(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111453777.X (22)申请日 2021.12.01 (71)申请人 青海师范大学 地址 青海省西宁市城西区五四西路38号青 海师范大学城西校区 申请人 甄龙飞 (72)发明人 甄龙飞　马克　 (74)专利代理 机构 西安研创天下知识产权代理 事务所(普通 合伙) 61239 代理人 张红哲 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种IPv6选项显式源地址加密安全验证网 关及验证方法 (57)摘要 本发明公开了一种IPv6选项显式源地址加 密安全验证网关， 该安全验证网关设备包括： 数 据概率采集模块， 用于对传输数据进行概率采集 数据包， 并将其发送至加密功能模块； 加密功能 模块， 用于对数据包内的源IPv6地址进行加密、 签名， 经过签名得到的密文加载到数据包内的逐 跳选项头中并且将携带源地址验证信息的数据 包发送到目的端； 验证功能模块， 用于验证接收 数据的源地址信息、 动态验证表的初始化创建和 动态更新。 本发明还提供了一种IP v6选项显式源 地址加密安全验证网关的验证方法， 既可以对传 输的数据进行加密， 又可以对所传的数据进行验 证， 实现了加密验证的一体化。 权利要求书2页 说明书14页 附图4页 CN 114389835 A 2022.04.22 CN 114389835 A 1.一种IPv6选项显式源地址加密安全验证网关， 其特征在于， 该安全验证网关设备包 括： 数据概率采集模块， 用于对传输数据进行概率采集数据包， 并将其发送至加密功能模 块； 加密功能模块， 用于对数据包内的源IPv6地址进行加密、 签名， 经过签名得到的密文加 载到数据包内的逐跳 选项头中并且将携带源地址验证信息的数据包发送到目的端； 验证功能模块， 用于验证接收数据的源地址信息、 动态验证表的初始化创建和动态更 新。 2.根据权利要求1所述的一种IPv6选项显 式源地址加密安全验证网关， 其特征在于， 所 述数据概 率采集模块包括 数据采集模块， 用于对数据包进行概 率采样， 为加密功能模块 提供标记信息的数据； 关键节点动态识别模块， 用于针对传输路径中的各传输节点进行流量状态的监控， 并 利用复杂网络指标计算并识别关键节点， 然后通过加密功 能模块进行加密签名， 利用验证 功能模块进行验证。 3.根据权利要求1所述的一种IPv6选项显 式源地址加密安全验证网关， 其特征在于， 所 述加密功能模块包括： 第一SHA224哈希模块， 用于加密源IPv6地址生成28Byte的消息摘要MAC， 为下一步数字 签名做准备； ECDSA签名模块， 用于将消息摘要MAC经 数字签名生成密文C， 提供源地址验证信息； 第一ECC密钥库， 使用ECC密钥生成算法生成密钥对(Pk， Sk)， 将密钥对(Pk， Sk)存于密 钥库中， 便 于ECDSA签名模块 提取密钥； 发送模块， 用于发送携带源地址验证信息的数据到目的端， 完成源地址验证的第一步 动作。 4.根据权利要求1所述的一种IPv6选项显 式源地址加密安全验证网关， 其特征在于， 所 述验证功能模块包括： 接收模块， 用于接收携带源地址验证信息的数据包和利用邻居SAG初始化创建本地动 态验证表； 逐跳头校验模块， 用于对数据包中逐跳头选项类型字段进行位值判断， 选择源地址验 证模式； 读取数据模块， 用于对接收的数据包进行读取， 获取源IPv6地址和密文C信息； 动态验证表： 通过将三元组作为规则表项创建一个动态更新的验证表， 三元组包括源 IPv6、 子网前缀以及Pk； 时钟模块， 用于向动态验证表提供时间信号， 定期更新动态验证表， 默认3h为一个周 期； 第二SHA224哈希模块， 用于对获取的源IPv6地址进行哈希， 计算出一个消息摘要MAC ’， 以备验证使用， 是验证模块的一个输入； ECDSA验签模块， 对密文C进行验签， 恢复出原始消息摘 要MAC， 以备验证使用， 是验证模 块的另一个输入； 第二ECC密钥库， 使用ECC密钥生成算法生成密钥对(Pk， Sk)， 根据密钥库找出对应的公权　利　要　求　书 1/2 页 2 CN 114389835 A 2钥Pk， 为E CDSA验签模块 提供公钥， 并为动态验证表提供相应密钥 信息； 验证模块， 用于验证数据来源的真实性。 5.根据权利要求4所述的一种IPv6选项显 式源地址加密安全验证网关， 其特征在于， 所 述验证模块的验证过程包括： 在单数据验证时， 通过第二SHA224哈希模块得到MAC ’和ECDSA验签模块的MAC进行比 对， 若相等， 则数据来源真实； 否则为伪造数据； 在流数据验证时， 通过接收的数据读取， 包 括源IPv6、 MAC、 Pk或子网前缀、 Pk与动态验证表中的源IPv6、 子网前缀、 Pk的元组信息进行 匹配， 若元组匹配， 则数据来源真实； 否则为伪造数据。 6.根据权利要求1 ‑5任意一项所述的一种IPv6选项显式源地址加密安全验证网关的验 证方法， 其特 征在于， 包括以下步骤： 步骤1： 加密阶段 101： 初始化， 利用E CC密钥生成算法产生密钥对(Pk， Sk)， 以备 数字签名调用； 102： 用第一SHA224哈希模块对数据包的源IPv6地址进行哈希， 计算消息摘要MAC， 作为 ECDSA签名模块的输入； 103： ECDSA签名模块调用第一ECC密钥库的密钥对， 使用私钥Sk对消息摘要MAC进行数 字签名， 得到密文C； 104： 将密文C加载到数据包中的逐跳选项头中， 得到一个携带源地址验证信息的数据 包， 再进行发送； 步骤2： 验证阶段 201： 初始化， 动态验证表通过共享相邻SAG的验证表来初始化创建本地动态验证表； 202： 通过判断逐跳选项头中选项类型字段的位值， 采取适合的源地址验证模式， 进行 验证操作。 7.根据权利 要求6所述的一种IPv6网络的ECDSA逐跳选项显式源地址加密验证方法， 其 特征在于， 在步骤202中其判断及验证过程如下： 若判定采用单数据验证时， 通过目的端接收的数据获取源IPv6地址和密文C， 因加密阶 段和验证阶段使用统一的密钥库可提取公钥Pk， 用公钥Pk对密文C进行验签得到原消息摘 要MAC， 并用源IPv6地址进行SHA224哈希得到一个新的消息摘要MAC ’， 将MAC和MAC ’进行比 对， 若数值相同则数据来源真实， 接 收或转发， 并将该数据作为元组添入动态验证表中； 否 则为伪造数据， 应丢弃 数据； 若判定采用流数据验证时， 通过目的端接收的数据获取源IPv6地址和密文C， 并通过密 钥库可知对应的公钥Pk， 组成相应的元组源IPv6、 Pk或子网前缀、 Pk， 对照动态验证表中的 元组信息进 行查找匹配， 若元 组匹配则数据来源真实， 接收或转 发数据； 若元 组未找到或不 匹配时， 进入单数据验证机制进 行再验证， 若判为真实数据则应接收或转 发数据， 否则为伪 造数据， 应丢弃 数据， 并恢复原验证模式。权　利　要　求　书 2/2 页 3 CN 114389835 A 3