IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法

专利名称：：IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法
技术领域：
IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法，属于计算机互联网通信技术范畴。
背景技术：
：RFC4291，RFC3306，RFC3307定义了用于IPv6不同组播协议特定源组播(SSM)、任意源组播(ASM)及内嵌RP的任意源组播(ASM-EmbededRP)的组播组地址的不同格式。在整个128位长度的地址中，最后32位由用户自定义组播组地址的取值范围。目前，IPv6组播网络的搭建较多地开展于局域网，IPv6局域网组播的运行管理比较简单，对IPv6组播组地址的使用可完全遵循RFC的有关规定。作为大型网络服务提供商(ISP)，多年运行和管理IPv4大规模组播网络的实践表明组播技术由于其在组成员动态管理机制及组播路由机制方面的特殊性，使其在可扩展性、安全性及可管理性方面存在极大困难。IPv6组播技术研究刚刚起步，大规模组播网络的运行和管理面临新的机遇和挑战。为了有效地解决大规模组播网络的安全性问题及可扩展性问题，本发明在遵照RFC基本原则的基础上，通过对IPv6组播组地址用户自定义段中若干字节位的重新定义，配合路由器上的有关配置，对组播源身份认证及恶意或非恶意DOS攻击抑制起到了很好的效果。
发明内容IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法在遵循RFC关于IPv6组播组地址格式定义及分配原则的基础上，通过细化定义32比特用户自定义位，将组播源的单播地址及组播支持应用所需带宽需求标识嵌入其中尚未使用的20比特，形成面向特定源组播SSM和任意源组播ASM等协议的组播组新定义格式。结合路由器配置中有关流量控制及源地址控制等ACL设定，有效地解决了组播源认证及抗DOS攻击的安全问题。其特征在于，1.为组播源单独定义、专门分配一块/48IPv6地址，该地址含65,000个/64。每一个/64中的标识段(第四段)与一个园区网/48地址中的标识段(第三段)相对应。即每一个园区网有一块/48的IPv6单播地址，同时还有一块对应的/64单播地址作为组播源。在此基础上，把专用组播源所在的IPv6单播地址所对应的园区网标识部分(第四段共16-bits)和使用该组播组地址所支持应用的最大带宽需求标志位(4-bits)—起嵌入到由RFC规定的由用户自定义位中的20位，并在路由器上作流量控制及源地址控制的配置，使只有与组地址中内嵌的单播地址匹配的源地址才能够对主干网发送组播数据流，同时特定的组播组只能发送等于或小于该组播组地址所定义的速率的数据流，因此具有更好的安全性和可管理性；2.假设某个园区网的单播地址为2001:DB8:yyyy::/48，专用组播源的单播地址则为2001:DB8:ABCD:yyyy::/64，其中ABCD为本例中的专用组播源地址的标识，yyyy是园区网/48地址对应的标识，对于RFC4291,RFC3306,RFC3307定义的特定源(SSM)组播地址，本发明方法的定义及分配方案如下支持园区网范围(CampusScope),主干网范围(BackboneScope)和全球范围(GlobalScope)的SSM的IPv6组播组地址格式为(4)园区网范围FF35::wxxx:ABCD/96，(5)主干网范围FF38::wxxx:ABCD/96，(6)全球范围FF3e::wxxx:ABCD/96，其中，w标识该组播组地址所支持应用的最大带宽需求，目前定义的w为0x8:0.1Mbps，0xC:1Mbps，0xE:10Mbps，0xF:100Mbps，xxx为用户自行分配的组播地址范围；路由器对于组播源地址和组地址控制的配置方法为允许源地址2001:DB8:ABCD:yyyy::/64发送到组地址FF3z:0:0:0:0:0:w000::/100(z的取值范围为5，8，e)，拒绝所有其他源地址发送到组地址FF00::/8。路由器对于特定组的流量控制方法为控制任意源地址，组地址为FF3z:0:0:0:0:0:8000::/100的流量限制为0.1Mbps，控制任意源地址，组地址为FF3z:0:0:0:0:0:C000::/100的流量限制为lMbps，控制任意源地址，组地址为FF3z:0:0:0:0:0:E000::/100的流量限制为10Mbps，控制任意源地址，组地址为FF3z:0:0:0:0:0:F000::/100的流量限制为100Mbps(z的取值范围为5,8，e)。3.假设某个园区网的单播地址为2001:DB8:yyyy::/48，专用组播源的单播地址则为2001:DB8:ABCD:yyyy::/64，其中ABCD为本例中的专用组播源地址的标识，yyyy是园区网/48地址对应的标识，对于RFC4291，RFC3306或RFC3307定义的任意源(ASM)组播地址，本发明方法的定义及分配方案如下支持园区网范围(CampusScope)的、主干网范围(BackboneScope)和全球范围(GlobalScope)的ASM(静态RP)的组播组地址格式为(3)园区网范围FF35:0020:2001:DB8::wxxx:ABCD/96，(2)主干网范围FF38:0020:2001:DB8::wxxx:ABCD/96，(3)全球范围FF3e:0020:2001:DB8::wxxx:ABCD/96，其中，w标识该组播组地址所支持应用的最大带宽需求，目前定义的w为0x8:0.1Mbps，0xC:1Mbps，0xE:10Mbps,0xF:100Mbps,xxx标识用户可以自行分配的组播地址范围；路由器对于组播源地址和组地址控制的配置方法为允许源地址2001:DB8:ABCD:yyyy二/64发送到组地址FF3z:0020:2001:DB8:0:0:w000::/100(z的取值范围为5，8，e)，拒绝所有其他源地址发送到组地址FF00::/8。路由器对于特定组的流量控制方法为控制任意源地址，组地址为FF3z:0020:2001:DB8:0:0:8000::/100的流量限制为O.lMbps，控制任意源地址，组地址为FF3z:0020:2001:DB8:0:0:C000::/100的流量限制为1Mbps，控制任意源地址，组地址为FF3z:0020:2001:DB8:0:0:E000::/100的流量限制为IOMbps，控制任意源地址，组地址为FF3z:0020:2001:DB8:0:0:F000::/100的流量限制为100Mbps(z的取值范围为5，8，e)。4.假设某个园区网的单播地址为2001:DB8:yyyy::/48，专用组播源的单播地址则为2001:DB8:ABCD:yyyy::/64，其中ABCD为本例中的专用组播源地址的标识，yyyy是园区网/48地址对应的标识，对于RFC4291，RFC3306,RFC3596定义的任意源(ASM)组播地址，如果嵌入式RP(EmbeddedRP)地址是2001:DB8::1，本发明方法的定义及分配方案如下支持园区网范围(CampusScope)的、主干网范围(BackboneScope)和全球范围(GlobalScope)的ASM(EmbeddedRP)的组播组地址格式为")园区网范围ET75:0120:2謝DB8::wxxx:ABCD/96，(2)主干网范围FF78:0120:2001:DB8::wxxx:ABCD/96，(3)全球范围FF7e:0120:2001:DB8::wxxx:ABCD/96，其中，w标识该组播组地址所支持应用的最大带宽需求，目前定义的w为0x8:O.lMbps，OxC:1Mbps,OxE:10Mbps，OxF:100Mbps，xxx标识用户可以自行分配的组播地址范围；路由器对于组播源地址和组地址控制的配置方法为允许源地址2001:DB8:ABCD:yyyy::/64发送到组地址FF7z:0120:2001:DB8:0:0:w000::/100(z的取值范围为5，8，e)，拒绝所有其他源地址发送到组地址FF00::/8。路由器对于特定组的流量控制方法为控制任意源地址，组地址为FF7z:0120:2001:DB8:0:0:8000::/100的流量限制为O.lMbps，控制任意源地址，组地址为FF7z:0120:2001:DB8:0:0:C000::/100的流量限制为1Mbps，控制任意源地址，组地址为FF7z:0120:2001:DB8:0:0:E000::/100的流量限制为10Mbps，控制任意源地址，组地址为FF7z:0120:2001:DB8:0:0:F000::/100的流量限制为100Mbps(z的取值范围为5，8，e)。图1是本发明方法提出的IPv6组播组地址补充定义格式；具体实施方式在CNGI-CERNET2上，按照以上定义方法，以清华大学、北京大学、上海交通大学、东南大学、西安交大等5所学校为例，各学校校园网用户分配特定源组播及任意源组播(静态RP)组地址方案如表1所示表l<table>tableseeoriginaldocumentpage10</column></row><table>以清华大学、上海交大和西安交大共同进行基于IPv6SSM组播网络的高清视频传输试验为例，每路高清视频流所占带宽是22Mbps-28Mbps，所以，为支持该应用的网络带宽需求标志位w为OxF。当清华大学、上海交大和西安交大分别作为高清视频发送源时，三所学校进行该项视频应用实验，可用组播组地址分别为清华大学FF38::Fxxx:200,上海交大FF38::Fxxx:6000，西安交大FF38::Fxxx:1001，同时可以确认其对应的源地址必须处于对应得/64标识，清华大学2001:250:ABCD:200::/64，上海交大2001:250:ABCD:6000::/64，西安交大2001:250:ABCD:1001::/64。在思科(CISCO)路由器上对清华大学、上海交大、西安交大组播流的源地址的控制配置案例为ipv6access-listmulticast-sourcepermit2001:250:ABCDr200::/64FF38:0:0:0:0:0:F0G0::/100ipv6access-list腿lticast-sourcedenyanyFF00::/8在思科(CISCO)路由器上对上海交大组播流的源地址的控制配置案例为ipv6access-listmulticast-sourcepermit2001:250:ABCD:6000::/64FF38:0:0:0:0:0:刚O::/100ipv6access-listmulticast-sourcedenyanyET00::/8在思科(CISCO)路由器上对西安交大组播流的源地址的控制配置案例为-ipv6access-listmulticast-sourcepermit2〇G1:250:ABCD:1001::/64FT38:0:0:0:0:0:F000::/100ipv6access-list皿lticast-sourcedenyanyFF00::/8表示除了2001:250:ABCD:200::/64、2001:250:ABCD:6000::/64和2001:250:ABCD:1001::/64的地址外，其他源地址发往任意组地址的组播通信都不能成功。同时在路由器上对IPv6SSM组播路由状态(S，G)进行监控，检査源地址和组地址的匹配情况，可以很好地防止非认证源攻击。在思科(CISCO)路由器上对组播流量控制的配置案例为政策映射policy-maplimit—multicastclassmulticast-ipv6-100kpolicecir100000be3125be3125conform—actiontransmitexceed—actiondropviolate—act丄ondropclassmulticast-ipv6-lmpolicecir1000000be31250be31250conform-actiontransmitexceed-actiondropviolate-actiondropclass皿lticast-ipv"6-10mpolicecir10000000be312500be312500conform-actiontransmitexceed-actiondropviolate-actiondropclass腿lticast-ipv6-100mpolicecir10QOQOOOObe3125000be3125000conform-actiontransmitexceed-actiondropviolate-actiondrop类别映射class-mapmatch-all腿lticast-ipv6-100kmatchaccess—groupnamemulticast—ipv6-100kclass—mapmatch—all腿lticast-ipv6-lmmatchaccess-groupnamemulticast-ipv6-lmclass-mapmatch—all懇lticast、ipv6-10mmatchaccess-groupnamemulticast-ipv6-10mclass—mapmatch-a11multicast-ipv6-100mmatchaccess-groupnameiuulticast-ipv6-100m地址控制:ipv6access-listmulticast-ipv6-100kpermitipv6anyFF3E::8000:0/112ipv6access-listmulticast-ipv6-lmpermitipv6anyHT3E::COOO:0/112ipv6access-listmulticast-ipv6-lOiupermitipv6anyFF3E::EOOO:0/112ipv6access—listmulticast—ipv6-100mpermitipv6anyFF3E::F〇0〇0/112端口配置interfaceGigabitEthernet7/22bandwidth100000ipaddress202.38.97.113255.255.255.252iproute-cacheflowipv6address2001:DA8:AAAF::1/64misnetflowsamplingservice-policyoutputlimit-multicast在遵循RFC关于IPv6组播组地址格式定义及分配原则的基础上，通过细化定义其中的32比特用户自定义位，将组播源单播地址及组播支持应用所需带宽需求嵌入其中的20比特，对原RFC的有关规定进行了扩充。面向特定源组播SSM和任意源组播ASM等协议的组播组新定义格式，有效地解决了组播源认证及抗DOS攻击的安全问题，为更好地实现大规模IPv6非隧道组播网络的运行与管理提供了基础。权利要求1.IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法，其特征在于，为组播源单独定义、专门分配一块/48IPv6地址，该地址含65,000个/64，每一个/64中的标识段(第四段)与一个园区网/48地址中的标识段(第三段)相对应，即每一个园区网有一块/48的IPv6单播地址，同时还有一块对应的/64单播地址作为组播源，在此基础上，把专用组播源所在的IPv6单播地址所对应的园区网标识部分(第四段共16-bits)和使用该组播组地址所支持应用的最大带宽需求标志位(4-bits)一起嵌入到由RFC规定的由用户自定义位中的20位，并在路由器上作流量控制及源地址控制的配置，使只有与组地址中内嵌的单播地址匹配的源地址才能够对主干网发送组播数据流，同时特定的组播组只能发送等于或小于该组播组地址所定义的速率的数据流，因此具有更好的安全性和可管理性；2.根据权利要求书1所述的IPv6协议下一种组播源身份认证及抑制恶意/非恶意服务攻击的方法，其特征在于，假设某个园区网的单播地址为2001:DB8:yyyy::/48，专用组播源的单播地址则为2001:DB8:ABCD:yyyy::/64，其中ABCD为本例中的专用组播源地址的标识，yyyy是园区网/48地址对应的标识，对于RFC4291,RFC3306,RFC3307定义的特定源(SSM)组播地址，本发明方法的定义及分配方案如下支持园区网范围(CampusScope),主干网范围(BackboneScope)和全球范围(GlobalScope)的SSM的IPv6组播组地址格式为(1)园区网范围FF35::wxxx:ABCD/96，(2)主干网范围FF38::wxxx:ABCD/96，(3)全球范围FF3e::wxxx:ABCD/96，其中，w标识该组播组地址所支持应用的最大带宽需求，目前定义的w为0x8:0.1Mbps，0xC:1Mbps，0xE:10Mbps，0xF:100Mbps，xxx为用户自行分配的组播地址范围；路由器对于组播源地址和组地址控制的配置方法为允许源地址2001:DB8:ABCD:yyyy::/64发送到组地址FF3z:0:0:0:0:0:wOOO::/100(z的取值范围为5，8，e)，拒绝所有其他源地址发送到组地址FF00::/8;路由器对于特定组的流量控制方法为控制任意源地址，组地址为FF3z:0众0',0'众8000::/100的流量限制为O.lMbps，控制任意源地址，组地址为FF3z:0:0:0:0:0:C000::A00的流量限制为1Mbps，控制任意源地址，组地址为FF3z:0:0:0:0:0:E000::/100的流量限制为10Mbps，控制任意源地址，组地址为FF3z:0:0:0:0:0:F000::/100的流量限制为100Mbps(z的取值范围为5，8，e);3.根据权利要求书1所述的IPv6协议下一种组播源身份认证及抑制恶意/非恶意服务攻击的方法，其特征在于，假设某个园区网的单播地址为2001:DB8:yyyy::/48，专用组播源的单播地址则为2001:DB8:ABCD:yyyy::/64，其中ABCD为本例中的专用组播源地址的标识，yyyy是园区网/48地址对应的标识，对于RFC4291,RFC3306或RFC3307定义的任意源(ASM)组播地址，本发明方法的定义及分配方案如下支持园区网范围(CampusScope)的、主干网范围(BackboneScope)和全球范围(GlobalScope)的ASM(静态RP)的组播组地址格式为-(1)园区网范围FF35:0020:2001:DB8::wxxx:ABCD/96，(2)主干网范围FF38:0020:2001:DB8::wxxx:ABCD/96，(3)全球范围FF3e:0020:2001:DB8::wxxx:ABCD/96，其中，w标识该组播组地址所支持应用的最大带宽需求，目前定义的w为0x8:O.lMbps，OxC:lMbps，OxE:10Mbps，OxF:100Mbps，xxx标识用户可以自行分配的组播地址范围；路由器对于组播源地址和组地址控制的配置方法为允许源地址2001:DB8:ABCD:yyyy::/64发送到组地址FF3z:0020:2001:DB8:0:0:w000::/100(z的取值范围为5，8，e)，拒绝所有其他源地址发送到组地址FF00::/8;路由器对于特定组的流量控制方法为控制任意源地址，组地址为FF3z:0020:2001:DB8:0:0:8000::/100的流量限制为O.lMbps，控制任意源地址，组地址为FF3z:0020:2001:DB8:0:0:C000::/100的流量限制为1Mbps，控制任意源地址，组地址为FF3z:0020:2001:DB8:0:0:E000::/100的流量限制为10Mbps，控制任意源地址，组地址为FF3z:0020:2001:DB8:0:0:F000::/100的流量限制为100Mbps(z的取值范围为5，8，e);4.根据权利要求书l所述的IPv6协议下一种组播源身份认证及抑制恶意/非恶意服务攻击的方法，其特征在于，假设某个园区网的单播地址为2001:DB8:yyyy::/48，专用组播源的单播地址则为2001:DB8:ABCD:yyyy::/64，其中ABCD为本例中的专用组播源地址的标识，yyyy是园区网/48地址应的标识，对于RFC4291，RFC3306,RFC3596定义的任意源(ASM)组播地址，如果嵌入式RP(EmbeddedRP)地址是2001:DB8::1，本发明方法的定义及分配方案如下支持园区网范围(CampusScope)的、主干网范围(BackboneScope)和全球范围(GlobalScope)的ASM(EmbeddedRP)的组播组地址格式为(2)园区网范围FF75:0120:2001:DB8::wxxx:ABCD/96，(2)主干网范围FF78:0120:2001:DB8::wxxx:ABCD/96，(3)全球范围FF7e:0120:2001:DB8::wxxx:ABCD/96，其中，w标识该组播组地址所支持应用的最大带宽需求，目前定义的w为0x8:O.lMbps，OxC:1Mbps，OxE:10Mbps，OxF:100Mbps，xxx标识用户可以自行分配的组播地址范围；路由器对于组播源地址和组地址控制的配置方法为允许源地址2001:DB8:ABCD:yyyy::/64发送到组地址FF7z:0120:2001:DB8:0:0:w000::/100(z的取值范围为5，8，e)，拒绝所有其他源地址发送到组地址FF00::/8;路由器对于特定组的流量控制方法为控制任.意源地址，组地址为FF7z:0120:2001:DB8:0:0:8000::/100的流量限制为O.lMbps，控制任意源地址，组地址为FF7z:0120:2001:DB8:0:0:C000::/100的流量限制为1Mbps，控制任意源地址，组地址为FF7z:0120:2001:DB8:0:0:E000::/100的流量限制为10Mbps，控制任意源地址，组地址为FF7z:0120:2001:DB8:0:0:F000::/100的流量限制为100Mbps(z的取值范围为5，8，e)。全文摘要IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法属于计算机网络通信
技术领域：
，其特征在于，在遵循RFC关于IPv6组播组地址格式定义及分配原则的基础上，为组播源单独定义专门分配一块/48IPv6地址，为每个园区网分配其中的块/64，其标识与个园区网的标识相对应，通过细化定义32比特用户自定义位，将专用组播源的单播地址及组播支持应用所需带宽需求标识嵌入其中尚未使用的20比特，形成面向特定源组播SSM和任意源组播ASM等协议的组播组新定义格式。结合路由器配置中有关流量控制及源地址控制等ACL设定，有效地解决了组播源认证及抗DOS攻击的安全问题，为更好地实现大规模IPv6非隧道组播网络的运行与管理打下了基础。文档编号H04L12/56GK101282338SQ200810094270公开日2008年10月8日申请日期2008年4月25日优先权日2007年5月16日发明者包丛笑,星李申请人:清华大学