CN101951415B - 提高地址冲突检测过程安全性的方法 - Google Patents
提高地址冲突检测过程安全性的方法 Download PDFInfo
- Publication number
- CN101951415B CN101951415B CN 201010267716 CN201010267716A CN101951415B CN 101951415 B CN101951415 B CN 101951415B CN 201010267716 CN201010267716 CN 201010267716 CN 201010267716 A CN201010267716 A CN 201010267716A CN 101951415 B CN101951415 B CN 101951415B
- Authority
- CN
- China
- Prior art keywords
- address
- main frame
- host
- conflict
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的实施例提出了一种提高地址冲突检测过程安全性的方法,包括以下步骤:子网中的主机在冲突检测的过程中,中立服务器接收所述主机发出重复地址检测DAD信息;所述中立服务器记录更新的所述DAD信息,根据当前使用中的地址信息进行冲突判断并发出地址冲突公告;子网中的主机在地址解析的过程中发出地址解析报文,所述中立服务器根据本地存储的地址信息判断所述主机使用的IP地址是否合法。本发明提出的上述方案,通过在子网内加入中立服务器,来解决Ipv6网络无状态地址自动配置过程中可能出现的地址冲突隐瞒、地址冲突谎报、ARP欺骗等安全隐患的方案,实现提高地址冲突检测过程安全性问题。
Description
技术领域
本发明涉及互联网技术领域,具体而言,本发明涉及提高地址冲突检测过程安全性的方法。
背景技术
随着IPv4协议下地址空间耗尽的危机逐渐加剧,能以最直接的方式提供更大地址空间,解决IPv4协议下地址空间耗尽问题的IPv6协议应运而生。IPv6协议下的可用地址在理论上是IPv4的2^96倍,而地址数量上如此巨大的差别也决定了IPv6协议下的地址分配方式势必拥有与IPv4不同的特点。
IPv6协议是下一代互联网的核心协议,他解决了IPv4协议所暴露的诸多缺陷,如地址稀缺、路由表庞大、对移动设备支持不足等。IPv6协议的一个突出特点是支持网络节点的地址自动配置,这极大地简化了网络管理者的工作。IPv6协议下无状态地址自动配置的使用是与IPv4不同的一大特征。无状态地址自动配置的最大特点在于由主机本身、而不是其他主体或固定机制来决定一个主机的全球单播IP地址,它大大缩短了配置一个地址的用时。快速、便捷、即插即用,这些不可替代的特质使无状态地址分配方式成为IPv6协议下的各种地址分配方式中应用极为广泛、占有重要地位的一种。
在无状态地址自动配置过程中,解决地址冲突的问题,采用的是基于ND协议(邻居发现协议)的重复地址检测机制。该机制完全基于地位平等的两主机(请求者与应答者)之间的自发沟通,如果两主机中的一方是恶意的,便可以不受任何约束地进行非法操作,因此是具有很严重安全隐患的。主要包括地址冲突隐瞒、地址冲突谎报、ARP欺骗三种类型的恶意操作。
在不破坏目前IPv6协议下无状态地址自动配置方式便捷、迅速的特点为前提,寻找有效方法消除目前无状态地址自动配置所引发的地址冲突隐瞒、地址冲突谎报、ARP欺骗等安全隐患,提高无状态地址自动配置的安全性具有重要意义。
因此,有必要提出一种有效的技术方案,以解决目前IPv6协议下无状态地址自动配置的提高地址冲突检测过程安全性问题。
发明内容
本发明的目的旨在至少解决上述技术缺陷之一,特别通过在子网内加入中立服务器,来解决Ipv6网络无状态地址自动配置过程中可能出现的地址冲突隐瞒、地址冲突谎报、ARP欺骗等安全隐患的方案,实现提高地址冲突检测过程安全性问题。
为了达到上述目的,本发明的实施例提出了一种提高地址冲突检测过程安全性的方法,包括以下步骤:
子网中的主机在冲突检测的过程中,中立服务器接收所述主机发出重复地址检测DAD信息;
所述中立服务器记录更新的所述DAD信息,根据当前使用中的地址信息进行冲突判断并发出地址冲突公告;
子网中的主机在地址解析的过程中发出地址解析报文,所述中立服务器根据本地存储的地址信息判断所述主机使用的IP地址是否合法。
