CN101621513B - 规范接入子网内源地址验证方案的方法 - Google Patents
规范接入子网内源地址验证方案的方法 Download PDFInfo
- Publication number
- CN101621513B CN101621513B CN2009100894484A CN200910089448A CN101621513B CN 101621513 B CN101621513 B CN 101621513B CN 2009100894484 A CN2009100894484 A CN 2009100894484A CN 200910089448 A CN200910089448 A CN 200910089448A CN 101621513 B CN101621513 B CN 101621513B
- Authority
- CN
- China
- Prior art keywords
- address
- source address
- switch
- special case
- many
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种规范接入子网内源地址验证方案的方法,包括以下步骤:在交换机上将IP源地址与网络层以下的信息进行绑定,所述交换机根据绑定关系判断报文所携带的所述源地址的正确性,并对假冒IP源地址的报文进行过滤;规定源地址验证方案与四种地址分配方式兼容;描述四种特殊情形;定义解决方案空间。通过本发明的框架实现了对接入子网内源地址验证方案的工作场景、工作原理、地址分配方案的兼容性和处理特殊情形等的规范,促进了对接入子网内源地址验证方案的明确理解与评价。
Description
技术领域
本发明涉及互联网技术领域,特别涉及接入子网内的源地址验证技术。
背景技术
当今互联网中利用假冒IP源地址的网络攻击十分泛滥。借助于假冒源地址,DOS(Denial of Services,拒绝服务攻击)、DDOS(Distributed Denial ofServices,分布式拒绝服务攻击)攻击变得更加有效,并且难以对攻击源进行追溯。
按照作用范围的不同,现有的对网络攻击进行防御的方法可分为三类:一类是域间源地址验证,即自治域之间对报文进行AS(Autonomous System,自治系统)前缀粒度的源地址验证或追溯,如SPM(Spoofing Prevention Method,伪造防御方法)等;另一类是域内源地址验证,即自治域内对报文进行子网前缀粒度的源地址验证或追溯,如Ingress Filtering(入口过滤)等;还有一类是接入子网内的源地址验证,即接入子网内对报文进行主机粒度的源地址验证。其中,接入子网内的源地址验证受到了普遍的重视。
目前已有很多接入子网内的源地址验证方案,但是尚未提出一套统一的框架对验证方案的工作场景、工作原理、地址分配方案的兼容性、处理特殊情形等进行规范。因此,需要一种方法解决上述问题。
发明内容
本发明的目的旨在至少解决上述问题之一,特别是解决不能对接入子网内的源地址验证方案的工作场景、工作原理、地址分配方案的兼容性、处理特殊情形等进行规范的问题。
针对上述问题,本发明提出一种规范接入子网内源地址验证方案的方法,包括以下步骤:在交换机上将IP(Internet Protocol,互联网协议)源地址与网络层以下的信息进行绑定,所述交换机根据绑定关系判断报文所携带的所述源地址的正确性,并对假冒IP源地址的报文进行过滤;规定源地址验证方案与四种地址分配方式兼容;描述四种特殊情形;定义解决方案空间。
作为本发明的一个实施例,所述被绑定的网络层以下的信息为绑定点,包括:当有线网络中所述交换机上端口独占时,所述绑定点为所述交换机的端口;当MAC(Internet Protocol,互联网协议)地址不可伪造时,所述绑定点为所述MAC地址;当没有安全的网络层以下的信息时,所述绑定点为主机的密码学信息。
作为本发明的一个实施例,所述四种地址分配方式包括无状态地址分配方式、DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)地址分配方式、手动地址分配方式、SeND(Secure Neighbor Discovery,安全的邻居发现)或CGA(Cryptographically Generated Address,密码学生成地址)地址分配方式;所述四种特殊情形包括同一接口多IP地址、同一接口多MAC地址、多接口连入同一子网和主机移动,其中,所述主机移动包括切换交换机接口、跨交换机移动和跨AP(Access Point,无线接入点)移动。
作为本发明的一个实施例,所述定义解决方案空间,为根据所述绑定点的不同,确定所述源地址验证方案要解决的特殊情形和地分配方式的兼容情况,包括:如果所述绑定点为所述交换机的端口,则需要解决的特殊情形为同一接口多IP地址、多接口连入同一子网和主机移动;如果所述绑定点为MAC地址,则需要解决的特殊情形为同一接口多IP地址和同一接口多MAC地址;如果所述绑定点为主机的密码学信息,则需要解决的特殊情形为同一接口多IP地址。
