WO2010048865A1 - 一种防止网络攻击的方法及装置 - Google Patents

Description

一种防止网络攻击的方法及装置 本申请要求于 2008 年 10 月 31 日提交中国专利局、 申请号为 200810174681.8、 发明名称为"一种防止网络攻击的方法及装置"的中国专利 申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域

本发明涉及网络信息安全技术领域， 具体涉及防止网络攻击的方法及装 置。 背景技术

拒绝服务（DoS , Denial of Service )攻击是一种对网络危害很大的恶意 攻击， 通常是由一台主机攻击目标， 而分布式拒绝服务攻击 （DDoS,

Distribute Denial of Service )是控制网络上大量的主机来对服务器发起的集 体攻击。

DoS攻击具有代表性的攻击手段包括死亡之因特网包探索器 ping (Packet internet grope), ( Ping of Death ) 、 泪滴 TearDrop攻击、 用户数据艮 协议 UDP ( User Datagram Protocol ) 洪水攻击 （ Flooding Attack ) 、 SYN洪 水攻击、 Land攻击、 IP欺骗 DoS等。

一个典型的利用 TCP协议的 DDoS攻击方式如下：

网络传输控制协议（TCP )是一个面向连接的协议， 在网络中的通信 双方通过此协议进行通信之前， 需要建立一条连接。 连接的建立分为三个 步骤：

一、 建立连接时， 客户端发送一个 SYN报文， 指明客户端打算连接的 服务器的端口， 以及初始序号 X；

二、 服务器发回一个包含服务器的初始序号 y的 SYN报文作为应答， 同 时，将确认序号 ACK设置为（ X + 1 )以对客户的 SYN报文进行确认，一个 SYN 将占用一个序号；

三、 客户端将确认序号 ACK设置为 （y+1 )来对服务器的 SYN报文进行 确认。 这三个报文完成 TCP连接的建立。 也称为 "三次握手"过程。

DoS攻击就是一种针对 TCP连接的 "三次握手"过程的攻击方式。在第二 步服务器端发送连接应答报文后， 客户端恶意地不发送第三次确认报文， 导 致服务器端一直等待第三次确认消息， 并会反复发送第二次应答报文给客户 端， 从而占用大量的服务器资源， 最终导致服务器无法为其它客户提供正常 的服务。

现有技术中的一种防止 DDoS攻击的方法如下：

通过正确配置路由器来防止 DDoS攻击的方法， 包括： 使用扩展访问列 表， 使用单一地址逆向转发， 使用 TCP拦截， 使用基于内容的访问控制的方 法。

基于内容的访问控制技术是根据应用层会话信息， 智能地过滤 TCP和 UDP数据包， 防止 DoS攻击的方法。 它通过设置超时时限值和会话门限值来 决定会话的维持时间以及何时删除半连接。 它正是通过监视半连接的数量和 产生的频率来防止洪水攻击。每当有不正常的半连接建立或者在短时间内出 现大量半连接的时候， 用户可以判断是遭受了洪水攻击。

基于内容的访问定时（如， 每分钟）检测一次已经存在的半连接数量和 试图建立连接的频率， 当已经存在的半连接数量超过了门限值， 路由器就会 删除一些半连接， 以保证新建立连接的需求， 路由器持续删除半连接， 直到 存在的半连接数量低于另一个门限值， 同样， 当试图建立连接的频率超过门 限值， 路由器就会采取相同的措施， 删除一部分连接请求， 并持续到请求连 接的数量低于另一个门限值。 通过这种连续不断的监视和删除， 可以有效防 止 SYN洪水攻击。 但是， 通过设置半连接的门限值的方法有一定的误差， 不能精确地判断 DDos攻击的连接和正常连接中可能产生的半连接。 发明内容

本发明实施例提供一种防止网络攻击的方法及装置， 可提高网络安全 性。

本发明实施例提供一种防止网络攻击的方法， 包括：

获取数据包， 所述数据包的源地址为加密生成地址 CGA;