本发明提出的上述方案,通过在子网内加入中立服务器,来解决Ipv6网络无状态地址自动配置过程中可能出现的地址冲突隐瞒、地址冲突谎报、ARP欺骗等安全隐患的方案,实现提高地址冲突检测过程安全性问题。本发明提出的上述方案,不破坏目前IPv6协议下无状态地址自动配置方式便捷、迅速的优势。此外,本发明提出的上述方案,对现有系统的改动很小,不会影响系统的兼容性,而且实现简单、高效。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明实施例中立服务器部署示意图;
图2为本发明实施例提高地址冲突检测过程安全性的方法的流程图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
为了实现本发明之目的,本发明提出了一种提高地址冲突检测过程安全性的方法,包括以下步骤:子网中的主机在冲突检测的过程中,中立服务器接收所述主机发出重复地址检测DAD信息;所述中立服务器记录更新的所述DAD信息,根据当前使用中的地址信息进行冲突判断并发出地址冲突公告;子网中的主机在地址解析的过程中发出地址解析报文,所述中立服务器根据本地存储的地址信息判断所述主机使用的IP地址是否合法。
本发明是一种通过在子网内加入中立服务器,来解决Ipv6网络无状态地址自动配置过程中可能出现的地址冲突隐瞒、地址冲突谎报、ARP欺骗等安全隐患的方案。首先,需要在运行无状态地址自动配置协议的Ipv6网路中,部署中立服务器。
如图1所示,为本发明实施例中立服务器部署示意图。
如图2所示,为本发明实施例提高地址冲突检测过程安全性的方法的流程图,包括以下步骤:
S110:子网中的主机在冲突检测的过程中,中立服务器接收主机发出重复地址检测DAD信息。
在步骤S110中,在冲突检测的过程中,主机发出DAD检测,中立服务器记录更新相应信息,并根据目前使用中的地址信息进行冲突判断,并发出地址冲突公告。
其中,主机在进行重复地址检测时,发送多播的DAD请求报文,报文中包括要请求的IP地址与本主机的MAC源地址信息。
其中,中立服务器具有一个地址信息数据记录表,地址信息数据记录表对所有通过合法途径生成的IP地址进行记录,并记录其相应的使用主机的MAC地址,中立服务器并对记录进行更新与管理。
具体而言,例如:
对于子网内一台主机,在进行重复地址检测时,发送多播的DAD请求报文,该报文中有要请求的IP地址与本主机的MAC源地址信息;
服务器拥有一个地址信息数据记录表。该表中对所有通过合法途径生成的IP地址进行记录,并记录其相应的使用主机的MAC地址。服务器随时对该记录更新、管理。当收到主机发来的DAD请求后,服务器查看自己的地址信息数据;
若在地址信息数据记录表中找到被请求IP地址的记录,则表明该地址在使用中,服务器发送回复报文公告地址冲突;
若在地址信息数据记录表中没有找到被请求IP地址的记录,则表明该地址未被使用,服务器不向请求主机发送报文。在现行无状态地址分配方式中两主机自发沟通的背景下,通过是否收到应答报文进行判断是有高风险的,原因是应答来源的不确定性,而当引入专职的地址冲突发现服务器后,应答报文的来源是确定的,因此目前现行的判断语义也随之安全,同时,服务器将该IP地址与对其提出请求的主机的MAC地址信息补入地址信息数据记录表。服务器对地址信息数据更新的方法是:服务器通过主机进行重复地址检测时的多播报文来接受地址信息,将新地址(IP地址与MAC地址的对应关系)不断补入。需要注意的是,由于无状态地址配置方式对一主机多IP地址模式的支持,一个MAC地址可与多个IP地址产生映射关系,而一个IP地址只能与一个MAC地址产生映射关系。
S120:中立服务器记录更新的所述DAD信息,根据当前使用中的地址信息进行冲突判断并发出地址冲突公告。
在步骤S120中,中立服务器并对记录进行更新包括:
中立服务器通过主机进行重复地址检测时的多播报文来接收地址信息,将新地址IP地址与MAC地址的对应关系不断补入所述地址信息数据记录表。
根据当前使用中的地址信息进行冲突判断并发出地址冲突公告包括:
若在地址信息数据记录表中的地址信息数据记录表中找到被请求IP地址的记录,则表明所述地址在使用中,服务器回复报文公告地址冲突;否则表明该地址未被使用,服务器不向请求主机发送报文。
S130:主机在地址解析的过程中发出地址解析报文,中立服务器根据本地存储的地址信息判断主机使用的IP地址是否合法。
在步骤S130中,在地址解析过程,主机发出地址解析报文,中立服务器根据本地存储的信息判断主机使用的IP地址是否合法。如果合法,则执行正常的解析过程;否则,通知所请求的主机发起主机为非法使用地址主机。
中立服务器根据本地存储的地址信息判断所述主机使用的IP地址是否合法还包括:如果判断所述IP地址合法,则执行正常的解析过程;否则,通知所请求的主机为非法使用地址的主机。
