專利名稱:一種在混合組網(wǎng)下防止報文地址欺騙的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信安全領(lǐng)域,尤其涉及一種在混合組網(wǎng)下防止報文地址欺騙的 方法及裝置����。
背景技術(shù):
隨著互聯(lián)網(wǎng)絡(luò)的高速發(fā)展以及網(wǎng)絡(luò)規(guī)模的急劇擴大���,網(wǎng)絡(luò)IPv4的地址即將耗盡, 早日實現(xiàn)從IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)過渡已經(jīng)成了廣大運營商迫切的需求���。目前數(shù)字用戶線 路接入復(fù)用器 DSLAM (Digital Subscriber Line AccessMultiplexer�,簡稱 DSLAM)已作為 數(shù)字用戶線(Digital Subscriber Line�����,簡稱DSL)的主要接入設(shè)備�,也將向雙棧模式演進, 從而更好地起到寬窄帶接入“第一英里以太網(wǎng)”的作用���。隨著IPv6的應(yīng)用和測試�����,IPv6的 用戶接入也出現(xiàn)了與IPv4相同的安全問題����,IPv6地址欺騙攻擊就是其中之一�。“即插即用”是IPv6的重要特性之一��,IPv6提供了兩種機制來實現(xiàn)該特性狀態(tài)自 動配置和無狀態(tài)自動配置�。如圖1所示,是動態(tài)主機配置協(xié)議(Dynamic Host Configuration Protocol���,簡 稱DHCP)業(yè)務(wù)網(wǎng)絡(luò)的結(jié)構(gòu)圖�,其中DHCPv6是指使用IPv6協(xié)議的DHCP業(yè)務(wù)����。DHCPv6服務(wù)器 與DSLAM或光網(wǎng)絡(luò)單元(Optical Network Unit,簡稱0NU)通過光線路終端設(shè)備(Optical Line Terminal����,簡稱0LT)通信。用戶終端直接或通過家庭網(wǎng)關(guān)與DSLAM通信�。用戶終端 可以是個人電腦(PC)或機頂盒(STB)。狀態(tài)自動配置模式下��,用戶終端可以通過DSLAM直接接入DHCPv6服務(wù)器�����,直接向 DHCPv6服務(wù)器申請IPv6地址���,DSLAM可以通過監(jiān)聽該DHCPv6業(yè)務(wù)���,對IPv6地址進行源保 護�����。無狀態(tài)自動配置模式下���,用戶終端通過家庭網(wǎng)關(guān)(HomeGate)接入DSLAM,再通過 DSLAM接入DHCPv6服務(wù)器���。用戶終端經(jīng)由家庭網(wǎng)關(guān)�、DSLAM向DHCPv6服務(wù)器申請IPv6地 址前綴�,DHCPv6服務(wù)器通過DSLAM和家庭網(wǎng)關(guān)返回分配的IPv6地址前后,用戶終端通過無 狀態(tài)自動配置的方式利用家庭網(wǎng)關(guān)公告的IPv6地址前綴與自身的IEEE EUI-64鏈路層地 址生成IPv6地址���。DSLAM通過監(jiān)聽家庭網(wǎng)關(guān)申請IPv6地址前綴的業(yè)務(wù)�,對該地址前綴進行 源保護����,從而達到對PC或STB終端的IPv6地址進行源保護的功能。這種組網(wǎng)方式保障了 設(shè)備的“即插即用”����,降低了 DHCPv6服務(wù)器的負荷,也大大減少DSLAM中的申請IP地址�、續(xù) 約等報文,有著良好的應(yīng)用前景�,但同樣給DSLAM如何實現(xiàn)高效地防IPv6地址欺騙攻擊帶 來了困難。鑒于IPv6地址分配機制���,狀態(tài)自動配置分為IPv6地址分配和IPv6地址前綴分 配�����。在應(yīng)用中通常存在上述兩種機制結(jié)合使用的組網(wǎng)形式�����,即部分用戶終端直接接入DSLAM 通過狀態(tài)自動配置模式直接獲得IPv6地址��;部分用戶終端通過家庭網(wǎng)關(guān)接入DSLAM����,通過 無狀態(tài)自動配置模式利用家庭網(wǎng)關(guān)公告的IPv6地址前綴與自身的IEEE EUI-64鏈路層地 址生成IPv6地址��。