本发明专利技术公开了基于动态主机配置协议(DHCP)监听的站内自动隧道寻址协议(ISATAP)隧道的认证方法和系统,所述方法包括:A、接入交换机监听IPv4/IPv6双协议栈主机的DHCP请求过程,建立包括所述双协议栈主机的MAC地址、IP地址、租期、虚拟局域网标识和端口号的绑定信息,将该绑定信息封装于绑定报文中发送给ISATAP路由器;B、要接入IPv6网络的双协议栈主机向ISATAP路由器发送路由器请求报文,请求全局IPv6地址前缀;C、ISATAP路由器根据所述路由器请求报文中的双协议栈主机IP地址查询绑定信息确定是否发送路由器公告告知所述双协议主机全局IPv6地址前缀。
【技术实现步骤摘要】
基于DHCP监听的ISATAP隧道的认证方法和系统
本专利技术涉及计算机数据通信领域,尤其涉及一种基于DHCP监听(DHCPSnooping)的ISATAP隧道的认证方法和系统。
技术介绍
动态主机设置协议(DynamicHostConfigurationProtocol,DHCP)是一个从BOOTP协议发展而来网络协议,用于向主机动态分配IP地址及其它相关信息。DHCP采用客户端/服务器模式DHCP客户端用于提出配置请求,DHCP服务器响应于所述配置请求根据预定策略向DHCP客户端返回配置信息,所有的DHCP报文均采用用户数据报文协议(UserDatagramProtocol,UDP)封装。DHCP监听(DHCPSnooping)功能指交换机监测DHCP客户端通过DHCP协议获取IP的过程。它通过设置可信端口和非可信端口,来防止DHCP攻击及私设DHCP服务器。从可信端口接收的DHCP报文无需校验即可转发。典型的设置是将可信端口连接DHCP服务器或者DHCP中继代理(DHCPRELAY)。非可信端口连接DHCP客户端,交换机将转发从非可信端口接收的DHCP请求报文,不转发从非可信端口接收的DHCP回应报文。站内自动隧道寻址协议(Intra-SiteAutomaticTunnelAddressingProtocol,ISATAP)是一种地址分配和主机到主机、主机到路由器和路由器到主机的自动隧道技术,它为IPv6主机之间提供了跨越IPv4内部网络的单播IPv6连通性。ISATAP一般用于IPv4网络中的IPv6/IPv4节点间的通信。ISATAP使用本地管理的接口标识符::0:5EFE:w.x.y.z,其中:0:5EFE部分是由互联网号码分配中心(IANA)所分配的固定的机构单元标识符(00-00-5E)和表示内嵌的IPv4地址类型的类型号(FE)组合而成的。w.x.y.z部分是任意的单播IPv4地址,既可以是私有地址,也可以是公共地址。任何有效的IPv6单播地址的64位前缀都可以和ISATAP接口标识符相结合形成ISATAP地址,所述前缀包括链路本地地址前缀(FE80::/64)、全球前缀(包括6to4前缀)和站点本地前缀。IPv6/IPv4双协议栈主机(在后简称双协议栈主机)在与其他主机或路由器通信之前,首先要获得一个ISATAP地址。双协议栈主机先向ISATAP服务器发送路由请求,得到一个64位的IPv6地址前缀,然后再加上64位的接口标识符::0:5EFE:X.X.X.X(这里的X.X.X.X是双协议栈主机的IPv4单播地址),这样就构成一个ISATAP地址。双协议栈主机配置了ISATAP地址后,就成了一个ISATAP客户机,进而就可以在IPv4域内和其他的ISATAP客户机进行通信了。同时,ISATAP隧道在目前IPv6网络应用初期使用很普遍,它使得远程双协议栈主机节点可以透过IPv4网络到达本地IPv6接入网络路由器,获取IPv6地址前缀,生成本地IPv6网络的合法地址,实现访问IPv6网络的目的。ISATAP隧道既可以在企业网内部实施,也可以在网络外部实施。但ISATAP隧道的一个缺陷是只要远程双协议栈主机节点在IPv4路由上可达接入IPv6网络的ISATAP隧道路由器地址,无需身份验证就可以获得该IPv6接入网络的地址,这在安全性上是不够的,恶意非授权用户很容易就可以借ISATAP隧道为跳板对IPv6网络进行攻击。
技术实现思路
本专利技术的目的在于提供更具安全性的ISATAP隧道认证方法和系统,以纺织恶意非授权用户通过ISATAP隧道接入IPv6网络。本专利技术公开了一种基于动态主机配置协议(DHCP)监听的站内自动隧道寻址协议(ISATAP)隧道的认证方法,包括:A、接入交换机监听IPv4/IPv6双协议栈主机的DHCP请求过程,建立包括所述双协议栈主机的MAC地址、IP地址、租期、虚拟局域网标识和端口号的绑定信息,将该绑定信息封装于绑定报文中发送给ISATAP路由器;B、要接入IPv6网络的双协议栈主机向ISATAP路由器发送路由器请求报文,请求全局IPv6地址前缀;C、ISATAP路由器根据所述路由器请求报文中的双协议栈主机IP地址查询绑定信息确定是否发送路由器公告告知所述双协议主机全局IPv6地址前缀。优选地,所述步骤A还包括:所述ISATAP路由器从接收的绑定报文中提取所述绑定信息,根据所述绑定信息建立并更新绑定信息表。优选地,所述步骤C包括:在接收到所述路由器请求报文后,ISATAP路由器验证所述路由请求报文的源IPv6地址中包括的IPv4地址是否在ISATAP路由器的绑定信息表有记录,如果有,则回应带有IPv6全局地址前缀的路由器公告报文(RouterAdvertisement)告知双协议栈主机IPv6全局地址前缀,如果没有,则不回应,由此使得未授权远程双协议栈主机就不能通过ISATAP路由器获得IPv6地址,不能接入IPv6网络。优选地,所述步骤A包括:A01、接入交换机截获双协议栈主机的DHCP请求报文后建立包括该双协议栈主机的MAC地址、接入端口和虚拟局域网标识的临时绑定;A02、接入交换机截获发送给双协议栈主机的DHCP应答报文后根据该报文中的MAC地址查询临时绑定提取所述DHCP应答报文IP地址和租期建立包括双协议栈主机的MAC地址、IP地址、租期、虚拟局域网标识和端口号的绑定信息;A03、接入交换机创建并保存绑定信息后,将绑定信息封装到绑定报文中,根据预先配置的ISATAP路由器地址将绑定信息发送到ISATAP路由器;A04、ISATAP路由器接收到绑定报文,从所述绑定报文中提取绑定信息保存到本地的绑定信息表中。优选地,所述步骤A03中所述接入交换机将所述绑定报文进行加密和散列处理后再向ISATAP路由器发送。优选地,所述加密处理为DES加密,所述散列处理为MD5散列处理。本专利技术还公开了一种基于动态主机配置协议(DHCP)监听的站内自动隧道寻址协议(ISATAP)隧道认证系统,所述系统包括双协议栈主机、接入交换机、DHCP服务器和ISATAP路由器,其中:所述双协议栈主机用于向DHCP服务器请求IPv4地址并在需要接入IPv6网络时向所述ISATAP路由器发送路由器请求以请求全局IPv6地址前缀;所述接入交换机用于监听IPv4/IPv6双协议栈主机的DHCP请求过程,建立包括所述双协议栈主机的MAC地址、IP地址、租期、虚拟局域网标识和端口号的绑定信息,将该绑定信息封装于绑定报文中发送给ISATAP路由器;所述DHCP服务器用于响应于所述双协议栈主机的请求,向所述双协议栈主机分配IPv4地址;所述ISATAP路由器用于根据所述路由器请求报文中的双协议栈主机IP地址查询绑定信息确定是否发送路由器公告告知所述双协议主机全局IPv6地址前缀。优选地,所述ISATAP路由器从接收的绑定报文中提取所述绑定信息,根据所述绑定信息建立并更新绑定信息表。优选地,在接收到所述路由器请求报文后,ISATAP路由器验证所述路由请求报文的源IPv6地址中包括的IPv4地址是否在ISATAP路由器的绑定信息表有记录,如果有,则回应带有IPv6全局地址前缀的路由器公告报文(本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于动态主机配置协议(DHCP)监听的站内自动隧道寻址协议(ISATAP)隧道的认证方法,包括:A、接入交换机监听IPv4/IPv6双协议栈主机的DHCP请求过程,建立包括所述双协议栈主机的MAC地址、IP地址、租期、虚拟局域网标识和端口号的绑定信息,将该绑定信息封装于绑定报文中发送给ISATAP路由器;B、要接入IPv6网络的双协议栈主机向ISATAP路由器发送路由器请求报文,请求全局IPv6地址前缀;C、ISATAP路由器根据所述路由器请求报文中的双协议栈主机IP地址查询绑定信息确定是否发送路由器公告告知所述双协议主机全局IPv6地址前缀。2.如权利要求1所述的方法,其特征在于,所述步骤A还包括:所述ISATAP路由器从接收的绑定报文中提取所述绑定信息,根据所述绑定信息建立并更新绑定信息表。3.如权利要求2所述的方法,其特征在于,所述步骤C包括:在接收到所述路由器请求报文后,ISATAP路由器验证所述路由请求报文的源IPv6地址中包括的IPv4地址是否在ISATAP路由器的绑定信息表有记录,如果有,则回应带有IPv6全局地址前缀的路由器公告报文(RouterAdvertisement)告知双协议栈主机IPv6全局地址前缀,如果没有,则不回应,由此使得未授权远程双协议栈主机就不能通过ISATAP路由器获得IPv6地址,不能接入IPv6网络。4.如权利要求1所述的方法,其特征在于,所述步骤A包括:A01、接入交换机截获双协议栈主机的DHCP请求报文后建立包括该双协议栈主机的MAC地址、接入端口和虚拟局域网标识的临时绑定;A02、接入交换机截获发送给双协议栈主机的DHCP应答报文后根据该报文中的MAC地址查询所述临时绑定,根据查询到的临时绑定和提取的所述DHCP应答报文中的IP地址和租期建立包括双协议栈主机的MAC地址、IP地址、租期、虚拟局域网标识和端口号的绑定信息;A03、接入交换机创建并保存绑定信息后,将绑定信息封装到绑定报文中,根据预先配置的ISATAP路由器地...
【专利技术属性】
技术研发人员:梁小冰,
申请(专利权)人:神州数码网络北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。