具体而言,例如:
主机A针对主机B发送一个地址解析请求多播报文;
服务器收到这个请求后查找自己的地址信息,查看主机A的IP地址和对应的MAC地址是否在自己的存储之中;
如果主机A的IP地址和对应的MAC地址在自己的存储之中,则表明主机A所使用的IP地址为合法生成,其并未冒充其他主机与主机B进行通讯,此时服务器向主机B发送一个报文,公告主机A的合法性,主机B可继续进行地址解析过程;
如果主机A的IP地址和对应的MAC地址不在自己的存储之中,则表明主机A使用了非法的IP地址或冒充其他主机与主机B进行通讯,此时服务器向主机B发送一个报文,公告主机A的非法性,应终止地址解析过程,不以是否发送应答报文、而以具体报文发送内容表示服务器的检测结果,这主要是出于尽可能少的改动主机协议之考虑,地址解析过程与重复地址检测过程不同,现行方式中主机在收到解析请求后立即回复不做等待,因此主机不具备通过额外报文是否收到的判断分析源地址真实性的能力,故设计为服务器公告全部检测结果。
进一步完善的方案,上述方案进一步包括以下技术特征,主机A向主机B发送一个地址解析请求的多播报文;中立服务器收到所述地址解析请求后查找地址信息,查看主机A的IP地址和对应的MAC地址是否在所述地址信息数据记录表的存储之中;如果主机A的IP地址和对应的MAC地址在自己的存储之中,则表明主机A所使用的IP地址为合法生成,则所述中立服务器向主机B发送报文,公告主机A的合法性,主机B继续进行地址解析过程;否则向主机B发送报文公告主机A的非法性,终止地址解析过程。
进一步而言,当主机没收到所述中立服务器的公告报文时,所述主机基于IPv6现有的无状态地址自动配置方式工作。
其中,所述中立服务器以预定周期发出地址冲突公告。
当子网中的主机在所述预定周期内收到不止一次地址冲突公告时,所述主机在子网中公告存在假冒中立服务器,则子网中的主机基于IPv6现有的无状态地址自动配置方式工作。
具体而言,例如:
对于上述方案无缝接入与退出的问题,作如下考虑:无论有没有服务器,主机的无状态地址分配必须还能工作。规定服务器在子网内周期性的发送多播公告报文,类似于路由器的周期性公告,以公告自身存在。当主机没收到服务器的公告报文时,采用现行的原始无状态地址分配方式,否则采用本方案;
对于该方案中服务器的身份验证问题,设计了一种方式,可使真实服务器在子网内存在的情况下,假冒服务器的存在被发现:服务器以一个固定的周期向子网内的主机公告自己的地址。一个需要验证地址的主机,要先等待一个固定周期的时间,如在这个周期内收到了一个地址公告报文,则证明该报文是由真实服务器发出的;如收到了两封或以上的报文,则证明存在假冒服务器也在公告地址,即发现了假冒服务器。任何一个主机如果发现了假冒服务器的存在,则发送广播到子网(还未申请IP地址的主机可以0::0作为源地址)。此后,子网内主机一律采用现行的原始无状态地址分配方式;
在重复地址检测过程与地址解析过程中,主机若收到服务器的告知报文,应先核查报文的源地址(源IP地址与源MAC地址的对应)与服务器周期性发送的公告报文是否符合。
本发明通过在子网内部署中立服务器获取子网内各主机地址信息、并将这些信息进行存储管理,提供地址冲突和地址真实性的监控与审计。方案保留无状态地址自动配置便捷、快速的特点,引入了可接受的安全代价,实现了有效抑制地址冲突隐瞒、地址冲突谎报、通信过程中的地址假冒等三种恶意行为,提高了无状态地址自动配置的安全性。
本发明提出的上述方案,通过在子网内加入中立服务器,来解决Ipv6网络无状态地址自动配置过程中可能出现的地址冲突隐瞒、地址冲突谎报、ARP欺骗等安全隐患的方案,实现提高地址冲突检测过程安全性问题。本发明提出的上述方案,不破坏目前IPv6协议下无状态地址自动配置方式便捷、迅速的优势。此外,本发明提出的上述方案,对现有系统的改动很小,不会影响系统的兼容性,而且实现简单、高效。
本领域普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
Claims (6)
1.一种提高地址冲突检测过程安全性的方法,其特征在于,包括以下步骤:
子网中的主机在冲突检测的过程中,中立服务器接收所述主机发出重复地址检测DAD信息,其中,所述主机的冲突检测过程包括:所述主机在进行重复地址检测时,发送多播的DAD请求报文,所述报文中包括要请求的IP地址与本主机的MAC源地址信息,所述中立服务器具有一个地址信息数据记录表,所述地址信息数据记录表对所有通过合法途径生成的IP地址进行记录,并记录其相应的使用主机的MAC地址,所述中立服务器并对所述记录进行更新与管理;
