CN107707685A - 一种无线路由器访问控制方法 - Google Patents

一种无线路由器访问控制方法 Download PDF

Info

Publication number
CN107707685A
CN107707685A CN201710874732.7A CN201710874732A CN107707685A CN 107707685 A CN107707685 A CN 107707685A CN 201710874732 A CN201710874732 A CN 201710874732A CN 107707685 A CN107707685 A CN 107707685A
Authority
CN
China
Prior art keywords
addresses
global
intranet
node
wireless router
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710874732.7A
Other languages
English (en)
Other versions
CN107707685B (zh
Inventor
刘武
孙东红
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsinghua University
Original Assignee
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsinghua University filed Critical Tsinghua University
Priority to CN201710874732.7A priority Critical patent/CN107707685B/zh
Publication of CN107707685A publication Critical patent/CN107707685A/zh
Application granted granted Critical
Publication of CN107707685B publication Critical patent/CN107707685B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • H04L61/3015Name registration, generation or assignment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Abstract

本发明提供一种无线路由器访问控制方法,包括:S1、将第一全局IPv6地址分配给请求接入无线网络的第一内网节点;S2、根据获取的第一内网节点的第二MAC地址和第一内网节点发送的身份标识信息,生成第三全局IPv6地址,并根据第三全局IPv6地址和第一全局IPv6地址进行接入认证。本发明提供的一种无线路由器访问控制方法,通过基于节点的身份标识信息和MAC地址生成的全局IPv6地址进行访问控制,实现了节点身份的实名认证,有效防止了IPv6网络中出现的安全隐患,提高了基于IPv6的无线路由器通信的安全性。

