通信的建立方法實(shí)施例三的流程圖5為本發(fā)明實(shí)施例提供的一種傳輸幀格式的示意圖��;圖6為本發(fā)明實(shí)施例提供的另一種傳輸幀格式的示意圖���; 圖7為本發(fā)明實(shí)施例提供的再一種傳輸幀格式的示意圖���; 圖8為本發(fā)明實(shí)施例通信的建立系統(tǒng)的一種結(jié)構(gòu)圖; 圖9為本發(fā)明實(shí)施例通信的建立系統(tǒng)的另一種結(jié)構(gòu)圖�; 圖IO為本發(fā)明實(shí)施例通信設(shè)備的一種結(jié)構(gòu)圖; 圖11為本發(fā)明實(shí)施例通信設(shè)備的另一種結(jié)構(gòu)圖����。
具體實(shí)施例方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖��,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行 清楚����、完整地描述��,顯然�����,所描述的實(shí)施例僅僅是本發(fā)明的一部分實(shí)施例�����, 而不是全部的實(shí)施例��?��;诒景l(fā)明中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員在沒有 做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�,都屬于本發(fā)明保護(hù)的范圍。 本發(fā)明實(shí)施例提供一種通信的建立方法���,解決了IP地址偽造���、仿冒等IP 地址欺騙問題��,解決或者減輕了由于IP地址欺騙引起的一系列網(wǎng)絡(luò)安全問題�����。 本發(fā)明實(shí)施例在IPv6 (Internet Protocol version 6 ��,因特網(wǎng)協(xié)議版本6 )擴(kuò) 展頭中增加CGA ( Cryptographically Generated Addresses,加密生成地址)擴(kuò) 展頭,該CGA擴(kuò)展頭包括CGA Request ( CGA請求)��、CGA Params ( CGA參 數(shù))�、CGASig (CGA簽名)。
如圖l所示���,為本發(fā)明實(shí)施例通信的建立方法的流程圖��,具體包括 步驟S101���,發(fā)送CGA請求至第一通信方。具體可以為 第二通信方接收第 一通信方發(fā)送的會(huì)話請求��,并對該會(huì)話請求進(jìn)行檢查, 當(dāng)該會(huì)話請求中的IPv6擴(kuò)展頭不包括CGA擴(kuò)展頭����,或者該會(huì)話請求包括內(nèi) 容為空的CGA擴(kuò)展頭時(shí),第二通信方發(fā)送CGA請求至第一通信方���。 步驟S102,接收第一通信方回復(fù)的CGA參數(shù)和CGA簽名�。 在接收到第二通信方發(fā)送的CGA請求之后���,第一通信方向第二通信方回 復(fù)CGA參數(shù)和CGA簽名���。本發(fā)明實(shí)施例在IPv6擴(kuò)展頭中增加CGA擴(kuò)展頭, 第一通信方回復(fù)的CGA參數(shù)和CGA簽名攜帶在IPv6擴(kuò)展頭的CGA擴(kuò)展頭 中�����。
步驟S103,對CGA參數(shù)和CGA簽名進(jìn)行驗(yàn)證�����,在驗(yàn)證成功之后�����,與第
一通信方建立通信。
另外��,在第二通信方接收第一通信方回復(fù)的CGA參數(shù)和CGA簽名的同時(shí)����,該第二通信方還可以接收第一通信方發(fā)送的CGA請求,在驗(yàn)證第一通信 方回復(fù)的CGA參數(shù)和CGA簽名成功之后�,第二通信方向第 一通信方回復(fù)該 第二通信方的CGA參數(shù)和CGA簽名。在第一通信方驗(yàn)證該第二通信方的 CGA參數(shù)和CGA簽名成功之后���,第二通信方與第一通信方建立通信�。這時(shí)���, 第一通信方和第二通信方相互驗(yàn)證了對方CGA的真實(shí)性。
上述通信的建立方法�,在建立通信的過程中,通信方通過驗(yàn)證CGA擴(kuò)展 頭所包括的CGA參數(shù)和CGA簽名�����,確定CGA的真實(shí)性����,有效防止了 IP地 址欺騙���,防止或減輕了由于IP地址欺騙S1起的一些網(wǎng)絡(luò)安全問題。
