IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法

摘要

IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法属于计算机网络通信技术领域，其特征在于，在遵循RFC关于IPv6组播组地址格式定义及分配原则的基础上，为组播源单独定义专门分配一块/48 IPv6地址，为每个园区网分配其中的块/64，其标识与个园区网的标识相对应，通过细化定义32比特用户自定义位，将专用组播源的单播地址及组播支持应用所需带宽需求标识嵌入其中尚未使用的20比特，形成面向特定源组播SSM和任意源组播ASM等协议的组播组新定义格式。结合路由器配置中有关流量控制及源地址控制等ACL设定，有效地解决了组播源认证及抗DOS攻击的安全问题，为更好地实现大规模IPv6非隧道组播网络的运行与管理打下了基础。

说明书

技术领域

IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法，属于计算机互联网通信技术范畴。

背景技术

RFC4291，RFC3306，RFC3307定义了用于IPv6不同组播协议：特定源组播(SSM)、任意源组播(ASM)及内嵌RP的任意源组播(ASM-Embeded RP)的组播组地址的不同格式。在整个128位长度的地址中，最后32位由用户自定义组播组地址的取值范围。目前，IPv6组播网络的搭建较多地开展于局域网，IPv6局域网组播的运行管理比较简单，对IPv6组播组地址的使用可完全遵循RFC的有关规定。作为大型网络服务提供商(ISP)，多年运行和管理IPv4大规模组播网络的实践表明：组播技术由于其在组成员动态管理机制及组播路由机制方面的特殊性，使其在可扩展性、安全性及可管理性方面存在极大困难。IPv6组播技术研究刚刚起步，大规模组播网络的运行和管理面临新的机遇和挑战。为了有效地解决大规模组播网络的安全性问题及可扩展性问题，本发明在遵照RFC基本原则的基础上，通过对IPv6组播组地址用户自定义段中若干字节位的重新定义，配合路由器上的有关配置，对组播源身份认证及恶意或非恶意DOS攻击抑制起到了很好的效果。

发明内容

IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法在遵循RFC关于IPv6组播组地址格式定义及分配原则的基础上，通过细化定义32比特用户自定义位，将组播源的单播地址及组播支持应用所需带宽需求标识嵌入其中尚未使用的20比特，形成面向特定源组播SSM和任意源组播ASM等协议的组播组新定义格式。结合路由器配置中有关流量控制及源地址控制等ACL设定，有效地解决了组播源认证及抗DOS攻击的安全问题。其特征在于，

1.为组播源单独定义、专门分配一块/48IPv6地址，该地址含65,000个/64。每一个/64中的标识段(第四段)与一个园区网/48地址中的标识段(第三段)相对应。即每一个园区网有一块/48的IPv6单播地址，同时还有一块对应的/64单播地址作为组播源。在此基础上，把专用组播源所在的IPv6单播地址所对应的园区网标识部分(第四段共16-bits)和使用该组播组地址所支持应用的最大带宽需求标志位(4-bits)一起嵌入到由RFC规定的由用户自定义位中的20位，并在路由器上作流量控制及源地址控制的配置，使只有与组地址中内嵌的单播地址匹配的源地址才能够对主干网发送组播数据流，同时特定的组播组只能发送等于或小于该组播组地址所定义的速率的数据流，因此具有更好的安全性和可管理性；

2.假设某个园区网的单播地址为2001:DB8:yyyy::/48，专用组播源的单播地址则为2001:DB8:ABCD:yyyy::/64，其中ABCD为本例中的专用组播源地址的标识，yyyy是园区网/48地址对应的标识，对于RFC 4291，RFC 3306，RFC 3307定义的特定源(SSM)组播地址，本发明方法的定义及分配方案如下：

支持园区网范围(Campus Scope)，主干网范围(Backbone Scope)和全球范围(Global Scope)的SSM的IPv6组播组地址格式为：

(4)园区网范围：FF35::wxxx:ABCD/96，

(5)主干网范围：FF38::wxxx:ABCD/96，

(6)全球范围：FF3e::wxxx:ABCD/96，

其中，w标识该组播组地址所支持应用的最大带宽需求，目前定义的w为：

0x8：0.1Mbps，

0xC：1Mbps，

0xE：10Mbps，

0xF：100Mbps，

xxx为用户自行分配的组播地址范围；

路由器对于组播源地址和组地址控制的配置方法为：允许源地址2001:DB8:ABCD:yyyy::/64发送到组地址FF3z:0:0:0:0:0:w000::/100(z的取值范围为5，8，e)，拒绝所有其他源地址发送到组地址FF00::/8。

