CN102123376B - 一种源地址验证方法和系统 - Google Patents
一种源地址验证方法和系统 Download PDFInfo
- Publication number
- CN102123376B CN102123376B CN 201110008486 CN201110008486A CN102123376B CN 102123376 B CN102123376 B CN 102123376B CN 201110008486 CN201110008486 CN 201110008486 CN 201110008486 A CN201110008486 A CN 201110008486A CN 102123376 B CN102123376 B CN 102123376B
- Authority
- CN
- China
- Prior art keywords
- registration
- mobile node
- savi
- address
- binding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种源地址验证方法和系统,所述方法,包括下列步骤:移动节点接收外地代理的周期性的代理通告,并根据代理通告的指示信息,进行对应的移动注册SAVI设备监听所述移动节点的移动注册过程,通过对监听到的移动注册过程为移动节点建立动态的家乡地址到可信锚点的绑定;所述SAVI设备根据过滤表对所述移动节点通信的数据分组进行源地址验证。其能够为移动节点的家乡地址绑定可信锚点,实现对真实源地址验证系统中SAVI设备对MIPv4网络环境中的移动节点进行源地址验证。
Description
技术领域
本发明涉及网络安全领域,特别是涉及一种源地址验证方法和系统。
背景技术
目前,以IP为网络层协议的互联网络取得了巨大成功,但传统的IP路由是根据数据分组的目的地址进入,缺乏对数据分组的源地址检查,导致目前源地址欺骗的安全事件层出不穷。现有技术中真实源地址验证体系是三层源地址验证架构,从上到下分别包括:自治域间源地址验证,自治域内源地址验证,子网内源地址验证。
IETF SAVI工作组致力于解决子网内源地址验证问题,实现在各种地址分配方式下进行主机粒度的源地址验证。源地址验证提高(Source AddressValidation Improvement,SAVI)要求独立于主机,部署在网络设备上,并提出了“保护边界”的概念。图1是现有技术中SAVI部署的场景示意图,如图1所示,部署SAVI的交换机形成了虚线框标记的源地址验证边界即“保护边界”。所有的主机通过该边界进入网络,SAVI通过对这些进入网络的主机进行源地址过滤实验主机粒度的源地址验证。
SAVI基本思想是通过监听主机的地址分配过程,将主机的IP绑定到一个可信锚点,在主机正常通信的过程中,SAVI对这个锚点进行检查实现源地址验证。
典型地址分配包括了DHCP,SLACC和静态地址,SAVI为各种地址分配下的地址绑定建立了统一的数据结构:
●绑定状态表(Binding State Table,BST):记录源地址和锚之间的绑定状态,控制FT表中表项的建立和撤销。
表1.BST结构
●过滤表(Filtering Table,FT):存储绑定关系,FT表提供分组过滤依据。
表2.FT结构
| Anchor | Address |
SAVI考虑各种典型地址分配情况下的源地址验证,但目前SAVI普遍尚未考虑到在移动环境中移动节点通信所使用的源地址的特殊性。
移动IP(Mobile IP,MIP)标准中允许移动节点在驻留地网络中继续使用其家乡地址(Home Address,HoA)与其他节点进行通信。对于MIPv6,在设计之初考虑到了源地址过滤问题,MIPv6的移动节点(Mobile Node,MN)向通信节点(Correspondent Node,CN)发送消息时,源地址采用MN的转交地址(Care-of Address,CoA),通过家乡地址选项携带家乡地址(Home Address,HoA)地址,由于CoA地址是MN所在的驻留地网络子网内地址,这样SAVI通过将MIPv6的MN的CoA地址绑定到可信锚点便能进行源地址验证。然而MIPv4没有这种机制,图2是部署SAVI的MIPv4环境中MN与CN通信的示意图,如图2所示,当MN向CN发送消息的时候,消息源地址为MN的HoA,目的地址为CN的IP地址,存在SAVI设备时,由于MIPv4的MN的HoA不在驻留地网络前缀内,SAVI模块内没有关于HoA的绑定信息,SAVI将根据FT对消息源地址验证,显然MN的正常通信分组将被丢弃。可见在MIPv4网络环境中,若部署了SAVI,MIPv4网络环境中的移动节点将不能进行合法通信。
发明内容
本发明的目的在于提供一种源地址验证方法和系统,其能够为移动节点的家乡地址绑定可信锚点,实现对真实源地址验证系统中SAVI设备对MIPv4网络环境中的移动节点进行源地址验证。
为实现本发明的目的而提供的一种源地址验证方法,包括下列步骤:
步骤100.移动节点接收外地代理的周期性的代理通告,并根据代理通告的指示信息,进行对应的移动注册;
步骤200.SAVI设备监听所述移动节点的移动注册过程,通过对监听到的移动注册过程为移动节点建立动态的家乡地址到可信锚点的绑定;
步骤300.所述SAVI设备根据过滤表对所述移动节点通信的数据分组进行源地址验证。
所述步骤200,包括下列步骤:
步骤210.所述移动节点直接使用配置转交地址向家乡代理进行移动注册,所述SAVI设备监听所述注册,提取所述移动节点的家乡地址,建立动态的家乡地址到移动节点的绑定;
步骤220.所述移动节点使用家乡地址通过外地代理向家乡代理进行移动注册,SAVI设备监听所述注册,提取所述移动节点的家乡地址,建立动态的家乡地址到移动节点的绑定。
所述步骤210,包括下列步骤:
步骤211.所述移动节点执行地址分配过程,获得配置转交地址;
步骤212.所述SAVI设备通过监听该地址分配,绑定所述移动节点的配置转交地址,建立绑定状态表项和过滤表项;
步骤213.所述移动节点使用配置转交地址直接向家乡代理发送移动注册请求;
步骤214.所述SAVI设备监听该注册,提取所述移动节点的家乡地址和ID信息,在绑定状态表中创建新绑定项,状态标记为PENDING;