如圖2所示,為本發(fā)明通信的建立方法實(shí)施例一的流程圖�����,在實(shí)施例一 中���,第一通信方為應(yīng)答方,第二通信方為發(fā)起方���。具體包括
步驟S201,發(fā)起方向應(yīng)答方發(fā)送CGA請求����。
步驟S202,應(yīng)答方收到CGA請求后��,向發(fā)起方回復(fù)CGA參數(shù)����、CGA簽名。
步驟S203,發(fā)起方驗(yàn)證CGA參數(shù)及CGA簽名��,在驗(yàn)證成功之后,開始 后續(xù)通信��。如果驗(yàn)證失敗�����,則停止通信過程��。
上述通信的建立方法�,發(fā)起方向應(yīng)答方發(fā)送CGA請求,在接收到應(yīng)答方 回復(fù)的CGA參數(shù)及CGA簽名之后��,發(fā)起方驗(yàn)證CGA參數(shù)及CGA的簽名�����, 確定應(yīng)答方CGA的真實(shí)性�����,從而防止了IP地址欺騙��,防止或減輕了由于IP 地址欺騙引起的 一些網(wǎng)絡(luò)安全問題����。
如圖3所示,為本發(fā)明通信的建立方法實(shí)施例二的流程圖��,實(shí)施例二中�, 第一通信方為發(fā)起方,第二通信方為應(yīng)答方�����。具體包括
步驟S301���,發(fā)起方發(fā)起會(huì)話請求����。
步驟S302,應(yīng)答方收到會(huì)話請求后����,檢查IP擴(kuò)展頭中是否有CGA擴(kuò)展 頭,如果有��,則進(jìn)一步判斷該CGA擴(kuò)展頭的內(nèi)容是否為空��,當(dāng)該CGA擴(kuò)展 頭的內(nèi)容不為空時(shí)���,執(zhí)行步驟S304;如果IP擴(kuò)展頭中沒有CGA擴(kuò)展頭��,或 者會(huì)話請求中的CGA擴(kuò)展頭的內(nèi)容為空時(shí)�,應(yīng)答方發(fā)送CGA請求至發(fā)起方。
步驟S303,發(fā)起方接收CGA請求�,如果發(fā)起方支持CGA擴(kuò)展,則回復(fù) CGA參數(shù)�、CGA簽名;如果發(fā)起方不支持CGA擴(kuò)展���,則該發(fā)起方丟棄該CGA請求��。步驟S304,應(yīng)答方收到發(fā)送方回復(fù)的CGA參數(shù)�����、CGA簽名后���,-驗(yàn)證該 CGA參數(shù)及CGA簽名,在驗(yàn)證成功之后�����,開始后續(xù)通信��。如果驗(yàn)證失敗�, 則應(yīng)答方丟棄發(fā)送方回復(fù)的CGA參數(shù)和CGA簽名。上述通信的建立方法���,在應(yīng)答方收到發(fā)起方的會(huì)話請求之后���,應(yīng)答方向 發(fā)起方發(fā)送CGA請求,并驗(yàn)證發(fā)起方回復(fù)的CGA參數(shù)及CGA簽名���,確定發(fā) 起方CGA的真實(shí)性,從而防止了IP地址欺騙�,防止或減輕了由于IP地址-大 騙引起的一些網(wǎng)絡(luò)安全問題���。如圖4所示�,為本發(fā)明通信的建立方法實(shí)施例三的流程圖�����,實(shí)施例三中��, 第一通信方為發(fā)起方����,第二通信方為應(yīng)答方。具體包括步驟S401���,發(fā)起方發(fā)起會(huì)話請求��,該會(huì)話請求包括內(nèi)容為空的CGA擴(kuò) 展頭���。步驟S402,應(yīng)答方收到會(huì)話請求后,發(fā)送CGA請求至發(fā)起方�����。步驟S403,發(fā)起方收到CGA請求后�,向應(yīng)答方回復(fù)CGA參數(shù)、CGA簽 名��,并向應(yīng)答方發(fā)送CGA請求�����。步驟S404�����,應(yīng)答方收到發(fā)起方發(fā)送的CGA請求后�,應(yīng)答方先—驗(yàn)證發(fā)起 方回復(fù)的CGA參數(shù)及CGA簽名,在驗(yàn)證成功之后���,應(yīng)答方向發(fā)起方回復(fù)該 應(yīng)答方的CGA參數(shù)及CGA簽名�����;如果驗(yàn)證失敗�,則應(yīng)答方丟棄發(fā)起方發(fā)送 的CGA參數(shù)�、CGA簽名和CGA請求。