季秀蘭

JI Xiu-lan

（江蘇食品職業(yè)技術(shù)學(xué)院 計算機(jī)應(yīng)用技術(shù)系，淮安 223003）

基于Logistic映射生成IPv6接口標(biāo)識符地址的算法

The algorithm on logistic mapping generating the IPv6 interface identifi cation address

季秀蘭

JI Xiu-lan

（江蘇食品職業(yè)技術(shù)學(xué)院 計算機(jī)應(yīng)用技術(shù)系，淮安 223003）

IPv6取代IPv4成為下一代互聯(lián)網(wǎng)協(xié)議的核心已成為必然，這就要求網(wǎng)絡(luò)運營商研究制定出符合自身網(wǎng)絡(luò)狀況的IP地址分配方案。本文針對淮安網(wǎng)通提出了一種利用Logistic映射生成IP地址的算法，利用該算法生成IPv6地址加大了地址偽造的困難性，將利用該算法生成的IP地址放入DHCP服務(wù)器的地址池中，即可對客戶進(jìn)行IP地址的分配。

IPv6；接口標(biāo)識符；IP地址；Logistic映射

0 引言

傳統(tǒng)的互聯(lián)網(wǎng)在IPv4協(xié)議的基礎(chǔ)上經(jīng)歷了長時間的發(fā)展后，其地址空間已被充分使用，有限的地址空間成為限制互聯(lián)網(wǎng)發(fā)展的瓶頸，全球?qū)⒚媾R嚴(yán)重的IP地址枯竭的危機(jī)。IPv6網(wǎng)絡(luò)協(xié)議就是為解決這一問題而制定的。IPv6地址體系采用長度為128位的IP地址[1,2]，這將保證未來的所有網(wǎng)絡(luò)節(jié)點都可獲得自己唯一的地址。

目前對IPv6地址分配的研究主要集中在地址前綴上[3,5]，針對區(qū)域網(wǎng)絡(luò)運營商需求的地址[2,6,8]分配研究仍處于較初級階段。本文選擇了淮安網(wǎng)通，針對其運營需求進(jìn)行充分地分析和研究，在此基礎(chǔ)上，針對其提出的網(wǎng)絡(luò)地址安全分配的需求，研究制定了基于混沌映射的地址生成算法。該算法充分利用了混沌序列具有確定的隨機(jī)性、遍歷性、對初值的敏感性等良好的性質(zhì)，利用混沌映射生成IPv6地址，加大了地址偽造的困難性。

1 淮安網(wǎng)通運營需求

目前淮安網(wǎng)通處于IP地址極度匱乏時期，接入互聯(lián)網(wǎng)的用戶及設(shè)備數(shù)量快速增長，致使淮安網(wǎng)通頻繁地向上級機(jī)構(gòu)申請地址，在地址分配中，完全是按照上級機(jī)構(gòu)的IP地址分配方案進(jìn)行分配，沒有適合網(wǎng)通內(nèi)部的分配方案，在分配過程中沒有將安全問題考慮在其中。

2 算法的設(shè)計與實現(xiàn)

2.1 映射公式的選擇

混沌映射是指從空間中的一個區(qū)域到其自身的連續(xù)函數(shù)。在一維情形，區(qū)域可以是一段實數(shù)線段(包括或不包括端點)，或甚至整條線。這些方程盡管是簡單而確定的，但可以產(chǎn)生令人驚奇的豐富的動力學(xué)行為。在生成地址的過程中，我們選擇了典型的一維映射logistic映射，其定義如下：

其中μ∈(0,4]被稱為Logistic參數(shù)，xk∈(0,1)。研究表明，當(dāng)x∈(0,1), μ≥3.5699456時，Logistic映射工作處于混沌狀態(tài)，也就是說，有初始條件x0在Logistic映射作用下產(chǎn)生的序列是非周期的、不收斂的，而在此范圍之外，生成的序列必將收斂于某一個特定的值。

2.2 地址位的分配

參考IEEE EUI-64格式和RFC2462中對接口標(biāo)識符的相關(guān)規(guī)定，考慮到淮安網(wǎng)通的可能的網(wǎng)絡(luò)規(guī)模以及可達(dá)到的安全強(qiáng)度，對后64位進(jìn)行劃分，具體格式如表1（IPv6接口標(biāo)識符位的劃分）

表1 IPv6接口標(biāo)識符位的劃分

其中：

1bit（64）：分配類型（0采用隨機(jī)序列，1未采用隨機(jī)序列）；

n1bit(65～65+n1-1)：保留；

63-n1bit（65+n1～127）：用混沌序列生成的地址值（長整型數(shù)）；

2.3 地址生成算法

在地址生成過程中，x0取固定值，μ作為擾亂參數(shù)，μ的取值與時間相關(guān)，可利用式(2)和式(3)生成：

其中t為系統(tǒng)當(dāng)前時間，F(xiàn)(t)∈(0, 0.000001]。利用式(1)、式(2)和式(3)，將x0和系統(tǒng)當(dāng)前時間作為初值，通過迭代產(chǎn)生混沌序列，混沌序列值的精確度取到小數(shù)點后long(63-n1)位，因為63-n1位無符號長整型數(shù)可以表示的數(shù)值范圍為0～263-n1，如果混沌序列值大于0. 263-n1，則減去0. 263-n1以便可以用對應(yīng)的長整型數(shù)表示。迭代產(chǎn)生的混沌序列值即為IPv6地址。混沌序列的隨機(jī)性和計算精度處理保證了地址生成過程是不可逆的。同時確定性、遍歷性保證了構(gòu)造方法簡單易行。

生成地址的算法和算法流程圖描述如下：

xn+1的整數(shù)形式與前面的位組合即為生成的IPv6地址。

2.4 地址分配

將上述IPv6地址值放入DHCP服務(wù)器的地址池中，客戶端通過DHCP協(xié)議獲得IPv6地址。

3 數(shù)據(jù)共享方案

不同的ISP之間可以將x0和系統(tǒng)時間t生成數(shù)據(jù)表備案到對方。

4 算法分析

4.1 可表達(dá)網(wǎng)絡(luò)規(guī)模

在地址生成過程中迭代了4096次，即212，迭代4096次是考慮了如下兩個因素：一是網(wǎng)絡(luò)的可管理性，用4096次迭代產(chǎn)生的IP地址足以適應(yīng)淮安網(wǎng)通的網(wǎng)絡(luò)規(guī)模；二是網(wǎng)絡(luò)的稀疏程度，節(jié)點數(shù)過多導(dǎo)致偽造地址有更大的可能性與真實地址吻合。

4.2 復(fù)雜度分析

在地址生成過程中（使用個人電腦完成迭代過程），記錄了10分別次迭代不同次數(shù)所消耗的時間，取其平均值，如表2所示。

4.3 安全強(qiáng)度分析

當(dāng)攻擊者不知道參數(shù)取值及構(gòu)造算法的情況下，偽造正確地址的可能性幾乎為0，當(dāng)攻擊者知道參數(shù)x0及構(gòu)造算法時，偽造正確地址的可能性概率與對時間進(jìn)行處理時取的長度有關(guān)，本方案中為10-6。

5 應(yīng)用舉例

保留地址位n1=19，初值x0=0.00023，系統(tǒng)當(dāng)前時間t=11：14：35：123，對t取數(shù)值部分進(jìn)行平方運算得到t*：

利用公式xn+1=μxn(1-xn)進(jìn)行迭代4096次，取最后一次得到的序列x4096=0.30968711827378，我們只取到小數(shù)點后14位，因為263-19=17592186044416，計14位，由于x4096＞0.17592186044416，進(jìn)一步計算求x4096= x4096-0.17592186044416=0.13376525782 962,將x4096的整數(shù)部分轉(zhuǎn)化為二進(jìn)制后與前面的20位組合，即：

該組合即為接口標(biāo)識符地址的二進(jìn)制表示，轉(zhuǎn)化為16進(jìn)制：8000 0C2A 7711 47B2，即為該接口標(biāo)識符地址的十六進(jìn)制表示形式。

表2 迭代次數(shù)與消耗時間關(guān)系表

6 結(jié)束語

本文在研究IPv6理論知識和對淮安網(wǎng)通的運營需求及網(wǎng)絡(luò)規(guī)模進(jìn)行充分分析的基礎(chǔ)上提出了一種基于Logistic映射生成IPv6地址的算法，利用該算法生成IP 地址可以加大偽造地址的難度。本文從可表達(dá)網(wǎng)絡(luò)規(guī)模、復(fù)雜度和安全強(qiáng)度三個方面對算法進(jìn)行了分析，并給出具體的應(yīng)用實例。

[1] DEERING S,HINDEN R.Internet Protocol,Version 6(IPv6)Specification,RFC1883[S].1995.

[2] 伍海桑,陳茂科,陳名華,等.IPv6原理與實踐[M].北京:人民郵電出版社,2000.

[3] 王殿清,趙曉宇,馬嚴(yán).IPv6地址的管理與規(guī)劃探討[J].華中科技大學(xué)學(xué)報(自然科學(xué)版),2003,31(增刊):89-91.

[4] 唐雨,王華民,李清.IPv6地址截取若干位賦予方位意義[J].華中科技大學(xué)學(xué)報(自然科學(xué)版),2003,31(增刊):25-27.

[5] IAB/IESG IAB/IESG Recommendations on IPv6 Address Allocations to Sites,RFC3177[S].2001.

[6] Hinden.R,Deering.S.Internet Protocol Version 6 (IPv6) Addressing Architecture,RFC3513[S].2003.

[7] Deering.S,Hinden.R.Internet Protocol, Version 6(IPv6) Specification,RFC2460[S].1998.

[8] Hinden.R,Deering.S.IP Version 6 Addressing Architecture,RFC2373[S].1998.

TP393.04

A

1009-0134(2010)12(上)-0191-02

10.3969/j.issn.1009-0134.2010.12(上).62

2010-07-20

淮安工業(yè)項目（HAG05038）

季秀蘭（1976 -），女，黑龍江蘭西人，講師，碩士，研究方向為計算機(jī)應(yīng)用。