CN107197461B - 一种基于Linux系统的ipv6报文重定向方法 - Google Patents

一种基于Linux系统的ipv6报文重定向方法 Download PDF

Info

Publication number
CN107197461B
CN107197461B CN201710433976.1A CN201710433976A CN107197461B CN 107197461 B CN107197461 B CN 107197461B CN 201710433976 A CN201710433976 A CN 201710433976A CN 107197461 B CN107197461 B CN 107197461B
Authority
CN
China
Prior art keywords
message
redirection
control module
access control
authentication message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710433976.1A
Other languages
English (en)
Other versions
CN107197461A (zh
Inventor
郝东东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Gbcom Communication Technology Co ltd
Original Assignee
Shanghai Gbcom Communication Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Gbcom Communication Technology Co ltd filed Critical Shanghai Gbcom Communication Technology Co ltd
Priority to CN201710433976.1A priority Critical patent/CN107197461B/zh
Publication of CN107197461A publication Critical patent/CN107197461A/zh
Application granted granted Critical
Publication of CN107197461B publication Critical patent/CN107197461B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供一种基于Linux系统的ipv6报文重定向方法,包括:采用无线终端发送一请求认证报文;采用无线访问控制模块接收请求认证报文并判断无线终端是否已通过认证:若是,则放行请求认证报文;若否,则查找重定向查找表中是否存在请求认证报文的源地址和源网络端口:若是,则更新重定向查找表,将请求认证报文的目的地址更改为无线访问控制模块的网络地址及将目的端口更改为无线访问控制模块的portal监听端口,放行报文;若否,则将请求认证报文的源地址和源网络端口记录到重定向查找表中及将请求认证报文的目的地址和目的网络端口记录到重定向查找表中。本发明的有益效果:能够满足多用户同时查表时,转发性能不下降且减少HASH冲突。