本发明通过提出一种规范接入子网内源地址验证方案的方法,对接入子网内的源地址验证方案的工作场景、工作原理、地址分配方案的兼容性和处理特殊情形等进行了规范,促进了对接入子网内源地址验证方案的明确理解与评价。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明实施例的规范接入子网内源地址验证方案的方法的流程图;
图2为本发明实施例的解决空间示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本发明主要在于提出一种方法应用于接入子网内的源地址方案,包括局域网和无线局域网。而且,本发明的规范方法只应用于在交换机上进行源地址验证的方案,不涉及在路由器上的方案;只应用于单播情形,不涉及多播和广播的情形。
如图1所示,为本发明实施例的规范接入子网内源地址验证方案的方法的流程图,包括以下步骤:
步骤S101,当接入子网内进行源地址验证方案时,在交换机上将IP源地址与网络层以下的信息进行绑定,被绑定的网络层以下的信息称为绑定点,交换机根据IP源地址与绑定点之间的绑定关系判断报文所携带的IP源地址的正确性,并对假冒IP源地址的报文进行过滤。
在本发明实施例中,对应于不同的验证方案的工作场景,有如下绑定点:当有线网络中交换机上端口独占时,将主机的IP地址与端口进行绑定,即绑定点为交换机的端口;当MAC地址不可伪造时,将主机的IP地址与MAC地址进行绑定,即绑定点为MAC地址;当没有安全的(不可伪造的)网络层以下的信息时,将主机的IP地址与主机的密码学信息进行绑定,即绑定点为主机的密码学信息。
步骤S102,规定源地址验证方案必须与四种地址分配方式兼容,即必须在主机使用正确的地址分配方式完成所有的步骤后,再将其获得的地址与绑定点进行绑定。
在本发明实施例中,四种地址分配方式为无状态地址分配方式、DHCP地址分配方式、手动地址分配方式、和SeND或CGA地址分配方式。
步骤S103,描述四种特殊情形。
源地址方案应能够处理尽量多的特殊情形,在本发明实施例中,描述了四种特殊情形,包括:同一接口多IP地址的情形、同一接口多MAC地址的情形、多接口连入同一子网的情形、和主机移动的情形,其中,主机移动的情形包括切换交换机端口、跨交换机移动和跨AP移动的情形。
步骤S104,定义解决方案空间,即根据接入子网内源地址验证方案所采用的绑定点的不同,确定其对应要解决的特殊情况及地址分配方案的兼容情况,以规范验证方案需要解决的目标问题和评价体系,具体如下:
当源地址验证方案的绑定点是交换机接口时,同一接口MAC地址的特殊情形不会影响方案的正确性,因此只需解决其它三种特殊情形即可;当源地址验证方案的绑定点是MAC地址时,多接口连入同一子网或主机移动的特殊情形不会影响方案的正确性,因此只需解决其他两种特殊情形即可;当源地址验证方案的绑定点是主机的密码学信息时,同一接口多MAC地址、多接口连入同一子网或主机移动的特殊情形都不会影响方案的正确性,因此只需解决统一接口多IP地址的特殊情形即可。
如图2所示,为本发明实施例的解决方案空间的示意图。当设计一种接入子网内的源地址验证方案时,可针对图2,根据所依赖的绑定点,在四种地址分配方式下处理对应的特殊情形。
应理解,本发明提出的规范方法并不指定特定的接入子网内源地址验证方案,而是给出接入子网内源地址验证方案应该具有的特性,这些特性用于评价一个具体的接入子网内源地址验证方案,并用于指导新的接入子网内源地址验证方案的实现。
同时应理解,上述实施例所述的方法的各个步骤可通过相应的模块实现,各模块的功能和实现步骤均与上述描述相同。
下面以两个具体应用为例进行说明,通过详细描述,本发明的和/或附加的方面和优点将变得更加明显和容易理解。
一个具体应用是,以现有技术IP Source Guard(IP源地址保护)为例,其对应的解决空间如下表所示:
可以看出,IP Source Guard能够解决的情况比较少,不能使用于很多场景之中。
另一个具体应用是,将现有的所有接入子网内源地址验证方案填入解决空间中,覆盖情况如下表所示:
其中,FCFS(First Come,First Served)为先到先得的源地址绑定方法,CPS(Control packet snooping)为基于控制报文监听的源地址验证方法,SAVI-SeND(Source Address Validation Improvements-Secure NeighborDiscovery)为基于安全的邻居发现协议的源地址验证方法,CSA(Cryptographically generated address based Source address Authentication)为基于密码学生成地址的源地址验证方法,SAVI-HIP(Source Address ValidationImprovements-Host Identity Protocol)为基于主机标识协议的源地址验证方法。
从表中遗留的空白可知,还需设计各种地址分配方式情况下,处理多接口连入同一子网和同一接口多MAC地址的特殊情形的源地址验证方案。
本发明通过提出一种规范接入子网内源地址验证方案的方法,对接入子网内的源地址验证方案的工作场景、工作原理、地址分配方案的兼容性和处理特殊情形等进行了规范,促进了对接入子网内源地址验证方案的明确理解与评价。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同限定。
Claims (2)
1.一种规范接入子网内源地址验证方案的方法,包括以下步骤:
在交换机上将互联网协议IP源地址与网络层以下的信息进行绑定,所述交换机根据绑定关系判断报文所携带的所述源地址的正确性,并对假冒IP源地址的报文进行过滤;
规定源地址验证方案与四种地址分配方式兼容;
描述四种特殊情形;
定义解决方案空间;
所述被绑定的网络层以下的信息为绑定点,包括:
当有线网络中所述交换机上端口独占时,所述绑定点为所述交换机的端口;
当介质访问控制MAC地址不可伪造时,所述绑定点为所述MAC地址;
当没有安全的网络层以下的信息时,所述绑定点为主机的密码学信息;
所述四种地址分配方式,包括无状态地址分配方式、动态主机配置协议地址DHCP分配方式、手动地址分配方式、安全的邻居发现SeND或密码学生成地址CGA地址分配方式;
所述四种特殊情形,包括同一接口多IP地址、同一接口多MAC地址、多接口连入同一子网和主机移动;
所述定义解决方案空间,为根据所述绑定点的不同,确定所述源地址验证方案要解决的特殊情形和地分配方式的兼容情况,包括:
如果所述绑定点为所述交换机的端口,则需要解决的特殊情形为同一接口多IP地址、多接口连入同一子网和主机移动;
如果所述绑定点为MAC地址,则需要解决的特殊情形为同一接口多IP地址和同一接口多MAC地址;
如果所述绑定点为主机的密码学信息,则需要解决的特殊情形为同一接口多IP地址。
2.如权利要求1所述的规范接入子网内源地址验证方案的方法,其特征在于,所述主机移动,包括切换交换机接口、跨交换机移动和跨无线接入点AP移动。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100894484A CN101621513B (zh) | 2009-07-20 | 2009-07-20 | 规范接入子网内源地址验证方案的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100894484A CN101621513B (zh) | 2009-07-20 | 2009-07-20 | 规范接入子网内源地址验证方案的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101621513A CN101621513A (zh) | 2010-01-06 |
| CN101621513B true CN101621513B (zh) | 2012-06-27 |
Family
ID=41514557
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100894484A Active CN101621513B (zh) | 2009-07-20 | 2009-07-20 | 规范接入子网内源地址验证方案的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101621513B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102014142B (zh) * | 2010-12-31 | 2013-01-30 | 中国科学院计算技术研究所 | 一种源地址验证方法和系统 |
| CN102123376B (zh) * | 2011-01-14 | 2013-09-25 | 中国科学院计算技术研究所 | 一种源地址验证方法和系统 |
| CN103327572B (zh) * | 2013-07-11 | 2015-11-25 | 广州中国科学院沈阳自动化研究所分所 | 一种IEEE802.15.4e网络的邻居发现方法 |
| CN105635067B (zh) * | 2014-11-04 | 2019-11-15 | 华为技术有限公司 | 报文发送方法及装置 |
| CN108965241A (zh) * | 2018-05-28 | 2018-12-07 | 清华大学 | 基于无线局域网的源地址验证方法 |
| CN111200611B (zh) * | 2020-01-06 | 2021-02-23 | 清华大学 | 基于边界接口等价类的域内源地址验证方法及装置 |
| CN114172731A (zh) * | 2021-12-09 | 2022-03-11 | 赛尔网络有限公司 | IPv6地址的快速验证溯源方法、装置、设备及介质 |
| CN114745174A (zh) * | 2022-04-11 | 2022-07-12 | 中国南方电网有限责任公司 | 电网设备的接入验证系统和方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101098227A (zh) * | 2006-06-30 | 2008-01-02 | 中兴通讯股份有限公司 | 一种宽带接入设备的用户安全防护方法 |
| CN101170564A (zh) * | 2007-11-30 | 2008-04-30 | 清华大学 | 端到端自动同步的防止ip源地址伪造的方法 |
-
2009
- 2009-07-20 CN CN2009100894484A patent/CN101621513B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101098227A (zh) * | 2006-06-30 | 2008-01-02 | 中兴通讯股份有限公司 | 一种宽带接入设备的用户安全防护方法 |
| CN101170564A (zh) * | 2007-11-30 | 2008-04-30 | 清华大学 | 端到端自动同步的防止ip源地址伪造的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101621513A (zh) | 2010-01-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101621513B (zh) | 规范接入子网内源地址验证方案的方法 | |
| US6959009B2 (en) | Address acquisition | |
| CN108777722B (zh) | 多系统组网通信方法、装置、移动终端及存储介质 | |
| EP2879419A1 (en) | Ipv6 address stateless auto-configuration system, data card, and implementation method thereof | |
| CN102143247B (zh) | 地址分配和配置的方法、地址分配服务器及主机 | |
| CN102244651B (zh) | 防止非法邻居发现协议报文攻击的方法和接入设备 | |
| EP2647181B1 (en) | Identification of a private device in a public network | |
| WO2012059821A1 (en) | A method and device for transmitting an ipv6 over low power wireless personal area network data packet | |
| CN101442744B (zh) | 一种异构接入网络切换的方法、设备及系统 | |
| CN101883090A (zh) | 一种客户端的接入方法、设备及系统 | |
| CN101179603A (zh) | IPv6网络中用于控制用户网络接入的方法和装置 | |
| CN102148878A (zh) | Ip地址分配方法、系统和设备 | |
| CN105472048A (zh) | 一种地址分配方法、信息聚合方法及相关设备 | |
| CN102014142A (zh) | 一种源地址验证方法和系统 | |
| CN112910863A (zh) | 一种网络溯源方法及系统 | |
| EP3195554B1 (en) | Method for communicating in a network comprising a virtual network, and a communication node comprising a virtual network entity | |
| CN100508453C (zh) | 一种开放式真实IPv6源地址过滤与验证方法 | |
| CN101605070B (zh) | 基于控制报文监听的源地址验证方法及装置 | |
| CN102437946A (zh) | 一种接入控制的方法、nas设备及认证服务器 | |
| EP2418819A1 (en) | Device and method for preventing internet protocol version 6 (ipv6) address being fraudulently attacked | |
| CN102255874B (zh) | 一种安全接入方法及汇聚设备 | |
| CN105188047A (zh) | 一种wifi无线漫游上网的方法及移动终端 | |
| CN101656724A (zh) | 一种防攻击方法和一种动态主机配置协议服务器 | |
| EP2566139B1 (en) | Method and device for obtaining remote ip address | |
| CN106878481A (zh) | 一种网络互连协议ip地址获取方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |