專利名稱：：無狀態(tài)地址配置的安全控制方法及裝置的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及數(shù)據(jù)通信
技術(shù)領(lǐng)域：
，具體而言，涉及一種無狀態(tài)地址配置的安全控制方法及裝置。
背景技術(shù)：
：第6版本的互聯(lián)網(wǎng)協(xié)議(InternetProtocolVersion6，簡(jiǎn)稱為IPv6)中的地址配置主要采用自動(dòng)配置方法。常用的自動(dòng)配置技術(shù)分為有狀態(tài)自動(dòng)配置協(xié)議和無狀態(tài)自動(dòng)配置協(xié)議。其中，IPv6的無狀態(tài)地址自動(dòng)配置主要包括步驟如下首先進(jìn)行自動(dòng)配置的網(wǎng)絡(luò)節(jié)點(diǎn)必須確認(rèn)自己的接口標(biāo)識(shí)(例如，IEEE中的EUI-64)；然后根據(jù)接口標(biāo)識(shí)生成自己的本地鏈路地址(例如，在64位的接口標(biāo)識(shí)添加fe80::/10的網(wǎng)絡(luò)前綴)；在完成對(duì)該地址的重復(fù)檢測(cè)之后，該網(wǎng)絡(luò)節(jié)點(diǎn)已經(jīng)具有本地鏈路范圍內(nèi)的網(wǎng)絡(luò)層通信能力；如果該網(wǎng)絡(luò)節(jié)點(diǎn)需要接入范圍更大的網(wǎng)絡(luò)(例如，Internet)，該網(wǎng)絡(luò)節(jié)點(diǎn)需要向本地鏈路上的路由器請(qǐng)求分配網(wǎng)絡(luò)前綴，即發(fā)送路由器請(qǐng)求(RouterSolicitation，簡(jiǎn)稱為RS)報(bào)文，在獲得路由器的攜帶網(wǎng)絡(luò)前綴的路由器通告(RouterAdvertisement，簡(jiǎn)稱為RA)報(bào)文之后，該網(wǎng)絡(luò)節(jié)點(diǎn)生成自己的全球地址(包括本地地址)。由于在上述配置過程中，數(shù)據(jù)報(bào)文都是明文傳送的，因此，在實(shí)際應(yīng)用中可能存在偽造路由器、仿冒其他網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送報(bào)文等安全隱患。目前，相關(guān)技術(shù)中提出的解決方案包括在接入網(wǎng)絡(luò)設(shè)備中嗅探網(wǎng)絡(luò)的鄰居請(qǐng)求(NeighborSolicitation，簡(jiǎn)稱為NS)報(bào)文，建立安全的IP地址、媒介訪問控制(MediaAccessControl，簡(jiǎn)稱為MAC)地址和端口的映射表，在后續(xù)接收到該IP的NS報(bào)文時(shí)，檢查其是否和記錄的端口、MAC地址相一致，來實(shí)現(xiàn)對(duì)“中間人欺騙”的防御。發(fā)明人發(fā)現(xiàn)，在上述解決方案中，通過嗅探鄰居請(qǐng)求來獲取相對(duì)安全的映射表以進(jìn)行安全防御，因此要求接收到的NS報(bào)文必須是安全的(即來自安全的網(wǎng)絡(luò)節(jié)點(diǎn))。但是接收到的NS報(bào)文有可能是“中間人”偽造的，導(dǎo)致建立的映射表本身就是錯(cuò)誤的，從而仍然存在“中間人欺騙”的問題。
發(fā)明內(nèi)容本發(fā)明的主要目的在于提供一種無狀態(tài)地址配置的安全控制方法及裝置，以至少解決上述問題之一。根據(jù)本發(fā)明的一個(gè)方面，提供了一種無狀態(tài)地址配置的安全控制方法，包括接入交換設(shè)備對(duì)接入網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)使用的媒介訪問控制MAC地址及網(wǎng)絡(luò)節(jié)點(diǎn)接入的端口的合法性進(jìn)行認(rèn)證；認(rèn)證通過，建立MAC地址與端口的端口標(biāo)識(shí)的對(duì)應(yīng)關(guān)系；根據(jù)對(duì)應(yīng)關(guān)系對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行過濾。根據(jù)本發(fā)明的另一方面，提供了一種無狀態(tài)地址配置的安全控制裝置，包括接口標(biāo)識(shí)認(rèn)證模塊，用于對(duì)接入網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)使用的MAC地址及網(wǎng)絡(luò)節(jié)點(diǎn)接入的端口的合法性進(jìn)行認(rèn)證，認(rèn)證通過后，建立MAC地址以及端口的端口標(biāo)識(shí)的對(duì)應(yīng)關(guān)系；鄰居報(bào)文處理模塊，用于根據(jù)對(duì)應(yīng)關(guān)系對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行過濾。通過本發(fā)明，通過在網(wǎng)絡(luò)節(jié)點(diǎn)接入網(wǎng)絡(luò)時(shí)，對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)使用的MAC地址及其接入的端口進(jìn)行認(rèn)證，并將認(rèn)證通過的MAC地址和端口進(jìn)行綁定，根據(jù)該綁定關(guān)系對(duì)后續(xù)接收到的數(shù)據(jù)報(bào)文進(jìn)行過濾，從而可以解決中間人欺騙的問題，進(jìn)而提高了網(wǎng)絡(luò)的安全性。