所述中立服务器记录更新的所述DAD信息,根据当前使用中的地址信息进行冲突判断并发出地址冲突公告;
子网中的主机在地址解析的过程中发出地址解析报文,所述中立服务器根据本地存储的地址信息判断所述主机使用的IP地址是否合法,具体如下:
主机A向主机B发送一个地址解析请求的多播报文;
所述中立服务器收到所述地址解析请求后查找地址信息,查看所述主机A的IP地址和对应的MAC地址是否在所述地址信息数据记录表的存储之中;
如果主机A的IP地址和对应的MAC地址在所述地址信息数据记录表存储之中,则表明主机A所使用的IP地址为合法生成,则所述中立服务器向主机B发送报文,公告主机A的合法性,主机B继续进行地址解析过程;否则向主机B发送报文公告主机A的非法性,终止地址解析过程。
2.如权利要求1所述的方法,其特征在于,所述中立服务器并对所述记录进行更新包括:
所述中立服务器通过主机进行重复地址检测时的多播报文来接收地址信息,将新IP地址与MAC地址的对应关系不断补入所述地址信息数据记录表。
3.如权利要求2所述的方法,其特征在于,根据当前使用中的地址信息进行冲突判断并发出地址冲突公告包括:
若在所述地址信息数据记录表中找到被请求IP地址的记录,则表明所述地址在使用中,中立服务器回复报文公告地址冲突;否则表明该地址未被使用,中立服务器不向请求主机发送报文。
4.如权利要求1所述的方法,其特征在于,当主机没收到所述中立服务器的公告报文时,所述主机基于IPv6现有的无状态地址自动配置方式工作。
5.如权利要求1所述的方法,其特征在于,所述中立服务器以预定周期发出地址冲突公告。
6.如权利要求5所述的方法,其特征在于,当子网中的主机在所述预定周期内收到不止一次地址冲突公告时,所述主机在子网中公告存在假冒中立服务器,则子网中的主机基于IPv6现有的无状态地址自动配置方式工作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010267716 CN101951415B (zh) | 2010-08-30 | 2010-08-30 | 提高地址冲突检测过程安全性的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010267716 CN101951415B (zh) | 2010-08-30 | 2010-08-30 | 提高地址冲突检测过程安全性的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101951415A CN101951415A (zh) | 2011-01-19 |
| CN101951415B true CN101951415B (zh) | 2013-10-16 |
Family
ID=43454773
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010267716 Active CN101951415B (zh) | 2010-08-30 | 2010-08-30 | 提高地址冲突检测过程安全性的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101951415B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302844A (zh) * | 2015-05-28 | 2017-01-04 | 国网辽宁省电力有限公司丹东供电公司 | 一种IPv6地址回收禁用方法及装置 |
| WO2017011947A1 (zh) * | 2015-07-17 | 2017-01-26 | 华为技术有限公司 | 一种通信方法、装置和系统 |
| CN105611508B (zh) * | 2016-02-26 | 2019-08-20 | 北京佰才邦技术有限公司 | 网络模式的指示方法和装置 |
| CN105959429A (zh) * | 2016-04-28 | 2016-09-21 | 浪潮电子信息产业股份有限公司 | 一种在计算机整机系统批量生产中确保网卡mac地址唯一性的方法 |
| CN105959306A (zh) * | 2016-06-30 | 2016-09-21 | 百度在线网络技术(北京)有限公司 | Ip地址的识别方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1901551A (zh) * | 2005-07-19 | 2007-01-24 | 上海贝尔阿尔卡特股份有限公司 | 一种支持IPv6的二层接入网中重复地址检测方法及其装置 |
| CN101056306A (zh) * | 2006-04-11 | 2007-10-17 | 中兴通讯股份有限公司 | 网络设备及其访问控制方法 |
| CN101764734A (zh) * | 2008-12-25 | 2010-06-30 | 中兴通讯股份有限公司 | IPv6环境下提高邻居发现安全性的方法及宽带接入设备 |
-
2010
- 2010-08-30 CN CN 201010267716 patent/CN101951415B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1901551A (zh) * | 2005-07-19 | 2007-01-24 | 上海贝尔阿尔卡特股份有限公司 | 一种支持IPv6的二层接入网中重复地址检测方法及其装置 |
| CN101056306A (zh) * | 2006-04-11 | 2007-10-17 | 中兴通讯股份有限公司 | 网络设备及其访问控制方法 |
| CN101764734A (zh) * | 2008-12-25 | 2010-06-30 | 中兴通讯股份有限公司 | IPv6环境下提高邻居发现安全性的方法及宽带接入设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101951415A (zh) | 2011-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101651696B (zh) | 一种防止nd攻击的方法及装置 | |
| CN101951415B (zh) | 提高地址冲突检测过程安全性的方法 | |
| CN101247396B (zh) | 一种分配ip地址的方法、装置及系统 | |
| CN101692674B (zh) | 双栈接入的方法和设备 | |
| CN102014142B (zh) | 一种源地址验证方法和系统 | |
| CN101827138B (zh) | 一种优化的ipv6过滤规则处理方法和设备 | |
| KR100728040B1 (ko) | IPv6 유니크 로컬 주소 생성 방법 및 장치 | |
| CN106851632A (zh) | 一种智能设备接入无线局域网的方法及装置 | |
| CN101820432A (zh) | 无状态地址配置的安全控制方法及装置 | |
| CN103229488A (zh) | Ipv6地址溯源方法、装置和系统 | |
| CN102984288A (zh) | 一种自动管理IPv6地址冲突的方法及系统 | |
| JP2006287299A (ja) | ネットワーク管理方法および装置並びに管理プログラム | |
| CN101577723B (zh) | 一种防止邻居发现协议报文攻击的方法及装置 | |
| US20030126241A1 (en) | Registration agent system, network system and program therefor | |
| CN115208606A (zh) | 一种网络安全防范的实现方法、系统及存储介质 | |
| CN102025797A (zh) | 地址前缀处理方法、装置、系统及网络设备 | |
| CN102695171B (zh) | 用户标识获取方法、系统及设备 | |
| CN102523316B (zh) | 一种地址分配方法和设备 | |
| CN116032879A (zh) | 内网设备与外网设备的互访方法、路由设备及服务器 | |
| CN116388998A (zh) | 一种基于白名单的审计处理方法和装置 | |
| CN105162898A (zh) | Dns与dhcp、ipam实现智能解析的方法及装置 | |
| CN106330894B (zh) | 基于本地链路地址的savi代理认证系统及方法 | |
| CN100362814C (zh) | IPv6的计费实现方法 | |
| CN113347282A (zh) | 一种用于卫星互联网的ip地址分配与查重方法及系统 | |
| CN112202776A (zh) | 源站防护方法和网络设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |