基于多点协同的路由器通告防护机制过滤策略检测方法及装置制造方法及图纸

本发明专利技术属于网络安全技术领域，特别涉及一种基于多点协同的路由器通告防护机制过滤策略检测方法及装置，构造对应于过滤策略的多类型路由器通告检测报文，交换设备中检测节点将各自唯一标识符嵌入每个类型中的路由器通告检测报文中，将其发往待检测IPv6子网链路；自由设备检测节点提取并解析唯一标识符，通过封装作为响应数据发送给对应检测节点；检测节点收到响应数据，解封并提取检测报文，以判定直连的交换设备所配置路由器通告防护机制的过滤策略类型；各检测节点协同配合检测出待检测IPv6子网内所有交换设备所配置路由器通告防护(RA‑Guard)机制的过滤策略类型。本发明专利技术有效获悉待检测IPv6子网内二层交换设备配置RA‑Guard过滤策略的情况，为IPv6网络管理提供支撑。

【技术实现步骤摘要】
基于多点协同的路由器通告防护机制过滤策略检测方法及装置
本专利技术属于网络安全
，特别涉及一种基于多点协同的路由器通告防护机制过滤策略检测方法及装置。
技术介绍
RA-Guard(RouterAdvertisementGuard，路由器通告防护)机制是IPv6邻居发现(NeighborDiscovery，ND)协议的一个轻量级备选和完善方案，部署于二层交换设备之上，对路由器通告(RouterAdvertisement，RA)报文实施强制性、集中式的安全管理，用于增强路由器发现过程的安全防护。RA-Guard机制基于有状态和无状态两种过滤策略对RA报文实施过滤检测，在IPv6子网中应用该机制可使得RA报文欺骗难以奏效，具有较好防护效果。然而，对于特定IPv6子网运行的RA-Guard机制所采取的具体过滤策略，现在尚无有效的判断和检测方式。
技术实现思路
为此，本专利技术提供一种基于多点协同的路由器通告防护机制过滤策略检测方法及装置，有效获悉待检测IPv6子网内二层交换设备配置RA-Guard过滤策略的情况，为IPv6网络管理提供支撑。按照本专利技术所提供的设计方案，一种基于多点协同的路由器通告防护机制过滤策略检测方法，设定未部署路由器通告防护机制的二层交换设备为自由设备，每个二层交换设备上至少设置两个可协同配合完成过滤策略检测的检测节点，且已部署路由器通告防护机制的二层交换设备至少与一台自由设备相连，过滤策略检测过程包含如下内容：获取待检测IPv6子网内检测节点配置参数信息，构造对应于过滤策略的多类型路由器通告检测报文，交换设备中检测节点将各自唯一标识符嵌入每个类型中的路由器通告检测报文中，并将其发往待检测IPv6子网链路中；待检测IPv6子网中自由设备上的检测节点提取并解析检测报文中的唯一标识符，并通过封装携带标记的检测报文作为响应数据，将其发送给与唯一标识符对应的检测节点；检测节点收到响应数据后，解封并提取检测报文，以判定直连的交换设备所配置路由器通告防护机制的过滤策略类型；各检测节点通过协同配合，检测出待检测IPv6子网内所有交换设备所配置的路由器通告防护机制的过滤策略类型。作为本专利技术基于多点协同的路由器通告防护机制过滤策略检测方法，进一步地，构造的路由器通告检测报文类型包含：合法报文类型、虚假源IPv6地址类型、虚假源MAC(MediaAccessControl，媒体存取控制)地址类型、虚假源MAC和源IPv6地址类型、虚假前缀信息类型。作为本专利技术基于多点协同的路由器通告防护机制过滤策略检测方法，进一步地，为每种类型的路由器通告检测报文设定不同的优先级，检测节点依据优先级顺序分别发送对应类型的检测报文进行过滤策略检测。作为本专利技术基于多点协同的路由器通告防护机制过滤策略检测方法，进一步地，通过数据隐填，检测节点利用添加选项方法将其唯一标识符嵌入检测报文中。作为本专利技术基于多点协同的路由器通告防护机制过滤策略检测方法，进一步地，检测节点的唯一标识符嵌入检测报文的过程包含如下内容：首先，定义ND选项，并依据检测节点MAC地址和IPv6地址生成标记信息；然后，将标记信息嵌入检测报文中，以确保自由设备上检测节点可以识别检测报文的真正发送者。作为本专利技术基于多点协同的路由器通告防护机制过滤策略检测方法，进一步地，将检测报文发往待检测IPv6子网链路时，首先，判断交换设备是否配置基于路由器通告报文接收端口的限制策略；若是，则当前检测节点过滤策略检测结束；否则，当前节点继续执行过滤策略检测。作为本专利技术基于多点协同的路由器通告防护机制过滤策略检测方法，进一步地，自由设备上的检测节点使用用户数据报协议(UserDatagramProtocol，UDP)封装携带标记的检测报文作为响应数据，将其发送给与唯一标识符对应的检测节点。进一步地，本专利技术还提供一种基于多点协同的路由器通告防护机制过滤策略检测装置，包含：报文构造模块、解析响应模块和识别判定模块，其中，报文构造模块，用于获取待检测IPv6子网内检测节点配置参数信息，构造对应于过滤策略的多类型路由器通告检测报文，交换设备中检测节点将各自唯一标识符嵌入路由器通告检测报文中，并将其发往待检测IPv6子网链路中；解析响应模块，用于待检测IPv6子网中自由设备上的检测节点提取并解析检测报文中唯一标识符，并通过封装携带标记的检测报文作为响应数据，将其发送给与唯一标识符对应的检测节点；识别判定模块，用于检测节点收到响应数据后，解封并提取检测报文，以判定直连的交换设备所配置路由器通告防护机制的过滤策略类型；各检测节点协同配合检测出待检测IPv6子网内所有交换设备所配置路由器通告防护机制的过滤策略类型。本专利技术的有益效果：为有效解决由于二层交换设备对用户透明的特性所导致的检测节点无法直接与二层交换设备进行交互、单一节点无法完成RA-Guard过滤策略检测等问题，本专利技术通过将多点协同、数据隐填及报文封装等手段相结合的方法，在能够确保完成RA-Guard过滤策略检测的前提下，把检测行为所带来的干扰降到最低，具有较好的应用前景。附图说明：图1为实施例中过滤策略检测方法流程示意图；图2为实施例中过滤策略检测原理示意；图3为实施例中基于多点协同的RA-Guard过滤策略检测整体流程示意；图4为实施例中检测节点封装标记报文并响应的过程示意；图5为实施例中RA-Guard过滤策略检测实验拓扑示意；图6为实施例中携带标记信息的RA检测报文示意；图7为实施例中实施RA-Guard过滤策略检测前后子网数据包个数示意。具体实施方式：为使本专利技术的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本专利技术作进一步详细的说明。部署于二层交换设备的RA-Guard机制可对路由器通告(RA)报文实施强制性、集中式的安全管理，然而目前尚无有效的RA-Guard过滤策略检测方法。为有效解决二层交换设备对用户透明的特性使得检测节点无法直接与二层交换设备进行交互、单一节点无法完成RA-Guard过滤策略检测等问题，本专利技术实施例，参见图1所示，提供一种基于多点协同的路由器通告防护机制过滤策略检测方法，设定未部署路由器通告防护机制的二层交换设备为自由设备，每个二层交换设备上至少设置两个可协同配合完成过滤策略检测的检测节点，且已部署路由器通告防护机制的二层交换设备至少与一台自由设备相连，过滤策略检测过程包含如下内容：S101、获取待检测IPv6子网内检测节点配置参数信息，构造对应于过滤策略的多类型路由器通告检测报文，交换设备中检测节点将各自唯一标识符嵌入每个类型中的路由器通告检测报文中，并发往待检测IPv6子网链路中；S102、待检测IPv6子网中自由设备上的检测节点提取并解析检测报文中唯一标识符，并通过封装携带标记的检测报文作为响应数据，将其发送给与唯一标识符对应的检测节点；S103、检测节点收到响本文档来自技高网...

【技术保护点】
1.一种基于多点协同的路由器通告防护机制过滤策略检测方法，其特征在于，设定未部署路由器通告防护机制的二层交换设备为自由设备，每个二层交换设备上至少设置两个可协同配合完成过滤策略检测的检测节点，且已部署路由器通告防护机制的二层交换设备至少与一台自由设备相连，过滤策略检测过程包含如下内容：/n获取待检测IPv6子网内检测节点配置参数信息，构造对应于过滤策略的多类型路由器通告RA检测报文，交换设备中检测节点将各自唯一标识符嵌入每个类型中的路由器通告检测报文中，并将其发往待检测IPv6子网链路中；/n待检测IPv6子网中自由设备上的检测节点提取并解析检测报文中的唯一标识符，在封装后作为响应数据，再发送给与唯一标识符对应的检测节点；/n检测节点收到响应数据后，解封并提取检测报文，以判定直连的交换设备所配置路由器通告防护机制的过滤策略类型；通过各检测节点的协同配合，检测出待检测IPv6子网内所有交换设备所配置的路由器通告防护机制的过滤策略类型。/n

【技术特征摘要】
1.一种基于多点协同的路由器通告防护机制过滤策略检测方法，其特征在于，设定未部署路由器通告防护机制的二层交换设备为自由设备，每个二层交换设备上至少设置两个可协同配合完成过滤策略检测的检测节点，且已部署路由器通告防护机制的二层交换设备至少与一台自由设备相连，过滤策略检测过程包含如下内容：
获取待检测IPv6子网内检测节点配置参数信息，构造对应于过滤策略的多类型路由器通告RA检测报文，交换设备中检测节点将各自唯一标识符嵌入每个类型中的路由器通告检测报文中，并将其发往待检测IPv6子网链路中；
待检测IPv6子网中自由设备上的检测节点提取并解析检测报文中的唯一标识符，在封装后作为响应数据，再发送给与唯一标识符对应的检测节点；
检测节点收到响应数据后，解封并提取检测报文，以判定直连的交换设备所配置路由器通告防护机制的过滤策略类型；通过各检测节点的协同配合，检测出待检测IPv6子网内所有交换设备所配置的路由器通告防护机制的过滤策略类型。


2.根据权利要求1所述的基于多点协同的路由器通告防护机制过滤策略检测方法，其特征在于，构造的路由器通告检测报文类型包含：合法报文类型、虚假源IPv6地址类型、虚假源MAC地址类型、虚假源MAC和源IPv6地址类型、虚假前缀信息类型。


3.根据权利要求2所述的基于多点协同的路由器通告防护机制过滤策略检测方法，其特征在于，为每种类型的路由器通告检测报文设定不同的优先级，检测节点依据优先级顺序分别发送对应类型的检测报文进行过滤策略检测。


4.根据权利要求1所述的基于多点协同的路由器通告防护机制过滤策略检测方法，其特征在于，通过数据隐填，检测节点利用添加选项方法将其唯一标识符嵌入检测报文中。


5.根据权利要求4所述的基于多点协同的路由器通告防护机制过滤策略检测方法，其特征在于，检测节点的唯一标识符嵌入检测报文的过程包含如下内容：首先，定义邻居发现ND选项，并依据检测节点MAC地址和IPv...

【专利技术属性】
技术研发人员：张连成，孙建平，郭毅，杜雯雯，程兰馨，王阳，燕菊维，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：河南;41