WO2010012171A1 - 一种数据包处理的方法和装置 - Google Patents

Description

一种数据包处理的方法和装置 本申请要求了 2008年 7月 28 日提交的、 申请号为 200810142580.2、 发 明名称为"一种数据包处理的方法和装置"的中国申请的优先权，其全部内容通 过引用结合在本申请中。 技术领域

本发明涉及计算机网络领域的安全技术， 尤其涉及一种数据包处理的方 法和装置。 背景技术

RFC3972定义的 CGA ( Cryptographically Generated Addresses , 加密生成 地址）协议是加密生成地址协议。 一个加密生成地址是一个 IPv6地址， 地址 长度为 128位， 前 64位为子网前缀， 后 64位为接口标识符。 CGA中的接口 标识符由公钥和一些附加参数通过计算单向哈希函数生成。 通过对参数重新 计算哈希值并与接口标识符比较， 可以验证这一由公钥及参数生成的地址与 公钥的关联性。 并通过用对应于该公钥的私钥对发送的消息进行签名， 以及 接收者对签名的验证过程， 来达到验证源地址的目的。

发明人在实现本发明的过程中， 发现现有技术至少存在以下缺点： 尽管 CGA具有源地址验证的功能， 但对 CGA的应用大都是应用于某一种或几种 应用协议提出的， 缺乏通用性， 使用范围非常有限。 发明内容

本发明的实施例提供一种数据包处理的方法和装置， 能够扩展加密生成 地址 CGA协议的使用范围。

根据本发明的一个实施例， 提供一种数据包处理的方法， 包括： 接收来自发送方的携带加密生成地址 CGA相关信息的 IP报文；

在网络层， 从所述 IP报文中获得所述 CGA相关信息， 所述 CGA相关信息 中包括 CGA参数、 签名信息；

根据所述 CGA参数、 签名信息， 对 IP报文的源地址进行验证；

验证通过， 向上层传输所述 IP报文的载荷。

根据本发明的另一实施例， 提供一种数据包处理的装置， 包括： 接收单元， 用于接收来自发送方的携带加密生成地址 CGA相关信息的 IP 报文；

获取单元， 用于在网络层， 从所述 IP报文中获得所述 CGA相关信息， 所 述 CGA相关信息中包括 CGA参数、 签名信息；

验证单元， 用于根据所述 CGA参数、 签名信息， 对 IP报文的源地址进行 验证；

传输单元， 用于当 3全证结果为通过时， 向上层传输所述 ΙΡ·¾文的载荷。 根据本发明实施例， 通过将发送方的 CGA参数、 签名信息等 CGA相关信 息加入到 IP报文中，接收方可以利用接收到的信息在网络层实现对 IP报文的源 地址进行验证， 使得本不可靠的网络层， 有了安全性保障； 同时由于在网络 层实现安全机制， 具有较强通用性及广泛的使用范围。 附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍， 显而易见地， 下面 描述中的附图仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附图。

图 1为本发明提供的数据包处理方法的一个实施例的流程示意图； 图 2为本发明一个实施例提供的 CGA扩展头的格式示意图；

图 3为本发明一个实施例提供的 CGA请求选项的格式示意图；

图 4为本发明一个实施例提供的 CGA参数选项的格式示意图；

图 5为本发明一个实施例提供的 CGA签名选项的格式示意图；

图 6为本发明提供的数据包处理方法的一个实施例的流程示意图； 图 Ί为本发明实施例提供的验证步骤的一个实施例的流程示意图； 图 8为本发明一个实施例的应用场景；

图 9为本发明提供的数据包处理装置的一个实施例的结构示意图； 图 10为本发明实施例提供的请求单元的一种结构示意图；

图 11为本发明实施例提供的请求单元的另一种结构示意图；

图 12为本发明实施例提供的验证单元的结构示意图。 具体实施方式

下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行 清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而 不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有作 出创造性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范围。

