一种IPv6地址管理方法、装置、终端和网关设备的制造方法
【技术领域】
[0001]本发明涉及通信领域,尤其涉及一种IPv6地址管理方法、装置、终端和网关设备。
【背景技术】
[0002]随着互联网的快速普及和数据通信技术的飞速发展,全球因特网协议IP终端数量激增。当前全球因特网协议第四版(Internet Protocol vers1n 4, IPv4)公网地址已经告馨,而网络地址翻译(Network Address Translat1n,NAT)技术又存在性能、应用层支持诸多难题,因此,编码长度更长、地址空间更多的因特网协议第六版(Internet Protocolvers1n 6, IPv6)技术的普及对全球运营商和用户来说都是势在必行的重大课题。
[0003]与IPv4网络类似,对于IPv6网络来说,网络安全也是一个重要的课题。对网络中存在的主机进行扫描,可以发现活动主机所使用的IP地址、开放的端口、使用的操作系统等信息。这些信息对于网络管理是必须的,因其是恶意攻击者进行网络入侵的前提,也是蠕虫传播过程中必不可少的部分。因此,关于网络扫描技术的研究对于网络安全具有重要的意义。
[0004]如图1所示,在全球单播地址结构中,前64比特bit是网络前缀,包含“001”、全球选路前缀、子网标识ID三部分,互联网Internet上的路由器通过它将数据包传送到主机所在的链路;后64比特是接口标识ID,用来区分同一链路中的不同主机。接口 ID通常是主机通过自身的媒体访问控制MAC地址或其他信息生成,前缀由网络设备(例如宽带网关)分配给主机。在考虑攻击者对用户主机进行网络地址扫描时,假设链路的网络前缀已从已知的主机地址中获得,即主机地址中的前64 bit已被扫描者(攻击者)所知,扫描是针对地址中的后64 bit,即对地址中接口 ID的扫描。
[0005]针对上述问题,现有的技术方案是升级终端和网络设备支持所谓IP地址跳频(或称IP地址跳变)技术,用户主机可以按照一定的速率切换自身地址以达到尽量规避地址扫描的目的,包括切换后64 bit接口 ID和前64 bit (即64位IPv6前缀)两种方法,其中切换前缀的同时也可以同步切换接口 ID。
[0006]IP地址跳频技术固然可以在一定程度上解决地址扫描问题,同时也带来了新的问题,例如跳变前后的业务连续性问题,即IPv6地址变化导致在线业务中断,影响中断用户服务体验。
【发明内容】
[0007]本发明的目的是提供了一种IPv6地址管理方法、装置、终端和网关设备,实现IPv6跳变前后的用户业务连续性,提升IPv6网络的安全性和可用性。
[0008]为了实现上述目的,本发明实施例提供了一种因特网协议第六版IPv6地址管理方法,用于第一终端,所述方法包括:
[0009]当第一业务在第一 IPv6地址原始生存期终止之前仍未结束时,所述第一终端向网关设备发送请求保留所述第一 IPv6地址的地址保留请求消息;其中,所述第一业务为所述第一终端与第二终端当前正在进行的业务,所述第一 IPv6地址为所述第一终端正在进行的所述第一业务所使用的IPv6地址;
[0010]接收所述网关设备返回的地址保留响应消息,所述地址保留响应消息中至少携带所述网关设备是否同意所述第一终端保留所述第一 IPv6地址的判断结果;
[0011]当所述地址保留响应消息中携带的所述判断结果指示所述网关设备同意所述第一终端保留所述第一 IPv6地址且所述地址保留响应消息中携带所述第一 IPv6地址的延续生存期时,在所述第一 IPv6地址的所述延续生存期终止之前,所述第一终端使用所述第一IPv6地址与所述第二终端继续进行所述第一业务。
[0012]上述的IPv6地址管理方法,其中,所述第一 IPv6地址为128位IPv6地址和64位的IPv6地址前缀中的至少一项。
[0013]上述的IPv6地址管理方法,其中,所述第一终端向网关设备发送请求保留所述第一 IPv6地址的地址保留请求消息具体为:
[0014]所述第一终端通过支持IPv6动态主机配置协议向所述网关设备发送请求保留所述第一 IPv6地址的地址保留请求消息。
[0015]为了实现上述目的,本发明实施例还提供了一种IPv6地址管理方法,用于网关设备,所述方法包括:
[0016]接收第一终端发送的请求保留第一 IPv6地址的地址保留请求消息;其中,所述第一终端与第二终端正在进行第一业务且所述第一业务在所述第一 IPv6地址原始生存期终止之前仍未结束,所述第一 IPv6地址为所述第一终端进行所述第一业务所使用的IPv6地址;
[0017]判断是否同意所述第一终端保留所述第一 IPv6地址,获得判断结果;
[0018]当所述判断结果指示同意所述第一终端保留所述第一 IPv6地址,将携带所述判断结果和所述第一 IPv6地址延续生存期的地址保留响应消息发送到所述第一终端,使得所述第一终端在所述第一 IPv6地址的所述延续生存期终止之前,继续使用所述第一 IPv6地址与所述第二终端进行所述第一业务。
[0019]上述的IPv6地址管理方法,其中,当所述第一 IPv6地址为128位时,所述方法还包括:
[0020]接收第三终端发送的携带第一 IPv6地址的IPv6重复地址检测消息,其中所述网关设备为所述第三终端预先分配了第三IPv6地址,所述第三IPv6地址的前缀与所述第一IPv6地址的前缀相同;
[0021]向所述第三终端发送携带所述第一IPv6地址已被使用的邻居请求消息,使得所述第三终端不能使用所述第一 IPv6地址建立会话。
[0022]上述的IPv6地址管理方法,其中,所述判断是否同意所述第一终端保留所述第一IPv6地址,获得判断结果具体为:
[0023]根据本地配置策略和所述第一终端的用户授权策略中的至少一项,判断是否同意所述第一终端保留所述第一 IPv6地址,获得所述判断结果。
[0024]上述的IPv6地址管理方法,其中,所述本地配置策略为基于端口配置策略、基于逻辑接口配置策略和基于用户域配置策略中的至少一项。
[0025]为了实现上述目的,本发明实施例还提供了一种因特网协议第六版IPv6地址管理装置,用于第一终端,所述装置包括:
[0026]第一发送模块,用于当第一业务在第一 IPv6地址原始生存期终止之前仍未结束时,所述第一终端向网关设备发送请求保留所述第一 IPv6地址的地址保留请求消息;其中,所述第一业务为所述第一终端与第二终端当前正在进行的业务,所述第一 IPv6地址为所述第一终端正在进行的所述第一业务所使用的IPv6地址;
[0027]第一接收模块,用于接收所述网关设备返回的地址保留响应消息,所述地址保留响应消息中至少携带所述网关设备是否同意所述第一终端保留所述第一 IPv6地址的判断结果;
[0028]处理模块,用于当所述地址保留响应消息中携带的所述判断结果指示所述网关设备同意所述第一终端保留所述第一 IPv6地址且所述地址保留响应消息中携带所述第一IPv6地址的延续生存期时,在所述第一 IPv6地址的所述延续生存期终止之前,所述第一终端使用所述第一 IPv6地址与所述第二终端继续进行所述第一业务。
[0029]上述的IPv6地址管理装置,其中,所述第一 IPv6地址为128位IPv6地址和64位的IPv6地址前缀中的至少一项。
[0030]上述的IPv6地址管理装置,其中,所述第一发送模块具体包括:
[0031]发送子模块,用于所述第一终端通过支持IPv6动态主机配置协议向所述网关设备发送请求保留所述第一 IPv6地址的地址保留请求消息。
[0032]为了实现上述目的,本发明实施例还提供了一种IPv6地址管理装置,用于网关设备,所述装置包括:
[0033]第二接收模块,用于接收第一终端发送的请求保留第一 IPv6地址的地址保留请求消息;其中,所述第一终端与第二终端正在进行第一业务且所述第一业务在所述第一IPv6地址原始生存期终止之前仍未结束,所述第一 IPv6地址为所述第一终端进行所述第一业务所使用的IPv6地址;
[0034]判断模块,用于判断是否同意所述第一终端保留所述第一 IPv6地址,获得判断结果;
[0035]第二发送模块,用于当所述判断结果指示同意所述第一终端保留所述第一 IPv6地址,将携带所述判断结果和所述第一 IPv6地址延续生存期的地址保留响应消息发送到所述第一终端,使得所述第一终端在所述第一 IPv6地址的所述延续生存期终止之前,继续使用所述第一 IPv6地址与所述第二终端进行所述第一业务。
[0036]上述的IPv6地址管理装置,其中,当所述第一 IPv6地址为128位时,所述装置还包括:
[0037]第三接收模块,用于接收第三终端发送的携带第一 IPv6地址的IPv6重复地址检测消息,其中所述网关设备为所述第三终端预先分配了第三IPv6地址,所述第三IPv6地址的前缀与所述第一 IPv6地址的前缀相同;
[0038]第三发送模块,用于向所述第三终端发送携带所述第一 IPv6地址已被使用的邻居请求消息,使得所述第三终端不能使用所述第一 IPv6地址建立会话。
[0039]上述的IPv6地址管理装置,其中,所述判断模块具体包括:
[0040]判断子模块,用于根据本地配置策略和所述第一终端的用户授权策略中的至少一项,判断是否同意所述第一终端保留所述第一 IPv6地址,获得所述判断结果。
[0041]上述的IPv6