步驟S405�,發(fā)起方收到應(yīng)答方回復(fù)的CGA參數(shù),CGA簽名后���,驗(yàn)證CGA 參數(shù)及CGA簽名�����,在驗(yàn)證成功之后�,開始后續(xù)通信��。如果驗(yàn)證失敗,則發(fā)起 方丟棄該CGA參數(shù)��,CGA簽名�����。上述通信的建立方法����,在應(yīng)答方收到發(fā)起方的會(huì)話請求之后,應(yīng)答方向 發(fā)起方發(fā)送CGA請求�,并驗(yàn)證發(fā)起方回復(fù)的CGA參數(shù)及CGA簽名,同時(shí)發(fā) 起方也向應(yīng)答方發(fā)送CGA請求��,驗(yàn)證應(yīng)答方回復(fù)的CGA參數(shù)及CGA簽名�����, 發(fā)起方和應(yīng)答方相互確定對方CGA的真實(shí)性��,從而防止了 IP地址欺騙��,防 止或減輕了由于IP地址欺騙引起的一些網(wǎng)絡(luò)安全問題��。本發(fā)明實(shí)施例通過增加CGA擴(kuò)展頭,在建立通信的過程中�����,要求通信方在消息中添加包括CGA參數(shù)和CGA簽名的擴(kuò)展頭�����,用于驗(yàn)證CGA的真實(shí)性���, 防止IP地址欺騙����,防止或減輕由于IP地址欺騙引起的一些網(wǎng)絡(luò)安全問題����。以TCP ( Transmission Control Protocol , 傳輸控制協(xié)議)-SYN (Synchronization,同步)洪水攻擊為例�,攻擊者通過僵尸網(wǎng)絡(luò)發(fā)起大量虛假 地址的SYN-清求。應(yīng)用本發(fā)明實(shí)施例,服務(wù)器收到SYN請求后����,不會(huì)立即回應(yīng)SYN-ACK (Acknowledgement,確認(rèn))并建立半連接狀態(tài)�����,而是先4企查SYN請求里面 有沒有CGA擴(kuò)展頭��。1)如果SYN請求沒有CGA擴(kuò)展頭��,服務(wù)器發(fā)送CGA 請求且不需要為該SYN請求建立狀態(tài)信息���,由于SYN請求中的源地址為虛 假地址��,所以服務(wù)器不會(huì)再收到回應(yīng)����;2)如果SYN請求中帶有CGA擴(kuò)展頭�, 服務(wù)器會(huì)先驗(yàn)證CGA的有效性���,如果SYN請求中的源地址為虛布支地址���,月l 務(wù)器只需做簡單的哈希運(yùn)算�,即可判斷該SYN請求是非法的,丟棄該SYN 請求即可�。應(yīng)用本發(fā)明實(shí)施例,雖然服務(wù)器仍需要為虛假地址的SYN請求耗 費(fèi)一些資源,但相對于回應(yīng)SYN-ACK并建立半連接狀態(tài)�,資源消耗4艮小, 并且不需要為虛假地址的請求保持半連接狀態(tài)�,很大程度上解決了 TCP-SYN 洪水攻擊問題。以中間人攻擊為例 "中間人"(主機(jī)C,攻擊者)處于通信發(fā)起方(主機(jī)A)與應(yīng)答方(主 機(jī)B)之間���,同時(shí)冒充發(fā)起方和應(yīng)答方的地址�,分別與主機(jī)A����、主機(jī)B通信。 若主才幾A知道主才幾B的地址���,那么在應(yīng)用本發(fā)明實(shí)施例時(shí)��,攻擊者無法篡改 主機(jī)B發(fā)給主機(jī)A的消息��,因?yàn)橥ㄟ^應(yīng)用CGA簽名����,將主機(jī)B的身份和CGA 進(jìn)行綁定���,攻擊者不知道主才幾B的私鑰�����,無法得出篡改后消息的正確簽名�����。本發(fā)明實(shí)施例還提供了 一種傳輸幀格式��,該傳輸幀格式包括CGA請求數(shù) 據(jù)��,用于在兩個(gè)通信方采用本發(fā)明實(shí)施例提供的通信的建立方法建立通信的 過程中��,在兩個(gè)通信方之間傳輸CGA請求�����。在通信過程中��,通信任意一方均 可以通過發(fā)送包括了 CGA請求選項(xiàng)的IP數(shù)據(jù)包來向?qū)Ψ秸埱驝GA參數(shù)和 CGA簽名��。接收到該IP數(shù)據(jù)包的通信方需要在回復(fù)的數(shù)據(jù)包中包括CGA CGA參數(shù)�、CGA簽名�。本發(fā)明實(shí)施例提出的CGA請求選項(xiàng)的格式如圖5所示,該CGA請求選 項(xiàng)包括類型(Type)字段����,為8比特?zé)o符號(hào)整數(shù),在本實(shí)施例中�,當(dāng)該類型字 段的數(shù)值為193時(shí),表明該數(shù)據(jù)包為CGA請求�。在其它實(shí)施例中,也可用其 它數(shù)值表明該數(shù)據(jù)包為CGA請求��。預(yù)留域(Reserved)字段�,長度為24比特,以備將來擴(kuò)展使用�����。該預(yù)留 域字段必須設(shè)為0����。序列號(hào)(S叫uence Number)字段����,為32比特隨機(jī)數(shù),包括防止重放攻擊 的信息����。本發(fā)明實(shí)施例還提供了 一種傳輸幀格式,該傳輸幀格式包括CGA參數(shù)數(shù) 據(jù)���,用于在兩個(gè)通信方釆用本發(fā)明實(shí)施例提供的通信的建立方法建立通信的 過程中��,在兩個(gè)通信方之間傳輸CGA參數(shù)��,接收到CGA參數(shù)的通信方根據(jù) 該CGA參數(shù)對CGA進(jìn)行驗(yàn)證����。本發(fā)明實(shí)施例提出的CGA參數(shù)選項(xiàng)的格式如圖6所示�����,該CGA參數(shù)選 項(xiàng)包括類型(Type)字段���,為8比特?zé)o符號(hào)整數(shù)����。在本實(shí)施例中,當(dāng)該類型字 段的數(shù)值為194時(shí)��,表明該數(shù)據(jù)包為CGA參數(shù)���。在其它實(shí)施例中�,也可用其 它值表明該數(shù)據(jù)包為CGA參數(shù)���。長度(Length)字段�,為8比特?zé)o符號(hào)整數(shù)��,以字節(jié)為單位����,表明整個(gè) CGA參數(shù)的長度,為類型字段���、長度字段���、填充長度字段、預(yù)留域字段、序 列號(hào)字段�、CGA參數(shù)字段以及填充字段等各字段長度的總和。填充長度(PadLength)字段���,為8比特?zé)o符號(hào)整數(shù)����,表示填充字段的長 度��,單位為字節(jié)。預(yù)留域(Reserved)字段���,長度為8比特字段���,以備將來擴(kuò)展使用����。該預(yù) 留域字段必須設(shè)為0����。序列號(hào)(Sequence Number)字段,為32比特整數(shù)��,包括防止重放攻擊的 信息��。如果該CGA參數(shù)用于響應(yīng)CGA請求,該序列號(hào)字段的值為CGA請求 中的序列號(hào)的值加l;否則�,將該序列號(hào)字段置為0。參數(shù)(Parameters )字段��,長度可變�����,包括CGA參數(shù)信息�。填充(Padding)字段���,可變長度域����,用于使數(shù)據(jù)包長度為8字節(jié)的整數(shù)倍��。該填充字^a的內(nèi)容必須為0�����。本發(fā)明實(shí)施例還提供一種傳輸幀格式����,該傳輸幀格式包括CGA簽名數(shù)據(jù), 用于在兩個(gè)通信方采用本發(fā)明實(shí)施例提供的通信的建立方法建立通信的過程 中,在兩個(gè)通信方之間傳輸CGA簽名����,CGA簽名用于發(fā)送使用CGA參數(shù)中 的公鑰所對應(yīng)的私鑰對數(shù)據(jù)包的簽名。本發(fā)明實(shí)施例提出的CGA簽名選項(xiàng)的格式如圖7所示���,該CGA簽名選 項(xiàng)包括類型(Type)字段���,為8比特?zé)o符號(hào)整數(shù)。在本實(shí)施例中���,若類型字段 的數(shù)值為195時(shí)����,表明該數(shù)據(jù)包為CGA簽名���。在其它實(shí)施例中�,也可用其它 數(shù)值表明該數(shù)據(jù)包為CGA簽名��。長度(Length)字段�,為8比特?zé)o符號(hào)整數(shù),以字節(jié)為單位表明整個(gè)CGA 簽名的長度���,為類型字段�����、長度字段�、填充長度字段、預(yù)留域字段���、CGA簽 名字段和填充字段等各字段長度的總和。填充長度(PadLength)字段��,為8比特?zé)o符號(hào)整數(shù)����,表示填充字段的長 度,單位為字節(jié)����。