專利名稱:一種用戶設(shè)備授權(quán)遷移的方法及網(wǎng)絡(luò)接入服務(wù)器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)�����,尤指一種用戶設(shè)備授權(quán)遷移的方法及網(wǎng)絡(luò)接入服務(wù)器��。
背景技術(shù):
支持IPv6 的動(dòng)態(tài)主機(jī)配置協(xié)議(DHCPv6,Dynamic Host ConfigurationProtocol for IPv6)是針對(duì)IPv6編址方案設(shè)計(jì)的�、為主機(jī)分配IPv6地址和其他網(wǎng)絡(luò)配置參數(shù)的協(xié)議����。DHCPv6采用客戶端/服務(wù)器通信模式,由用戶設(shè)備向服務(wù)器提出配置申請(qǐng)�����,服務(wù)器返回為用戶設(shè)備分配的IPv6地址等相應(yīng)的配置信息,以實(shí)現(xiàn)IP地址等信息的動(dòng)態(tài)配置�。
參見(jiàn)圖1,圖1為現(xiàn)有技術(shù)中用戶設(shè)備通過(guò)網(wǎng)絡(luò)接入服務(wù)器(NAS��,Network Access Server)向DHCP服務(wù)器請(qǐng)求IPv6地址/前綴�����,接入網(wǎng)絡(luò)的基本流程圖�����。
在步驟101中�����,用戶設(shè)備向DHCP服務(wù)器發(fā)送懇求(Solicit)請(qǐng)求信息�,請(qǐng)求分配 IPv6地址/前綴。
在步驟102中����,NAS接收到用戶設(shè)備發(fā)送的Solicit請(qǐng)求信息,將其轉(zhuǎn)發(fā)給DHCP服務(wù)器����。
在步驟103中��,DHCP服務(wù)器向用戶設(shè)備返回通告(Advertise)消息,Advertise消息中攜帶有DHCP服務(wù)器的標(biāo)識(shí)(ID)和優(yōu)先權(quán)選項(xiàng)�。
在步驟104中,NAS接收DHCP服務(wù)器發(fā)送的Advertise消息���,將其轉(zhuǎn)發(fā)給用戶設(shè)備�。
在步驟105中���,用戶設(shè)備在指定時(shí)間內(nèi)收集所有DHCP服務(wù)器返回的的Advertise 消息���,然后根據(jù)優(yōu)先選項(xiàng)選出一個(gè)最優(yōu)的DHCP服務(wù)器,向該DHCP服務(wù)器發(fā)送請(qǐng)求 (Request)消息��,請(qǐng)求該DHCP服務(wù)器為自身分配IPv6地址/前綴���。
在步驟106中����,NAS將收到的Request消息轉(zhuǎn)發(fā)給對(duì)應(yīng)的DHCP服務(wù)器�����。
在步驟107中,DHCP服務(wù)器為該用戶設(shè)備分配IPv6地址/前綴���,發(fā)送響應(yīng)(Iteply) 消息�����。
在步驟108中�����,NAS根據(jù)收到的Reply消息建立端口綁定表項(xiàng)���,根據(jù)該端口綁定表項(xiàng)允許該用戶設(shè)備接入網(wǎng)絡(luò)。其中����,端口綁定表項(xiàng)包括用戶設(shè)備的介質(zhì)訪問(wèn)控制地址(MAC) 地址、IPv6地址��,NAS與該用戶設(shè)備相連的端口����、以及該端口所屬的VLAN等信息�����。
在步驟109中�����,NAS向用戶設(shè)備轉(zhuǎn)發(fā)收到的R印Iy消息。
經(jīng)過(guò)圖1所示的流程���,用戶設(shè)備獲得了分配的IPv6地址/前綴�����,同時(shí)在NAS上也建立了端口綁定表項(xiàng)����。NAS則可以根據(jù)建立的端口綁定表項(xiàng)允許合法獲得IPv6地址/前綴的用戶設(shè)備接入網(wǎng)絡(luò)���,拒絕非法獲得IPv6地址/前綴的用戶設(shè)備接入網(wǎng)絡(luò)��。
當(dāng)用戶設(shè)備物理連接狀態(tài)發(fā)生變化時(shí)����,用戶設(shè)備就會(huì)向DHCP服務(wù)器發(fā)送確認(rèn) (Confirm)消息,用來(lái)確認(rèn)是否可繼續(xù)使用DHCP服務(wù)器分配的IPv6地址/前綴���。圖2給出了用戶設(shè)備從NASI遷移到NAS2的示意圖�。用戶設(shè)備原先通過(guò)NASI與DHCP服務(wù)器相連�����, 在NASI上建立了對(duì)應(yīng)的端口綁定表項(xiàng)����。在物理連接狀態(tài)發(fā)生變化后,通過(guò)NAS2與DHCP服務(wù)器相連�,此時(shí)需要向DHCP服務(wù)器確認(rèn)是否可繼續(xù)使用原先分配的IPv6地址/前綴,并在確認(rèn)可以使用時(shí)在NAS2上建立對(duì)應(yīng)的端口綁定表項(xiàng)���,具體處理流程如圖3所示���。
在步驟301中,用戶設(shè)備在物理連接狀態(tài)發(fā)生變化時(shí)�����,向DHCP服務(wù)器發(fā)送Confirm 消息��,其中攜帶用戶標(biāo)識(shí)以及待確認(rèn)的IPv6地址/前綴。
在步驟302中���,用戶設(shè)備當(dāng)前所在鏈路對(duì)應(yīng)的NAS2將收到的Confirm消息轉(zhuǎn)發(fā)給對(duì)應(yīng)的DHCP服務(wù)器�。
在步驟303中���,DHCP服務(wù)器根據(jù)Confirm消息中攜帶的用戶標(biāo)識(shí)以及待確認(rèn)的 IPv6地址/前綴���,檢查自身的記錄該待確認(rèn)的IPv6地址/前綴是否分配給了該用戶設(shè)備, 如果是��,則在向用戶設(shè)備返回的Iteply消息攜帶成功(Success)標(biāo)記�,如果不是,則在向用戶設(shè)備返回的R印Iy消息中攜帶未定義(Unspechil)標(biāo)記。
在步驟304中���,NAS2接收DHCP服務(wù)器發(fā)送的R印Iy消息,在R印Iy消息攜帶 Success標(biāo)記時(shí)�,在本設(shè)備創(chuàng)建對(duì)應(yīng)的端口綁定表項(xiàng),用戶設(shè)備則可以通過(guò)NAS2接入網(wǎng)絡(luò)�; 在R印Iy消息中攜帶Unspeci^ail標(biāo)記時(shí),不在本設(shè)備創(chuàng)建對(duì)應(yīng)的端口綁定表項(xiàng)����,用戶設(shè)備將不能通過(guò)該NAS2接入網(wǎng)絡(luò)��。
當(dāng)NAS2成功的在本設(shè)備為用戶設(shè)備建立了端口綁定表項(xiàng)���,則用戶設(shè)備接入網(wǎng)絡(luò)的授權(quán)就成功的由NASI遷移到NAS2上,實(shí)現(xiàn)了用戶設(shè)備的授權(quán)遷移�。
在步驟305中,NAS2將從DHCP服務(wù)器收到的R印Iy消息轉(zhuǎn)發(fā)給用戶設(shè)備��。
從圖3所示的流程不難看出��,DHCP服務(wù)器處理Confirm消息的機(jī)制非常簡(jiǎn)單�,只根據(jù)消息中攜帶的用戶標(biāo)識(shí)以及待確認(rèn)的IPv6地址/前綴來(lái)確定是否讓用戶設(shè)備繼續(xù)使用原來(lái)分配的IPv6地址/前綴,給攻擊者帶來(lái)了實(shí)施攻擊的機(jī)會(huì)���。
攻擊者只需偽造一攜帶合法用戶設(shè)備的用戶標(biāo)識(shí)和待確認(rèn)的IPv6地址/前綴的 Confirm消息發(fā)送給DHCP服務(wù)器���,DHCP服務(wù)器就會(huì)返回確認(rèn),并在NAS2上創(chuàng)建對(duì)應(yīng)的端口綁定表項(xiàng)���。這樣����,攻擊者就可以非法占用該IPv6地址/前綴,使用該IPv6地址/前綴接入網(wǎng)絡(luò)���,進(jìn)行非法操作���。
從上述分析不難看出,現(xiàn)有技術(shù)在用戶設(shè)備物理連接狀態(tài)發(fā)生變化時(shí)的處理流程存在嚴(yán)重安全隱患����,不利于系統(tǒng)正常、穩(wěn)定的運(yùn)行�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種用戶設(shè)備授權(quán)遷移的方法及網(wǎng)絡(luò)接入服務(wù)器��,應(yīng)用本發(fā)明提供的方法以及網(wǎng)絡(luò)接入服務(wù)器能夠在用戶設(shè)備發(fā)生物理連接遷移時(shí)�����,安全的進(jìn)行用戶設(shè)備的授權(quán)遷移����。
為達(dá)到上述目的��,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的 一種用戶設(shè)備授權(quán)遷移的方法�����,用戶設(shè)備通過(guò)網(wǎng)絡(luò)接入服務(wù)器NAS連接動(dòng)態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器,獲取DHCP服務(wù)器分配的IPv6地址/前綴�;NAS依據(jù)分配的IPv6地址/前綴在本設(shè)備生成端口綁定表項(xiàng),根據(jù)該端口綁定表項(xiàng)允許該用戶設(shè)備接入網(wǎng)絡(luò)���,該方法包括 NAS在轉(zhuǎn)發(fā)用戶設(shè)備請(qǐng)求分配IPv6地址/前綴的懇求Solicit消息時(shí)�����,在其中添加自身的介質(zhì)訪問(wèn)控制MAC地址��,用于DHCP服務(wù)器記錄所分配的IPv6地址/前綴與該用戶設(shè)備接入NAS的MAC地址之間的對(duì)應(yīng)關(guān)系��; NAS接收以自身MAC地址為目的的授權(quán)探測(cè)消息���,根據(jù)該授權(quán)探測(cè)消息中攜帶的 IPv6地址/前綴檢查自身是否存在使用該IPv6地址/前綴的用戶設(shè)備,如果存在����,則返回拒絕授權(quán)遷移;如果不存在����,則允許授權(quán)遷移,指示生成端口綁定表項(xiàng)。
一種網(wǎng)絡(luò)接入服務(wù)器�����,該網(wǎng)絡(luò)接入服務(wù)器NAS包括添加單元和檢測(cè)單元 所述添加單元�����,用于在轉(zhuǎn)發(fā)用戶設(shè)備請(qǐng)求分配IPv6地址/前綴的懇求Solicit消息時(shí)�����,在其中添加自身的介質(zhì)訪問(wèn)控制MAC地址�����,用于DHCP服務(wù)器記錄所分配的IPv6地址 /前綴與該用戶設(shè)備接入的NAS的MAC地址之間的對(duì)應(yīng)關(guān)系�����; 所述檢測(cè)單元�����,用于NAS接收以自身MAC地址為目的的授權(quán)探測(cè)消息��,根據(jù)該授權(quán)探測(cè)消息中攜帶的IPv6地址/前綴檢查自身是否存在使用該IPv6地址/前綴的用戶設(shè)備�, 如果存在,則返回拒絕授權(quán)遷移���;如果不存在���,則允許授權(quán)遷移,指示生成端口綁定表項(xiàng)����。
本發(fā)明所提供的一種用戶設(shè)備授權(quán)遷移的方法及網(wǎng)絡(luò)接入服務(wù)器,通過(guò)記錄分配的IPv6地址/前綴與該用戶設(shè)備接入的NAS的MAC地址之間的對(duì)應(yīng)關(guān)系����,在用戶設(shè)備發(fā)生物理連接遷移后,根據(jù)該對(duì)應(yīng)關(guān)系查詢?cè)糔AS下是否存在使用該IPv6地址/前綴的用戶設(shè)備���,在存在時(shí)����,拒絕在當(dāng)前接入的NAS上為用戶設(shè)備生成端口綁定表項(xiàng)����;在不存在時(shí)�����,則在當(dāng)前接入的NAS上生成端口綁定表項(xiàng)�?�?梢?jiàn)����,通過(guò)應(yīng)用本發(fā)明的技術(shù)方案既保障了合法用戶設(shè)備在發(fā)生物理連接遷移后,授權(quán)遷移的安全性���;也能夠有效阻止非法用戶設(shè)備在此過(guò)程實(shí)施的偽造攻擊�����,維護(hù)了合法用戶的權(quán)利�����,保證了接入網(wǎng)絡(luò)正常����、穩(wěn)定的運(yùn)行�。
圖1為現(xiàn)有技術(shù)中DHCP服務(wù)器分配IPv6地址/前綴的基本流程圖; 圖2為用戶設(shè)備從NASI遷移到NAS2的示意圖�����; 圖3為現(xiàn)有技術(shù)中發(fā)生物理連接遷移后的處理流程圖���; 圖4為本發(fā)明方法的示例性流程圖��; 圖5為本發(fā)明NAS的示例性結(jié)構(gòu)圖���; 圖6為本發(fā)明實(shí)施例一的流程圖; 圖7為本發(fā)明實(shí)施例二的流程圖��。
具體實(shí)施例方式在本部分的詳細(xì)描述中�����,僅通過(guò)對(duì)實(shí)施本發(fā)明的發(fā)明者所預(yù)期的最佳方式的示例�,示出并描述了本發(fā)明的較佳實(shí)施例。應(yīng)意識(shí)到��,可以在不背離本發(fā)明的前提下�����,就各個(gè)顯而易見(jiàn)的方面對(duì)其進(jìn)行修改。相應(yīng)地��,附圖和說(shuō)明書(shū)應(yīng)被視為在本質(zhì)上是示例性的��,而不是限制性的��。
為了阻止攻擊者發(fā)起的偽造攻擊����,在本發(fā)明的技術(shù)方案中,可以在分配IPv6地址 /前綴時(shí)�����,記錄分配的IPv6地址/前綴與該用戶設(shè)備接入的NAS的MAC地址之間的對(duì)應(yīng)關(guān)系����;在用戶設(shè)備發(fā)生物理連接遷移后,根據(jù)該對(duì)應(yīng)關(guān)系查詢?cè)糔AS下是否存在使用該 IPv6地址/前綴的用戶設(shè)備��,在存在時(shí)����,拒絕生成端口綁定表項(xiàng);在不存在時(shí),則在當(dāng)前接入的NAS上生成端口綁定表項(xiàng)�,允許用戶設(shè)備接入。
參見(jiàn)圖4��,圖4為本發(fā)明方法的示例性流程圖��。用戶設(shè)備通過(guò)NAS連接DHCP服務(wù)器��,獲取DHCP服務(wù)器分配的IPv6地址/前綴���;NAS依據(jù)分配的IPv6地址/前綴在本設(shè)備生成端口綁定表項(xiàng),根據(jù)該端口綁定表項(xiàng)允許該用戶設(shè)備接入網(wǎng)絡(luò)�,該方法包括,在步驟401 中��,NAS在轉(zhuǎn)發(fā)用戶設(shè)備請(qǐng)求分配IPv6地址/前綴的懇求Solicit消息時(shí)���,在其中添加自身的介質(zhì)訪問(wèn)控制MAC地址�����,用于DHCP服務(wù)器記錄所分配的IPv6地址/前綴與該用戶設(shè)備接入NAS的MAC地址之間的對(duì)應(yīng)關(guān)系���;在步驟402中,NAS接收以自身MAC地址為目的的授權(quán)探測(cè)消息��,根據(jù)該授權(quán)探測(cè)消息中攜帶的IPv6地址/前綴檢查自身是否存在使用該IPv6 地址/前綴的用戶設(shè)備,如果存在���,則返回拒絕授權(quán)遷移��;如果不存在����,則允許授權(quán)遷移��,指示生成端口綁定表項(xiàng)����。
根據(jù)本發(fā)明的示例性流程,如圖2所示�����,假設(shè)用戶設(shè)備為合法用戶設(shè)備�����,該用戶設(shè)備從NASI遷移至NAS2�����,那么在NASI上必定不存在使用該待確認(rèn)的IPv6地址/前綴的用戶設(shè)備;如果當(dāng)前用戶設(shè)備為非法用戶設(shè)備���,那么在該IPv6地址/前綴對(duì)應(yīng)的NASI上必定存在使用的用戶設(shè)備��。在本文的描述中��,可以將用戶設(shè)備物理遷移前接入的NASI稱為原始NAS ;物理遷移后接入的NAS2稱為當(dāng)前NAS��。因此���,通過(guò)在分配IPv6地址/前綴時(shí)�����,記錄所分配的IPv6地址/前綴與該用戶設(shè)備接入NAS的MAC地址之間的對(duì)應(yīng)關(guān)系����,并在用戶設(shè)備發(fā)生物理連接遷移后��,根據(jù)該對(duì)應(yīng)關(guān)系查詢?cè)糔AS下是否存在使用該IPv6地址/前綴的用戶設(shè)備�,在存在時(shí),拒絕在當(dāng)前接入的NAS上為用戶設(shè)備生成端口綁定表項(xiàng);在不存在時(shí)����,則在當(dāng)前接入的NAS上生成端口綁定表項(xiàng),既保證了合法用戶設(shè)備正常的授權(quán)遷移��,也阻止了非法用戶設(shè)備的偽造攻擊����。
其中,授權(quán)探測(cè)消息可以是DHCP服務(wù)器收到用戶設(shè)備發(fā)送的Confirm消息后發(fā)送的消息����,即所述接收的授權(quán)探測(cè)消息為DHCP服務(wù)器收到為確認(rèn)是否可繼續(xù)使用IPv6地址 /前綴而發(fā)送的確認(rèn)Confirm消息后,根據(jù)該待確認(rèn)IPv6地址/前綴獲得對(duì)應(yīng)的原始NAS 的MAC地址����,發(fā)送的以該MAC地址為目的地址、攜帶該IPv6地址/前綴的消息����。
也可以是當(dāng)前NAS設(shè)備發(fā)送的消息。此時(shí)����,NAS接收DHCP服務(wù)器發(fā)送的與Confirm 消息中IPv6地址/前綴對(duì)應(yīng)的原始NAS的MAC地址�,并以該MAC地址為目的地址����,發(fā)送攜帶該IPv6地址/前綴的授權(quán)探測(cè)消息;在收到拒絕授權(quán)遷移的指示后����,拒絕在本設(shè)備上對(duì)應(yīng)該IPv6地址/前綴生成端口綁定表項(xiàng);在收到允許授權(quán)遷移的指示后�,在本設(shè)備上對(duì)應(yīng)該IPv6地址/前綴生成端口綁定表項(xiàng)。
其中����,所述根據(jù)該授權(quán)探測(cè)消息中攜帶的IPv6地址/前綴檢查自身是否存在使用該IPv6地址/前綴的用戶設(shè)備可具體為檢查在本設(shè)備上是否存在與授權(quán)探測(cè)消息中攜帶的IPv6地址/前綴對(duì)應(yīng)的端口綁定表項(xiàng)��;當(dāng)本設(shè)備上存在所述對(duì)應(yīng)的端口綁定表項(xiàng)���,則在對(duì)應(yīng)端口上探測(cè)是否存在用戶設(shè)備����,如果存在用戶設(shè)備�,返回拒絕授權(quán)遷移;如果不存在用戶設(shè)備���,指示生成端口綁定表項(xiàng)���,允許授權(quán)遷移��,并進(jìn)一步刪除端口綁定表項(xiàng)��;當(dāng)本設(shè)備上不存在所述對(duì)應(yīng)的端口綁定表項(xiàng)���,允許授權(quán)遷移,指示生成端口綁定表項(xiàng)���。
其中�����,所述授權(quán)探測(cè)消息可以為目的地址為NAS的MAC����,使用被探測(cè)的IPv6地址 /前綴偽裝發(fā)送的釋放(Release)消息�����。
另外����,參見(jiàn)圖5�,圖5為本發(fā)明提供的一種NAS的結(jié)構(gòu)示意圖�����,為清楚描述本發(fā)明的技術(shù)方案���,省略了 NAS中的現(xiàn)有功能單元���。該NAS包括添加單元和檢測(cè)單元所述添加單元,用于在轉(zhuǎn)發(fā)用戶設(shè)備請(qǐng)求分配IPv6地址/前綴的懇求Solicit消息時(shí)�,在其中添加自身的介質(zhì)訪問(wèn)控制MAC地址,用于DHCP服務(wù)器記錄所分配的IPv6地址/前綴與該用戶設(shè)備接入的NAS的MAC地址之間的對(duì)應(yīng)關(guān)系�;所述檢測(cè)單元,用于NAS接收以自身MAC地址為目的的授權(quán)探測(cè)消息��,根據(jù)該授權(quán)探測(cè)消息中攜帶的IPv6地址/前綴檢查自身是否存在使用該IPv6地址/前綴的用戶設(shè)備��,如果存在�����,則返回拒絕授權(quán)遷移���;如果不存在���,則允許授權(quán)遷移,指示生成端口綁定表項(xiàng)��。
所述檢測(cè)單元接收的授權(quán)探測(cè)消息為DHCP服務(wù)器收到為確認(rèn)是否可繼續(xù)使用 IPv6地址/前綴而發(fā)送的確認(rèn)Confirm消息后��,根據(jù)該該確認(rèn)IPv6地址/前綴獲得對(duì)應(yīng)的原始NAS的MAC地址�,發(fā)送的以該MAC地址為目的地址、攜帶該IPv6地址/前綴的消息�����。
另外��,所述NAS進(jìn)一步包括探測(cè)單元和生成單元�����;所述探測(cè)單元�����,用于接收DHCP服務(wù)器發(fā)送的與收到的Confirm消息中IPv6地址/前綴對(duì)應(yīng)的原始NAS的MAC地址�����,并以該 MAC地址為目的地址,發(fā)送攜帶該IPv6地址/前綴的授權(quán)探測(cè)消息�;所述生成單元,用于在收到拒絕授權(quán)遷移的指示后��,拒絕在本設(shè)備上對(duì)應(yīng)該IPv6地址/前綴生成端口綁定表項(xiàng)�����; 在收到允許授權(quán)遷移的指示后����,在本設(shè)備上對(duì)應(yīng)該IPv6地址/前綴生成端口綁定表項(xiàng)。
所述檢測(cè)單元�����,在檢查自身是否存在使用該IPv6地址/前綴的用戶設(shè)備時(shí)���,檢查在本設(shè)備上是否存在與授權(quán)探測(cè)消息中攜帶的IPv6地址/前綴對(duì)應(yīng)的端口綁定表項(xiàng)�����;當(dāng)本設(shè)備上存在所述對(duì)應(yīng)的端口綁定表項(xiàng)���,則在對(duì)應(yīng)端口上探測(cè)是否存在用戶設(shè)備,如果存在用戶設(shè)備���,返回拒絕授權(quán)遷移����;如果不存在用戶設(shè)備�����,指示生成端口綁定表項(xiàng)���,允許授權(quán)遷移�����,并進(jìn)一步刪除端口綁定表項(xiàng)����;當(dāng)本設(shè)備上不存在所述對(duì)應(yīng)的端口綁定表項(xiàng)���,允許授權(quán)遷移��,指示生成端口綁定表項(xiàng)����。
其中的授權(quán)探測(cè)消息為目的地址為NAS的MAC,使用被探測(cè)的IPv6地址/前綴偽裝發(fā)送的釋放Release消息����。
以下列舉兩實(shí)施例對(duì)本發(fā)明的技術(shù)方案進(jìn)行更加詳細(xì)的說(shuō)明。其中����,實(shí)施例一主要介紹由當(dāng)前NAS向原始NAS發(fā)送授權(quán)探測(cè)消息的技術(shù)方案;實(shí)施例二主要介紹由DHCP服務(wù)器向原始NAS發(fā)送授權(quán)探測(cè)消息的技術(shù)方案��。
在實(shí)施例一和實(shí)施例二中�,DHCP服務(wù)器在為用戶設(shè)備分配IPv6地址/前綴時(shí),記錄所分配的IPv6地址/前綴與該用戶設(shè)備接入的NAS標(biāo)識(shí)之間的對(duì)應(yīng)關(guān)系�,具體記錄的方法可以是NAS在轉(zhuǎn)發(fā)用戶設(shè)備請(qǐng)求分配IPv6地址/前綴的Solicit消息時(shí),在其中添加自身的MAC地址����;DHCP服務(wù)器在為該用戶設(shè)備分配IPv6地址/前綴時(shí),從該Solicit消息中獲得該MAC地址�,并記錄所分配的IPv6地址/前綴與該NAS的MAC地址之間的對(duì)應(yīng)關(guān)系。
在Solicit消息中添加MAC地址的方法可以在報(bào)文中添加如下Remote-id選項(xiàng)。
0123 01234567890123456789012345678901 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ I0PTI0N_REM0TE_ID|option-len +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Ienterprise-number +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ sub-optionl| MAC +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ option-code0PTI0N_REM0TE_ID(37) option-len4+the length, in octets, of the remote-id field. The minimum option-len is 5octets. 參見(jiàn)圖6���,圖6為本發(fā)明實(shí)施例一方法的流程圖,具體包括 在步驟601中����,用戶設(shè)備在物理連接遷移后,向當(dāng)前連接的NAS2發(fā)送Confirm消息����,其中攜帶用戶標(biāo)識(shí)以及待確認(rèn)的IPv6地址/前綴。
在步驟602中����,NAS2接收用戶設(shè)備發(fā)送的Confirm消息,將其轉(zhuǎn)發(fā)給DHCP服務(wù)器�。
在步驟603中,DHCP服務(wù)器根據(jù)Confirm消息中攜帶的用戶標(biāo)識(shí)以及待確認(rèn)的 IPv6地址/前綴�,確定該待確認(rèn)的IPv6地址/前綴是否分配給該用戶設(shè)備,如果是�,則根據(jù)記錄的IPv6地址/前綴與NAS的MAC地址的對(duì)應(yīng)關(guān)系,得到該用戶設(shè)備在發(fā)生物理連接遷移前接入的NAS的MAC地址��,在返回的R印Iy消息中攜帶該MAC地址���,并攜帶對(duì)應(yīng)IPv6地址的租期�;否則,在返回的R印Iy消息中攜帶UnspecfFail標(biāo)記��。
在本實(shí)施例和實(shí)施例二中���,假設(shè)用戶設(shè)備在發(fā)生物理連接遷移前的NAS為NAS 1�����。
在步驟604中����,NAS2接收DHCP服務(wù)器返回的R印Iy消息�,如果其中攜帶NAS的MAC 地址,則獲得其中攜帶的MAC地址����,即NASI的MAC地址,并使用待確認(rèn)的IPv6地址/前綴��, 以獲得的MAC地址為目的地址向NASI發(fā)送DHCP釋放(Release)消息����,并執(zhí)行后續(xù)步驟�����;如果其中攜帶的是UnspecfFail標(biāo)記��,則向用戶設(shè)備轉(zhuǎn)發(fā)該R印Iy消息�,結(jié)束處理流程�。
在步驟605中���,NAS2接收到NASI發(fā)送的Release消息��,對(duì)應(yīng)待確定的IPv6地址/ 前綴����,判斷所連接的用戶設(shè)備中是否存在使用該IPv6地址/前綴的用戶設(shè)備���,如果存在����,則向NAS2返回?cái)y帶Unspeci^ail的R印Iy消息���;如果不存在��,則向NAS2返回?cái)y帶NotOnLink 的R印Iy消息��。
NASI實(shí)現(xiàn)的具體步驟可以是首先檢查其目的MAC地址是否為本設(shè)備���。在目的MAC 地址為本設(shè)備時(shí)���,則再檢查對(duì)應(yīng)的IPv6地址/前綴是否在本機(jī)存在端口綁定表項(xiàng);在目的 MAC地址不為本設(shè)備時(shí)�,丟棄收到的消息。當(dāng)本設(shè)備上存在對(duì)應(yīng)的端口綁定表項(xiàng)�,則在對(duì)應(yīng)端口上使用NS探測(cè)主機(jī)是否存在,如果主機(jī)存在���,則返回?cái)y帶Unspechil的R印Iy消息�����, 如果主機(jī)不存在�����,則刪除綁定表項(xiàng)����,返回?cái)y帶NotOnLink的R印Iy消息。當(dāng)本設(shè)備上不存在對(duì)應(yīng)的IPv6地址/前綴的端口綁定表項(xiàng)����,則返回?cái)y帶NotOnLink的R印Iy消息。
這里���,如果NAS采用了信任端口機(jī)制�,即僅將與DHCP服務(wù)器連接的端口設(shè)置為信任端口�����,而將與其他設(shè)備相連的端口設(shè)置為非信任端口��,NAS僅轉(zhuǎn)發(fā)處理從信任端口收到的消息�����,而丟棄從非信任端口收到的消息�����。在這種情況下�,需要設(shè)置NAS之間連接的端口為信任端口�����,這樣NASI才會(huì)處理從NAS2收到的消息。
在步驟606中����,NAS2接收NASI返回的R印Iy消息,在收到攜帶Unspeci^ail的 Reply消息時(shí)��,確定NASI下存在使用該待確認(rèn)的IPv6地址/前綴的用戶設(shè)備���;在收到攜帶 NotOnLink的R印Iy消息時(shí)����,確定NASI下不存在使用該待確認(rèn)的IPv6地址/前綴的用戶設(shè)備�����。在確定不存在使用該待確定的IPv6地址/前綴的用戶設(shè)備后����,對(duì)應(yīng)該待確認(rèn)的IPv6 地址/前綴在本設(shè)備上生成端口綁定表項(xiàng),并記錄R印Iy消息中攜帶的租期��。這樣�,當(dāng)前的用戶設(shè)備就可以依據(jù)該端口綁定表項(xiàng)從本設(shè)備接入��。
如果存在使用該待確定的IPv6地址/前綴的用戶設(shè)備后�����,則拒絕在本設(shè)備上為所述用戶設(shè)備對(duì)應(yīng)該待確認(rèn)的IPv6地址/前綴生成端口綁定表項(xiàng)���。
在步驟607中,NAS2向當(dāng)前用戶設(shè)備返回R印Iy消息����,當(dāng)生成了端口綁定表項(xiàng)時(shí),在R印Iy消息中攜帶Success標(biāo)記���;當(dāng)沒(méi)有生成端口綁定表項(xiàng)時(shí),在R印Iy消息中攜帶UnspecFail 標(biāo)記��。
以上為本發(fā)明實(shí)施例一方法的流程�����,用戶設(shè)備則根據(jù)收到的R印Iy消息執(zhí)行后續(xù)操作����。
參見(jiàn)圖7��,圖7為本發(fā)明實(shí)施例二方法的流程圖����,具體包括 步驟701 702與步驟601 602相同����,在此不再詳述。
在步驟703中����,DHCP服務(wù)器根據(jù)Confirm消息中攜帶的用戶標(biāo)識(shí)以及待確認(rèn)的 IPv6地址/前綴,確定該待確認(rèn)的IPv6地址/前綴是否分配給該用戶設(shè)備����,如果是,則根據(jù)記錄的IPv6地址/前綴與NAS的MAC地址的對(duì)應(yīng)關(guān)系�,得到該用戶設(shè)備在發(fā)生物理連接遷移前接入的NAS的MAC地址,并以得到的MAC地址為目的地址��,使用待確認(rèn)的IPv6地址 /前綴向NASI發(fā)送DHCP Release消息�����。
如果不是,向NAS2返回?cái)y帶UnspecfFail標(biāo)記的R印Iy消息�����,此時(shí)NAS2則不會(huì)在本設(shè)備上生成端口綁定表項(xiàng)���,此時(shí)授權(quán)遷移失敗���。此消息在圖7中沒(méi)有示出。
在步驟704中��,NAS 1接收到DHCP服務(wù)器發(fā)送的Release消息���,對(duì)應(yīng)待確定的IPv6 地址/前綴���,判斷所連接的用戶設(shè)備中是否存在使用該IPv6地址/前綴的用戶設(shè)備,如果存在�,則向DHCP服務(wù)器返回?cái)y帶Unspeci^ail的Iteply消息;如果不存在���,則向DHCP服務(wù)器返回?cái)y帶NotOnLink的R印Iy消息。
這里�����,NASI實(shí)現(xiàn)的具體步驟可見(jiàn)步驟605中的相關(guān)介紹,在此不再詳述���。
在步驟705中����,DHCP服務(wù)器接收NASI返回的R印Iy消息����,在收到攜帶Unspeci^iil 的R印Iy消息時(shí),確定NASI下存在使用該待確認(rèn)的IPv6地址/前綴的用戶設(shè)備�,向NAS2返回?cái)y帶Unspeci^ail的R印Iy消息;在收到攜帶NotOnLink的R印Iy消息時(shí)���,確定NASI下不存在使用該待確認(rèn)的IPv6地址/前綴的用戶設(shè)備����,向NAS2返回?cái)y帶Success的R印Iy消息��,并攜帶對(duì)應(yīng)IPv6地址/前綴的租期���。
在步驟706中����,NAS2接收DHCP服務(wù)器發(fā)送的R印Iy消息,在R印Iy消息中攜帶 Success標(biāo)記時(shí)��,對(duì)應(yīng)該待確認(rèn)的IPv6地址/前綴在本設(shè)備上生成端口綁定表項(xiàng)�,并記錄 Reply消息中攜帶的租期。這樣����,當(dāng)前的用戶設(shè)備就可以依據(jù)該端口綁定表項(xiàng)從本設(shè)備接入。
