專利名稱:IPv6接入網(wǎng)真實(shí)源地址訪問(wèn)的準(zhǔn)入控制方法
技術(shù)領(lǐng)域:
IPv6接入網(wǎng)真實(shí)源地址訪問(wèn)屬于接入網(wǎng)準(zhǔn)入控制領(lǐng)域����,要求授權(quán)訪問(wèn)的用戶使用真實(shí)源地址準(zhǔn)入網(wǎng)絡(luò)���。
背景技術(shù):
接入網(wǎng)從拓?fù)渖蟻?lái)講是internet的末端���,而internet的絕大部分?jǐn)?shù)據(jù)流量都是由接入網(wǎng)發(fā)起的。為了有效地防范攻擊��,同時(shí)盡量不影響正常流量的轉(zhuǎn)發(fā)����,接入網(wǎng)的準(zhǔn)入控制非常重要。
IPv6的接入網(wǎng)存在的以下的安全威脅●偽造IPv6源地址因?yàn)槟壳按蟛糠值慕尤肟刂茀f(xié)議(如802.1x)都是基于MAC地址控制的�����,客戶端通過(guò)認(rèn)證以后可以使用任意的IPv6地址來(lái)訪問(wèn)網(wǎng)絡(luò)。因此用戶的IPv6地址可能會(huì)被接入網(wǎng)的其他機(jī)器假冒���,甚至劫持�����。
●偽造鄰居發(fā)現(xiàn)協(xié)議分組在IPv6環(huán)境下�,鄰居發(fā)現(xiàn)協(xié)議(Neighbor Discovery Protocol)已經(jīng)代替原來(lái)的IPv4環(huán)境下地址識(shí)別ARP協(xié)議����,但是仍然存在和ARP類似的安全威脅,比如說(shuō)流量的誤導(dǎo)以及中間人攻擊����。
●針對(duì)動(dòng)態(tài)主機(jī)配置協(xié)議DHCP的攻擊針對(duì)DHCP的攻擊只要有兩種��,第一種是反復(fù)對(duì)DHCP服務(wù)器發(fā)起請(qǐng)求����,將其地址池耗盡;第二種是假冒DHCP服務(wù)器�����,向網(wǎng)絡(luò)終端設(shè)備發(fā)送錯(cuò)誤的地址配置信息。
對(duì)于網(wǎng)絡(luò)準(zhǔn)入控制���,已經(jīng)形成大量工業(yè)界標(biāo)準(zhǔn)802.1x����、PPPoE以及DHCP+WEB等方式��,因特網(wǎng)工程組織IETF也正在對(duì)PANA協(xié)議進(jìn)行標(biāo)準(zhǔn)化���。但目前有的方案還存在以下的問(wèn)題1.在身份認(rèn)證完成以后�,接入設(shè)備的端口被打開�,但其不會(huì)對(duì)每個(gè)分組MAC地址的正確性進(jìn)行檢查,用戶可以隨意修改MAC地址���,仍能夠自由地訪問(wèn)網(wǎng)絡(luò)���。
2.傳統(tǒng)的接入并不對(duì)二層以上的協(xié)議作處理,所以用戶可以使用任意的IPv6地址訪問(wèn)網(wǎng)絡(luò)�,甚至發(fā)起偽造IPv6源地址的攻擊。同時(shí)用戶也可以偽造鄰居發(fā)現(xiàn)協(xié)議分組�,給接入網(wǎng)的正常使用帶來(lái)混亂。
3.標(biāo)準(zhǔn)的802.1x協(xié)議和IP地址分配是解耦合的,所以地址使用的安全性和可管理性無(wú)法得到保障��。
發(fā)明內(nèi)容
針對(duì)接入網(wǎng)存在的安全威脅以及現(xiàn)有解決方案存在的缺陷�����,本發(fā)明的思路在于將身份認(rèn)證與IPv6地址分配過(guò)程耦合起來(lái)��,在認(rèn)證的協(xié)議交互過(guò)程中完成對(duì)真實(shí)源地址的準(zhǔn)入控制����,在過(guò)濾偽造源地址的同時(shí)對(duì)授權(quán)使用的IPv6地址進(jìn)行定位、控制等管理�。
本發(fā)明的特征在于,所述方法是在由真實(shí)源地址準(zhǔn)入驗(yàn)證服務(wù)器���、真實(shí)源地址準(zhǔn)入交換機(jī)和真實(shí)源地址準(zhǔn)入客戶端組成的系統(tǒng)中依次按以下步驟實(shí)現(xiàn)步驟(1)�,初始化在所述真實(shí)源地址驗(yàn)證服務(wù)器上設(shè)置身份認(rèn)證模塊��、IPv6地址分配模塊����、地址管理模塊和真實(shí)源地址準(zhǔn)入控制協(xié)議服務(wù)器模塊���,其中身份認(rèn)證模塊存有由用戶名�����、用戶密碼構(gòu)成的用戶賬號(hào)信息���,用以對(duì)請(qǐng)求接入網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證���;IPv6地址認(rèn)證模塊,其數(shù)據(jù)結(jié)構(gòu)含有動(dòng)態(tài)地址和靜態(tài)地址分配表�����,其中�,動(dòng)態(tài)地址表存有暫未使用的待分配IPv6地址區(qū)間,而靜態(tài)地址分配表含有用戶名與IPv6地址區(qū)間的一一對(duì)應(yīng)關(guān)系��,以便為認(rèn)證成功的用戶分配授權(quán)使用的IPv6地址區(qū)間�;地址管理模塊,存有地址管理表�����,其中包含IPv6地址���、用戶名����、交換機(jī)的IPv6地址和用戶訪問(wèn)的交換機(jī)接口,以便在從IP地址分配模塊獲取到為用戶分配的IPv6地址區(qū)間后��,將該地址區(qū)間和用戶名����、同連接用戶端的真實(shí)源地址準(zhǔn)入交換機(jī)的IPv6地址及相應(yīng)端口相關(guān)聯(lián),以便地址管理模塊通過(guò)網(wǎng)絡(luò)管理協(xié)議對(duì)所述真實(shí)源地址準(zhǔn)入交換機(jī)進(jìn)行遠(yuǎn)程控制管理�;在所述真實(shí)源地址準(zhǔn)入交換機(jī)上設(shè)置真實(shí)源地址過(guò)濾模塊以及真實(shí)源地址準(zhǔn)入控制協(xié)議代理模塊,其中真實(shí)源地址過(guò)濾模塊���,存有源地址綁定表�����,其中包含用戶IPv6地址����、真實(shí)源地址準(zhǔn)入客戶端MAC地址以及用戶訪問(wèn)的所述真實(shí)源地址準(zhǔn)入交換機(jī)的端口號(hào)�����,以便所述代理模塊獲取由真實(shí)源地址準(zhǔn)入控制協(xié)議服務(wù)器模塊所分配的用戶IPv6地址區(qū)間����,并將其與所述MAC地址以及用戶要訪問(wèn)的所述準(zhǔn)入交換機(jī)端口關(guān)聯(lián)起來(lái)形成源地址綁定表;在所述真實(shí)源地址準(zhǔn)入客戶端上設(shè)置有IPv6分組發(fā)送模塊和真實(shí)源地址準(zhǔn)入控制協(xié)議客戶端模塊�����,其中用戶IPv6分組發(fā)送模塊�,把收到的用戶IPv6分組通過(guò)所述準(zhǔn)入交換機(jī)端口送入真實(shí)源地址過(guò)濾模塊,該模塊根據(jù)源地址綁定表�,檢查所述IPv6分組的源IPv6地址和源MAC地址是否分別對(duì)應(yīng)綁定表中的IPv6地址和MAC地址,若不滿足�����,則把該IPv6分組丟棄�����,若滿足���,則檢查該IPv6分組是否為鄰居發(fā)現(xiàn)協(xié)議中的鄰居查詢Neighbor Solicitation分組�,或者是鄰居通知Neighbor Advertisement分組��,若不是,允許分組通過(guò)��,若是�����,則檢查該分組中的屬性目標(biāo)IPv6地址Target Address和目標(biāo)MAC地址Target Link-layer Address是否分別對(duì)應(yīng)綁定關(guān)系表中IPv6地址和MAC地址�,若存在,便允許該IPv6分組通過(guò)����,否則,便丟棄�����;步驟(2)���,系統(tǒng)依次按以下步驟進(jìn)行準(zhǔn)入控制步驟(2.1)���,客戶端模塊通過(guò)用戶界面提取用戶名與密碼,根據(jù)用戶名來(lái)構(gòu)造可擴(kuò)展身份認(rèn)證協(xié)議請(qǐng)求EAP-Request����,發(fā)送給所述代理模塊�����;步驟(2.2),該代理模塊收到EAP-Request以后�,將該EAP-Request、交換機(jī)IPv6地址�����、客戶端連接準(zhǔn)入交換機(jī)的端口號(hào)封裝在遠(yuǎn)程撥入用戶服務(wù)協(xié)議接入請(qǐng)求Radius AccessRequest分組中�����,發(fā)送給所述服務(wù)器���;步驟(2.3)�����,所述驗(yàn)證服務(wù)器首先運(yùn)行身份認(rèn)證模塊�����,通過(guò)用戶名及密碼對(duì)用戶的身份進(jìn)行驗(yàn)證���,若失敗���,便向該代理模塊發(fā)送遠(yuǎn)程認(rèn)證撥入用戶服務(wù)協(xié)議接入拒絕Radius AccessReject分組,不允許訪問(wèn)網(wǎng)絡(luò)���;若成功�����,進(jìn)入步驟(2.4)�;步驟(2.4)����,IPv6地址分配模塊根據(jù)身份認(rèn)證模塊提供的用戶身份信息分配IPv6地址區(qū)間,并將其提交給地址管理模塊����,地址管理模塊將對(duì)應(yīng)關(guān)系寫入地址管理表;步驟(2.5)���,收到地址管理模塊發(fā)來(lái)的IPv6地址區(qū)間信息后�����,把該地址區(qū)間附加在遠(yuǎn)程認(rèn)證撥入用戶服務(wù)協(xié)議接入接受Radius Access Accept分組中����,并發(fā)送給發(fā)出對(duì)應(yīng)RadiusAccess Request的代理實(shí)體;步驟(2.6)��,該代理實(shí)體收到所述服務(wù)器發(fā)來(lái)的Radius Access Accept分組后�,從中取出分配的IPv6地址區(qū)間��,交給真實(shí)源地址過(guò)濾模塊形成對(duì)應(yīng)關(guān)系并寫入綁定關(guān)系表��,并將分配的IPv6地址區(qū)間附加在可擴(kuò)展身份認(rèn)證協(xié)議成功EAP-Success分組中���,發(fā)送給客戶端����;步驟(2.7)�,客戶端在接收到EAP-Success分組后,把其中的IPv6地址區(qū)間解析出來(lái)�����,配置到IPv6分組發(fā)送模塊���,IPv6分組模塊發(fā)送以該IPv6地址為源地址的IPv6分組����;步驟(2.8),真實(shí)源地址過(guò)濾模塊收到IPv6分組發(fā)送模塊發(fā)送的IPv6分組以后�,對(duì)分組進(jìn)行過(guò)濾。
本發(fā)明的優(yōu)點(diǎn)在于1.將身份認(rèn)證與IPv6地址分配的過(guò)程耦合起來(lái)���,在身份認(rèn)證的協(xié)議交互過(guò)程中完成地址的分配及地址與交換機(jī)端口的綁定��;2.接入設(shè)備跨層檢查IPv6分組源地址的真實(shí)性���;3.接入設(shè)備對(duì)偽造鄰居發(fā)現(xiàn)協(xié)議分組進(jìn)行過(guò)濾;4.針對(duì)用戶身份以及授權(quán)使用IPv6地址對(duì)客戶端接入的定位與管理��;5.為用戶分配地址區(qū)間���,從而為上層應(yīng)用的IPv6地址的使用提供靈活性���。
圖1.系統(tǒng)邏輯框圖;圖2.IPv6分組過(guò)濾流程�;圖3.真實(shí)源地址準(zhǔn)入控制協(xié)議交互流程;圖4.真實(shí)源地址準(zhǔn)入控制實(shí)施拓?fù)浣Y(jié)構(gòu)。
具體實(shí)施例方式
系統(tǒng)由三個(gè)部分組成如圖表1所示●真實(shí)源地址準(zhǔn)入驗(yàn)證服務(wù)器●真實(shí)源地址準(zhǔn)入交換機(jī)●真實(shí)源地址準(zhǔn)入客戶端下面對(duì)邏輯框圖中的各個(gè)模塊進(jìn)行說(shuō)明真實(shí)源地址準(zhǔn)入控制協(xié)議客戶端模塊用Client代指真實(shí)源地址準(zhǔn)入控制協(xié)議代理模塊用Proxy代指真實(shí)源地址準(zhǔn)入控制協(xié)議服務(wù)器模塊用Server代指Client和Proxy之間用擴(kuò)展的身份認(rèn)證協(xié)議EAP協(xié)議來(lái)通訊���,Proxy和Server之間用Radius協(xié)議來(lái)通訊�����。以上三個(gè)模塊協(xié)作完成真實(shí)源地址準(zhǔn)入控制協(xié)議的交互�����,具體的過(guò)程在接下來(lái)的協(xié)議交互流程中說(shuō)明。
身份認(rèn)證模塊
數(shù)據(jù)結(jié)構(gòu)用戶賬號(hào)信息
模塊功能對(duì)請(qǐng)求接入網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證����,認(rèn)證分兩步1.檢查用戶名是否在Account表中存在。如果存在�,則進(jìn)入步驟2,如果不存在��,則認(rèn)證失?���。?.驗(yàn)證用戶提供的用戶名與密碼是否匹配�,如果匹配,則認(rèn)證成功;如果不匹配���,則認(rèn)證失敗�。
如果身份認(rèn)證成功�����,則將用戶名以及認(rèn)證成功的結(jié)果告知IPv6地址分配模塊�����。如果身份認(rèn)證失敗����,則由Server向Proxy發(fā)送訪問(wèn)拒絕的信息。
IPv6地址分配模塊數(shù)據(jù)結(jié)構(gòu)動(dòng)態(tài)地址池暫時(shí)未使用的待分配IPv6地址區(qū)間靜態(tài)地址分配表用戶名與IPv6地址區(qū)間的一一對(duì)應(yīng)關(guān)系功能IPv6地址分配模塊為認(rèn)證成功的用戶分配授權(quán)使用的IPv6地址區(qū)間��,(考慮到用戶使用不同的地址來(lái)標(biāo)識(shí)多個(gè)身份的需求�,區(qū)間可以包含一個(gè)或者是多個(gè)地址)支持以下兩種地址分配方式1.靜態(tài)地址分配根據(jù)用戶名可以從靜態(tài)地址分配表中查出對(duì)應(yīng)的IPv6地址區(qū)間2.動(dòng)態(tài)地址分配從動(dòng)態(tài)地址池中取出地址區(qū)間IPv6地址分配完以后,將用戶名以及分配的IPv6地址信息傳給地址管理模塊�。
IPv6地址管理模塊數(shù)據(jù)結(jié)構(gòu)地址管理表
功能1.地址管理模塊獲取到IPv6地址分配模塊為用戶分配的IPv6地址區(qū)間以后,將其和用戶名�、客戶端所連接的真實(shí)源地址準(zhǔn)入交換機(jī)的IPv6地址以及端口關(guān)聯(lián)起來(lái),寫入地址管理表中2.地址管理模塊可以根據(jù)用戶名或者IPv6地址定位到用戶接入的交換機(jī)以及端口3.地址管理模塊通過(guò)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP����,對(duì)真實(shí)源地址準(zhǔn)入交換機(jī)進(jìn)行遠(yuǎn)程的控制管理真實(shí)源地址過(guò)濾模塊數(shù)據(jù)結(jié)構(gòu)源地址綁定表
功能1.真實(shí)源地址過(guò)濾模塊從Proxy獲取到由真實(shí)源地址準(zhǔn)入驗(yàn)證服務(wù)器分配的IPv6地址區(qū)間���,將其與客戶端的MAC地址以及客戶端所連接的交換機(jī)端口關(guān)聯(lián)起來(lái),寫入源地址綁定表�。
2.真實(shí)源地址過(guò)濾模塊在接到端口的IPv6分組以后,會(huì)根據(jù)源地址綁定表分兩步對(duì)分組進(jìn)行過(guò)濾�����。(分組過(guò)濾的流程如圖表2所示)第一步檢查IPv6分組的源IPv6地址和源MAC地址是否滿足綁定關(guān)系����;如果不滿足,將分組丟棄�����;如果滿足���,進(jìn)入第二步第二步檢查該IPv6分組是否為鄰居發(fā)現(xiàn)協(xié)議中的查詢Neighbor Solicitation分組,或者是鄰居通知Neighbor Advertisement分組���,若不是���,允許分組通過(guò)����,若是����,則檢查該分組中屬性Target Address以及Target Link-layer Address是否分別對(duì)應(yīng)綁定關(guān)系表中IPv6地址和MAC地址,若存在���,便允許該IPv6分組通過(guò)����,否則���,便丟棄���;如果IPv6分組沒(méi)有被真實(shí)源地址過(guò)濾模塊丟棄,則進(jìn)入交換機(jī)正常的分組轉(zhuǎn)發(fā)流程����。
IPv6分組發(fā)送模塊
IPv6分組發(fā)送模塊將客戶端的IPv6分組發(fā)送到客戶端連接的交換機(jī)端口。真實(shí)源地址準(zhǔn)入控制協(xié)議的交互流程如圖表3所示1.Client通過(guò)用戶界面提取用戶名與密碼���,根據(jù)用戶名來(lái)構(gòu)造可擴(kuò)展身份認(rèn)證協(xié)議EAP-Request�,發(fā)送給Proxy;2.Proxy接到EAP-Request以后��,將EAP-Request����、NAS-IPv6-Address(交換機(jī)IPv6地址)、NAS-Port-Num(Client連接交換機(jī)的端口號(hào))封裝在Radius Access Request分組中���,發(fā)送給Server��;3.Server收到Radius Access Request以后�����,首先運(yùn)行身份認(rèn)證模塊對(duì)用戶的身份進(jìn)行驗(yàn)證�。如果身份認(rèn)證失敗���,向Proxy發(fā)送Radius Access Reject分組,用戶將不允許訪問(wèn)網(wǎng)絡(luò)�����;如果身份認(rèn)證成功,進(jìn)入步驟4�;4.IPv6地址分配模塊根據(jù)用戶身份信息分配IPv6地址區(qū)間,并將其提交給地址管理模塊�,地址管理模塊將對(duì)應(yīng)關(guān)系寫入地址管理表;5.Server將分配的IPv6地址區(qū)間附加在Radius Access Accept分組中�,并發(fā)送給發(fā)出對(duì)應(yīng)Radius Access Request的Proxy;6.Proxy收到Server發(fā)來(lái)的Radius Access Accept分組后�,從中取出分配的IPv6地址區(qū)間,真實(shí)源地址過(guò)濾模塊將對(duì)應(yīng)關(guān)系寫入綁定關(guān)系表����,并將分配的IPv6地址附加在EAP-Success分組中,發(fā)送給Client����;7.Client在接收到EAP-Success分組后,將其中的IPv6地址區(qū)間解析出來(lái)��,配置到網(wǎng)絡(luò)接口��,并由IPv6分組發(fā)送模塊發(fā)送IPv6分組���;8.真實(shí)源地址準(zhǔn)入交換機(jī)收到IPv6分組發(fā)送模塊發(fā)送的IPv6分組以后���,由真實(shí)源地址過(guò)濾模塊對(duì)分組進(jìn)行過(guò)濾�����。
我們?cè)O(shè)計(jì)了以下的實(shí)施環(huán)境����,如圖4所示MAC地址為00-02-3F-B6-DC-9A的客戶端與真實(shí)源地址準(zhǔn)入交換機(jī)的2號(hào)端口相連����,真實(shí)源地址準(zhǔn)入交換機(jī)的IPv6分組可以到達(dá)真實(shí)源地址準(zhǔn)入驗(yàn)證服務(wù)器。
執(zhí)行以下的步驟1.用戶test通過(guò)真實(shí)源地址準(zhǔn)入客戶端請(qǐng)求身份認(rèn)證�,要求接入網(wǎng)絡(luò);2.身份認(rèn)證成功以后��,真實(shí)源地址準(zhǔn)入驗(yàn)證服務(wù)器為用戶分配IPv6地址2001:250:f001:f002:210:5cff:fec7:25���,地址管理模塊將<2001:250:f001:f002:210:5cff:fec7:25�、test�、2001:250:f001:f002:210:5cff:fec7:1200、2>寫入地址管理表�,并將IPv6地址2001:250:f001:f002:210:5cff:fec7:25附加在RadiusAccess Accept分組中發(fā)送給Proxy;3.真實(shí)源地址準(zhǔn)入交換機(jī)將真實(shí)源地址準(zhǔn)入驗(yàn)證服務(wù)器分配的IPv6地址與客戶端MAC地址����、客戶端連接的端口號(hào)關(guān)聯(lián)起來(lái),將<2001:250:f001:f002:210:5cff:fec7:25��、00-02-3F-B6-DC-9A����、2>寫入源地址綁定表;4.真實(shí)源地址準(zhǔn)入客戶端得到服務(wù)器分配的地址以后��,將其配置到網(wǎng)卡��,然后可以發(fā)送IPv6分組����;5.當(dāng)交換機(jī)接收到2號(hào)端口發(fā)送的分組,將分組的對(duì)應(yīng)關(guān)系與原來(lái)建立的三元組進(jìn)行比較����,如果IPv6分組的源IPv6地址為2001:250:f001:f002:210:5cfi:fec7:25,且MAC地址為00-02-3F-B6-DC-9A�����,則進(jìn)入步驟6���;否則�����,IPv6分組將被丟棄����。
6.檢查該分組是否為ND協(xié)議中的Neighbor Solicitation或者是Neighbor Advertisement分組,如果不是�����,分組允許通過(guò)���;如果是��,檢查其中的屬性Target Address以及TargetLink-layer Address是否分別為2001:250:f001:f002:210:5cff:fec7:25和00-02-3F-B6-DC-9A�����。如果都符合�����,分組允許通過(guò)�����;如果有任何一項(xiàng)不符合���,將分組丟棄。
權(quán)利要求
1.IPv6接入網(wǎng)真實(shí)源地址訪問(wèn)的準(zhǔn)入控制方法�����,其特征在于���,所述方法是在由真實(shí)源地址準(zhǔn)入驗(yàn)證服務(wù)器����、真實(shí)源地址準(zhǔn)入交換機(jī)和真實(shí)源地址準(zhǔn)入客戶端組成的系統(tǒng)中依次按以下步驟實(shí)現(xiàn)步驟(1)����,初始化在所述真實(shí)源地址驗(yàn)證服務(wù)器上設(shè)置身份認(rèn)證模塊、IPv6地址分配模塊�、地址管理模塊和真實(shí)源地址準(zhǔn)入控制協(xié)議服務(wù)器模塊,其中身份認(rèn)證模塊存有由用戶名�����、用戶密碼構(gòu)成的用戶賬號(hào)信息,用以對(duì)請(qǐng)求接入網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證��;IPv6地址認(rèn)證模塊�����,其數(shù)據(jù)結(jié)構(gòu)含有動(dòng)態(tài)地址和靜態(tài)地址分配表�,其中,動(dòng)態(tài)地址表存有暫未使用的待分配IPv6地址區(qū)間��,而靜態(tài)地址分配表含有用戶名與IPv6地址區(qū)間的一一對(duì)應(yīng)關(guān)系����,以便為認(rèn)證成功的用戶分配授權(quán)使用的IPv6地址區(qū)間;地址管理模塊����,存有地址管理表,其中包含IPv6地址����、用戶名、交換機(jī)的IPv6地址和用戶訪問(wèn)的交換機(jī)接口���,以便在從IP地址分配模塊獲取到為用戶分配的IPv6地址區(qū)間后���,將該地址區(qū)間和用戶名�、同連接用戶端的真實(shí)源地址準(zhǔn)入交換機(jī)的IPv6地址及相應(yīng)端口相關(guān)聯(lián)��,以便地址管理模塊通過(guò)網(wǎng)絡(luò)管理協(xié)議對(duì)所述真實(shí)源地址準(zhǔn)入交換機(jī)進(jìn)行遠(yuǎn)程控制管理��;在所述真實(shí)源地址準(zhǔn)入交換機(jī)上設(shè)置真實(shí)源地址過(guò)濾模塊以及真實(shí)源地址準(zhǔn)入控制協(xié)議代理模塊�,其中真實(shí)源地址過(guò)濾模塊�����,存有源地址綁定表�,其中包含用戶IPv6地址、真實(shí)源地址準(zhǔn)入客戶端MAC地址以及用戶訪問(wèn)的所述真實(shí)源地址準(zhǔn)入交換機(jī)的端口號(hào)���,以便所述代理模塊獲取由真實(shí)源地址準(zhǔn)入控制協(xié)議服務(wù)器模塊所分配的用戶IPv6地址區(qū)間���,并將其與所述MAC地址以及用戶要訪問(wèn)的所述準(zhǔn)入交換機(jī)端口關(guān)聯(lián)起來(lái)形成源地址綁定表;在所述真實(shí)源地址準(zhǔn)入客戶端上設(shè)置有IPv6分組發(fā)送模塊和真實(shí)源地址準(zhǔn)入控制協(xié)議客戶端模塊�,其中用戶IPv6分組發(fā)送模塊,把收到的用戶IPv6分組通過(guò)所述準(zhǔn)入交換機(jī)端口送入真實(shí)源地址過(guò)濾模塊����,該模塊根據(jù)源地址綁定表����,檢查所述IPv6分組的源IPv6地址和源MAC地址是否分別對(duì)應(yīng)綁定表中的IPv6地址和MAC地址����,若不滿足,則把該IPv6分組丟棄�����,若滿足��,則檢查該IPv6分組是否為鄰居發(fā)現(xiàn)協(xié)議中的鄰居查詢Neighbor Solicitation分組�,或者是鄰居通知Neighbor Advertisement分組,若不是���,允許分組通過(guò)�,若是���,則檢查該分組中屬性TargetAddress以及Target Link-layer Address是否分別對(duì)應(yīng)綁定關(guān)系表中IPv6地址和MAC地址����,若存在����,便允許該IPv6分組通過(guò)�,否則�,便丟棄;步驟(2)����,系統(tǒng)依次按以下步驟進(jìn)行準(zhǔn)入控制步驟(2.1),客戶端模塊通過(guò)用戶界面提取用戶名與密碼�,根據(jù)用戶名來(lái)構(gòu)造可擴(kuò)展身份認(rèn)證協(xié)議請(qǐng)求EAP-Request,發(fā)送給所述代理模塊�����;步驟(2.2)��,該代理模塊收到EAP-Request以后����,將該EAP-Request���、交換機(jī)IPv6地址�、客戶端連接準(zhǔn)入交換機(jī)的端口號(hào)封裝在遠(yuǎn)程撥入用戶服務(wù)協(xié)議接入請(qǐng)求Radius AccessRequest分組中�����,發(fā)送給所述服務(wù)器;步驟(2.3)�����,所述驗(yàn)證服務(wù)器首先運(yùn)行身份認(rèn)證模塊����,通過(guò)用戶名及密碼對(duì)用戶的身份進(jìn)行驗(yàn)證,若失敗�����,便向該代理模塊發(fā)送遠(yuǎn)程認(rèn)證撥入用戶服務(wù)協(xié)議接入拒絕Radius AccessReject分組�����,不允許訪問(wèn)網(wǎng)絡(luò)��;若成功��,進(jìn)入步驟(2.4)��;步驟(2.4)���,IPv6地址分配模塊根據(jù)身份認(rèn)證模塊提供的用戶身份信息分配IPv6地址區(qū)間����,并將其提交給地址管理模塊,地址管理模塊將對(duì)應(yīng)關(guān)系寫入地址管理表��;步驟(2.5)���,收到地址管理模塊發(fā)來(lái)的IPv6地址區(qū)間信息后��,把該地址區(qū)間附加在遠(yuǎn)程認(rèn)證撥入用戶服務(wù)協(xié)議接入接受Radius Access Accept分組中���,并發(fā)送給發(fā)出對(duì)應(yīng)RadiusAccess Request的代理實(shí)體;步驟(2.6)����,該代理實(shí)體收到所述服務(wù)器發(fā)來(lái)的Radius Access Accept分組后����,從中取出分配的IPv6地址區(qū)間,交給真實(shí)源地址過(guò)濾模塊形成對(duì)應(yīng)關(guān)系并寫入綁定關(guān)系表�,并將分配的IPv6地址區(qū)間附加在可擴(kuò)展身份認(rèn)證協(xié)議成功EAP-Success分組中,發(fā)送給客戶端�����;步驟(2.7),客戶端在接收到EAP-Success分組后�,把其中的IPv6地址區(qū)間解析出來(lái),配置到IPv6分組發(fā)送模塊�����,IPv6分組模塊發(fā)送以該IPv6地址為源地址的IPv6分組�����;步驟(2.8)��,真實(shí)源地址過(guò)濾模塊收到IPv6分組發(fā)送模塊發(fā)送的IPv6分組以后�����,對(duì)分組進(jìn)行過(guò)濾�����。
全文摘要
本發(fā)明涉及互聯(lián)網(wǎng)準(zhǔn)入控制領(lǐng)域�����,其特征在于該方法通過(guò)一個(gè)由真實(shí)源地址準(zhǔn)入驗(yàn)證服務(wù)器、真實(shí)源地址準(zhǔn)入交換機(jī)和真實(shí)源地址準(zhǔn)入客戶端構(gòu)成的系統(tǒng)對(duì)用戶進(jìn)行準(zhǔn)入控制����,其中,準(zhǔn)入驗(yàn)證服務(wù)器對(duì)用戶身份進(jìn)行驗(yàn)證����,分配相應(yīng)的IPv6地址區(qū)間,并建立兩者的對(duì)應(yīng)關(guān)系����,準(zhǔn)入交換機(jī)從所述服務(wù)器得到用戶IPv6地址區(qū)間后,同客戶端MAC地址以及用戶訪問(wèn)該交換機(jī)端口號(hào)關(guān)聯(lián)起來(lái)�,寫入綁定關(guān)系表,并將IPv6地址發(fā)送給客戶端�,客戶端從中解析出IPv6地址空間配置到IPv6分組發(fā)送模塊,IPv6分組模塊發(fā)送以該IPv6地址為源地址的IPv6分組�����,交給準(zhǔn)入交換機(jī)過(guò)濾���。本發(fā)明使用戶不能隨意仿造源MAC地址以及IPv6源地址來(lái)攻擊網(wǎng)絡(luò)。
文檔編號(hào)H04L9/32GK1929483SQ20061011319
公開日2007年3月14日 申請(qǐng)日期2006年9月19日 優(yōu)先權(quán)日2006年9月19日
發(fā)明者吳建平, 段海新, 畢軍, 陽(yáng)旺, 任罡, 張洪, 魏克 申請(qǐng)人:清華大學(xué)