預(yù)留域(Reserved)字段,長度為8比特��,以備將來擴(kuò)展使用����。該預(yù)留域 字段必須設(shè)為0�。簽名(Signature )字段�,為可變長度字段,包括用發(fā)送者私鑰對數(shù)據(jù)包內(nèi) 容的簽名��。填充(Padding)字段��,為可變長度字段�����,用于使數(shù)據(jù)包長度為8字節(jié)的整數(shù)倍��。該填充字段的內(nèi)容必須為0��。如圖8所示���,為本發(fā)明實(shí)施例通信的建立系統(tǒng)的結(jié)構(gòu)圖����,包括 第一通信方81��,用于接收CGA請求�����,并回復(fù)CGA參數(shù)和CGA簽名; 第二通信方82,用于發(fā)送CGA請求至第一通信方81,接收第一通信方81回復(fù)的CGA參數(shù)和CGA簽名����,并對該CGA參數(shù)和CGA簽名進(jìn)行驗(yàn)證,在驗(yàn)證成功之后�����,與第一通信方81建立通信����。在本發(fā)明的另一實(shí)施例中,如圖9所示����,第二通信方82可以包括 發(fā)送模塊821,用于發(fā)送CGA請求至第一通信方81; 接收模塊822,用于接收第一通信方81回復(fù)的CGA參數(shù)和CGA簽名�����; 驗(yàn)證模塊823 ����,用于對接收模塊822接收的CGA參數(shù)和CGA簽名進(jìn)行 驗(yàn)證;通信建立模塊824,用于在驗(yàn)證模塊823驗(yàn)證成功之后����,與第一通信方 81建立通信��。該發(fā)送才莫塊821可以包括會(huì)話請求接收子模塊8211,用于接收第一通信方81發(fā)送的會(huì)話請求���; CGA請求發(fā)送子模塊8212,用于當(dāng)會(huì)話請求接收子模塊8211接收的會(huì)話請求的IPv6擴(kuò)展頭中不包括CGA擴(kuò)展頭,或者該會(huì)話請求包括內(nèi)容為空的CGA擴(kuò)展頭時(shí)���,發(fā)送CGA請求至第一通信方81���。 該第二通信方82還可以包括CGA請求接收模塊825,用于在接收模塊822接收第一通信方81回復(fù)的 CGA參數(shù)和CGA簽名的同時(shí),接收第 一通信方81發(fā)送的CGA請求����;CGA回復(fù)模塊826,用于在CGA請求接收模塊825接收到第一通信方 81發(fā)送的CGA請求��,且驗(yàn)證模塊823驗(yàn)證CGA參數(shù)和CGA簽名成功之后����, 向第一通信方81回復(fù)第二通信方82的CGA參數(shù)和CGA簽名。上述通信的建立系統(tǒng)���,在建立通信的過程中�����,第二通信方82通過-瞼證第 一通信方81回復(fù)的CGA參數(shù)和CGA簽名����,確定第一通信方81CGA的真實(shí) 性,有效防止了 IP地址欺騙��,防止或減輕了由于IP地址欺騙引起的一些網(wǎng)絡(luò) 安全問題�。如圖10所示,為本發(fā)明實(shí)施例通信設(shè)備10的結(jié)構(gòu)圖�,包括 發(fā)送模塊101,用于發(fā)送CGA請求至另 一通信設(shè)備; 接收模塊102����,用于接收另 一通信設(shè)備回復(fù)的CGA參數(shù)和CGA簽名; 驗(yàn)證模塊103,用于對接收模塊102接收的CGA參數(shù)和CGA簽名進(jìn)行 驗(yàn)證�����;通信建立模塊104�,用于在驗(yàn)證模塊103驗(yàn)證成功之后�����,與另一通信設(shè)備建立通信。
在本發(fā)明的另一實(shí)施例中�,如圖11所示,發(fā)送^t塊101可以包括 會(huì)話請求接收子模塊1011,用于接收另一通信設(shè)備發(fā)送的會(huì)話請求��; CGA請求發(fā)送子模塊1012,用于當(dāng)會(huì)話請求接收子模塊1011接收的會(huì)
話請求的IPv7擴(kuò)展頭中不包括CGA擴(kuò)展頭���,或者該會(huì)話請求包括內(nèi)容為空
的CGA擴(kuò)展頭時(shí)���,發(fā)送該CGA請求至另 一通信設(shè)備。 該通信設(shè)備10還可以包括
CGA請求接收模塊105,用于在接收模塊102接收另 一通信設(shè)備回復(fù)的 CGA參數(shù)和CGA簽名的同時(shí)����,接收所述另 一通信設(shè)備發(fā)送的CGA請求;
CGA回復(fù)模塊106,用于在CGA請求接收模塊105接收到另 一通信設(shè)備 發(fā)送的CGA請求�,且在驗(yàn)證模塊103驗(yàn)證CGA參數(shù)和CGA簽名成功之后, 向另 一通信設(shè)備回復(fù)該通信設(shè)備的CGA參數(shù)和CGA簽名��。
上述通信設(shè)備����,在與另一通信設(shè)備建立通信的過程中,發(fā)送模塊101發(fā) 送CGA請求至另一通信設(shè)備��,接收模塊102接收另一通信設(shè)備回復(fù)的CGA 參數(shù)和CGA簽名,驗(yàn)證模塊103對接收模塊102接收的CGA參數(shù)和CGA簽 名進(jìn)行l(wèi)iS正���,確定第一通信方51CGA的真實(shí)性��,在驗(yàn)證模塊103驗(yàn)證成功之 后��,通信建立模塊104與另一通信設(shè)備建立通信����。使用本發(fā)明實(shí)施例提供的 上述通信設(shè)備��,可以有效防止IP地址欺騙���,防止或減輕由于IP地址欺騙引起 的一些網(wǎng)絡(luò)安全問題����。
通過以上的實(shí)施方式的描述�����,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可以通過硬件實(shí)現(xiàn)��,也可以借助軟件加必要的通用硬件平臺(tái)的方式來實(shí)現(xiàn)�。 基于這樣的理解,本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來����,該軟 件產(chǎn)品可以存儲(chǔ)在一個(gè)非易失性存儲(chǔ)介質(zhì)(可以是CD-ROM, U盤����,移動(dòng)硬 盤等)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)�����,服 務(wù)器�����,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法�。
本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖,附圖中的 模塊或流程并不一定是實(shí)施本發(fā)明所必須的���。
本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分布于實(shí)施例的裝置中��,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一 個(gè)或多個(gè)裝置中����。上述實(shí)施例的模塊可以合并為一個(gè)模塊,也可以進(jìn)一步拆
分成多個(gè)子模塊����。
上述本發(fā)明實(shí)施例序號(hào)僅僅為了描述,不代表實(shí)施例的優(yōu)劣����。 以上公開的僅為本發(fā)明的幾個(gè)具體實(shí)施例,但是�,本發(fā)明并非局限于此,
任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍�����。
權(quán)利要求
1��、一種通信的建立方法��,用于建立至少兩個(gè)通信方之間的通信�,包括第一通信方和第二通信方,其特征在于�����,包括發(fā)送加密生成地址CGA請求至所述第一通信方��;接收所述第一通信方回復(fù)的CGA參數(shù)和CGA簽名;對所述CGA參數(shù)和CGA簽名進(jìn)行驗(yàn)證�,在驗(yàn)證成功之后���,與所述第一通信方建立通信�����。
2���、 如權(quán)利要求1所述通信的建立方法,其特征在于�����,在所述發(fā)送CGA 請求至第一通信方之前����,還包括接收所述第一通信方發(fā)送的會(huì)話請求,當(dāng) 所述會(huì)話請求的IPv6擴(kuò)展頭不包括CGA擴(kuò)展頭時(shí)發(fā)送CGA請求至所述第一 通信方�。
3、 如權(quán)利要求1所述通信的建立方法����,其特征在于�����,在所述發(fā)送CGA 請求至第一通信方之前��,還包括接收所述第一通信方發(fā)送的會(huì)話請求��,當(dāng) 所述會(huì)話請求包括內(nèi)容為空的CGA擴(kuò)展頭時(shí)發(fā)送CGA請求至所述第一通信 方�����。
4�、 如權(quán)利要求1所述通信的建立方法�����,其特征在于�,在所述接收第一通 信方回復(fù)的CGA參數(shù)和CGA簽名的同時(shí),還接收所述第一通信方發(fā)送的 CGA請求�;在驗(yàn)證所述CGA參數(shù)和CGA簽名成功之后,向所述第一通信方回復(fù)所 述第二通信方的CGA參數(shù)和CGA簽名��;在所述第一通信方驗(yàn)證所述第二通信方的CGA參數(shù)和CGA簽名成功之 后���,建立與所述第一通信方通信�����。
5�����、 如權(quán)利要求1至4任意一項(xiàng)所述通信的建立方法�����,其特征在于��,所述 CGA參數(shù)和CGA簽名攜帶在因特網(wǎng)協(xié)議版本6 IPv6擴(kuò)展頭的CGA擴(kuò)展頭中���。
6、 一種通信的建立系統(tǒng)���,其特征在于�,包括第 一通信方����,用于接收加密生成地址CGA請求,并回復(fù)CGA參數(shù)和CGA 簽名�����;第二通信方,用于發(fā)送所述CGA請求至所述第一通信方�,接收所述第一 通信方回復(fù)的CGA參數(shù)和CGA簽名,并對所述CGA參數(shù)和CGA簽名進(jìn)行驗(yàn)證�����,在-驗(yàn)證成功之后�,與所述第一通信方建立通信。
7��、 如權(quán)利要求6所述通信的建立系統(tǒng)��,其特征在于�����,所述第二通信方包括發(fā)送模塊���,用于發(fā)送所述CGA請求至所述第一通信方�����; 接收模塊���,用于接收所述第一通信方回復(fù)的CGA參數(shù)和CGA簽名���; 驗(yàn)證模塊,用于對所述接收模塊接收的CGA參數(shù)和CGA簽名進(jìn)行驗(yàn)證��; 通信建立模塊���,用于在所述驗(yàn)證模塊驗(yàn)證成功之后����,與所述第一通信方 建立通信��。
8�、 如權(quán)利要求7所述通信的建立系統(tǒng)���,其特征在于��,所述發(fā)送模塊包括 會(huì)話請求接收子模塊���,用于接收所述第一通信方發(fā)送的會(huì)話請求;CGA請求發(fā)送子模塊����,用于當(dāng)所述會(huì)話請求接收子模塊接收的會(huì)話請求 的IPv6擴(kuò)展頭中不包括CGA擴(kuò)展頭�,或者所述會(huì)話請求包括內(nèi)容為空的CGA 擴(kuò)展頭時(shí)���,發(fā)送所述CGA請求至所述第一通信方�����。
9��、 如權(quán)利要求7所述通信的建立系統(tǒng)�,其特征在于��,所述第二通信方還 包括CGA請求接收模塊��,用于在所述接收模塊接收所述第一通信方回復(fù)的 CGA參數(shù)和CGA簽名的同時(shí)��,接收所述第 一通信方發(fā)送的CGA請求����;CGA回復(fù)模塊,用于在所述CGA請求接收模塊接收到所述第一通信方 發(fā)送的CGA請求��,且所述驗(yàn)證模塊驗(yàn)證所述CGA參數(shù)和CGA簽名成功之后, 向所述第一通信方回復(fù)所述第二通信方的CGA參數(shù)和CGA簽名����。
10、 一種通信設(shè)備��,其特征在于��,包括發(fā)送模塊����,用于發(fā)送加密生成地址CGA請求至另 一通信設(shè)備; 接收模塊�����,用于接收所述另 一通信設(shè)備回復(fù)的CGA參數(shù)和CGA簽名����; 驗(yàn)證模塊��,用于對所述接收模塊接收的CGA參數(shù)和CGA簽名進(jìn)行驗(yàn)證����; 通信建立模塊,用于在所述驗(yàn)證模塊驗(yàn)證成功之后,與所述另一通信設(shè) 備建立通信�����。
11�、 如權(quán)利要求10所述通信設(shè)備,其特征在于�����,所述發(fā)送模塊包括 會(huì)話請求接收子模塊�,用于接收所述另 一通信設(shè)備發(fā)送的會(huì)話請求;CGA請求發(fā)送子模塊��,用于當(dāng)所述會(huì)話請求接收子模塊接收的會(huì)話請求 的IPv6擴(kuò)展頭中不包括CGA擴(kuò)展頭�����,或者所述會(huì)話請求包括內(nèi)容為空的CGA 擴(kuò)展頭時(shí)����,發(fā)送所述CGA請求至所述另 一通信設(shè)備。
12����、 如權(quán)利要求10所述通信設(shè)備���,其特征在于,還包括CGA請求接收模塊���,用于在所述接收模塊接收所述另 一通信設(shè)備回復(fù)的 CGA參數(shù)和CGA簽名的同時(shí)�,接收所述另 一通信設(shè)備發(fā)送的CGA請求��;CGA回復(fù)模塊�,用于在所述CGA請求接收模塊接收到所述另一通信設(shè) 備發(fā)送的CGA請求,且所述驗(yàn)證模塊驗(yàn)證所述CGA參數(shù)和CGA簽名成功之 后����,向所述另 一通信設(shè)備回復(fù)所述通信設(shè)備的CGA參數(shù)和CGA簽名。
13�、 一種傳輸幀格式,其特征在于���,所述傳輸幀格式包括加密生成地址 CGA請求數(shù)據(jù)�,用于在兩個(gè)通信方采用權(quán)利要求1所述的通信的建立方法建 立通信的過程中�,在兩個(gè)通信方之間傳輸CGA請求�,所述傳輸幀格式包括類 型字段、預(yù)留字段和序列號(hào)字段�����,其中,所述序列號(hào)字段�����,包括防止重放攻 擊的信息��。
14��、 如權(quán)利要求13所述傳輸幀格式��,其特征在于��,所述類型字段標(biāo)識(shí)所 述傳輸幀為CGA請求幀���。
15���、 一種傳輸幀格式,其特征在于�����,所述傳輸幀格式包括加密生成地址 CGA參數(shù)數(shù)據(jù)�����,用于在兩個(gè)通信方采用權(quán)利要求1所述的通信的建立方法建 立通信的過程中,在兩個(gè)通信方之間傳輸CGA參數(shù)�,所述傳輸幀格式包括類 型字段、長度字段�、填充長度字段、預(yù)留域字段���、序列號(hào)字段�����、參數(shù)字段和 填充字段�����,其中��,所述序列號(hào)字段�,包括防止重放攻擊的信息��; 所述參數(shù)字段����,包括CGA參數(shù)信息。
16����、 如權(quán)利要求15所述傳輸幀格式,其特征在于�����,所述類型字段���,標(biāo)識(shí) 所述傳輸幀為CGA參數(shù)幀��;所述長度字段��,以字節(jié)為單位表示整個(gè)傳輸幀的長度�。
17���、 一種傳輸幀格式�����,其特征在于�,所述傳輸幀格式包括加密生成地址 CGA簽名數(shù)據(jù)��,用于在兩個(gè)通信方采用權(quán)利要求1所述的通信的建立方法建立通信的過程中,在兩個(gè)通信方之間傳輸CGA簽名����,所述傳輸幀格式包括類 型字段、長度字段����、填充長度字段、預(yù)留域字段����、簽名字段和填充字段,其 中���,所述簽名字段�����,包括用發(fā)送者私鑰對數(shù)據(jù)包內(nèi)容的簽名����。
18����、如權(quán)利要求17所述傳輸幀格式����,其特征在于����,所述類型字段�����,標(biāo)識(shí) 所述傳輸幀為CGA簽名幀�;所述長度字段,以字節(jié)為單位表示整個(gè)傳輸幀的長度����。
全文摘要
本發(fā)明實(shí)施例公開了一種通信的建立方法、系統(tǒng)和裝置�,所述通信的建立方法用于建立至少兩個(gè)通信方之間的通信,包括第一通信方和第二通信方�����,包括發(fā)送加密生成地址CGA請求至所述第一通信方���;接收所述第一通信方回復(fù)的CGA參數(shù)和CGA簽名����;對所述CGA參數(shù)和CGA簽名進(jìn)行驗(yàn)證,在驗(yàn)證成功之后���,與所述第一通信方建立通信����。通過本發(fā)明實(shí)施例��,在建立通信的過程中����,通信方通過驗(yàn)證CGA擴(kuò)展頭所包括的CGA參數(shù)和CGA簽名,確定CGA的真實(shí)性��,有效防止了IP地址欺騙�����,防止或減輕了由于IP地址欺騙引起的一些網(wǎng)絡(luò)安全問題�����。
文檔編號(hào)H04L29/06GK101299668SQ20081012917
公開日2008年11月5日 申請日期2008年6月30日 優(yōu)先權(quán)日2008年6月30日
發(fā)明者劉利鋒, 東 張 申請人:華為技術(shù)有限公司