此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解，構(gòu)成本申請(qǐng)的一部分，本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明，并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中圖1為根據(jù)本發(fā)明實(shí)施例一的無狀態(tài)地址配置的安全控制裝置的結(jié)構(gòu)示意圖；圖2為根據(jù)本發(fā)明實(shí)施例一的無狀態(tài)地址配置的安全控制方法的流程圖；圖3為根據(jù)本發(fā)明實(shí)施例的一種網(wǎng)絡(luò)架構(gòu)示意圖；圖4為根據(jù)本發(fā)明實(shí)施例二的無狀態(tài)地址配置的安全控制裝置的結(jié)構(gòu)示意圖；以及圖5為根據(jù)本發(fā)明實(shí)施例二的無狀態(tài)地址配置的安全控制方法的流程圖。具體實(shí)施例方式下文中將參考附圖并結(jié)合實(shí)施例來詳細(xì)說明本發(fā)明。需要說明的是，在不沖突的情況下，本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合。實(shí)施例一圖1為根據(jù)本發(fā)明實(shí)施例一的無狀態(tài)地址配置的安全控制裝置的結(jié)構(gòu)示意圖，該裝置可以位于接入交換機(jī)層。該裝置包括接口標(biāo)識(shí)認(rèn)證模塊10和鄰居報(bào)文處理模塊20。其中，接口標(biāo)識(shí)認(rèn)證模塊10，用于對(duì)接入網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)使用的MAC地址及其接入的端口的合法性進(jìn)行認(rèn)證，認(rèn)證通過后，建立該MAC地址以及該端口的端口標(biāo)識(shí)的對(duì)應(yīng)關(guān)系；鄰居報(bào)文處理模塊20，用于根據(jù)上述對(duì)應(yīng)關(guān)系對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行過濾。例如，接口標(biāo)識(shí)認(rèn)證模塊10可以采用DOTlXdEEE802.Ix協(xié)議)進(jìn)行IPv6的接入認(rèn)證控制。由于相關(guān)技術(shù)中是通過嗅探鄰居請(qǐng)求來獲取相對(duì)安全的綁定表進(jìn)行安全防御，其安全性取決于網(wǎng)絡(luò)的穩(wěn)定性和用戶的可靠性，具有很大的被動(dòng)性，而本實(shí)施例提供的上述裝置在網(wǎng)絡(luò)節(jié)點(diǎn)接入網(wǎng)絡(luò)時(shí)對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行認(rèn)證，在認(rèn)證成功后，其MAC地址靜態(tài)綁定到相應(yīng)的接入端口，從而可以防止基于DAD的DOS攻擊，杜絕鄰居發(fā)現(xiàn)協(xié)議中針對(duì)地址解析的中間人欺騙。圖2為根據(jù)本發(fā)明實(shí)施例一的無狀態(tài)地址配置的安全控制方法的流程圖，該方法包括以下步驟(步驟S202-步驟S204)步驟S202，接入交換設(shè)備對(duì)接入網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)使用的MAC地址及該網(wǎng)絡(luò)節(jié)點(diǎn)接入的端口的合法性進(jìn)行認(rèn)證，認(rèn)證通過，建立該MAC地址與該端口的端口標(biāo)識(shí)的對(duì)應(yīng)關(guān)系；例如，接入交換設(shè)備可以通過DOTlX對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行接入認(rèn)證。認(rèn)證通過后，網(wǎng)絡(luò)節(jié)點(diǎn)根據(jù)其48位MAC地址生成接口標(biāo)識(shí)EUI-64，Global位置1，在中間加入16位FFFE，并根據(jù)接口標(biāo)識(shí)生成鏈路本地地址(Link-Local)；步驟S204，接入交換設(shè)備根據(jù)上述對(duì)應(yīng)關(guān)系對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行過濾。例如，網(wǎng)絡(luò)節(jié)點(diǎn)在認(rèn)證通過后，根據(jù)其48位MAC地址生成接口標(biāo)識(shí)(EUI-64)，Global位置1，在中間加入16位FFFE，并根據(jù)接口標(biāo)識(shí)生成鏈路本地地址(Link-Local)；同時(shí)，可以向本地鏈路內(nèi)所有路由器發(fā)送路由器請(qǐng)求(RS)報(bào)文，接入交換設(shè)備接收到該路由器請(qǐng)求報(bào)文后，解析出其源MAC地址，根據(jù)上述對(duì)應(yīng)關(guān)系確定該MAC已經(jīng)通過DOTlX認(rèn)證，獲取其認(rèn)證合法的端口，通過EUI-64生成算法得到該MAC地址對(duì)應(yīng)的接口標(biāo)識(shí)，并建立該接口標(biāo)識(shí)、MAC地址和端口的端口標(biāo)識(shí)(例如，端口號(hào))的綁定關(guān)系，處理完畢后，將該RS報(bào)文正常洪泛到本鏈路內(nèi)的所有端口；對(duì)于接入交換設(shè)備接收到的本地路由器發(fā)送的路由器通告(RA)報(bào)文，接入設(shè)備解析出該報(bào)文中攜帶的網(wǎng)絡(luò)前綴、前綴優(yōu)選使用時(shí)間、前綴可用時(shí)間等相關(guān)參數(shù)，并將該報(bào)文正常向本地鏈路范圍內(nèi)所有端口洪泛。并且，接入交換設(shè)備將該報(bào)文中網(wǎng)絡(luò)前綴信息添加到上述綁定關(guān)系中的所有本地鏈路范圍內(nèi)的接口鏈上，如表1所示。在實(shí)際應(yīng)用中，當(dāng)網(wǎng)絡(luò)前綴信息發(fā)生更新時(shí)，為了保證數(shù)據(jù)的實(shí)時(shí)性，接入交換設(shè)備在獲取到更新后的網(wǎng)絡(luò)前綴信息時(shí)(包括網(wǎng)絡(luò)前綴和/或網(wǎng)絡(luò)前綴的相關(guān)參數(shù))對(duì)上述綁定關(guān)系進(jìn)行更新。表1.<table>tableseeoriginaldocumentpage7</column></row><table>本地鏈路范圍內(nèi)的各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)接收到路由通告請(qǐng)求報(bào)文后，使用根據(jù)其通過認(rèn)證的MAC地址生成的接口標(biāo)識(shí)及該路由通告請(qǐng)求報(bào)文中的網(wǎng)絡(luò)前綴組成該網(wǎng)絡(luò)節(jié)點(diǎn)的IP地址，在后續(xù)發(fā)送鄰居請(qǐng)求報(bào)文及鄰居通告報(bào)文時(shí)使用該IP地址。對(duì)于鄰居請(qǐng)求(NS)報(bào)文和鄰居通告(NA)報(bào)文，以圖3所示的架構(gòu)為例，當(dāng)PCl請(qǐng)求PC2的MAC地址時(shí)，PCl發(fā)出的鄰居請(qǐng)求(NS)報(bào)文首先到達(dá)接入交換設(shè)備。接入交換設(shè)備解析出該報(bào)文的源MAC地址(為了便于描述，將該源MAC地址稱作MAC地址A)和源IP地址(IP地址A)，并獲取接收該NA報(bào)文的端口的端口標(biāo)識(shí)(例如，端口號(hào)A)，然后檢查上述綁定關(guān)系的映射表項(xiàng)，判斷MAC地址A、IP地址A和端口號(hào)A是否與綁定關(guān)系中的某項(xiàng)映射表項(xiàng)匹配，如果是則在本地鏈路范圍內(nèi)洪泛，否則丟棄該NS報(bào)文。PC2在接收到這個(gè)報(bào)文之后，回復(fù)鄰居通告(NA)報(bào)文給PC1。接入交換設(shè)備接收到該NA報(bào)文，解析出該NA報(bào)文的源MAC地址(MAC地址B)、源IP地址(IP地址B)和鄰居通告(NA)報(bào)文選項(xiàng)中的目標(biāo)MAC地址。在檢查目標(biāo)MAC地址與MAC地址A—致后，再檢查MAC地址B和IP地址B是否能與上述綁定關(guān)系中的某表項(xiàng)匹配，如果是，則將該NA報(bào)文轉(zhuǎn)發(fā)給PCl，否則丟棄該NA報(bào)文。在本實(shí)施例中，網(wǎng)絡(luò)節(jié)點(diǎn)的IP地址可以由網(wǎng)絡(luò)前綴和該網(wǎng)絡(luò)節(jié)點(diǎn)的MAC地址組成；另外，在本實(shí)施例中，當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)的位置發(fā)生變化時(shí)，其MAC認(rèn)證信息也會(huì)相應(yīng)發(fā)生變化，在網(wǎng)絡(luò)節(jié)點(diǎn)使用新的MAC地址向接入交換設(shè)備發(fā)送路由器請(qǐng)求報(bào)文時(shí)，接入交換設(shè)備從中解析出該網(wǎng)絡(luò)節(jié)點(diǎn)的新的MAC地址，并獲取該網(wǎng)絡(luò)節(jié)點(diǎn)當(dāng)前接入的端口的端口標(biāo)識(shí)，對(duì)該新的MAC地址和端口的合法性進(jìn)行認(rèn)證，認(rèn)證通過后，更新MAC地址與端口的對(duì)應(yīng)關(guān)系，并使用該新的MAC地址生成新的接口標(biāo)識(shí)，以該新的MAC地址、新的接口標(biāo)識(shí)及端口標(biāo)識(shí)對(duì)上述綁定關(guān)系進(jìn)行更新，從而可以實(shí)現(xiàn)安全數(shù)據(jù)的動(dòng)態(tài)變化，從而不致影響用戶在新位置的IPv6接入服務(wù)；另外，在本實(shí)施例中，當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)從網(wǎng)絡(luò)中離線或老化時(shí)，接入交換設(shè)備將刪除與該網(wǎng)絡(luò)節(jié)點(diǎn)使用的MAC地址對(duì)應(yīng)的綁定關(guān)系，以及與該MAC地址對(duì)應(yīng)的上述對(duì)應(yīng)關(guān)系，從而避免安全表項(xiàng)為其它用戶使用，進(jìn)一步確保了網(wǎng)絡(luò)的安全。采用上述報(bào)文的處理方式，對(duì)于圖3中的PC3，雖然它也能夠接收到PCl的鄰居請(qǐng)求報(bào)文，但如果其試圖以PC2的MAC地址偽造鄰居通告報(bào)文發(fā)送給PC1，因?yàn)槠涫褂玫腗AC地址和IP地址不能與綁定關(guān)系中的任意表項(xiàng)匹配，而被丟棄；或者，如果PC3在接收到PCl的鄰居請(qǐng)求報(bào)文之后，偽造該鄰居請(qǐng)求報(bào)文再發(fā)送給PC2時(shí)，由于其使用MAC地址和IP地址對(duì)不能夠通過檢測(cè)，而被丟棄，從而不能被發(fā)送到PC2，從而可以有效地杜絕中間人欺騙。由于相關(guān)技術(shù)中是通過嗅探鄰居請(qǐng)求來獲取相對(duì)安全的綁定表進(jìn)行安全防御，其安全性取決于網(wǎng)絡(luò)的穩(wěn)定性和用戶的可靠性，具有很大的被動(dòng)性，而本實(shí)施例中，在網(wǎng)絡(luò)節(jié)點(diǎn)接入網(wǎng)絡(luò)時(shí)對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行認(rèn)證，在認(rèn)證成功后，其MAC地址靜態(tài)綁定到相應(yīng)的接入端口，從而可以防止基于DAD的DOS攻擊，杜絕鄰居發(fā)現(xiàn)協(xié)議中針對(duì)地址解析的中間人欺騙。實(shí)施例二圖4為根據(jù)本發(fā)明實(shí)施例二的無狀態(tài)地址配置的安全控制裝置的結(jié)構(gòu)示意圖，該裝置與實(shí)施例一的區(qū)別在于，該裝置還包括存儲(chǔ)模塊30，用于存儲(chǔ)經(jīng)過認(rèn)證的MAC地址與端口的端口標(biāo)識(shí)的對(duì)應(yīng)關(guān)系；而鄰居報(bào)文處理模塊20進(jìn)一步用于接收路由器請(qǐng)求報(bào)文，解析出該路由器請(qǐng)求報(bào)文的源MAC地址，并獲取接收該路由器請(qǐng)求報(bào)文的端口的端口標(biāo)識(shí)，將獲取的源MAC地址和端口標(biāo)識(shí)發(fā)送給接口標(biāo)識(shí)認(rèn)證模塊10；接口標(biāo)識(shí)認(rèn)證模塊10還用于判斷鄰居報(bào)文處理模塊20輸入的源MAC地址和端口標(biāo)識(shí)是否滿足上述對(duì)應(yīng)關(guān)系，如果是，則通知鄰居報(bào)文處理模塊20洪泛該路由器請(qǐng)求報(bào)文，并根據(jù)該MAC地址生成該網(wǎng)絡(luò)節(jié)點(diǎn)的接口標(biāo)識(shí)，在存儲(chǔ)模塊30中建立上述MAC地址、接口標(biāo)識(shí)及端口標(biāo)識(shí)的綁定關(guān)系，否貝U，通知鄰居報(bào)文處理模塊20丟棄該路由器請(qǐng)求報(bào)文。優(yōu)選地，如圖4所示，該裝置還包括網(wǎng)絡(luò)前綴添加模塊40。鄰居報(bào)文處理模塊20還用于接收路由器通告報(bào)文，從該路由器通告報(bào)文中解析出網(wǎng)絡(luò)前綴以及該網(wǎng)絡(luò)前綴的相關(guān)參數(shù)(例如，該網(wǎng)絡(luò)前綴優(yōu)選使用時(shí)間、該網(wǎng)絡(luò)前綴可用時(shí)間等參數(shù))，將該網(wǎng)絡(luò)前綴及該網(wǎng)絡(luò)前綴的相關(guān)參數(shù)發(fā)送給網(wǎng)絡(luò)前綴添加模塊40，并將該路由器通告報(bào)文洪泛轉(zhuǎn)發(fā)；網(wǎng)絡(luò)前綴添加模塊40，用于將上述網(wǎng)絡(luò)前綴及該網(wǎng)絡(luò)前綴的相關(guān)參數(shù)記錄到存儲(chǔ)模塊30存儲(chǔ)的綁定關(guān)系中(如珍1所示)。如圖3示，當(dāng)PCl的MAC地址經(jīng)過接入交換設(shè)備的接口標(biāo)識(shí)認(rèn)證模塊10認(rèn)證之后，存儲(chǔ)模塊30將接口標(biāo)識(shí)0219:c6ff:fe05:9fcl，MAC地址0019.c605.9fcl和端口Gei_3/7添加到綁定表中；在網(wǎng)絡(luò)前綴添加模塊40獲取到網(wǎng)絡(luò)前綴20011da810011/64和2001:lda8:lda8:a::/64之后，將這兩個(gè)前綴添加端口Gei_3/7相應(yīng)的綁定表中，這樣就形成了兩個(gè)IP地址和MAC地址以及端口的綁定關(guān)系，即2001lda8100110219c6fffe059fcl->0019.c605.9fcl->gei_3/72001:lda8:1001:a:0219:c6ff:fe05:9fcl->0019.c605.9fcl->gei_3/7優(yōu)選地，鄰居報(bào)文處理模塊20還用于接收第一網(wǎng)絡(luò)節(jié)點(diǎn)的鄰居請(qǐng)求報(bào)文，解析出該鄰居請(qǐng)求報(bào)文的第一源MAC地址和第一源IP地址，以及接收該鄰居請(qǐng)求報(bào)文的端口的第一端口標(biāo)識(shí)，并判斷第一源MAC地址、第一源IP地址及第一端口標(biāo)識(shí)是否匹配存儲(chǔ)模塊30中存儲(chǔ)的上述綁定關(guān)系，如果是，則將該鄰居請(qǐng)求報(bào)文進(jìn)行洪泛轉(zhuǎn)發(fā)，否則丟棄該鄰居請(qǐng)求報(bào)文。并且，鄰居報(bào)文處理模塊20還可以用于接收第二網(wǎng)絡(luò)節(jié)點(diǎn)的鄰居通告報(bào)文，解析出該鄰居通告報(bào)文的第二源MAC地址、第二源IP地址和選項(xiàng)目標(biāo)MAC地址，判斷該選項(xiàng)目標(biāo)MAC地址與上述第一MAC地址是否一致，如果是，則判斷第二源MAC地址、第二源IP地址及接收該NA報(bào)文的端口的第二端口標(biāo)識(shí)是否匹配存儲(chǔ)模塊30中存儲(chǔ)的綁定關(guān)系，如果是，則按照選項(xiàng)目標(biāo)MAC地址將該鄰居通告報(bào)文向相應(yīng)的端口進(jìn)行轉(zhuǎn)發(fā)。在實(shí)際應(yīng)用中，可以通過數(shù)據(jù)庫(kù)存儲(chǔ)上述綁定關(guān)系，則鄰居報(bào)文處理模塊20可以通過調(diào)用該數(shù)據(jù)庫(kù)判斷NS或NA報(bào)文是否合法，而該數(shù)據(jù)庫(kù)可以根據(jù)鄰居報(bào)文處理模塊20的調(diào)用，對(duì)NS進(jìn)行基于源MAC+源IP+端口標(biāo)識(shí)+網(wǎng)絡(luò)前綴的匹配檢查，對(duì)NA報(bào)文先核對(duì)NS報(bào)文的源MAC地址和NA報(bào)文中的目標(biāo)MAC地址是否一致，然后進(jìn)行基于源MAC+源IP+端口標(biāo)識(shí)+網(wǎng)絡(luò)前綴的匹配檢查，檢查成功，返回給鄰居報(bào)文處理模塊20返回0K。通過本實(shí)施例的上述裝置，通過對(duì)報(bào)文的嚴(yán)格一致性檢查，可以進(jìn)一步杜絕了中間人欺騙。圖5為根據(jù)本發(fā)明實(shí)施例二的無狀態(tài)地址配置的安全控制方法的流程圖，包括以下處理步驟501，鄰居報(bào)文處理模塊20接收到報(bào)文，對(duì)接收到的報(bào)文進(jìn)行解析，根據(jù)對(duì)報(bào)文的解析結(jié)果進(jìn)行分發(fā)處理。對(duì)于接收到的路由器請(qǐng)求(RS)報(bào)文，洪泛報(bào)文，并解析出該RS報(bào)文的源MAC地址，執(zhí)行步驟502；對(duì)于接收到的RA報(bào)文，洪泛報(bào)文，并需要解析其路由器通告選項(xiàng)中的網(wǎng)絡(luò)前綴以及前綴可用時(shí)間參數(shù)，然后執(zhí)行步驟511的處理；對(duì)于接收到的鄰居請(qǐng)求(NS)報(bào)文，解析出其源MAC地址和源IP地址，執(zhí)行步驟521的處理；對(duì)于接收到的鄰居通告(NA)報(bào)文，解析源MAC、源IP和選項(xiàng)目標(biāo)MAC地址，執(zhí)行步驟531的處理；步驟502，獲取報(bào)文的源MAC地址，然后執(zhí)行步驟503的處理；步驟503、對(duì)MAC地址進(jìn)行合法性檢查，通過檢查Dotlx認(rèn)證MAC表(即上述MAC地址與端口標(biāo)識(shí)的對(duì)應(yīng)關(guān)系)，檢查MAC地址和端口號(hào)是否匹配，檢查成功執(zhí)行步驟504的處理，否則跳出執(zhí)行，丟棄該RS報(bào)文；步驟504、根據(jù)MAC地址生成接口標(biāo)識(shí)，并將接口標(biāo)識(shí)、MAC地址和端口號(hào)添加到數(shù)據(jù)庫(kù)中的綁定表中；步驟511、獲取路由器通告報(bào)文中的網(wǎng)絡(luò)前綴和前綴可用時(shí)間等參數(shù)，執(zhí)行步驟512的處理；步驟512、將網(wǎng)絡(luò)綴及其可用時(shí)間等參數(shù)添加到本地鏈路范圍內(nèi)的相應(yīng)端口的綁定表中；步驟521、獲取NS報(bào)文的源MAC地址、源IP地址和接收該NS報(bào)文的端口號(hào)，執(zhí)行步驟522的處理步驟522、在數(shù)據(jù)庫(kù)的綁定表對(duì)MAC地址、IP地址和端口進(jìn)行匹配檢查，檢查失敗，直接丟棄報(bào)文，檢查成功，執(zhí)行步驟523的處理；步驟523、在本地鏈路范圍內(nèi)洪泛該鄰居請(qǐng)求報(bào)文；步驟531、獲取該鄰居通告(NA)報(bào)文的源MAC、源IP、選項(xiàng)目標(biāo)MAC地址和接收該NA報(bào)文的端口，如果選項(xiàng)目標(biāo)MAC地址與NS報(bào)文的源MAC地址不一致，直接丟棄報(bào)文，如果一致，則執(zhí)行步驟532的處理；步驟532、在數(shù)據(jù)庫(kù)的綁定表對(duì)NA報(bào)文的源MAC地址、源IP地址和端口進(jìn)行匹配檢查，檢查失敗，直接丟棄報(bào)文，檢查成功，執(zhí)行步驟533的處理；步驟533、根據(jù)該NA報(bào)文的選項(xiàng)目標(biāo)MAC地址轉(zhuǎn)發(fā)該報(bào)文；步驟541、Dotlx認(rèn)證MAC地址更新(漂移，老化或者離線)，觸發(fā)接口標(biāo)識(shí)和相應(yīng)MAC地址在綁定表中更新或者刪除；步驟551、獲取網(wǎng)絡(luò)前綴更新(包括可用時(shí)間變化等)，對(duì)綁定表中的網(wǎng)絡(luò)前綴進(jìn)行維護(hù)更新。通過本實(shí)施例，可以接入交換設(shè)備可以根據(jù)接收到的不同的報(bào)文進(jìn)行不同的處理，從而可以保證網(wǎng)絡(luò)的安全。從以上的描述中，可以看出，本發(fā)明實(shí)施例的方案中，通過主動(dòng)使用認(rèn)證的接口標(biāo)識(shí)來控制IPv6無狀態(tài)地址配置協(xié)議，增強(qiáng)了該協(xié)議的安全性，不僅解決了傳統(tǒng)解決方案中依賴客戶地址解析的被動(dòng)性，接入網(wǎng)絡(luò)中的“中間人欺騙”題和DOS攻擊問題，而且，由于未改變主機(jī)側(cè)的無狀態(tài)配置協(xié)議以及MAC生成接口標(biāo)識(shí)算法使用的普通性，能很好在當(dāng)前IPv6網(wǎng)絡(luò)進(jìn)行普及使用；另外通過與Dotlx結(jié)合使用，還為下一步IPv6商用中的運(yùn)營(yíng)商提供了認(rèn)證和計(jì)費(fèi)的安全性。綜上所述，與現(xiàn)有技術(shù)相比，本發(fā)明通過在網(wǎng)絡(luò)節(jié)點(diǎn)接入網(wǎng)絡(luò)時(shí)，對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)使用的MAC地址及其接入的端口進(jìn)行認(rèn)證，并將認(rèn)證通過的MAC地址和端口進(jìn)行綁定，根據(jù)該綁定關(guān)系對(duì)后續(xù)接收到的數(shù)據(jù)報(bào)文進(jìn)行過濾，從而可以解決中間人欺騙的問題，進(jìn)而提高了網(wǎng)絡(luò)的安全性。顯然，本領(lǐng)域的技術(shù)人員應(yīng)該明白，上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算裝置來實(shí)現(xiàn)，它們可以集中在單個(gè)的計(jì)算裝置上，或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上，可選地，它們可以用計(jì)算裝置可執(zhí)行的程序代碼來實(shí)現(xiàn)，從而，可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來執(zhí)行，并且在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟，或者將它們分別制作成各個(gè)集成電路模塊，或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來實(shí)現(xiàn)。這樣，本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已，并不用于限制本發(fā)明，對(duì)于本領(lǐng)域的技術(shù)人員來說，本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。權(quán)利要求一種無狀態(tài)地址配置的安全控制方法，其特征在于，包括接入交換設(shè)備對(duì)接入網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)使用的媒介訪問控制MAC地址及所述網(wǎng)絡(luò)節(jié)點(diǎn)接入的端口的合法性進(jìn)行認(rèn)證；認(rèn)證通過，建立所述MAC地址與所述端口的端口標(biāo)識(shí)的對(duì)應(yīng)關(guān)系；根據(jù)所述對(duì)應(yīng)關(guān)系對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行過濾。2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述接入交換設(shè)備根據(jù)所述對(duì)應(yīng)關(guān)系對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行過濾包括所述接入交換設(shè)備接收所述網(wǎng)絡(luò)節(jié)點(diǎn)的路由器請(qǐng)求報(bào)文；所述接入交換設(shè)備獲取接收所述路由器請(qǐng)求報(bào)文的端口的端口標(biāo)識(shí)，并解析出所述路由器請(qǐng)求報(bào)文的源MAC地址；所述接入交換設(shè)備判斷獲取的所述端口的端口標(biāo)識(shí)及所述源MAC地址是否滿足所述對(duì)應(yīng)關(guān)系，如果是，則根據(jù)所述MAC地址生成所述網(wǎng)絡(luò)節(jié)點(diǎn)的接口標(biāo)識(shí)，建立所述MAC地址、所述接口標(biāo)識(shí)及所述端口標(biāo)識(shí)的綁定關(guān)系，并洪泛所述路由器請(qǐng)求報(bào)文；否則所述接入交換設(shè)備丟棄所述路由器請(qǐng)求報(bào)文。3.根據(jù)權(quán)利要求2所述的方法，其特征在于，還包括所述接入交換設(shè)備接收本地路由器發(fā)送的路由器通告請(qǐng)求報(bào)文；所述接入交換設(shè)備從所述路由器通告請(qǐng)求中解析出網(wǎng)絡(luò)前綴；所述接入交換設(shè)備將所述網(wǎng)絡(luò)前綴添加到所述綁定關(guān)系中；所述接入交換設(shè)備向本地鏈路范圍內(nèi)所有端口洪泛所述路由器通告請(qǐng)求報(bào)文。4.根據(jù)權(quán)利要求3所述的方法，其特征在于，還包括所述網(wǎng)絡(luò)節(jié)點(diǎn)接收所述路由通告請(qǐng)求報(bào)文，使用根據(jù)所述MAC地址生成的接口標(biāo)識(shí)及所述路由通告請(qǐng)求報(bào)文中的所述網(wǎng)絡(luò)前綴組成所述網(wǎng)絡(luò)節(jié)點(diǎn)的IP地址；所述網(wǎng)絡(luò)節(jié)點(diǎn)使用所述IP地址發(fā)送鄰居請(qǐng)求報(bào)文；所述接入交換設(shè)備根據(jù)所述對(duì)應(yīng)關(guān)系對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行過濾包括所述接入交換設(shè)備接收來自第一網(wǎng)絡(luò)節(jié)點(diǎn)的鄰居請(qǐng)求報(bào)文；所述接入交換設(shè)備獲取接收所述鄰居請(qǐng)求報(bào)文的端口的第一端口標(biāo)識(shí)，并解析出所述鄰居請(qǐng)求報(bào)文的第一源MAC地址及第一源IP地址；所述接入交換設(shè)備判斷獲取的所述第一端口標(biāo)識(shí)、所述第一源MAC地址和組成所述第一源IP地址的網(wǎng)絡(luò)前綴及接口標(biāo)識(shí)是否滿足所述綁定關(guān)系，如果是，則洪泛所述鄰居請(qǐng)求報(bào)文，否則，丟棄所述鄰居請(qǐng)求報(bào)文。5.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述接入交換設(shè)備根據(jù)所述對(duì)應(yīng)關(guān)系對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行過濾包括所述接入交換設(shè)備接收來自另一網(wǎng)絡(luò)節(jié)點(diǎn)的鄰居通告報(bào)文；所述接入交換設(shè)備獲取接收所述鄰居通告報(bào)文的端口的第二端口標(biāo)識(shí)，解析出所述鄰居通告報(bào)文的第二源MAC地址、第二源IP地址及選項(xiàng)目標(biāo)MAC地址；所述接入交換設(shè)備判斷所述選項(xiàng)目標(biāo)MAC地址與所述第一源MAC地址一致；所述接入交換設(shè)備判斷接第二端口標(biāo)識(shí)、所述第二源MAC地址及組成所述第二源IP地址的網(wǎng)絡(luò)前綴和接口標(biāo)識(shí)是否滿足所述綁定關(guān)系，如果是，則將所述鄰居通告報(bào)文轉(zhuǎn)發(fā)給所述選項(xiàng)目標(biāo)MAC地址對(duì)應(yīng)的網(wǎng)絡(luò)節(jié)點(diǎn)，否則，丟棄所述鄰居通告報(bào)文。6.根據(jù)權(quán)利要求2至5中任一項(xiàng)所述的方法，其特征在于，還包括所述網(wǎng)絡(luò)前綴發(fā)生更新，所述接入交換設(shè)備獲取更新后的所述網(wǎng)絡(luò)前綴，對(duì)所述綁定關(guān)系中的所述網(wǎng)絡(luò)前綴進(jìn)行更新。7.根據(jù)權(quán)利要求2至5中任一項(xiàng)所述的方法，其特征在于，還包括所述網(wǎng)絡(luò)節(jié)點(diǎn)的位置發(fā)生變化，使用新的MAC地址向所述接入交換設(shè)備發(fā)送路由請(qǐng)求報(bào)文；所述接入交換設(shè)備對(duì)所述新的MAC地址及所述網(wǎng)絡(luò)節(jié)點(diǎn)當(dāng)前接入的端口的合法性進(jìn)行認(rèn)證，認(rèn)證通過，更新所述對(duì)應(yīng)關(guān)系，并使用所述新的MAC地址生成新的接口標(biāo)識(shí)；所述接入交換設(shè)備利用所述新的MAC地址、所述新的接口標(biāo)識(shí)及所述網(wǎng)絡(luò)節(jié)點(diǎn)當(dāng)前接入的端口的端口標(biāo)識(shí)更新所述綁定關(guān)系。8.根據(jù)權(quán)利要求2至5中任一項(xiàng)所述的方法，其特征在于，還包括所述網(wǎng)絡(luò)節(jié)點(diǎn)從網(wǎng)絡(luò)中離線或到達(dá)預(yù)定的老化時(shí)間，所述接入交換設(shè)備刪除與所述網(wǎng)絡(luò)節(jié)點(diǎn)使用的MAC地址對(duì)應(yīng)的所述綁定關(guān)系，以及與所述網(wǎng)絡(luò)節(jié)點(diǎn)使用的MAC地址對(duì)應(yīng)的所述對(duì)應(yīng)關(guān)系。9.一種無狀態(tài)地址配置的安全控制裝置，其特征在于，包括接口標(biāo)識(shí)認(rèn)證模塊，用于對(duì)接入網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)使用的MAC地址及所述網(wǎng)絡(luò)節(jié)點(diǎn)接入的端口的合法性進(jìn)行認(rèn)證，認(rèn)證通過后，建立所述MAC地址以及所述端口的端口標(biāo)識(shí)的對(duì)應(yīng)關(guān)系；鄰居報(bào)文處理模塊，用于根據(jù)所述對(duì)應(yīng)關(guān)系對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行過濾。10.根據(jù)權(quán)利要求9所述的裝置，其特征在于，還包括存儲(chǔ)模塊，用于存儲(chǔ)所述MAC地址與所述端口標(biāo)識(shí)的對(duì)應(yīng)關(guān)系；所述鄰居報(bào)文處理模塊用于接收路由器請(qǐng)求報(bào)文，解析出所述路由器請(qǐng)求報(bào)文的源MAC地址，并獲取接收所述路由器請(qǐng)求報(bào)文的端口的端口標(biāo)識(shí)，將獲取的所述源MAC地址和所述端口標(biāo)識(shí)發(fā)送給所述接口標(biāo)識(shí)認(rèn)證模塊；所述接口標(biāo)識(shí)認(rèn)證模塊還用于判斷所述鄰居報(bào)文處理模塊輸入的所述源MAC地址和所述端口標(biāo)識(shí)是否滿足所述對(duì)應(yīng)關(guān)系，如果是，則通知所述鄰居報(bào)文處理模塊洪泛所述路由器請(qǐng)求報(bào)文，并根據(jù)所述MAC地址生成所述網(wǎng)絡(luò)節(jié)點(diǎn)的接口標(biāo)識(shí)，在所述存儲(chǔ)模塊中建立所述MAC地址、所述接口標(biāo)識(shí)及所述端口標(biāo)識(shí)的綁定關(guān)系，否則，通知所述鄰居報(bào)文處理模塊丟棄所述路由器請(qǐng)求報(bào)文。11.根據(jù)權(quán)利要求10所述的裝置，其特征在于，還包括網(wǎng)絡(luò)前綴添加模塊；所述鄰居報(bào)文處理模塊還用于接收路由器通告報(bào)文，從所述路由器通告報(bào)文中解析出網(wǎng)絡(luò)前綴以及所述網(wǎng)絡(luò)前綴的相關(guān)參數(shù)，將所述網(wǎng)絡(luò)前綴及所述網(wǎng)絡(luò)前綴的相關(guān)參數(shù)發(fā)送給所述網(wǎng)絡(luò)前綴添加模塊，并將所述路由器通告報(bào)文洪泛轉(zhuǎn)發(fā)；所述網(wǎng)絡(luò)前綴添加模塊，用于將所述網(wǎng)絡(luò)前綴及所述網(wǎng)絡(luò)前綴的相關(guān)參數(shù)記錄到所述存儲(chǔ)模塊存儲(chǔ)的所述綁定關(guān)系中。12.根據(jù)權(quán)利要求11所述的裝置，其特征在于，所述鄰居報(bào)文處理模塊還用于接收第一網(wǎng)絡(luò)節(jié)點(diǎn)的鄰居請(qǐng)求報(bào)文，解析出所述鄰居請(qǐng)求報(bào)文的第一源MAC地址和第一源IP地址，以及接收所述鄰居請(qǐng)求報(bào)文的端口的第一端口標(biāo)識(shí)，并判斷所述第一源MAC地址、所述第一源IP地址及所述第一端口標(biāo)識(shí)是否匹配所述存儲(chǔ)模塊中存儲(chǔ)的所述綁定關(guān)系，如果是，則將所述鄰居請(qǐng)求報(bào)文進(jìn)行洪泛轉(zhuǎn)發(fā)，否則丟棄所述鄰居請(qǐng)求報(bào)文。13.根據(jù)權(quán)利要求12所述的裝置，其特征在于，所述鄰居報(bào)文處理模塊還用于接收第二網(wǎng)絡(luò)節(jié)點(diǎn)的鄰居通告報(bào)文，解析出所述鄰居通告報(bào)文的第二源MAC地址、第二源IP地址和選項(xiàng)目標(biāo)MAC地址，判斷所述選項(xiàng)目標(biāo)MAC地址與所述第一MAC地址是否一致，如果是，則判斷第二源MAC地址、第二源IP地址以及接收所述鄰居通告報(bào)文的端口的第二端口標(biāo)識(shí)是否匹配所述存儲(chǔ)模塊中存儲(chǔ)的所述綁定關(guān)系，如果是，則按照所述選項(xiàng)目標(biāo)MAC地址將所述鄰居通告報(bào)文向相應(yīng)的端口進(jìn)行轉(zhuǎn)發(fā)。全文摘要本發(fā)明公開了一種無狀態(tài)地址配置的安全控制方法及裝置，上述方法包括接入交換設(shè)備對(duì)接入網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)使用的媒介訪問控制MAC地址及網(wǎng)絡(luò)節(jié)點(diǎn)接入的端口的合法性進(jìn)行認(rèn)證；認(rèn)證通過，建立MAC地址與端口的端口標(biāo)識(shí)的對(duì)應(yīng)關(guān)系；根據(jù)對(duì)應(yīng)關(guān)系對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行過濾。通過本發(fā)明，通過在網(wǎng)絡(luò)節(jié)點(diǎn)接入網(wǎng)絡(luò)時(shí)，對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)使用的MAC地址及其接入的端口進(jìn)行認(rèn)證，并將認(rèn)證通過的MAC地址和端口進(jìn)行綁定，根據(jù)該綁定關(guān)系對(duì)后續(xù)接收到的數(shù)據(jù)報(bào)文進(jìn)行過濾，從而可以解決中間人欺騙的問題，進(jìn)而提高了網(wǎng)絡(luò)的安全性。文檔編號(hào)H04L29/12GK101820432SQ20101018339公開日2010年9月1日申請(qǐng)日期2010年5月12日優(yōu)先權(quán)日2010年5月12日發(fā)明者劉曉東申請(qǐng)人:中興通訊股份有限公司