另外����,在收到攜帶Unspechil的R印Iy消息時(shí),則拒絕在本設(shè)備上為所述用戶設(shè)備對(duì)應(yīng)該待確認(rèn)的IPv6地址/前綴生成端口綁定表項(xiàng)����。
在步驟707中,NAS2將從DHCP服務(wù)器收到的R印Iy消息轉(zhuǎn)發(fā)給用戶設(shè)備���。
用戶設(shè)備則根據(jù)收到的Reply消息執(zhí)行后續(xù)操作����。
以上介紹的為本發(fā)明實(shí)施例二方法的流程��。
通過(guò)對(duì)本發(fā)明實(shí)施例的詳細(xì)介紹不難發(fā)現(xiàn)�����,本發(fā)明所提供的技術(shù)方案在用戶設(shè)備發(fā)生物理連接遷移后���,通過(guò)記錄所分配的IPv6地址/前綴與該用戶設(shè)備接入NAS的MAC地址之間的對(duì)應(yīng)關(guān)系�,并查詢當(dāng)前用戶設(shè)備在物理連接遷移前接入的原始NAS下是否存在使用該待確認(rèn)的IPv6地址/前綴的用戶設(shè)備����,在存在時(shí),拒絕在當(dāng)前接入的NAS上為當(dāng)前用戶設(shè)備對(duì)應(yīng)該待確認(rèn)的IPv6地址/前綴生成端口綁定表項(xiàng)�����;在不存在時(shí)�����,則對(duì)應(yīng)該待確認(rèn)的IPv6地址/前綴在當(dāng)前接入的NAS上生成端口綁定表項(xiàng)���,既保障了合法用戶設(shè)備在發(fā)生物理連接遷移后��,授權(quán)遷移的安全性�����;又能夠有效阻止非法用戶設(shè)備在此過(guò)程實(shí)施的偽造攻擊����,維護(hù)了合法用戶的權(quán)利,保證了接入網(wǎng)絡(luò)正常�����、穩(wěn)定的運(yùn)行��。
10 以上所述僅為本發(fā)明的較佳實(shí)施例而已����,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)�,所做的任何修改、等同替換���、改進(jìn)等����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
權(quán)利要求
1.一種用戶設(shè)備授權(quán)遷移的方法��,用戶設(shè)備通過(guò)網(wǎng)絡(luò)接入服務(wù)器NAS連接動(dòng)態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器,獲取DHCP服務(wù)器分配的IPv6地址/前綴��;NAS依據(jù)分配的IPv6地址 /前綴在本設(shè)備生成端口綁定表項(xiàng)��,根據(jù)該端口綁定表項(xiàng)允許該用戶設(shè)備接入網(wǎng)絡(luò)�����,其特征在于��,該方法包括NAS在轉(zhuǎn)發(fā)用戶設(shè)備請(qǐng)求分配IPv6地址/前綴的懇求Solicit消息時(shí)�,在其中添加自身的介質(zhì)訪問(wèn)控制MAC地址,用于DHCP服務(wù)器記錄所分配的IPv6地址/前綴與該用戶設(shè)備接入NAS的MAC地址之間的對(duì)應(yīng)關(guān)系����;NAS接收以自身MAC地址為目的的授權(quán)探測(cè)消息,根據(jù)該授權(quán)探測(cè)消息中攜帶的IPv6 地址/前綴檢查自身是否存在使用該IPv6地址/前綴的用戶設(shè)備�����,如果存在���,則返回拒絕授權(quán)遷移���;如果不存在����,則允許授權(quán)遷移�,指示生成端口綁定表項(xiàng)。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述接收的授權(quán)探測(cè)消息為DHCP服務(wù)器收到為確認(rèn)是否可繼續(xù)使用IPv6地址/前綴而發(fā)送的確認(rèn)Confirm消息后����,根據(jù)該待確認(rèn)IPv6地址/前綴獲得對(duì)應(yīng)的原始NAS的MAC 地址,發(fā)送的以該MAC地址為目的地址�、攜帶該IPv6地址/前綴的消息。
3.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,該方法進(jìn)一步包括NAS接收DHCP服務(wù)器發(fā)送的與Confirm消息中IPv6地址/前綴對(duì)應(yīng)的原始NAS的MAC 地址�,并以該MAC地址為目的地址,發(fā)送攜帶該IPv6地址/前綴的授權(quán)探測(cè)消息�;在收到拒絕授權(quán)遷移的指示后�����,拒絕在本設(shè)備上對(duì)應(yīng)該IPv6地址/前綴生成端口綁定表項(xiàng)���;在收到允許授權(quán)遷移的指示后,在本設(shè)備上對(duì)應(yīng)該IPv6地址/前綴生成端口綁定表項(xiàng)�����。
4.根據(jù)權(quán)利要求1�����、2或3所述的方法��,其特征在于���,所述根據(jù)該授權(quán)探測(cè)消息中攜帶的 IPv6地址/前綴檢查自身是否存在使用該IPv6地址/前綴的用戶設(shè)備為檢查在本設(shè)備上是否存在與授權(quán)探測(cè)消息中攜帶的IPv6地址/前綴對(duì)應(yīng)的端口綁定表項(xiàng);當(dāng)本設(shè)備上存在所述對(duì)應(yīng)的端口綁定表項(xiàng)�����,則在對(duì)應(yīng)端口上探測(cè)是否存在用戶設(shè)備���, 如果存在用戶設(shè)備�����,返回拒絕授權(quán)遷移�;如果不存在用戶設(shè)備,指示生成端口綁定表項(xiàng)����,允許授權(quán)遷移,并進(jìn)一步刪除端口綁定表項(xiàng)���;當(dāng)本設(shè)備上不存在所述對(duì)應(yīng)的端口綁定表項(xiàng)��,允許授權(quán)遷移�,指示生成端口綁定表項(xiàng)����。
5.根據(jù)權(quán)利要求1、2或3所述的方法�����,其特征在于,所述授權(quán)探測(cè)消息為目的地址為NAS的MAC��,使用被探測(cè)的IPv6地址/前綴偽裝發(fā)送的釋放Release消息���。
6.一種網(wǎng)絡(luò)接入服務(wù)器�,其特征在于���,該網(wǎng)絡(luò)接入服務(wù)器NAS包括添加單元和檢測(cè)單元所述添加單元�����,用于在轉(zhuǎn)發(fā)用戶設(shè)備請(qǐng)求分配IPv6地址/前綴的懇求Solicit消息時(shí),在其中添加自身的介質(zhì)訪問(wèn)控制MAC地址����,用于DHCP服務(wù)器記錄所分配的IPv6地址/ 前綴與該用戶設(shè)備接入的NAS的MAC地址之間的對(duì)應(yīng)關(guān)系;所述檢測(cè)單元���,用于NAS接收以自身MAC地址為目的的授權(quán)探測(cè)消息�,根據(jù)該授權(quán)探測(cè)消息中攜帶的IPv6地址/前綴檢查自身是否存在使用該IPv6地址/前綴的用戶設(shè)備�,如果存在,則返回拒絕授權(quán)遷移���;如果不存在�����,則允許授權(quán)遷移���,指示生成端口綁定表項(xiàng)���。
7.根據(jù)權(quán)利要求6所述的NAS,其特征在于��,所述檢測(cè)單元接收的授權(quán)探測(cè)消息為DHCP服務(wù)器收到為確認(rèn)是否可繼續(xù)使用IPv6地址/前綴而發(fā)送的確認(rèn)Confirm消息后�,根據(jù)該該確認(rèn)IPv6地址/前綴獲得對(duì)應(yīng)的原始 NAS的MAC地址,發(fā)送的以該MAC地址為目的地址�����、攜帶該IPv6地址/前綴的消息��。
8.根據(jù)權(quán)利要求6所述的NAS,其特征在于���,所述NAS進(jìn)一步包括探測(cè)單元和生成單元�����;所述探測(cè)單元�,用于接收DHCP服務(wù)器發(fā)送的與收到的Confirm消息中IPv6地址/前綴對(duì)應(yīng)的原始NAS的MAC地址,并以該MAC地址為目的地址����,發(fā)送攜帶該IPv6地址/前綴的授權(quán)探測(cè)消息;所述生成單元�,用于在收到拒絕授權(quán)遷移的指示后,拒絕在本設(shè)備上對(duì)應(yīng)該IPv6地址 /前綴生成端口綁定表項(xiàng)�;在收到允許授權(quán)遷移的指示后,在本設(shè)備上對(duì)應(yīng)該IPv6地址/ 前綴生成端口綁定表項(xiàng)��。
9.根據(jù)權(quán)利要求6�����、7或8所述的NAS�����,其特征在于�,所述檢測(cè)單元�,在檢查自身是否存在使用該IPv6地址/前綴的用戶設(shè)備時(shí),檢查在本設(shè)備上是否存在與授權(quán)探測(cè)消息中攜帶的IPv6地址/前綴對(duì)應(yīng)的端口綁定表項(xiàng)��;當(dāng)本設(shè)備上存在所述對(duì)應(yīng)的端口綁定表項(xiàng),則在對(duì)應(yīng)端口上探測(cè)是否存在用戶設(shè)備�,如果存在用戶設(shè)備,返回拒絕授權(quán)遷移���;如果不存在用戶設(shè)備��,指示生成端口綁定表項(xiàng)����,允許授權(quán)遷移����,并進(jìn)一步刪除端口綁定表項(xiàng);當(dāng)本設(shè)備上不存在所述對(duì)應(yīng)的端口綁定表項(xiàng)�����,允許授權(quán)遷移�,指示生成端口綁定表項(xiàng)。
10.根據(jù)權(quán)利要求6��、7或8所述的NAS����,其特征在于��,所述授權(quán)探測(cè)消息為目的地址為NAS的MAC����,使用被探測(cè)的IPv6地址/前綴偽裝發(fā)送的釋放Release消息�����。
全文摘要
本發(fā)明公開(kāi)了一種用戶設(shè)備授權(quán)遷移的方法及網(wǎng)絡(luò)接入服務(wù)器�����,包括記錄分配的IPv6地址/前綴與該用戶設(shè)備接入的NAS的MAC地址之間的對(duì)應(yīng)關(guān)系�;在用戶設(shè)備發(fā)生物理連接遷移后,根據(jù)該對(duì)應(yīng)關(guān)系查詢?cè)糔AS下是否存在使用該IPv6地址/前綴的用戶設(shè)備���,在存在時(shí)���,拒絕生成端口綁定表項(xiàng);在不存在時(shí)���,則在當(dāng)前接入的NAS上生成端口綁定表項(xiàng),允許用戶設(shè)備接入���。通過(guò)本發(fā)明的技術(shù)方案既保障了合法用戶設(shè)備在發(fā)生物理連接遷移后��,授權(quán)遷移的安全性��,也能夠有效阻止非法用戶設(shè)備在此過(guò)程實(shí)施的偽造攻擊���。
文檔編號(hào)H04L29/06GK102201967SQ201010132960
公開(kāi)日2011年9月28日 申請(qǐng)日期2010年3月24日 優(yōu)先權(quán)日2010年3月24日
發(fā)明者林濤 申請(qǐng)人:杭州華三通信技術(shù)有限公司