【技術(shù)實(shí)現(xiàn)步驟摘要】
本專利技術(shù)屬于數(shù)據(jù)通信ipv6過渡,尤其涉及一種基于安全isatap隧道技術(shù)的地址保護(hù)方法。
技術(shù)介紹
1、isatap隧道技術(shù)是一種重要的ipv6過渡技術(shù),主要是用在ipv6孤島在骨干網(wǎng)絡(luò)是ipv4網(wǎng)絡(luò)的時(shí)候,進(jìn)行ipv6跨越ipv4進(jìn)行通信。isatap隧道是一種自動(dòng)隧道,能夠自動(dòng)協(xié)商建立,isatap主機(jī)只需要知道isatap路由器的ipv4地址,隧道就能在主機(jī)和路由器之間被創(chuàng)建。隧道被創(chuàng)建后,ipv6孤島中的主機(jī)就可以訪問ipv6資源,典型的組網(wǎng)場(chǎng)景如附圖1;isatap隧道技術(shù)部署起來非常簡單,成本很低,不需要對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行大規(guī)模的變更和設(shè)備升級(jí),很好的解決了在ipv6過渡場(chǎng)景中,ipv6互通的問題。同時(shí)也帶來了一些問題,isatap因?yàn)樘厥獾膇pv6地址生成過程,主機(jī)的ipv6?isatap地址的最后兩組16進(jìn)制數(shù)是由主機(jī)的ipv4地址生成的。如果攻擊者發(fā)現(xiàn)了目標(biāo)主機(jī)的ipv6?isatap地址就能分析出該主機(jī)的ipv4地址,分析出ipv4地址會(huì)被各種網(wǎng)絡(luò)攻擊,使得目標(biāo)主機(jī)容易遭受隧道地址分析攻擊;現(xiàn)有的防范隧道地址分析方法,主要是加強(qiáng)ipv6網(wǎng)絡(luò)的可信,通過網(wǎng)絡(luò)中部署防火墻、ips等安全設(shè)備降低隧道地址分析的風(fēng)險(xiǎn)。
2、現(xiàn)有技術(shù)存在的問題:
3、1、在網(wǎng)絡(luò)中通過安全設(shè)備保證整個(gè)網(wǎng)絡(luò)的安全可信,只能降低isatap隧道被進(jìn)行地址分析的風(fēng)險(xiǎn),沒有從根本上解決地址解析問題;
4、isatap虛擬網(wǎng)卡生成ipv6?isatap地址的機(jī)制原因,導(dǎo)致的ipv6地址容易被分析,從而容易遭受互聯(lián)
5、2、現(xiàn)有的isatap隧道技術(shù),容易被正向和逆向分析,安全性低;
6、isatap隧道技術(shù)容易部署,節(jié)省成本,不需要對(duì)現(xiàn)有網(wǎng)絡(luò)做大規(guī)模的變更及設(shè)備升級(jí)就能進(jìn)行ipv6資源訪問。isatap帶來便捷的同時(shí)也容易遭受攻擊。攻擊者只需要獲得主機(jī)ipv4地址就能正向分析出ipv6?isatap地址。或者,攻擊者抓包獲得ipv6?isatap地址就能逆向分析出主機(jī)的ipv4地址,從而使得isatap主機(jī)因ipv4和ipv6地址的泄漏容易遭受ddos攻擊,不能進(jìn)行正常通信;ddos為分布式拒絕服務(wù)攻擊,全拼為distributed?denialof?service?attack。
技術(shù)實(shí)現(xiàn)思路
1、本專利技術(shù)所要解決的技術(shù)問題是針對(duì)
技術(shù)介紹
的不足提供一種基于安全isatap隧道技術(shù)的地址保護(hù)方法,在生成ipv6?isatap地址的時(shí)候會(huì)進(jìn)行安全轉(zhuǎn)換,支持不同類型流量的細(xì)顆粒度的安全轉(zhuǎn)換映射;同時(shí),在isatap路由器上生成針對(duì)安全轉(zhuǎn)換后的地址進(jìn)行反向路由生成,保證回程流量正常通信;防止了正向或者反向隧道地址分析攻擊,提高了isatap隧道應(yīng)用的安全性。
2、本專利技術(shù)為解決上述技術(shù)問題采用以下技術(shù)方案:
3、一種基于安全isatap隧道技術(shù)的地址保護(hù)方法,具體包含如下步驟;
4、步驟1,通過接口標(biāo)識(shí)和網(wǎng)關(guān)的前綴生成ipv6?isatap地址:具體包含如下步驟;
5、步驟1.1,當(dāng)isatap主機(jī)開啟isatap配置后,會(huì)生成一個(gè)isatap虛擬網(wǎng)卡,網(wǎng)卡會(huì)自動(dòng)生成isatap鏈路本地地址;
6、步驟1.2,isatap地址發(fā)送rs請(qǐng)求,rs報(bào)文通過ipv4隧道傳輸?shù)絠satap路由器;
7、步驟1.3,isatap路由器收到rs報(bào)文后,回復(fù)ra報(bào)文;
8、步驟1.4,ra報(bào)文中的icmpv6選項(xiàng)攜帶著自己的ipv6單播地址前綴,完成isatap主機(jī)的單播網(wǎng)絡(luò)前綴的分配,isatap主機(jī)獲得單播前綴后,結(jié)合網(wǎng)卡的ipv4地址生成的接口標(biāo)識(shí)地址生成ipv6?isatap地址;
9、其中,isatap為站內(nèi)自動(dòng)隧道尋址協(xié)議;rs為路由器請(qǐng)求;ra為路由器公告;
10、步驟2,優(yōu)化接口標(biāo)識(shí)生成過程;
11、步驟3,基于st安全策略的isatap隧道流量轉(zhuǎn)發(fā)過程。
12、作為本專利技術(shù)一種基于安全isatap隧道技術(shù)的地址保護(hù)方法的進(jìn)一步優(yōu)選方案,在步驟1中,ipv6?isatap地址是由64比特單播前綴和64比特接口標(biāo)識(shí)組成。
13、作為本專利技術(shù)一種基于安全isatap隧道技術(shù)的地址保護(hù)方法的進(jìn)一步優(yōu)選方案,在步驟1中,isatap主機(jī)的64比特接口標(biāo)識(shí)是由32比特的0000:5efe和32比特的isatap鏈路的ipv4地址組成。
14、作為本專利技術(shù)一種基于安全isatap隧道技術(shù)的地址保護(hù)方法的進(jìn)一步優(yōu)選方案,前64比特單播前綴是通過發(fā)送rs報(bào)文請(qǐng)求網(wǎng)關(guān)前綴獲得。
15、作為本專利技術(shù)一種基于安全isatap隧道技術(shù)的地址保護(hù)方法的進(jìn)一步優(yōu)選方案,在步驟1.4中,isatap主機(jī)訪問ipv6資源的時(shí)候即ipv6主機(jī),isatap主機(jī)發(fā)出的ipv6報(bào)文,源ip為ipv6isatap地址;查路由進(jìn)行隧道封裝,外層封裝接口的ipv4地址,封裝后的流量到底isatap路由器后,進(jìn)行隧道解封裝露出內(nèi)層ipv6報(bào)文,對(duì)報(bào)文進(jìn)行查路由轉(zhuǎn)發(fā),進(jìn)行二層封裝轉(zhuǎn)發(fā)。
16、作為本專利技術(shù)一種基于安全isatap隧道技術(shù)的地址保護(hù)方法的進(jìn)一步優(yōu)選方案,:優(yōu)化接口標(biāo)識(shí)生成過程,具體包含如下步驟;
17、步驟2.1,定義安全轉(zhuǎn)換st,開啟安全轉(zhuǎn)換st后,對(duì)原始ipv6報(bào)文進(jìn)行源安全地址轉(zhuǎn)換,隨機(jī)從169.254.1.0/24網(wǎng)段中生成一個(gè)ipv4地址,并用該ipv4地址替換isatap地址最后兩組16進(jìn)制數(shù);生成st轉(zhuǎn)換表項(xiàng),記錄在內(nèi)存中;
18、步驟2.2,根據(jù)用戶的配置,對(duì)不同的流量進(jìn)行不同st映射。
19、作為本專利技術(shù)一種基于安全isatap隧道技術(shù)的地址保護(hù)方法的進(jìn)一步優(yōu)選方案,所述步驟2.2根據(jù)用戶的配置,對(duì)不同的流量進(jìn)行不同st映射,具體如下;
20、當(dāng)用戶對(duì)isatap主機(jī)發(fā)出的所有的ipv6流量均有安全需求的時(shí)候,源ipv6isatap地址映射為2001::5efe:a9fe:0101;
21、當(dāng)用戶對(duì)isatap主機(jī)發(fā)出的ipv6?tcp流量有安全需求的時(shí)候,源ipv6?isatap地址映射為2001::5efe:a9fe:0102;
22、當(dāng)用戶對(duì)isatap主機(jī)發(fā)出的ipv6?udp流量有安全需求的時(shí)候,源ipv6?isatap地址映射為2001::5efe:a9fe:0103。
23、作為本專利技術(shù)一種基于安全isatap隧道技術(shù)的地址保護(hù)方法的進(jìn)一步優(yōu)選方案,基于st安全策略的isatap隧道流量轉(zhuǎn)發(fā)過程,具體包含如下步驟:
24、步驟3.1,isatap主機(jī)發(fā)送ipv6報(bào)文,協(xié)議棧檢測(cè)是否配置了st本文檔來自技高網(wǎng)...
【技術(shù)保護(hù)點(diǎn)】
1.一種基于安全I(xiàn)SATAP隧道技術(shù)的地址保護(hù)方法,其特征在于:具體包含如下步驟;
2.根據(jù)權(quán)利要求1所述的一種基于安全I(xiàn)SATAP隧道技術(shù)的地址保護(hù)方法,其特征在于:在步驟1中,IPv6?ISATAP地址是由64比特單播前綴和64比特接口標(biāo)識(shí)組成。
3.根據(jù)權(quán)利要求2所述的一種基于安全I(xiàn)SATAP隧道技術(shù)的地址保護(hù)方法,其特征在于:在步驟1中,ISATAP主機(jī)的64比特接口標(biāo)識(shí)是由32比特的0000:5efe和32比特的ISATAP鏈路的IPv4地址組成。
4.根據(jù)權(quán)利要求2所述的一種基于安全I(xiàn)SATAP隧道技術(shù)的地址保護(hù)方法,其特征在于:前64比特單播前綴是通過發(fā)送RS報(bào)文請(qǐng)求網(wǎng)關(guān)前綴獲得。
5.根據(jù)權(quán)利要求1所述的一種基于安全I(xiàn)SATAP隧道技術(shù)的地址保護(hù)方法,其特征在于:在步驟1.4中,ISATAP主機(jī)訪問IPv6資源的時(shí)候即IPv6主機(jī),ISATAP主機(jī)發(fā)出的IPv6報(bào)文,源IP為IPv6?ISATAP地址;查路由進(jìn)行隧道封裝,外層封裝接口的IPv4地址,封裝后的流量到底ISATAP路由器后,進(jìn)行隧道解封裝露出內(nèi)層IPv6
6.根據(jù)權(quán)利要求2所述的一種基于安全I(xiàn)SATAP隧道技術(shù)的地址保護(hù)方法,其特征在于:優(yōu)化接口標(biāo)識(shí)生成過程,具體包含如下步驟;
7.根據(jù)權(quán)利要求2所述的一種基于安全I(xiàn)SATAP隧道技術(shù)的地址保護(hù)方法,其特征在于:所述步驟2.2根據(jù)用戶的配置,對(duì)不同的流量進(jìn)行不同ST映射,具體如下;
8.根據(jù)權(quán)利要求2所述的一種基于安全I(xiàn)SATAP隧道技術(shù)的地址保護(hù)方法,其特征在于:基于ST安全策略的ISATAP隧道流量轉(zhuǎn)發(fā)過程,具體包含如下步驟:
9.根據(jù)權(quán)利要求8所述的一種基于安全I(xiàn)SATAP隧道技術(shù)的地址保護(hù)方法,其特征在于:在步驟3中,ISATAP協(xié)議棧處理流程為:
10.根據(jù)權(quán)利要求8所述的一種基于安全I(xiàn)SATAP隧道技術(shù)的地址保護(hù)方法,其特征在于:在步驟3中,開啟ST安全策略后,主機(jī)發(fā)出的IPv6原始報(bào)文,對(duì)IPv6報(bào)文的源IP進(jìn)行安全轉(zhuǎn)換,轉(zhuǎn)換后的報(bào)文查路由進(jìn)行隧道封裝;ISATAP路由器收到隧道報(bào)文后,對(duì)隧道進(jìn)行解封裝露出原始IPv6報(bào)文,并對(duì)原始IPv6報(bào)文進(jìn)行反向路由生成,然后查路由轉(zhuǎn)發(fā)該報(bào)文。
...【技術(shù)特征摘要】
1.一種基于安全isatap隧道技術(shù)的地址保護(hù)方法,其特征在于:具體包含如下步驟;
2.根據(jù)權(quán)利要求1所述的一種基于安全isatap隧道技術(shù)的地址保護(hù)方法,其特征在于:在步驟1中,ipv6?isatap地址是由64比特單播前綴和64比特接口標(biāo)識(shí)組成。
3.根據(jù)權(quán)利要求2所述的一種基于安全isatap隧道技術(shù)的地址保護(hù)方法,其特征在于:在步驟1中,isatap主機(jī)的64比特接口標(biāo)識(shí)是由32比特的0000:5efe和32比特的isatap鏈路的ipv4地址組成。
4.根據(jù)權(quán)利要求2所述的一種基于安全isatap隧道技術(shù)的地址保護(hù)方法,其特征在于:前64比特單播前綴是通過發(fā)送rs報(bào)文請(qǐng)求網(wǎng)關(guān)前綴獲得。
5.根據(jù)權(quán)利要求1所述的一種基于安全isatap隧道技術(shù)的地址保護(hù)方法,其特征在于:在步驟1.4中,isatap主機(jī)訪問ipv6資源的時(shí)候即ipv6主機(jī),isatap主機(jī)發(fā)出的ipv6報(bào)文,源ip為ipv6?isatap地址;查路由進(jìn)行隧道封裝,外層封裝接口的ipv4地址,封裝后的流量到底isatap路由器后,進(jìn)行隧道解封裝露出內(nèi)層ipv6報(bào)文,對(duì)報(bào)文...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:白雁飛,言冬,于鄂,孫暢,楚金永,
申請(qǐng)(專利權(quán))人:天翼云科技有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。