一种SMA组网的接入方法和装置制造方法及图纸

本申请提供一种基于状态机的伪造源地址检查SMA组网的接入方法和装置，SMA组网中的自治系统AS边界路由器AER执行以下方法：接收SMA组网外的终端发送的第一报文；获取所述第一报文的SMA报文头中的指定位；如果所述指定位的值与第一预设值匹配，则确认所述第一报文为由SMA组网外的终端发送给SMA组网内的自治系统控制服务器ACS的认证报文；将所述认证报文重定向到本AS内的ACS进行认证；接收所述ACS返回的认证结果，如果认证结果为通过，则允许所述终端访问本AS；如果认证结果为不通过，则禁止所述终端访问本AS。如此，便完成了SMA组网外终端接入SMA组网的过程，实现了SMA组网外终端的远程办公。

【技术实现步骤摘要】
一种SMA组网的接入方法和装置
本申请涉及通信
，尤其涉及一种SMA组网的接入方法和装置。
技术介绍
SMA(StateMachinebasedAnti-spoofing，基于状态机的伪造源地址检查)网络是一种IPv6(InternetProtocolVersion6，第6版互联网协议)自治系统间端到端的源地址验证方案，用来防止伪造源IPv6地址的攻击。该SMA网络包括相互信任的AS(AutonomousSystem，自治系统)组成的信任联盟，该AS包括ACS(ASControlServer，AS控制服务器)和与该ACS相连的AER(ASEdgeRouter，AS边界路由器)。ACS向REG(RegistrationCenter，联盟注册中心)注册成为信任联盟的成员后，REG负责将ACS的注册信息通知给同一个信任联盟内的其他成员ACS，使得ACS获知与哪些ACS属于同一个信任联盟，该ACS会与其他成员ACS建立连接，并将本地及从信任联盟中的其他ACS学习到的IPv6地址前缀和报文标签等信息发送给本AS的AER，以便AER根据IPv6地址前缀和报文标签等信息转发接收到的数据报文。本文档来自技高网...

【技术保护点】
一种基于状态机的伪造源地址检查SMA组网的接入方法，其特征在于，所述方法应用于SMA组网中的自治系统AS边界路由器AER，包括：接收SMA组网外的终端发送的第一报文；获取所述第一报文的SMA报文头中的指定位；如果所述指定位的值与第一预设值匹配，则确认所述第一报文为由SMA组网外的终端发送给SMA组网内的自治系统控制服务器ACS的认证报文；将所述认证报文重定向到本AS内的ACS进行认证；接收所述ACS返回的认证结果，如果认证结果为通过，则允许所述终端访问本AS；如果认证结果为不通过，则禁止所述终端访问本AS。

【技术特征摘要】
1.一种基于状态机的伪造源地址检查SMA组网的接入方法，其特征在于，所述方法应用于SMA组网中的自治系统AS边界路由器AER，包括：接收SMA组网外的终端发送的第一报文；获取所述第一报文的SMA报文头中的指定位；如果所述指定位的值与第一预设值匹配，则确认所述第一报文为由SMA组网外的终端发送给SMA组网内的自治系统控制服务器ACS的认证报文；将所述认证报文重定向到本AS内的ACS进行认证；接收所述ACS返回的认证结果，如果认证结果为通过，则允许所述终端访问本AS；如果认证结果为不通过，则禁止所述终端访问本AS。2.如权利要求1所述的方法，其特征在于，所述接收所述ACS返回的认证结果，如果认证结果为通过，则允许所述终端访问本AS；如果认证结果为不通过，则禁止所述终端访问本AS，包括：接收所述ACS返回的第二报文，所述第二报文的SMA报文头中的所述指定位的值为第二预设值，所述第二预设值用于表征所述第二报文为认证应答报文；将所述认证应答报文转发给所述终端；其中，当所述认证应答报文的SMA报文头中携带报文标签时，表征认证结果为通过，所述AER允许所述终端访问本AS；当所述认证应答报文的SMA报文头中不携带报文标签时，表征认证结果为不通过，所述AER禁止所述终端访问本AS；所述报文标签用于携带在所述终端与本AS之间来往的数据报文中。3.如权利要求2所述的方法，其特征在于，所述AER允许所述终端访问本AS，包括：保存与所述终端对应的SMA表项，该SMA表项记录有所述报文标签与所述终端的IP地址之间的对应关系；基于该SMA表项在所述终端和本AS之间传输数据报文。4.如权利要求2所述的方法，其特征在于，所述方法还包括：如果所述第一报文的SMA报文头中的指定位的值与第三预设值匹配，则确认所述第一报文为由SMA组网外的终端发送给SMA组网内的ACS的发现报文；所述发现报文用于发现SMA组网中的ACS；将所述发现报文重定向到本AS内的ACS；接收所述ACS返回的第三报文，所述第三报文的SMA报文头中的所述指定位的值为第四预设值，所述第四预设值用于表征所述第三报文为发现应答报文；将所述发现应答报文转发给所述终端，所述发现应答报文用于告知终端本AS内的ACS能够提供认证服务，以使所述终端向所述ACS发送认证报文。5.如权利要求4所述的方法，其特征在于，所述发现报文和所述认证报文的目的IP地址为超文本传输协议HTTP服务器地址；所述方法还包括：建立针对所述终端的临时表项，所述临时表项中记录有所述HTTP服务器地址和所述终端的IP地址之间的对应关系；在将所述发现报文和所述认证报文重定向到本AS内的ACS时，将所述发现报文和所述认证报文的目的IP地址修改为所述ACS的IP地址，并将修改后的所述发现报文和所述认证报文转发给所述ACS；以及在将所述发现应答报文和所述认证应答报文转发给所述终端时，将所述发现应答报文和所述认证应答报文的源IP地址修改为所述临时表项中记录的所述HTTP服务器地址，并将修改后的所述发现应答报文和所述认证应答报文转发给所述终端。6.如权利要求1所述的方法，其特征在于，所述方法还包括：接收所述ACS发送的针对所述终端的静默表项，所述静默表项用于指示所述终端认证超时或认证出错达到设定次数；在预设时长内，禁止向所述ACS转发来自所述终端的报文。7.如权利要求1-4中任一项所述的方法，其特征在于，所述指定位位于SMA报文头的DATA字段或预留字段中。8.一种基于状态机的伪造源地址检查SMA组网的接入方法，其特征在于，所述方法应用于SMA组网外的终端，包括：生成报文并为生成的报文封装SMA头；所述SMA头中的指定位的值为第一预设值，所述第一预设值用于表征所述报文为认证报文；将封装后的报文发送给SMA组网中的自治系统AS边界路由器AER，以使AER根据所述指定位的值将收到的报文重定向到自治系统控制服务器ACS进行认证。9.一种自治系统AS边界路由器AER，其特征在于，包括：接收单元，用于接收SMA组网外的终端发送的第一报文；获取单元，用于获取所述第一报文的SMA报文头中的指定位；...

【专利技术属性】
技术研发人员：徐燕成，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：浙江,33