Description

一种基于Linux系统的ipv6报文重定向方法
技术领域
本发明涉及网络安全接入技术领域,尤其涉及一种基于Linux系统的ipv6报文重定向方法。
背景技术
WLAN指应用无线通信技术将计算机设备互联起来,构成可以互相通信和实现资源共享的网络体系。它具有灵活性和移动性,安装便捷和易于扩展等优点。WLAN用户连接到网络的方式有Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。当用户试图通过HTTP访问其他外网时,其接入设备就将用户强制重定向至门户网站进行认证,输入用户名和密码进行认证,在认证通过后才可以使用互联网资源。IPv6技术在WLAN网络中已经开始逐步部署与应用。如何保证IPv6用户安全地接入WLAN网络是无线网络应用面临的新问题。
Ipv6协议没有网络地址转换(Network Address Translation,NAT)功能,实际无线访问控制(Wireless Access Point Controller,AC)业务中,需要对未认证的ipv6用户报文进行重定向(Redirect),以便完成认证。
现有技术中,会在linux操作系统的内核模块中维护一张ipv6的重定向地址表,当大量ipv6用户同时查表,可能会造成转发性能有所下降;同时,该重定向地址表即重定向HASH表,使用IP+端口的二元组作为HASH关键字,在多用户情况下,HASH冲突概率较大。
发明内容
针对现有技术中存在的问题,本发明提供了一种满足多用户同时查表时,转发性能不下降且减少HASH冲突的基于Linux系统的ipv6报文重定向方法。
本发明采用如下技术方案:
一种基于Linux系统的ipv6报文重定向方法,预先设定一重定向查找表,所述重定向查找表中包括多个数组元素,每个所述数组元素中包括一个网络地址以及对应的一个网络端口;
所述ipv6报文重定向方法中还包括一上行数据传输方法,所述上行数据传输方法具体包括:
步骤Sa1、采用无线终端发送一请求认证报文;
步骤Sa2、采用远程连接所述无线终端的无线访问控制模块接收所述请求认证报文并判断所述无线终端是否已通过认证:
若判断结果为是,则所述无线访问控制模块放行所述请求认证报文以完成重定向;
若判断结果为否,则转步骤Sa3;
步骤Sa3、所述无线访问控制模块查找所述重定向查找表中是否存在有所述数组元素包括所述请求认证报文的源地址和源网络端口:
若判断结果为是,则转步骤Sa4;
若判断结果为否,则所述无线访问控制模块将所述请求认证报文的源地址和源网络端口形成的所述数组元素记录到所述重定向查找表中,以及将所述请求认证报文的目的地址和目的网络端口形成的所述数组元素记录到所述重定向查找表中;
步骤Sa4、所述无线访问控制模块更新所述重定向查找表,随后将所述请求认证报文的目的地址更改为所述无线访问控制模块的网络地址,以及将所述请求认证报文的目的端口更改为所述无线访问控制模块的portal监听端口,随后放行所述请求认证报文以完成重定向。
优选的,所述步骤Sa3中,所述无线访问控制模块将所述请求认证报文的源地址和源网络端口形成的所述数组元素记录到所述重定向查找表中,以及将所述请求认证报文的目的地址和目的网络端口形成的所述数组元素记录到所述重定向查找表中后,启动一定时器。
优选的,所述步骤Sa4中,所述无线访问控制模块更新所述重定向查找表后,重设所述定时器,随后将所述请求认证报文的目的地址更改为所述无线访问控制模块的网络地址,以及将所述请求认证报文的目的端口更改为所述无线访问控制模块的portal监听端口,随后放行所述请求认证报文以完成重定向。
优选的,所述步骤Sa4中,在放行所述请求认证报文之前,所述无线访问控制模块还对所述请求认证报文执行报文验证操作,并在所述请求认证报文通过验证后再放行所述请求认证报文。
优选的,在执行所述步骤Sa4后,所述无线访问控制模块将所述请求认证报文发送至远程连接的一Portal服务器进行报文认证;
所述Portal服务器在接收所述请求认证报文后经过认证并向所述无线访问控制模块反馈一对应的认证报文。
优选的,还包括一下行数据发送方法;
所述下行数据发送方法具体包括:
步骤Sb1、所述无线访问控制模块接收所述Portal服务器下发的所述认证报文;
步骤Sb2、所述无线访问控制模块反向查找所述重定向查找表并判断所述重定向查找表中是否存在有所述数组元素包括所述认证报文的目的地址和目的网络端口:
若判断结果为是,则所述无线访问控制模块根据所述重定向表中查找得到的所述数组元素,将所述认证报文的源地址修改为所述数组元素中的所述网络地址,以及将所述认证报文的源网络端口修改为所述数组元素中的所述网络端口,以完成重定向;
若判断结果为否,则所述无线访问控制模块放行所述认证报文以完成重定向。
优选的,在放行所述认证报文之前,所述无线访问控制模块还对所述认证报文执行报文验证操作,并在所述认证报文通过验证后再放行所述认证报文。
优选的,所述无线访问控制模块为无线访问控制器。
本发明的有益效果是:通过配置一定规则配合第三方的工具作为无线访问控制模块来针对ipv6进行特殊配置处理,无线访问控制模块与内核模块耦合度很低,无论内核版本如何演进,无线访问控制模块都可以适配;无线访问控制模块可以灵活配置有关ipv6业务相关功能,无线访问控制模块完全独立开发实现,灵活度比较高,不依赖任何第三方软件和工具,能够满足多用户同时查表时,转发性能不下降且减少HASH冲突。
附图说明
图1为本发明的一种优选实施例中,上行数据发送方法的流程图;
图2为本发明的一种优选实施例中,下行数据发送方法的流程图。
具体实施方式
需要说明的是,在不冲突的情况下,下述技术方案,技术特征之间可以相互组合。
下面结合附图对本发明的具体实施方式作进一步的说明:
如图1所示,一种基于Linux系统的ipv6报文重定向方法,预先设定一重定向查找表,上述重定向查找表中包括多个数组元素,每个上述数组元素中包括一个网络地址以及对应的一个网络端口;
上述ipv6报文重定向方法中还包括一上行数据传输方法,上述上行数据传输方法具体包括:
步骤Sa1、采用无线终端发送一请求认证报文;
步骤Sa2、采用远程连接上述无线终端的无线访问控制模块接收上述请求认证报文并判断上述无线终端是否已通过认证:
若判断结果为是,则上述无线访问控制模块放行上述请求认证报文以完成重定向;
若判断结果为否,则转步骤Sa3;
步骤Sa3、上述无线访问控制模块查找上述重定向查找表中是否存在有上述数组元素包括上述请求认证报文的源地址和源网络端口:
若判断结果为是,则转步骤Sa4;
若判断结果为否,则上述无线访问控制模块将上述请求认证报文的源地址和源网络端口形成的上述数组元素记录到上述重定向查找表中,以及将上述请求认证报文的目的地址和目的网络端口形成的上述数组元素记录到上述重定向查找表中;
步骤Sa4、上述无线访问控制模块更新上述重定向查找表,随后将上述请求认证报文的目的地址更改为上述无线访问控制模块的网络地址,以及将上述请求认证报文的目的端口更改为上述无线访问控制模块的portal监听端口,随后放行上述请求认证报文以完成重定向。
在本实施例中,无线访问控制模块收到无线终端ipv6http报文(请求认证报文),判定认证状态,已认证,放行。未认证,则继续下一步;
未认证的ipv6报文,用源IP和源网络端口作为HASH元素查找重定向表,未找到,则新建,记录报文的源IP和目的IP,源网络端口和目的网络端口,启动定时器;找到,则更新表项;
修改报文的目的IPv6地址为本机地址,目的网络端口为本机portal监听端口。
上述无线访问控制模块为无线访问控制器(Wireless Access PointController,AC)。AC支持IPV6协议的重定向功能,从而可以实现针对IPV6协议的portal认证等各种功能。
通过配置一定规则配合第三方的工具作为无线访问控制模块来针对ipv6进行特殊配置处理,AC与内核模块耦合度很低,无论内核版本如何演进,AC都可以适配;AC可以灵活配置有关ipv6业务相关功能,AC完全独立开发实现,灵活度比较高,不依赖任何第三方软件和工具,能够满足多用户同时查表时,转发性能不下降且减少
HASH冲突。
较佳的实施例中,上述步骤Sa3中,上述无线访问控制模块将上述请求认证报文的源地址和源网络端口形成的上述数组元素记录到上述重定向查找表中,以及将上述请求认证报文的目的地址和目的网络端口形成的上述数组元素记录到上述重定向查找表中后,启动一定时器。
较佳的实施例中,上述步骤Sa4中,上述无线访问控制模块更新上述重定向查找表后,重设上述定时器,随后将上述请求认证报文的目的地址更改为上述无线访问控制模块的网络地址,以及将上述请求认证报文的目的端口更改为上述无线访问控制模块的portal监听端口,随后放行上述请求认证报文以完成重定向。
较佳的实施例中,上述步骤Sa4中,在放行请求认证报文之前,无线访问控制模块还对请求认证报文执行报文验证操作,并在请求认证报文通过验证后再放行请求认证报文,即上述无线访问控制模块计算上述请求认证报文不存在校验和缺陷后放行上述请求认证报文。
在本实施例中,重新计算报文不存在单一性缺陷后,放行报文。
较佳的实施例中,在执行上述步骤Sa4后,上述无线访问控制模块将上述请求认证报文发送至远程连接的一Portal服务器进行报文认证;
上述Portal服务器在接收上述请求认证报文后经过认证并向上述无线访问控制模块反馈一对应的认证报文。
如图2所示,较佳的实施例中,还包括一下行数据发送方法;
上述下行数据发送方法具体包括:
步骤Sb1、上述无线访问控制模块接收上述Portal服务器下发的上述认证报文;
步骤Sb2、上述无线访问控制模块反向查找上述重定向查找表并判断上述重定向查找表中是否存在有上述数组元素包括上述认证报文的目的地址和目的网络端口:
若判断结果为是,则上述无线访问控制模块根据上述重定向表中查找得到的上述数组元素,将上述认证报文的源地址修改为上述数组元素中的上述网络地址,以及将上述认证报文的源网络端口修改为上述数组元素中的上述网络端口,以完成重定向;
若判断结果为否,则上述无线访问控制模块放行上述认证报文以完成重定向。
在本实施例中,下行数据发送流程和上行数据发送流程相似,接收portal发回的ipv6报文,用报文的目的IP,目的网络端口反方向查表,查到,则根据表项中记录的信息修改报文源IP,源网络端口,重新计算报文checksum,放行报文。查不到,直接放行。
较佳的实施例中,上述步骤Sb2中,在放行认证报文之前,无线访问控制模块还对认证报文执行报文验证操作,并在认证报文通过验证后再放行认证报文,即上述无线访问控制模块计算上述认证报文不存在校验和缺陷后放行上述认证报文。
较佳的实施例中,对重定向报文表项实现缓存,减少同一种报文查表次数。
通过说明和附图,给出了具体实施方式的特定结构的典型实施例,基于本发明精神,还可作其他的转换。尽管上述发明提出了现有的较佳实施例,然而,这些内容并不作为局限。
对于本领域的技术人员而言,阅读上述说明后,各种变化和修正无疑将显而易见。因此,所附的权利要求书应看作是涵盖本发明的真实意图和范围的全部变化和修正。在权利要求书范围内任何和所有等价的范围与内容,都应认为仍属本发明的意图和范围内。

Claims (6)

1.一种基于Linux系统的ipv6报文重定向方法,其特征在于,预先设定一重定向查找表,所述重定向查找表中包括多个数组元素,每个所述数组元素中包括一个网络地址以及对应的一个网络端口;
所述ipv6报文重定向方法中还包括一上行数据传输方法,所述上行数据传输方法具体包括:
步骤Sa1、采用无线终端发送一请求认证报文;
步骤Sa2、采用远程连接所述无线终端的无线访问控制模块接收所述请求认证报文并判断所述无线终端是否已通过认证:
若判断结果为是,则所述无线访问控制模块放行所述请求认证报文以完成重定向;
若判断结果为否,则转步骤Sa3;
步骤Sa3、所述无线访问控制模块查找所述重定向查找表中是否存在有所述数组元素包括所述请求认证报文的源地址和源网络端口:
若判断结果为是,则转步骤Sa4;
若判断结果为否,则所述无线访问控制模块将所述请求认证报文的源地址和源网络端口形成的所述数组元素记录到所述重定向查找表中,以及将所述请求认证报文的目的地址和目的网络端口形成的所述数组元素记录到所述重定向查找表中后,转入步骤Sa4;
步骤Sa4、所述无线访问控制模块更新所述重定向查找表,随后将所述请求认证报文的目的地址更改为所述无线访问控制模块的网络地址,以及将所述请求认证报文的目的端口更改为所述无线访问控制模块的portal监听端口,随后放行所述请求认证报文以完成重定向。
2.根据权利要求1所述的ipv6报文重定向方法,其特征在于,所述步骤Sa4中,在放行所述请求认证报文之前,所述无线访问控制模块还对所述请求认证报文执行报文验证操作,并在所述请求认证报文通过验证后再放行所述请求认证报文。
3.根据权利要求1所述的ipv6报文重定向方法,其特征在于,在执行所述步骤Sa4后,所述无线访问控制模块将所述请求认证报文发送至远程连接的一Portal服务器进行报文认证;
所述Portal服务器在接收所述请求认证报文后经过认证并向所述无线访问控制模块反馈一对应的认证报文。
4.根据权利要求3所述的ipv6报文重定向方法,其特征在于,还包括一下行数据发送方法;
所述下行数据发送方法具体包括:
步骤Sb1、所述无线访问控制模块接收所述Portal服务器下发的所述认证报文;
步骤Sb2、所述无线访问控制模块反向查找所述重定向查找表并判断所述重定向查找表中是否存在有所述数组元素包括所述认证报文的目的地址和目的网络端口:
若判断结果为是,则所述无线访问控制模块根据所述重定向表中查找得到的所述数组元素,将所述认证报文的源地址修改为所述数组元素中的所述网络地址,以及将所述认证报文的源网络端口修改为所述数组元素中的所述网络端口,以完成重定向;
若判断结果为否,则所述无线访问控制模块放行所述认证报文以完成重定向。
5.根据权利要求4所述的ipv6报文重定向方法,其特征在于,所述步骤Sb2中,在放行所述认证报文之前,所述无线访问控制模块还对所述认证报文执行报文验证操作,并在所述认证报文通过验证后再放行所述认证报文。
6.根据权利要求1所述的ipv6报文重定向方法,其特征在于,所述无线访问控制模块为无线访问控制器。
CN201710433976.1A 2017-06-09 2017-06-09 一种基于Linux系统的ipv6报文重定向方法 Active CN107197461B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710433976.1A CN107197461B (zh) 2017-06-09 2017-06-09 一种基于Linux系统的ipv6报文重定向方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710433976.1A CN107197461B (zh) 2017-06-09 2017-06-09 一种基于Linux系统的ipv6报文重定向方法

Publications (2)

Publication Number Publication Date
CN107197461A CN107197461A (zh) 2017-09-22
CN107197461B true CN107197461B (zh) 2020-06-12

Family

ID=59877980

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710433976.1A Active CN107197461B (zh) 2017-06-09 2017-06-09 一种基于Linux系统的ipv6报文重定向方法

Country Status (1)

Country Link
CN (1) CN107197461B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111935021B (zh) * 2020-09-27 2020-12-25 翱捷智能科技(上海)有限公司 一种快速匹配网络数据包的方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101651696A (zh) * 2009-09-17 2010-02-17 杭州华三通信技术有限公司 一种防止nd攻击的方法及装置
CN101873329A (zh) * 2010-06-29 2010-10-27 迈普通信技术股份有限公司 一种Portal强制认证方法以及接入设备
CN103825881A (zh) * 2013-12-13 2014-05-28 福建三元达通讯股份有限公司 基于无线访问控制器ac实现wlan用户的重定向方法及装置
CN106453409A (zh) * 2016-11-28 2017-02-22 迈普通信技术股份有限公司 一种报文处理方法及接入设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9332054B2 (en) * 2012-04-04 2016-05-03 Aruba Networks, Inc. Captive portal redirection using display layout information

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101651696A (zh) * 2009-09-17 2010-02-17 杭州华三通信技术有限公司 一种防止nd攻击的方法及装置
CN101873329A (zh) * 2010-06-29 2010-10-27 迈普通信技术股份有限公司 一种Portal强制认证方法以及接入设备
CN103825881A (zh) * 2013-12-13 2014-05-28 福建三元达通讯股份有限公司 基于无线访问控制器ac实现wlan用户的重定向方法及装置
CN106453409A (zh) * 2016-11-28 2017-02-22 迈普通信技术股份有限公司 一种报文处理方法及接入设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
利用接入交换机做Web认证准入控制分析;吴治国;《中国高新技术企业》;20100801(第157期);第90-91页 *
基于接入交换机的Web认证研究与实现;高亚军;《中国优秀硕士学位论文全文数据库(电子期刊)》;20140115(第1期);第18-38页 *

Also Published As

Publication number Publication date
CN107197461A (zh) 2017-09-22

Similar Documents

Publication Publication Date Title
US9515988B2 (en) Device and method for split DNS communications
US11240314B2 (en) Systems and methods for remote management of appliances
EP3032859B1 (en) Access control method and system, and access point
EP3557822A1 (en) Fully qualified domain name-based traffic control for virtual private network access control
WO2015101125A1 (zh) 网络接入控制方法和设备
US8893255B1 (en) Device authentication using device-specific proxy addresses
EP1708528A1 (en) Location based authentication
CN106878135B (zh) 一种连接方法及装置
US8543676B2 (en) Delegated resource use in a content based routing environment
US20160234307A1 (en) Data transmission method, device, and system
CN105284178A (zh) 配置无线附件设备
US20070011744A1 (en) Methods and systems for providing security from malicious software
US8176161B2 (en) Method and system for content-based routing of network traffic
EP3056047A1 (en) Wireless network service type
EP4140114A1 (en) Password-less wireless authentication
CN107197461B (zh) 一种基于Linux系统的ipv6报文重定向方法
WO2014166078A1 (zh) 数据发送处理方法及路由器
CN101945053A (zh) 一种报文的发送方法和装置
US9413553B2 (en) Network access control based on risk factor
US11496504B2 (en) SSL proxy whitelisting
WO2018109442A1 (en) Controlling access and accessing a traffic network in a high density environment
US20200053578A1 (en) Verification of wireless network connection
CN113347627B (zh) 无线网络接入方法、装置和移动终端
WO2024067955A1 (en) Initiation of seconday authentication for a subscriber entity

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant