專利名稱:防止IPv6地址被欺騙性攻擊的裝置與方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信安全領(lǐng)域,具體而言����,是一種用來實現(xiàn) IPv6 (InternetProtocol version 6)網(wǎng)絡(luò)中防止地址被欺騙性攻擊的裝置與方法。
背景技術(shù):
Internet的高速發(fā)展與規(guī)模的急劇擴大�����,使現(xiàn)有的IPv4(Internet Protocolversion 4)在擴展性上面臨很多問題,例如地址空間嚴(yán)重不足����、正逐漸面臨枯竭 等,亟待解決�����。于是��,一些延緩地址消耗的短期方案正在被實施��,同時一些長期的解決方案 如IPv6技術(shù)也在逐步被開發(fā)�。隨著IPv6網(wǎng)絡(luò)的逐步部署和商用,在一些領(lǐng)域和應(yīng)用場景中�,例如寬帶接入網(wǎng) 絡(luò)、數(shù)據(jù)骨干網(wǎng)絡(luò)以及電信業(yè)務(wù)承載網(wǎng)等����,IPv6也暴露出許多與IPv4類似的安全問題���。地 址易被欺騙性攻擊就是常見安全問題之一����。目前,用于實現(xiàn)IPv6網(wǎng)絡(luò)中防止地址被欺騙性攻擊的方法主要是基于DHCP Snooping (動態(tài)主機配置協(xié)議探聽)的IP Source Guard (IP源地址防護)���。接入設(shè)備�,如交 換機��、Access Point����、DSLAM(數(shù)字用戶線路接入復(fù)用器)等,通過偵聽DHCP報文��,從而建立 DHCP Snooping綁定表���,其中包含用戶的MAC地址�����、IP地址�����、租用期��、VLAN-ID (虛擬局域網(wǎng)標(biāo) 識)��、端口等信息��,以此進行源地址防護����。上述現(xiàn)有的源地址防護方法,只能用在基于DHCP 方式進行地址分配的IPv6網(wǎng)絡(luò)中���。而針對其它基于StatelessAuto-configuration (無狀 態(tài)的自動配置)或者基于靜態(tài)配置等方式進行地址分配的IPv6網(wǎng)絡(luò)�,尚無有效的解決方 案�����。
發(fā)明內(nèi)容
針對基于DHCP����、Stateless Auto-configuration或靜態(tài)配置等方式進行地址分 配的IPv6網(wǎng)絡(luò)中所面臨的地址被欺騙性攻擊的問題,本發(fā)明提供了一種普遍適用的防止 IPv6地址被欺騙性攻擊的裝置以及方法�����。根據(jù)本發(fā)明的防止IPv6地址被欺騙性攻擊的裝置包括鄰居請求(NS)數(shù)據(jù)包處理模塊��、綁定處理模塊和流量控制策略模塊��。其中��,NS數(shù)據(jù)包處理模塊用于處理NS數(shù)據(jù)包的接收并對NS數(shù)據(jù)包的源地址進行 判斷���,如果源地址為空地址(unspecified address)則把數(shù)據(jù)包發(fā)送給綁定處理模塊處理�; 否則忽略此NS數(shù)據(jù)包��。綁定處理模塊用于檢查NS數(shù)據(jù)包Target Address (目標(biāo)地址)字段中的IPv6地 址����,并判斷是否在其數(shù)據(jù)庫中存在對應(yīng)的綁定表項,如果判斷結(jié)果為否���,則收集其它相關(guān)信 息與IPv6地址對應(yīng)新建綁定表項�����;否則忽略此NS數(shù)據(jù)包�����。流量控制策略模塊用于根據(jù)綁定處理模塊的數(shù)據(jù)配置數(shù)據(jù)流量控制策略�����,并將策 略應(yīng)用到數(shù)據(jù)流量轉(zhuǎn)發(fā)與控制中�����。進一步�����,上述裝置還包括地址有效性檢查模塊�����,用于在NS數(shù)據(jù)包處理模塊判斷數(shù)據(jù)包源地址為空地址之后���,檢查Target Address字段中的IPv6地址�,并判斷此IPv6地 址是否有效����,若判斷所述IPv6地址有效,則將NS數(shù)據(jù)包發(fā)送給綁定處理模塊�;否則忽略此 NS數(shù)據(jù)包。