路由器对于特定组的流量控制方法为：控制任意源地址，组地址为FF3z:0:0:0:0:0:8000::/100的流量限制为0.1Mbps，控制任意源地址，组地址为FF3z:0:0:0:0:0:C000::/100的流量限制为1Mbps，控制任意源地址，组地址为FF3z:0:0:0:0:0:E000::/100的流量限制为10Mbps，控制任意源地址，组地址为FF3z:0:0:0:0:0:F000::/100的流量限制为100Mbps(z的取值范围为5，8，e)。

3.假设某个园区网的单播地址为2001:DB8:yyyy::/48，专用组播源的单播地址则为2001:DB8:ABCD:yyyy::/64，其中ABCD为本例中的专用组播源地址的标识，yyyy是园区网/48地址对应的标识，对于RFC4291，RFC3306或RFC3307定义的任意源(ASM)组播地址，本发明方法的定义及分配方案如下：

支持园区网范围(Campus Scope)的、主干网范围(Backbone Scope)和全球范围(Global Scope)的ASM(静态RP)的组播组地址格式为：

(3)园区网范围：FF35:0020:2001:DB8::wxxx:ABCD/96，

(2)主干网范围：FF38:0020:2001:DB8::wxxx:ABCD/96，

(3)全球范围：FF3e:0020:2001:DB8::wxxx:ABCD/96，

其中，w标识该组播组地址所支持应用的最大带宽需求，目前定义的w为：

0x8：0.1Mbps，

0xC：1Mbps，

0xE：10Mbps，

0xF：100Mbps，

xxx标识用户可以自行分配的组播地址范围；

路由器对于组播源地址和组地址控制的配置方法为：允许源地址2001:DB8:ABCD:yyyy::/64发送到组地址FF3z:0020:2001:DB8:0:0:w000::/100(z的取值范围为5，8，e)，拒绝所有其他源地址发送到组地址FF00::/8。

路由器对于特定组的流量控制方法为：控制任意源地址，组地址为FF3z:0020:2001:DB8:0:0:8000::/100的流量限制为0.1Mbps，控制任意源地址，组地址为FF3z:0020:2001:DB8:0:0:C000::/100的流量限制为1Mbps，控制任意源地址，组地址为FF3z:0020:2001:DB8:0:0:E000::/100的流量限制为10Mbps，控制任意源地址，组地址为FF3z:0020:2001:DB8:0:0:F000::/100的流量限制为100Mbps(z的取值范围为5，8，e)。

4.假设某个园区网的单播地址为2001:DB8:yyyy::/48，专用组播源的单播地址则为2001:DB8:ABCD:yyyy::/64，其中ABCD为本例中的专用组播源地址的标识，yyyy是园区网/48地址对应的标识，对于RFC 4291，RFC 3306，RFC 3596定义的任意源(ASM)组播地址，如果嵌入式RP(Embedded RP)地址是：2001:DB8::1，本发明方法的定义及分配方案如下：支持园区网范围(Campus Scope)的、主干网范围(Backbone Scope)和全球范围(Global Scope)的ASM(Embedded RP)的组播组地址格式为：

(4)园区网范围：FF75:0120:2001:DB8::wxxx:ABCD/96，

(2)主干网范围：FF78:0120:2001:DB8::wxxx:ABCD/96，

(3)全球范围：FF7e:0120:2001:DB8::wxxx:ABCD/96，

其中，w标识该组播组地址所支持应用的最大带宽需求，目前定义的w为：

0x8：0.1Mbps，

0xC：1Mbps，

0xE：10Mbps，

0xF：100Mbps，

xxx标识用户可以自行分配的组播地址范围；

路由器对于组播源地址和组地址控制的配置方法为：允许源地址2001:DB8:ABCD:yyyy::/64发送到组地址FF7z:0120:2001:DB8:0:0:w000::/100(z的取值范围为5，8，e)，拒绝所有其他源地址发送到组地址FF00::/8。

路由器对于特定组的流量控制方法为：控制任意源地址，组地址为FF7z:0120:2001:DB8:0:0:8000::/100的流量限制为0.1Mbps，控制任意源地址，组地址为FF7z:0120:2001:DB8:0:0:C000::/100的流量限制为1Mbps，控制任意源地址，组地址为FF7z:0120:2001:DB8:0:0:E000::/100的流量限制为10Mbps，控制任意源地址，组地址为FF7z:0120:2001:DB8:0:0:F000::/100的流量限制为100Mbps(z的取值范围为5，8，e)。

附图说明

图1是本发明方法提出的IPv6组播组地址补充定义格式；

具体实施方式

在CNGI-CERNET2上，按照以上定义方法，以清华大学、北京大学、上海交通大学、东南大学、西安交大等5所学校为例，各学校校园网用户分配特定源组播及任意源组播(静态RP)组地址方案如表1所示：

在思科(CISCO)路由器上对清华大学、上海交大、西安交大组播流的源地址的控制配置案例为：

ipv6 access-list multicast-source permit 2001:250:ABCD:200::/64 FF38:0:0:0:0:0:F000::/100

ipv6 access-list multicast-source deny any FF00::/8

在思科(CISCO)路由器上对上海交大组播流的源地址的控制配置案例为：

ipv6 access-list multicast-source permit 2001:250:ABCD:6000::/64FF38:0:0:0:0:0:F000::/100

ipv6 access-list multicast-source deny any FF00::/8

在思科(CISCO)路由器上对西安交大组播流的源地址的控制配置案例为：

ipv6 access-list multicast-source permit 2001:250:ABCD:1001::/64FF38:0:0:0:0:0:F000::/100

ipv6 access-list multicast-source deny any FF00::/8

表示：除了2001:250:ABCD:200::/64、2001:250:ABCD:6000::/64和2001:250:ABCD:1001::/64的地址外，其他源地址发往任意组地址的组播通信都不能成功。同时在路由器上对IPv6SSM组播路由状态(S，G)进行监控，检查源地址和组地址的匹配情况，可以很好地防止非认证源攻击。

在思科(CISCO)路由器上对组播流量控制的配置案例为：

政策映射：

policy-map limit-multicast

class multicast-ipv6-100k

police cir 100000 bc 3125 be 3125 conform-action transmit exceed-action drop violate-action

drop class multicast-ipv6-1m

police cir 1000000 bc 31250 be 31250 conform-action transmit exceed-action drop violate-action

drop class multicast-ipv6-10m

police cir 10000000 bc 312500 be 312500 conform-action transmit exceed-action drop

violate-action drop class multicast-ipv6-100m

police cir 100000000 bc 3125000 be 3125000 conform-action transmit exceed-action drop

violate-action drop

！

类别映射：

class-map match-all multicast-ipv6-100k

match access-group name multicast-ipv6-100k

class-map match-all multicast-ipv6-1m

match access-group name multicast-ipv6-1m

class-map match-all multicast-ipv6-10m

match access-grcup name multicast-ipv6-10m

class-map match-all multicast-ipv6-100m

match access-group name multicast-ipv6-100m

！

地址控制：

ipv6 access-list multicast-ipv6-100k permit ipv6 any FF3E::8000:0/112

ipv6 access-list multicast-ipv6-1m   permit ipv6 any FF3E::C000:0/112

ipv6 access-list multicast-ipv6-10m  permit ipv6 any FF3E::E000:0/112

ipv6 access-list multicast-ipv6-100m permit ipv6 any FF3E::F000:0/112

端口配置：

interface GigabitEthernet7/22

bandwidth 100000

ip address 202.38.97.113 255.255.255.252

ip route-cache flow

ipv6 address 2001:DA8:AAAF::1/64

mls netflow sampling

service-policy output limit-multicast

在遵循RFC关于IPv6组播组地址格式定义及分配原则的基础上，通过细化定义其中的32比特用户自定义位，将组播源单播地址及组播支持应用所需带宽需求嵌入其中的20比特，对原RFC的有关规定进行了扩充。面向特定源组播SSM和任意源组播ASM等协议的组播组新定义格式，有效地解决了组播源认证及抗DOS攻击的安全问题，为更好地实现大规模IPv6非隧道组播网络的运行与管理提供了基础。