专利名称:一种确保IPv6重定向消息安全的方法和系统的制作方法
技术领域:
本发明涉及计算机数据通信领域,尤其涉及一种确保IPv6重定向消息安全的方法和系统。
背景技术:
在IPv6网络中,路由器能够发送给IPv6主机重定向消息(Redirect Message),告知主机存在一个更好的下一跳,或者通过重定向报文告知主机目的地址是一个邻居节点, 无需通过路由器转发。这样,IPv6主机可以将流量重定向至更优的下一跳,或者直接转至邻居节点。但遗憾的是,目前主机节点接收IPv6重定向消息并不作身份验证,如果有恶意节点发送非法IPv6重定向消息给合法主机节点,主机节点会把其中下一跳邻居信息取代合法的下一跳邻居信息,使网络不可用或把流量导向非法节点,因此保证IPv6重定向消息的合法使用是目前IPv6网络设备必须做到的。
发明内容
本发明的目的在于提出一种确保IPv6重定向消息安全的方法和系统,以保证 IPv6重定向消息的安全使用,防止恶意IPv6重定向消息的转发。为达此目的,本发明采用以下技术方案一种确保IPv6重定向消息安全的方法,包括以下步骤A、交换机开启IPv6重定向消息安全功能,为交换机配置信任端口 ;B、接收IPv6重定向消息报文C、判断IPv6重定向消息报文的接收端口是否属于配置的信任端口,若属于,则转发至IPv6主机,若不属于,则丢弃该报文;D、所述IPv6主机收到转发的IPv6重定向消息报文,将目的缓存或者邻居缓存指向重定向的目标主机地址。步骤A中,配置的信任端口为交换机上连接IPv6路由器的二层端口和/或汇聚端□。步骤C中,当IPv6重定向消息报文的接收端口属于信任端口时,查询邻居表项,从连接IPv6主机的端口将IPv6重定向消息报文转发出去。一种确保IPv6重定向消息安全的系统,包括接收模块、端口配置模块、处理模块和转发模块,其中处理模块分别与接收模块、端口配置模块和转发模块连接;所述接收模块,用于接收IPv6重定向消息报文;所述端口配置模块,用于为交换机配置信任端口 ;所述处理模块,用于读取所述IPv6重定向消息报文的接收端口信息,判断IPv6重定向消息报文的接收端口是否属于配置的信任端口,若属于,则将所述IPv6重定向消息报文发送给转发模块;若不属于,则丢弃所述IPv6重定向消息报文;所述转发模块,用于将处理模块发来的IPv6重定向消息报文转发至所述IPv6重定向消息报文的目的主机。所述端口配置模块为交换机配置的信任端口,为交换机上连接IPv6路由器的二层端口和/或汇聚端口。所述处理模块判断IPv6重定向消息报文的接收端口属于信任端口时,转发模块查询邻居表项,从连接所述IPv6重定向消息报文的目的主机的端口将IPv6重定向消息报文转发出去。采用本发明的技术方案,保证了 IPv6重定向消息的安全使用,防止恶意IPv6重定向消息的转发,确保网络的正常工作。
图1是本发明具体实施方式
提供的确保IPv6重定向消息安全的方法流程示意图。图2是本发明具体实施方式
提供的确保IPv6重定向消息安全的系统结构示意图。
具体实施例方式下面结合附图并通过具体实施方式
来进一步说明本发明的技术方案。图1是本发明具体实施方式
提供的确保IPv6重定向消息安全的方法流程示意图。 如图1所示,该方法包括以下步骤步骤S101,交换机开启IPv6重定向消息安全功能,为交换机配置信任端口。交换机开启IPv6重定向消息安全功能后,将IPv6重定向消息报文重定向至CPU 的规则下发至交换芯片,使交换芯片收到IPv6重定向消息报文报文时,将报文重定向至交换机的CPU,由CPU进行软件的解析和转发。IPv6重定向消息报文的特征为以太首部第17,18字节的以太类型为0访6(1(1; ipv6首部第6字节的nexthdr为58 ;ipv6首部第41字节的icmpv6类型为137。所述为交换机配置的信任端口为交换机上连接IPv6路由器的二层端口和/或汇
聚端口。通常交换机上用来连接路由器的端口数量要少于用来连接主机节点的端口数量, 而安全的IPv6重定向消息报文来自路由器,非安全的IPv6重定向消息报文往往来自恶意主机节点。因此在为交换机配置所述信任端口时,通常将交换机上连接IPv6路由器的二层端口和/或汇聚端口配置为信任端口,其他未进行配置的端口则均缺省为非信任端口。这样,需要进行配置的端口数量较少,方便用户操作和更改端口配置。步骤S102,接收IPv6重定向消息报文。开启IPv6重定向消息安全功能后,由于IPv6重定向消息报文重定向至CPU的规则已生效,IPv6重定向消息报文到达交换机端口后,被交换芯片送到交换机CPU处理。步骤S103,判断IPv6重定向消息报文的接收端口是否属于配置的信任端口,若属于,则转发至IPv6主机,若不属于,则丢弃该报文。IPv6重定向消息报文重定向至交换机的CPU,由CPU进行软件的解析和转发。运行在CPU的软件里对每一个报文由一个软件结构来指向,里面包含表示接收端口的字段。 交换芯片将报文送到CPU后,收包驱动从芯片的寄存器里读出端口号,写到该报文的软件结构的端口字段里。运行在CPU的软件读取该字段中的端口信息,与步骤SlOl中配置的信任端口信息进行匹配;如果属于所述信任端口,则将该端口收到的IPv6重定向消息报文转发至该报文的目标IPv6主机;如果不属于所述信任端口,则直接丢弃该IPv6重定向消息报文。这样便使恶意主机节点发送的非法IPv6重定向消息报文,无法到达其目标IPv6主机, 保证了 IPv6重定向消息的安全使用。步骤S104,所述IPv6主机收到转发的IPv6重定向消息报文,将目的缓存或者邻居缓存指向重定向的目标主机地址。这样,便告知所述IPv6主机,存在一个更好的下一跳或者通过重定向报文告知目的地址是一个邻居节点,无需通过路由器转发。所述IPv6主机可以将其流量重定向至更优的下一跳,或者直接转至邻居节点。图2是本发明具体实施方式
提供的确保IPv6重定向消息安全的系统结构示意图。 如图2所示,所述系统包括接收模块201、端口配置模块202、处理模块203和转发模块204, 其中处理模块分别与接收模块、端口配置模块和转发模块连接;所述接收模块201,用于接收IPv6重定向消息报文;所述端口配置模块202,用于为交换机配置信任端口 ;所述处理模块203,用于读取所述IPv6重定向消息报文的接收端口信息,判断 IPv6重定向消息报文的接收端口是否属于配置的信任端口,若属于,则将所述IPv6重定向消息报文发送给转发模块;若不属于,则丢弃所述IPv6重定向消息报文;所述转发模块204,用于将处理模块发来的IPv6重定向消息报文转发至所述IPv6 重定向消息报文的目的主机。当交换机开启IPv6重定向消息安全功能后,将IPv6重定向消息报文重定向至CPU 的规则下发至所述交换芯片,所述交换芯片收到IPv6重定向消息报文报文时,将报文重定向至CPU,CPU进行软件的解析和转发。IPv6重定向消息报文重定向至交换机的CPU,由运行在CPU的软件系统进行解析和转发。运行在CPU的软件里对每一个报文由一个软件结构来指向,里面包含表示接收端口的字段。交换芯片将报文送到CPU后,收包驱动从芯片的寄存器里读出端口号,写到该报文的软件结构的端口字段里。运行在CPU的软件系统中的接收模块接收所述软件结构的IPv6重定向消息报文,将其发送到处理模块。所述处理模块读取软件结构中端口字段的端口信息,与端口配置模块配置的信任端口进行匹配;如果属于所述信任端口,则将所述 IPv6重定向消息报文发送到转发模块,由转发模块将IPv6重定向消息报文转发至目的主机;如果不属于所述信任端口,则直接丢弃该IPv6重定向消息报文。这样便使恶意主机节点发送的非法IPv6重定向消息报文,无法到达其目的IPv6主机,保证了 IPv6重定向消息的安全使用。所述端口配置模块为交换机配置的信任端口,为交换机上连接IPv6路由器的二层端口和/或汇聚端口。在为交换机配置所述信任端口时,通常将交换机上连接IPv6路由器的二层端口和/或汇聚端口配置为信任端口,其他未进行配置的端口则均缺省为非信任端口。这样,需要进行配置的端口数量较少,方便用户操作和更改端口配置。所述处理模块判断IPv6重定向消息报文的接收端口属于所述端口模块配置的信任端口时,转发模块查询邻居表项,从连接所述IPv6重定向消息报文的目的主机的端口将 IPv6重定向消息报文转发出去。
连接到所述交换机的IPv6主机收到转发的IPv6重定向消息报文,将目的缓存或者邻居缓存指向重定向的目标主机地址。这样,该IPv6主机便能够得知还存在一个更优的下一跳或者通过重定向报文告知目的地址是一个邻居节点,无需通过路由器转发。所述 IPv6主机可以将其流量重定向至更优的下一跳,或者直接转至邻居节点。采用以上本发明具体实施方式
的技术方案,保证了 IPv6重定向消息的安全使用, 防止恶意IPv6重定向消息的转发,确保网络的正常工作。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此, 任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种确保IPv6重定向消息安全的方法,其特征在于,包括以下步骤A、交换机开启IPv6重定向消息安全功能,为交换机配置信任端口;B、接收IPv6重定向消息报文C、判断IPv6重定向消息报文的接收端口是否属于配置的信任端口,若属于,则转发至 IPv6主机,若不属于,则丢弃该报文;D、所述IPv6主机收到转发的IPv6重定向消息报文,将目的缓存或者邻居缓存指向重定向的目标主机地址。
2.根据权利要求1所述的确保IPv6重定向消息安全的方法,其特征在于,步骤A中,配置的信任端口为交换机上连接IPv6路由器的二层端口和/或汇聚端口。
3.根据权利要求1或2所述的确保IPv6重定向消息安全的方法,其特征在于,步骤C 中,当IPv6重定向消息报文的接收端口属于信任端口时,查询邻居表项,从连接IPv6主机的端口将IPv6重定向消息报文转发出去。
4.一种确保IPv6重定向消息安全的系统,其特征在于,包括接收模块、端口配置模块、 处理模块和转发模块,其中处理模块分别与接收模块、端口配置模块和转发模块连接;所述接收模块,用于接收IPv6重定向消息报文;所述端口配置模块,用于为交换机配置信任端口 ;所述处理模块,用于读取所述IPv6重定向消息报文的接收端口信息,判断IPv6重定向消息报文的接收端口是否属于配置的信任端口,若属于,则将所述IPv6重定向消息报文发送给转发模块;若不属于,则丢弃所述IPv6重定向消息报文;所述转发模块,用于将处理模块发来的IPv6重定向消息报文转发至所述IPv6重定向消息报文的目的主机。
5.根据权利要求4所述的确保IPv6重定向消息安全的系统,其特征在于,所述端口配置模块为交换机配置的信任端口,为交换机上连接IPv6路由器的二层端口和/或汇聚端
6.根据权利要求4或5所述的确保IPv6重定向消息安全的系统,其特征在于,所述处理模块判断IPv6重定向消息报文的接收端口属于信任端口时,转发模块查询邻居表项,从连接所述IPv6重定向消息报文的目的主机的端口将IPv6重定向消息报文转发出去。
全文摘要
本发明公开了一种确保IPv6重定向消息安全的方法和系统,交换机开启IPv6重定向消息安全功能,为交换机配置信任端口;接收IPv6重定向报文;判断IPv6重定向消息报文的接收端口是否属于配置的信任端口,若属于,则转发至IPv6主机,若不属于,则丢弃该报文。采用本发明的技术方案,保证了IPv6重定向消息的安全使用,防止恶意IPv6重定向消息的转发,确保网络的正常工作。
文档编号H04L29/06GK102571807SQ20121002749
公开日2012年7月11日 申请日期2012年2月8日 优先权日2012年2月8日
发明者梁小冰 申请人:神州数码网络(北京)有限公司