Description

一种无线路由器访问控制方法
技术领域
本发明涉及通信技术领域,更具体地,涉及一种无线路由器访问控制方法。
背景技术
随着互联网技术及其应用的迅猛发展,现有IPv4地址即将耗尽。因此,国际互联网工程任务组(The Internet Engineering Task Force,简称IETF)提出了下一代互联网协议IPv6,不仅解决IPv4地址危机的问题,还提供巨大的地址空间,充分满足移动互联网、车联网和物联网等新技术、新应用的需求。
随着无线上网技术的快速普及,无线路由器在人们工作、生活、学习、娱乐中起着非常重要的作用。无线路由器要在一个非常有限的空间内实现支持移动节点的访问控制非常困难,通常情况下都是依靠开源操作系统的内嵌防火墙工具实现功能非常单一的访问控制措施。
IPv6的核心协议ICMPv6在地址分配、路由、差错控制等诸多方面都起着关键作用,但由于其所有报文都是通过广播的方式全网广播,而且没有认证机制,导致假冒地址、中间人攻击等各种各样的安全问题。因此,现有基于IPv6的无线路由器通信安全性不高。
发明内容
为解决现有存在的基于IPv6的无线路由器通信安全性不高的不足,本发明提供一种无线路由器访问控制方法。
本发明提供一种无线路由器访问控制方法,包括:S1、将第一全局IPv6地址分配给请求接入无线网络的第一内网节点;S2、根据获取的所述第一内网节点的第二MAC地址和所述第一内网节点发送的身份标识信息,生成第三全局IPv6地址,并根据所述第三全局IPv6地址和所述第一全局IPv6地址进行接入认证。
优选地,所述步骤S2进一步包括:S21、根据无线路由器内网网卡全局IPv6地址的前缀地址、所述身份标识信息和所述第二MAC地址生成第三全局IPv6地址,并将所述第三全局IPv6地址与所述第一内网节点发送的第二全局IPv6地址进行对比;S22、当所述第三全局IPv6地址等于所述第二全局IPv6地址时,根据所述身份标识信息,查询节点信息库中所述身份标识信息对应的第一全局IPv6地址,并将所述第一全局IPv6地址与所述第三全局IPv6地址进行对比,当所述第一全局IPv6地址等于所述第三全局IPv6地址时,允许所述第一内网节点接入无线网络。
优选地,所述步骤S21进一步包括:当所述第三全局IPv6地址不等于所述第二全局IPv6地址时,不允许所述第一内网节点接入无线网络;所述步骤22进一步包括:当所述第一全局IPv6地址不等于所述第三全局IPv6地址时,不允许所述第一内网节点接入无线网络。
优选地,所述步骤S21具体包括:将所述身份标识信息和所述第二MAC地址进行加密计算生成的64位16进制数,设置为所述第三全局IPv6地址的后64位;将所述无线路由器内网网卡全局IPv6地址的前64位,设置为所述第三全局IPv6地址的前64位。
优选地,所述步骤S1进一步包括:S11、根据所述第二MAC地址查询黑名单列表;当所述黑名单列表包括所述第二MAC地址时,不允许所述第一内网节点关联无线路由器;当所述黑名单列表不包括所述第二MAC地址时,允许所述第一内网节点关联所述无线路由器;S12、当所述第一内网节点关联所述无线路由器后,检查所述第一内网节点发送第一MAC地址和所述身份标识信息的唯一性;当所述身份标识信息和所述第一MAC地址均不在节点信息库中时,根据无线路由器内网网卡全局IPv6地址的前缀地址、所述身份标识信息和所述第一MAC地址生成所述第一全局IPv6地址;S13、将所述第一全局IPv6地址分配给所述第一内网节点,并将所述身份标识信息、所述第一MAC地址和所述第一全局IPv6地址添加到所述节点信息库中。
优选地,所述步骤S12进一步包括:将所述身份标识信息和所述第一MAC地址进行加密计算生成的64位16进制数,设置为所述第一全局IPv6地址的后64位;将所述无线路由器内网网卡全局IPv6地址的前64位,设置为所述第一全局IPv6地址的前64位。
优选地,所述步骤S2之后还包括:S3、根据所述第一内网节点发送的目标内网节点的全局IPv6地址以及第二内网节点发送的MAC地址,进行内网节点间通信的访问控制;所述第二内网节点响应所述第一内网节点的通信请求;当所述节点信息库不包括所述目标内网节点的第一全局IPv6地址时,不允许所述第一内网节点与所述目标内网节点通信;当所述节点信息库不包括所述第二内网节点回复的MAC地址时,不允许所述第一内网节点与所述第二内网节点通信。
优选地,所述步骤S2之后还包括:S3、根据通过身份合法性检查的所述第一内网节点的请求报文,构造回复报文,进行内网节点与外网节点间通信的访问控制。
优选地,所述步骤S3进一步包括:S31、获取请求报文中的第一源地址和第一目标地址,并进行判断;当所述节点信息库包括所述第一源地址且不包括所述第一目标地址时,所述请求报文为内网发往外网的报文;当所述节点信息库包括所述第一目标地址且不包括所述第一源地址时,所述请求报文为外网发往内网的报文;S32、当所述请求报文为内网发往外网的报文时,对发送数据包的内网节点进行身份合法性检查,身份合法性检查通过后,将无线路由器内部网卡的MAC地址确定为所述回复报文的MAC地址;当所述请求报文为外网发往内网的报文时,对接收数据包的内网节点进行身份合法性检查,身份合法性检查通过后,将无线路由器外部网卡的MAC地址确定为所述回复报文的MAC地址。
优选地,所述步骤S3之后还包括:S4、当所述第一内网节点与内网节点通信时,获取邻居请求报文中的第二源地址和第二目标地址;当所述节点信息库包括所述第二源地址和所述第二目标地址时,放行所述邻居请求报文;否则,丢弃所述邻居请求报文;当所述第一内网节点与外网节点通信时,获取路由请求报文中的第三源地址和第三目标地址;当所述节点信息库包括所述第三源地址或所述第三目标地址,且不同时包括所述第三源地址和所述第三目标地址时,放行所述路由请求报文;否则,丢弃所述路由请求报文。
本发明提供的一种无线路由器访问控制方法,通过基于节点的身份标识信息和MAC地址生成的全局IPv6地址进行访问控制,实现了节点身份的实名认证,有效防止了IPv6网络中出现的安全隐患,提高了基于IPv6的无线路由器通信的安全性。
附图说明
图1为本发明实施例无线路由器的连接示意图;
图2为本发明实施例一种无线路由器访问控制方法的流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1为本发明实施例无线路由器的连接示意图。如图1所示,基于IPv6地址协议的无线路由器R通过内网网卡Inic与内网IN连接,并与内网中的节点进行通信;通过外网网卡Onic与内网ON连接,并与外网中的节点进行通信。无线路由器R的内网网卡Inic与外网网卡Onic连接,并进行通信。无线路由器R设置有节点信息库DBN和黑名单列表DBHN。无线路由器R可根据需要启动IPv6全局地址分配服务进程radvd、访问控制守护进程racd或报文转发守护进程pmfd。
图2为本发明实施例一种无线路由器访问控制方法的流程图。如图2所示,一种无线路由器访问控制方法包括:S1、将第一全局IPv6地址分配给请求接入无线网络的第一内网节点;S2、根据获取的第一内网节点的第二MAC地址和第一内网节点发送的身份标识信息,生成第三全局IPv6地址,并根据第三全局IPv6地址和第一全局IPv6地址进行接入认证进行接入认证。
具体地,对于步骤S1,内网节点A向无线路由器R发出关联请求。
无线路由器R启动IPv6全局地址分配服务进程radvd,并将radvd绑定到内网网卡Inic上,仅对内部节点提供全局地址分配服务。
关联成功后,无线路由器R等待接收内网节点A的地址请求报文AR。
关联成功后,内网节点A向无线路由器R发出地址请求报文AR,请求接入无线网络。地址请求报文AR中包含了内网节点A的身份标识信息IDA
无线路由器R在接收到内网节点A的地址请求报文AR后,通过IPv6全局地址分配服务进程给内网节点A分配第一全局IPv6地址IP6A1,并将第一全局IPv6地址IP6A1发送给内网节点A。
内网节点A接收到的第一全局IPv6地址IP6A1后,进行网络配置,同时将无线路由器R内网网卡的IPv6地址设置成默认路由,将发送到外网的报文交由无线路由器R转发。
对于步骤S2,内网节点A接收第一全局IPv6地址IP6A1并配置好网络参数后,进行入网认证。
无线路由器R接收到内网节点A地址请求报文AR后,从请求报文中获取内网节点A的身份标识信息IDA。无线路由器R在与内网节点A的会话交互中获取的内网节点A的第二MAC地址MACA2。无线路由器R根据内网节点A的第二MAC地址MACA2和身份标识信息IDA生成的第三全局IPv6地址IP6A3,并基于第三全局IPv6地址IP6A3和内网节点A的第一全局IPv6地址IP6A1进行接入认证。
认证通过,允许内网节点A接入无线网络;认证失败,不允许内网节点A接入无线网络。
本发明实施例通过基于节点的身份标识信息和MAC地址生成的全局IPv6地址进行访问控制,实现了节点身份的实名认证,有效防止了IPv6网络中出现的安全隐患,提高了基于IPv6的无线路由器通信的安全性。进一步地,使用全局唯一的IPv6地址进行通信,通信双方都无法抵赖身份,可以方便地实现基于IPv6地址的安全事件定位与追踪。进一步地,节点接入无线路由器时直接获取全球唯一的IPv6全局地址,可以方便地实现基于IPv6地址的身份认证技术,同时避免了IPv4网络中因为NAT转换所带来的各种安全问题。进一步地,为未来互联网的应用提供多种有效的身份认证与访问控制手段,具有良好的可扩展性。
基于上述实施例,具体地,步骤S2进一步包括:S21、根据无线路由器内网网卡全局IPv6地址的前缀地址、身份标识信息和第二MAC地址生成第三全局IPv6地址,并将第三全局IPv6地址与第一内网节点发送的第二全局IPv6地址进行对比;S22、当第三全局IPv6地址等于第二全局IPv6地址时,根据身份标识信息,查询节点信息库中身份标识信息对应的第一全局IPv6地址,并将第一全局IPv6地址与第三全局IPv6地址进行对比;当第一全局IPv6地址等于第三全局IPv6地址时,允许第一内网节点接入无线网络。
步骤S21进一步包括:当第三全局IPv6地址不等于第二全局IPv6地址时,不允许第一内网节点接入无线网络。
步骤22进一步包括:当第一全局IPv6地址不等于第三全局IPv6地址时,不允许第一内网节点接入无线网络。
具体地,对于步骤S21,无线路由器R根据从内网节点A的请求报文中获取的内网节点A的身份标识信息IDA,以及从会话交互中获取的内网节点A的第二MAC地址MACA2,生成内网节点A的第三全局IPv6地址IP6A3,并将第三全局IPv6地址IP6A3与无线路由器R从内网节点A的请求报文中获取的第二全局IPv6地址IP6A2进行对比。
当IP6A2≠IP6A3时,表明内网节点A正在使用虚假地址进行通信,无线路由器R将内网节点A的第二MAC地址MACA2和身份标识信息IDA添加到黑名单列表DBHN中,宣告认证失败,结束会话。
当IP6A2=IP6A3时,表明内网节点A正在使用真实地址进行通信,接下来进行实名认证,验证内网节点A的身份标识信息,即接下来执行步骤S22。如果内网节点A的身份标识信息为空,则不进行实名认证。
对于步骤S22,无线路由器R根据从内网节点A的请求报文中获取的内网节点A的身份标识信息IDA,查询节点信息库DBN中内网节点A的身份标识信息IDA对应的第一全局IPv6地址IP6A1,并将第三全局IPv6地址IP6A3与第一全局IPv6地址IP6A1进行对比。