步骤215.所述SAVI设备转发该移动注册请求;
步骤216.家乡代理接收到所述移动注册请求,处理该移动注册请求,返回注册回复,通告注册请求结果;
步骤217.所述SAVI设备监听该注册回复,更新所述绑定状态表和过滤表:
若注册回复指示注册成功,提取ID和生存时间,更新绑定状态表中对应项,将绑定状态表中生存时间设为回复生存时间,状态转为BOUND,在过滤表中创建新过滤项目;
若注册回复指示注册失败,所述SAVI设备删除绑定状态表中对应的项;
步骤218.所述SAVI设备转发所述注册回复;
步骤219.所述移动节点处理所述注册回复,包括移动节点对家乡代理的验证。
所述步骤220,包括下列步骤:
步骤221.所述移动节点根据通告中的转交地址向外地代理发送注册请求;
步骤222.所述SAVI设备从所述注册请求中提取移动节点的家乡地址/网络访问标识以及ID信息,在绑定状态表中创建新绑定项,标记状态为PENDING,生存时间设为PENDING_TIME;
步骤223.所述SAVI设备正常转发所述注册请求;
步骤224.外地代理处理所述注册请求,包括对移动节点的认证,若外地代理拒绝移动节点注册,则返回拒绝注册回复,执行步骤225;若外地代理接收移动节点注册,向家乡代理发送注册请求,执行步骤226;
步骤225.所述SAVI设备监听到拒绝移动节点注册的拒绝注册回复,删除绑定状态表中对应的表项;所述SAVI设备转发所述拒绝注册回复;
步骤226.所述家乡代理处理所述注册请求,包括对外地代理,对移动节点的验证操作;所述家乡代理发送注册回复;
步骤227.所述外地代理处理家乡代理发回的注册回复,包括外地代理对家乡代理的验证;同时,外地代理发送注册回复,通告移动节点其注册请求是否被接受;
步骤228.所述SAVI设备根据外地代理发回的注册回复,提取ID,生存时间信息,更新绑定注册表和过滤表:
若所述注册回复指示注册成功,则将绑定状态表中生存时间设置为回复生存时间,同时所述SAVI设备将绑定状态表中对应项状态转为BOUND,在过滤表中建立新过滤项;
若所述注册回复指示失败,则所述SAVI设备删除绑定状态表中对应项;
步骤229.所述SAVI设备处理完注册回复后正常转发所述注册回复;
步骤2210.所述移动节点处理所述注册回复,包括移动节点对外地代理以及家乡代理的验证。
所述步骤100之前,包括:
步骤100’.在网络环境中部署SAVI设备,设置具有SAVI--MN属性的锚点,所有的移动节点必须通过SAVI设备接入网络,移动节点处于保护边界之外,外地代理置于保护边界之内。
为实现本发明的目的还提供一种源地址验证系统,包括:移动节点、SAVI设备、外地代理和家乡代理,还包括具有SAVI--MN属性的锚点,所有的移动节点必须通过SAVI设备接入网络,移动节点处于保护边界之外,外地代理置于保护边界之内,其中:
所述移动节点,接收外地代理的周期性的代理通告,并根据代理通告的指示信息,进行对应的移动注册;
所述SAVI设备,监听所述移动节点的移动注册过程,通过对监听到的移动注册过程为移动节点建立动态的家乡地址到可信锚点的绑定;并根据过滤表对所述移动节点通信的数据分组进行源地址验证。
所述移动节点发送代理请求,触发外地代理返回代理应答。
所述SAVI设备,包括:
直接注册监听模块,用于监听所述移动节点直接使用配置转交地址向家乡代理进行移动注册的过程,并提取所述移动节点的家乡地址,建立动态的家乡地址到移动节点的绑定;
间接注册监听模块,用于监听所述移动节点使用家乡地址通过外地代理向家乡代理进行移动注册的过程,并提取所述移动节点的家乡地址,建立动态的家乡地址到移动节点的绑定。
所述直接注册监听模块,执行下列操作:
通过监听所述地址分配,绑定所述移动节点的配置转交地址,建立绑定状态表项和过滤表项;
提取移动注册请求中移动节点的家乡地址和ID信息,在绑定状态表中创建新绑定项,状态标记为PENDING;并转发该移动注册请求;
监听家乡代理返回的注册回复,更新所述绑定状态表和过滤表:
若注册回复指示注册成功,提取ID和生存时间,更新绑定状态表中对应项,将绑定状态表中生存时间设为回复生存时间,状态转为BOUND,在过滤表中创建新过滤项目;
若注册回复指示注册失败,所述SAVI设备删除绑定状态表中对应的项;
转发所述注册回复。
所述间接注册监听模块,执行如下操作:
从所述移动节点根据通告中的转交地址向外地代理发送的注册请求中提取移动节点的家乡地址/网络访问标识以及ID信息,在绑定状态表中创建新绑定项,标记状态为PENDING,生存时间设为PENDING_TIME;并转发所述注册请求;
若监听到拒绝移动节点注册的拒绝注册回复,删除绑定状态表中对应的表项;转发所述拒绝注册回复;
若监听到外地代理发送的注册回复,则根据外地代理发回的注册回复,提取ID,生存时间信息,更新绑定注册表和过滤表:
若所述注册回复指示注册成功,则将绑定状态表中生存时间设置为回复生存时间,同时所述SAVI设备将绑定状态表中对应项状态转为BOUND,在过滤表中建立新过滤项;
若所述注册回复指示失败,则所述SAVI设备删除绑定状态表中对应项;
处理完注册回复后正常转发所述注册回复。
本发明的有益效果是:本发明的一种源地址验证方法和系统,通过将MIPv4节点的HoA绑定到可信锚点,从而既保证移动节点的合法通信,同时对MIPv4移动节点进行主机粒度的源地址验证。
附图说明
图1是现有技术中SAVI部署的场景示意图;
图2是部署SAVI的MIPv4环境中MN与CN通信的示意图;
图3是本发明的一种源地址验证方法的步骤流程图;
图4是本发明中SAVI支持MIPv4移动节点的部署场景示意图;
图5是本发明中SAVI监听MN的移动注册过程并为MN建立动态的HoA到可信锚点的绑定的步骤流程图;
图6是本发明中移动节点绑定状态转换的示意图;
图7是本发明中MN直接向HA进行移动注册SAVI监听的流程示意图;
图8是本发明中MN通过FA向HA进行移动注册SAVI监听的流程示意图;
图9是本发明的源地址验证系统的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明的一种源地址验证方法和系统进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明的一种源地址验证方法和系统,通过动态监听MN的移动注册过程,为MN动态建立HoA到可信锚点的绑定,根据HoA到可信锚点的绑定实现对MN节点的源地址验证。
