本申請涉及一種IPv6中防網關欺騙的傳輸方法及裝置，該方法包括：根據安全管理框架對第一請求報文進行標識，當第一請求報文標識為第一安全值時在第一請求報文后增加第一選項字段和第二選項字段，得到第二請求報文，第一選項字段用于產生隨機數，第二選項字段用于承載第一哈希值。發送第二請求報文至路由器端，并接收來自路由器端的第二通告報文，第二通告報文為具有第三選項字段的第一通告報文，第三選項字段用于承載第二哈希值，第一通告報文為原始通告報文。將第二哈希值與第一哈希值進行對比，若第二哈希值與第一哈希值不一致，則丟棄第二通告報文，若一致，則記錄第二通告報文的地址前綴并完成學習過程。

技術領域

本發明涉及數據通信技術領域，特別是涉及一種IPv6中防網關欺騙的傳輸方法及裝置。

背景技術

互聯網協議第六版(IPv6)是互聯網升級演進的必然趨勢、網絡技術創新的重要方向、網絡強國建設的基礎支撐。隨著IPv6越來越廣泛的部署，IPv6網絡的安全問題日益突出。與IPv4協議相比，IPv6提供了更大的地址空間、集成的安全性、簡易的配置和更簡潔的包頭結構。在IPv6中IPSec是一個必須組成部分，使得網絡層的安全性得到了增強，但IPv6并未要求強制實施IPSec對PKI基礎設置的依賴、可擴展問題和效率問題，使得IPSec在實際IPv6網絡環境中極少部署，這使得IPv6的網絡安全威脅更加容易發生。

在IPv6網絡中，最常見的組網是IPv6主機、二層交換機和IPv6路由器。通常路由器通過RA報文通告自己的IPv6前綴、鏈路MTU等信息，IPv6主機收到RA后，生成IPv6地址，并將默認路由指向RA的路由器，整個過程就是IPv6地址自動配置及網關發現的過程。偽造的RA報文具有如下特點：(1)偽造的RA報文中源MAC地址和源鏈路層選項地址中的MAC地址不一致。(2)偽造的RA報文中的前綴不是合法用戶真實的網絡前綴。

目前，現有的防網關欺騙的方法，主要是在設備上配置信任端口，人為把某個端口置為信任端口，該端口收到的RA報文認為是可信的，就會執行相應的學習過程。如果遍歷非信任端口列表，從非信任端口收到的RA報文直接丟棄。因此，現有的防網關欺騙的方法，不能自動進行RS、RA協商保證網關的安全可靠，信任端口的配置前提是網絡管理員對整個網絡拓撲很清楚，是通過人工配置，保護主機不被篡改網絡前綴。需要手工配置，配置效率差，靈活性較低，適用性不強，不能自動協商。尤其對于那些組網規模比較大的場景，手動配置映射關系是一項巨大而繁瑣的工作。另外，一般的防網關信任端口，其固定信任端口無法自動更新調整，當網關更換端口或者更新網關，原來配置的信任端口就失敗了，配置的信任端口反而會導致真正的網絡前綴無法學習，從而導致無法自動配置IPv6地址及默認路由。

因此，一般的防網關欺騙的方法，由于其配置的局限性，使得IPv6網絡中較易遭受網關欺騙攻擊。

發明內容

基于此，有必要提供一種IPv6中防網關欺騙的傳輸方法及裝置，能夠通過在請求報文和通告報文中可選字段后增加改造字段，并對改造字段進行驗證來防止攻擊者發送欺騙通告報文，解決了IPv6網絡中易遭受網關欺騙攻擊的問題。

第一方面，本申請提供一種IPv6中防網關欺騙的傳輸方法，應用于主機端，所述方法包括：

根據安全管理框架對第一請求報文進行標識，當所述第一請求報文標識為第一安全值時在所述第一請求報文后增加第一選項字段和第二選項字段，得到第二請求報文，所述第一選項字段用于產生隨機數，所述第二選項字段用于承載第一哈希值；

發送所述第二請求報文至路由器端，并接收來自所述路由器端的第二通告報文，所述第二通告報文為具有第三選項字段的第一通告報文，所述第三選項字段用于承載第二哈希值，所述第一通告報文為原始通告報文；

將所述第二哈希值與所述第一哈希值進行對比，若所述第二哈希值與第一哈希值不一致，則丟棄所述第二通告報文，若一致，則記錄所述第二通告報文的地址前綴并完成學習過程。