真實源地址驗證體系結(jié)構下安全組播研究.ppt

1、2021/1/11,1,真實源地址驗證體系結(jié)構下安全組播研究,陳 越,2、基于身份密碼及流認證的IPv6源 地址驗證方法,3、真實源地址框架下的特定源組播,內(nèi) 容,2,2021/1/11,4、新的跨域特定源與任意源組播方案,1、真實源地址驗證的需求和概念,5、組播研究的熱點問題,1、真實源地址驗證的需求和概念,研究背景 結(jié)合與上海交通大學、清華大學、國防科大、XXXXDDDD、東北大學等合作承擔的國家科技支撐“國家科技支撐計劃課題“新一代可信任互聯(lián)網(wǎng)可擴展路由關鍵技術”中的研究內(nèi)容進行匯報和交流。 XXXXDDDD承擔部分是功能可擴展和安全可擴展部分的研究內(nèi)容。 目標：針對新一代可信任互聯(lián)網(wǎng)可

2、擴展路由體系結(jié)構下組播安全所面臨的挑戰(zhàn)及現(xiàn)有工作的不足，集中于SAVA下跨域安全組播、組密鑰管理、安全組成員管理等組播安全關鍵技術的研究，旨在為新一代可信任互聯(lián)網(wǎng)中的組播通信提供安全支持,3,2021/1/11,1、真實源地址驗證的需求和概念,下一代互聯(lián)網(wǎng)真實源地址驗證的需求 現(xiàn)有互聯(lián)網(wǎng)的 IP 分組轉(zhuǎn)發(fā)，主要基于目的IP 地址，很少對分組的IP 源地址的真實性進行檢查, 這使得分組的IP 源地址容易偽造。網(wǎng)絡攻擊者常常通過偽造分組的IP 源地址逃避承擔責任。 IP 源地址驗證已經(jīng)成為互聯(lián)網(wǎng)面臨的一個挑戰(zhàn)性的問題,4,2021/1/11,真實IP源地址的三重含義 經(jīng)授權的。IP 源地址必須是經(jīng)

3、互聯(lián)網(wǎng)IP 地址管理機構分配授權的，不能偽造。 唯一的。IP 源地址必須是全局唯一的，除了在對全局唯一性不做要求的特殊情形以外。 可追溯的。網(wǎng)絡中轉(zhuǎn)發(fā)的IP 分組，可以根據(jù)其IP 源地址找到其所有者和位置,5,2021/1/11,1、真實源地址驗證的需求和概念,真實IP源地址可以實現(xiàn)的功能 這一體系結(jié)構的實現(xiàn)可以使得互聯(lián)網(wǎng)中攜帶真實IP 源地址的分組更容易被追蹤，攜帶偽造IP 源地址的分組無法轉(zhuǎn)發(fā)，被丟棄。此外還有以下功能： 可以實現(xiàn)更精細粒度的網(wǎng)絡管理和計費。由于實現(xiàn)全局唯一的IP 地址到用戶應用的映射更加容易，網(wǎng)絡管理系統(tǒng)可以更容易對端到端的應用實現(xiàn)計費，如同現(xiàn)有電話網(wǎng)絡一樣。 安全認證可

4、以得到一定程度的簡化。傳統(tǒng)的認證多基于加密方法。如果實現(xiàn)真實IPv6源地址驗證體系結(jié)構，真實IPv6 源地址和上層實體間的映射可以為認證提供幫助。 新的互聯(lián)網(wǎng)應用，例如P2P 應用和基于SIP 的大規(guī)模多媒體應用，由于采用了全局唯一的IP 源地址，可以簡化實現(xiàn)，提高性能，更方便部署,6,2021/1/11,1、真實源地址驗證的需求和概念,真實IP源地址的體系結(jié)構,7,2021/1/11,1、真實源地址驗證的需求和概念,接入子網(wǎng)真實IPv6源地址驗證 接入子網(wǎng)真實IPv6源地址驗證是體系結(jié)構的重要組成部分，實現(xiàn)端系統(tǒng)IP地址一級的細粒度的真實IPv6 源地址驗證。如果沒有這一級驗證，一個主機依然