检测所获取的数据包， 判断所述数据包中是否包含所述加密生成地址 CGA参数和签名信息；

若所述数据包包含所述加密生成地址 CGA参数和签名信息， 则对 CGA 参数进行验证， 并根据通过验证的 CGA参数验证签名信息；

当所述签名信息验证通过后， 将所述数据包发送给目标地址。

本发明实施例还提供一种防止网络攻击的方法， 包括：

根据源地址和公钥生成 CGA参数和签名信息；

将数据包源地址、 所述 CGA参数和签名信息附加在数据包， 发送所述 数据包， 所述源地址为根据所述公钥生成的加密生成地址 CGA。

本发明实施例提供一种防止网络攻击的装置， 包括：

数据包接收模块， 用于获取数据包， 所述数据包的源地址为加密生成地 址 CGA;

数据包检查模块，用于对收到的数据包进行检查，判断其是否包含 CGA 参数和签名信息， 发送第一检查结果；

CGA验证模块，用于当所述第一检查结果为检查到有 CGA参数，对所获 取数据包的 CGA参数进行验证， 发送 CGA参数验证结果；

签名验证模块，用于所述 CGA验证模块发送的验证结果为所述 CGA参 数通过验证， 根据验证通过的 CGA参数验证签名信息， 发送签名信息验证 结果；

主控制模块， 用于根据收到所述第一检查结果、 CGA验证模块发送的 CGA参数验证结果或签名验证模块发送的签名信息验证结果处理发送给服 务器的数据包； 模块验证成功， 所述主控制模块将所述数据包发送给目标地址。

本发明实施例还提供一种防止网络攻击的装置， 包括：

参数生成模块， 用于根据源地址和公钥生成 CGA参数和签名信息； 参数附加模块， 用于将所述源地址、 CGA参数和签名信息附加在数据 包， 所述源地址为才艮据公钥生成的加密生成地址 CGA;

数据包发送模块， 用于发送所述数据包。

本发明实施例提供的技术方案中， 在数据包中附上 CGA参数及签名信 息， 在接收到数据包时检查数据包是否包含 CGA参数及签名信息。 通过对 CGA参数及签名信息进行验证， 如果对 CGA参数及签名验证均成功， 将通 过验证的数据包发给目标地址， 直接利用数据包使用的 CGA参数来保证数 据包发送地地址的非伪造性， 从而防止了通过伪造地址来实施网络攻击。 并 且通过对签名信息的验证， 进一步保证了数据包发送方身份及其地址绑定的 真实性。 从而将非法的数据包过滤掉， 防止对服务器的网络攻击， 提高网络 安全性能。 附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实 施例或现有技术描述中所需要使用的附图作筒单地介绍， 显而易见地， 下面 描述中的附图仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附图。

图 1为本发明实施例一提供的防止网络攻击方法流程图；

图 2为本发明实施例二提供的防止网络攻击方法流程图；

图 3 ( a )及（b )分别为本发明实施例 CGA参数和 CGA扩展头的数据 结构的示意图；

图 4为本发明实施例三提供的防止网络攻击方法流程图；

图 5为本发明实施例四提供的防止网络攻击方法流程图；

图 6为本发明实施例五提供的防止网络攻击的装置结构示意图； 图 7为本发明实施例六提供的防止网络攻击的装置结构示意图。 具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行 清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而 不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有作 出创造性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范围。

IPv6 ( Internet Protocol Version 6 )作为下一代互联网协议， 将越来越广 泛地被应用。 IPv6相对于现在的 IP (即 IPv4 )有如下特点： 扩展的寻址能 力， 筒化的报头格式， 对扩展报头和选项支持的改进， 标识流的能力， 认证 和加密能力。

实施例一

如图 1(a)所示， 本发明实施例提供一种防止网络攻击方法， 在数据包发 送方， 具体包括以下步骤：

步骤 11： 根据源地址和公钥生成 CG A参数和签名信息；

在 IPv6网络中， 网络地址的规划更为合理， 同一子网内的网络地址都 有相同的网络前缀， 通过网络地址中的网络前缀就可以确定出这个地址是 否是这个子网内的地址。 IPv6地址有 128位， 前 64位为子网前缀， 后 64位为 接口标识符。 本发明实施例中， 假定发送数据包的都是客户端， 客户端在 加入网络时， 网络系统会分配一个公钥给客户端， 同时子网前缀也是固定 的， 客户端根据公钥和一些附加参数通过计算单向哈希函数生成接口标识 符， 生成的接口标识符和子网前缀共同组成 CGA, 生成的 CGA就作为客户 端的 IP地址。 具体地， 接口标识符根据 RFC3972中定义的算法生成。

CGA参数的数据结构如图 3 ( a ), 包含修正域、 子网前缀、 公钥和扩展 域，还可能包括冲突计数；根据源地址生成 CGA参数具体包括：将子网前缀、 公钥和冲突计数分别插入固定的数据结构中， 生成 CGA参数；

根据源地址生成签名信息具体包括： 采用私钥对数据包载荷进行加密得 到签名信息， 该私钥与生成所述 CGA地址的公钥所对应。

步骤 12: 将所述源地址、 CGA参数和签名信息附加在数据包， 发送所述 数据包， 所述源地址为根据公钥生成的加密生成地址 CGA。

IPv6数据包包含基本头， 数目不固定的扩展头及其载荷。 其中， 基本 头中包含源地址和目的地址， 并指明下一个扩展头。 CGA扩展头结构如图 3 ( b )所示， 扩展头中也包含指明下一个头的字段， 还包含定义的与此扩展 头相关的选项， CGA扩展头中还包含 CGA参数和签名信息。

本发明实施例通过根据源地址生成 CGA参数和签名信息， 并附在数据 包中， 来证明数据包发送方地址的可靠性； CGA参数根据公钥产生， 签名 信息根据公钥对应的私钥产生， 由于公钥和私钥具有一定的身份标识性和 私密性， 他人不容易进行身分伪造。

实施例二

如图 2所示， 本发明实施例提供一种防止网络攻击方法， 在数据包接收 方， 具体包括以下步骤：

步骤 21: 获取数据包， 该数据包的源地址为加密生成地址 CGA; 步骤 22: 检测所获取的数据包， 判断所述数据包中是否包含所述加密生 成地址 CG A参数和签名信息；

具体地， 确定数据包 CGA扩展头结构里是否包含有 CGA参数和签名信 息； 如果没有包含 CGA参数和签名信息或只包含一种参数， 则丟弃数据包。

步骤 23: 若所述数据包包含所述加密生成地址 CGA参数和签名信息， 则 对 CGA参数进行验证， 根据通过验证的 CGA参数验证签名信息；

具体地， 本实施例中所述对数据包的 CGA参数进行验证的步骤包括： 对 CGA参数中的公钥重新进行哈希计算得到哈希值， 与源地址中的接 口标识符比较， 如果两者不一致， 则 CGA验证失败；

或者检查 CGA参数数据结构中的子网前缀是否为所述加密生成地址的 子网前缀， 若不是， 则 CGA验证失败；

或者检查 CGA参数数据结构中的冲突计数是否在预定的范围内，若不在 预定的范围内， 贝忙 GA验证失败。

具体地， 本实施例中根据验证通过的 CGA参数对签名信息进行验证， 包 括：

提取验证通过的 CGA参数中的公钥，采用与签名时相应的加密算法利用 该公钥对所述签名进行计算， 将计算得到的值与签名计算之前的值进行比 较， 若相同， 则签名验证通过。

步骤 24: 当所述签名信息验证通过后， 将所述数据包发送给目标地址； 签名验证通过， 说明数据包源地址是正确的， 没有经过伪造， 可以认为 数据包是安全的。

如果 CGA参数和签名信息没有认证通过，则说明数据包源地址可能是他 人伪造的， 那么可能是攻击者所利用的傀儡机发送的数据包， 那么数据包是 恶意的， 则丟弃该数据包， 向客户端发送错误报告。

步骤 25:确定所述数据包不包括 CGA参数和签名信息，则丟弃该数据包， 向客户端发送错误报告。

若数据包包含 CG A参数和签名信息， 或仅包含签名信息时， 则 DDoS 攻击防御设备查询设备中维护的一个源 IP地址与相应公钥的记录表， 判断 数据包的源地址是否在表中， 若表中有该源地址项， 则用表中对应的公钥 对签名信息进行验证。

本发明实施例可以直接利用数据包使用的 CGA参数来保证数据包发送 地地址的非伪造性， 从而防止了通过伪造地址来实施网络攻击。 并且通过对 签名信息的验证， 进一步保证了数据包发送方身份及其地址绑定的真实性。 从而将非法的 IPv6数据包过滤掉， 防止对服务器的网络攻击， 提高网络安全 性能。

实施例三

在这个实施例中， 以网络攻击为 DDoS攻击， 服务器为网络攻击防御设 备保护的对象为例， 从数据包接收端对防止网络攻击方法进行详细说明， 参 照图 4, 在本实施例中， 防止网络攻击的具体实现过程包括如下步骤：

步骤 S100: 客户端向服务器发送一个数据包， 其源地址是由 CGA生成 的 IPv6地址；

在这个步骤中， 客户端和服务器之间建立会话。

步骤 S101: 网络攻击防御设备接收该数据包；

步骤 S102: 检查 IP数据包中是否包含 CGA参数及签名。 如果仅包含签 名信息选项， 或者 CGA参数和签名信息两个选项都包含时， 转入步骤 103; 如果仅包含 CGA参数选项，或者 CGA参数和签名信息都不包含时，转入步骤 107;

所述签名信息由客户端采用与生成所述源地址的公钥所对应的私钥对 数据包载荷进行加密得到。

步骤 S103: 查询记录表， 判断查询表中是否存在该源地址；

所述记录表是预先构建的， 记录表保存的是验证成功后的源地址和对应 公钥， 以供后续验证查询使用。

提取所接收的数据包的源地址， 查询所述记录表是否保存有该源地址。 步骤 S104:如果记录表不存在此源地址记录，则先对 CGA参数进行验证， 根据验证通过的 CGA参数对签名信息进行验证；

具体地， 本实施例中对 CGA参数进行验证的步骤包括：

检查 CGA参数数据结构中的子网前缀是否为所述加密生成地址的子网 前缀， 若不是， 则 CGA验证失败； 检查 CGA参数数据结构中的冲突计数是否在预定的范围内，若不在预定 的范围内， 贝忙 GA验证失败。

具体地， 本实施例中对签名信息进行验证， 包括：

提取验证通过的 CGA参数中的公钥，采用与签名时相应的加密算法利用 该公钥对所述签名进行计算， 将计算得到的值与签名计算之前的值进行比 较， 若相同， 则签名验证通过。

步骤 S105: 验证成功后， 将源地址和对应的公钥保存到记录表中， 并将 数据包转给服务器；

源地址不存在记录表中， CGA参数和签名信息又能够通过验证， 说明这 是客户端第一次发送数据包给服务器；

步骤 S106: 如果记录表中记载有该源地址， 则利用记录表中对应的公钥 对签名信息进行验证；

因为记录表中保存的都是成功通过 CGA验证的源地址， 因此不需要再对 源地址进行 CGA验证；

具体地， 本实施例中对签名信息进行验证， 包括：

提取验证通过的 CGA参数中的公钥，采用与签名时相应的加密算法利用 该公钥对所述签名进行计算， 将计算得到的值与签名计算之前的值进行比 较， 若相同， 则签名验证通过。

步骤 S107: 如果数据包中不包含 CGA参数选项和签名信息， 或仅包含 CGA参数选项时， 网络攻击防御设备丟弃该数据包， 并向客户端返回错误报 告.

步骤 S108: 如果这两个验证中有一个验证不成功， 则丟弃该数据包； 步骤 S109:验证成功， 网络攻击防御设备将通过验证的数据包发给服务 哭

当会话结束后， 网络攻击防御设备清除记录表中的客户端源地址和对应 公钥的记录。

本发明实施例可以直接利用客户端使用的 CGA参数来保证客户端地址 的非伪造性， 从而防止了通过伪造地址来实施 DDoS攻击。 并且通过对客户 端发送的消息的签名的验证， 进一步保证了客户端身份及其地址绑定的真实 性。 从而将非法的 IPv6数据包过滤掉， 防止对服务器的 DDoS攻击， 提高网 络安全性能。

实施例四

参照图 5 , 本实施例提供一种防止网络攻击的方法， 仍以网络攻击为 DDoS攻击， 服务器为网络攻击防御设备保护的对象为例， 对防止网络攻击 方法进行详细说明：

