专利名称:用于IPv6网络的监听设备、地址缓冲维护方法和系统的制作方法
技术领域:
本发明涉及IPv6 (Internet Protocol Version 6,互联网协议)网络技术,特别是涉及一种用于IPv6网络的监听设备、地址缓冲维护方法和系统。
背景技术:
IPv6技术是下一代互联网中的重要网络技术。由于在IPv6网络中地址可以通过节点自身的随机算法产生,所以防止地址伪造技术就显得异常重要。防止地址伪造的众多技术可以被归结为两大类一类是基于加密算法的地址加密技术;另一类是基于接入网关设备的地址注册技术。无论是哪一种技术,都需要在网络侧的网元设备内维护一个正常使用的终端IPv6地址注册缓冲(如地址缓冲表)。地址缓冲表的存在可能导致恶意节点对该缓冲表及其维护机制进行的 DDOS (Distributed Denial of service分布式拒绝服务攻击)攻击。一旦地址缓冲表遭到攻击,就可能会造成地址缓冲表溢出或维护机制来不及响应。
发明内容
本发明的目的是提出一种用于IPv6网络的监听设备、地址缓冲维护方法和系统, 避免恶意用户终端对地址注册缓冲的攻击。为实现上述目的,本发明提供了一种用于IPv6网络的地址缓冲维护方法,其特征在于,包括接入网关设备接收用户终端发起的接入请求,并根据所述接入请求向认证中心发送接入认证请求;在通过所述认证中心对所述接入认证请求的认证后,所述接入网关设备向所述认证中心发送所述用户终端的上线计费包,所述上线计费包中包含所述用户终端的IPv6地址;监听设备捕获所述上线计费包;所述监听设备从所述上线计费包中获取所述 IPv6地址,并将所述IPv6地址写入地址注册缓冲中。在一个实施例中,地址缓冲维护方法还包括所述接入网关设备接收所述用户终端发出的下线请求,并根据所述下线请求向所述认证中心发送所述用户终端的下线计费包,所述下线计费包中包含所述用户终端的IPv6地址;所述监听设备捕获所述下线计费包;所述监听设备从所述下线计费包中获取所述IPv6地址;所述监听设备在所述地址注册缓冲中查找从所述下线计费包中获取的IPv6地址;所述监听设备从所述地址注册缓冲中移除所述下线计费包中的IPv6地址。为实现上述目的,本发明还提供了一种用于IPv6网络的地址缓冲维护系统,包括接入网关设备,用于接收用户终端发起的接入请求,并生成接入认证请求;认证中心, 用于接收所述接入网关设备发送的所述接入认证请求,并对所述接入认证请求进行认证, 在通过所述认证中心的认证后,所述接入网关设备向所述认证中心发送所述用户终端的上线计费包,所述上线计费包中包含所述用户终端的IPv6地址;监听设备,用于捕获所述上线计费包,所述监听设备从所述上线计费包中获取所述IPv6地址,并将所述IPv6地址写入地址注册缓冲中。
在一个实施例中,所述接入网关设备,还用于接收所述用户终端发出的下线请求, 并向所述认证中心发送所述用户终端的下线计费包,所述下线计费包中包含所述用户终端的IPv6地址;所述监听设备,还用于捕获所述下线计费包,从所述下线计费包中获取所述 IPv6地址,在所述地址注册缓冲中查找从所述下线计费包中获取的所述IPv6地址,从所述地址注册缓冲中移除所述下线计费包中的IPv6地址。为实现上述目的,本发明还提供了一种用于IPv6网络地址缓冲维护系统的监听设备,包括捕获模块,用于捕获接入网关设备向认证中心发送的用户终端的上线计费包, 所述上线计费包中包含所述用户终端的IPv6地址,其中,所述接入网关设备接收所述用户终端发起的接入请求,并生成接入认证请求,在通过所述认证中心对所述接入认证请求的认证后,所述接入网关设备向所述认证中心发送所述用户终端的所述上线计费包;地址获取模块,用于从所述上线计费包中获取所述IPv6地址;地址记录模块,用于将从所述上线计费包中获取到的所述IPv6地址记录到地址注册缓冲中。在一个实施例中,所述捕获模块,还用于捕获所述接入网关设备向所述认证中心发送的所述用户终端的下线计费包,所述下线计费包中包含所述用户终端的IPv6地址,其中,所述接入网关设备接收所述用户终端发出的下线请求,并根据所述下线请求向所述认证中心发送所述用户终端的下线计费包;所述地址获取模块,还用于从所述下线计费包中获取所述IPv6地址;所述监听设备还包括地址查找模块,用于在所述地址注册缓冲中查找从所述下线计费包中获取的IPv6地址;地址移除模块,用于从所述地址注册缓冲中移除所述下线计费包中的IPv6地址。基于上述技术方案,根据本发明的一方面,在IPv6网络中对通过接入认证的用户的上线计费包进行监控,只对上线计费包中出现的IPv6地址才记录到地址注册缓冲中。由于用户终端只有通过了网络认证之后,才可能在网络中出现上线计费报文,且计费报文中出现的IPv6地址是用户终端真正使用的地址,所以根据计费报文可以判断用户终端是一个经过认证的正常用户,且可以获得其正常的IPv6地址,因此可以注册到地址注册缓冲中。这样,可以避免恶意用户终端对地址注册缓冲的攻击。
此处所说明的附图用来提供对本发明的进一步解释,构成本发明的一部分。本发明的示意性实施例及其说明仅用于解释本发明,但并不构成对本发明的不当限定。在附图中图1为根据本发明实施例的用于IPv6网络的地址缓冲维护方法的流程图。图2为根据本发明另一实施例的用于IPv6网络的地址缓冲维护方法的流程图。图3为根据本发明实施例的用于IPv6网络的地址缓冲维护系统的结构示意图。图4为根据本发明实施例的用于IPv6网络地址缓冲维护系统的监听设备的机构示意图。图5为根据本发明另一实施例的用于IPv6网络地址缓冲维护系统的监听设备的机构示意图。
具体实施方式
下面参照附图对本发明进行更详细的描述,其中说明本发明的示例性实施例。在附图中,相同的标号表示相同或者相似的组件或者元素。图1为根据本发明实施例的用于IPv6网络的地址缓冲维护方法100的流程图。在步骤102中,接入网关设备接收用户终端发起的接入请求,并根据接入请求向认证中心发送接入认证请求。在步骤104中,在通过认证中心对接入认证请求的认证后,接入网关设备向认证中心发送用户终端的上线计费包,上线计费包中包含用户终端的IPv6地址。在步骤106中,监听设备捕获上线计费包。在步骤108中,监听设备从上线计费包中获取IPv6地址,并将IPv6地址写入地址注册缓冲中。根据本发明的一方面,在IPv6网络中对通过接入认证的用户的上线计费包进行监控,只对上线计费包中出现的IPv6地址才记录到地址注册缓冲中。由于用户终端只有通过了网络认证之后,才可能在网络中出现上线计费报文,且计费报文中出现的IPv6地址是用户终端真正使用的地址,所以根据计费报文可以判断用户终端是一个经过认证的正常用户,且可以获得其正常的IPv6地址,因此可以注册到地址注册缓冲中。这样,可以避免恶意用户终端对地址注册缓冲的攻击。图2为根据本发明另一实施例的用于IPv6网络的地址缓冲维护方法200的流程图。在步骤202中,接入网关设备接收用户终端发起的接入请求,并向认证中心发送对用户终端的接入认证请求。在步骤204中,在通过认证中心对接入认证请求的认证后,接入网关设备向认证中心发送用户终端的上线计费包,上线计费包中包含用户终端的IPv6地址。在步骤206中,包含地址注册缓冲的监听设备捕获上线计费包。在步骤208中,监听设备从上线计费包中获取IPv6地址,并将IPv6地址写入地址注册缓冲中,表示该IPv6地址被一个正常用户使用。当地址注册缓冲记录了该IPv6地址后,其他的用户无论是非法假冒、或是正常的随机生成地址,只要与这个IPv6地址相同的话就会被发现,从而被拒绝。在步骤210中,接入网关设备接收用户终端发出的下线请求,并根据下线请求向认证中心发送用户终端的下线计费包,下线计费包中包含用户终端的IPv6地址。在步骤212中,监听设备捕获下线计费包。在步骤214中,监听设备从下线计费包中获取IPv6地址。在步骤216中,监听设备在地址注册缓冲中查找从下线计费包中获取的IPv6地址。在步骤218中,监听设备从地址注册缓冲中移除下线计费包中的IPv6地址,该地址就可以被其他用户使用了。在一个实施例中,当出现网络波动或丢包等原因造成上线计费包没有被监听到的错误情况,而下线计费包被监听到,并获取了用户使用的IPv6地址, 这时,监听设备可能无法在地址注册缓冲中查找到该IPv6地址,也没有必要对地址注册缓冲的IPv6地址做移除的操作了。图3为根据本发明实施例的用于IPv6网络的地址缓冲维护系统300的结构示意图。地址缓冲维护系统300包括接入网关设备302、认证中心304和监听设备306。接入网关设备302,用于接收用户终端发起的接入请求,并生成接入认证请求。认证中心304,用于接收接入网关设备302发送的接入认证请求,并对接入认证请求进行认证。在通过认证中心304的认证后,接入网关设备302向认证中心304发送用户终端的上线计费包,上线计费包中包含用户终端的IPv6地址。监听设备306,用于捕获上线计费包,监听设备从上线计费包中获取IPv6地址,并将IPv6地址写入地址注册缓冲中。在一个实施例中,接入网关设备302,还用于接收用户终端发出的下线请求,并向认证中心304发送用户终端的下线计费包,下线计费包中包含用户终端的IPv6地址。在一个实施例中,监听设备306,还用于捕获下线计费包,从下线计费包中获取 IPv6地址,在地址注册缓冲中查找从下线计费包中获取的IPv6地址,从地址注册缓冲中移除下线计费包中的IPv6地址。图4为根据本发明实施例的用于IPv6网络地址缓冲维护系统的监听设备400的机构示意图。监听设备400包括捕获模块402、地址获取模块404和地址记录模块406。捕获模块402,用于捕获接入网关设备向认证中心发送的用户终端的上线计费包, 上线计费包中包含用户终端的IPv6地址,其中,接入网关设备接收用户终端发起的接入请求,并生成接入认证请求,在通过认证中心对接入认证请求的认证后,接入网关设备向认证中心发送用户终端的上线计费包。地址获取模块404,用于从上线计费包中获取IPv6地址。地址记录模块406,用于将从上线计费包中获取到的IPv6地址记录到地址注册缓冲中。图5为根据本发明另一实施例的用于IPv6网络地址缓冲维护系统的监听设备500 的机构示意图。监听设备500包括捕获模块502、地址获取模块504、地址记录模块506、地址查找模块508和地址移除模块510。捕获模块502,用于捕获接入网关设备向认证中心发送的用户终端的上线计费包, 上线计费包中包含用户终端的IPv6地址,其中,接入网关设备接收用户终端发起的接入请求,并生成接入认证请求,在通过认证中心对接入认证请求的认证后,接入网关设备向认证中心发送用户终端的上线计费包。地址获取模块504,用于从上线计费包中获取IPv6地址。地址记录模块506,用于将从上线计费包中获取到的IPv6地址记录到地址注册缓冲中。在一个实施例中,捕获模块502,还用于捕获接入网关设备向认证中心发送的用户终端的下线计费包,下线计费包中包含用户终端的IPv6地址,其中,接入网关设备接收用户终端发出的下线请求,并根据下线请求向认证中心发送用户终端的下线计费包。在一个实施例中,地址获取模块504,还用于从下线计费包中获取IPv6地址。地址查找模块508,用于在地址注册缓冲中查找从下线计费包中获取的IPv6地址。地址移除模块510,用于从地址注册缓冲中移除下线计费包中的IPv6地址。当恶意节点伪造不同的IP地址发起地址注册请求(比如以不同的IPv6地址发送重复地址探测请求),接入路由设备将这些IPv6地址不断注册到自己的地址注册缓冲中, 最终将导致地址注册缓冲溢出。同时,大量的注册报文也会消耗路由器设备的性能,影响其它节点。而根据本发明的一方面,在IPv6网络中对通过接入认证的用户的上线计费包进行监控,只对上线计费包中出现的IPv6地址才记录到地址注册缓冲中。由于用户终端只有通过了网络认证之后,才可能在网络中出现上线计费报文,且计费报文中出现的IPv6地址是用户终端真正使用的地址,所以根据计费报文可以判断用户终端是一个经过认证的正常用户,且可以获得其正常的IPv6地址,因此可以注册到地址注册缓冲中。这样,可以避免恶意用户终端对地址注册缓冲的攻击。根据本发明的另一方面,仅当用户从网络中注销时,才可能在网络中出现计费下线报文,且报文中的IPv6地址也是用户真正使用的IPv6地址,因此可以据此将该IPv6地址从地址注册缓冲中移除,以供其他用户使用。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
权利要求
1.一种用于IPv6网络的地址缓冲维护方法,其特征在于,包括接入网关设备接收用户终端发起的接入请求,并根据所述接入请求向认证中心发送接入认证请求;在通过所述认证中心对所述接入认证请求的认证后,所述接入网关设备向所述认证中心发送所述用户终端的上线计费包,所述上线计费包中包含所述用户终端的IPv6地址; 监听设备捕获所述上线计费包;所述监听设备从所述上线计费包中获取所述IPv6地址,并将所述IPv6地址写入地址注册缓冲中。
2.根据权利要求1所述的地址缓冲维护方法,其特征在于,还包括所述接入网关设备接收所述用户终端发出的下线请求,并根据所述下线请求向所述认证中心发送所述用户终端的下线计费包,所述下线计费包中包含所述用户终端的IPv6地址;所述监听设备捕获所述下线计费包; 所述监听设备从所述下线计费包中获取所述IPv6地址;所述监听设备在所述地址注册缓冲中查找从所述下线计费包中获取的IPv6地址; 所述监听设备从所述地址注册缓冲中移除所述下线计费包中的IPv6地址。
3.一种用于IPv6网络的地址缓冲维护系统,其特征在于,包括 接入网关设备,用于接收用户终端发起的接入请求,并生成接入认证请求;认证中心,用于接收所述接入网关设备发送的所述接入认证请求,并对所述接入认证请求进行认证,在通过所述认证中心的认证后,所述接入网关设备向所述认证中心发送所述用户终端的上线计费包,所述上线计费包中包含所述用户终端的IPv6地址;监听设备,用于捕获所述上线计费包,所述监听设备从所述上线计费包中获取所述 IPv6地址,并将所述IPv6地址写入地址注册缓冲中。
4.根据权利要求3所述的地址缓冲维护系统,其特征在于,所述接入网关设备,还用于接收所述用户终端发出的下线请求,并向所述认证中心发送所述用户终端的下线计费包,所述下线计费包中包含所述用户终端的IPv6地址;所述监听设备,还用于捕获所述下线计费包,从所述下线计费包中获取所述IPv6地址,在所述地址注册缓冲中查找从所述下线计费包中获取的所述IPv6地址,从所述地址注册缓冲中移除所述下线计费包中的IPv6地址。
5.一种用于IPv6网络地址缓冲维护系统的监听设备,其特征在于,包括捕获模块,用于捕获接入网关设备向认证中心发送的用户终端的上线计费包,所述上线计费包中包含所述用户终端的IPv6地址,其中,所述接入网关设备接收所述用户终端发起的接入请求,并生成接入认证请求,在通过所述认证中心对所述接入认证请求的认证后, 所述接入网关设备向所述认证中心发送所述用户终端的所述上线计费包; 地址获取模块,用于从所述上线计费包中获取所述IPv6地址; 地址记录模块,用于将从所述上线计费包中获取到的所述IPv6地址记录到地址注册缓冲中。
6.根据权利要求5所述的监听设备,其特征在于,所述捕获模块,还用于捕获所述接入网关设备向所述认证中心发送的所述用户终端的下线计费包,所述下线计费包中包含所述用户终端的IPv6地址,其中,所述接入网关设备接收所述用户终端发出的下线请求,并根据所述下线请求向所述认证中心发送所述用户终端的下线计费包;所述地址获取模块,还用于从所述下线计费包中获取所述IPv6地址; 所述监听设备还包括地址查找模块,用于在所述地址注册缓冲中查找从所述下线计费包中获取的IPv6地址;地址移除模块,用于从所述地址注册缓冲中移除所述下线计费包中的IPv6地址。
全文摘要
本发明提供一种用于IPv6网络的监听设备、地址缓冲维护方法和系统,涉及IPv6网络技术。其中一种用于IPv6网络的地址缓冲维护方法,其特征在于,包括接入网关设备接收用户终端发起的接入请求,并根据所述接入请求向认证中心发送接入认证请求;在通过所述认证中心对所述接入认证请求的认证后,所述接入网关设备向所述认证中心发送所述用户终端的上线计费包,所述上线计费包中包含所述用户终端的IPv6地址;监听设备捕获所述上线计费包;所述监听设备从所述上线计费包中获取所述IPv6地址,并将所述IPv6地址写入地址注册缓冲中。本发明可以通过对地址注册缓冲的监控,避免恶意用户终端对地址注册缓冲的攻击。
文档编号H04L9/32GK102404288SQ201010280870
公开日2012年4月4日 申请日期2010年9月14日 优先权日2010年9月14日
发明者陈仲华 申请人:中国电信股份有限公司