專利名稱：：IPv6組播源身份認證及抑制惡意/非惡意服務(wù)攻擊的方法IPv6組播源身份認證及抑制惡意/非惡意服務(wù)攻擊的方法
技術(shù)領(lǐng)域：
IPv6組播源身份認證及抑制惡意/非惡意服務(wù)攻擊的方法，屬于計算機互聯(lián)網(wǎng)通信技術(shù)范疇。
背景技術(shù)：
：RFC4291，RFC3306，RFC3307定義了用于IPv6不同組播協(xié)議特定源組播(SSM)、任意源組播(ASM)及內(nèi)嵌RP的任意源組播(ASM-EmbededRP)的組播組地址的不同格式。在整個128位長度的地址中，最后32位由用戶自定義組播組地址的取值范圍。目前，IPv6組播網(wǎng)絡(luò)的搭建較多地開展于局域網(wǎng)，IPv6局域網(wǎng)組播的運行管理比較簡單，對IPv6組播組地址的使用可完全遵循RFC的有關(guān)規(guī)定。作為大型網(wǎng)絡(luò)服務(wù)提供商(ISP)，多年運行和管理IPv4大規(guī)模組播網(wǎng)絡(luò)的實踐表明組播技術(shù)由于其在組成員動態(tài)管理機制及組播路由機制方面的特殊性，使其在可擴展性、安全性及可管理性方面存在極大困難。IPv6組播技術(shù)研究剛剛起步，大規(guī)模組播網(wǎng)絡(luò)的運行和管理面臨新的機遇和挑戰(zhàn)。為了有效地解決大規(guī)模組播網(wǎng)絡(luò)的安全性問題及可擴展性問題，本發(fā)明在遵照RFC基本原則的基礎(chǔ)上，通過對IPv6組播組地址用戶自定義段中若干字節(jié)位的重新定義，配合路由器上的有關(guān)配置，對組播源身份認證及惡意或非惡意DOS攻擊抑制起到了很好的效果。
發(fā)明內(nèi)容IPv6組播源身份認證及抑制惡意/非惡意服務(wù)攻擊的方法在遵循RFC關(guān)于IPv6組播組地址格式定義及分配原則的基礎(chǔ)上，通過細化定義32比特用戶自定義位，將組播源的單播地址及組播支持應(yīng)用所需帶寬需求標識嵌入其中尚未使用的20比特，形成面向特定源組播SSM和任意源組播ASM等協(xié)議的組播組新定義格式。結(jié)合路由器配置中有關(guān)流量控制及源地址控制等ACL設(shè)定，有效地解決了組播源認證及抗DOS攻擊的安全問題。其特征在于，1.為組播源單獨定義、專門分配一塊/48IPv6地址，該地址含65,000個/64。每一個/64中的標識段(第四段)與一個園區(qū)網(wǎng)/48地址中的標識段(第三段)相對應(yīng)。即每一個園區(qū)網(wǎng)有一塊/48的IPv6單播地址，同時還有一塊對應(yīng)的/64單播地址作為組播源。在此基礎(chǔ)上，把專用組播源所在的IPv6單播地址所對應(yīng)的園區(qū)網(wǎng)標識部分(第四段共16-bits)和使用該組播組地址所支持應(yīng)用的最大帶寬需求標志位(4-bits)—起嵌入到由RFC規(guī)定的由用戶自定義位中的20位，并在路由器上作流量控制及源地址控制的配置，使只有與組地址中內(nèi)嵌的單播地址匹配的源地址才能夠?qū)χ鞲删W(wǎng)發(fā)送組播數(shù)據(jù)流，同時特定的組播組只能發(fā)送等于或小于該組播組地址所定義的速率的數(shù)據(jù)流，因此具有更好的安全性和可管理性；2.假設(shè)某個園區(qū)網(wǎng)的單播地址為2001:DB8:yyyy::/48，專用組播源的單播地址則為2001:DB8:ABCD:yyyy::/64，其中ABCD為本例中的專用組播源地址的標識，yyyy是園區(qū)網(wǎng)/48地址對應(yīng)的標識，對于RFC4291,RFC3306,RFC3307定義的特定源(SSM)組播地址，本發(fā)明方法的定義及分配方案如下支持園區(qū)網(wǎng)范圍(CampusScope),主干網(wǎng)范圍(BackboneScope)和全球范圍(GlobalScope)的SSM的IPv6組播組地址格式為(4)園區(qū)網(wǎng)范圍FF35::wxxx:ABCD/96，(5)主干網(wǎng)范圍FF38::wxxx:ABCD/96，(6)全球范圍FF3e::wxxx:ABCD/96，其中，w標識該組播組地址所支持應(yīng)用的最大帶寬需求，目前定義的w為0x8:0.1Mbps，0xC:1Mbps，0xE:10Mbps，0xF:100Mbps，xxx為用戶自行分配的組播地址范圍；路由器對于組播源地址和組地址控制的配置方法為允許源地址2001:DB8:ABCD:yyyy::/64發(fā)送到組地址FF3z:0:0:0:0:0:w000::/100(z的取值范圍為5，8，e)，拒絕所有其他源地址發(fā)送到組地址FF00::/8。路由器對于特定組的流量控制方法為控制任意源地址，組地址為FF3z:0:0:0:0:0:8000::/100的流量限制為0.1Mbps，控制任意源地址，組地址為FF3z:0:0:0:0:0:C000::/100的流量限制為lMbps，控制任意源地址，組地址為FF3z:0:0:0:0:0:E000::/100的流量限制為10Mbps，控制任意源地址，組地址為FF3z:0:0:0:0:0:F000::/100的流量限制為100Mbps(z的取值范圍為5,8，e)。3.假設(shè)某個園區(qū)網(wǎng)的單播地址為2001:DB8:yyyy::/48，專用組播源的單播地址則為2001:DB8:ABCD:yyyy::/64，其中ABCD為本例中的專用組播源地址的標識，yyyy是園區(qū)網(wǎng)/48地址對應(yīng)的標識，對于RFC4291，RFC3306或RFC3307定義的任意源(ASM)組播地址，本發(fā)明方法的定義及分配方案如下支持園區(qū)網(wǎng)范圍(CampusScope)的、主干網(wǎng)范圍(BackboneScope)和全球范圍(GlobalScope)的ASM(靜態(tài)RP)的組播組地址格式為(3)園區(qū)網(wǎng)范圍FF35:0020:2001:DB8::wxxx:ABCD/96，(2)主干網(wǎng)范圍FF38:0020:2001:DB8::wxxx:ABCD/96，(3)全球范圍FF3e:0020:2001:DB8::wxxx:ABCD/96，其中，w標識該組播組地址所支持應(yīng)用的最大帶寬需求，目前定義的w為0x8:0.1Mbps，0xC:1Mbps，0xE:10Mbps,0xF:100Mbps,xxx標識用戶可以自行分配的組播地址范圍；路由器對于組播源地址和組地址控制的配置方法為允許源地址2001:DB8:ABCD:yyyy二/64發(fā)送到組地址FF3z:0020:2001:DB8:0:0:w000::/100(z的取值范圍為5，8，e)，拒絕所有其他源地址發(fā)送到組地址FF00::/8。路由器對于特定組的流量控制方法為控制任意源地址，組地址為FF3z:0020:2001:DB8:0:0:8000::/100的流量限制為O.lMbps，控制任意源地址，組地址為FF3z:0020:2001:DB8:0:0:C000::/100的流量限制為1Mbps，控制任意源地址，組地址為FF3z:0020:2001:DB8:0:0:E000::/100的流量限制為IOMbps，控制任意源地址，組地址為FF3z:0020:2001:DB8:0:0:F000::/100的流量限制為100Mbps(z的取值范圍為5，8，e)。4.假設(shè)某個園區(qū)網(wǎng)的單播地址為2001:DB8:yyyy::/48，專用組播源的單播地址則為2001:DB8:ABCD:yyyy::/64，其中ABCD為本例中的專用組播源地址的標識，yyyy是園區(qū)網(wǎng)/48地址對應(yīng)的標識，對于RFC4291，RFC3306,RFC3596定義的任意源(ASM)組播地址，如果嵌入式RP(EmbeddedRP)地址是2001:DB8::1，本發(fā)明方法的定義及分配方案如下支持園區(qū)網(wǎng)范圍(CampusScope)的、主干網(wǎng)范圍(BackboneScope)和全球范圍(GlobalScope)的ASM(EmbeddedRP)的組播組地址格式為")園區(qū)網(wǎng)范圍ET75:0120:2謝DB8::wxxx:ABCD/96，(2)主干網(wǎng)范圍FF78:0120:2001:DB8::wxxx:ABCD/96，(3)全球范圍FF7e:0120:2001:DB8::wxxx:ABCD/96，其中，w標識該組播組地址所支持應(yīng)用的最大帶寬需求，目前定義的w為0x8:O.lMbps，OxC:1Mbps,OxE:10Mbps，OxF:100Mbps，xxx標識用戶可以自行分配的組播地址范圍；路由器對于組播源地址和組地址控制的配置方法為允許源地址2001:DB8:ABCD:yyyy::/64發(fā)送到組地址FF7z:0120:2001:DB8:0:0:w000::/100(z的取值范圍為5，8，e)，拒絕所有其他源地址發(fā)送到組地址FF00::/8。路由器對于特定組的流量控制方法為控制任意源地址，組地址為FF7z:0120:2001:DB8:0:0:8000::/100的流量限制為O.lMbps，控制任意源地址，組地址為FF7z:0120:2001:DB8:0:0:C000::/100的流量限制為1Mbps，控制任意源地址，組地址為FF7z:0120:2001:DB8:0:0:E000::/100的流量限制為10Mbps，控制任意源地址，組地址為FF7z:0120:2001:DB8:0:0:F000::/100的流量限制為100Mbps(z的取值范圍為5，8，e)。圖1是本發(fā)明方法提出的IPv6組播組地址補充定義格式；具體實施方式在CNGI-CERNET2上，按照以上定義方法，以清華大學(xué)、北京大學(xué)、上海交通大學(xué)、東南大學(xué)、西安交大等5所學(xué)校為例，各學(xué)校校園網(wǎng)用戶分配特定源組播及任意源組播(靜態(tài)RP)組地址方案如表1所示表l<table>tableseeoriginaldocumentpage10</column></row><table>以清華大學(xué)、上海交大和西安交大共同進行基于IPv6SSM組播網(wǎng)絡(luò)的高清視頻傳輸試驗為例，每路高清視頻流所占帶寬是22Mbps-28Mbps，所以，為支持該應(yīng)用的網(wǎng)絡(luò)帶寬需求標志位w為OxF。當清華大學(xué)、上海交大和西安交大分別作為高清視頻發(fā)送源時，三所學(xué)校進行該項視頻應(yīng)用實驗，可用組播組地址分別為清華大學(xué)FF38::Fxxx:200,上海交大FF38::Fxxx:6000，西安交大FF38::Fxxx:1001，同時可以確認其對應(yīng)的源地址必須處于對應(yīng)得/64標識，清華大學(xué)2001:250:ABCD:200::/64，上海交大2001:250:ABCD:6000::/64，西安交大2001:250:ABCD:1001::/64。在思科(CISCO)路由器上對清華大學(xué)、上海交大、西安交大組播流的源地址的控制配置案例為ipv6access-listmulticast-sourcepermit2001:250:ABCDr200::/64FF38:0:0:0:0:0:F0G0::/100ipv6access-list腿lticast-sourcedenyanyFF00::/8在思科(CISCO)路由器上對上海交大組播流的源地址的控制配置案例為ipv6access-listmulticast-sourcepermit2001:250:ABCD:6000::/64FF38:0:0:0:0:0:剛O::/100ipv6access-listmulticast-sourcedenyanyET00::/8在思科(CISCO)路由器上對西安交大組播流的源地址的控制配置案例為-ipv6access-listmulticast-sourcepermit2〇G1:250:ABCD:1001::/64FT38:0:0:0:0:0:F000::/100ipv6access-list皿lticast-sourcedenyanyFF00::/8表示除了2001:250:ABCD:200::/64、2001:250:ABCD:6000::/64和2001:250:ABCD:1001::/64的地址外，其他源地址發(fā)往任意組地址的組播通信都不能成功。同時在路由器上對IPv6SSM組播路由狀態(tài)(S，G)進行監(jiān)控，檢査源地址和組地址的匹配情況，可以很好地防止非認證源攻擊。在思科(CISCO)路由器上對組播流量控制的配置案例為政策映射policy-maplimit—multicastclassmulticast-ipv6-100kpolicecir100000be3125be3125conform—actiontransmitexceed—actiondropviolate—act丄ondropclassmulticast-ipv6-lmpolicecir1000000be31250be31250conform-actiontransmitexceed-actiondropviolate-actiondropclass皿lticast-ipv"6-10mpolicecir10000000be312500be312500conform-actiontransmitexceed-actiondropviolate-actiondropclass腿lticast-ipv6-100mpolicecir10QOQOOOObe3125000be3125000conform-actiontransmitexceed-actiondropviolate-actiondrop類別映射class-mapmatch-all腿lticast-ipv6-100kmatchaccess—groupnamemulticast—ipv6-100kclass—mapmatch—all腿lticast-ipv6-lmmatchaccess-groupnamemulticast-ipv6-lmclass-mapmatch—all懇lticast、ipv6-10mmatchaccess-groupnamemulticast-ipv6-10mclass—mapmatch-a11multicast-ipv6-100mmatchaccess-groupnameiuulticast-ipv6-100m地址控制:ipv6access-listmulticast-ipv6-100kpermitipv6anyFF3E::8000:0/112ipv6access-listmulticast-ipv6-lmpermitipv6anyHT3E::COOO:0/112ipv6access-listmulticast-ipv6-lOiupermitipv6anyFF3E::EOOO:0/112ipv6access—listmulticast—ipv6-100mpermitipv6anyFF3E::F〇0〇0/112端口配置interfaceGigabitEthernet7/22bandwidth100000ipaddress202.38.97.113255.255.255.252iproute-cacheflowipv6address2001:DA8:AAAF::1/64misnetflowsamplingservice-policyoutputlimit-multicast在遵循RFC關(guān)于IPv6組播組地址格式定義及分配原則的基礎(chǔ)上，通過細化定義其中的32比特用戶自定義位，將組播源單播地址及組播支持應(yīng)用所需帶寬需求嵌入其中的20比特，對原RFC的有關(guān)規(guī)定進行了擴充。面向特定源組播SSM和任意源組播ASM等協(xié)議的組播組新定義格式，有效地解決了組播源認證及抗DOS攻擊的安全問題，為更好地實現(xiàn)大規(guī)模IPv6非隧道組播網(wǎng)絡(luò)的運行與管理提供了基礎(chǔ)。權(quán)利要求1.IPv6組播源身份認證及抑制惡意/非惡意服務(wù)攻擊的方法，其特征在于，為組播源單獨定義、專門分配一塊/48IPv6地址，該地址含65,000個/64，每一個/64中的標識段(第四段)與一個園區(qū)網(wǎng)/48地址中的標識段(第三段)相對應(yīng)，即每一個園區(qū)網(wǎng)有一塊/48的IPv6單播地址，同時還有一塊對應(yīng)的/64單播地址作為組播源，在此基礎(chǔ)上，把專用組播源所在的IPv6單播地址所對應(yīng)的園區(qū)網(wǎng)標識部分(第四段共16-bits)和使用該組播組地址所支持應(yīng)用的最大帶寬需求標志位(4-bits)一起嵌入到由RFC規(guī)定的由用戶自定義位中的20位，并在路由器上作流量控制及源地址控制的配置，使只有與組地址中內(nèi)嵌的單播地址匹配的源地址才能夠?qū)χ鞲删W(wǎng)發(fā)送組播數(shù)據(jù)流，同時特定的組播組只能發(fā)送等于或小于該組播組地址所定義的速率的數(shù)據(jù)流，因此具有更好的安全性和可管理性；2.根據(jù)權(quán)利要求書1所述的IPv6協(xié)議下一種組播源身份認證及抑制惡意/非惡意服務(wù)攻擊的方法，其特征在于，假設(shè)某個園區(qū)網(wǎng)的單播地址為2001:DB8:yyyy::/48，專用組播源的單播地址則為2001:DB8:ABCD:yyyy::/64，其中ABCD為本例中的專用組播源地址的標識，yyyy是園區(qū)網(wǎng)/48地址對應(yīng)的標識，對于RFC4291,RFC3306,RFC3307定義的特定源(SSM)組播地址，本發(fā)明方法的定義及分配方案如下支持園區(qū)網(wǎng)范圍(CampusScope),主干網(wǎng)范圍(BackboneScope)和全球范圍(GlobalScope)的SSM的IPv6組播組地址格式為(1)園區(qū)網(wǎng)范圍FF35::wxxx:ABCD/96，(2)主干網(wǎng)范圍FF38::wxxx:ABCD/96，(3)全球范圍FF3e::wxxx:ABCD/96，其中，w標識該組播組地址所支持應(yīng)用的最大帶寬需求，目前定義的w為0x8:0.1Mbps，0xC:1Mbps，0xE:10Mbps，0xF:100Mbps，xxx為用戶自行分配的組播地址范圍；路由器對于組播源地址和組地址控制的配置方法為允許源地址2001:DB8:ABCD:yyyy::/64發(fā)送到組地址FF3z:0:0:0:0:0:wOOO::/100(z的取值范圍為5，8，e)，拒絕所有其他源地址發(fā)送到組地址FF00::/8;路由器對于特定組的流量控制方法為控制任意源地址，組地址為FF3z:0眾0',0'眾8000::/100的流量限制為O.lMbps，控制任意源地址，組地址為FF3z:0:0:0:0:0:C000::A00的流量限制為1Mbps，控制任意源地址，組地址為FF3z:0:0:0:0:0:E000::/100的流量限制為10Mbps，控制任意源地址，組地址為FF3z:0:0:0:0:0:F000::/100的流量限制為100Mbps(z的取值范圍為5，8，e);3.根據(jù)權(quán)利要求書1所述的IPv6協(xié)議下一種組播源身份認證及抑制惡意/非惡意服務(wù)攻擊的方法，其特征在于，假設(shè)某個園區(qū)網(wǎng)的單播地址為2001:DB8:yyyy::/48，專用組播源的單播地址則為2001:DB8:ABCD:yyyy::/64，其中ABCD為本例中的專用組播源地址的標識，yyyy是園區(qū)網(wǎng)/48地址對應(yīng)的標識，對于RFC4291,RFC3306或RFC3307定義的任意源(ASM)組播地址，本發(fā)明方法的定義及分配方案如下支持園區(qū)網(wǎng)范圍(CampusScope)的、主干網(wǎng)范圍(BackboneScope)和全球范圍(GlobalScope)的ASM(靜態(tài)RP)的組播組地址格式為-(1)園區(qū)網(wǎng)范圍FF35:0020:2001:DB8::wxxx:ABCD/96，(2)主干網(wǎng)范圍FF38:0020:2001:DB8::wxxx:ABCD/96，(3)全球范圍FF3e:0020:2001:DB8::wxxx:ABCD/96，其中，w標識該組播組地址所支持應(yīng)用的最大帶寬需求，目前定義的w為0x8:O.lMbps，OxC:lMbps，OxE:10Mbps，OxF:100Mbps，xxx標識用戶可以自行分配的組播地址范圍；路由器對于組播源地址和組地址控制的配置方法為允許源地址2001:DB8:ABCD:yyyy::/64發(fā)送到組地址FF3z:0020:2001:DB8:0:0:w000::/100(z的取值范圍為5，8，e)，拒絕所有其他源地址發(fā)送到組地址FF00::/8;路由器對于特定組的流量控制方法為控制任意源地址，組地址為FF3z:0020:2001:DB8:0:0:8000::/100的流量限制為O.lMbps，控制任意源地址，組地址為FF3z:0020:2001:DB8:0:0:C000::/100的流量限制為1Mbps，控制任意源地址，組地址為FF3z:0020:2001:DB8:0:0:E000::/100的流量限制為10Mbps，控制任意源地址，組地址為FF3z:0020:2001:DB8:0:0:F000::/100的流量限制為100Mbps(z的取值范圍為5，8，e);4.根據(jù)權(quán)利要求書l所述的IPv6協(xié)議下一種組播源身份認證及抑制惡意/非惡意服務(wù)攻擊的方法，其特征在于，假設(shè)某個園區(qū)網(wǎng)的單播地址為2001:DB8:yyyy::/48，專用組播源的單播地址則為2001:DB8:ABCD:yyyy::/64，其中ABCD為本例中的專用組播源地址的標識，yyyy是園區(qū)網(wǎng)/48地址應(yīng)的標識，對于RFC4291，RFC3306,RFC3596定義的任意源(ASM)組播地址，如果嵌入式RP(EmbeddedRP)地址是2001:DB8::1，本發(fā)明方法的定義及分配方案如下支持園區(qū)網(wǎng)范圍(CampusScope)的、主干網(wǎng)范圍(BackboneScope)和全球范圍(GlobalScope)的ASM(EmbeddedRP)的組播組地址格式為(2)園區(qū)網(wǎng)范圍FF75:0120:2001:DB8::wxxx:ABCD/96，(2)主干網(wǎng)范圍FF78:0120:2001:DB8::wxxx:ABCD/96，(3)全球范圍FF7e:0120:2001:DB8::wxxx:ABCD/96，其中，w標識該組播組地址所支持應(yīng)用的最大帶寬需求，目前定義的w為0x8:O.lMbps，OxC:1Mbps，OxE:10Mbps，OxF:100Mbps，xxx標識用戶可以自行分配的組播地址范圍；路由器對于組播源地址和組地址控制的配置方法為允許源地址2001:DB8:ABCD:yyyy::/64發(fā)送到組地址FF7z:0120:2001:DB8:0:0:w000::/100(z的取值范圍為5，8，e)，拒絕所有其他源地址發(fā)送到組地址FF00::/8;路由器對于特定組的流量控制方法為控制任.意源地址，組地址為FF7z:0120:2001:DB8:0:0:8000::/100的流量限制為O.lMbps，控制任意源地址，組地址為FF7z:0120:2001:DB8:0:0:C000::/100的流量限制為1Mbps，控制任意源地址，組地址為FF7z:0120:2001:DB8:0:0:E000::/100的流量限制為10Mbps，控制任意源地址，組地址為FF7z:0120:2001:DB8:0:0:F000::/100的流量限制為100Mbps(z的取值范圍為5，8，e)。全文摘要IPv6組播源身份認證及抑制惡意/非惡意服務(wù)攻擊的方法屬于計算機網(wǎng)絡(luò)通信
技術(shù)領(lǐng)域：
，其特征在于，在遵循RFC關(guān)于IPv6組播組地址格式定義及分配原則的基礎(chǔ)上，為組播源單獨定義專門分配一塊/48IPv6地址，為每個園區(qū)網(wǎng)分配其中的塊/64，其標識與個園區(qū)網(wǎng)的標識相對應(yīng)，通過細化定義32比特用戶自定義位，將專用組播源的單播地址及組播支持應(yīng)用所需帶寬需求標識嵌入其中尚未使用的20比特，形成面向特定源組播SSM和任意源組播ASM等協(xié)議的組播組新定義格式。結(jié)合路由器配置中有關(guān)流量控制及源地址控制等ACL設(shè)定，有效地解決了組播源認證及抗DOS攻擊的安全問題，為更好地實現(xiàn)大規(guī)模IPv6非隧道組播網(wǎng)絡(luò)的運行與管理打下了基礎(chǔ)。文檔編號H04L12/56GK101282338SQ200810094270公開日2008年10月8日申請日期2008年4月25日優(yōu)先權(quán)日2007年5月16日發(fā)明者包叢笑,星李申請人:清華大學(xué)