CN101820432A - 无状态地址配置的安全控制方法及装置 - Google Patents
无状态地址配置的安全控制方法及装置 Download PDFInfo
- Publication number
- CN101820432A CN101820432A CN201010183394A CN201010183394A CN101820432A CN 101820432 A CN101820432 A CN 101820432A CN 201010183394 A CN201010183394 A CN 201010183394A CN 201010183394 A CN201010183394 A CN 201010183394A CN 101820432 A CN101820432 A CN 101820432A
- Authority
- CN
- China
- Prior art keywords
- message
- port
- mac address
- address
- switching equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种无状态地址配置的安全控制方法及装置,上述方法包括:接入交换设备对接入网络的网络节点使用的媒介访问控制MAC地址及网络节点接入的端口的合法性进行认证;认证通过,建立MAC地址与端口的端口标识的对应关系;根据对应关系对接收到的数据报文进行过滤。通过本发明,通过在网络节点接入网络时,对网络节点使用的MAC地址及其接入的端口进行认证,并将认证通过的MAC地址和端口进行绑定,根据该绑定关系对后续接收到的数据报文进行过滤,从而可以解决中间人欺骗的问题,进而提高了网络的安全性。
Description
技术领域
本发明涉及数据通信技术领域,具体而言,涉及一种无状态地址配置的安全控制方法及装置。
背景技术
第6版本的互联网协议(Internet Protocol Version 6,简称为IPv6)中的地址配置主要采用自动配置方法。常用的自动配置技术分为:有状态自动配置协议和无状态自动配置协议。
其中,IPv6的无状态地址自动配置主要包括步骤如下:首先进行自动配置的网络节点必须确认自己的接口标识(例如,IEEE中的EUI-64);然后根据接口标识生成自己的本地链路地址(例如,在64位的接口标识添加fe80::/10的网络前缀);在完成对该地址的重复检测之后,该网络节点已经具有本地链路范围内的网络层通信能力;如果该网络节点需要接入范围更大的网络(例如,Internet),该网络节点需要向本地链路上的路由器请求分配网络前缀,即发送路由器请求(Router Solicitation,简称为RS)报文,在获得路由器的携带网络前缀的路由器通告(Router Advertisement,简称为RA)报文之后,该网络节点生成自己的全球地址(包括本地地址)。
由于在上述配置过程中,数据报文都是明文传送的,因此,在实际应用中可能存在伪造路由器、仿冒其他网络节点发送报文等安全隐患。目前,相关技术中提出的解决方案包括:在接入网络设备中嗅探网络的邻居请求(Neighbor Solicitation,简称为NS)报文,建立安全的IP地址、媒介访问控制(Media Access Control,简称为MAC)地址和端口的映射表,在后续接收到该IP的NS报文时,检查其是否和记录的端口、MAC地址相一致,来实现对“中间人欺骗”的防御。
发明人发现,在上述解决方案中,通过嗅探邻居请求来获取相对安全的映射表以进行安全防御,因此要求接收到的NS报文必须是安全的(即来自安全的网络节点)。但是接收到的NS报文有可能是“中间人”伪造的,导致建立的映射表本身就是错误的,从而仍然存在“中间人欺骗”的问题。
发明内容
本发明的主要目的在于提供一种无状态地址配置的安全控制方法及装置,以至少解决上述问题之一。
根据本发明的一个方面,提供了一种无状态地址配置的安全控制方法,包括:接入交换设备对接入网络的网络节点使用的媒介访问控制MAC地址及网络节点接入的端口的合法性进行认证;认证通过,建立MAC地址与端口的端口标识的对应关系;根据对应关系对接收到的数据报文进行过滤。
