基于ＩＰｖ６自动配置实现终端安全准入控制的方法和系统技术方案

本发明专利技术公开一种基于ＩＰｖ６自动配置实现终端安全准入控制的方法及设备，该方法包括：接入控制系统接收终端设备发送的包含认证信息和接口ＩＤ信息的路由请求包；提取出认证信息，重新封装后转发给认证服务器，并记录接口ＩＤ信息；接收认证服务器的认证通知消息；根据认证通知消息，接入控制系统读取访问控制指令，控制对终端设备的准入。本发明专利技术提供的基于ＩＰｖ６自动配置实现终端安全准入控制的方法及设备，对ＩＰｖ６地址自配置机制进行一定的改造，通过在ＩＰｖ６地址自动配置的同时对接入终端进行安全性验证，实现了基于ＩＰｖ６地址自动配置的终端准入控制，保障了网络的安全性。

【技术实现步骤摘要】

本专利技术涉及通信网络安全领域，尤其涉及一种基于IPv6自动配置实现终端安全 准入控制的方法和系统。
技术介绍
随着互联网网络规模和应用的加速发展，IPv6以其巨大地址空间、灵活的地址配 置方式以及移动性、安全性等特点，成为下一代网络发展的目标。IPv6协议的一个突出特点 是支持网络节点的地址自动配置，实现了网络设备的“即插即用”。IPv6节点通过地址自动配置得到IPv6地址和网关地址。IPv6地址自动配置机制 包括无状态地址自动配置和状态地址自动配置两种方式，其中，无状态自动配置不需部署 DHCPv6服务器，只是要求本地链路支持组播，而且网络接口能够发送和接收组播。无状态自动配置包括以下三个步骤进行自动配置的节点首先必须确定自己的链 路本地地址；然后验证该链路本地地址在链路上的唯一性；最后节点必须确定需要配置的 信息。具体过程为主机首先通过将它的网卡MAC地址附加在链路本地地址前缀1111111010 (FE80) 之后，产生一个链路本地地址(IEEE已经将网卡MAC地址由48位改为了 64位。如果主机 采用的网卡的MAC地址依然是48位，那么IPv6网卡驱动程序会将48位MAC地址转换为64 位MAC地址)。接着主机向该地址发出一个被称为邻居发现(ND，Neighbor Discovery)的 请求，以验证地址的唯一性。如果请求没有得到响应，则表明主机自我设置的链路本地地址 是唯一的。否则，主机将使用一个随机产生的接口 ID附加在链路本地地址前缀之后组成一 个新的链路本地地址。主机以已确定的唯一链路本地地址为源地址，向本地链接中所有路 由器多点广播一个被称为路由器请求(RS，RouterSolicitation)的配置信息请求，路由器 以一个包含可聚集全局单点广播地址前缀和其它相关配置信息的路由器通告响应该请求。 主机用获得的全局地址前缀加上自己的接口 ID，自动配置全局地址，从而实现无状态的地 址自动配置。通常，路由器也会周期性发送路由器通告，指明子网前缀等配置信息。节点可 以等待路由器的通告，也可以通过发送组播请求给所有路由器的组播地址来请求路由器发 送通告。随着网络系统或软件的漏洞不断被发现，存在漏洞的主机成为网络蠕虫攻击的主 要目标。网络蠕虫攻击是一种能够进行自我复制，利用系统或网络服务漏洞进行传播的攻 击行为。在没有安全检查的情况下，大量存在漏洞的主机接入企业网、互联网时，会把各种 安全隐患扩散到整个网络，并影响到网络上其它的主机、服务器和网络设备，造成服务器宕 机，乃至整个网络拥塞甚至瘫痪。由于在IPv6协议无状态地址自配置方式下，无法对接入 终端的安全性进行验证，无法保证只有安全的终端才能接入网络，因此，也无法防止或减少 网络蠕虫的爆发。综上所述，如何在IPv6地址自动配置的同时实现终端的安全性接入成为本领域 亟待解决的技术问题。
技术实现思路