5、可以偽造IP前綴相同的同一子網(wǎng)內(nèi)其他主機的地址。其具有以下特點: 所有相關網(wǎng)絡設備在同一個網(wǎng)絡管理機構管理控制下。 解決方案與接入子網(wǎng)的地址管理分配和控制策略密切相關。 解決方案與端系統(tǒng)的接入方式密切相關,8,2021/1/11,1、真實源地址驗證的需求和概念,自治系統(tǒng)內(nèi)真實IPv6源地址驗證 其目標是實現(xiàn)IP地址前綴粒度的真實IPv6 源地址驗證，因為自治系統(tǒng)內(nèi)的網(wǎng)絡設備都在同一個管理機構管理之下，主要的驗證機制只需部署在運營商網(wǎng)絡和接入網(wǎng)絡的邊界。 解決方案的主要思想是在路由器上部署入口過濾驗證規(guī)則, 這些規(guī)則把每一個路由器的接口和一組真實有效的IP地址前綴關聯(lián)起來,9,2021/1/11

6、,1、真實源地址驗證的需求和概念,自治系統(tǒng)間真實IPv6源地址驗證 這是最復雜的一個層次，其目標是實現(xiàn)自治系統(tǒng)粒度的真實IPv6源地址驗證。自治系統(tǒng)間真實IPv6源地址驗證具有如下特點: 需要在不同自治系統(tǒng)間協(xié)同工作。 機制必須簡單輕權，不給自治系統(tǒng)間的高速通信帶來明顯影響,10,2021/1/11,1、真實源地址驗證的需求和概念,自治系統(tǒng)間真實IPv6源地址驗證,11,2021/1/11,自治系統(tǒng)間真實IPv6源地址驗證需要建立協(xié)同工作機制，具體做法是在網(wǎng)絡中部署一臺注冊服務器用以向各個自治系統(tǒng)提供協(xié)同服務,1、真實源地址驗證的需求和概念,12,2021/1/11,Add signature

7、,check signature, valid,Remove signature,Ingress filtering,Check signature, invalid,Unsigned Flow,Signed Flow,1.綠線向自治系統(tǒng)注冊，獲取可被驗證的簽名,2藍線為注冊過的數(shù)據(jù)流,4紅線表示未經(jīng)過注冊的攻擊者,3經(jīng)過注冊的IP地址通過自治系統(tǒng)時，對簽名進行驗證，通過驗證則去掉簽名并向下轉(zhuǎn)發(fā)，反之丟棄,1、真實源地址驗證的需求和概念,2、基于身份密碼及流認證的IPv6源 地址驗證方法,3、真實源地址框架下的特定源組播,內(nèi) 容,13,2021/1/11,4、新的跨域特定源與任意源組播方案,1

8、、真實源地址驗證的需求和概念,5、組播研究的熱點問題,2、基于身份密碼及流認證的IPv6源地址驗證方法,背景 SAVA(Source Address Validation Architecture) 清華大學吳建平、畢軍。 RFC 5210, IETF 2008 進一步的目標：實現(xiàn)密碼學意義上的源地址驗證方案。 速度要快,14,2021/1/11,2、基于身份密碼及流認證的IPv6源地址驗證方法,基于身份密碼及流認證的IPv6源地址驗證方法的基本思想是： 把主機MAC地址作為身份同主機公鑰相綁定，利用CGA算法從主機公鑰衍生出IPv6接入子網(wǎng)地址，通過數(shù)字簽名提供主機真實性的驗證，以消息認證碼

9、和流認證技術實現(xiàn)接入網(wǎng)關對數(shù)據(jù)包IPv6地址的快速安全的驗證,15,2021/1/11,2、基于身份密碼及流認證的IPv6源地址驗證方法,16,2021/1/11,私鑰生成中心是設置在接入子網(wǎng)內(nèi)的一臺可信計算機，主要用于生成系統(tǒng)公開參數(shù)，生成并安全保存主私鑰，進行主機身份注冊，生成并分發(fā)主機私鑰,安全網(wǎng)關是設置在接入子網(wǎng)邊界的一個安全網(wǎng)絡設備，主要用于驗證向接入子網(wǎng)外轉(zhuǎn)發(fā)的數(shù)據(jù)包的源IP地址,主機中需要包含一個密鑰發(fā)生器，用于生成會話密鑰,2、基于身份密碼及流認證的IPv6源地址驗證方法,基于身份密碼及流認證的IPv6源地址驗證方法的大致分三階段進行： 第一階段，構建一個基于身份的密碼系統(tǒng)；

10、第二階段，主機根據(jù)第一階段產(chǎn)生的公鑰來生成對應的IPv6地址； 第三階段，主機根據(jù)主機私鑰和會話密鑰來生成主機IP地址的認證信息，網(wǎng)關根據(jù)數(shù)據(jù)包中的驗證信息來對源IP地址進行驗證,17,2021/1/11,2、基于身份密碼及流認證的IPv6源地址驗證方法,第一階段：基于身份密碼系統(tǒng)的構建 該階段分為兩步進行，主機注冊和主機密鑰產(chǎn)生。 主機注冊實現(xiàn)了合法主機向私鑰生成中心PKG的安全注冊，保證每個主機都必須以真實的MAC地址作為身份進行注冊，同時，為注冊成功的主機對應分配一個隨機數(shù)，為下一步做準備。我們認為，這一步是整個系統(tǒng)運行安全的前提，可以結(jié)合實際應用場景采用一些人工手段來保證注冊的安全性。

11、 主機密鑰產(chǎn)生過程主要為各主機安全產(chǎn)生并分發(fā)私鑰，而主機公鑰是由主機自己根據(jù)其MAC地址和系統(tǒng)公開參數(shù)生成的。通過PKG的主私鑰和主機在上一步得到的隨機數(shù)，可以保證只有擁有合法身份的主機才能獲得對應的私鑰，同時保證主機獲得的私鑰是PKG產(chǎn)生的，不是偽造的且沒有被惡意篡改,18,2021/1/11,2、基于身份密碼及流認證的IPv6源地址驗證方法,第二階段，IPv6真實源地址產(chǎn)生 該階段主要使用之前產(chǎn)生的主機公鑰生成一個基于身份密碼的IPv6地址，具體過程如下。 (1)主機從路由器公告中獲取一個地址前綴，或者使用鏈路本地地址的地址前綴。然后采用密碼產(chǎn)生地址(Cryptographically G

12、enerated Address, CGA)算法，根據(jù)公鑰KP、子網(wǎng)前綴及一些調(diào)節(jié)參數(shù)，采用一個單向哈希函數(shù)計算出一個比特串，然后將子網(wǎng)前綴結(jié)合這個比特串得到一個密碼產(chǎn)生IPv6地址。 (2)主機使用上述IPv6地址作為目標地址發(fā)送鄰居請求(Neighbor Solicitation)報文。報文附加一個選項頭，其中包含主機公鑰KP以及一個基于身份密碼的簽名，該簽名中包含使用主機私鑰KS對報文的簽名。 如果上述IPv6地址不與其它主機的IP地址沖突，則此主機使用該地址作為其IP地址；如果地址有沖突，則調(diào)整密碼產(chǎn)生地址算法中使用的參數(shù)，生成一個新的IP地址，再次發(fā)送鄰居請求報文,19,2021/1

13、/11,2、基于身份密碼及流認證的IPv6源地址驗證方法,第三階段，源地址認證信息的產(chǎn)生與驗證 簽名數(shù)據(jù)包的發(fā)送和驗證 主機在向接入子網(wǎng)外發(fā)送普通數(shù)據(jù)包之前，需要以安全網(wǎng)關為目的地址發(fā)送一個簽名數(shù)據(jù)包。以此為后續(xù)數(shù)據(jù)包的驗證傳遞一些必要信息。同時，為了防止重放攻擊，若主機超過一段時間（可根據(jù)具體應用場景來設置，本文設其為t）未向外發(fā)送數(shù)據(jù)包，當主機再次發(fā)送數(shù)據(jù)包時，需要重新發(fā)送一個新的簽名數(shù)據(jù)包,20,2021/1/11,2、基于身份密碼及流認證的IPv6源地址驗證方法,第三階段，源地址認證信息的產(chǎn)生與驗證 2.使用流認證方法驗證后續(xù)數(shù)據(jù)包 認證信息的接收者不需要事先知道該認證信息所使用的會話

14、密鑰，而是通過后續(xù)數(shù)據(jù)信息來公開之前的認證信息所使用的密鑰。因此，通過連續(xù)發(fā)送的信息流之間的這種相互關聯(lián)信息，可以讓發(fā)送者和接收者之間不需要事先進行密鑰協(xié)商，也不需要使用私鑰簽名，就可以實現(xiàn)接收者對這種大量連續(xù)發(fā)送的信息的高效認證,21,2021/1/11,2、基于身份密碼及流認證的IPv6源 地址驗證方法,3、真實源地址框架下的特定源組播,內(nèi) 容,22,2021/1/11,4、新的跨域特定源與任意源組播方案,1、真實源地址驗證的需求和概念,5、組播研究的熱點問題,3、真實源地址框架下的特定源組播,什么是IP組播： ASM (Any Source Multicast) ,RFC1121的組播服

15、務模型： 每一個組播組用一個單一的IP地址來標識，任意發(fā)送者發(fā)往該地址的數(shù)據(jù)可以到達所有的組成員 組成員的個數(shù)不加限制 組成員可以在Internet上任一位置 組成員可以自由的加入或離開 發(fā)送者不必是組播組的成員 此種模式稱為ASM SSM (Source Specific Multicast) ASM模型的擴展，允許接受者選擇發(fā)送者，即接受者只接收特定發(fā)送者的數(shù)據(jù)包，并且在構造轉(zhuǎn)發(fā)樹的時候進行裁剪,23,2021/1/11,3、真實源地址框架下的特定源組播,單播和組播的比較,24,2021/1/11,Server,Router,Unicast,Server,Router,Multicast,

16、應用程序/組播地址,主機-路由器協(xié)議 (IGMP、MLD,域內(nèi)組播協(xié)議 (DVMRP、 MOSPF、 CBT、PIM-DM、 PIM-SM,域間組播協(xié)議 (MBGP / MSDP、 BGMP / MASC PIM-SSM,注：以下”域” 均指自治系統(tǒng)(AS,3、真實源地址框架下的特定源組播,IP組播體系結(jié)構（一,3、真實源地址框架下的特定源組播,IP組播體系結(jié)構（二,發(fā)送者向組播地址發(fā)送數(shù)據(jù)包 -組播地址：224.0.0.0-239.255.255.255 接收者告知本網(wǎng)段的路由器他們需要接收哪些數(shù)據(jù)包 -通過組管理協(xié)議進行。 發(fā)送者和接收者之間的路由器構造組播樹，確保組播數(shù)據(jù)包到達正確的接收

17、者網(wǎng)絡 -通過組播路由協(xié)議進行 -進行RPF (Reverse Path Forwarding)檢查,Source-Specific Multicast (SSM,1999年,H. Holbrook提出了特定源組播模型和EXPRESS，2001年形成特定源組播SSM (Source Specific Multicast)協(xié)議的Internet Draft。 思想 通過web等方式聲明應用對應的頻道(S,G) G的地址范圍：232/8, ff2x: and ff3x: 主機獲知(S,G)后，用 IGMPv3與路由器交互,3、真實源地址框架下的特定源組播,SSM, contd,只有源樹，不需要共享

18、樹 在支持域間組播時，不需要MSDP 只有一個單一的源能夠發(fā)送 解決了源訪問控制問題 避免的冗余的數(shù)據(jù)轉(zhuǎn)發(fā) 每個應用對應一個或多個(S,G)，不需要對全局組地址進行分配,3、真實源地址框架下的特定源組播,SSM traffic delivery example,S1Send to G,S2Send to G,Sources send to SSM group G, no registering happens there,3、真實源地址框架下的特定源組播,Now we reuse Gfor two independentapplications withSSM,3、真實源地址框架下的特定源組播

19、,IP組播的優(yōu)勢,30,2021/1/11,Example: Audio Streaming All clients listening to the same 8 Kbps audio,0,0.2,0.4,0.6,0.8,Traffic,Mbps,1,20,40,60,80,100, Clients,Multicast,Unicast,帶寬占用低 傳輸效率高 降低網(wǎng)絡節(jié)點和鏈路的負載,3、真實源地址框架下的特定源組播,IP組播存在的問題： (1) 開放IP組播模型的相關協(xié)議在開放的因特網(wǎng)環(huán)境中難以支持有效的管理和控制機制，可能面臨著流量假冒、服務盜用、以及來自邊界主機和惡意路由器在控制平面和

20、數(shù)據(jù)平面的拒絕服務（DoS, Denial of Service）攻擊； (2) 不能避免因自利型攻擊造成的IP組播流量與其它網(wǎng)絡業(yè)務流量之間的不公平帶寬占用,31,2021/1/11,3、真實源地址框架下的特定源組播,32,2021/1/11,真實源地址驗證架構下的組播接收者認證方案的基本思想： 該方案中，組播管理服務器依據(jù)組播接收者所在主機可驗證的真實源地址為接收者生成組播認證碼，通過在與主機直連的路由器上加載了認證功能，能夠?qū)M播接收者的組播認證碼進行認證，以此實現(xiàn)組播接收者的合法性驗證，防止網(wǎng)絡中組播服務盜用。另外，設計了一種用于實現(xiàn)局域網(wǎng)內(nèi)組播接收者訪問控制的方案，實現(xiàn)了按頻道進行用

21、戶訪問控制和計費，使組播業(yè)務變?yōu)橐环N可運營的網(wǎng)絡服務,3、真實源地址框架下的特定源組播,33,2021/1/11,真實源地址驗證架構下的組播接收者認證過程 1. 組播接收者注冊 為了實現(xiàn)基于用戶的組播接收者控制，所有想要加入組播頻道的接收者都需要向組播管理器注冊，若注冊成為合法的接收者，則在組管理器中保留全局唯一的注冊信息。接收者需要通過組管理器獲取頻道信息，若組管理器能夠找到與之匹配的注冊信息才認為是合法接收者，并為其發(fā)放相應頻道的認證碼。 2. 組播接收者授權 合法的接收者能夠從組管理器獲取相應頻道的組播認證碼，擁有該認證碼并通過認證的接收者才能夠獲取組播數(shù)據(jù)。認證碼由三個元素通過哈希算法

22、生成：所要加入的頻道、組管理器密鑰GK以及接收者當前主機的真實源地址。其中，用以確定接收者所能加入的頻道；GK用以加密；真實源地址則用以保證接收者不被偽造，同時，利用接收者所在主機的真實源地址作為生成認證碼的元素，實現(xiàn)了將基于用戶的認證轉(zhuǎn)化為基于用戶目前使用的主機IP地址的認證,3、真實源地址框架下的特定源組播,34,2021/1/11,真實源地址驗證架構下的組播接收者認證過程,3、真實源地址框架下的特定源組播,35,2021/1/11,同一局域網(wǎng)內(nèi)組播接收者訪問控制 組播接收者在建立組播通信的過程中，需要向其直連路由器AR通過MLDv2協(xié)議進行交互，建立組播狀態(tài)。當組播狀態(tài)建立后，AR只知道

23、某一個組地址有無接收者，并不知道局域網(wǎng)內(nèi)有多少接收者或者接收者是哪臺主機。AR接收到組播數(shù)據(jù)后，直接向局域網(wǎng)內(nèi)的主機轉(zhuǎn)發(fā)，也就是說，局域網(wǎng)內(nèi)非授權的主機也可以獲取組播數(shù)據(jù),3、真實源地址框架下的特定源組播,36,2021/1/11,同一局域網(wǎng)內(nèi)組播接收者訪問控制 路由器中具體操作如下：若收到MLD加入消息，且MLD消息中的認證碼能夠通過認證，則向MLD消息的入接口發(fā)送確認加入消息。若收到MLD退出消息，則發(fā)送確認退出消息。消息描述如下。 確認消息：ARSwich：; R1-IP; tag 交換機組播端口列表的具體操作如下：當收到路由器返回的確認加入消息時，依據(jù)主機IP地址和頻道信息對表進行操作

24、，如果表中沒有對應的表項，則根據(jù)組播端口列表增加新表項，其中，頻道為消息中的頻道，下行端口號為對應IP地址的端口號；若已存在相應的表項，則不對表進行操作。當收到確認退出消息時，則依據(jù)IP地址和頻道信息刪除對應表項。 當路由器接收到來自頻道的組播數(shù)據(jù)并發(fā)送至交換機時，交換機將根據(jù)組播端口列表查找頻道所對應的端口轉(zhuǎn)發(fā)數(shù)據(jù)，進而實現(xiàn)同一局域網(wǎng)內(nèi)組播接收者訪問控制,2、基于身份密碼及流認證的IPv6源 地址驗證方法,3、真實源地址框架下的特定源組播,內(nèi) 容,37,2021/1/11,4、新的跨域特定源與任意源組播方案,1、真實源地址驗證的需求和概念,5、組播研究的熱點問題,4、新的跨域特定源與任意源組

25、播方案,一種可擴展的IPv4 over IPv6跨域組播方案,38,2021/1/11,提出并設計了一種新的IPv4 over IPv6跨域組播方案DOTPAN(每接入網(wǎng)一棵動態(tài)組播樹方案，Dynamic One Tree Per Access Net)，該方案對于進入IPv6骨干網(wǎng)入口相同的多個組播組或者特定源組播頻道，在IPv6骨干網(wǎng)僅共享一棵組播樹，實現(xiàn)了組播路由狀態(tài)聚合與流量冗余的這種，具有良好的可擴展性,控制平面 1）接收者所在IPv4網(wǎng)絡部分的組播樹分枝的建立 2）IPv6骨干網(wǎng)中組播樹分枝的建立 3）組播源所在的IPv4接入網(wǎng)中組播樹分枝的建立,39,2021/1/11,4、新的

26、跨域特定源與任意源組播方案,一種可擴展的IPv4 over IPv6跨域組播方案,40,2021/1/11,使用IPv4 over IPv6 機制傳輸?shù)木W(wǎng)絡示意圖,4、新的跨域特定源與任意源組播方案,一種可擴展的IPv4 over IPv6跨域組播方案,數(shù)據(jù)平面 1）組播包組播源所在IPv4接入網(wǎng)中的轉(zhuǎn)發(fā) 2）組播包在IPv6骨干網(wǎng)中的轉(zhuǎn)發(fā) 3）組播包在組成員所在IPv4 接入網(wǎng)中的轉(zhuǎn)發(fā),41,2021/1/11,4、新的跨域特定源與任意源組播方案,一種可擴展的IPv4 over IPv6跨域組播方案,基本思想 該方案基于擴展的特定源組播使參與組通信的各方加入一個虛擬頻道，建立一個共享組播樹；

