專利名稱:一種確保IPv6重定向消息安全的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機數(shù)據(jù)通信領(lǐng)域���,尤其涉及一種確保IPv6重定向消息安全的方法和系統(tǒng)。
背景技術(shù):
在IPv6網(wǎng)絡(luò)中��,路由器能夠發(fā)送給IPv6主機重定向消息(Redirect Message)��,告知主機存在一個更好的下一跳��,或者通過重定向報文告知主機目的地址是一個鄰居節(jié)點����, 無需通過路由器轉(zhuǎn)發(fā)。這樣����,IPv6主機可以將流量重定向至更優(yōu)的下一跳,或者直接轉(zhuǎn)至鄰居節(jié)點�����。但遺憾的是,目前主機節(jié)點接收IPv6重定向消息并不作身份驗證����,如果有惡意節(jié)點發(fā)送非法IPv6重定向消息給合法主機節(jié)點��,主機節(jié)點會把其中下一跳鄰居信息取代合法的下一跳鄰居信息����,使網(wǎng)絡(luò)不可用或把流量導(dǎo)向非法節(jié)點,因此保證IPv6重定向消息的合法使用是目前IPv6網(wǎng)絡(luò)設(shè)備必須做到的��。
發(fā)明內(nèi)容
本發(fā)明的目的在于提出一種確保IPv6重定向消息安全的方法和系統(tǒng)���,以保證 IPv6重定向消息的安全使用�����,防止惡意IPv6重定向消息的轉(zhuǎn)發(fā)���。為達此目的,本發(fā)明采用以下技術(shù)方案一種確保IPv6重定向消息安全的方法�����,包括以下步驟A、交換機開啟IPv6重定向消息安全功能���,為交換機配置信任端口 ���;B、接收IPv6重定向消息報文C���、判斷IPv6重定向消息報文的接收端口是否屬于配置的信任端口�,若屬于�,則轉(zhuǎn)發(fā)至IPv6主機,若不屬于�,則丟棄該報文;D�、所述IPv6主機收到轉(zhuǎn)發(fā)的IPv6重定向消息報文,將目的緩存或者鄰居緩存指向重定向的目標主機地址�����。步驟A中�����,配置的信任端口為交換機上連接IPv6路由器的二層端口和/或匯聚端□�����。步驟C中,當IPv6重定向消息報文的接收端口屬于信任端口時�,查詢鄰居表項,從連接IPv6主機的端口將IPv6重定向消息報文轉(zhuǎn)發(fā)出去�����。一種確保IPv6重定向消息安全的系統(tǒng)����,包括接收模塊��、端口配置模塊��、處理模塊和轉(zhuǎn)發(fā)模塊��,其中處理模塊分別與接收模塊��、端口配置模塊和轉(zhuǎn)發(fā)模塊連接���;所述接收模塊�,用于接收IPv6重定向消息報文��;所述端口配置模塊,用于為交換機配置信任端口 ����;所述處理模塊,用于讀取所述IPv6重定向消息報文的接收端口信息����,判斷IPv6重定向消息報文的接收端口是否屬于配置的信任端口,若屬于�,則將所述IPv6重定向消息報文發(fā)送給轉(zhuǎn)發(fā)模塊;若不屬于���,則丟棄所述IPv6重定向消息報文���;所述轉(zhuǎn)發(fā)模塊,用于將處理模塊發(fā)來的IPv6重定向消息報文轉(zhuǎn)發(fā)至所述IPv6重定向消息報文的目的主機����。所述端口配置模塊為交換機配置的信任端口,為交換機上連接IPv6路由器的二層端口和/或匯聚端口���。所述處理模塊判斷IPv6重定向消息報文的接收端口屬于信任端口時����,轉(zhuǎn)發(fā)模塊查詢鄰居表項,從連接所述IPv6重定向消息報文的目的主機的端口將IPv6重定向消息報文轉(zhuǎn)發(fā)出去�����。采用本發(fā)明的技術(shù)方案���,保證了 IPv6重定向消息的安全使用���,防止惡意IPv6重定向消息的轉(zhuǎn)發(fā)���,確保網(wǎng)絡(luò)的正常工作�。
圖1是本發(fā)明具體實施方式
提供的確保IPv6重定向消息安全的方法流程示意圖�。圖2是本發(fā)明具體實施方式
提供的確保IPv6重定向消息安全的系統(tǒng)結(jié)構(gòu)示意圖。
具體實施例方式下面結(jié)合附圖并通過具體實施方式
來進一步說明本發(fā)明的技術(shù)方案���。圖1是本發(fā)明具體實施方式
提供的確保IPv6重定向消息安全的方法流程示意圖���。 如圖1所示,該方法包括以下步驟步驟S101�,交換機開啟IPv6重定向消息安全功能,為交換機配置信任端口���。交換機開啟IPv6重定向消息安全功能后����,將IPv6重定向消息報文重定向至CPU 的規(guī)則下發(fā)至交換芯片,使交換芯片收到IPv6重定向消息報文報文時��,將報文重定向至交換機的CPU���,由CPU進行軟件的解析和轉(zhuǎn)發(fā)����。IPv6重定向消息報文的特征為以太首部第17���,18字節(jié)的以太類型為0訪6(1(1; ipv6首部第6字節(jié)的nexthdr為58 �;ipv6首部第41字節(jié)的icmpv6類型為137����。所述為交換機配置的信任端口為交換機上連接IPv6路由器的二層端口和/或匯
聚端口。通常交換機上用來連接路由器的端口數(shù)量要少于用來連接主機節(jié)點的端口數(shù)量��, 而安全的IPv6重定向消息報文來自路由器����,非安全的IPv6重定向消息報文往往來自惡意主機節(jié)點���。因此在為交換機配置所述信任端口時,通常將交換機上連接IPv6路由器的二層端口和/或匯聚端口配置為信任端口�����,其他未進行配置的端口則均缺省為非信任端口�。這樣,需要進行配置的端口數(shù)量較少����,方便用戶操作和更改端口配置。步驟S102����,接收IPv6重定向消息報文���。開啟IPv6重定向消息安全功能后���,由于IPv6重定向消息報文重定向至CPU的規(guī)則已生效,IPv6重定向消息報文到達交換機端口后�����,被交換芯片送到交換機CPU處理。步驟S103�����,判斷IPv6重定向消息報文的接收端口是否屬于配置的信任端口�����,若屬于�,則轉(zhuǎn)發(fā)至IPv6主機,若不屬于�,則丟棄該報文。IPv6重定向消息報文重定向至交換機的CPU�,由CPU進行軟件的解析和轉(zhuǎn)發(fā)。運行在CPU的軟件里對每一個報文由一個軟件結(jié)構(gòu)來指向�,里面包含表示接收端口的字段。 交換芯片將報文送到CPU后��,收包驅(qū)動從芯片的寄存器里讀出端口號�����,寫到該報文的軟件結(jié)構(gòu)的端口字段里���。運行在CPU的軟件讀取該字段中的端口信息��,與步驟SlOl中配置的信任端口信息進行匹配�;如果屬于所述信任端口,則將該端口收到的IPv6重定向消息報文轉(zhuǎn)發(fā)至該報文的目標IPv6主機�����;如果不屬于所述信任端口���,則直接丟棄該IPv6重定向消息報文���。這樣便使惡意主機節(jié)點發(fā)送的非法IPv6重定向消息報文,無法到達其目標IPv6主機���, 保證了 IPv6重定向消息的安全使用����。步驟S104����,所述IPv6主機收到轉(zhuǎn)發(fā)的IPv6重定向消息報文��,將目的緩存或者鄰居緩存指向重定向的目標主機地址�����。這樣,便告知所述IPv6主機�����,存在一個更好的下一跳或者通過重定向報文告知目的地址是一個鄰居節(jié)點���,無需通過路由器轉(zhuǎn)發(fā)�����。所述IPv6主機可以將其流量重定向至更優(yōu)的下一跳��,或者直接轉(zhuǎn)至鄰居節(jié)點��。圖2是本發(fā)明具體實施方式
提供的確保IPv6重定向消息安全的系統(tǒng)結(jié)構(gòu)示意圖��。 如圖2所示��,所述系統(tǒng)包括接收模塊201����、端口配置模塊202、處理模塊203和轉(zhuǎn)發(fā)模塊204����, 其中處理模塊分別與接收模塊、端口配置模塊和轉(zhuǎn)發(fā)模塊連接�;所述接收模塊201,用于接收IPv6重定向消息報文��;所述端口配置模塊202��,用于為交換機配置信任端口 �;所述處理模塊203,用于讀取所述IPv6重定向消息報文的接收端口信息�,判斷 IPv6重定向消息報文的接收端口是否屬于配置的信任端口,若屬于��,則將所述IPv6重定向消息報文發(fā)送給轉(zhuǎn)發(fā)模塊��;若不屬于�����,則丟棄所述IPv6重定向消息報文��;所述轉(zhuǎn)發(fā)模塊204����,用于將處理模塊發(fā)來的IPv6重定向消息報文轉(zhuǎn)發(fā)至所述IPv6 重定向消息報文的目的主機。當交換機開啟IPv6重定向消息安全功能后���,將IPv6重定向消息報文重定向至CPU 的規(guī)則下發(fā)至所述交換芯片���,所述交換芯片收到IPv6重定向消息報文報文時,將報文重定向至CPU��,CPU進行軟件的解析和轉(zhuǎn)發(fā)���。IPv6重定向消息報文重定向至交換機的CPU�,由運行在CPU的軟件系統(tǒng)進行解析和轉(zhuǎn)發(fā)�����。運行在CPU的軟件里對每一個報文由一個軟件結(jié)構(gòu)來指向����,里面包含表示接收端口的字段。交換芯片將報文送到CPU后�����,收包驅(qū)動從芯片的寄存器里讀出端口號,寫到該報文的軟件結(jié)構(gòu)的端口字段里����。運行在CPU的軟件系統(tǒng)中的接收模塊接收所述軟件結(jié)構(gòu)的IPv6重定向消息報文,將其發(fā)送到處理模塊�����。所述處理模塊讀取軟件結(jié)構(gòu)中端口字段的端口信息�,與端口配置模塊配置的信任端口進行匹配;如果屬于所述信任端口��,則將所述 IPv6重定向消息報文發(fā)送到轉(zhuǎn)發(fā)模塊���,由轉(zhuǎn)發(fā)模塊將IPv6重定向消息報文轉(zhuǎn)發(fā)至目的主機�;如果不屬于所述信任端口����,則直接丟棄該IPv6重定向消息報文。這樣便使惡意主機節(jié)點發(fā)送的非法IPv6重定向消息報文�,無法到達其目的IPv6主機,保證了 IPv6重定向消息的安全使用�����。所述端口配置模塊為交換機配置的信任端口,為交換機上連接IPv6路由器的二層端口和/或匯聚端口����。在為交換機配置所述信任端口時�,通常將交換機上連接IPv6路由器的二層端口和/或匯聚端口配置為信任端口,其他未進行配置的端口則均缺省為非信任端口����。這樣,需要進行配置的端口數(shù)量較少���,方便用戶操作和更改端口配置����。所述處理模塊判斷IPv6重定向消息報文的接收端口屬于所述端口模塊配置的信任端口時���,轉(zhuǎn)發(fā)模塊查詢鄰居表項����,從連接所述IPv6重定向消息報文的目的主機的端口將 IPv6重定向消息報文轉(zhuǎn)發(fā)出去�。
連接到所述交換機的IPv6主機收到轉(zhuǎn)發(fā)的IPv6重定向消息報文,將目的緩存或者鄰居緩存指向重定向的目標主機地址����。這樣���,該IPv6主機便能夠得知還存在一個更優(yōu)的下一跳或者通過重定向報文告知目的地址是一個鄰居節(jié)點,無需通過路由器轉(zhuǎn)發(fā)��。所述 IPv6主機可以將其流量重定向至更優(yōu)的下一跳��,或者直接轉(zhuǎn)至鄰居節(jié)點��。采用以上本發(fā)明具體實施方式
的技術(shù)方案�����,保證了 IPv6重定向消息的安全使用�����, 防止惡意IPv6重定向消息的轉(zhuǎn)發(fā)��,確保網(wǎng)絡(luò)的正常工作�����。以上所述�,僅為本發(fā)明較佳的具體實施方式
�,但本發(fā)明的保護范圍并不局限于此��, 任何熟悉該技術(shù)的人在本發(fā)明所揭露的技術(shù)范圍內(nèi)�����,可輕易想到的變化或替換�,都應(yīng)涵蓋在本發(fā)明的保護范圍之內(nèi)�����。因此�����,本發(fā)明的保護范圍應(yīng)該以權(quán)利要求的保護范圍為準�����。
權(quán)利要求
1.一種確保IPv6重定向消息安全的方法����,其特征在于,包括以下步驟A����、交換機開啟IPv6重定向消息安全功能���,為交換機配置信任端口;B���、接收IPv6重定向消息報文C���、判斷IPv6重定向消息報文的接收端口是否屬于配置的信任端口,若屬于�����,則轉(zhuǎn)發(fā)至 IPv6主機�,若不屬于,則丟棄該報文����;D、所述IPv6主機收到轉(zhuǎn)發(fā)的IPv6重定向消息報文�����,將目的緩存或者鄰居緩存指向重定向的目標主機地址。
2.根據(jù)權(quán)利要求1所述的確保IPv6重定向消息安全的方法��,其特征在于�,步驟A中,配置的信任端口為交換機上連接IPv6路由器的二層端口和/或匯聚端口�。
3.根據(jù)權(quán)利要求1或2所述的確保IPv6重定向消息安全的方法,其特征在于�����,步驟C 中��,當IPv6重定向消息報文的接收端口屬于信任端口時����,查詢鄰居表項�,從連接IPv6主機的端口將IPv6重定向消息報文轉(zhuǎn)發(fā)出去。
4.一種確保IPv6重定向消息安全的系統(tǒng)�����,其特征在于����,包括接收模塊、端口配置模塊�、 處理模塊和轉(zhuǎn)發(fā)模塊�,其中處理模塊分別與接收模塊����、端口配置模塊和轉(zhuǎn)發(fā)模塊連接;所述接收模塊��,用于接收IPv6重定向消息報文��;所述端口配置模塊�����,用于為交換機配置信任端口 ��;所述處理模塊����,用于讀取所述IPv6重定向消息報文的接收端口信息,判斷IPv6重定向消息報文的接收端口是否屬于配置的信任端口�,若屬于,則將所述IPv6重定向消息報文發(fā)送給轉(zhuǎn)發(fā)模塊�����;若不屬于,則丟棄所述IPv6重定向消息報文�����;所述轉(zhuǎn)發(fā)模塊����,用于將處理模塊發(fā)來的IPv6重定向消息報文轉(zhuǎn)發(fā)至所述IPv6重定向消息報文的目的主機。
5.根據(jù)權(quán)利要求4所述的確保IPv6重定向消息安全的系統(tǒng)��,其特征在于�,所述端口配置模塊為交換機配置的信任端口,為交換機上連接IPv6路由器的二層端口和/或匯聚端
6.根據(jù)權(quán)利要求4或5所述的確保IPv6重定向消息安全的系統(tǒng)��,其特征在于����,所述處理模塊判斷IPv6重定向消息報文的接收端口屬于信任端口時�����,轉(zhuǎn)發(fā)模塊查詢鄰居表項�,從連接所述IPv6重定向消息報文的目的主機的端口將IPv6重定向消息報文轉(zhuǎn)發(fā)出去。
全文摘要
本發(fā)明公開了一種確保IPv6重定向消息安全的方法和系統(tǒng)�����,交換機開啟IPv6重定向消息安全功能,為交換機配置信任端口���;接收IPv6重定向報文�����;判斷IPv6重定向消息報文的接收端口是否屬于配置的信任端口�,若屬于��,則轉(zhuǎn)發(fā)至IPv6主機���,若不屬于��,則丟棄該報文�。采用本發(fā)明的技術(shù)方案���,保證了IPv6重定向消息的安全使用����,防止惡意IPv6重定向消息的轉(zhuǎn)發(fā)��,確保網(wǎng)絡(luò)的正常工作。
文檔編號H04L29/06GK102571807SQ20121002749
公開日2012年7月11日 申請日期2012年2月8日 優(yōu)先權(quán)日2012年2月8日
發(fā)明者梁小冰 申請人:神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司