本发明实施例在 IP( Internet Protocol,因特网协议）报文，例如 IPv6( Internet Protocol version 6, 因特网协议版本 6 )扩展头中增力口 CGA ( Cryptographically Generated Addresses， 加密生成地址 )扩展头， 该 CGA扩展头可以包括 CGA Request ( CGA请求）、 CGA Params ( CGA参数）、 CGA Sig ( CGA签名）。 CGA 扩展头用于携带加密生成地址相关信息。 数据包的接收方根据加密生成地址 相关信息对发送方的地址进行验证。 下面以 IPv6报文做为实施例进行阐述， 显然对于其他类型的 IP报文，只要具备扩展协议头的字段或者兼容 IPv6报文， 则都可以应用本发明， 本发明并不限制于 IPv6 "¾文。 例如， 在后续高于 IPv6 版本的协议下的 IP报文或者兼容 IPv6的 IP报文，只要该 IP报文具备扩展头， 都可以实施本发明。

在 IPv6里， 可选的网络层信息在一个独立的头部编码，放在包中 IPv6头 与上层协议头之间。 一个 IPv6 头可以携带零个， 一个或者更多的扩展头， 每 个扩展头由前一个头中的"下一个头"字段标识。 可以在 IPv6扩展头中增加 CGA扩展头。 例如， 增加了 CGA扩展头后的 IPv6扩展头排列顺序如下：

IPv6 header 0 Hop-by-Hop Options header

60 Destination Options header

43 Routing header

44 Fragment header

149 CGA header

51 Authentication header

50 Encapsulating Security Payload header

60 Destination Options header

其中， 前面的数字是十办议号, 由 IANA ( Internet Assigned Numbers

Authority, 互联网地址指派机构）分配得来， 新增加的 CGA扩展头可以使用 暂未分配的协议号， 例如上文中提及的 149, 当然还可以使用其他未使用的协 议号。

如图 1 所示， 本发明提供的数据包处理方法的一个实施例中， 当发送方 发送一个携带 CGA扩展头的 IPv6报文时， 包括如下步骤：

S101 : 生成一个 CGA扩展头；

所述 CGA扩展头中可以包括： 发送方公钥以及发送方数字签名； 发送方 根据公钥和一些相关参数通过计算单向哈希函数生成一个 IPv6源地址， 利用 发送方的私钥进行数字签名， 并将相关参数、 数字签名填充到 CGA扩展头的 相应位置。

S102: 将 CGA扩展头加入到 IPv6报文中， 生成一个携带所述 CGA扩展 头的 IPv64艮文；

CGA扩展头位于 IPv6报文中 IPv6头与上层协议头之间。

S103: 向接收方发送携带 CGA扩展头的 IPv6报文， 所述 IPv6报文用于 接收方实现 IPv6报文发送方的源地址验证。

本发明的一个实施例中， CGA扩展头的格式如图 2所示， 所述 CGA扩 展头包括：

下一头（Next Header )字段， 为 8比特的选择符， 标识该 CGA扩展头的 下一个头类型。

扩展头长度（Hdr Ext Len )字段， 为 8比特无符号整数。 标识该 CGA扩 展头的长度，计算长度时不包括前 8字节，以 8字节为单位。该字段长度为 0, 表示一种特殊含义， 即初始化 CGA。 当通信一方想要使用 CGA保护通信时， 可以选择发出长度为 0的 CGA扩展； 当通信一方收到长度为 0的扩展头时， 则向对方发出 CGA请求。