根据本发明的另一方面,提供了一种无状态地址配置的安全控制装置,包括:接口标识认证模块,用于对接入网络的网络节点使用的MAC地址及网络节点接入的端口的合法性进行认证,认证通过后,建立MAC地址以及端口的端口标识的对应关系;邻居报文处理模块,用于根据对应关系对接收到的数据报文进行过滤。
通过本发明,通过在网络节点接入网络时,对网络节点使用的MAC地址及其接入的端口进行认证,并将认证通过的MAC地址和端口进行绑定,根据该绑定关系对后续接收到的数据报文进行过滤,从而可以解决中间人欺骗的问题,进而提高了网络的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为根据本发明实施例一的无状态地址配置的安全控制装置的结构示意图;
图2为根据本发明实施例一的无状态地址配置的安全控制方法的流程图;
图3为根据本发明实施例的一种网络架构示意图;
图4为根据本发明实施例二的无状态地址配置的安全控制装置的结构示意图;以及
图5为根据本发明实施例二的无状态地址配置的安全控制方法的流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
实施例一
图1为根据本发明实施例一的无状态地址配置的安全控制装置的结构示意图,该装置可以位于接入交换机层。该装置包括:接口标识认证模块10和邻居报文处理模块20。其中,接口标识认证模块10,用于对接入网络的网络节点使用的MAC地址及其接入的端口的合法性进行认证,认证通过后,建立该MAC地址以及该端口的端口标识的对应关系;邻居报文处理模块20,用于根据上述对应关系对接收到的数据报文进行过滤。
例如,接口标识认证模块10可以采用DOT1X(IEEE 802.1x协议)进行IPv6的接入认证控制。
由于相关技术中是通过嗅探邻居请求来获取相对安全的绑定表进行安全防御,其安全性取决于网络的稳定性和用户的可靠性,具有很大的被动性,而本实施例提供的上述装置在网络节点接入网络时对网络节点进行认证,在认证成功后,其MAC地址静态绑定到相应的接入端口,从而可以防止基于DAD的DOS攻击,杜绝邻居发现协议中针对地址解析的中间人欺骗。
图2为根据本发明实施例一的无状态地址配置的安全控制方法的流程图,该方法包括以下步骤(步骤S202-步骤S204):
步骤S202,接入交换设备对接入网络的网络节点使用的MAC地址及该网络节点接入的端口的合法性进行认证,认证通过,建立该MAC地址与该端口的端口标识的对应关系;
例如,接入交换设备可以通过DOT1X对网络节点进行接入认证。认证通过后,网络节点根据其48位MAC地址生成接口标识EUI-64,Global位置1,在中间加入16位FFFE,并根据接口标识生成链路本地地址(Link-Local);
步骤S204,接入交换设备根据上述对应关系对接收到的数据报文进行过滤。
例如,网络节点在认证通过后,根据其48位MAC地址生成接口标识(EUI-64),Global位置1,在中间加入16位FFFE,并根据接口标识生成链路本地地址(Link-Local);同时,可以向本地链路内所有路由器发送路由器请求(RS)报文,接入交换设备接收到该路由器请求报文后,解析出其源MAC地址,根据上述对应关系确定该MAC已经通过DOT1X认证,获取其认证合法的端口,通过EUI-64生成算法得到该MAC地址对应的接口标识,并建立该接口标识、MAC地址和端口的端口标识(例如,端口号)的绑定关系,处理完毕后,将该RS报文正常洪泛到本链路内的所有端口;
对于接入交换设备接收到的本地路由器发送的路由器通告(RA)报文,接入设备解析出该报文中携带的网络前缀、前缀优选使用时间、前缀可用时间等相关参数,并将该报文正常向本地链路范围内所有端口洪泛。并且,接入交换设备将该报文中网络前缀信息添加到上述绑定关系中的所有本地链路范围内的接口链上,如表1所示。
在实际应用中,当网络前缀信息发生更新时,为了保证数据的实时性,接入交换设备在获取到更新后的网络前缀信息时(包括网络前缀和/或网络前缀的相关参数)对上述绑定关系进行更新。
表1.
