IPv6环境下提高邻居发现安全性的方法及宽带接入设备

摘要

一种IPv6环境下提高邻居发现安全性的方法及宽带接入设备，用户节点对临时IP地址进行重复地址检测时，向所属的宽带接入设备发送邻节点请求报文并携带所述用户节点的临时IP地址和MAC地址；所述宽带接入设备收到所述邻节点请求报文后，只在判断出所述邻接表中已有包含所述临时IP地址的记录但该记录中的MAC地址与所述邻节点请求报文中的MAC地址不同时，向所述用户节点返回邻节点公告报文。本发明方法能够有效防止重复地址检测DoS攻击，阻断被DoS攻击节点的通信，避免整个链路通信的瘫痪。

说明书

技术领域

本发明涉及IP Version 6(IPv6)网络，更具体地，涉及IPv6网络中的邻居发现(Neighbor Discovery，ND)过程及其所用的宽带接入设备。

背景技术

IPv6邻居发现(Neighbor Discovery，ND)是一组确定邻居节点之间关系的消息和过程。ND代替在IP Version 4(IPv4)中使用的“地址解析协议(Address Resolution Protocol，ARP)”、“Internet控制消息协议(InternetControl Message Protocol，ICMP)”、“路由器发现”和“ICMP重定向”，并提供了其他功能。ND在RFC 2461“Neighbor Discovery for IP Version 6(IPv6)”中说明。

当一个用户节点的网络接口开始启用时，将首先根据该网络接口的48位媒体访问控制(Media Access Control，MAC)地址生成64位的接口标识符(Interface Identifier，interface ID)(若考虑到网络通信时的身份隐秘问题，此时的Interface ID将根据RFC 3041随机生成)。将此interface ID加上链路本地地址前缀FE80::/64，网络接口得到一个临时链路本地地址，即网络接口的临时IP地址。在将这个临时IP地址绑定到网络接口之前，为了防止与其他节点的IP地址冲突，需对此临时IP地址进行重复地址检测(DuplicateAddress Detection，DAD)，该用户节点向该IP地址的请求节点多播地址(solicited node multicast address)FF02::1:FFXX::XXXX(“X”表示在十六进制的0-F范围中任意取值)发送一个多播邻居请求报文(也即下文中的邻节点请求报文和DAD报文)，其数据帧的目的MAC地址为对应于请求节点多播地址的以太网多播地址33:33:FF:XX:XX:XX。用户节点同时也会向该多播地址发送多播监听报告(multicast listener report)。

若用户节点收到一个来自此临时IP地址的邻节点公告报文，则说明本链路有其他节点在使用此IP地址，本用户节点只能再随机生成interface ID或由管理员进行手工配置。

链路内的恶意攻击节点可以监听本链路的DAD报文，提取出每一个DAD报文中的待检测地址，即前述临时IP地址，并以此地址伪造一个邻节点公告报文(NA)数据包进行回复。这样被攻击节点接收伪造的数据包后会认为此地址已被使用，从而只能再生成一个新的临时IP地址，并进行DAD，再次发送DAD报文。攻击节点一直针对DAD数据包进行回复，所以将导致被攻击节点始终无法获得经检测不重复的IP地址，从而切断了被攻击节点与外界的联系。恶意攻击节点就这样借助重复地址检测中的漏洞，达成了拒绝服务(Denial of Service，DoS)攻击。

由于链路内的攻击节点无须利用任何欺骗手段就直接能接收到整个链路内的所有DAD报文(即使在数据交换网络环境下，交换机是根据数据包的源MAC地址来进行端口绑定，目的MAC为以太网多播地址33:33:FF:XX:XX:XX的DAD报文将被转发到网络设备上的各个端口)。若攻击者对整个链路内的DAD报文进行回复，则将造成整个链路通信的瘫痪。在实验中，重复地址检测DoS攻击能有效阻断被攻击节点的通信。

同时，路由器上的邻居表中有该路由器所服务的所有用户节点的IP地址和媒体访问控制(Media Access Control，MAC)地址信息。为了保持该表可用，路由器会定期向用户节点发送主机请求报文去解析用户MAC地址。目前还没有相应的安全机制来保证用户节点IPv6地址信息不扩散到其他用户节点的线路上，从而难以保证用户数据流的安全。