27、組播流沿此共享樹傳送到接收者，接收者獲知組播源，并啟動共享樹到源樹的切換。當組播流沿該組播樹到達接收者時，主機通過IP包頭獲知源的IP地址，發(fā)起向源的加入操作，從而建立以組播源為根的源樹，進而由多個源樹作為多方通信的信道,2021/1/11,42,4、新的跨域特定源與任意源組播方案,一種基于虛擬頻道的跨域任意源組播方案,2021/1/11,43,4、新的跨域特定源與任意源組播方案,一種基于虛擬頻道的跨域任意源組播方案,2、基于身份密碼及流認證的IPv6源 地址驗證方法,3、真實源地址框架下的特定源組播,內(nèi) 容,44,2021/1/11,4、新的跨域特定源與任意源組播方案,1、真實源地址驗證的需

28、求和概念,5、組播研究的熱點問題,5.組播研究的熱點問題（,最優(yōu)組播樹問題 域間組播部署框架 組播地址的聚合 移動環(huán)境中的組播 可靠組播 組播QoS 組播擁塞控制 分層組播 IPv6環(huán)境下的組播 IP組播與應用層組播的結(jié)合 新型的組播協(xié)議 新型組播應用（IP/TV、傳感器網(wǎng)絡、 普適計算/網(wǎng)格/云計算,軍事等領域等,5、組播研究的熱點問題（,組播安全 密鑰管理 組播流認證 組播流簽名 組播水印 組播源認證 組播接收者認證 組播源訪問控制（防止假冒流量） 組播接收者訪問控制（防止盜用服務） 防止基于組播的拒絕服務攻擊 組播路由安全,2021/1/11,47,Any questions? 謝 謝,

29、2、基于身份密碼及流認證的IPv6源地址驗證方法,基于身份密碼及流認證的IPv6源地址驗證方法中簽名數(shù)據(jù)包的驗證： 安全網(wǎng)關收到主機發(fā)送的幀后，在數(shù)據(jù)鏈路層處理時，需要記錄下該幀的源MAC地址，然后再將其交付上層處理。 安全網(wǎng)關根據(jù)主公鑰KMP、系統(tǒng)公開參數(shù)及記錄下來的MAC地址來計算出一個公鑰KP。采用CGA地址驗證算法，根據(jù)KP及相關參數(shù)來驗證源IP地址。如果驗證通過，則進行下一步認證；否則，丟棄數(shù)據(jù)包。 安全網(wǎng)關用公鑰KP對數(shù)據(jù)包擴展首部中的簽名進行驗證，將得到的SIP、F(K0)與數(shù)據(jù)包源地址、數(shù)據(jù)包中的數(shù)據(jù)F(K0)分別進行比較。如果都一致，則驗證通過，記錄下數(shù)據(jù)包的數(shù)據(jù)F(K0)、MAC(K0, D1)及SIP，以列表的形式保存，稱該列表為LIP。列表LIP以SIP為索引，表項F(K0)及MAC(K0, D1)的值會隨著安全網(wǎng)關接收的數(shù)據(jù)包認證信息的變化而不斷更新,48,2021/1/11,2、基于身份密碼及流認證的IPv6源地址驗證方法,基于身份密碼及流認證的IPv6源地址驗證方法普通數(shù)據(jù)包發(fā)送： 主機在發(fā)送完簽名數(shù)據(jù)包后，首先需要記錄下發(fā)送完成的時刻T0。然后生成下一個密鑰K2，計算出F(K2)和MAC(K1, D2)，其中D2=SIP, F(K2)。當主機需要發(fā)送數(shù)據(jù)包時，都需要在其擴展首部中添加flag, K0, F(K1), MAC(K1, D2)