下面结合上述目标详细介绍本发明的一种源地址验证方法,图3是本发明的一种源地址验证方法的步骤流程图,如图3所示,所述方法,包括下列步骤:
步骤100.在网络环境中部署SAVI,设置具有SAVI--MN属性的锚点;
图4是本发明中SAVI支持MIPv4移动节点的部署场景示意图,如图4所示,所有的MN必须通过SAVI接入网络,MN处于保护边界之外,外地代理(Foreign Agent,FA)置于保护边界之内,SAVI通过监听MN经过SAVI的通信为MN动态地建立绑定。
为了对不同属性的锚点进行不同的管理,本发明引入了SAVI--MN属性,只有具有SAVI--MN属性的锚点允许MN连接。
具有SAVI--MN属性的锚点包含两类操作:
●监听MN的移动注册消息,为MN建立动态绑定信息;
●根据FT的对分组进行过滤。
步骤200.定义移动节点绑定使用的BST和FT;
BST和FT是SAVI为主机维护绑定信息和进行源地址验证的核心数据结构,本发明对BST和FT定义如下:
●BST
BST维护源地址和锚点之间的映射关系及映射关系的状态,如下表:
表3动节点绑定BST示例
Anchor:绑定的可信锚点,用于源地址验证;
本发明并不规定使用何种可信锚点,常用可信锚点包括交换机的端口,安全关联等,在无线环境中建议在MN和SAVI之间使用安全关联作为可信锚点。
Address:MN的家乡地址或者0地址,Address域存储需要绑定的主机源地址;当MN没有配置家乡地址时,在注册请求中使用0作为源地址,注册请求中同时携带网络访问标识(Network Access Identifier,NAI),HA通过NAI为MN分配HoA;
State:记录当前条目的绑定状态;
LifeTime:移动节点的每次移动注册都有生命周期,LifeTime用以维护移动节点的移动注册生命期,记录条目生命值,如果生命值超时,则条目失效;当绑定尚未完成时,LifeTime保存PENDING_TIME(绑定等待生命值),而当绑定成功时候,LifeTime保存MN注册的CoA的生命值,该生命值取移动注册Reply中的LifeTime。
Identification:MN移动注册请求中的ID,用以匹配注册请求和注册应答消息;
●FT
现有技术中SAVI用FT来对接收的数据分组进行源地址验证,对于移动节点SAVI使用同样的FT表对移动节点进行源地址验证,当BST中绑定建立成功时,SAVI将成功的绑定加入到FT中,FT示例如下:
表4移动节点绑定FT示例
| Anchor | Address |
| B_Anchor | B_HoA |
| B_Anchor | B_Co-CoA |
Anchor:成功绑定的可信锚点,SAVI根据这个锚点过滤源地址;
Address:移动节点的HoA/CoA,匹配分组的源地址;
步骤300.MN接收到FA的周期性的代理通告,根据移动代理通告,MN可以发现自己移动到了外地网络,并根据代理通告的指示信息,进行对应的移动注册;
所述SAVI对MN,FA,HA均透明,仅仅被动监听整个注册过程实现在源地址验证。
所述步骤300,包括下列步骤:
FA发送Agent Advertisement,指示MN必须通过FA进行注册,通告中包含了转交地址(Care-of Address,CoA)或配置转交地址;
FA发送Agent Advertisement,指示MN使用Co-located CoA直接向HA进行移动注册。
步骤400.所述SAVI监听MN的移动注册过程,通过对监听到的移动注册过程为MN建立动态的HoA到可信锚点的绑定;
通过监听MN的移动过程,可以实现动态为MN建立地址绑定,对MN进行源地址的过滤;同时这种被动监听的方式能够对主机透明,无需对主机进行任何改变。
图5是本发明中SAVI监听MN的移动注册过程并为MN建立动态的HoA到可信锚点的绑定的步骤流程图,如图5所示,所述步骤400,包括下列步骤:
步骤410.MN直接使用Co-located CoA地址向HA进行移动注册,SAVI监听所述注册,提取所述MN的HoA,建立动态的HoA到MN的绑定;
MN直接向HA进行移动注册时,要求MN必须具有配置转交地址(Co-located Care-of Address,Co-located CoA)。所述Co-located CoA可以是MN通过其他的地址分配方式(如DHCP等)获得的驻留地网络内的地址。这种模式下MN可以直接使用Co-located CoA地址向HA进行移动注册,此时MN可以直接使用HoA进行通信而不需要FA帮助。
这一步中,SAVI执行正常的地址绑定流程,在BST表中新建Co-locatedCoA绑定项,并在FT表中加入源地址过滤项。如果MN能合法获得Co-locatedCoA,则SAVI能正确为其建立Co-located CoA绑定,MN能够正常通过Co-located CoA向HA进行移动注册。SAVI监听到MN的移动注册请求,SAVI从注册请求消息中提取MN的HoA,ID等信息,建立动态的HoA到MN的绑定;
步骤420.所述MN使用HoA通过FA向HA进行移动注册,SAVI监听所述注册,提取所述MN的HoA,建立动态的HoA到MN的绑定;
MN使用HoA地址进行移动注册,注册请求先发送给FA,然后由FA处理后发送给HA;这一步中,SAVI监听到MN的移动注册请求,SAVI从注册请求消息中提取MN的HoA,ID等信息,在BST中建立新绑定。FA/HA接收到注册请求后执行相应的操作,然后返回注册应答,注册应答中指示了MN的注册请求是否被允许。SAVI监听这个注册应答,如果注册应答指示注册成功,则从注册应答中提取LifeTime等信息,更新BST并在FT中加入新的源地址验证项;如果注册应答指示注册失败,则删除BST维护的对应项。
根据移动节点的移动注册流程,移动节点注册过程包含了两个阶段,PENDING和BOUND。PENDING状态下表示MN发送了注册请求并正在等待注册应答;BOUND状态表明MN完成了注册过程,并且注册被代理接受。
图6是本发明中移动节点绑定状态转换的示意图,如图6所示,对应的,移动节点的绑定也包括两个状态:PENDING和BOUND两种状态。其中PENDING状态表示监听到MN的注册请求,正等待注册应答,绑定尚未完成;BOUND状态表示监听到完整的移动注册过程,并且注册请求被接受,对MN的绑定成功。
其中,状态转换触发条件和转换操作是:
1)PENDING状态触发条件:
SAVI-MN锚点监听到新的Registration Request,从Request中提取HoA/NAI,ID等信息,并在BST表中创建新表项,将状态设为PENDING,LifeTime设为PENDING_TIME;
2)BOUND状态触发条件:
SAVI从可信锚点监听到Registration Reply,Reply指示注册成功,并且Reply中的Identification和BST中PENDING项匹配。SAVI将BST中对应项的状态由PENDING转为BOUND,同时在FT表中建立绑定。
3)绑定删除触发条件:
●SAVI在可信锚点监听到匹配的Registration Reply,同时Reply指示注册失败;
●BST中处于BOUND状态的条目BoundLifeTime超时,删除条目,同时删除FT表中对应绑定。
●BST中处于PENDING状态的条目LifeTime超时,直接删除条目;
图7是本发明中MN直接向HA进行移动注册SAVI监听的流程示意图,如图7所示,所述步骤410,包括下列步骤:
步骤411.MN执行地址分配过程,获得Co-located CoA;
所述Co-located CoA是MN驻留地子网内的地址,MN被看作驻留地子网内的合法主机。SAVI则根据MN所采用的地址分配方式需要为MN建立正常的子网内地址绑定;
步骤412.所述SAVI通过监听该地址分配,绑定MN的Co-located CoA,BST加入如下条目;
表5.BST新建项
| Anchor | Address | State | LifeTime | Other |
| MN_Anchor | MN_CoA | BOUND | BOUND_TIME | MN_Other |
FT中加入如下条目:
表6.FT新建过滤项
| Anchor | Address |
| MN_Anchor | MN_CoA |
步骤413.MN使用Co-located CoA直接向HA发送移动RegistrationRequest;
步骤414.SAVI监听该注册,提取MN的HoA,ID等信息,在BST中创建新绑定项,状态标记为PENDING,BST中加入如下条目:
表7.BST新建项
步骤415.SAVI转发该Registration Request;
步骤416.HA接受到MN的Registration Request,处理该RegistrationRequest,包括对Mn的验证等,HA返回注册Reply,通告注册请求结果;
步骤417.SAVI监听该注册Reply,更新BST和FT:
如果注册Reply指示注册成功,提取ID,LifeTime等信息,SAVI更新BST中对应项,将BST中LifeTime设为Reply.LifeTime,状态转为BOUND,FT中创建新过滤项目;
FT中加入如下条目:
表8.FT新建过滤项
| Anchor | Address |
| MN_Anchor | MN_HoA |
如果注册Reply指示注册失败,SAVI删除BST中对应的项;
步骤418.SAVI正常转发注册Reply;
步骤419.MN处理所述注册Reply,包括MN对HA的验证等。
图8是本发明中MN通过FA向HA进行移动注册SAVI监听的流程示意图,如图8所示,所述步骤420,包括下列步骤:
步骤421.MN根据通告中的CoA向FA发送Registration Request;
步骤422.SAVI从Registration Request中提取MN的HoA/NAI,Identification等信息,在BST表中创建新绑定项,标记状态为PENDING,LifeTime设为PENDING_TIME;
表9.BST新建绑定
步骤423.SAVI正常转发Registration Request;
步骤424.FA处理Registration Request,包括对MN的认证,若FA拒绝MN注册,则返回拒绝Registration Reply,执行步骤425;若FA接受MN注册,向HA发送Registration Request,执行步骤426;
步骤425.SAVI监听到拒绝MN注册的拒绝Registration Reply,说明FA不接受MN的注册,因此无需为MN建立绑定,删除BST中对应的表项;SAVI转发所述拒绝Registration Reply;
步骤426.HA处理Registration Request,包括对FA,对MN的验证操作;HA发送Registration Reply;
步骤427.FA处理HA发回的Registration Reply,包括FA对HA的验证等;同时,FA发送Registration Reply,通告MN其注册请求是否被接受;
步骤428.SAVI根据FA发回的Registration Reply,提取ID,LifeTime等信息,更新BST和FT,包括如下两种情况:
如果Registration Reply指示注册成功,则将BST中LifeTime设置为Reply.LifeTime,同时SAVI将BST中对应项状态转为BOUND,在FT表中建立新过滤项;
表10.FT新建过滤项
| Anchor | Address |
| MN_Anchor | MN_HoA |
如果Registration Reply指示失败,则SAVI删除BST中对应项;
步骤429.SAVI处理完Registration Reply后正常转发RegistrationReply;
步骤4210.MN处理Registration Reply,包括MN对FA以及HA的验证。
步骤500.SAVI根据FT对MN通信的数据分组进行源地址验证。
这个阶段SAVI成功建立了MN的HoA到可信锚点的绑定信息,这些合法的源地址绑定信息保存在FT中,SAVI通过FT对MN通信的分组进行源地址验证。MN的通信分组源地址不在FT中,则说明该分组的源地址伪造,SAVI将丢弃该分组。
相应于本发明的一种源地址验证方法,还提供一种源地址验证系统,图9是本发明的源地址验证系统的结构示意图,如图9所示,所述系统,包括:移动节点1、SAVI设备2、外地代理3和家乡代理4,具有SAVI--MN属性的锚点5,所有的移动节点1必须通过SAVI设备2接入网络,移动节点1处于保护边界之外,外地代理3置于保护边界之内,其中:
所述移动节点1,接收外地代理的周期性的代理通告,并根据代理通告的指示信息,进行对应的移动注册;
所述SAVI设备2,监听所述移动节点的移动注册过程,通过对监听到的移动注册过程为移动节点建立动态的家乡地址到可信锚点的绑定;并根据过滤表对所述移动节点通信的数据分组进行源地址验证。
作为一种可实施方式,所述移动节点1发送代理请求,触发外地代理3返回代理应答。
所述SAVI设备2,包括:
直接注册监听模块21,用于监听所述移动节点直接使用配置转交地址向家乡代理进行移动注册的过程,并提取所述移动节点的家乡地址,建立动态的家乡地址到移动节点的绑定;
所述直接注册监听模块21,执行下列操作:
通过监听所述地址分配,绑定所述移动节点的配置转交地址,建立绑定状态表项和过滤表项;
提取移动注册请求中移动节点的家乡地址和ID信息,在绑定状态表中创建新绑定项,状态标记为PENDING;并转发该移动注册请求;
监听家乡代理返回的注册回复,更新所述绑定状态表和过滤表:
若注册回复指示注册成功,提取ID和生存时间,更新绑定状态表中对应项,将绑定状态表中生存时间设为回复生存时间,状态转为BOUND,在过滤表中创建新过滤项目;
若注册回复指示注册失败,所述SAVI设备删除绑定状态表中对应的项;
转发所述注册回复;
间接注册监听模块22,用于监听所述移动节点使用家乡地址通过外地代理向家乡代理进行移动注册的过程,并提取所述移动节点的家乡地址,建立动态的家乡地址到移动节点的绑定。
所述间接注册监听模块22,执行如下操作:
从所述移动节点根据通告中的转交地址向外地代理发送的注册请求中提取移动节点的家乡地址/网络访问标识以及ID信息,在绑定状态表中创建新绑定项,标记状态为PENDING,生存时间设为PENDING_TIME;并转发所述注册请求;
若监听到拒绝移动节点注册的拒绝注册回复,删除绑定状态表中对应的表项;转发所述拒绝注册回复;
若监听到外地代理发送的注册回复,则根据外地代理发回的注册回复,提取ID,生存时间信息,更新绑定注册表和过滤表:
若所述注册回复指示注册成功,则将绑定状态表中生存时间设置为回复生存时间,同时所述SAVI设备将绑定状态表中对应项状态转为BOUND,在过滤表中建立新过滤项;
若所述注册回复指示失败,则所述SAVI设备删除绑定状态表中对应项;
处理完注册回复后正常转发所述注册回复。
采用本发明的源地址验证方法对数据分组进行处理的流程分为:
对SAVI--MN属性锚点接收到的分组:
1)如果分组是Agent Solicitation分组,允许通过,SAVI正常转发分组;
2)如果分组是Registration Request分组,在BST表中建立新的项,记录MN的注册请求信息,包括HoA,CoA,ID等,同时状态转为PENDING,然后转发这个请求;
3)如果是其他分组,SAVI查询FT表,如果源地址绑定存在,则允许通过;否则丢弃。
对SAVI可信锚点接收的分组:
1)如果分组是Registration Reply分组,查找BST中匹配的请求,如果存在匹配项,并且状态为PENDING,则从Reply中提取Reply.LifeTime等信息,更新BST表,将状态由PENDING转为BOUND,同时在FT表中建立过滤项。否则执行其他正常操作流程。
2)其他分组,执行其他正常操作流程。
对于其他正常操作流程是指在没有支持移动环境时,SAVI为各种地址分配方式而执行的操作。
下面结合两个实施例详细介绍本发明:
实施例1:MN使用外地代理CoA模式下的SAVI增强方案
通过FA进行移动注册时,MN使用HoA或者使用0地址作为源地址(注册的Reply中返回MN的HoA),MN将注册请求发送给FA,然后由FA再将请求发送给HA。具体流程如下:
1)MN发送Agent Solicitation,目的是触发FA的Agent Advertisement;这一步不是必须的,MN接收到当FA周期性Agent Advertisement后则不发送Agent Solicitation;
2)FA发送Agent Advertisement,指示MN必须通过FA进行注册,通告中包含了CoA地址;
3)MN根据通告的CoA向FA发送Registration Request;
4)SAVI从Registration Request中提取MN的HoA/NAI,Identification等信息,在BST表中创建新绑定项,标记状态为PENDING,LifeTime设为PENDING_TIME;
表11.BST新建绑定
5)SAVI正常转发Registration Request;
6)FA处理Registration Request,包括对MN的认证等;
7)根据FA是否接受MN注册分为两种:
7-1)FA拒绝MN注册,则返回拒绝Registration Reply,转8-1;
7-2)FA接受MN注册,向HA发送Registration Request,转8-2;
8)根据第七步FA是否接受MN注册分为两种:
8-1)SAVI监听到拒绝MN注册的Reply,说明FA不接受MN的注册,因此无需为MN建立绑定,删除BST中对应的表项,转9-1;
8-2)HA处理Registration Request,包括对FA,对MN的验证操作等,转9-2;
9)根据第七步FA是否接受MN注册分为两种:
9-1)SAVI从可信锚点接收到FA的Reply,SAVI正常转发Reply;
9-2)HA发送Registration Reply;
10)FA处理HA发回的Reply,包括FA对HA的验证等;
11)FA发送Reply,通告MN其注册请求是否被接受;
12)SAVI根据FA发回的Reply,提起ID,LifeTime等信息,更新BST和FT,包括如下两种情况:
●如果Reply指示注册成功,则将BST中LifeTime设置为Reply.LifeTime,同时SAVI将BST中对应项状态转为BOUND,在FT表中建立新过滤项;
表12.FT新建过滤项
| Anchor | Address |
| MN_Anchor | MN_HoA |
●如果Reply指示失败,则SAVI删除BST中对应项;
13)SAVI处理完Reply后正常转发Reply;
14)MN处理Reply,包括MN对FA以及HA的验证等;
15)如果MN移动注册成功,之后SAVI根据FT对MN进行源地址验证;如果注册失败,MN的通信将被过滤。
实施例2:Mn使用Co-located CoA模式下的SAVI增强方案
MN直接向HA进行移动注册时,要求MN必须具有Co-located CoA地址。Co-located的CoA地址可以是MN通过其他的地址分配方式(如DHCP等)获得的驻留地网络内的地址。此时MN可以直接使用HoA进行通信而不需要FA帮助,这种模式下MN可以直接使用Co-located CoA地址向HA进行移动注册。
具体流程如下:
1)目的是触发FA的Agent Advertisement;这一步不是必须的,MN接收到当FA周期性Agent Advertisement后则不发送Agent Solicitation;
2)FA发送Agent Advertisement,指示MN使用Co-located直接向HA进行移动注册;
3)MN执行地址分配过程,获得Co-located CoA。Co-located CoA是MN驻留地子网内的地址,MN称为驻留地子网内的合法主机。SAVI则根据MN所采用的地址分配方式需要为MN建立正常的子网内地址绑定;
4)SAVI通过监听该地址分配,绑定MN的Co-located CoA;
BST加入如下条目:
表13BST新建项
| Anchor | Address | State | LifeTime | Other |
| MN_Anchor | MN_CoA | BOUND | BOUND_TIME | MN_Other |
FT中加入如下条目:
表14FT新建过滤项
| Anchor | Address |
| MN_Anchor | MN_CoA |
5)MN使用Co-located CoA直接向HA发送移动Registration Request;
6)SAVI监听该注册,提取MN的HoA,ID等信息,在BST中创建新绑定项,状态标记为PENDING;BST中加入如下条目:
表15BST新建项
7)SAVI转发该Request;
8)HA接受到MN的Request,处理该Reques,包括对MN的验证等;
9)HA返回注册Reply,通告注册请求结果;
10)SAVI监听该注册Reply,更新BST和FT:
●如果Reply指示注册成功,提取ID,LifeTime等信息,SAVI更新BST中对应项,将BST中LifeTime设为Reply.LifeTime,状态转为BOUND,FT中创建新过滤项目;FT中加入如下条目:
表16FT新建过滤项
| Anchor | Address |
| MN_Anchor | MN_HoA |
●如果Reply指示注册失败,SAVI删除BST中对应的项;
11)SAVI正常转发Reply;
12)MN处理Reply,包括MN对HA的验证等;
13)如果MN移动注册成功,之后SAVI根据FT表对MN进行源地址验证;如果注册失败,MN的通信将被过滤。
本发明的有益效果在于:
1.通过监听MN的移动过程,可以实现动态为MN建立地址绑定,对MN进行源地址的过滤;同时这种被动监听的方式能够对主机透明,无需对主机进行任何改变。
2.将移动注册的生命值作为MN的HoA的有效绑定时间,实现在注册的生命周期之内对移动节点进行源地址验证。
3.通过引入SAVI--MN属性,只允许MN连接到具有SAV--MN属性的锚点上。SAVI只在具有SAVI--MN属性的锚点对移动节点进行源地址验证,SAVI可以同时进行着多种地址分配方式下的源地址验证,实现有效的管理。
通过结合附图对本发明具体实施例的描述,本发明的其它方面及特征对本领域的技术人员而言是显而易见的。
以上对本发明的具体实施例进行了描述和说明,这些实施例应被认为其只是示例性的,并不用于对本发明进行限制,本发明应根据所附的权利要求进行解释。
Claims (9)
1.一种源地址验证方法,其特征在于,所述方法,包括下列步骤:
步骤100.移动节点接收外地代理的周期性的代理通告,并根据代理通告的指示信息,进行对应的移动注册;其中,所有的移动节点必须通过SAVI设备接入网络,移动节点处于保护边界之外,外地代理置于保护边界之内,其中,具有所述SAVI--MN属性的锚点包含两类操作:监听MN的移动注册消息,为MN建立动态绑定信息;根据FT对分组进行过滤;
步骤200.SAVI设备监听所述移动节点的移动注册过程,通过监听到的移动注册过程为移动节点建立动态的家乡地址到可信锚点的绑定,其中,所述绑定包括在过滤表中加入移动节点的家乡地址与成功绑定的可信锚点的过滤项;
步骤300.所述SAVI设备根据所述过滤表对所述移动节点通信的数据分组进行源地址验证。
2.根据权利要求1所述的源地址验证方法,其特征在于,所述步骤200,包括下列步骤:
步骤210.所述移动节点直接使用配置转交地址向家乡代理进行移动注册,所述SAVI设备监听所述注册,提取所述移动节点的家乡地址,建立动态的家乡地址到移动节点的绑定;
步骤220.所述移动节点使用家乡地址通过外地代理向家乡代理进行移动注册,SAVI设备监听所述注册,提取所述移动节点的家乡地址,建立动态的家乡地址到移动节点的绑定。
3.根据权利要求2所述的源地址验证方法,其特征在于,所述步骤210,包括下列步骤:
步骤211.所述移动节点执行地址分配过程,获得配置转交地址;
步骤212.所述SAVI设备通过监听该地址分配,绑定所述移动节点的配置转交地址,建立绑定状态表项和过滤表项;
步骤213.所述移动节点使用配置转交地址直接向家乡代理发送移动注册请求;
步骤214.所述SAVI设备监听该注册,提取所述移动节点的家乡地址和ID信息,在绑定状态表中创建新绑定项,状态标记为PENDING;
步骤215.所述SAVI设备转发该移动注册请求;
步骤216.家乡代理接收到所述移动注册请求,处理该移动注册请求,返回注册回复,通告注册请求结果;
步骤217.所述SAVI设备监听该注册回复,更新所述绑定状态表和过滤表:
若注册回复指示注册成功,提取ID和生存时间,更新绑定状态表中对应项,将绑定状态表中生存时间设为回复生存时间,状态转为BOUND,在过滤表中创建新过滤项目;
若注册回复指示注册失败,所述SAVI设备删除绑定状态表中对应的项;
步骤218.所述SAVI设备转发所述注册回复;
步骤219.所述移动节点处理所述注册回复,包括移动节点对家乡代理的验证。
4.根据权利要求2所述的源地址验证方法,其特征在于,所述步骤220,包括下列步骤:
步骤221.所述移动节点根据通告中的转交地址向外地代理发送注册请求;
步骤222.所述SAVI设备从所述注册请求中提取移动节点的家乡地址、网络访问标识以及ID信息,在绑定状态表中创建新绑定项,标记状态为PENDING,生存时间设为PENDING_TIME;
步骤223.所述SAVI设备正常转发所述注册请求;
步骤224.外地代理处理所述注册请求,包括对移动节点的认证,若外地代理拒绝移动节点注册,则返回拒绝注册回复,执行步骤225;若外地代理接收移动节点注册,向家乡代理发送注册请求,执行步骤226;
步骤225.所述SAVI设备监听到拒绝移动节点注册的拒绝注册回复,删除绑定状态表中对应的表项;所述SAVI设备转发所述拒绝注册回复;
步骤226.所述家乡代理处理所述注册请求,包括对外地代理、对移动节点的验证操作;所述家乡代理发送注册回复;
步骤227.所述外地代理处理家乡代理发回的注册回复,包括外地代理对家乡代理的验证;同时,外地代理发送注册回复,通告移动节点其注册请求是否被接受;
步骤228.所述SAVI设备根据外地代理发回的注册回复,提取ID、生存时间信息,更新绑定状态表和过滤表:
若所述注册回复指示注册成功,则将绑定状态表中生存时间设置为回复生存时间,同时所述SAVI设备将绑定状态表中对应项状态转为BOUND,在过滤表中建立新过滤项;
若所述注册回复指示失败,则所述SAVI设备删除绑定状态表中对应项;
步骤229.所述SAVI设备处理完注册回复后正常转发所述注册回复;
步骤2210.所述移动节点处理所述注册回复,包括移动节点对外地代理以及家乡代理的验证。
5.根据权利要求1所述的源地址验证方法,其特征在于,所述步骤100之前,包括:
步骤100’.在网络环境中部署SAVI设备,设置具有SAVI--MN属性的锚点。
6.一种源地址验证系统,包括:移动节点、SAVI设备、外地代理和家乡代理,其特征在于,还包括具有SAVI--MN属性的锚点,所有的移动节点必须通过SAVI设备接入网络,移动节点处于保护边界之外,外地代理置于保护边界之内,其中:
所述移动节点,接收外地代理的周期性的代理通告,并根据代理通告的指示信息,进行对应的移动注册;
所述SAVI设备,监听所述移动节点的移动注册过程,通过监听到的移动注册过程为移动节点建立动态的家乡地址到可信锚点的绑定,其中,所述绑定包括在过滤表中加入移动节点的家乡地址与成功绑定的可信锚点的过滤项;并根据所述过滤表对所述移动节点通信的数据分组进行源地址验证;
其中,具有所述SAVI--MN属性的锚点包含两类操作:监听MN的移动注册消息,为MN建立动态绑定信息;根据FT对分组进行过滤。
7.根据权利要求6所述的源地址验证系统,其特征在于,所述SAVI设备,包括:
直接注册监听模块,用于监听所述移动节点直接使用配置转交地址向家乡代理进行移动注册的过程,并提取所述移动节点的家乡地址,建立动态的家乡地址到移动节点的绑定;
间接注册监听模块,用于监听所述移动节点使用家乡地址通过外地代理向家乡代理进行移动注册的过程,并提取所述移动节点的家乡地址,建立动态的家乡地址到移动节点的绑定。
8.根据权利要求7所述的源地址验证系统,其特征在于,所述直接注册监听模块,执行下列操作:
通过监听地址分配,绑定所述移动节点的配置转交地址,建立绑定状态表项和过滤表项;
提取移动注册请求中移动节点的家乡地址和ID信息,在绑定状态表中创建新绑定项,状态标记为PENDING;并转发该移动注册请求;
监听家乡代理返回的注册回复,更新所述绑定状态表和过滤表:
若注册回复指示注册成功,提取ID和生存时间,更新绑定状态表中对应项,将绑定状态表中生存时间设为回复生存时间,状态转为BOUND,在过滤表中创建新过滤项目;
若注册回复指示注册失败,所述SAVI设备删除绑定状态表中对应的项;
转发所述注册回复。
9.根据权利要求7所述的源地址验证系统,其特征在于,所述间接注册监听模块,执行如下操作:
从所述移动节点根据通告中的转交地址向外地代理发送的注册请求中提取移动节点的家乡地址、网络访问标识以及ID信息,在绑定状态表中创建新绑定项,标记状态为PENDING,生存时间设为PENDING_TIME;并转发所述注册请求;
若监听到拒绝移动节点注册的拒绝注册回复,删除绑定状态表中对应的表项;转发所述拒绝注册回复;
若监听到外地代理发送的注册回复,则根据外地代理发回的注册回复,提取ID、生存时间信息,更新绑定状态表和过滤表:
若所述注册回复指示注册成功,则将绑定状态表中生存时间设置为回复生存时间,同时所述SAVI设备将绑定状态表中对应项状态转为BOUND,在过滤表中建立新过滤项;
若所述注册回复指示失败,则所述SAVI设备删除绑定状态表中对应项;
处理完注册回复后正常转发所述注册回复。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110008486 CN102123376B (zh) | 2011-01-14 | 2011-01-14 | 一种源地址验证方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110008486 CN102123376B (zh) | 2011-01-14 | 2011-01-14 | 一种源地址验证方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102123376A CN102123376A (zh) | 2011-07-13 |
| CN102123376B true CN102123376B (zh) | 2013-09-25 |
Family
ID=44251790
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201110008486 Expired - Fee Related CN102123376B (zh) | 2011-01-14 | 2011-01-14 | 一种源地址验证方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102123376B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102017120505A1 (de) * | 2016-09-12 | 2018-03-15 | Hyundai Motor Company | System zur Verifikation einer unregistrierten Vorrichtung basierend auf Informationen eines Ethernet-Switchs und Verfahren für dasselbige |
| CN107294961A (zh) * | 2017-06-09 | 2017-10-24 | 华南理工大学 | 一种用户真实信息安全认证系统和方法 |
| CN110224980B (zh) * | 2019-05-05 | 2020-10-27 | 清华大学 | 一种可信mptcp传输方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101102589A (zh) * | 2006-07-04 | 2008-01-09 | 华为技术有限公司 | 移动通信系统及其寻呼方法 |
| CN101237394A (zh) * | 2007-01-31 | 2008-08-06 | 华为技术有限公司 | 锚点设备、处理多接口移动台报文的方法及系统 |
| CN101621513A (zh) * | 2009-07-20 | 2010-01-06 | 清华大学 | 规范接入子网内源地址验证方案的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8280374B2 (en) * | 2006-08-04 | 2012-10-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Policy management in a roaming or handover scenario in an IP network |
-
2011
- 2011-01-14 CN CN 201110008486 patent/CN102123376B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101102589A (zh) * | 2006-07-04 | 2008-01-09 | 华为技术有限公司 | 移动通信系统及其寻呼方法 |
| CN101237394A (zh) * | 2007-01-31 | 2008-08-06 | 华为技术有限公司 | 锚点设备、处理多接口移动台报文的方法及系统 |
| CN101621513A (zh) * | 2009-07-20 | 2010-01-06 | 清华大学 | 规范接入子网内源地址验证方案的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102123376A (zh) | 2011-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102045314B (zh) | 匿名通信的方法、注册方法、信息收发方法及系统 | |
| CN1901449B (zh) | 一种网络接入的方法和网络通信系统 | |
| CN102685712B (zh) | 一种身份位置分离网络中的映射服务器及其实现方法 | |
| CN102014142B (zh) | 一种源地址验证方法和系统 | |
| CN101572712A (zh) | 一种防止伪造报文攻击的方法和中继设备 | |
| CN1720757A (zh) | 用于分组数据服务发现的方法和装置 | |
| CN102882853A (zh) | 一种互联网用户身份验证的系统和方法 | |
| CN105828413A (zh) | 一种d2d模式b发现的安全方法、终端和系统 | |
| CN107005430B (zh) | 一种基于数据链路层的通信方法、设备和系统 | |
| CN103067215A (zh) | 实现心跳机制的方法、应用服务器、网络数据库及系统 | |
| CN102123376B (zh) | 一种源地址验证方法和系统 | |
| CN109089263A (zh) | 一种报文处理方法及装置 | |
| CN104253798A (zh) | 一种网络安全监控方法和系统 | |
| CN102752266B (zh) | 访问控制方法及其设备 | |
| US10129749B2 (en) | Method and device for acquiring response message, method and device for routing response message, and system for acquiring response message and routing response message | |
| CN102752746B (zh) | 一种认证通知方法及系统 | |
| CN101170469B (zh) | 注册信息处理方法、数据处理装置与系统 | |
| CN101123575B (zh) | 一种支持混合ip的多主机接入方法、系统及设备 | |
| CN101426002B (zh) | 一种IPv6网络中的移动节点注册方法、系统及装置 | |
| CN102594808A (zh) | 一种防止DHCPv6服务器欺骗的系统及方法 | |
| CN103188662B (zh) | 一种验证无线接入点的方法以及装置 | |
| CN102918878B (zh) | 报文发送方法和装置 | |
| CN104052753B (zh) | 一种认证方法和设备 | |
| CN101163056B (zh) | 用于微波接入全球互通系统的监听标识的处理方法 | |
| CN105052183A (zh) | 近距离发现方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130925 Termination date: 20210114 |