本专利技术要解决的一个技术问题是提供一种基于IPv6自动配置实现终端安全准入 控制的方法和系统，通过在IPv6地址自动配置的同时对接入终端进行安全性验证，实现了 终端的安全接入，保障了网络的安全性。进一步地，本专利技术要解决的另一个技术问题是提供一种基于接口标识的多接入方 式并发传输的网络侧设备与终端设备，对IPv6地址自配置机制进行一定的改造，以实现基 于IPv6地址自动配置的终端准入控制。本专利技术的一个方面提供了一种基于IPv6自动配置实现终端安全准入控制的方 法，该方法包括接入控制系统接收终端设备发送的包含认证信息和接口 ID信息的路由请 求包；提取出认证信息，重新封装后转发给认证服务器，并记录接口 ID信息；接收认证服务 器的认证通知消息；根据认证通知消息，接入控制系统读取访问控制指令，控制对终端设备 的准入。本专利技术提供的基于IPv6自动配置实现终端安全准入控制的方法的一个实施例 中，该方法还包括在步骤“接入控制系统接收终端设备发送的包含认证信息和接口 ID信 息的路由请求包”之前，在发起接入请求时，终端设备将认证信息、终端设备产生的接口 ID 信息封装成路由请求包发送给接入控制系统。本专利技术提供的基于IPv6自动配置实现终端安全准入控制的方法的一个实施例 中，该方法还包括在步骤“提取出认证信息，重新封装后转发给认证服务器，并记录接口 ID信息”之后，认证服务器将认证信息中的字段信息与终端安全策略数据库中的安全基准 信息进行比对，综合各项信息的比对结果给出综合的安全状态评级；以及将安全状态评级 与预定的安全准入阈值进行比较；如果大于或等于准入阈值，则认证服务器向接入控制系 统发送认证成功消息；否则，发送认证失败消息。本专利技术提供的基于IPv6自动配置实现终端安全准入控制的方法的一个实施例 中，步骤“根据认证通知消息，接入控制系统读取访问控制指令，控制对终端设备的准入”具 体包括如果认证通知消息是认证成功消息，则接入控制系统生成一个随机数，并将其封装 到路由通告中发送给终端设备；以及记录随机数，并设置其与路由前缀、接口 ID信息的对 应关系；如果认证通知消息是认证失败消息，则接入控制系统向终端设备发送错误通知消 息，告知终端设备认证失败；终端设备将无法获取路由通告信息以接入网络。本专利技术提供的基于IPv6自动配置实现终端安全准入控制的方法的一个实施例 中，该方法还包括终端设备接收到路由通告后，完成IPv6地址配置；读取路由通告中的随 机数，将随机数与所配置的IPv6地址一起计算哈希值，哈希值作为附加的扩展头插入随后 发送的IP包头；以及终端设备向接入控制系统发送IP包。本专利技术提供的基于IPv6自动配置实现终端安全准入控制的方法的一个实施例 中，该方法还包括接入控制系统检查终端设备上传的IP包；如果IP包中没有附加的扩展 头，则将该IP包直接丢弃；如果IP包中有附加的扩展头，则接入控制系统利用之前记录的 路由前缀、接口 ID信息和随机数同样计算哈希值，并将所计算的哈希值与从扩展头中读取 的哈希值进行比较；如果相同，则向路由设备转发IP包，否则，将IP包丢弃。本专利技术的另一个方面提供了一种基于IPv6自动配置实现终端安全准入控制的系5统，该系统包括终端设备，用于在发起接入请求时，将认证信息、终端设备产生的接口 ID 信息封装成路由请求包发送给接入控制系统；接入控制系统，用于接收终端设备发送的包 含认证信息和接口 ID信息的路由请求包；提取出认证信息，重新封装后转发给认证服务 器，并记录接口 ID信息；接收认证服务器的认证通知消息；根据认证通知消息，接入控制系 统读取访问控制指令，控制对终端设备的准入；认证服务器，用于将认证信息中的字段信息 与终端安全策略数据库中的信息进行比对，综合各项信息的比对结果给出综合的安全状态 评级；以及将安全状态评级与预定的安全准入阈值进行比较；如果大于或等于准入阈值， 则认证服务器向接入控制系统发送认证成功消息；否则，发送认证失败消息。本专利技术提供的基于IPv6自动配置实现终端安全准入控制的系统的一个实施例 中，该接入控制系统还用于如果认证通知消息是认证成功消息，则生成一个随机数，并将 其封装到路由通告中发送给终端设备；以及记录随机数，并设置其与路由前缀、接口 ID信 息的对应关系；如果认证通知消息是认证失败消息，则向终端设本文档来自技高网...

【技术保护点】
一种基于ＩＰｖ６自动配置实现终端安全准入控制的方法，其特征在于，所述方法包括：接入控制系统接收终端设备发送的包含认证信息和接口ＩＤ信息的路由请求包；提取出所述认证信息，重新封装后转发给认证服务器，并记录所述接口ＩＤ信息；接收所述认证服务器的认证通知消息；根据所述认证通知消息，所述接入控制系统读取访问控制指令，控制对所述终端设备的准入。

【技术特征摘要】
一种基于IPv6自动配置实现终端安全准入控制的方法，其特征在于，所述方法包括接入控制系统接收终端设备发送的包含认证信息和接口ID信息的路由请求包；提取出所述认证信息，重新封装后转发给认证服务器，并记录所述接口ID信息；接收所述认证服务器的认证通知消息；根据所述认证通知消息，所述接入控制系统读取访问控制指令，控制对所述终端设备的准入。2.根据权利要求1所述的方法，其特征在于，所述方法还包括在步骤“接入控制系统 接收终端设备发送的包含认证信息和接口 ID信息的路由请求包”之前，在发起接入请求时，终端设备将认证信息、所述终端设备产生的接口 ID信息封装成路 由请求包发送给所述接入控制系统。3.根据权利要求1所述的方法，其特征在于，所述方法还包括在步骤“提取出所述认 证信息，重新封装后转发给认证服务器，并记录所述接口 ID信息”之后，所述认证服务器将所述认证信息中的字段信息与终端安全策略数据库中的安全基准 信息进行比对，综合各项信息的比对结果给出综合的安全状态评级；以及将所述安全状态评级与预定的安全准入阈值进行比较；如果大于或等于所述准入阈 值，则所述认证服务器向所述接入控制系统发送认证成功消息；否则，发送认证失败消息。4.根据权利要求1所述的方法，其特征在于，步骤“根据所述认证通知消息，所述接入 控制系统读取访问控制指令，控制对所述终端设备的准入”具体包括如果所述认证通知消息是认证成功消息，则所述接入控制系统生成一个随机数，并将 其封装到路由通告中发送给所述终端设备；以及记录所述随机数，并设置其与路由前缀、所 述接口 ID信息的对应关系；如果所述认证通知消息是认证失败消息，则所述接入控制系统向所述终端设备发送错 误通知消息，告知所述终端设备认证失败；所述终端设备将无法获取路由通告信息以接入 网络。5.根据权利要求4所述的方法，其特征在于，所述方法还包括 所述终端设备接收到所述路由通告后，完成IPv6地址配置；读取所述路由通告中的随机数，将所述随机数与所配置的IPv6地址一起计算哈希值， 所述哈希值作为附加的扩展头插入随后发送的IP包头；以及 所述终端设备向所述接入控制系统发送IP包。6.根据权利要求4所述的方法，其特征在于，所述方法还包括 所述接入控制系统检查所述终端设备上传的所述IP包；如果所述IP包中没有所述附加的扩展头，则将该IP包直接丢弃； 如果所述IP包中有所述附加的扩展头，则所述接入控制系统利用之前记录的所述路 由前缀、所述接口 ID信息和所述随机数同样计算哈希值，并将所计算的哈希值与从所述扩 展头中读取的哈希值进行比较；如果相同，则向路由设备转发所述IP包，否则，将所述IP包 丢弃。7.一种基于IPv6自动配置实现终端安全准入控制的系统，其特征在于，所述系统包括终端设备，用于在发起接入请求时，将认证信息、所述终端设备产生的接口 ID信息封 装成路由请求包发送给接入控制系统；接入控制系统，用于接收所述终端设备发送...

【专利技术属性】
技术研发人员：王帅，沈军，金华敏，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：11