无线路由器R加载黑名单列表DBHN和节点信息库DBN
如果IP6A1为空,即从节点信息库DBN中查询不到身份标识信息IDA对应的第一全局IPv6地址IP6A1,表明内网节点A为非法用户,无线路由器R将内网节点A的第二MAC地址MACA2和身份标识信息IDA添加到黑名单列表DBHN中,宣告认证失败,结束会话。
当IP6A1≠IP6A3时,表明内网节点A的身份标识信息不正确,也就是说内网节点A没有使用实名身份进行通信,无线路由器R将内网节点A的第二MAC地址MACA2和身份标识信息IDA添加到黑名单列表DBHN中,宣告认证失败,结束会话。
当IP6A1=IP6A3时,表明内网节点A的身份标识信息正确。内网节点A接入认证成功,内网节点A可成功接入无线网络。
本发明实施例通过基于节点的身份标识信息和MAC地址生成的全局IPv6地址进行访问控制,实现了节点身份的实名认证,有效防止了IPv6网络中出现的安全隐患,提高了基于IPv6的无线路由器通信的安全性。进一步地,使用全局唯一的IPv6地址进行通信,通信双方都无法抵赖身份,可以方便地实现基于IPv6地址的安全事件定位与追踪。进一步地,节点接入无线路由器时直接获取全球唯一的IPv6全局地址,可以方便地实现基于IPv6地址的身份认证技术,同时避免了IPv4网络中因为NAT转换所带来的各种安全问题。
基于上述实施例,具体地,步骤S21具体包括:将身份标识信息和第二MAC地址进行加密计算生成的64位16进制数,设置为第三全局IPv6地址的后64位;将无线路由器内网网卡全局IPv6地址的前64位,设置为第三全局IPv6地址的前64位。
无线路由器R根据从内网节点A的地址请求报文中获取的内网节点A的身份标识信息IDA,以及从会话交互中获取的内网节点A的第二MAC地址MACA2后,将内网节点A的身份标识信息和第二MAC地址MACA2进行拼接,然后执行MD5加密运算,生成64位的16进制数IP6A3_H。IP6A3_H的具体计算公式为IP6A3_H=MD5(IDA+MACA2)。
无线路由器R获取其内网网卡Inic的全局IPv6地址的前缀地址IP6PreInic,前缀地址IP6PreInic为内网网卡Inic的全局IPv6地址的前64位。
无线路由器R将IP6PreInic和IP6A3_H进行拼接,得到内网节点A的第三全局IPv6地址IP6A3。内网节点A的第三全局IPv6地址IP6A3的具体计算公式为IP6A3=IP6PreInic+IP6A3_H
本发明实施例通过基于节点的身份标识信息和MAC地址加密计算生成的全局IPv6地址进行访问控制,实现了节点身份的实名认证,有效防止了IPv6网络中出现的安全隐患,提高了基于IPv6的无线路由器通信的安全性。进一步地,采用加密的方式计算全局IPv6地址,有效保护了用户隐私。
基于上述实施例,具体地,步骤S1进一步包括:S11、根据第二MAC地址查询黑名单列表;当黑名单列表包括第二MAC地址时,不允许第一内网节点关联无线路由器;当黑名单列表不包括第二MAC地址时,允许第一内网节点关联无线路由器;S12、当第一内网节点关联无线路由器后,检查第一内网节点发送第一MAC地址和身份标识信息的唯一性;当身份标识信息和第一MAC地址均不在节点信息库中时,根据无线路由器内网网卡全局IPv6地址的前缀地址、身份标识信息和第一MAC地址生成第一全局IPv6地址;S13、将第一全局IPv6地址分配给第一内网节点,并将身份标识信息、第一MAC地址和第一全局IPv6地址添加到节点信息库中。
具体地,对于步骤S11,内网节点A向无线路由器R发出关联请求。
无线路由器R在接收内网节点A发出的关联请求前,启动IPv6全局地址分配服务进程。
无线路由器R在与内网节点A的会话交互中获取的内网节点A的第二MAC地址MACA2
无线路由器R根据内网节点A的第二MAC地址MACA2查询黑名单列表DBHN,检查内网节点A的合法性。当黑名单列表DBHN包括第二MAC地址MACA2时,表明内网节点A为非法用户,无线路由器R将内网节点A的第二MAC地址MACA2和身份标识信息IDA添加到黑名单列表DBHN中,不允许内网节点A关联无线路由器R,宣告认证失败,结束会话。否则,无线路由器R允许内网节点A关联,等待接收来自内网节点A的地址请求报文AR。
对于步骤S12,内网节点A与无线路由器R关联成功后,向无线路由器R发出地址请求报文AR,请求关联无线路由器R,接入无线网络。地址请求报文AR中包含了内网节点A的身份标识信息IDA、第二全局IPv6地址IP6A2和第一MAC地址MACA1。由于可能存在MAC欺骗等行为,内网节点A发送的地址请求报文AR中的第一MAC地址MACA1可能与无线路由器R在与内网节点A的会话交互中获取的内网节点A的第二MAC地址MACA2不同。
无线路由器R从地址请求报文AR中获取内网节点A的身份标识信息IDA和第一MAC地址MACA1后,检查身份标识信息IDA和第一MAC地址MACA1的唯一性。
无线路由器R根据身份标识信息IDA查询节点信息库DBN。当IDA∈DBN时,表明该身份标识信息IDA已经被分配给其它节点,返回出错信息,要求内网节点A重新通过发送地址请求报文AR再次发送身份标识信息。当时,表明该身份标识信息IDA没有被分配给其它节点,继续检查第一MAC地址MACA1的唯一性。
当身份标识信息IDA具有唯一性时,无线路由器R根据第一MAC地址MACA1查询节点信息库DBN。当MACA1∈DBN时,表明第一MAC地址MACA1已经被分配给其它节点或内网节点A冒用其它节点的MAC地址进行通信,返回出错信息,要求内网节点A重新通过发送地址请求报文AR再次发送MAC地址。
当内网节点A身份标识信息IDA和第一MAC地址MACA1都不在节点信息库DBN中时,表明内网节点A的身份标识信息IDA和第一MAC地址MACA1具有唯一性,无线路由器R根据无线路由器内网网卡Inic的全局IPv6地址的前缀地址、内网节点A的身份标识信息IDA和内网节点A的第一MAC地址MACA1,生成第一全局IPv6地址IP6A1
对于步骤S13,无线路由器R生成第一全局IPv6地址IP6A1后,将第一全局IPv6地址IP6A1分配给内网节点A,并将身份标识信息IDA、第一MAC地址MACA1和第一全局IPv6地址添加到节点信息库中。通过将身份标识信息IDA、第一MAC地址MACA1和第一全局IPv6地址添加到节点信息库中,以便进行身份认证与访问控制。
本发明实施例通过基于节点的身份标识信息和MAC地址生成的全局IPv6地址进行访问控制,实现了节点身份的实名认证,有效防止了IPv6网络中出现的安全隐患,提高了基于IPv6的无线路由器通信的安全性。进一步地,使用全局唯一的IPv6地址进行通信,通信双方都无法抵赖身份,可以方便地实现基于IPv6地址的安全事件定位与追踪。进一步地,节点接入无线路由器时直接获取全球唯一的IPv6全局地址,可以方便地实现基于IPv6地址的身份认证技术,同时避免了IPv4网络中因为NAT转换所带来的各种安全问题。
基于上述实施例,具体地,步骤S12进一步包括:将身份标识信息和第一MAC地址进行加密计算生成的64为16进制数,设置为第一全局IPv6地址的后64位;将无线路由器内网网卡全局IPv6地址的前64位,设置为第一全局IPv6地址的前64位。
无线路由器R根据从内网节点A的地址请求报文中获取的内网节点A的身份标识信息IDA和第一MAC地址MACA1后,将内网节点A的身份标识信息和第一MAC地址MACA1进行拼接,然后执行MD5加密运算,生成64位的16进制数IP6A1_H。IP6A1_H的具体计算公式为IP6A1_H=MD5(IDA+MACA1)。
无线路由器R获取其内网网卡Inic的全局IPv6地址的前缀地址IP6PreInic,前缀地址IP6PreInic为内网网卡Inic的全局IPv6地址的前64位。
无线路由器R将IP6PreInic和IP6A3_H进行拼接,得到内网节点A的第一全局IPv6地址IP6A1。内网节点A的第一全局IPv6地址IP6A1的具体计算公式为IP6A1=IP6PreInic+IP6A1_H
本发明实施例通过基于节点的身份标识信息和MAC地址加密计算生成的全局IPv6地址进行访问控制,实现了节点身份的实名认证,有效防止了IPv6网络中出现的安全隐患,提高了基于IPv6的无线路由器通信的安全性。进一步地,采用加密的方式计算全局IPv6地址,有效保护了用户隐私。
基于上述实施例,可选地,步骤S2之后还包括:S3、根据第一内网节点发送的目标内网节点的全局IPv6地址以及第二内网节点发送的MAC地址,进行内网节点间通信的访问控制;第二内网节点响应第一内网节点的通信请求;当节点信息库不包括目标内网节点的第一全局IPv6地址时,不允许第一内网节点与目标内网节点通信;当节点信息库不包括第二内网节点回复的MAC地址时,不允许第一内网节点与第二内网节点通信。
在内网节点A接入无线网络后,内网节点A与其它内网节点进行通信时,无线路由器R对内网节点间通信进行访问控制。
无线路由器R启动访问控制守护进程racd,加载访问控制策略。
当内网节点A需要与内网节点B进行通信时,内网节点A发送邻居请求报文NS。邻居请求报文NS中包括内网节点B的全局IPv6地址IP6B,并询问目标节点B的MAC地址。
无线路由器R的访问控制守护进程racd通过内网网卡获取邻居请求报文NS,获取邻居请求报文NS中的IP6B,并根据IP6B查询节点信息库DBN。当时,表明IP6B为非法内网节点。无线路由器R向内网节点A发送错误响应报文,通知内网节点A停止与IP6B通信,同时将IP6B添加到黑名单列表DBHN中。无线路由器R实时读取黑名单列表DBHN,更新访问控制策略,阻止IP6B的所有通信活动。内网节点A接收到来自无线路由器R的错误响应报文后,终止与IP6B的通信。
当内网节点C接到内网节点A的邻居请求报文NS后,响应该报文并向内网节点A发送回复报文NA。回复报文NA中包括内网节点C回复的MAC地址MACC
无线路由器R的访问控制守护进程racd通过内网网卡获取回复报文NA,获取回复报文NA中的MACC,并根据MACC查询节点信息库DBN。当时,表明MACC不是真实的内网节点。无线路由器R向内网节点A发送错误响应报文,通知内网节点A停止与MACC通信,同时将MACC添加到黑名单列表DBHN中。无线路由器R实时读取黑名单列表DBHN,更新访问控制策略,阻止MACC的所有通信活动。内网节点A接收到来自无线路由器R的错误响应报文后,终止与MACC的通信。
通过对内网节点B的全局IPv6地址IP6B和响应内网节点A的内网节点C回复的MAC地址MACC的验证,能够实现内网节点间通信的访问控制。
本发明实施例通过对节点的全局IPv6地址和MAC地址的验证,有效避免随意更改IP地址和MAC地址、冒用其它节点进行通信等导致的内网节点间通信的各种安全隐患,有效防止了IP地址欺骗、中间人攻击等非法行为,有效提高了内网节点间通信的安全性。
基于上述实施例,可选地,步骤S2之后还包括:S3、根据通过身份合法性检查的第一内网节点的请求报文,构造回复报文,进行内网节点与外网节点间通信的访问控制。
无线路由器R启动报文转发守护进程pmfd,负责处理内网与外网之间的报文处理与转发。
当内网节点A需要与外网节点通信时,由于内网节点与外网节点之间存在物理隔离,无线路由器R收到内网节点A请求与外网节点进行通信的请求报文后,需要构造回复报文AS,使内网节点A先将数据包发送给无线路由器R,然后由无线路由器R转发上述数据包。因此,无线路由器R可以通过构造回复报文AS,实现内网节点与外网节点间通信的访问控制。
本发明实施例通过对内网节点的身份合法性检查,有效地避免了内网与外网间的非法通信,提高了内网节点间通信的安全性。
基于上述实施例,具体地,步骤S3进一步包括:S31、获取请求报文中的第一源地址和第一目标地址,并进行判断;当节点信息库包括第一源地址且不包括第一目标地址时,请求报文为内网发往外网的报文;当节点信息库包括第一目标地址且不包括第一源地址时,请求报文为外网发往内网的报文;S32、当请求报文为内网发往外网的报文时,对发送数据包的内网节点进行身份合法性检查,身份合法性检查通过后,将无线路由器内部网卡的MAC地址确定为回复报文的MAC地址;当请求报文为外网发往内网的报文时,对接收数据包的内网节点进行身份合法性检查,身份合法性检查通过后,将无线路由器外部网卡的MAC地址确定为回复报文的MAC地址。
无线路由器R启动后自动运行一个报文转发守护进程pmfd,负责内网节点与外网节点之间通信数据包的转发。
对于步骤S31,内网节点A的与其他节点通信时,无线路由器R收到请求报文PNS。无线路由器R的内网网卡Inic实时监听请求报文PNS并获取请求报文PNS中的第一源地址IP6S1和第一目标地址IP6T1。无线路由器R获取第一源地址IP6S1和第一目标地址IP6T1后,根据第一源地址IP6S1和第一目标地址IP6T1,查询节点信息库DBN,判断请求报文所请求的流向。
当IP6S1∈DBN,且时,请求报文PNS为内网发往外网的报文;
且IP6T1∈DBN时,请求报文PNS为内网发往外网的报文;
当IP6S1∈DBN,且IP6T1∈DBN时,请求报文PNS为内网发往内网的报文,按照内网节点间通信的方法处理;
时,请求报文PNS为外网发往外网的报文,或者是无效报文,不在转发的范围内,丢弃该报文。
当请求报文PNS为内网发往外网的报文时,无线路由器R进行内网节点身份合法性检查;身份合法性检查通过后,无线路由器R再构造回复报文AS,将数据包转发到外网。
具体地,无线路由器R确定请求报文PNS为内网发往外网的报文后,对发送数据包的内网节点进行身份合法性检查。
当身份合法性检查不通过时,终止内网节点与外网节点的通信。
当身份合法性检查通过时,无线路由器R构造回复报文AS,将回复报文AS的MAC地址填写无线路由器R的内网网卡Inic的MAC地址。无线路由器R构造回复报文AS后,设置一条默认路由,将默认路由的Interface指向无线路由器R的外网网卡Onic,地址指向局域网的网关。通过上述设置,无线路由器R将数据包转发到外网。
当请求报文PNS为外网发往内网的报文时,无线路由器R进行内网节点身份合法性检查;身份合法性检查通过后,无线路由器R再构造回复报文AS,将数据包转发到内网。
具体地,无线路由器R确定请求报文PNS为内网发往外网的报文后,对接收数据包的内网节点进行身份合法性检查。
当身份合法性检查不通过时,终止内网节点与外网节点的通信。
当身份合法性检查通过时,无线路由器R构造回复报文AS,将回复报文AS的MAC地址填写无线路由器R的外网网卡Onic的MAC地址。无线路由器R构造回复报文AS后,设置一条默认路由,将默认路由的Interface指向无线路由器R的内网网卡Inic,地址指向局域网的网关。通过上述设置,无线路由器R将数据包转发到内网。
本发明实施例通过对内网节点的身份合法性检查,有效地避免了内网与外网间的非法通信,提高了内网节点间通信的安全性。
基于上述实施例,具体地,步骤S3之后还包括:S4、当第一内网节点与内网节点通信时,获取邻居请求报文中的第二源地址和第二目标地址;当节点信息库包括第二源地址和第二目标地址时,放行邻居请求报文;否则,丢弃邻居请求报文;当第一内网节点与外网节点通信时,获取路由请求报文中的第三源地址和第三目标地址;当节点信息库包括第三源地址或第三目标地址,其不同时包括第三源地址和第三目标地址时,放行路由请求报文;否则,丢弃路由请求报文。
内网节点接入无线网络后,无线路由器对通信过程进行实时监控。对于内网节点间的通信,监控邻居请求报文NS;对于内网节点与外网节点的通信,监控路由请求报文RS。
当第一内网节点与内网节点通信时,获取邻居请求报文NS中的第二源地址SA2和第二目标地址TA2。根据第二源地址SA2和第二目标地址TA2,查询节点数据库DBN
当SA2∈DBN,且TA2∈DBN,说明邻居请求报文NS为内网节点间合法通信报文,无线路由器R放行邻居请求报文NS;其他情况下,无线路由器R丢弃邻居请求报文NS。
当第一内网节点与外网节点通信时,获取路由请求报文RS中的第三源地址SA3和第三目标地址TA3。根据第三源地址SA3和第三目标地址TA3,查询节点数据库DBN
当SA3∈DBN,且说明路由请求报文RS为内网发往外网的合法报文,无线路由器R放行路由请求报文RS;当且TA3∈DBN,说明路由请求报文RS为外网发往内网的合法报文,无线路由器R放行路由请求报文RS;其他情况下,无线路由器R丢弃路由请求报文RS。
本发明实施例通过对节点的通信地实时监控,能有效发现并阻止各种非法通信行为,有效防止了IPv6网络中出现的安全隐患,提高了基于IPv6的无线路由器通信的安全性。进一步地,在内网节点通信时仅监控邻居请求报文,在内网节点与外网节点通信时仅监控路由请求报文,节约了软硬件资源,提高了无线路由器的工作效率。
最后,本发明实施例仅为较佳的实施方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种无线路由器访问控制方法,其特征在于,包括:
S1、将第一全局IPv6地址分配给请求接入无线网络的第一内网节点;
S2、根据获取的所述第一内网节点的第二MAC地址和所述第一内网节点发送的身份标识信息,生成第三全局IPv6地址,并根据所述第三全局IPv6地址和所述第一全局IPv6地址进行接入认证。
2.根据权利要求1所述的无线路由器访问控制方法,其特征在于,所述步骤S2进一步包括:
S21、根据无线路由器内网网卡全局IPv6地址的前缀地址、所述身份标识信息和所述第二MAC地址生成第三全局IPv6地址,并将所述第三全局IPv6地址与所述第一内网节点发送的第二全局IPv6地址进行对比;
S22、当所述第三全局IPv6地址等于所述第二全局IPv6地址时,
根据所述身份标识信息,查询节点信息库中所述身份标识信息对应的第一全局IPv6地址,并将所述第一全局IPv6地址与所述第三全局IPv6地址进行对比,
当所述第一全局IPv6地址等于所述第三全局IPv6地址时,允许所述第一内网节点接入无线网络。
3.根据权利要求2所述的无线路由器访问控制方法,其特征在于,
所述步骤S21进一步包括:当所述第三全局IPv6地址不等于所述第二全局IPv6地址时,不允许所述第一内网节点接入无线网络;
所述步骤22进一步包括:当所述第一全局IPv6地址不等于所述第三全局IPv6地址时,不允许所述第一内网节点接入无线网络。
4.根据权利要求2所述的无线路由器访问控制方法,其特征在于,所述步骤S21具体包括:
将所述身份标识信息和所述第二MAC地址进行加密计算生成的64位16进制数,设置为所述第三全局IPv6地址的后64位;
将所述无线路由器内网网卡全局IPv6地址的前64位,设置为所述第三全局IPv6地址的前64位。
5.根据权利要求1或2所述的无线路由器访问控制方法,其特征在于,所述步骤S1进一步包括:
S11、根据所述第二MAC地址查询黑名单列表;当所述黑名单列表包括所述第二MAC地址时,不允许所述第一内网节点关联无线路由器;当所述黑名单列表不包括所述第二MAC地址时,允许所述第一内网节点关联所述无线路由器;
S12、当所述第一内网节点关联所述无线路由器后,检查所述第一内网节点发送第一MAC地址和所述身份标识信息的唯一性;当所述身份标识信息和所述第一MAC地址均不在节点信息库中时,根据无线路由器内网网卡全局IPv6地址的前缀地址、所述身份标识信息和所述第一MAC地址生成所述第一全局IPv6地址;
S13、将所述第一全局IPv6地址分配给所述第一内网节点,并将所述身份标识信息、所述第一MAC地址和所述第一全局IPv6地址添加到所述节点信息库中。
6.根据权利要求5所述的无线路由器访问控制方法,其特征在于,所述步骤S12进一步包括:
将所述身份标识信息和所述第一MAC地址进行加密计算生成的64位16进制数,设置为所述第一全局IPv6地址的后64位;将所述无线路由器内网网卡全局IPv6地址的前64位,设置为所述第一全局IPv6地址的前64位。
7.根据权利要求1所述的无线路由器访问控制方法,其特征在于,所述步骤S2之后还包括:
S3、根据所述第一内网节点发送的目标内网节点的全局IPv6地址以及第二内网节点发送的MAC地址,进行内网节点间通信的访问控制;
所述第二内网节点响应所述第一内网节点的通信请求;
当所述节点信息库不包括所述目标内网节点的第一全局IPv6地址时,不允许所述第一内网节点与所述目标内网节点通信;
当所述节点信息库不包括所述第二内网节点回复的MAC地址时,不允许所述第一内网节点与所述第二内网节点通信。
8.根据权利要求1所述的无线路由器访问控制方法,其特征在于,所述步骤S2之后还包括:
S3、根据通过身份合法性检查的所述第一内网节点的请求报文,构造回复报文,进行内网节点与外网节点间通信的访问控制。
9.根据权利要求8所述的无线路由器访问控制方法,其特征在于,所述步骤S3进一步包括:
S31、获取请求报文中的第一源地址和第一目标地址,并进行判断;
当所述节点信息库包括所述第一源地址且不包括所述第一目标地址时,所述请求报文为内网发往外网的报文;
当所述节点信息库包括所述第一目标地址且不包括所述第一源地址时,所述请求报文为外网发往内网的报文;
S32、当所述请求报文为内网发往外网的报文时,对发送数据包的内网节点进行身份合法性检查,身份合法性检查通过后,将无线路由器内部网卡的MAC地址确定为所述回复报文的MAC地址;当所述请求报文为外网发往内网的报文时,对接收数据包的内网节点进行身份合法性检查,身份合法性检查通过后,将无线路由器外部网卡的MAC地址确定为所述回复报文的MAC地址。
10.根据权利要求7或8所述的无线路由器访问控制方法,其特征在于,所述步骤S3之后还包括:
S4、当所述第一内网节点与内网节点通信时,获取邻居请求报文中的第二源地址和第二目标地址;
当所述节点信息库包括所述第二源地址和所述第二目标地址时,放行所述邻居请求报文;否则,丢弃所述邻居请求报文;
当所述第一内网节点与外网节点通信时,获取路由请求报文中的第三源地址和第三目标地址;
当所述节点信息库包括所述第三源地址或所述第三目标地址,且不同时包括所述第三源地址和所述第三目标地址时,放行所述路由请求报文;否则,丢弃所述路由请求报文。
CN201710874732.7A 2017-09-25 2017-09-25 一种无线路由器访问控制方法 Active CN107707685B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710874732.7A CN107707685B (zh) 2017-09-25 2017-09-25 一种无线路由器访问控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710874732.7A CN107707685B (zh) 2017-09-25 2017-09-25 一种无线路由器访问控制方法