如何在這種混合組網(wǎng)中�,對以上述兩種方式生成的IPv6地址進行保護�����, 防止IPv6地址欺騙攻擊是一個需要解決的問題��。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種在混合組網(wǎng)下防止報文地址欺騙的方法及 裝置����,針對狀態(tài)自動配置和無狀態(tài)自動配置混合組網(wǎng)情況�,有效地對IPv6地址和IPv6地址 前綴進行源保護。為了解決上述技術(shù)問題�,本發(fā)明提供了一種在混合組網(wǎng)下防止報文地址欺騙的方 法,包括在用戶終端進行動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程中綁定動態(tài)主機配置協(xié)議 服務(wù)器為所述用戶終端分配的IPv6地址�;在收到用戶側(cè)發(fā)送的IPv6報文后,通過判斷所述 IPv6報文中的IPv6源地址與所綁定的所述IPv6地址是否相同判斷出此IPv6報文是否為 合法報文��。進一步地���,上述方法還可以具有以下特點在動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程中�,所述用戶終端通過數(shù)字用戶線路接入 復(fù)用器接入所述動態(tài)主機配置協(xié)議服務(wù)器時��,所綁定的所述IPv6地址為完整的IPv6地址�; 所述用戶終端通過家庭網(wǎng)關(guān)接入所述動態(tài)主機配置協(xié)議服務(wù)器時,所綁定的所述IPv6地 址為包括IPv6地址前綴的IPv6地址段。進一步地��,上述方法還可以具有以下特點為每個動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程建立一用戶信息記錄�,從所述用戶終 端發(fā)出的IPv6地址請求消息或IPv6地址前綴請求消息中解析出IPv6地址信息并記入所 述用戶信息記錄,在收到動態(tài)主機配置協(xié)議服務(wù)器對用戶終端的撥號請求發(fā)出的響應(yīng)報文 后����,根據(jù)響應(yīng)報文保持或修改或刪除所述用戶信息記錄中與此動態(tài)主機配置協(xié)議業(yè)務(wù)建立 撥號過程對應(yīng)的記錄�。進一步地,上述方法還可以具有以下特點所述用戶信息記錄中包括動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程中用戶終端所屬 的虛擬局域網(wǎng)標識�����、數(shù)據(jù)鏈路層地址和IPv6地址�。進一步地,上述方法還可以具有以下特點在收到動態(tài)主機配置協(xié)議服務(wù)器對用戶終端的撥號請求發(fā)出的響應(yīng)報文后����,需要 修改或刪除所述用戶信息記錄中與動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程對應(yīng)的記錄時,在 驗證響應(yīng)報文中事務(wù)標識和動態(tài)主機配置協(xié)議唯一標識與此記錄中的事務(wù)標識和動態(tài)主 機配置協(xié)議唯一標識相同的情況下���,修改或刪除此記錄��。為了解決上述技術(shù)問題���,本發(fā)明還提供了在混合組網(wǎng)下防止報文地址欺騙攻擊的 裝置�,所述裝置位于數(shù)字用戶線路接入復(fù)用器或光網(wǎng)絡(luò)單元中�;所述裝置中包括保護模塊 和驅(qū)動模塊;所述保護模塊����,用于在用戶終端進行動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程中 綁定動態(tài)主機配置協(xié)議服務(wù)器為所述用戶終端分配的IPv6地址;并將所述綁定設(shè)置到所 述驅(qū)動模塊�;所述驅(qū)動模塊,用于在收到用戶側(cè)發(fā)送的IPv6報文后��,通過判斷所述IPv6報 文中的IPv6源地址與所綁定的所述IPv6地址是否相同判斷出此IPv6報文是否為合法報 文�。進一步地,上述裝置還可以具有以下特點在動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程中�����,所述用戶終端通過數(shù)字用戶線路接入 復(fù)用器接入所述動態(tài)主機配置協(xié)議服務(wù)器時���,所述保護模塊所綁定的所述IPv6地址為完整的IPv6地址�;所述用戶終端通過家庭網(wǎng)關(guān)接入所述動態(tài)主機配置協(xié)議服務(wù)器時��,所述保 護模塊所綁定的所述IPv6地址為包括IPv6地址前綴的IPv6地址段�。進一步地,上述裝置還可以具有以下特點所述裝置還包括與所述保護模塊和所述驅(qū)動模塊均相連的用戶信息管理模塊;所 述驅(qū)動模塊��,還用于從用戶側(cè)接收的數(shù)據(jù)包中提取使用IPv6協(xié)議的動態(tài)主機配置協(xié)議報 文�,并發(fā)送至所述用戶信息管理模塊;所述用戶信息管理模塊���,用于為每個動態(tài)主機配置協(xié) 議業(yè)務(wù)建立撥號過程建立一用戶信息記錄����,從所述用戶終端發(fā)出的IPv6地址請求消息或 IPv6地址前綴請求消息中解析出IPv6地址信息并記入所述用戶信息記錄�����,在收到動態(tài)主 機配置協(xié)議服務(wù)器對用戶終端的撥號請求發(fā)出的響應(yīng)報文后���,根據(jù)響應(yīng)報文保持或修改或 刪除所述用戶信息記錄中與此動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程對應(yīng)的記錄;所述保護 模塊�����,還用于根據(jù)所述用戶信息管理模塊建立的所述用戶信息記錄中的信息進行IPv6地 址的綁定��。進一步地�,上述裝置還可以具有以下特點所述用戶信息管理模塊,還用于在收到動態(tài)主機配置協(xié)議服務(wù)器對用戶終端的撥 號請求發(fā)出的響應(yīng)報文后,需要修改或刪除所述用戶信息記錄中與動態(tài)主機配置協(xié)議業(yè)務(wù) 建立撥號過程對應(yīng)的記錄時�����,在驗證響應(yīng)報文中事務(wù)標識和動態(tài)主機配置協(xié)議唯一標識與 此記錄中的事務(wù)標識和動態(tài)主機配置協(xié)議唯一標識相同的情況下�����,修改或刪除此記錄��。進一步地�,上述裝置還可以具有以下特點所述裝置還包括與所述用戶信息管理模塊和所述保護模塊相連的配置模塊,所述 配置模塊�,用于控制所述用戶信息管理模塊和所述保護模塊的功能使能或非使能。本發(fā)明可以針對狀態(tài)自動配置和無狀態(tài)自動配置混合組網(wǎng)情況����,有效地對IPv6 地址和IPv6地址前綴進行源保護,同時實現(xiàn)靈活組網(wǎng)����。
圖1是DHCP業(yè)務(wù)系統(tǒng)的結(jié)構(gòu)圖;圖2是實施例中在混合組網(wǎng)下防止報文地址欺騙的裝置的結(jié)構(gòu)圖�����;圖3是實施例中在混合組網(wǎng)下防止報文地址欺騙的裝置的方法流程圖。
具體實施例方式如圖2所示�,在混合組網(wǎng)下防止報文地址欺騙攻擊的裝置位于數(shù)字用戶線路接入 復(fù)用器或光網(wǎng)絡(luò)單元中。此裝置中包括保護模塊和驅(qū)動模塊�;與保護模塊和驅(qū)動模塊均相 連的用戶信息管理模塊;與驅(qū)動模塊和用戶信息管理模塊均相連的配置模塊�,與用戶信息 管理模塊和配置模塊均相連的數(shù)據(jù)庫模塊。保護模塊用于在用戶終端進行動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程中綁定動態(tài) 主機配置協(xié)議服務(wù)器為所述用戶終端分配的IPv6地址�����;并將所述綁定設(shè)置到所述驅(qū)動模 塊�����。具體的�,在動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程中���,所述用戶終端通過數(shù)字用戶線路接 入復(fù)用器接入所述動態(tài)主機配置協(xié)議服務(wù)器時�����,所述保護模塊所綁定的所述IPv6地址為 完整的IPv6地址��;所述用戶終端通過家庭網(wǎng)關(guān)接入所述動態(tài)主機配置協(xié)議服務(wù)器時����,所述 保護模塊所綁定的所述IPv6地址為包括IPv6地址前綴的IPv6地址段。這種將IPv6地址
6前綴作為一種特征的IPv6地址綁定的兼容方式適用于混合組網(wǎng)����,對IPv6地址前綴的保護 也可以認為是對該由無狀態(tài)自動配置的方式生成的IPv6地址的保護。驅(qū)動模塊用于在收到用戶側(cè)發(fā)送的IPv6報文后�����,通過判斷所述IPv6報文中的 IPv6源地址與所綁定的所述IPv6地址是否相同判斷出此IPv6報文是否為合法報文��,確定 為合法報文時�,透傳此報文,確定為非法報文時���,丟棄此報文�,從而阻止非法IPv6地址的攻 擊ο配置模塊用于控制所述用戶信息管理模塊和所述保護模塊的功能使能或非使能�����, 還可以設(shè)置每個用戶端口用于進行DHCPv6撥號上網(wǎng)的最大用戶數(shù)����,還可以決定向監(jiān)控者 顯示的信息內(nèi)容����。數(shù)據(jù)庫模塊用于保存用戶信息記錄以及配置模塊所配置的各模塊的使能狀態(tài)信 肩�、ο本裝置中通過設(shè)置用戶信息記錄實現(xiàn)上述綁定,具體的驅(qū)動模塊還用于從用戶側(cè)接收的數(shù)據(jù)包中提取使用IPv6協(xié)議的動態(tài)主機配置協(xié) 議報文(使用截取的方式)�����,并發(fā)送至用戶信息管理模塊�����。驅(qū)動模塊還可以進行IP報文過
濾等處理���。用戶信息管理模塊用于為每個動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程建立一用戶 信息記錄��,從所述用戶終端發(fā)出的IPv6地址請求消息或IPv6地址前綴請求消息中解析出 IPv6地址信息并記入所述用戶信息記錄���,在收到動態(tài)主機配置協(xié)議服務(wù)器對用戶終端的撥 號請求發(fā)出的響應(yīng)報文后�,根據(jù)響應(yīng)報文保持或修改或刪除所述用戶信息記錄中與此動態(tài) 主機配置協(xié)議業(yè)務(wù)建立撥號過程對應(yīng)的記錄。具體的���,用戶信息管理模塊根據(jù)rfc3315和rfc3633的標準分別解析IPv6地址請 求和IPv6地址前綴請求���,解析出虛擬局域網(wǎng)標識(VLAN)���、數(shù)據(jù)鏈路層地址(MAC)、IPv6地址 (IPv6 Address地址)����、前綴長度(Prefix Len)以及端口號(PORT)、永久性虛電路號(PVC) 等信息并記入用戶信息記錄中與動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程對應(yīng)的記錄中���。其 中�����,解析的消息為IPv6地址請求時將前綴長度設(shè)置為128����。保護模塊還用于根據(jù)所述用戶信息管理模塊建立的所述用戶信息記錄中的信息 進行IPv6地址的綁定���,有效地防御IPv6地址欺騙攻擊�����。其中用戶信息管理模塊對用戶信息記錄的管理包括建立記錄�,以及修改或刪除記錄。用戶信息管理模塊在收到用戶終端發(fā)送的IPv6地址請求消息或IPv6地址前綴 請求消息中解析出虛擬局域網(wǎng)標識(VLAN)��、數(shù)據(jù)鏈路層地址(MAC)和IPv6地址(IPv6 Address地址)��,判斷所述用戶信息記錄中不存在包含與此參數(shù)值對應(yīng)相同的參數(shù)值的記 錄���,則新建一條記錄�。用戶信息管理模塊在收到動態(tài)主機配置協(xié)議服務(wù)器對用戶終端的撥號請求發(fā)出 的響應(yīng)報文后�,需要修改或刪除用戶信息記錄中與動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程對 應(yīng)的記錄時,在驗證響應(yīng)報文中事務(wù)標識和動態(tài)主機配置協(xié)議唯一標識與此記錄中的事務(wù) 標識和動態(tài)主機配置協(xié)議唯一標識相同的情況下�,修改或刪除此記錄。如圖3所示���,在混合組網(wǎng)下防止報文地址欺騙的方法包括在用戶終端進行動態(tài) 主機配置協(xié)議業(yè)務(wù)建立撥號過程中綁定動態(tài)主機配置協(xié)議服務(wù)器為所述用戶終端分配的IPv6地址����;在收到用戶側(cè)發(fā)送的IPv6報文后�,通過判斷所述IPv6報文中的IPv6源地址與 所綁定的所述IPv6地址是否相同判斷出此IPv6報文是否為合法報文。其中��,IPv6地址是指在動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程中����,所述用戶終端 通過數(shù)字用戶線路接入復(fù)用器接入所述動態(tài)主機配置協(xié)議服務(wù)器時,所綁定的所述IPv6 地址為完整的IPv6地址����;所述用戶終端通過家庭網(wǎng)關(guān)接入所述動態(tài)主機配置協(xié)議服務(wù)器 時,所綁定的所述IPv6地址為包括IPv6地址前綴的IPv6地址段�����。本方法中通過構(gòu)建用戶信息記錄完成上述綁定����,具體的為每個動態(tài)主機配置協(xié) 議業(yè)務(wù)建立撥號過程建立一用戶信息記錄,從所述用戶終端發(fā)出的IPv6地址請求消息或 IPv6地址前綴請求消息中解析出IPv6地址信息并記入所述用戶信息記錄�����,在收到動態(tài)主 機配置協(xié)議服務(wù)器對用戶終端的撥號請求發(fā)出的響應(yīng)報文后����,根據(jù)響應(yīng)報文保持或修改或 刪除所述用戶信息記錄中與此動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程對應(yīng)的記錄。此用戶信息記錄中包括動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程中用戶終端所屬的 虛擬局域網(wǎng)標識�����、數(shù)據(jù)鏈路層地址和IPv6地址。在收到用戶終端發(fā)送的IPv6地址請求消息或IPv6地址前綴請求消息中解析出虛 擬局域網(wǎng)標識(VLAN)����、數(shù)據(jù)鏈路層地址(MAC)和IPv6地址(IPV6AddreSS地址),判斷所述 用戶信息記錄中不存在包含與此參數(shù)值對應(yīng)相同的參數(shù)值的記錄���,則新建一條記錄��。在收到動態(tài)主機配置協(xié)議服務(wù)器對用戶終端的撥號請求發(fā)出的響應(yīng)報文后����,需要 修改或刪除用戶信息記錄中與動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程對應(yīng)的記錄時�����,在驗證 響應(yīng)報文中事務(wù)標識和動態(tài)主機配置協(xié)議唯一標識與此記錄中的事務(wù)標識和動態(tài)主機配 置協(xié)議唯一標識相同的情況下�����,修改或刪除此記錄��。具體實施例具體實施例中在混合組網(wǎng)下防止報文地址欺騙的方法具體包括以下步驟步驟Si�����,DSLAM初始化防止報文地址欺騙的相關(guān)功能模塊,并使能各功能模塊�����。DSLAM同時兼容Ipv4和Ipv6的雙協(xié)議棧�,IPv6的相關(guān)功能模塊默認為關(guān)閉狀態(tài)�, 需要進行設(shè)置才啟動相應(yīng)功能,包括防止IPv6的地址欺騙攻擊�。步驟S2,DSLAM截取式提取DHCPv6報文��。步驟S3���,DSLAM在DHCP業(yè)務(wù)建立撥號過程中通過解析報文中Option信息解析出 地址分配類型的DHCPv6報文以及地址前綴分配類型的DHCPv6報文�����,并將解析出的信息記 錄入用戶信息記錄中����。DSLAM需要同時兼容僅存在狀態(tài)自動配置的地址分配���、僅存在狀態(tài)自動配置的地 址前綴分配����、以及混合組網(wǎng)中此兩種方式結(jié)合的情況。DSLAM可執(zhí)行不同類型的報文解析流程��。地址分配的DHCPv6報文將被解析出DHCPv6報頭的客戶端標識 (ClientIdentifier)�、服務(wù)器標識(Server Identifier)、非臨時地址標識聯(lián)盟 (IdentityAssociation for Non-temporary Address)等選項(Option)以及相應(yīng)的子 選項(Sub Option)的信息����;地址前綴分配的DHCPv6將被解析DHCPv6報頭的客戶端標識 (Client Identifier)、服務(wù)器標識(Server Identif ier)���、前綴地址標識聯(lián)盟(Identity Association for Prefix Delegation)等選項(Option)以及相應(yīng)的子選項(Sub Option) 的信息�。DSLAM根據(jù)非臨時地址標識信息集(Identity Association for Non-temporaryAddress)�、以及前綴地址標識信息集(Identity Association for Prefix Delegation)區(qū) 分出地址分配類型的DHCPv6報文以及地址前綴分配類型的DHCPv6報文。DSLAM從DHCPv6報文中解析出虛擬局域網(wǎng)標識(VLAN)�����、數(shù)據(jù)鏈路層地址(MAC)����、 IPv6地址(IPv6 Address地址)、前綴長度(Prefix Len)以及端口號(PORT)����、永久性虛電 路號(PVC)等信息����。DSLAM根據(jù)解析出的報文中的虛擬局域網(wǎng)標識(VLAN)�、數(shù)據(jù)鏈路層地址(MAC)和 IPv6地址(IPv6 Address地址)判斷是否需要新建一條記錄�����,如果用戶信息記錄中已存在 包括與上述參數(shù)值相同的記錄����,則無需新建;否則�,新建一條記錄并將IPv6地址、地址前綴 長度分別初始化為全0����、128。為了保證DHCPv6報文交互的安全性���,在DHCPv6報文交互的時候��,DSLAM根據(jù)每一 條用戶信息記錄中的記錄建立該用戶撥號報文的事務(wù)標識(Transaction-ID)和動態(tài)主機 配置協(xié)議唯一標識(DHCP Unique Identifier�,簡稱DUID),此信息無需向監(jiān)控者顯示���。DSLAM在收到DHCP服務(wù)器對用戶終端的撥號請求發(fā)出的響應(yīng)報文后�����,根據(jù)響應(yīng)報 文中的選項(Option)信息將此報文解析為確認地址分配或確認地址前綴分配���、確認續(xù)約、 確認重綁定����、確認釋放、拒絕地址分配或地址前綴分配�����、拒絕續(xù)約��、拒絕重綁定等相應(yīng)類型 的響應(yīng)信息����。響應(yīng)類型為確認地址分配、確認地址前綴分配�、確認續(xù)約���、確認重綁定時,則 修改用戶信息記錄中記錄的租約�、IPv6 Address,Prefix Len信息。響應(yīng)類型為確認釋放��、 拒絕地址分配和地址前綴分配�����、拒絕續(xù)約�、拒絕重綁定時��,則去刪除用戶信息記錄中的相應(yīng) 記錄�。因為DHCPv6撥號的過程中,DHCPv6客戶端和DHCPv6服務(wù)器交互的報文是成對出 現(xiàn)的�,所以在需要修改或刪除用戶信息記錄中與動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程對應(yīng) 的記錄時,在驗證響應(yīng)報文中事務(wù)標識(Transaction-ID)和動態(tài)主機配置協(xié)議唯一標識 (DUID)與此記錄中的事務(wù)標識和動態(tài)主機配置協(xié)議唯一標識相同的情況下�,修改或刪除此 記錄,有效避免惡意欺騙攻擊�����。S4�����,DSLAM在用戶終端進行DHCP業(yè)務(wù)建立撥號過程中綁定動態(tài)主機配置協(xié)議服務(wù) 器為所述用戶終端分配的IPv6地址,并將此綁定配置到驅(qū)動模塊�。S5,DSLAM在收到用戶側(cè)發(fā)送的IPv6報文后����,通過判斷所述IPv6報文中的IPv6 地址與所綁定的IPv6地址是否相同判斷出此IPv6報文是否為合法報文。確定為合法報文 時���,透傳此報文���,確定為非法報文時,丟棄此報文��,從而阻止非法IPv6地址的攻擊���。此外�����,由于IPv6中����,采用ICMP的鄰居發(fā)現(xiàn)協(xié)議替代了 IPv4中的ARP報文,所以在 驅(qū)動模塊有必要放寬IPv6報文的丟棄策略��,即允許ICMP中的鄰居請求和鄰居宣告報文通 過DSLAM���,避免影響同一端口下的其它用戶進行DHCP會話業(yè)務(wù)����。本發(fā)明在狀態(tài)自動配置與無狀態(tài)自動配置混合組網(wǎng)接入的方式下����,將IPv6地址 當作一種前綴地址長度為128的特殊IPv6地址前綴來處理,通過DHCP業(yè)務(wù)建立撥號過程 中進行IPv6地址的綁定實現(xiàn)防IPv6地址欺騙攻擊的功能���。當然,本發(fā)明還可有其他多種實施例���,在不背離本發(fā)明精神及其實質(zhì)的情況下�����,熟 悉本領(lǐng)域的技術(shù)人員當可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形����,但這些相應(yīng)的改變和變 形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護范圍。本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過程序來指令 相關(guān)硬件完成�����,所述程序可以存儲于計算機可讀存儲介質(zhì)中�����,如只讀存儲器�、磁盤或光盤等?���?蛇x地,上述實施例的全部或部分步驟也可以使用一個或多個集成電路來實現(xiàn)�����。相應(yīng) 地���,上述實施例中的各模塊/單元可以采用硬件的形式實現(xiàn)�����,也可以采用軟件功能模塊的 形式實現(xiàn)�。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合。
權(quán)利要求
一種在混合組網(wǎng)下防止報文地址欺騙的方法��,其特征在于�����,在用戶終端進行動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程中綁定動態(tài)主機配置協(xié)議服務(wù)器為所述用戶終端分配的IPv6地址��;在收到用戶側(cè)發(fā)送的IPv6報文后�����,通過判斷所述IPv6報文中的IPv6源地址與所綁定的所述IPv6地址是否相同判斷出此IPv6報文是否為合法報文��。
2.如權(quán)利要求1所述的方法���,其特征在于���,在動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程中�����,所述用戶終端通過數(shù)字用戶線路接入復(fù)用 器接入所述動態(tài)主機配置協(xié)議服務(wù)器時,所綁定的所述IPv6地址為完整的IPv6地址�����;所述 用戶終端通過家庭網(wǎng)關(guān)接入所述動態(tài)主機配置協(xié)議服務(wù)器時���,所綁定的所述IPv6地址為 包括IPv6地址前綴的IPv6地址段����。
3.如權(quán)利要求1所述的方法�,其特征在于,為每個動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程建立一用戶信息記錄�����,從所述用戶終端發(fā) 出的IPv6地址請求消息或IPv6地址前綴請求消息中解析出IPv6地址信息并記入所述用 戶信息記錄����,在收到動態(tài)主機配置協(xié)議服務(wù)器對用戶終端的撥號請求發(fā)出的響應(yīng)報文后, 根據(jù)響應(yīng)報文保持或修改或刪除所述用戶信息記錄中與此動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥 號過程對應(yīng)的記錄�。
4.如權(quán)利要求3所述的方法,其特征在于�,所述用戶信息記錄中包括動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程中用戶終端所屬的虛 擬局域網(wǎng)標識、數(shù)據(jù)鏈路層地址和IPv6地址��。
5.如權(quán)利要求3所述的方法,其特征在于�,在收到動態(tài)主機配置協(xié)議服務(wù)器對用戶終端的撥號請求發(fā)出的響應(yīng)報文后,需要修改 或刪除所述用戶信息記錄中與動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程對應(yīng)的記錄時����,在驗證 響應(yīng)報文中事務(wù)標識和動態(tài)主機配置協(xié)議唯一標識與此記錄中的事務(wù)標識和動態(tài)主機配 置協(xié)議唯一標識相同的情況下,修改或刪除此記錄�����。
6.在混合組網(wǎng)下防止報文地址欺騙攻擊的裝置�,其特征在于,所述裝置位于數(shù)字用戶線路接入復(fù)用器或光網(wǎng)絡(luò)單元中�;所述裝置中包括保護模塊和 驅(qū)動模塊;所述保護模塊���,用于在用戶終端進行動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程中綁定動態(tài) 主機配置協(xié)議服務(wù)器為所述用戶終端分配的IPv6地址����;并將所述綁定設(shè)置到所述驅(qū)動模 塊�����;所述驅(qū)動模塊���,用于在收到用戶側(cè)發(fā)送的IPv6報文后����,通過判斷所述IPv6報文中的 IPv6源地址與所綁定的所述IPv6地址是否相同判斷出此IPv6報文是否為合法報文�。
7.如權(quán)利要求6所述的裝置,其特征在于�,在動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程中,所述用戶終端通過數(shù)字用戶線路接入復(fù)用 器接入所述動態(tài)主機配置協(xié)議服務(wù)器時�����,所述保護模塊所綁定的所述IPv6地址為完整的 IPv6地址����;所述用戶終端通過家庭網(wǎng)關(guān)接入所述動態(tài)主機配置協(xié)議服務(wù)器時,所述保護模塊所綁 定的所述IPv6地址為包括IPv6地址前綴的IPv6地址段�����。
8.如權(quán)利要求6所述的裝置����,其特征在于,所述裝置還包括與所述保護模塊和所述驅(qū)動模塊均相連的用戶信息管理模塊�; 所述驅(qū)動模塊�,還用于從用戶側(cè)接收的數(shù)據(jù)包中提取使用IPv6協(xié)議的動態(tài)主機配置 協(xié)議報文���,并發(fā)送至所述用戶信息管理模塊����;所述用戶信息管理模塊���,用于為每個動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程建立一用戶 信息記錄��,從所述用戶終端發(fā)出的IPv6地址請求消息或IPv6地址前綴請求消息中解析出 IPv6地址信息并記入所述用戶信息記錄�,在收到動態(tài)主機配置協(xié)議服務(wù)器對用戶終端的撥 號請求發(fā)出的響應(yīng)報文后�����,根據(jù)響應(yīng)報文保持或修改或刪除所述用戶信息記錄中與此動態(tài) 主機配置協(xié)議業(yè)務(wù)建立撥號過程對應(yīng)的記錄�;所述保護模塊,還用于根據(jù)所述用戶信息管理模塊建立的所述用戶信息記錄中的信息 進行IPv6地址的綁定�����。
9.如權(quán)利要求7所述的裝置�����,其特征在于,所述用戶信息管理模塊�,還用于在收到動態(tài)主機配置協(xié)議服務(wù)器對用戶終端的撥號請 求發(fā)出的響應(yīng)報文后,需要修改或刪除所述用戶信息記錄中與動態(tài)主機配置協(xié)議業(yè)務(wù)建立 撥號過程對應(yīng)的記錄時���,在驗證響應(yīng)報文中事務(wù)標識和動態(tài)主機配置協(xié)議唯一標識與此記 錄中的事務(wù)標識和動態(tài)主機配置協(xié)議唯一標識相同的情況下,修改或刪除此記錄��。
10.如權(quán)利要求7所述的裝置�����,其特征在于���,所述裝置還包括與所述用戶信息管理模塊和所述保護模塊相連的配置模塊���, 所述配置模塊,用于控制所述用戶信息管理模塊和所述保護模塊的功能使能或非使能�����。
全文摘要
本發(fā)明公開了一種在混合組網(wǎng)下防止報文地址欺騙的方法及裝置����,此方法包括在用戶終端進行動態(tài)主機配置協(xié)議業(yè)務(wù)建立撥號過程中綁定動態(tài)主機配置協(xié)議服務(wù)器為所述用戶終端分配的IPv6地址���;在收到用戶側(cè)發(fā)送的IPv6報文后,通過判斷所述IPv6報文中的IPv6源地址與所綁定的所述IPv6地址是否相同判斷出此IPv6報文是否為合法報文���。本發(fā)明可以針對狀態(tài)自動配置和無狀態(tài)自動配置混合組網(wǎng)情況�����,有效地對IPv6地址和IPv6地址前綴進行源保護�����,同時實現(xiàn)靈活組網(wǎng)����。
文檔編號H04L12/56GK101945143SQ20101028905
公開日2011年1月12日 申請日期2010年9月16日 優(yōu)先權(quán)日2010年9月16日
發(fā)明者賀劍 申請人:中興通訊股份有限公司