发明内容

本发明要解决的技术问题是提供一种IPv6环境下提高邻居发现安全性的方法，能够有效防止重复地址检测DoS攻击，阻断被DoS攻击节点的通信，避免整个链路通信的瘫痪。

为了解决上述问题，本发明提供了一种IPv6环境下提高邻居发现安全性的方法，包括：

用户节点对临时IP地址进行重复地址检测时，向所属的宽带接入设备发送邻节点请求报文并携带所述用户节点的临时IP地址和MAC地址；

所述宽带接入设备收到所述邻节点请求报文后，只在判断出所述邻接表中已有包含所述临时IP地址的记录但该记录中的MAC地址与所述邻节点请求报文中的MAC地址不同时，向所述用户节点返回邻节点公告报文。

进一步地，上述方法还可具有以下特点：

所述宽带接入设备如判断所述邻接表中已有包含所述临时IP地址的记录且该记录中的MAC地址与所述邻节点请求报文中的MAC地址相同，则丢弃所述邻节点请求报文且不回应。

进一步地，上述方法还可具有以下特点：

所述宽带接入设备如判断所述邻接表的记录中没有所述临时IP地址，则将所述邻节点请求报文中的临时IP地址和MAC地址保存到所述邻接表的一条记录中。

进一步地，上述方法还可具有以下特点：

所述邻接表的一条记录中包括有IP地址、MAC地址和所在线路信息，所述宽带接入设备如判断所述邻接表的记录中没有所述临时IP地址，还将发送邻节点请求报文的所述用户节点的所在线路信息与所述邻节点请求报文中的临时IP地址和MAC地址保存到同一条记录。

本发明还提供了一种用于实现上述方法的宽带接入设备，包含存储模块、解析模块、判断模块和响应模块，其中：

所述存储模块用于保存邻接表，所述邻接表包含用户节点的IP地址字段和MAC地址字段；

所述解析模块用于解析出收到的邻节点请求报文中的临时IP地址和MAC地址，并传送到所述判断模块；

所述判断模块用于在判断出所述邻接表的记录中有所述临时IP地址，且该记录中的MAC地址与所述邻节点请求报文中的用户MAC地址相同时，指示所述响应模块进行响应，在其他情况下，不指示所述响应模块进行响应；

所述响应模块用于在收到所述判断模块发送的进行响应的指示后，向发送邻节点请求报文的所述用户节点回应一个邻节点公告报文。

进一步地，上述宽带接入设备还可具有以下特点：

所述判断模块还用于在判断出所述邻接表的记录中没有所述临时IP地址时，在所述邻接表中增加一条记录，在该记录的IP地址字段和MAC地址字段分别保存所述邻节点请求报文中的临时IP地址和MAC地址。

进一步地，上述宽带接入设备还可具有以下特点：

所述存储模块保存的所述邻接表还包含所在线路信息字段，所述判断模块在判断出所述邻接表的记录中没有所述临时IP地址时，还将发送邻节点请求报文的用户节点的所在线路信息保存在所述增加的记录中的所在线路信息字段。

基于上述方法和宽带接入设备，用户节点发出的邻节点请求报文不转发到其他用户线路，只由宽带接入设备统一控制和统一答复，其他用户不可能通过ND请求进行攻击，因此能够有效阻断被DoS攻击节点的通信，避免整个链路通信的瘫痪。

本发明要解决的又一技术问题是提供一种IPv6环境下保证邻居发现安全的方法，能够保证用户IPv6地址信息不扩散到其他用户线路上。

为了解决上述问题，本发明提供了一种IPv6环境下提高邻居发现安全性的方法，包括：

宽带接入设备维护一邻接表，该邻接表中记录了所服务用户节点的IP地址、MAC地址和所在线路信息；

所述宽带接入设备收到网络侧发来的邻居发现请求报文后，根据该邻居发现请求报文中用户节点的IP地址查找邻接表中是否存在具有该IP地址的记录，如存在，根据该记录中的所在线路信息，将该邻居发现请求报文转发到相应的用户节点，否则丢弃该报文。

进一步地，所述宽带接入设备收到的网络侧发来的邻居发现请求报文可为路由器发来的主机请求报文。

本发明还提供了一种用于实现上述方法的宽带接入设备，包含存储模块、解析模块、判断模块和转发模块，其中：

所述存储模块用于保存邻接表，所述邻接表包含用户节点的IP地址字段、MAC地址字段和所在线路信息字段；

所述解析模块用于解析出网络侧发来的邻居发现请求报文中的IP地址，并传送到所述判断模块；

所述判断模块用于在判断出所述邻接表的记录中有解析模块传送来的IP地址时，指示所述转发模块转发所述邻居发现请求报文；

所述转发模块用于在收到所述判断模块发送的进行转发的指示后，根据所述邻接表具有所述IP地址的记录中的所在线路信息，将所述邻居发现请求报文转发到相应的用户节点。

基于上述方法和宽带接入设备，能够给予IPv6网络安全的ND机制，在保证用户节点正常的业务数据基础上，保证用户IPv6地址信息不扩散到其他用户的线路上，从而保证用户数据流的安全。

附图说明

图1是宽带接入网络的组网图；

图2是本发明第一实施例方法的信令流程的示意图；

图3是本发明第二实施例方法的流程图。

具体实施方式

下面分别用两个实施例来描述如何有效防止重复地址检测DoS攻击，以及如何有效防止用户IPv6地址信息扩散到其他用户线路的技术方案。当然，该两个实施例的方案也可以同时采用。

第一实施例

本实施例提供了如何有效防止重复地址检测DoS攻击的技术方案。

现有技术IPv6ND过程中，一个链路内的恶意攻击节点可以借助重复地址检测的漏洞进行DoS攻击，是因为用户的IPv6地址信息会扩散到链路内其他的节点上，恶意攻击节点可以监听本链路的所有DAD报文。本发明用户节点发出的邻节点请求报文不转发到其他用户线路，只由宽带接入设备统一控制和统一答复，因此其他用户不可能通过ND请求进行攻击。

下面结合附图对本实施例作进一步的详细说明：

宽带接入网络的组网图如图1所示，包括路由器、宽带接入设备以及与该宽带接入设备连接的多个用户节点，如图1中的主机1和主机2。其中宽带接入设备可以是多业务接入网络(Multi-Service Access Network，MSAN)、数字用户线路接入复用器(Digital Subscriber Line Access Multiplexer，DSLAM)或光线路终端(Optical Line Terminal，OLT))，能够提供二层汇聚能力以及安全能力。该宽带接入设备的网络侧和用户侧配置有不同类型的接口。在该系统中，不同用户节点之间是互相隔离的，不能二层(即数据链路层)互通，这里的用户节点也可以是其他类型的节点。

为了实现本实施例方法，需要对宽带接入设备进行改进，使其实现防止重复地址检测DoS攻击的功能。该宽带接入设备包含存储模块、解析模块、判断模块和响应模块，其中：

所述存储模块用于保存邻接表，所述邻接表包含用户节点的IP地址字段和MAC地址字段。

解析模块用于解析出收到的邻节点请求报文中的临时IP地址和MAC地址，并传送到判断模块。

判断模块用于在判断出邻接表的记录中有临时IP地址，且该记录中的MAC地址与邻节点请求报文中的用户MAC地址相同时，指示响应模块进行响应，在其他情况下，不指示响应模块进行响应；其中，在判断出邻接表的记录中没有临时IP地址时，在邻接表中增加一条记录，将邻节点请求报文中的临时IP地址(在这种情况下，该临时IP地址也即成为发送邻节点请求报文的用户节点的IP地址)、MAC地址和发送邻节点请求报文的用户节点的所在线路信息保存在该记录的相应字段。

响应模块用于在收到判断模块发送的进行响应的指示后，向发送邻节点请求报文的用户节点回应一个邻节点公告报文。

本实施例中，在宽带接入设备上启用ND与DHCP Snooping(监听)能力，获取用户节点的IP地址、MAC地址和所在线路信息并将同一用户节点的该3个信息绑定，记录在邻接表的一个记录中。邻接表结构如下表1所示，包含IP地址、MAC地址与所在线路信息等字段。不过，在其他实施方式中，也可以采用其他方式，甚至手工静态配置来维护该邻接表。

表1：邻接表结构

  IP地址  MAC地址  所在线路信息  ......  ......  ......

IPv6环境下，用户节点在启动时和在无状态自动配置过程中，当获得临时链路本地地址也即临时IP地址后，每一个用户节点都会通过DAD机制检测IP地址是否重复，验证临时IP地址的存在性，然后才可以使用该临时IP地址。

请参照图2，用户节点(图中用主机A表示)通过发送邻节点请求报文的方式给宽带接入设备发送ND请求进行DAD检测，该邻节点请求报文中包含用户节点的临时IP地址和MAC地址；

宽带接入设备解析收到的邻节点请求报文，获得其中的临时IP地址和MAC地址，用该临时IP地址到邻接表中搜索：

如果在邻接表中没有搜索到IP地址与该临时IP地址相同的记录，说明该IP地址在网络中未使用，则把该临时IP地址与MAC地址，以及该用户节点所在线路信息(该用户节点对应端口和虚拟局域网(Virtual Local AreaNetwork，VLAN)信息)添加到邻接表中，供下次查询，宽带接入设备不对该邻节点请求报文进行回应；

如果在邻接表中搜索到IP地址与该临时IP地址相同的记录，再比对记录中的MAC地址和邻节点请求报文中的MAC地址，如果两者不相同，说明该IP地址已经有被其他用户节点使用，宽带接入设备模拟那个已经使用该临时IP地址的用户节点，回应一个邻节点公告报文给发送邻节点请求报文的用户节点，该用户节点收到这个邻节点公告报文后，再产生一个新IP地址进行重新申请；

如果邻接表中有记录的IP地址与该临时IP地址相同，该记录中的MAC地址也与邻节点请求报文中的MAC地址相同，说明该用户节点已发出过邻节点请求报文，宽带接入设备直接默默丢弃此次收到的邻节点请求报文，不对该邻节点请求报文进行回应。

第二实施例

本实施例提供了如何有效防止用户IPv6地址信息扩散到其他用户线路的技术方案。

宽带接入网络的组网图和第一实施例相同，如图1所示。

路由器会定期向邻居表中记录的用户节点发出主机请求报文(即发起ND请求)，报文中携带用户节点的IP地址。

主机请求报文先发送到用户节点所属的宽带接入设备，为了不把用户节点的IP地址扩散到无关用户线路上，宽带接入设备必须将该主机请求报文转发到相应的用户线路上，用户节点收到该主机请求报文后向路由器发送回应，携带自己的MAC地址，路由器根据用户节点回应的内容刷新自己的邻居表，以保持邻居表数据可用。

本实施例中，宽带接入设备上的邻接表的维护可以采用与第一实施例相同的方式。如可以通过启用ND与DHCP Snooping能力来获取用户节点的IP地址、MAC地址和所在线路信息如从邻节点请求报文中获取，也可以采用其他方式，甚至手工静态配置来维护该邻接表。这里不再重复说明。

本实施例中，宽带接入设备包含存储模块、解析模块、判断模块和转发模块，其中：

存储模块用于保存邻接表，所述邻接表包含用户节点的IP地址字段、MAC地址字段和所在线路信息字段；

解析模块用于解析出网络侧发来的邻居发现请求报文(如路由器的主机请求报文)中的IP地址后，传送到判断模块；

判断模块用于在判断出邻接表的记录中有解析模块传送来的IP地址时，指示转发模块转发所述邻居发现请求报文；

转发模块用于在收到判断模块发送的进行转发的指示后，根据邻接表具有所述IP地址的记录中的所在线路信息，将邻居发现请求报文转发到相应的用户节点。

本实施例方法的流程如图3所示，包括：

步骤310，路由器向邻居表中记录的用户节点发出主机请求报文，报文中携带用户节点的IP地址；

步骤320，宽带接入设备收到路由器发来的主机请求报文后，解析出该报文中用户节点的IP地址，并根据该IP地址到邻接表中搜索：

步骤330，如搜索到具有该IP地址的记录，执行步骤340，否则，直接丢弃该主机请求报文且不进行回应，结束；

步骤340，宽带接入设备提取出所述记录中的用户线路信息，把收到的主机请求报文转发到该用户线路上。

这样，宽带接入设备不会把某个用户节点的IPv6地址信息转发到其他用户线路上，可以避免数据包被窃取而泄露该用户节点的IP地址，提高ND过程的安全性。

对于其他网络侧设备发来的ND请求报文，宽带接入设备也按相同的方式进行处理。

应当指出的是，本发明方法对本领域普通技术人员来说，可以根据本发明的技术方案及其有益效果进行改变或替换，而所有这些改变或替换都应属于本发明的权利要求的保护范围。