其功能可根據(jù)具體的實施打開或關(guān)閉����。為了實現(xiàn)上述目的�����,根據(jù)本發(fā)明的另一個方面,提供了一種防止IPv6地址被欺騙 性攻擊的方法���。根據(jù)本發(fā)明的防止IPv6地址被欺騙性攻擊的方法包括NS數(shù)據(jù)包處理模塊接收由Node (節(jié)點)發(fā)送的NS數(shù)據(jù)包���,檢查NS數(shù)據(jù)包的源地 址字段,并判斷源地址是否為空地址�����,如果判斷結(jié)果為是�,則把NS數(shù)據(jù)包發(fā)送給綁定處理 模塊處理;否則忽略此NS數(shù)據(jù)包���。綁定處理模塊讀取NS數(shù)據(jù)包Target Address字段中的IPv6地址�,并判斷是否在 其數(shù)據(jù)庫中存在對應(yīng)的綁定表項���,如果判斷結(jié)果為否�,則收集其它相關(guān)信息,并與IPv6地 址對應(yīng)新建綁定表項����;如果判斷結(jié)果為是,忽略此NS數(shù)據(jù)包��。流量控制策略模塊根據(jù)綁定處理模塊的數(shù)據(jù)配置數(shù)據(jù)流量控制策略����,并將策略應(yīng) 用到數(shù)據(jù)流量轉(zhuǎn)發(fā)與控制;進一步地����,在NS數(shù)據(jù)包處理模塊判斷數(shù)據(jù)包源地址為空地址之后,如果地址有效 性檢查功能被打開���,上述方法還包括地址有效性檢查模塊檢查NS數(shù)據(jù)包Target Address 字段中的IPv6地址����,并判斷此IPv6地址是否有效�。如果判斷結(jié)果為是,則把NS數(shù)據(jù)包發(fā) 送給綁定處理模塊處理�;如果判斷結(jié)果為否,則忽略此NS數(shù)據(jù)包����;通過本發(fā)明�����,采用探測NS數(shù)據(jù)包來建立相應(yīng)的綁定表項����,并以此制定數(shù)據(jù)流量的 轉(zhuǎn)發(fā)與控制策略�����,解決了基于DHCP���、Stateless Auto-configuration或靜態(tài)配置等方式進 行地址分配的IPv6網(wǎng)絡(luò)中所面臨的地址被欺騙性攻擊問題,進而保障了 IPv6網(wǎng)絡(luò)通信的 安全��。
此處所說明的附圖用來提供對本發(fā)明的進一步理解�,構(gòu)成本申請的一部分�,本發(fā) 明的示意性實施例及其說明用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中圖1 防止IPv6地址被欺騙性攻擊裝置的結(jié)構(gòu)框圖�����;圖2 地址有效性檢查功能打開后的防止IPv6地址被欺騙性攻擊裝置的結(jié)構(gòu)框3 防止IPv6地址被欺騙性攻擊方法的流程圖���;圖4 防止IPv6地址被欺騙性攻擊方法的詳細流程具體實施例方式功能概述考慮到現(xiàn)有的基于DHCP Snooping IP Source Guard源地址防護方法,只能用在 基于DHCP方式進行地址分配的IPv6網(wǎng)絡(luò)中���,本發(fā)明實施例提供了一種普遍適用的防止 IPv6地址被欺騙性攻擊的方案����。本方法通過采用探測NS數(shù)據(jù)包來建立相應(yīng)的綁定表項��,并 以此制定數(shù)據(jù)流量的轉(zhuǎn)發(fā)與控制策略,完善了 IPv6網(wǎng)絡(luò)的安全防護功能。需要說明的是�,在不沖突的情況下�,本申請中的實施例及實施例中的特征可以相 互組合����。下面將參考附圖并結(jié)合實施例來詳細說明本發(fā)明��。
裝置實施例根據(jù)本發(fā)明的實施例��,提供了一種防止IPv6地址被欺騙性攻擊的裝置�����,可以用于 實現(xiàn)上述防止IPv6地址被欺騙性攻擊的方法。圖1是根據(jù)本發(fā)明實施例的防止IPv6地址 被欺騙性攻擊裝置的結(jié)構(gòu)框圖����,如圖1所示,該裝置包括NS數(shù)據(jù)包處理模塊2����、綁定處理模 塊4����、流量控制策略模塊6,下面對上述結(jié)構(gòu)進行詳細描述。NS數(shù)據(jù)包處理模塊2���,用于接收NS數(shù)據(jù)包并判斷NS數(shù)據(jù)包的源地址是否為空地 址,若不為空則忽略此NS數(shù)據(jù)包���;綁定處理模塊4,連接至NS數(shù)據(jù)包處理模塊2,用于在所 述NS數(shù)據(jù)包處理模塊判斷數(shù)據(jù)包源地址為空地址的情況下�����,檢查Target Address字段中 的IPv6地址,并判斷是否在其數(shù)據(jù)庫中存在對應(yīng)的綁定表項���,如果判斷結(jié)果為否��,則收集 其它相關(guān)信息����,并與IPv6地址對應(yīng)新建綁定表項�����,若為是則忽略此NS數(shù)據(jù)包;流量控制策 略模塊6����,連接至綁定處理模塊4��,用于根據(jù)綁定處理模塊的數(shù)據(jù)配置數(shù)據(jù)流量控制策略, 并將策略應(yīng)用到數(shù)據(jù)流量轉(zhuǎn)發(fā)與控制中���。進一步����,圖2是根據(jù)本發(fā)明實施例的����,地址有效性檢查功能打開后的防止IPv6地 址被欺騙性攻擊裝置的結(jié)構(gòu)框圖���,如圖2所示,該裝置包括NS數(shù)據(jù)包處理模塊2��、地址有效 性檢查模塊22、綁定處理模塊4��、流量控制策略模塊6�,下面對上述結(jié)構(gòu)進行描述��。NS數(shù)據(jù)包處理模塊2,用于接收NS數(shù)據(jù)包并判斷NS數(shù)據(jù)包的源地址是否為空地 址,若不為空則忽略此NS數(shù)據(jù)包;地址有效性檢查模塊22,連接至NS數(shù)據(jù)包處理模塊2�,用 于在所述NS數(shù)據(jù)包處理模塊判斷數(shù)據(jù)包源地址為空地址的情況下,判斷Target Address 字段中的IPv6地址是否有效���,若無效則忽略此NS數(shù)據(jù)包�;綁定處理模塊4,連接至地址 有效性檢查模塊22,用于在所述地址有效性檢查模塊22的判斷結(jié)果為是的情況下��,檢查 Target Address字段中的IPv6地址并判斷是否在其數(shù)據(jù)庫中存在對應(yīng)的綁定表項,如果 判斷結(jié)果為否��,則收集其他相關(guān)信息,并與IPv6地址對應(yīng)新建綁定表項,若為是則忽略此 NS數(shù)據(jù)包;流量控制策略模塊6��,連接至綁定處理模塊4�,用于根據(jù)綁定處理模塊的數(shù)據(jù)配 置數(shù)據(jù)流量控制策略�����,并將策略應(yīng)用到數(shù)據(jù)流量轉(zhuǎn)發(fā)與控制中。方法實施例根據(jù)本發(fā)明的實施例,還提供了一種防止IPv6地址被欺騙性攻擊的方法����,圖3是 根據(jù)本發(fā)明實施例的防止IPv6地址被欺騙性攻擊方法的流程圖��,如圖3所示��,該方法包括 如下的步驟S302至步驟S308 步驟S302��,NS數(shù)據(jù)包處理模塊接收NS數(shù)據(jù)包�����,并判斷數(shù)據(jù)包源地址是否為空地 址;步驟S304�����,如果判斷結(jié)果為是����,綁定處理模塊檢查NS數(shù)據(jù)包TargetAddress字段 中的IPv6地址���,并判斷是否在其數(shù)據(jù)庫中存在對應(yīng)的綁定表項��;步驟S306���,如果判斷結(jié)果為否,則收集其它相關(guān)信息��,并與IPv6地址對應(yīng)新建綁 定表項�;步驟S308,流量控制策略模塊根據(jù)綁定處理模塊的數(shù)據(jù)配置數(shù)據(jù)流量控制策略, 并將策略應(yīng)用到數(shù)據(jù)流量轉(zhuǎn)發(fā)與控制����。需要說明的是���,在附圖的流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的 計算機系統(tǒng)中執(zhí)行����,并且��,雖然在流程圖中示出了邏輯順序����,但是在某些情況下�,可以以不 同于此處的順序執(zhí)行所示出或描述的步驟�����。
下面對本發(fā)明實施例的實現(xiàn)過程進行詳細描述�����。圖4是根據(jù)本發(fā)明實施例的防止IPv6地址被欺騙性攻擊方法的詳細流程圖,如圖 4所示����,該流程包括如下的步驟402至步驟422 步驟402 =NS數(shù)據(jù)包處理模塊接收由Node (節(jié)點)發(fā)送的NS數(shù)據(jù)包��;步驟404 =NS數(shù)據(jù)包處理模塊檢查并判斷NS數(shù)據(jù)包的源地址字段是否為空地址���, 如果判斷結(jié)果為是��,則進入步驟406,否則轉(zhuǎn)至步驟422 ��;步驟406 判斷是否需要進行地址有效性檢查,如果判斷結(jié)果為是��,則進入步驟 408 �;否則,轉(zhuǎn)至步驟412 ����;步驟408 =NS數(shù)據(jù)包處理模塊將NS數(shù)據(jù)包發(fā)送給地址有效性檢查模塊��;步驟410 地址有效性檢查模塊檢查Target Address字段中的IPv6地址����,判斷此 地址是否有效���,如果判斷結(jié)果為是�����,則進入步驟412 ��;否則����,轉(zhuǎn)至步驟422 ;步驟412 將NS數(shù)據(jù)包發(fā)送給綁定處理模塊���;步驟414 綁定處理模塊檢查Target Address字段中的IPv6地址�,并判斷其數(shù)據(jù) 庫中是否存在有相應(yīng)的表項���,如果判斷結(jié)果為否,則進入步驟416 �;否則轉(zhuǎn)至步驟422 ;步驟416 綁定處理模塊收集其他相關(guān)信息����,包括但不限于源MAC地址����、VLAN-ID�����、 端口號等��,并與IPv6地址對應(yīng)新建綁定表項����;步驟418 綁定處理模塊通知流量策略控制模塊做配置修改,配置修改可以是新 建��、更改或刪除等操作�����;步驟420 流量策略控制模塊修改流量控制策略��,并將修改后的策略應(yīng)用到流量 轉(zhuǎn)發(fā)與控制中��,流程結(jié)束;步驟422 忽略此NS數(shù)據(jù)包���,流程結(jié)束�����;綜上所述���,通過本發(fā)明的上述實施例,提供了一種功能獨立�����、普適性高的防止IPv6 地址被欺騙性攻擊的裝置與方法�,用于解決基于各種地址分配機制進行地址分配的IPv6 網(wǎng)絡(luò)中所面臨的地址被欺騙性攻擊,從而增強了 IPv6網(wǎng)絡(luò)設(shè)計和部署的靈活性�,保障了網(wǎng) 絡(luò)中數(shù)據(jù)通信的安全。顯然��,本領(lǐng)域的技術(shù)人員應(yīng)該明白�����,上述的本發(fā)明的各模塊或各步驟可以用通用 的計算裝置來實現(xiàn)�����,它們可以集中在單個的計算裝置上��,或者分布在多個計算裝置所組成 的網(wǎng)絡(luò)上�����,可選地����,它們可以用計算裝置可執(zhí)行的程序代碼來實現(xiàn),從而����,可以將它們存儲 在存儲裝置中由計算裝置來執(zhí)行,或者將它們分別制作成各個集成電路模塊�����,或者將它們 中的多個模塊或步驟制作成單個集成電路模塊來實現(xiàn)�����。這樣�����,本發(fā)明不限制于任何特定的 硬件和軟件結(jié)合。以上所述僅為本發(fā)明的優(yōu)選實施例而已�,并不用于限制本發(fā)明,對于本領(lǐng)域的技 術(shù)人員來說�,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi)�����,所作的任何修 改�����、等同替換��、改進等�,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
一種防止IPv6地址被欺騙性攻擊的裝置����,其特征在于,所述裝置包括鄰居請求(NS)數(shù)據(jù)包處理模塊����,用于檢查NS數(shù)據(jù)包源地址����;綁定處理模塊����,用于檢查所述NS數(shù)據(jù)包目標(biāo)地址(TargetAddress)字段中的IPv6地址�,并判斷是否在其數(shù)據(jù)庫中存在對應(yīng)的綁定表項;流量控制策略模塊��,用于根據(jù)所述綁定處理模塊的數(shù)據(jù)配置數(shù)據(jù)流量控制策略���,并將所述策略應(yīng)用到數(shù)據(jù)流量轉(zhuǎn)發(fā)與控制中�。
2.根據(jù)權(quán)利要求1所述的裝置���,其特征在于�,所述NS數(shù)據(jù)包處理模塊接收所述NS數(shù)據(jù) 包并對所述NS數(shù)據(jù)包的源地址進行判斷��,如果源地址為空地址則把數(shù)據(jù)包發(fā)送給綁定處 理模塊處理�;否則忽略所述NS數(shù)據(jù)包。
3.根據(jù)權(quán)利要求1或2所述的裝置�,其特征在于,所述裝置還包括地址有效性檢查模 塊����,用于在所述NS數(shù)據(jù)包處理模塊判斷數(shù)據(jù)包源地址為空地址之后����,檢查Target Address 字段中IPv6地址的有效性��。
4.根據(jù)權(quán)利要求3所述的裝置��,其特征在于�,所述地址有效性檢查模塊若判斷所述 IPv6地址有效,則將所述NS數(shù)據(jù)包發(fā)送給所述綁定處理模塊�����;否則忽略所述NS數(shù)據(jù)包��。
5.根據(jù)權(quán)利要求1或2所述的裝置�����,其特征在于����,所述綁定處理模塊若判斷其數(shù)據(jù)庫中 不存在對應(yīng)的綁定表項,則新建綁定表項��;否則忽略所述NS數(shù)據(jù)包。
6.一種防止IPv6地址被欺騙性攻擊的方法���,其特征在于���,所述方法包括NS數(shù)據(jù)包處理模塊接收由節(jié)點(Node)發(fā)送的NS數(shù)據(jù)包����,檢查所述NS數(shù)據(jù)包的源地址 字段,并判斷所述源地址是否為空地址���,如果判斷結(jié)果為是�,則把所述NS數(shù)據(jù)包發(fā)送給綁 定處理模塊處理��;所述綁定處理模塊檢查所述NS數(shù)據(jù)包Target Address字段中的IPv6地址��,并判斷是 否在其數(shù)據(jù)庫中存在對應(yīng)的綁定表項��,如果判斷結(jié)果為否����,則收集其它相關(guān)信息,并與IPv6 地址對應(yīng)新建綁定表項��;流量控制策略模塊根據(jù)所述綁定處理模塊的數(shù)據(jù)配置數(shù)據(jù)流量控制策略,并將所述策 略應(yīng)用到數(shù)據(jù)流量轉(zhuǎn)發(fā)與控制中�����。
7.根據(jù)權(quán)利要求6所述的方法���,其特征在于����,所述方法還包括���,所述NS數(shù)據(jù)包處理模塊 判斷所述源地址為空地址之后���,進行地址有效性檢查。
8.根據(jù)權(quán)利要求7所述的方法��,其特征在于��,所述NS數(shù)據(jù)包處理模塊判斷Target Address字段中IPv6地址有效�,則把所述NS數(shù)據(jù)包發(fā)送給所述綁定處理模塊;否則忽略所 述NS數(shù)據(jù)包���。
9.根據(jù)權(quán)利要求6所述的方法���,其特征在于�,所述方法還包括���,若所述NS數(shù)據(jù)包處理模 塊判斷所述NS數(shù)據(jù)包的源地址字段不為空�,則忽略所述NS數(shù)據(jù)包����。
10.根據(jù)權(quán)利要求6所述的方法,其特征在于�,所述方法還包括�,若所述綁定處理模塊 判斷在其數(shù)據(jù)庫中存在對應(yīng)的綁定表項,則忽略所述NS數(shù)據(jù)包�����。
全文摘要
本發(fā)明公開了一種防止IPv6地址被欺騙性攻擊的裝置與方法����,該方法包括探測NS數(shù)據(jù)包;判斷數(shù)據(jù)包源地址是否為空地址��;如果判斷結(jié)果為是���,則檢查Target Address字段中的IPv6地址���,判斷是否存在相應(yīng)的綁定表項��;如果判斷結(jié)果為否�,則收集相關(guān)信息與IPv6地址對應(yīng)建立綁定表項��;依據(jù)綁定表項數(shù)據(jù)制定數(shù)據(jù)流量的轉(zhuǎn)發(fā)與控制策略���,并將策略應(yīng)用于數(shù)據(jù)流量的轉(zhuǎn)發(fā)與控制中�。本發(fā)明解決了基于各種地址分配機制進行地址分配的IPv6網(wǎng)絡(luò)中所面臨的地址被欺騙性攻擊問題��。
文檔編號H04L29/06GK101888370SQ200910107259
公開日2010年11月17日 申請日期2009年5月11日 優(yōu)先權(quán)日2009年5月11日
發(fā)明者秦超, 袁立權(quán) 申請人:中興通訊股份有限公司