| 接口标识 | MAC | 端口 | 网络前缀 | 可用时间 |
| 0219:c6ff:fe05:9fc10219:c6ff:fe05:9fb2 | 0019.c605.9fc10019.c605.9fb2 | gei_3/7gei_3/1 | 2001:1da8:1001:1::/642001:1da8:1001:a::/642001:1da8:1001:1::/642001:1da8:1001:a::/64 | 23h38m69S23h38m69S23h38m69S23h38m69S |
本地链路范围内的各个网络节点接收到路由通告请求报文后,使用根据其通过认证的MAC地址生成的接口标识及该路由通告请求报文中的网络前缀组成该网络节点的IP地址,在后续发送邻居请求报文及邻居通告报文时使用该IP地址。
对于邻居请求(NS)报文和邻居通告(NA)报文,以图3所示的架构为例,当PC1请求PC2的MAC地址时,PC1发出的邻居请求(NS)报文首先到达接入交换设备。接入交换设备解析出该报文的源MAC地址(为了便于描述,将该源MAC地址称作MAC地址A)和源IP地址(IP地址A),并获取接收该NA报文的端口的端口标识(例如,端口号A),然后检查上述绑定关系的映射表项,判断MAC地址A、IP地址A和端口号A是否与绑定关系中的某项映射表项匹配,如果是则在本地链路范围内洪泛,否则丢弃该NS报文。
PC2在接收到这个报文之后,回复邻居通告(NA)报文给PC1。接入交换设备接收到该NA报文,解析出该NA报文的源MAC地址(MAC地址B)、源IP地址(IP地址B)和邻居通告(NA)报文选项中的目标MAC地址。在检查目标MAC地址与MAC地址A一致后,再检查MAC地址B和IP地址B是否能与上述绑定关系中的某表项匹配,如果是,则将该NA报文转发给PC1,否则丢弃该NA报文。
在本实施例中,网络节点的IP地址可以由网络前缀和该网络节点的MAC地址组成;
另外,在本实施例中,当网络节点的位置发生变化时,其MAC认证信息也会相应发生变化,在网络节点使用新的MAC地址向接入交换设备发送路由器请求报文时,接入交换设备从中解析出该网络节点的新的MAC地址,并获取该网络节点当前接入的端口的端口标识,对该新的MAC地址和端口的合法性进行认证,认证通过后,更新MAC地址与端口的对应关系,并使用该新的MAC地址生成新的接口标识,以该新的MAC地址、新的接口标识及端口标识对上述绑定关系进行更新,从而可以实现安全数据的动态变化,从而不致影响用户在新位置的IPv6接入服务;
另外,在本实施例中,当网络节点从网络中离线或老化时,接入交换设备将删除与该网络节点使用的MAC地址对应的绑定关系,以及与该MAC地址对应的上述对应关系,从而避免安全表项为其它用户使用,进一步确保了网络的安全。
采用上述报文的处理方式,对于图3中的PC3,虽然它也能够接收到PC1的邻居请求报文,但如果其试图以PC2的MAC地址伪造邻居通告报文发送给PC1,因为其使用的MAC地址和IP地址不能与绑定关系中的任意表项匹配,而被丢弃;或者,如果PC3在接收到PC1的邻居请求报文之后,伪造该邻居请求报文再发送给PC2时,由于其使用MAC地址和IP地址对不能够通过检测,而被丢弃,从而不能被发送到PC2,从而可以有效地杜绝中间人欺骗。
由于相关技术中是通过嗅探邻居请求来获取相对安全的绑定表进行安全防御,其安全性取决于网络的稳定性和用户的可靠性,具有很大的被动性,而本实施例中,在网络节点接入网络时对网络节点进行认证,在认证成功后,其MAC地址静态绑定到相应的接入端口,从而可以防止基于DAD的DOS攻击,杜绝邻居发现协议中针对地址解析的中间人欺骗。
实施例二
图4为根据本发明实施例二的无状态地址配置的安全控制装置的结构示意图,该装置与实施例一的区别在于,该装置还包括存储模块30,用于存储经过认证的MAC地址与端口的端口标识的对应关系;而邻居报文处理模块20进一步用于接收路由器请求报文,解析出该路由器请求报文的源MAC地址,并获取接收该路由器请求报文的端口的端口标识,将获取的源MAC地址和端口标识发送给接口标识认证模块10;接口标识认证模块10还用于判断邻居报文处理模块20输入的源MAC地址和端口标识是否满足上述对应关系,如果是,则通知邻居报文处理模块20洪泛该路由器请求报文,并根据该MAC地址生成该网络节点的接口标识,在存储模块30中建立上述MAC地址、接口标识及端口标识的绑定关系,否则,通知邻居报文处理模块20丢弃该路由器请求报文。
优选地,如图4所示,该装置还包括:网络前缀添加模块40。邻居报文处理模块20还用于接收路由器通告报文,从该路由器通告报文中解析出网络前缀以及该网络前缀的相关参数(例如,该网络前缀优选使用时间、该网络前缀可用时间等参数),将该网络前缀及该网络前缀的相关参数发送给网络前缀添加模块40,并将该路由器通告报文洪泛转发;网络前缀添加模块40,用于将上述网络前缀及该网络前缀的相关参数记录到存储模块30存储的绑定关系中(如珍1所示)。
