本發明專利技術提供一種安全表項建立方法及裝置,應用于交換設備,該方法包括:在與用戶主機IP地址匹配的臨時安全表項生效之前,由交換設備發送攜帶所述用戶主機IP地址的探測請求報文;并在接收到針對該探測請求報文回應的探測響應報文后,生效與所述用戶主機IP地址匹配的臨時安全表項,即在完成對用戶主機的身份確認后生效臨時安全表項,從而避免非法用戶主機占用交換設備的表項資源。
【技術實現步驟摘要】
本專利技術涉及網絡通信
,尤其涉及一種安全表項建立方法及裝置。
技術介紹
ND(NeighborDiscoveryProtocol,鄰居發現協議)是IPv6的基礎性協議。由于ND報文容易偽造,因此,針對ND的攻擊越來越多,嚴重影響IPv6網絡的安全性。目前,防御ND攻擊的主要方法是通過交換設備偵聽ND報文或數據報文,為不存在IP地址沖突的用戶創建安全表項,以達到對假冒已存在用戶(存在IP地址沖突的用戶)發送的報文進行丟棄的目的。但是,如果攻擊者假冒不存在用戶發送大量源IP地址不同的ND報文或者數據報文,將產生大量非法用戶的安全表項,影響合法用戶安全表項的建立,導致合法用戶無法正常通信。
技術實現思路
本專利技術的目的在于提供一種安全表項建立方法及裝置,用以避免非法用戶主機占用交換設備的表項資源。為實現上述專利技術目的,本專利技術提供了如下技術方案:本專利技術提供一種安全表項建立方法,應用于交換設備,所述方法包括:接收用戶主機發送的報文;判斷是否存在與所述報文攜帶的所述用戶主機的IP地址匹配的臨時安全表項;當存在與所述用戶主機的IP地址匹配的臨時安全表項時,發送第一探測請求報文,所述第一探測請求報文中攜帶所述用戶主機的IP地址;當接收到針對所述第一探測請求報文回應的第一探測響應報文時,生效所述匹配的臨時安全表項為有效安全表項。本專利技術還提供一種安全表項建立裝置,應用于交換設備,所述裝置包括:接收單元,用于接收用戶主機發送的報文;判斷單元,用于判斷是否存在與所述報文攜帶的所述用戶主機的IP地址匹配的臨時安全表項;發送單元,用于當存在與所述用戶主機的IP地址匹配的臨時安全表項時,發送第一探測請求報文,所述第一探測請求報文中攜帶所述用戶主機的IP地址;生效單元,用于當接收到針對所述第一探測請求報文回應的第一探測響應報文時,生效所述匹配的臨時安全表項為有效安全表項。由以上描述可以看出,本專利技術中交換設備在與用戶主機IP地址匹配的臨時安全表項生效之前,對用戶主機進行身份確認,對通過身份確認的用戶主機生效臨時安全表項,從而避免非法用戶主機占用交換設備的表項資源。附圖說明圖1是本專利技術實施例示出的一種安全表項建立方法流程圖;圖2是本專利技術實施例示出的一種組網示意圖;圖3是本專利技術實施例示出的交換設備的結構示意圖;圖4是本專利技術實施例示出的一種安全表項建立裝置的結構示意圖。具體實施方式這里將詳細地對示例性實施例進行說明,其示例表示在附圖中。下面的描述涉及附圖時,除非另有表示,不同附圖中的相同數字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本專利技術相一致的所有實施方式。相反,它們僅是與如所附權利要求書中所詳述的、本專利技術的一些方面相一致的裝置和方法的例子。在本專利技術使用的術語是僅僅出于描述特定實施例的目的,而非旨在限制本專利技術。在本專利技術和所附權利要求書中所使用的單數形式的“一種”、“所述”和“該”也旨在包括多數形式,除非上下文清楚地表示其他含義。還應當理解,本文中使用的術語“和/或”是指并包含一個或多個相關聯的列出項目的任何或所有可能組合。應當理解,盡管在本專利技術可能采用術語第一、第二、第三等來描述各種信息,但這些信息不應限于這些術語。這些術語僅用來將同一類型的信息彼此區分開。例如,在不脫離本專利技術范圍的情況下,第一信息也可以被稱為第二信息,類似地,第二信息也可以被稱為第一信息。取決于語境,如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“響應于確定”。本專利技術實施例提出一種安全表項建立方法,該方法在與用戶主機IP地址匹配的臨時安全表項生效之前,由交換設備發送攜帶用戶主機IP地址的探測請求報文,并在接收到針對該探測請求報文回應的探測響應報文后,生效與該用戶主機IP地址匹配的臨時安全表項,從而避免非法用戶主機占用交換設備的表項資源。參見圖1,為本專利技術安全表項建立方法的一個實施例流程圖,該實施例對安全表項建立過程進行描述。步驟101,接收用戶主機發送的報文。步驟102,判斷是否存在與所述報文攜帶的所述用戶主機的IP地址匹配的臨時安全表項。交換設備在接收到用戶主機發送的報文后,根據報文中攜帶的該用戶主機(發送報文的用戶主機,亦可稱為源用戶主機)的IP地址判斷本地是否存在與該用戶主機的IP地址匹配的臨時安全表項,其中,該臨時安全表項為未生效的安全表項,即未下發到交換設備的硬件轉發芯片中的安全表項,因此,該臨時安全表項不占用交換設備的表項資源。當判斷出不存在與用戶主機的IP地址匹配的臨時安全表項時,進一步判斷是否存在與用戶主機的IP地址匹配的有效安全表項,即已生效并下發到硬件轉發芯片中的安全表項。當存在與用戶主機的IP地址匹配的有效安全表項時,說明該用戶主機為已確認的合法用戶主機,可以正常通信;當不存在與用戶主機的IP地址匹配的有效安全表項時,說明當前為新的用戶主機發起的訪問,建立與用戶主機的IP地址匹配的臨時安全表項,等待確認當前用戶主機的合法性。步驟103,當存在與所述用戶主機的IP地址匹配的臨時安全表項時,發送第一探測請求報文,所述第一探測請求報文中攜帶所述用戶主機的IP地址。步驟104,當接收到針對所述第一探測請求報文回應的第一探測響應報文時,生效所述匹配的臨時安全表項為有效安全表項。本專利技術通過步驟103和步驟104對已存在匹配的臨時安全表項的用戶主機進行合法性確認。具體為,交換設備通過發送攜帶用戶主機的IP地址的第一探測請求報文,探測是否存在使用該IP地址的用戶主機,當交換設備接收到針對第一探測請求報文回應的第一探測響應報文時,確認使用該IP地址的用戶主機真實存在,即確認該用戶主機合法,并將該合法的用戶主機對應的臨時安全表項生效為有效安全表項。當交換設備未接收到第一探測響應報文時,說明不存在使用該IP地址的用戶主機,已接收的報文很有可能為攻擊者偽造的攻擊報文,因此,可刪除對應的臨時安全表項。當然,本專利技術還可設置臨時安全表項的老化時間,當達到老化時間時,刪除臨時安全表項,以節約交換設備的系統資源。由以上描述可知,本專利技術通過對已建立臨時安全表項的用戶主機作進一步合法性探測,以避免交換設備為大量不存在的用戶主機生成有效安全表項,即保證下發到硬件轉發芯片中的安全表項的真實性,從而節約交換設備的表項資源。此外,需要補充說明的是,在步驟103中,交換設備要掌握發送第一探測請求報文的時機。具體為,交換設備判斷從用戶主機(記為用戶主機A)接收的報文是否為用戶主機A發送的探測請求報文(記為第二探測請求報文),該第二探測請求報文通常為用戶主機A在獲取新的IP地址后對該IP地址進行沖突檢查時發送。當交換設備接收的報文為用戶主機A發送的第二探測請求報文時,轉發該第二探測請求報文,以使與用戶主機A的IP地址沖突的用戶主機(記為用戶主機B)回應探測響應報文(記為第二探測響應報文),若用戶主機A未接收到第二探測響應報文,則確認不存在IP地址沖突,生效當前IP地址;當交換設備接收的報文不為用戶主機A發送的第二探測請求報文時,發送第一探測請求報文,這是由于,如果用戶主機A在發送第二探測請求報文后,又接收到交換設備發送的第一探測請求報文(兩個探測請求報文攜帶的IP地址均為用戶主機A的IP地址)同樣會認為存在IP地址沖突,則無法生效當前IP地本文檔來自技高網...
【技術保護點】
一種安全表項建立方法,應用于交換設備,其特征在于,所述方法包括:接收用戶主機發送的報文;判斷是否存在與所述報文攜帶的所述用戶主機的IP地址匹配的臨時安全表項;當存在與所述用戶主機的IP地址匹配的臨時安全表項時,發送第一探測請求報文,所述第一探測請求報文中攜帶所述用戶主機的IP地址;當接收到針對所述第一探測請求報文回應的第一探測響應報文時,生效所述匹配的臨時安全表項為有效安全表項。
【技術特征摘要】
1.一種安全表項建立方法,應用于交換設備,其特征在于,所述方法包括:接收用戶主機發送的報文;判斷是否存在與所述報文攜帶的所述用戶主機的IP地址匹配的臨時安全表項;當存在與所述用戶主機的IP地址匹配的臨時安全表項時,發送第一探測請求報文,所述第一探測請求報文中攜帶所述用戶主機的IP地址;當接收到針對所述第一探測請求報文回應的第一探測響應報文時,生效所述匹配的臨時安全表項為有效安全表項。2.如權利要求1所述的方法,其特征在于,當判斷出不存在與所述用戶主機的IP地址匹配的臨時安全表項時,所述方法還包括:當不存在與所述用戶主機的IP地址匹配的有效安全表項時,建立與所述用戶主機的IP地址匹配的臨時安全表項。3.如權利要求1所述的方法,其特征在于,所述發送第一探測請求報文,包括:當交換設備接收的報文不為用戶主機發送的第二探測請求報文時,發送所述第一探測請求報文。4.如權利要求1所述的方法,其特征在于,當未接收到針對所述第一探測請求報文回應的第一探測響應報文時,所述方法還包括:刪除所述匹配的臨時安全表項。5.如權利要求1所述的方法,其特征在于,所述方法還包括:設置臨時安全表項的老化時間;當達到老化時間時,刪除臨時安全表項。6.一種安全表...
【專利技術屬性】
技術研發人員:陳潔,
申請(專利權)人:杭州華三通信技術有限公司,
類型:發明
國別省市:浙江;33
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。