【技术实现步骤摘要】
本专利技术涉及通信网络安全领域,尤其涉及一种基于IPv6自动配置实现终端安全 准入控制的方法和系统。
技术介绍
随着互联网网络规模和应用的加速发展,IPv6以其巨大地址空间、灵活的地址配 置方式以及移动性、安全性等特点,成为下一代网络发展的目标。IPv6协议的一个突出特点 是支持网络节点的地址自动配置,实现了网络设备的“即插即用”。IPv6节点通过地址自动配置得到IPv6地址和网关地址。IPv6地址自动配置机制 包括无状态地址自动配置和状态地址自动配置两种方式,其中,无状态自动配置不需部署 DHCPv6服务器,只是要求本地链路支持组播,而且网络接口能够发送和接收组播。无状态自动配置包括以下三个步骤进行自动配置的节点首先必须确定自己的链 路本地地址;然后验证该链路本地地址在链路上的唯一性;最后节点必须确定需要配置的 信息。具体过程为主机首先通过将它的网卡MAC地址附加在链路本地地址前缀1111111010 (FE80) 之后,产生一个链路本地地址(IEEE已经将网卡MAC地址由48位改为了 64位。如果主机 采用的网卡的MAC地址依然是48位,那么IPv6网卡驱动程序会将48位MAC地址转换为64 位MAC地址)。接着主机向该地址发出一个被称为邻居发现(ND,Neighbor Discovery)的 请求,以验证地址的唯一性。如果请求没有得到响应,则表明主机自我设置的链路本地地址 是唯一的。否则,主机将使用一个随机产生的接口 ID附加在链路本地地址前缀之后组成一 个新的链路本地地址。主机以已确定的唯一链路本地地址为源地址,向本地链接中所有路 由器多点广播一 ...
【技术保护点】
一种基于IPv6自动配置实现终端安全准入控制的方法,其特征在于,所述方法包括:接入控制系统接收终端设备发送的包含认证信息和接口ID信息的路由请求包;提取出所述认证信息,重新封装后转发给认证服务器,并记录所述接口ID信息;接收所述认证服务器的认证通知消息;根据所述认证通知消息,所述接入控制系统读取访问控制指令,控制对所述终端设备的准入。
【技术特征摘要】
一种基于IPv6自动配置实现终端安全准入控制的方法,其特征在于,所述方法包括接入控制系统接收终端设备发送的包含认证信息和接口ID信息的路由请求包;提取出所述认证信息,重新封装后转发给认证服务器,并记录所述接口ID信息;接收所述认证服务器的认证通知消息;根据所述认证通知消息,所述接入控制系统读取访问控制指令,控制对所述终端设备的准入。2.根据权利要求1所述的方法,其特征在于,所述方法还包括在步骤“接入控制系统 接收终端设备发送的包含认证信息和接口 ID信息的路由请求包”之前,在发起接入请求时,终端设备将认证信息、所述终端设备产生的接口 ID信息封装成路 由请求包发送给所述接入控制系统。3.根据权利要求1所述的方法,其特征在于,所述方法还包括在步骤“提取出所述认 证信息,重新封装后转发给认证服务器,并记录所述接口 ID信息”之后,所述认证服务器将所述认证信息中的字段信息与终端安全策略数据库中的安全基准 信息进行比对,综合各项信息的比对结果给出综合的安全状态评级;以及将所述安全状态评级与预定的安全准入阈值进行比较;如果大于或等于所述准入阈 值,则所述认证服务器向所述接入控制系统发送认证成功消息;否则,发送认证失败消息。4.根据权利要求1所述的方法,其特征在于,步骤“根据所述认证通知消息,所述接入 控制系统读取访问控制指令,控制对所述终端设备的准入”具体包括如果所述认证通知消息是认证成功消息,则所述接入控制系统生成一个随机数,并将 其封装到路由通告中发送给所述终端设备;以及记录所述随机数,并设置其与路由前缀、所 述接口 ID信息的对应关系;如果所述认证通知消息是认证失败消息,则所述接入控制系统向所述终端设备发送错 误通知消息,告知所述终端设备认证失败;所述终端设备将无法获取路由通告信息以接入 网络。5.根据权利要求4所述的方法,其特征在于,所述方法还包括 所述终端设备接收到所述路由通告后,完成IPv6地址配置;读取所述路由通告中的随机数,将所述随机数与所配置的IPv6地址一起计算哈希值, 所述哈希值作为附加的扩展头插入随后发送的IP包头;以及 所述终端设备向所述接入控制系统发送IP包。6.根据权利要求4所述的方法,其特征在于,所述方法还包括 所述接入控制系统检查所述终端设备上传的所述IP包;如果所述IP包中没有所述附加的扩展头,则将该IP包直接丢弃; 如果所述IP包中有所述附加的扩展头,则所述接入控制系统利用之前记录的所述路 由前缀、所述接口 ID信息和所述随机数同样计算哈希值,并将所计算的哈希值与从所述扩 展头中读取的哈希值进行比较;如果相同,则向路由设备转发所述IP包,否则,将所述IP包 丢弃。7.一种基于IPv6自动配置实现终端安全准入控制的系统,其特征在于,所述系统包括终端设备,用于在发起接入请求时,将认证信息、所述终端设备产生的接口 ID信息封 装成路由请求包发送给接入控制系统;接入控制系统,用于接收所述终端设备发送...
【专利技术属性】
技术研发人员:王帅,沈军,金华敏,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。