预留域（Reserved ) 字段， 长度为 16比特， 以备将来扩展使用。 该预留 域字段设为 0。

选项（ Options )字段， 该部分长度可变， 包含了一个或者多个数据类型。

Options 可以选择三种类型数据， 分别是 CGA请求、 CGA参数、 CGA 签名。 CGA请求用于请求对方提供 CGA参数； CGA参数用于传输 CGA参 数； CGA签名是使用 CGA节点的私钥对数据包负载部分的签名。 CGA扩展 头如果包含 CGA参数选项， 则同时包含 CGA签名选项， 否则接收方向发送 方发送一个错误的 ICMP ( Internet Control Message Protocol, 因特网控制才艮文 协议）消息至源地址， 通知不可识别的选项类型。 在没有收到 CGA请求的时 候， 发送方也可以在数据包中添加 CGA扩展头； 对 CGA扩展头的处理方式 (认证或者忽略） 由接收方决定。

发送方主机在网络层收到上层传下来的数据包， 在封装 IPv6头时就可以 将 CGA扩展头同时封装进去。 如果主机发送的数据包的包头中包含了 CGA 请求选项时， 那么就是想验证接收方的源地址， 则接收方发回的数据包中就 应该携带 CGA参数和 CGA签名选项， 向发送方主机提供验证所需要的数据 内容， 其中 CGA参数选项中的 Sequence Number字段为 CGA请求选项中的 序列号的值加 1；发送方主机也可以主动在发出的数据包中加入 CGA扩展头， 包含 CGA参数和 CGA签名选项， 为接收方提供验证发送方地址的相关数据 内容， 其中 CGA参数选项中的 Sequence Number字段置 0。

本发明实施例提出的 CGA请求选项的格式如图 3所示， 该 CGA请求选 项包括：

类型 （Type )字段， 为 8 比特无符号整数， 在本实施例中， 当该类型字 段的数值为 193时， 表明该数据包为 CGA请求。 在其它实施例中， 也可用其 它数值表明该数据包为 CGA请求。

预留域（Reserved ) 字段， 长度为 24比特， 以备将来扩展使用。 该预留 域字段设为 0。

序列号（ Sequence Number )字段， 为 32比特随机数， 包括防止重放攻击 的信息。

主机可以根据上层协议， 主动向接受方发起 CGA请求， 要求接受方发送 CGA参数和 CGA签名信息， 对接受方进行源地址验证。

本发明实施例提出的 CGA参数选项的格式如图 4所示， 该 CGA参数选 项包括：

类型 （Type )字段， 为 8 比特无符号整数。 在本实施例中， 当该类型字 段的数值为 194时， 表明该数据包为 CGA参数。 在其它实施例中， 也可用其 它值表明该数据包为 CGA参数。

长度（Length )字段， 为 8比特无符号整数， 以 8字节为单位， 表明整个 CGA参数的长度， 为类型字段、 长度字段、 填充长度字段、 预留域字段、 序 列号字段、 CGA参数字段以及填充字段等各字段长度的总和。

填充长度（Pad Length )字段， 为 8比特无符号整数， 表示填充字段的长 度， 单位为字节。

预留域（Reserved )字段， 长度为 8比特字段， 以备将来扩展使用。 该预 留域字段必须设为 0。

序列号（ Sequence Number )字段， 为 32比特整数， 包括防止重放攻击的 信息。如果该 CGA参数用于响应 CGA请求，该序列号字段的值为 CGA请求 中的序列号的值加 1 ; 否则， 将该序列号字段置为 0。

参数（ Parameters ) 字段， 长度可变， 包括 CGA参数信息。

填充（Padding ) 字段， 可变长度域， 用于使数据包长度为 8字节的整数 倍。 该填充字段的内容为 0。 本发明实施例提出的 CGA签名选项的格式如图 5所示， 该 CGA签名选 项包括：

类型 （Type )字段， 为 8 比特无符号整数。 在本实施例中， 若类型字段 的数值为 195时， 表明该数据包为 CGA签名。 在其它实施例中， 也可用其它 数值表明该数据包为 CGA签名。

长度（Length ) 字段， 为 8比特无符号整数， 以 8字节为单位表明整个 CGA签名的长度， 为类型字段、长度字段、填充长度字段、预留域字段、 CGA 签名字段和填充字段等各字段长度的总和。

填充长度（Pad Length )字段， 为 8比特无符号整数， 表示填充字段的长 度， 单位为字节。

预留域（Reserved )字段， 长度为 8比特， 以备将来扩展使用。 该预留域 字段设为 0。

签名 （Signature )字段， 为可变长度字段， 包括用发送者私钥对数据包内 容的签名。

填充（Padding ) 字段， 为可变长度字段， 用于使数据包长度为 8字节的 整数倍。 该填充字段的内容为 0。

接收方可以在收到发送方的 CGA请求后， 向发送方返回携带 CGA参数 和 CGA签名选项的数据包，提供给发送方主机验证所需要的数据内容，在这 种方式下， CGA参数选项中序列号字段的值为 CGA请求中的序列号的值加 1 ; 发送方也可以主动在发出的数据包中加入 CGA扩展头， 包含 CGA参数 和 CGA签名选项， 为接收方提供验证自己地址的相关数据内容，在这种方式 下， CGA参数选项中的 Sequence Number字段置 0。

CGA参数选项中携带的 CGA参数字段与 IPv6报文头中的源地址对应。 发送方根据公钥和一些附加参数通过计算单向哈希函数生成一个 IPv6 源地 址， 并按照 CGA协议的要求生成其他参数。

CGA签名选项中的签名使用的私钥与同一个扩展头中的 CGA参数中携 带的公钥对应。

发送方生成 CGA签名选项的步骤如下：

主机获取下列内容， 并按顺序将下列内容连接起来：

从 IP数据包的报头信息中获得 128位源地址；

从 IP数据包的报头信息中获得 128位目的地址；

除了 CGA签名选项的 CGA扩展头部分；

IP数据包的负载部分（传输层以及以上部分）。

然后对得到的数据使用私钥进行签名， 并将签名放入 CGA签名选项的 Signature字段中。

如图 6所示， 本发明提供的一个实施例中， 当接收方收到一个携带 CGA 扩展头的 IPv6报文， 处理流程如下：

S601 : 接收方接收来自发送方的携带 CGA扩展头的 IPv6报文； 接收方的网络层接收下层传输来的 IPv6报文。

S602: 在网络层， 接收方从所述 IPv6报文中获得所述 CGA扩展头， 所 述扩展头中包括发送方的 CGA参数、 签名信息；

S603: 接收方根据所述 CGA扩展头携带的信息， 对发送方的源地址进行 验证；

根据 CGA扩展头中携带的 CGA参数选项中的信息和 CGA签名选项中 的信息， 对 IPv6 文进行验证。

S604: 如果验证通过， 接收方则向上层传输所述 IPv6报文的载荷， 由上 层对报文进行相应处理；

S605: 如果验证不通过， 接收方则丟弃所述 IPv6报文， 并向发送方发送 ICMP错误报文。

在步骤 S603之前还可以包括： 网络层确认需要对 IPv6报文的源地址进 行验证； 网络层可以根据相关的配置信息确定是否需要进行验证。 所述配置 信息一般是来自上层协议， 上层协议可以根据用户的输入、 主机默认的配置 或者上层协议的安全性要求生成所述配置信息， 并将配置信息通知给网络层。 如果接收方根据相关的配置信息确认需要验证， 验证步骤的一个实施例如下：

S701： 接收方验证 CGA参数选项中序列号的值；

如果收到的 IPv6 文为对 CGA请求的响应， 接收方首先将 CGA参数 选项中的 Sequence Number减 1 , 与自己緩存的 CGA请求中的 Sequence Number比较。 如果一致， 则进行下一步 S702; 否则， 丟弃该 IPv6报文， 发 送 ICMP错误艮文。

S702: 根据 CGA参数选项中的参数信息， 接收方对 IPv6报文头中包含 的源地址进行验证。 如果验证通过， 则进行下一步 S703; 否则， 丟弃该 IPv6 报文， 发送 ICMP错误报文。

S703: 接收方使用 CGA参数中的公钥对 CGA签名中的签名字段的内容 解密， 将得到的内容和 IPv6报文中部分内容串接的哈希值比较。 如果内容一 致， 则验证通过； 否则， 丟弃该 IPv6报文， 发送 ICMP错误报文。

在步骤 S601之前还可以包括：

接收方生成并向发送方发送一个携带 CGA扩展头的 IPv6报文，所述 CGA 扩展头中包含 CGA请求选项， 请求所述发送方发送 CGA相关信息；

发送方回复携带 CGA扩展头的 IPv6报文， CGA扩展头中包括 CGA参 数和 CGA签名选项， 其中 CGA参数选项的 Sequence Number为 CGA请求 选项中 Sequence Number的数值力口 1。

接收方生成并发送一个携带 CGA扩展头的 IPv6报文的步骤包括： 接收方生成一个 CGA扩展头， 所述 CGA扩展头中包括 CGA请求选项； 接收方将 CGA扩展头加入到 IPv6报文中，生成一个携带所述 CGA扩展 头的 IPv64艮文；

接收方向发送方发送携带 CGA扩展头的 IPv6报文。 本发明提供的数据包处理方法的另一个实施例中， 由发送方使用现有的 "目的选项头"（ Destination Options Header)来携带 CGA相关信息， 代替创建 的新的 CGA扩展头， 实现 CGA所带来的相关功能。

当前面的头部中"下一个头"字段中的值为 60时， 表示下一个头为"目的 选项头"。 现有的"目的选项头"格式中包括：

下一头 （Next Header ) 字段， 为 8比特的选择符， 标识该目的选项头的 下一个头类型。

扩展头长度（Hdr Ext Len )字段， 为 8比特无符号整数。 标识该目的选 项头的长度， 计算长度时不包括前 8字节， 以 8字节为单位。

选项（Options )字段， 该部分长度可变， 包含了一个或者多个数据类型。 本发明实施例中， 在"目的选项头'，中携带有 CGA相关信息， 该 CGA相 关信息对应上述 CGA扩展头中选项 Options 字段的三种类型数据， 分别是 CGA请求、 CGA参数、 CGA签名。 在本发明实施例中可以直接将该三种类 型数据添加到目的选项头的选项 Options字段中，从而就可以不需要使用新的 CGA扩展头。

需要说明的是， 在现有的 IPv6扩展头中， "目的选项头 "可以出现一次或 两次， 但最多两次。 本发明实施例不受"目的选项头"出现次数的限制， 可以由 任意一个"目的选项头"来携带 CGA相关信息， 也可以由两个 "目的选项头 "分 别来携带 CGA相关信息。

本实施例的发送方与接收方对 CGA相关信息的处理与上一个实施例大致 相同。 不同之处主要在于， 本实施例的发送方是将携带有 CGA相关信息的目 的选项头添加到数据包中，接收方是从目的选项头中提取 CGA相关信息进行 验证， 而上一个实施例是发送方使用新的 CGA扩展头， 接收方从新的 CGA 扩展头提取内容信息进行验证。

本发明提供的上述数据包处理方法实施例中，通过将发送方的 CGA参数、 签名信息等 CGA相关信息加入到 IPv6报文中， 接收方可以利用接收到的信 息在网络层实现对 IPv6报文的源地址进行验证， 为网络层提供源地址验证的 方法， 充分发挥 CGA协议源地址验证的作用， 使得本不可靠的网络层， 有了 安全性保障； 同时， 由于在网络层进行安全验证， 该安全机制不限于某一种 或几种上层应用协议， 具有应用范围广泛、 通用性强的特性。

显然， 本发明并不限制于 IPv6报文。 例如， 在后续高于 IPv6版本的协议 下的 IP报文或者兼容 IPv6的 IP报文， 只要该报文具备扩展头， 都可以实施 本发明， 其实施的流程与上述实施例方法类似。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流 程， 是可以通过计算机程序来指令相关的硬件来完成， 所述的程序可存储于 一计算机可读取存储介质中， 该程序在执行时， 可包括如上述各方法的实施 例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（ Read-Only Memory, ROM )或随机存^ ^己忆体 ( Random Access Memory, RAM )等。

图 8 所示为本发明一个实施例的应用场景， 对于相互通信的两个主机， 发送方在网络层将 CGA参数和签名添加到 CGA扩展头中，并封装到 IPv6报 文中， 再将 IPv6报文发送出去； 接收方在网络层提取发送方的 CGA参数和 签名并进行验证， 如果验证成功， 则向传输层传输 IPv6报文的载荷。

可以理解的是，发送方也可以在网络层将 CGA参数和签名直接添加到现 有的目的选项头中， 并封装到 IPv6报文中， 再将 IPv6报文发送出去； 接收方 在网络层提取发送方的 CGA参数和签名并进行验证， 如果验证成功， 则向传 输层传输 IPv6 文的载荷。

如图 9所示， 本发明一种数据包处理的装置的一个实施例包括： 接收单元 11 , 用于接收来自发送方的携带 CGA相关信息的 IPv6报文； 获取单元 12, 用于在网络层， 从所述 IPv6报文中获得所述 CGA相关信 息， 所述 CGA相关信息中包括发送方的 CGA参数、 签名信息；

验证单元 13 , 用于根据所述 CGA参数、 签名信息， 对 IPv6报文的源地 址进行验证；

传输单元 14, 用于当验证结果为通过时， 向上层传输 IP报文的载荷。 根据本发明的一个实施例， 所述数据包处理的装置还可以包括： 错误处理单元 15, 用于当验证结果为不通过时， 丟弃所述 IPv6报文， 并 向发送方发送错误报文。

根据本发明的一个实施例， 所述数据包处理的装置还可以包括： 请求单元 10,发送一个携带 CGA请求的 IPv6 文，请求发送方发送 CGA 相关信息， 用于所述接收单元 11接收携带 CGA相关信息的 IP报文。

如图 10所示， 在一个实施例中， 所述请求单元 10可以包括：

扩展头生成模块 101 , 用于生成一个 CGA扩展头， 所述 CGA扩展头中 包括 CGA请求选项；

添加模块 102, 用于将 CGA扩展头加入到 IPv6报文中， 生成一个携带所 述 CGA扩展头的 IPv6报文；

发送模块 103 , 用于向发送方发送携带所述 CGA扩展头的 IPv6报文，请 求所述发送方将 CGA相关信息添加到所述 CGA扩展头中。

如图 11所示， 在另一个实施例中， 所述请求单元 10可以包括： 指定模块 108, 用于指定 IP报文中的目的选项头， 所述指定的目的选项 头中包括 CGA请求选项；

第二发送模块 109, 用于向所述发送方发送携带所述目的选项头的 IP报 文， 请求所述发送方将 CGA相关信息添加到所述目的选项头中。

仍参见图 9所示， 根据本发明的一个实施例， 所述数据包处理的装置还 可以包括：

验证确认单元 16, 用于根据相关的配置信息， 确认需要对 IPv6报文的源 地址进行验证。

所述配置信息一般是来自上层协议， 上层协议可以根据用户的输入、 主 机默认的配置或者上层协议的安全性要求生成所述配置信息， 并将配置信息 通知给网络层。

如图 12所示， 本发明实施例中验证单元 13的一个实施例包括： 序列号验证模块 131 , 用于验证 CGA参数选项中序列号的值， 并在验证 通过后向源地址验证模块 132传输所述 IPv6报文； 否则， 输出验证不通过的 验证结果；

源地址验证模块 132, 用于根据 CGA参数选项中的参数， 对 IPv6报文头 中包含的源地址进行验证，并在验证通过后向签名验证模块 133传输所述 IPv6 报文； 否则， 输出验证不通过的验证结果；

签名验证模块 133 , 用于使用 CGA参数选项中的公钥对 CGA签名中的 签名字段的内容解密， 将得到的内容和 IPv6报文中部分内容串接的哈希值比 较， 如果内容一致， 输出验证通过的验证结果； 否则， 输出验证不通过的验 证结果。

本发明实施例中， 通过将发送方的 CGA参数、 签名信息等 CGA相关信 息加入到 IPv6报文中，接收方可以利用接收到的信息在网络层实现对 IPv6报 文的源地址进行验证， 为网络层提供源地址验证的方法， 充分发挥 CGA协议 源地址验证的作用， 使得本不可靠的网络层， 有了安全性保障； 同时， 由于 在网络层进行安全验证， 该安全机制不限于某一种或几种上层应用协议， 具 有应用范围广泛、 通用性强的特性。

显然， 本发明装置实施例并不限制于 IPv6报文。 例如， 在后续高于 IPv6 版本的协议下的 IP报文或者兼容 IPv6的 IP报文，只要该 IP报文具备扩展头， 都可以实施本发明， 其实施的方式与上述实施例的装置类似。

专业人员还可以意识到， 结合本文中所公开的实施例描述的各示例的单 元及算法步骤， 能够以电子硬件、 计算机软件或者二者的结合来实现， 为了 清楚地说明硬件和软件的可互换性， 在上述说明中已经按照功能一般性地描 述了各示例的组成及步骤。 这些功能究竟以硬件还是软件方式来执行， 取决 于技术方案的特定应用和设计约束条件。 专业技术人员可以对每个特定的应 用来使用不同方法来实现所描述的功能， 但是这种实现不应认为超出本发明 的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、 处理 器执行的软件模块， 或者二者的结合来实施。 软件模块可以置于随机存储器

( RAM ),内存、只读存储器（ROM )、电可编程 ROM、电可擦除可编程 ROM、 寄存器、 硬盘、 可移动磁盘、 CD-ROM、 或任意其它形式的存储介质中。

以上所述仅为本发明的几个实施例， 本领域的技术人员依据申请文件公

Claims

权 利 要 求 书

1、 一种数据包处理的方法， 其特征在于， 包括：

接收来自发送方的携带加密生成地址 CGA相关信息的 IP报文；

在网络层， 从所述 IP报文中获得所述 CGA相关信息， 所述 CGA相关信息 中包括发送方的 CGA参数、 签名信息；

根据所述 CGA参数、 签名信息， 对 IP报文的源地址进行验证；

验证通过， 向上层传输所述 IP报文的载荷。

2、 如权利要求 1所述的方法， 其特征在于， 所述方法还包括：

当验证不通过， 则丟弃所述 IP报文， 并向所述发送方发送错误报文。

3、 如权利要求 1或 2所述的方法， 其特征在于， 所述根据所述 CGA参数、 签名信息， 对 IP报文的源地址进行验证的步骤包括：

验证 CGA参数选项中序列号的值；

如果验证通过则根据 CGA参数选项中的参数， 对 IP报文头中包含的源地 址进行验证；

如果验证通过则使用 CGA参数选项中的公钥对 CGA签名中的签名字段的 内容解密， 将得到的内容和 IP报文中部分内容串接的哈希值比较， 如果内容一 致， 则输出验证通过的验证结果。

4、 如权利要求 1或 2所述的方法， 其特征在于， 在所述接收来自发送方的 携带 CGA相关信息的 IP报文的步骤之前， 还包括：

向所述发送方发送一个携带 CGA请求的 IP报文，请求所述发送方发送 CGA 相关信息。

5、 如权利要求 4所述的方法， 其特征在于， 所述向所述发送方发送一个携 带 CGA请求的 IP报文， 请求所述发送方发送 CGA相关信息的步骤包括：

生成一个 CGA扩展头， 所述 CGA扩展头中包括 CGA请求选项；

将 CGA扩展头加入到 IP报文中， 生成一个携带所述 CGA扩展头的 IP报 文；

向发送方发送携带 CGA扩展头的 IP报文，请求所述发送方将 CGA相关信 息添加到所述 CGA扩展头中。

6、 如权利要求 4所述的方法， 其特征在于， 所述向所述发送方发送一个携 带 CGA请求的 IP报文， 请求所述发送方发送 CGA相关信息的步骤包括：

指定 IP报文中的目的选项头， 所述指定的目的选项头中包括 CGA请求选 项；

向所述发送方发送携带所述目的选项头的 IP报文，请求所述发送方将 CGA 相关信息添加到所述目的选项头中。

7、 如权利要求 1所述的方法， 其特征在于， 在根据所述 CGA参数、 签名 信息， 对所述 IP报文的源地址进行验证的步骤之前， 包括：

网络层根据相关配置信息， 确认需要对 IP报文的源地址进行验证。

8、 如权利要求 1、 2或 7任一项所述的方法， 其特征在于， 所述 IP报文为 IPv6才艮文。

9、 一种数据包处理的装置， 其特征在于， 包括：

接收单元， 用于接收来自发送方的携带加密生成地址 CGA相关信息的 IP 报文；

获取单元， 用于在网络层， 从所述 IP报文中获得所述 CGA相关信息， 所 述 CGA相关信息中包括发送方的 CGA参数、 签名信息；

验证单元， 用于根据所述 CGA参数、 签名信息， 对 IP报文的源地址进行 验证；

传输单元， 用于当验证结果为通过时， 向上层传输所述 IP报文的载荷。

10、 如权利要求 9所述的装置， 其特征在于， 还包括：

错误处理单元， 用于当验证结果为不通过时， 丟弃所述 IP报文， 并向发送 方发送错误报文。

11、 如权利要求 9或 10所述的装置， 其特征在于， 所述验证单元包括： 序列号验证模块， 用于验证 CGA参数选项中序列号的值， 并在验证通过后 向源地址验证模块传输所述 IP报文；

源地址验证模块， 用于根据 CGA参数选项中的参数， 对 IP报文头中包含 的源地址进行验证， 并在验证通过后向签名验证模块传输所述 IP报文；

签名验证模块， 用于使用 CGA参数选项中的公钥对 CGA签名中的签名字 段的内容解密， 将得到的内容和 IP报文中部分内容串接的哈希值比较， 如果内 容一致， 则输出验证通过的验证结果。

12、 如权利要求 9或 10所述的装置， 其特征在于， 还包括：

请求单元， 用于向所述发送方发送一个携带 CGA请求的 IP报文， 请求所 述发送方发送 CGA相关信息。

13、 如权利要求 12所述的装置， 其特征在于， 所述请求单元包括： 扩展头生成模块，用于生成一个 CGA扩展头，所述 CGA扩展头中包括 CGA 请求选项；

添加模块， 用于将 CGA扩展头加入到 IP报文中， 生成一个携带所述 CGA 扩展头的 IP报文；

发送模块， 用于向发送方发送携带所述 CGA扩展头的 IP报文， 请求所述 发送方将 CGA相关信息添加到所述 CGA扩展头中。

14、 如权利要求 12所述的装置， 其特征在于， 所述请求单元包括： 指定模块， 用于指定 IP报文中的目的选项头， 所述指定的目的选项头中包 括 CGA请求选项；

第二发送模块， 用于向所述发送方发送携带所述目的选项头的 IP报文， 请 求所述发送方将 CGA相关信息添加到所述目的选项头中。

15、 如权利要求 9或 10所述的装置， 其特征在于， 还包括：

验证确认单元， 用于根据相关配置信息， 确认需要对 IPv6报文的源地址进 行验证， 启动所述验证单元对所述 IP报文的源地址的验证。