步骤 S200,客户端向服务器发送一个数据包， 其源地址是由 CGA生成的 IPv6地址；

步骤 S201 , 网络攻击防御设备接收该数据包；

步骤 S202, 网络攻击防御设备检查此数据包中是否包含 CGA参数及签 名；

步骤 S203, 如果不包含， 则丟弃该数据包， 网络攻击防御设备向源端发 送错误报告， 来提示客户端发送包含 CGA参数及签名的数据包；

步骤 S204, 如果包含， 则先对 CGA参数进行验证， 根据验证通过的 CGA参数对签名信息进行验证；

步骤 S205, 如果这两个验证中有一个验证失败， 则验证失败， 丟弃该数 据包；

步骤 S206, 如果 CGA参数验证和签名验证成功， 则网络攻击防御设备将 该数据包发送给服务器。

本实施例与实施例三的不同之处在于， 实施例三中网络攻击防卸设备 需要维护一个通过验证的源地址和相应公钥的记录表， 在客户端与服务器 的一次会话期间，只需要在第一次发起会话的通信中对 CGA参数进行验证， 到会话结束之前， 期间只需验证签名信息。 而在实施例三中， 网络攻击防 御设备需要验证客户端发送的每一个数据包中的 CGA参数和签名信息。 显 然， 与实施例三相比实施例二省去了对 CGA参数重复验证的开销， 但需要 创建、 维护和销毁一个记录表并需要对记录表进行查询。

本实施例提供的技术方案中，通过检查判断 IP数据包是否包含 CGA参 数及签名信息。通过对 CGA参数及签名信息进行验证，如果对 CGA参数及 签名验证均成功， 将通过验证的数据包发给服务器， 这样可确认数据包的发 送方合法， 将非法的 IPv6数据包过滤掉， 从而防止对服务器的 DDoS攻击， 提高网络安全性能。

实施例五

参照图 5 , 本发明实施例还提供一种防止网络攻击的装置 300, 包括数 据包接收模块 310、 数据包检查模块 320、 CGA验证模块 330、 签名验证模 块 340和主控制模块 350, 其中：

数据包接收模块 310, 用于获取数据包， 该数据包的源地址为加密生成 地址 CGA;

数据包检查模块 320, 对收到的数据包进行检查， 确认数据包是否包含 CGA参数和签名信息， 并生成第一检查结果发送给 CGA验证模块 330和主 控制模块 350;

所述 CGA参数包含修正域、 子网前缀、 公钥、 冲突计数和扩展域； 所述签名信息由发送端采用与生成所述源地址的公钥所对应的私钥对 数据包载荷进行加密得到。

CGA验证模块 330, 对所获取数据包的 CGA参数进行验证， 将验证结果 发送给签名验证模块 340和主控制模块 350;

签名验证模块 340, 利用 CGA参数的公钥对数据包的签名信息进行验 证， 并将验证结果返回给主控制模块 350;

主控制模块 350, 用于根据收到的数据包检查模块 320发送的第一检查 结果、 CGA验证模块 330或签名验证模块 340的验证结果， 处理数据包； 若所述数据包检查模块 320判断所述数据包不包含签名信息，则主控制 模块 350将所述数据包丟弃；

若所述 CGA验证模块 330对 CGA参数的验证失败或所述签名验证模块 340验证签名信息失败， 则所述主控制模块 350将所述数据包丟弃；

若 CGA验证模块 330对所获取数据包的 CGA参数验证成功且所述签名 验证模块 340验证成功， 则所述主控制模块 350将所述数据包发送给目的地 址。

所述防止网络攻击的装置 300还包括：

存储模块 360, 用于存储记录表， 所述记录表包括通过所述 CGA验证模 块验证的数据包的源地址及其所对应公钥；

记录查询模块 370, 根据收到的 IP数据包的源地址查询存储模块中的记 录表， 将生成的第二检查结果返回给主控制模块。

若记录查询模块 370查询确定所述源地址存在于记录表中， 所述签名验 证模块利用记录表中的公钥对签名进行验证； 当所述签名验证通过后， 将所 述数据包发送给所述服务器， 否则， 将所述数据包丟弃；

接收到的所述第二检查结果表示记录表中不存在所述数据包的源地址， 将所述数据包的 CGA参数和签名信息分别发给所述 CGA验证模块和签名验 证模块进行验证， 保存验证通过后的 CGA参数和签名信息在所述记录表中。

本实施例提供的防止网络攻击的装置中，通过检查判断数据包是否包含

CGA参数及签名信息。 通过对 CGA参数及签名进行验证， 如果对 CGA参数 及签名验证均成功， 该防止网络攻击装置将通过验证的数据包发给目标网络 设备， 这样可将非法的 IPv6数据包过滤掉， 从而防止对目标网络设备的网络 攻击， 从而提高网络安全性能。

实施例六

参照图 7, 本发明实施例还提供一种防止网络攻击的装置， 包括： 参数生成模块 601 , 用于根据源地址和公钥生成 CGA参数和签名信息， 所述源地址为 ^据公钥生成的加密生成地址 CGA , 源地址通常为 IPv6地址； 公钥为本实施例提供的防止网络攻击的装置在进入网络时由网络自动发放 的。

具体地， 参数生成模块包括：

CGA参数生成单元 6011 , 用于将源地址的子网前缀、公钥和冲突计数分 别插入固定的数据结构中， 生成 CGA参数；

签名信息生成单元 6012, 用于采用私钥对数据包载荷进行加密得到签名 信息， 该私钥与生成所述 CGA地址的公钥所对应。

参数附加模块 602, 用于将所述源地址、 CGA参数和签名信息附加在数 据包； IPv6数据包包含基本头， 数目不固定的扩展头及其载荷。 其中， 基本 头中包含源地址和目的地址， 并指明下一个扩展头。 CGA扩展头结构如图 3 ( b )所示， 扩展头中也包含指明下一个头的字段， 还包含定义的与此扩展 头相关的选项， CGA扩展头中还包含 CGA参数和签名信息。

数据包发送模块 603 , 用于发送所述数据包。 具体地， 发送包括了基本 头、 扩展头和载荷的数据包。

本发明实施例通过根据源地址生成 CGA参数和签名信息， 并附在数据 包中， 来证明数据包发送方地址的可靠性； CGA参数根据公钥产生， 签名 信息根据公钥对应的私钥产生， 由于公钥和私钥具有一定的身份标识性和 私密性， 他人不容易进行身分伪造。

显然， 本领域的技术人员应该明白， 上述的本发明的各单元或各步骤可 以用通用的计算装置来实现， 它们可以集中在单个的计算装置上， 或者分布 在多个计算装置所组成的网络上， 可选地， 它们可以用计算装置可执行的程 序代码来实现， 从而， 可以将它们存储在存储装置中由计算装置来执行， 或 者将它们分别制作成各个集成电路模块，或者将它们中的多个单元或步骤制 作成单个集成电路模块来实现。 这样， 本发明不限制于任何特定的硬件和软 件结合。

以上所述仅为本发明的较佳实施例而已， 并非用于限定本发明的保护范 围。 凡在本发明的精神和原则之内所作的任何修改、 等同替换、 改进等， 均 包含在本发明的保护范围内。

Claims

权 利 要 求

1、 一种防止网络攻击的方法， 其特征在于， 包括：

获取数据包， 所述数据包的源地址为加密生成地址 CGA;

检测所获取的数据包， 判断所述数据包中是否包含所述加密生成地址 CGA参数和签名信息；

若所述数据包包含所述加密生成地址 CGA参数和签名信息， 则对 CGA 参数进行验证， 并根据通过验证的 CGA参数验证签名信息；

当所述签名信息验证通过后， 将所述数据包发送给目标地址。

2、如权利要求 1所述的方法，其特征在于，所述对 CGA参数进行验证， 并根据通过验证的 CGA参数验证签名信息包括：

查询记录表是否存在所述数据包的源地址；

如果不存在所述源地址， 则对 CGA参数进行验证， 并根据验证通过的 CGA参数对签名信息进行验证， 验证通过后， 保存所述源地址和对应的公 钥在所述记录表中； 如果验证失败， 则丟弃所述数据包；

如果存在所述源地址， 则利用记录表中对应的公钥对签名信息进行验 证， 如果验证失败， 则丟弃所述数据包。

3、 如权利要求 1或 2所述的方法， 其特征在于， 所述 CGA参数包含公 钥、 子网前缀和冲突计数， 所述对 CGA参数进行验证包括：

对 CGA参数中的公钥进行哈希计算得到哈希值， 与源地址中的接口标 识符比较， 如果两者不一致， 则 CGA验证失败； 或者

检查 CGA参数中的子网前缀是否为所述加密生成地址的子网前缀， 若 不是， 则 CGA验证失败； 或者

检查 CGA参数中的冲突计数是否在预定的范围内， 若不在预定的范围 内， 则 CGA验证失败。

4、 如权利要求 1或 2所述的方法， 其特征在于， 所述 CGA参数包括公 钥， 所述根据验证通过的 CGA参数验证签名信息包括：

采用与签名时相应的加密算法利用所述公钥对所述签名进行计算， 将计 算得到的值与签名计算之前的值进行比较， 若相同， 则签名验证通过。

5、 如权利要求 2所述的方法， 其特征在于， 进一步包括： 丟弃所述数据包后， 向发送所述数据包的源地址返回错误报告。

6、 一种防止网络攻击的方法， 其特征在于， 包括：

根据源地址和公钥生成 CGA参数和签名信息；

将数据包源地址、 所述 CGA参数和签名信息附加在数据包， 发送所述 数据包， 所述源地址为根据所述公钥生成的加密生成地址 CGA。

7、 如权利要求 6所述的方法， 其特征在于， 所述签名信息采用私钥对 数据包载荷进行加密得到， 所述私钥与生成所述 CGA的公钥相对应。

8、如权利要求 6所述的方法，其特征在于，所述 CGA参数包括修正域、 子网前缀、 公钥、 冲突计数和扩展域。

9、 如权利要求 6所述的方法， 其特征在于， 所述数据包包括基本头、 扩展头和载荷， 所述基本头包括源地址和目的地址， 扩展头包括 CGA参数 和签名信息。

10、 一种防止网络攻击的装置， 其特征在于， 包括：

数据包接收模块， 用于获取数据包， 所述数据包的源地址为加密生成地 址 CGA;

数据包检查模块，用于对收到的数据包进行检查，判断其是否包含 CGA 参数和签名信息， 发送第一检查结果；

CGA验证模块，用于当所述第一检查结果为检查到有 CGA参数，对所获 取数据包的 CGA参数进行验证， 发送 CGA参数验证结果；

签名验证模块，用于所述 CGA验证模块发送的验证结果为所述 CGA参 数通过验证， 根据验证通过的 CGA参数验证签名信息， 发送签名信息验证 结果；

主控制模块， 用于根据收到所述第一检查结果、 CGA验证模块发送的 CGA参数验证结果或签名验证模块发送的签名信息验证结果处理发送给服 务器的数据包； 模块验证成功， 所述主控制模块将所述数据包发送给目标地址。

11、 如权利要求 10所述的装置， 其特征在于， 还包括：

存储模块， 用于存储记录表， 所述记录表包括通过所述 CGA验证模块验 证的数据包的源地址及其所对应公钥。

12、 如权利要求 11所述的装置， 其特征在于， 还包括：

记录查询模块， 根据所述数据包的源地址查询存储模块中的记录表， 向 所述主控制模块发送第二检查结果；

所述主控制模块还用于，接收到的所述第二检查结果表示记录表中存在 所述数据包的源地址， 利用记录表中对应的公钥对签名信息进行验证， 如果 验证不通过， 丟弃所述数据包；

接收到的所述第二检查结果表示记录表中不存在所述数据包的源地址， 将所述数据包的 CGA参数和签名信息分别发给所述 CGA验证模块和签名验 证模块进行验证，保存验证通过后的 CGA参数和签名信息在所述记录表中。

13、 一种防止网络攻击的装置， 其特征在于， 包括：

参数生成模块， 用于根据源地址和公钥生成 CGA参数和签名信息； 参数附加模块， 用于将所述源地址、 CGA参数和签名信息附加在数据 包， 所述源地址为才艮据公钥生成的加密生成地址 CGA;

数据包发送模块， 用于发送所述数据包。

14、 如权利要求 13所述的装置， 其特征在于， 所述参数生成模块包括： CGA参数生成单元， 用于将源地址的子网前缀、公钥和冲突计数分别插 入固定的数据结构中， 生成 CGA参数；

签名信息生成单元， 用于采用私钥对数据包载荷进行加密得到签名信 息， 所述私钥与生成所述 CGA地址的公钥所对应。