[发明专利]一种防止伪造报文攻击的方法和装置

权利要求书

1.一种防止伪造报文攻击的方法，其特征在于，该方法应用于网络访 问控制服务器NAS，NAS上指定了信任接入点，NAS上的除信任接入点以 外的接入点为非信任接入点，该方法包括：

NAS根据从信任接入点接收的RA报文中的前缀内容建立并维护合法 前缀表；

NAS从非信任接入点接收到目的IP地址为指定IP地址的首个DAD NS 报文时，根据合法前缀表确认其目的IP地址的前缀合法后，根据该DAD NS 报文的目的IP地址、源链路地址和接入点建立前缀合法的地址绑定表；

建立前缀合法的地址绑定表后，如果NAS在预定时间内从其他接入点 接收到回应所述首个DAD NS的NA报文，则删除所述前缀合法的地址绑定 表，否则，前缀合法的地址绑定表变更为地址合法的地址绑定表；

NAS根据从非信任接入点接收的NS报文和NA报文，更新地址合法的 地址绑定表的生存时间，保证其在对应接入点的邻居在线时不被老化；

NAS侦听接入主机切换接入点或链路地址后重新发出的DAD NS，如 果在预定时间内侦听到对应的回应NA报文，则不更新对应地址合法的地址 绑定表中的接入点和链路地址；反之，如果在预定时间内没有侦听到对应的 回应NA报文，则更新对应地址合法的地址绑定表中的接入点和链路地址；

NAS根据地址绑定表过滤从非信任接入点接收的数据报文。

2.如权利要求1所述的方法，其特征在于，采用维护地址绑定表状态 机的方式，实现所述NAS根据从信任接入点接收的RA报文中的前缀内容 建立并维护合法前缀表之后的各个步骤，具体包括：

所述地址绑定表的每一个表项包括：网际协议IP地址、链路地址、接 入点、待变链路地址、待变接入点和表项状态；其中，表项状态取前缀合法 LGLP状态、地址合法LGLA状态、老化AGNG状态、接入点待变ACPP 状态和链路地址待变LNAP状态中的一种；所述五种状态依次对应定时器 T1、T2、T3、T4和T5；

NAS从非信任接入点接收到DAD NS报文时，根据该DAD NS报文中 的目的IP地址、源链路地址和接收该DAD NS报文的接入点查询地址绑定 表；如果地址绑定表中不存在具有与所述目的IP地址相同IP地址的表项， 则查询合法前缀表所述目的IP地址的前缀是否合法；如果不合法则丢弃所 述DAD NS报文；如果合法则转发所述DAD NS报文，并将所述目的IP地 址、源链路地址和接入点对应添加到地址绑定表中的一个表项中，且该表项 为LGLP状态并启动定时器T1，T1超时时该表项转为LGLA状态并启动定 时器T2，T2超时时该表项转为AGNG状态并启动定时器T3，T3超时时删 除该表项；如果地址绑定表中存在具有与所述目的IP地址相同IP地址的表 项，先判断该表项的状态是否为LGLP状态，是则丢弃该DAD NS报文，否 则继续判断链路地址是否相同；如果链路地址不同，则转发该DAD NS报文， 并将该DAD NS报文所对应的链路地址和接入点写入该表项中的待变链路 地址和待变接入点中，将该表项置为LNAP状态并启动定时器T5，T5超时 时该表项转为LGLA状态，并用该表项中的待变链路地址和待变接入点分别 替换该表项中的链路地址和接入点，删除待变链路地址和待变接入点中的内 容；如果链路地址也相同，则进一步判断接入点是否也相同，如果接入点也 相同，则转发该DAD NS报文，如果接入点不相同，则先将该DAD NS报 文对应的接入点写入该表项中，将该表项置为ACPP状态并启动定时器T4， 然后转发该DAD NS报文，T4超时时该表项转为LGLA状态，并用该表项 中的待变接入点换该表项中的接入点，删除待变接入点中的内容；

NAS从非信任接入点接收到除DAD NS报文以外的NS报文时，根据 该NS报文的源IP地址、源链路地址和接收该NS报文的接入点查询地址绑 定表；如果地址绑定表中不存在具有与NS报文的源IP地址、源链路地址和 接入点一致的IP地址、链路地址和接入点的表项，则丢弃该NS报文，反之 如果存在一致的表项，且该表项状态不为LGLP状态，则将该表项置为LGLA 状态并启动定时器T2，删除该表项的原状态对应的定时器，并转发该NS 报文；

NAS接收到NA报文时，根据该NA报文中公告的目标IP地址和目标 链路地址以及接收到该NA报文的接入点查询地址绑定表；如果地址绑定表 中存在IP地址、链路地址和接入点与该NA报文中公告的目标IP地址和目 标链路地址以及接收该NA报文的接入点一致的表项，则判断该表项的状态； 如果该表项为ACPP或LNAP状态，则将该表项置为LGLA状态并启动定 时器T2，删除该表项中的待变链路地址和待变接入点中的内容，并转发该 NA报文，如果该表项为LGLP状态，则丢弃该NA报文，如果该表项为LGLA 状态，则将定时器T2清零，并转发该NA报文，如果该表项为AGNG状态， 则将该表项置为LGLA状态并启动定时器T2，并转发该NA报文；如果地 址绑定表中存在IP地址与该NA报文中公告的目标IP地址相同，但链路地 址和/或接入点与该NA报文中公告的目标链路地址和/或接收该NA报文的 接入点不同的表项，判断该NA报文是否为回应重复地址检测的NA报文， 如果是回应重复地址检测的NA报文，则丢弃该NA报文，如果不是回应重 复地址检测的NA报文，则判断该表项是否为LGLP状态，如果不是LGLP 状态，则丢弃该NA报文，如果是LGLP状态，则进一步判断接收该NA报 文的接入点是否为信任接入点，如果是信任接入点，则将该表项删除，转发 该NA报文，如果不是信任接入点，则丢弃该NA报文。