| 发明名称 | IPv6接入网真实源地址访问的准入控制方法 | ||
| 摘要 | 本发明涉及互联网准入控制领域,其特征在于该方法通过一个由真实源地址准入验证服务器、真实源地址准入交换机和真实源地址准入客户端构成的系统对用户进行准入控制,其中,准入验证服务器对用户身份进行验证,分配相应的IPv6地址区间,并建立两者的对应关系,准入交换机从所述服务器得到用户IPv6地址区间后,同客户端MAC地址以及用户访问该交换机端口号关联起来,写入绑定关系表,并将IPv6地址发送给客户端,客户端从中解析出IPv6地址空间配置到IPv6分组发送模块,IPv6分组模块发送以该IPv6地址为源地址的IPv6分组,交给准入交换机过滤。本发明使用户不能随意仿造源MAC地址以及IPv6源地址来攻击网络。 | ||
| 申请公布号 | CN100405796C | 申请公布日期 | 2008.07.23 |
| 申请号 | CN200610113191.8 | 申请日期 | 2006.09.19 |
| 申请人 | 清华大学 | 发明人 | 吴建平;段海新;毕军;阳旺;任罡;张洪;魏克 |
| 分类号 | H04L29/06(2006.01);H04L12/56(2006.01);H04L9/32(2006.01) | 主分类号 | H04L29/06(2006.01) |
| 代理机构 | 代理人 | ||
| 主权项 | 1.IPv6接入网真实源地址访问的准入控制方法,其特征在于,所述方法是在由真实源地址准入验证服务器、真实源地址准入交换机和真实源地址准入客户端组成的系统中依次按以下步骤实现:步骤(1),初始化在所述真实源地址验证服务器上设置身份认证模块、IPv6地址分配模块、地址管理模块和真实源地址准入控制协议服务器模块,其中:身份认证模块存有由用户名、用户密码构成的用户账号信息,用以对请求接入网络的用户进行身份认证;IPv6地址分配模块,其数据结构含有动态地址和静态地址分配表,其中,动态地址表存有暂未使用的待分配IPv6地址区间,而静态地址分配表含有用户名与IPv6地址区间的一一对应关系,以便为认证成功的用户分配授权使用的IPv6地址区间;地址管理模块,存有地址管理表,其中包含IPv6地址、用户名、交换机的IPv6地址和用户访问的交换机接口,以便在从IP地址分配模块获取到为用户分配的IPv6地址区间后,将该地址区间和用户名、同连接用户端的真实源地址准入交换机的IPv6地址及相应端口相关联,以便地址管理模块通过网络管理协议对所述真实源地址准入交换机进行远程控制管理;在所述真实源地址准入交换机上设置真实源地址过滤模块以及真实源地址准入控制协议代理模块,其中:真实源地址过滤模块,存有源地址绑定表,其中包含用户IPv6地址、真实源地址准入客户端MAC地址以及用户访问的所述真实源地址准入交换机的端口号,以便所述代理模块获取由真实源地址准入控制协议服务器模块所分配的用户IPv6地址区间,并将其与所述MAC地址以及用户要访问的所述准入交换机端口关联起来形成源地址绑定表;在所述真实源地址准入客户端上设置有IPv6分组发送模块和真实源地址准入控制协议客户端模块,其中:用户IPv6分组发送模块,把收到的用户IPv6分组通过所述准入交换机端口送入真实源地址过滤模块,该模块根据源地址绑定表,检查所述IPv6分组的源IPv6地址和源MAC地址是否分别对应绑定表中的IPv6地址和MAC地址,若不满足,则把该IPv6分组丢弃,若满足,则检查该IPv6分组是否为邻居发现协议中的邻居查询Neighbor Solicitation分组,或者是邻居通知Neighbor Advertisement分组,若不是,允许分组通过,若是,则检查该分组中属性TargetAddress以及Target Link-layer Address是否分别对应绑定关系表中IPv6地址和MAC地址,若存在,便允许该IPv6分组通过,否则,便丢弃;步骤(2),系统依次按以下步骤进行准入控制:步骤(2.1),客户端模块通过用户界面提取用户名与密码,根据用户名来构造可扩展身份认证协议请求EAP-Request,发送给所述代理模块;步骤(2.2),该代理模块收到EAP-Request以后,将该EAP-Request、交换机IPv6地址、客户端连接准入交换机的端口号封装在远程拨入用户服务协议接入请求Radius AccessRequest分组中,发送给所述服务器;步骤(2.3),所述验证服务器首先运行身份认证模块,通过用户名及密码对用户的身份进行验证,若失败,便向该代理模块发送远程认证拨入用户服务协议接入拒绝Radius AccessReject分组,不允许访问网络;若成功,进入步骤(2.4);步骤(2.4),IPv6地址分配模块根据身份认证模块提供的用户身份信息分配IPv6地址区间,并将其提交给地址管理模块,地址管理模块将对应关系写入地址管理表;步骤(2.5),收到地址管理模块发来的IPv6地址区间信息后,把该地址区间附加在远程认证拨入用户服务协议接入接受Radius Access Accept分组中,并发送给发出对应RadiusAccess Request的真实源地址准入控制协议代理模块;步骤(2.6),该真实源地址准入控制协议代理模块收到所述服务器发来的Radius AccessAccept分组后,从中取出分配的IPv6地址区间,交给真实源地址过滤模块形成对应关系并写入绑定关系表,并将分配的IPv6地址区间附加在可扩展身份认证协议成功EAP-Success分组中,发送给客户端;步骤(2.7),客户端在接收到EAP-Success分组后,把其中的IPv6地址区间解析出来,配置到IPv6分组发送模块,IPv6分组模块发送以该IPv6地址为源地址的IPv6分组;步骤(2.8),真实源地址过滤模块收到IPv6分组发送模块发送的IPv6分组以后,对分组进行过滤。 | ||
| 地址 | 100084北京市100084-82信箱 | ||