如图3示,当PC1的MAC地址经过接入交换设备的接口标识认证模块10认证之后,存储模块30将接口标识0219:c6ff:fe05:9fc1,MAC地址0019.c605.9fc1和端口Gei_3/7添加到绑定表中;在网络前缀添加模块40获取到网络前缀2001:1da8:1001:1::/64和2001:1da8:1da8:a::/64之后,将这两个前缀添加端口Gei_3/7相应的绑定表中,这样就形成了两个IP地址和MAC地址以及端口的绑定关系,即:
2001:1da8:1001:1:0219:c6ff:fe05:9fc1->0019.c605.9fc1->gei_3/7
2001:1da8:1001:a:0219:c6ff:fe05:9fc1->0019.c605.9fc1->gei_3/7
优选地,邻居报文处理模块20还用于接收第一网络节点的邻居请求报文,解析出该邻居请求报文的第一源MAC地址和第一源IP地址,以及接收该邻居请求报文的端口的第一端口标识,并判断第一源MAC地址、第一源IP地址及第一端口标识是否匹配存储模块30中存储的上述绑定关系,如果是,则将该邻居请求报文进行洪泛转发,否则丢弃该邻居请求报文。
并且,邻居报文处理模块20还可以用于接收第二网络节点的邻居通告报文,解析出该邻居通告报文的第二源MAC地址、第二源IP地址和选项目标MAC地址,判断该选项目标MAC地址与上述第一MAC地址是否一致,如果是,则判断第二源MAC地址、第二源IP地址及接收该NA报文的端口的第二端口标识是否匹配存储模块30中存储的绑定关系,如果是,则按照选项目标MAC地址将该邻居通告报文向相应的端口进行转发。
在实际应用中,可以通过数据库存储上述绑定关系,则邻居报文处理模块20可以通过调用该数据库判断NS或NA报文是否合法,而该数据库可以根据邻居报文处理模块20的调用,对NS进行基于源MAC+源IP+端口标识+网络前缀的匹配检查,对NA报文先核对NS报文的源MAC地址和NA报文中的目标MAC地址是否一致,然后进行基于源MAC+源IP+端口标识+网络前缀的匹配检查,检查成功,返回给邻居报文处理模块20返回OK。
通过本实施例的上述装置,通过对报文的严格一致性检查,可以进一步杜绝了中间人欺骗。
图5为根据本发明实施例二的无状态地址配置的安全控制方法的流程图,包括以下处理:
步骤501,邻居报文处理模块20接收到报文,对接收到的报文进行解析,根据对报文的解析结果进行分发处理。对于接收到的路由器请求(RS)报文,洪泛报文,并解析出该RS报文的源MAC地址,执行步骤502;
对于接收到的RA报文,洪泛报文,并需要解析其路由器通告选项中的网络前缀以及前缀可用时间参数,然后执行步骤511的处理;
对于接收到的邻居请求(NS)报文,解析出其源MAC地址和源IP地址,执行步骤521的处理;
对于接收到的邻居通告(NA)报文,解析源MAC、源IP和选项目标MAC地址,执行步骤531的处理;
步骤502,获取报文的源MAC地址,然后执行步骤503的处理;
步骤503、对MAC地址进行合法性检查,通过检查Dot1x认证MAC表(即上述MAC地址与端口标识的对应关系),检查MAC地址和端口号是否匹配,检查成功执行步骤504的处理,否则跳出执行,丢弃该RS报文;
步骤504、根据MAC地址生成接口标识,并将接口标识、MAC地址和端口号添加到数据库中的绑定表中;
步骤511、获取路由器通告报文中的网络前缀和前缀可用时间等参数,执行步骤512的处理;
步骤512、将网络缀及其可用时间等参数添加到本地链路范围内的相应端口的绑定表中;
步骤521、获取NS报文的源MAC地址、源IP地址和接收该NS报文的端口号,执行步骤522的处理:
步骤522、在数据库的绑定表对MAC地址、IP地址和端口进行匹配检查,检查失败,直接丢弃报文,检查成功,执行步骤523的处理;
步骤523、在本地链路范围内洪泛该邻居请求报文;
步骤531、获取该邻居通告(NA)报文的源MAC、源IP、选项目标MAC地址和接收该NA报文的端口,如果选项目标MAC地址与NS报文的源MAC地址不一致,直接丢弃报文,如果一致,则执行步骤532的处理;
步骤532、在数据库的绑定表对NA报文的源MAC地址、源IP地址和端口进行匹配检查,检查失败,直接丢弃报文,检查成功,执行步骤533的处理;
步骤533、根据该NA报文的选项目标MAC地址转发该报文;
步骤541、Dot1x认证MAC地址更新(漂移,老化或者离线),触发接口标识和相应MAC地址在绑定表中更新或者删除;
步骤551、获取网络前缀更新(包括可用时间变化等),对绑定表中的网络前缀进行维护更新。
通过本实施例,可以接入交换设备可以根据接收到的不同的报文进行不同的处理,从而可以保证网络的安全。
从以上的描述中,可以看出,本发明实施例的方案中,通过主动使用认证的接口标识来控制IPv6无状态地址配置协议,增强了该协议的安全性,不仅解决了传统解决方案中依赖客户地址解析的被动性,接入网络中的“中间人欺骗”题和DOS攻击问题,而且,由于未改变主机侧的无状态配置协议以及MAC生成接口标识算法使用的普通性,能很好在当前IPv6网络进行普及使用;另外通过与Dot1x结合使用,还为下一步IPv6商用中的运营商提供了认证和计费的安全性。
综上所述,与现有技术相比,本发明通过在网络节点接入网络时,对网络节点使用的MAC地址及其接入的端口进行认证,并将认证通过的MAC地址和端口进行绑定,根据该绑定关系对后续接收到的数据报文进行过滤,从而可以解决中间人欺骗的问题,进而提高了网络的安全性。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种无状态地址配置的安全控制方法,其特征在于,包括:
接入交换设备对接入网络的网络节点使用的媒介访问控制MAC地址及所述网络节点接入的端口的合法性进行认证;
认证通过,建立所述MAC地址与所述端口的端口标识的对应关系;
根据所述对应关系对接收到的数据报文进行过滤。
2.根据权利要求1所述的方法,其特征在于,所述接入交换设备根据所述对应关系对接收到的数据报文进行过滤包括:
所述接入交换设备接收所述网络节点的路由器请求报文;
所述接入交换设备获取接收所述路由器请求报文的端口的端口标识,并解析出所述路由器请求报文的源MAC地址;
所述接入交换设备判断获取的所述端口的端口标识及所述源MAC地址是否满足所述对应关系,如果是,则根据所述MAC地址生成所述网络节点的接口标识,建立所述MAC地址、所述接口标识及所述端口标识的绑定关系,并洪泛所述路由器请求报文;否则
所述接入交换设备丢弃所述路由器请求报文。
3.根据权利要求2所述的方法,其特征在于,还包括:
所述接入交换设备接收本地路由器发送的路由器通告请求报文;
所述接入交换设备从所述路由器通告请求中解析出网络前缀;
所述接入交换设备将所述网络前缀添加到所述绑定关系中;
所述接入交换设备向本地链路范围内所有端口洪泛所述路由器通告请求报文。
4.根据权利要求3所述的方法,其特征在于,还包括:
所述网络节点接收所述路由通告请求报文,使用根据所述MAC地址生成的接口标识及所述路由通告请求报文中的所述网络前缀组成所述网络节点的IP地址;
所述网络节点使用所述IP地址发送邻居请求报文;
所述接入交换设备根据所述对应关系对接收到的数据报文进行过滤包括:
所述接入交换设备接收来自第一网络节点的邻居请求报文;
所述接入交换设备获取接收所述邻居请求报文的端口的第一端口标识,并解析出所述邻居请求报文的第一源MAC地址及第一源IP地址;
所述接入交换设备判断获取的所述第一端口标识、所述第一源MAC地址和组成所述第一源IP地址的网络前缀及接口标识是否满足所述绑定关系,如果是,则洪泛所述邻居请求报文,否则,丢弃所述邻居请求报文。
5.根据权利要求4所述的方法,其特征在于,所述接入交换设备根据所述对应关系对接收到的数据报文进行过滤包括:
所述接入交换设备接收来自另一网络节点的邻居通告报文;
所述接入交换设备获取接收所述邻居通告报文的端口的第二端口标识,解析出所述邻居通告报文的第二源MAC地址、第二源IP地址及选项目标MAC地址;
所述接入交换设备判断所述选项目标MAC地址与所述第一源MAC地址一致;
所述接入交换设备判断接第二端口标识、所述第二源MAC地址及组成所述第二源IP地址的网络前缀和接口标识是否满足所述绑定关系,如果是,则将所述邻居通告报文转发给所述选项目标MAC地址对应的网络节点,否则,丢弃所述邻居通告报文。
6.根据权利要求2至5中任一项所述的方法,其特征在于,还包括:所述网络前缀发生更新,所述接入交换设备获取更新后的所述网络前缀,对所述绑定关系中的所述网络前缀进行更新。
7.根据权利要求2至5中任一项所述的方法,其特征在于,还包括:
所述网络节点的位置发生变化,使用新的MAC地址向所述接入交换设备发送路由请求报文;
所述接入交换设备对所述新的MAC地址及所述网络节点当前接入的端口的合法性进行认证,认证通过,更新所述对应关系,并使用所述新的MAC地址生成新的接口标识;
所述接入交换设备利用所述新的MAC地址、所述新的接口标识及所述网络节点当前接入的端口的端口标识更新所述绑定关系。
8.根据权利要求2至5中任一项所述的方法,其特征在于,还包括:所述网络节点从网络中离线或到达预定的老化时间,所述接入交换设备删除与所述网络节点使用的MAC地址对应的所述绑定关系,以及与所述网络节点使用的MAC地址对应的所述对应关系。
9.一种无状态地址配置的安全控制装置,其特征在于,包括:
接口标识认证模块,用于对接入网络的网络节点使用的MAC地址及所述网络节点接入的端口的合法性进行认证,认证通过后,建立所述MAC地址以及所述端口的端口标识的对应关系;
邻居报文处理模块,用于根据所述对应关系对接收到的数据报文进行过滤。
10.根据权利要求9所述的装置,其特征在于,还包括:
存储模块,用于存储所述MAC地址与所述端口标识的对应关系;
所述邻居报文处理模块用于接收路由器请求报文,解析出所述路由器请求报文的源MAC地址,并获取接收所述路由器请求报文的端口的端口标识,将获取的所述源MAC地址和所述端口标识发送给所述接口标识认证模块;
所述接口标识认证模块还用于判断所述邻居报文处理模块输入的所述源MAC地址和所述端口标识是否满足所述对应关系,如果是,则通知所述邻居报文处理模块洪泛所述路由器请求报文,并根据所述MAC地址生成所述网络节点的接口标识,在所述存储模块中建立所述MAC地址、所述接口标识及所述端口标识的绑定关系,否则,通知所述邻居报文处理模块丢弃所述路由器请求报文。
11.根据权利要求10所述的装置,其特征在于,还包括:网络前缀添加模块;
所述邻居报文处理模块还用于接收路由器通告报文,从所述路由器通告报文中解析出网络前缀以及所述网络前缀的相关参数,将所述网络前缀及所述网络前缀的相关参数发送给所述网络前缀添加模块,并将所述路由器通告报文洪泛转发;
所述网络前缀添加模块,用于将所述网络前缀及所述网络前缀的相关参数记录到所述存储模块存储的所述绑定关系中。
12.根据权利要求11所述的装置,其特征在于,所述邻居报文处理模块还用于接收第一网络节点的邻居请求报文,解析出所述邻居请求报文的第一源MAC地址和第一源IP地址,以及接收所述邻居请求报文的端口的第一端口标识,并判断所述第一源MAC地址、所述第一源IP地址及所述第一端口标识是否匹配所述存储模块中存储的所述绑定关系,如果是,则将所述邻居请求报文进行洪泛转发,否则丢弃所述邻居请求报文。
13.根据权利要求12所述的装置,其特征在于,所述邻居报文处理模块还用于接收第二网络节点的邻居通告报文,解析出所述邻居通告报文的第二源MAC地址、第二源IP地址和选项目标MAC地址,判断所述选项目标MAC地址与所述第一MAC地址是否一致,如果是,则判断第二源MAC地址、第二源IP地址以及接收所述邻居通告报文的端口的第二端口标识是否匹配所述存储模块中存储的所述绑定关系,如果是,则按照所述选项目标MAC地址将所述邻居通告报文向相应的端口进行转发。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010183394A CN101820432A (zh) | 2010-05-12 | 2010-05-12 | 无状态地址配置的安全控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010183394A CN101820432A (zh) | 2010-05-12 | 2010-05-12 | 无状态地址配置的安全控制方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101820432A true CN101820432A (zh) | 2010-09-01 |
Family
ID=42655380
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010183394A Pending CN101820432A (zh) | 2010-05-12 | 2010-05-12 | 无状态地址配置的安全控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101820432A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011157142A2 (zh) * | 2011-05-31 | 2011-12-22 | 华为技术有限公司 | 报文发送方法和装置 |
| CN102333094A (zh) * | 2011-10-12 | 2012-01-25 | 杭州华三通信技术有限公司 | 一种安全控制方法和设备 |
| CN104468201A (zh) * | 2014-11-26 | 2015-03-25 | 杭州华三通信技术有限公司 | 一种网络设备离线的自动删除方法和设备 |
| WO2016101515A1 (zh) * | 2014-12-23 | 2016-06-30 | 中兴通讯股份有限公司 | 信息技术it设备端口的确定方法及装置 |
| CN105978859A (zh) * | 2016-04-25 | 2016-09-28 | 杭州华三通信技术有限公司 | 一种报文处理的方法和装置 |
| CN107071085A (zh) * | 2017-04-19 | 2017-08-18 | 新华三技术有限公司 | 网络设备mac地址配置方法及装置 |
| CN110290234A (zh) * | 2019-07-16 | 2019-09-27 | 广东热点软件技术服务有限公司 | 节点地址溯源的方法、装置、系统、设备和存储介质 |
| CN110995883A (zh) * | 2019-12-04 | 2020-04-10 | 互联网域名系统北京市工程研究中心有限公司 | 基于EUI-64的DHCPv6固定地址配置的方法、系统及存储介质 |
| CN111416887A (zh) * | 2020-03-31 | 2020-07-14 | 清华大学 | 地址检测的方法、装置、交换机及存储介质 |
| CN112350961A (zh) * | 2020-11-11 | 2021-02-09 | 迈普通信技术股份有限公司 | 报文处理方法、装置、电子设备及可读存储介质 |
| CN112738869A (zh) * | 2020-12-29 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 一种报文接收方法、装置、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101179583A (zh) * | 2007-12-17 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种防止用户假冒上网的方法及设备 |
| CN101197785A (zh) * | 2008-01-04 | 2008-06-11 | 杭州华三通信技术有限公司 | 一种mac认证方法和设备 |
| CN101345743A (zh) * | 2007-07-09 | 2009-01-14 | 福建星网锐捷网络有限公司 | 防止利用地址解析协议进行网络攻击的方法及其系统 |
| CN101378350A (zh) * | 2007-08-27 | 2009-03-04 | 上海市闵行中学 | 局域网ip地址非法使用的解决方法 |
-
2010
- 2010-05-12 CN CN201010183394A patent/CN101820432A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101345743A (zh) * | 2007-07-09 | 2009-01-14 | 福建星网锐捷网络有限公司 | 防止利用地址解析协议进行网络攻击的方法及其系统 |
| CN101378350A (zh) * | 2007-08-27 | 2009-03-04 | 上海市闵行中学 | 局域网ip地址非法使用的解决方法 |
| CN101179583A (zh) * | 2007-12-17 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种防止用户假冒上网的方法及设备 |
| CN101197785A (zh) * | 2008-01-04 | 2008-06-11 | 杭州华三通信技术有限公司 | 一种mac认证方法和设备 |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011157142A3 (zh) * | 2011-05-31 | 2012-04-26 | 华为技术有限公司 | 报文发送方法和装置 |
| WO2011157142A2 (zh) * | 2011-05-31 | 2011-12-22 | 华为技术有限公司 | 报文发送方法和装置 |
| CN102333094A (zh) * | 2011-10-12 | 2012-01-25 | 杭州华三通信技术有限公司 | 一种安全控制方法和设备 |
| CN102333094B (zh) * | 2011-10-12 | 2014-10-29 | 杭州华三通信技术有限公司 | 一种安全控制方法和设备 |
| CN104468201A (zh) * | 2014-11-26 | 2015-03-25 | 杭州华三通信技术有限公司 | 一种网络设备离线的自动删除方法和设备 |
| CN104468201B (zh) * | 2014-11-26 | 2018-03-16 | 新华三技术有限公司 | 一种网络设备离线的自动删除方法和设备 |
| WO2016101515A1 (zh) * | 2014-12-23 | 2016-06-30 | 中兴通讯股份有限公司 | 信息技术it设备端口的确定方法及装置 |
| CN105791176A (zh) * | 2014-12-23 | 2016-07-20 | 中兴通讯股份有限公司 | 信息技术it设备端口的确定方法及装置 |
| CN105978859B (zh) * | 2016-04-25 | 2019-09-06 | 新华三技术有限公司 | 一种报文处理的方法和装置 |
| CN105978859A (zh) * | 2016-04-25 | 2016-09-28 | 杭州华三通信技术有限公司 | 一种报文处理的方法和装置 |
| CN107071085A (zh) * | 2017-04-19 | 2017-08-18 | 新华三技术有限公司 | 网络设备mac地址配置方法及装置 |
| CN110290234A (zh) * | 2019-07-16 | 2019-09-27 | 广东热点软件技术服务有限公司 | 节点地址溯源的方法、装置、系统、设备和存储介质 |
| CN110290234B (zh) * | 2019-07-16 | 2021-10-01 | 广东热点软件技术服务有限公司 | 节点地址溯源的方法、装置、系统、设备和存储介质 |
| CN110995883A (zh) * | 2019-12-04 | 2020-04-10 | 互联网域名系统北京市工程研究中心有限公司 | 基于EUI-64的DHCPv6固定地址配置的方法、系统及存储介质 |
| CN111416887A (zh) * | 2020-03-31 | 2020-07-14 | 清华大学 | 地址检测的方法、装置、交换机及存储介质 |
| CN112350961A (zh) * | 2020-11-11 | 2021-02-09 | 迈普通信技术股份有限公司 | 报文处理方法、装置、电子设备及可读存储介质 |
| CN112738869A (zh) * | 2020-12-29 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 一种报文接收方法、装置、设备及介质 |
| CN112738869B (zh) * | 2020-12-29 | 2022-12-20 | 北京天融信网络安全技术有限公司 | 一种报文接收方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101820432A (zh) | 无状态地址配置的安全控制方法及装置 | |
| CN101651696B (zh) | 一种防止nd攻击的方法及装置 | |
| CN100586106C (zh) | 报文处理方法、系统和设备 | |
| CN101507235B (zh) | 用于提供无线网状网的方法和设备 | |
| CN101534309B (zh) | 节点注册方法、路由更新方法、通讯系统以及相关设备 | |
| CN103067385B (zh) | 防御会话劫持攻击的方法和防火墙 | |
| US10469532B2 (en) | Preventing DNS cache poisoning | |
| CN104811462B (zh) | 一种接入网关重定向方法及接入网关 | |
| CN101827138B (zh) | 一种优化的ipv6过滤规则处理方法和设备 | |
| CN102014142B (zh) | 一种源地址验证方法和系统 | |
| CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
| CN101902482A (zh) | 基于IPv6自动配置实现终端安全准入控制的方法和系统 | |
| CN102404334A (zh) | 拒绝服务攻击防护方法及装置 | |
| CN112910863A (zh) | 一种网络溯源方法及系统 | |
| CN101808097B (zh) | 一种防arp攻击方法和设备 | |
| CN105100048A (zh) | WiFi网络安全鉴定方法、服务器、客户端装置和系统 | |
| CN101909007B (zh) | 绑定表项生成方法、装置及网络设备 | |
| CN101577723A (zh) | 一种防止邻居发现协议报文攻击的方法及装置 | |
| CN102752266B (zh) | 访问控制方法及其设备 | |
| CN109327558A (zh) | 地址管理方法及装置 | |
| CN102761425B (zh) | 计费方法及装置 | |
| CN109698869B (zh) | 私网穿越方法、通信节点及存储介质 | |
| CN110401646A (zh) | IPv6安全邻居发现过渡环境中CGA参数探测方法及装置 | |
| CN108076165A (zh) | 一种域名解析信息管理的方法、设备及系统 | |
| CN102594808A (zh) | 一种防止DHCPv6服务器欺骗的系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100901 |