Publications (2)

Publication Number Publication Date
CN107707685A true CN107707685A (zh) 2018-02-16
CN107707685B CN107707685B (zh) 2019-11-22

Family

ID=61174801

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710874732.7A Active CN107707685B (zh) 2017-09-25 2017-09-25 一种无线路由器访问控制方法

Country Status (1)

Country Link
CN (1) CN107707685B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338522A (zh) * 2020-11-27 2022-04-12 成都市合纵智联科技有限公司 基于标识管理的IPv6编址与组网方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102918817A (zh) * 2011-05-31 2013-02-06 华为技术有限公司 IPv6地址分配的方法及设备
WO2013088740A1 (ja) * 2011-12-16 2013-06-20 パナソニック株式会社 無線ネットワークシステム、無線通信装置、及び、無線通信装置のプログラム
CN103731820A (zh) * 2014-01-12 2014-04-16 绵阳师范学院 IPv6无线路由器中基于MAC地址转换的接入与访问控制方法
CN105323329A (zh) * 2015-06-30 2016-02-10 清华大学 IPv6地址生成、解析方法及装置
CN105373919A (zh) * 2015-10-27 2016-03-02 熊文俊 基于远近场数据交互的用户身份安全认证设备及认证方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102918817A (zh) * 2011-05-31 2013-02-06 华为技术有限公司 IPv6地址分配的方法及设备
WO2013088740A1 (ja) * 2011-12-16 2013-06-20 パナソニック株式会社 無線ネットワークシステム、無線通信装置、及び、無線通信装置のプログラム
CN103731820A (zh) * 2014-01-12 2014-04-16 绵阳师范学院 IPv6无线路由器中基于MAC地址转换的接入与访问控制方法
CN105323329A (zh) * 2015-06-30 2016-02-10 清华大学 IPv6地址生成、解析方法及装置
CN105373919A (zh) * 2015-10-27 2016-03-02 熊文俊 基于远近场数据交互的用户身份安全认证设备及认证方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张威 等: ""一种IPv6域间路由宣告中的前缀置换方法"", 《小型微型计算机系统》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338522A (zh) * 2020-11-27 2022-04-12 成都市合纵智联科技有限公司 基于标识管理的IPv6编址与组网方法
CN114338522B (zh) * 2020-11-27 2024-04-05 成都市伏羲科技有限公司 基于标识管理的IPv6编址与组网方法

Also Published As

Publication number Publication date
CN107707685B (zh) 2019-11-22

Similar Documents

Publication Publication Date Title
US8068414B2 (en) Arrangement for tracking IP address usage based on authenticated link identifier
US7925027B2 (en) Secure address proxying using multi-key cryptographically generated addresses
CN101651537B (zh) 一种在通信网络系统中进行分散式安全控制的方法和装置
KR100886433B1 (ko) 확장된 브릿지를 이용한 무선통신 시스템에서의 IPv6지원 방법
EP1782574B1 (en) Fast network attachment
Ullrich et al. {IPv6} Security: Attacks and Countermeasures in a Nutshell
Hubballi et al. A closer look into DHCP starvation attack in wireless networks
Thaler Evolution of the IP Model
CN101459653B (zh) 基于Snooping技术的防止DHCP报文攻击的方法
CN112910863A (zh) 一种网络溯源方法及系统
US8819790B2 (en) Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment
CN102752266B (zh) 访问控制方法及其设备
CN101313627B (zh) 一种分配家乡代理的方法及系统
Ahmed et al. Improving security for IPv6 neighbor discovery
Kumar et al. Host based IDS for NDP related attacks: NS and NA Spoofing
CN101232369B (zh) 动态主机配置协议中密钥分发方法和系统
CN117014887A (zh) 多因素可验证的低功耗蓝牙设备IPv6地址自动配置方法和系统
CN107707685B (zh) 一种无线路由器访问控制方法
Xiaorong et al. Security analysis for IPv6 neighbor discovery protocol
FI120927B (fi) Autentikointi- ja salausprotokolla langattomassa viestintäjärjestelmässä
Baig et al. A trust-based mechanism for protecting IPv6 networks against stateless address auto-configuration attacks
Bagnulo et al. SAVI: The IETF standard in address validation
Rossi et al. Secure route optimization for MIPv6 using enhanced CGA and DNSSEC
CN106878291A (zh) 一种基于前缀安全表项的报文处理方法及装置
CN103327006B (zh) 多接入网络中的安全方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant