一种IPv6源地址认证测试方法

技术领域

本发明涉及通信协议领域，尤其涉及一种IPv6源地址认证测试方法。

背景技术

IP做为非常优秀的协议，已经证实了它能够连接小至几个节点，大至Internet上难以计数的主机。但在计算机工业飞速发展的今天，IPv4的局限性和缺点已相当明显。

IPv4安全性一直被认为是由网络层以上的层负责，许多垃圾邮件的产生正是由于IPv4转发数据的时候对源地址不进行检查，某些别有用心的人会利用这个IPv4特点伪造IPv4源地址进行攻击，被攻击者看到的源地址都是发起攻击者伪造的，这样一来便无法对这些行为进行有效的预防。

互联网的标准到了IPv6的时候，这种现象有所改观，因为IPv6地址可以对路径进行追溯，对用户的地址进行真实性的验证，从而增加了互联网的安全性。

发明内容

本发明的目的是针对背景技术中所描述的目前IPv4所存在的安全性问题，提出了一种IPv6源地址认证测试方法。

其特征在于，包括以下步骤：

步骤一：设置测试系统，该系统由1台支持IPv6源地址的被测设备(204)和3台分别与该被测设备相连的测试设备(201、202、203)组成；

步骤二：判断被测设备类型：

如果被测设备是控制分组侦听设备，则对该设备进行前缀配置、前缀过滤测试、DHCPv6侦听测试、ND侦听测试以及手动绑定测试；

如果被测设备是先来先服务设备，则对该设备进行前缀配置、数据机构测试、数据报文过滤测试以及控制报文过滤测试；

步骤三：收集分析报文输出WEB格式测试结果，包括编号、项目、结果、日志脚本、抓包项目。

2.根据权利要求1所述的一种IPv6源地址认证测试方法，其特征在于，所述对控制分组侦听设备的前缀配置包括：在被测设备上设置IPv4和IPv6的前缀范围，其中，IPv4的前缀范围为192.168.0.0/16，IPv6的前缀范围为“FE80::/64”和“3ffe:501:ffff:100::/64”；打开被测设备的控制分组侦听功能，清空所有绑定状态表和过滤表中的内容。

3.根据权利要求1所述的一种IPv6源地址认证测试方法，其特征在于，所述对控制分组侦听设备的前缀过滤测试，包括以下步骤：

步骤3-1：使用前缀范围转发DHCPv6中继分组；

按照步骤二中的前缀配置，测试设备(202)发送一个DHCPv6中继的消息给目标地址为“3ffe:501:ffff:100::10”的测试设备(201)，如果测试设备(201)从测试设备(202)收到回复消息，则测试通过；

步骤3-2：丢弃前缀范围转发DHCPv6中继分组；

重设IPv6的前缀范围为“FE80::/64”，测试设备(202)发送一个DHCPv6中继的消息给目标地址为“3ffe:501:ffff:100::10”的测试设备(201)，如果测试设备(201)未从测试设备(202)收到回复消息，则测试通过。

4.根据权利要求1所述的一种IPv6源地址认证测试方法，其特征在于，所述对控制分组侦听设备的DHCPv6侦听测试，包括以下步骤：

步骤4-1：进行带有DHCPv6请求消息的DHCPv6_START状态测试，包括以下步骤：

步骤4-1-1：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤4-1-2：测试设备(201)使用地址3ffe:501:ffff:100::10发送一个正常格式的DHCPv6的请求消息给测试设备(202)；

步骤4-1-3：观察被测设备的绑定状态表；

步骤4-1-4：测试设备(201)发送一个相应请求给测试设备(203)；

步骤4-1-5：观察测试设备(201)接收到的分组情况；

步骤4-1-6：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤4-1-7：测试设备(201)使用地址3ffe:501:ffff:100::10发送一个正常格式的DHCPv6的请求消息给测试设备(202)；

步骤4-1-8：观察被测设备的绑定状态表；

步骤4-1-9：等待3秒钟；

步骤4-1-10：重复步骤4-1-7；

步骤4-1-11：观察被测设备的绑定状态表；

步骤4-1-12：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤4-1-13：测试设备(201)使用地址3ffe:501:ffff:100::10发送一个正常格式的DHCPv6的请求消息给测试设备(202)；

步骤4-1-14：观察被测设备的绑定状态表；

步骤4-1-15：等待10秒钟；

步骤4-1-16：观察被测设备的绑定状态表：

步骤4-2：进行带有DHCPv6确认消息的DHCPv6_START状态测试，包括以下步骤：

步骤4-2-1：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤4-2-2：测试设备(201)使用地址3ffe:501:ffff:100::10发送一个正常格式的DHCPv6的确认消息给测试设备(202)；

步骤4-2-3：观察被测设备的绑定状态表；

步骤4-2-4：测试设备(201)发送一个相应请求给测试设备(203)；

步骤4-2-5：观察测试设备(201)接收到的分组情况；

步骤4-2-6：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤4-2-7：测试设备(201)使用地址3ffe:501:ffff:100::10发送一个正常格式的DHCPv6的确认消息给测试设备(202)；

步骤4-2-8：观察被测设备的绑定状态表；

步骤4-2-9：重复步骤4-2-7；

步骤4-2-10：观察被测设备的绑定状态表；

步骤4-2-11：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤4-2-12：测试设备(201)使用地址3ffe:501:ffff:100::10发送一个正常格式的DHCPv6的确认消息给测试设备(202)；

步骤4-2-13：观察被测设备的绑定状态表；

步骤4-2-14：等待10秒钟；

步骤4-2-15：观察被测设备的绑定状态表：

步骤4-3：进行带有DHCPv6回复消息的DHCPv6_LIVE状态测试，包括以下步骤：

步骤4-3-1：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤4-3-2：测试设备(201)使用地址3ffe:501:ffff:100::10发送一个正常格式的DHCPv6的确认消息给测试设备(202)；

步骤4-3-3：观察被测设备的绑定状态表；

步骤4-3-4：测试设备(202)发送一个相应请求给测试设备(201)；

步骤4-3-5：观察被测设备的绑定状态表；

步骤4-3-6：测试设备(201)发送一个相应请求给测试设备(203)；

步骤4-3-7：观察测试设备(203)中收到的分组；

步骤4-3-8：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤4-3-9：重复步骤4-3-2；

步骤4-3-10：观察被测设备的绑定状态表；

步骤4-3-11：测试设备(202)通过使用与请求消息不同的TID发送一个回复消息给测试设备(201)；

步骤4-3-12：观察被测设备的绑定状态表；

步骤4-3-13：测试设备(201)发送一个相应请求给测试设备(203)；

步骤4-3-14：观察测试设备(203)中收到的分组；

步骤4-3-15：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤4-3-16：重复步骤4-3-2；

步骤4-3-17：观察被测设备的绑定状态表；

步骤4-3-18：测试设备(202)发送一个相应请求给测试设备(201)；

步骤4-3-19：观察被测设备的绑定状态表；

步骤4-3-20：等待1秒；

步骤4-3-21：观察被测设备的绑定状态表；

步骤4-3-22：测试设备(201)发送一个相应请求给测试设备(203)；

步骤4-3-23：观察测试设备(203)中收到的分组；

步骤4-4：进行带有地址冲突检测网络请求消息的DHCPv6_DETECTION状态测试，包括以下步骤：

步骤4-4-1：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤4-4-2：测试设备(201)使用地址3ffe:501:ffff:100::10发送一个正常格式的DHCPv6的请求消息给测试设备(202)；

步骤4-4-3：当测试设备(202)接收到测试设备(201)发过来的请求消息后，发送一个正常格式的回复消息给测试设备(201)；

步骤4-4-4：观察被测设备的绑定状态表；

步骤4-4-5：测试设备(201)使用3ffe:501:ffff:100::10发送一个冲突地址检测消息；

步骤4-4-6：观察被测设备的绑定状态表；

步骤4-4-7：等待1秒；

步骤4-4-8：观察被测设备的绑定状态表和过滤表；

步骤4-4-9：测试设备(201)发送一个相应请求给测试设备(203)；

步骤4-4-10：观察测试设备(203)中收到的分组；

步骤4-5：进行收到路由通告响应消息时删除一个表项的测试，包括以下步骤：

步骤4-5-1：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤4-5-2：测试设备(201)使用地址3ffe:501:ffff:100::10发送一个正常格式的DHCPv6的请求消息给测试设备(202)；

步骤4-5-3：当测试设备(202)接收到测试设备(201)发过来的请求消息后，发送一个正常格式的回复消息给测试设备(201)；

步骤4-5-4：观察被测设备的绑定状态表；

步骤4-5-5：测试设备(201)使用3ffe:501:ffff:100::10发送一个冲突地址检测消息；

步骤4-5-6：观察被测设备的绑定状态表；

步骤4-5-7：在表项生存时间过期前，测试设备(202)发送一个请求临时地址的邻居公告；

步骤4-5-8：观察被测设备的绑定状态表；

步骤4-5-9：测试设备(201)发送一个相应请求给测试设备(203)；

步骤4-5-10：观察测试设备(203)中收到的分组；

步骤4-6：进行收到拒收消息时删除一个表项的测试，包括以下步骤：

步骤4-6-1：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤4-6-2：测试设备(201)使用地址3ffe:501:ffff:100::10发送一个正常格式的DHCPv6的请求消息给测试设备(202)；

步骤4-6-3：当测试设备(202)接收到测试设备(201)发过来的请求消息后，发送一个正常格式的回复消息给测试设备(201)；

步骤4-6-4：观察被测设备的绑定状态表；

步骤4-6-5：在表项生存时间过期前，测试设备(201)发送一个正常格式的拒绝消息；

步骤4-6-6：观察被测设备的绑定状态表；

步骤4-6-7：测试设备(201)发送一个相应请求给测试设备(203)；

步骤4-6-8：观察测试设备(203)中收到的分组；

步骤4-7：进行收到释放消息时删除一个表项的测试，包括以下步骤：

步骤4-7-1：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤4-7-2：测试设备(201)使用地址3ffe:501:ffff:100::10发送一个正常格式的DHCPv6的请求消息给测试设备(202)；

步骤4-7-3：当测试设备(202)接收到测试设备(201)发过来的请求消息后，发送一个正常格式的回复消息给测试设备(201)；

步骤4-7-4：测试设备(201)使用3ffe:501:ffff:100::10发送一个冲突地址检测消息；

步骤4-7-5：观察被测设备的绑定状态表；

步骤4-7-6：测试设备(201)发送一个相应请求给测试设备(203)；

步骤4-7-7：观察测试设备(203)中收到的分组；

步骤4-7-8：在表项生存时间过期前，测试设备(201)发送一个释放的消息；

步骤4-7-9：观察被测设备的绑定状态表和过滤表；

步骤4-7-10：测试设备(201)发送一个相应请求给测试设备(203)；

步骤4-7-11：观察测试设备(203)中收到的分组；

步骤4-8：进行当DHCPv6_BOUND生存期过后删除一个表项的测试，包括以下步骤：

步骤4-8-1：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤4-8-2：测试设备(201)使用地址3ffe:501:ffff:100::10发送一个正常格式的DHCPv6的请求消息给测试设备(202)；

步骤4-8-3：当测试设备(202)接收到测试设备(201)发过来的请求消息后，发送一个正常格式的回复消息给测试设备(201)；

步骤4-8-4：测试设备(201)使用3ffe:501:ffff:100::10发送一个冲突地址检测消息；

步骤4-8-5：观察被测设备的绑定状态表；

步骤4-8-6：测试设备(201)发送一个相应请求给测试设备(203)；

步骤4-8-7：观察测试设备(203)中收到的分组；

步骤4-8-8：等待表项生存时间过期；

步骤4-8-9：观察被测设备的绑定状态表和过滤表；

步骤4-8-10：测试设备(201)发送一个相应请求给测试设备(203)；

步骤4-8-11：观察测试设备(201)中收到的分组；

步骤4-9：进行链路层被中断后清除绑定测试，包括以下步骤：

步骤4-9-1：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤4-9-2：测试设备(201)使用地址3ffe:501:ffff:100::10发送一个正常格式的DHCPv6的请求消息给测试设备(202)；

步骤4-9-3：当测试设备(202)接收到测试设备(201)发过来的请求消息后，发送一个正常格式的回复消息给测试设备(201)；

步骤4-9-4：测试设备(201)使用3ffe:501:ffff:100::10发送一个冲突地址检测消息；

步骤4-9-5：观察被测设备的绑定状态表；

步骤4-9-6：断开测试设备(201)和被测设备(204)的物理连接；

步骤4-9-7：观察被测设备的绑定状态表和过滤表；

步骤4-10：进行带有DHCPv6中继更新或重绑定标识的生存时间更新测试，包括以下步骤：

步骤4-10-1：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤4-10-2：测试设备(201)使用地址3ffe:501:ffff:100::10发送一个正常格式的DHCPv6的请求消息给测试设备(202)；

步骤4-10-3：当测试设备(202)接收到测试设备(201)发过来的请求消息后，发送一个正常格式的回复消息给测试设备(201)；

步骤4-10-4：测试设备(201)使用3ffe:501:ffff:100::10发送一个冲突地址检测消息；

步骤4-10-5：观察被测设备的绑定状态表；

步骤4-10-6：等待30秒后，测试设备(202)回复要求更新；

步骤4-10-7：观察被测设备的绑定状态表和过滤表；

步骤4-10-8：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤4-10-9：测试设备(201)使用地址3ffe:501:ffff:100::10发送一个正常格式的DHCPv6的请求消息给测试设备(202)；

步骤4-10-10：当测试设备(202)接收到测试设备(201)发过来的请求消息后，发送一个正常格式的回复消息给测试设备(201)；

步骤4-10-11：测试设备(201)使用3ffe:501:ffff:100::10发送一个冲突地址检测消息；

步骤4-10-12：观察被测设备的绑定状态表；

步骤4-10-13：等待30秒后，测试设备(202)回复要求重绑定；

步骤4-10-14：观察被测设备的绑定状态表和过滤表。

5.根据权利要求1所述的一种IPv6源地址认证测试方法，其特征在于，所述对控制分组侦听设备的ND侦听测试，包括以下步骤：

步骤5-1：进行网络请求消息生成表项的测试，包括以下步骤：

步骤5-1-1：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤5-1-2：测试设备(201)发送一个源地址为3ffe:501:ffff:100::10的冲突地址检测的网络请求消息；

步骤5-1-3：观察被测设备的绑定状态表；

步骤5-1-4：等待1秒；

步骤六-1-5：观察被测设备的绑定状态表和过滤表；

步骤5-1-6：测试设备(201)发送一个相应请求给测试设备(203)；

步骤5-1-7：观察测试设备(203)中收到的分组；

步骤5-2：进行网络响应消息清除绑定测试，包括以下步骤：

步骤5-2-1：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤5-2-2：测试设备(201)发送一个源地址为3ffe:501:ffff:100::10的冲突地址检测的网络请求消息；

步骤5-2-3：观察被测设备的绑定状态表；

步骤5-2-4：当收到网络请求消息后，测试设备(202)立刻发出一个网络请求响应消息；

步骤5-2-5：观察被测设备的绑定状态表和过滤表；

步骤5-2-6：测试设备(201)发送一个相应请求给测试设备(203)；

步骤5-2-7：观察测试设备(201)中收到的分组；

步骤5-3：更新带有SAC_BOUND状态表项的生存时间，包括以下步骤：

步骤5-3-1：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤5-3-2：测试设备(201)发送一个源地址为3ffe:501:ffff:100::10的冲突地址检测的网络请求消息；

步骤5-3-3：等待1秒；

步骤5-3-4：观察被测设备的绑定状态表和过滤表；

步骤5-3-5：开始捕获链路A(205)上的分组，并且等待2小时；

步骤5-3-6：观察链路A上的分组并检查绑定状态表和过滤表；

步骤5-3-7：当从被测设备收到一个网络请求消息，测试设备(201)发送一个响应消息给被测设备；

步骤5-3-8：再次观察链路A绑定状态表；

步骤5-3-9：测试设备(201)发送一个相应请求给测试设备(203)；

步骤5-3-10：观察测试设备(201)中收到的分组；

步骤5-4：删除带有SAC_BOUND状态的表项，包括以下步骤：

步骤5-4-1：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤5-4-2：测试设备(201)发送一个源地址为3ffe:501:ffff:100::10的冲突地址检测的网络请求消息；

步骤5-4-3：等待1秒；

步骤5-4-4：观察被测设备的绑定状态表和过滤表；

步骤5-4-5：开始捕获链路A上的分组，并且等待2小时；

步骤5-4-6：观察链路A上的分组并检查绑定状态表和过滤表；

步骤5-4-7：等待1秒；

步骤5-4-8：再次观察链路A绑定状态表；

步骤5-4-9：测试设备(201)发送一个相应请求给测试设备(203)；

步骤5-4-10：观察测试设备(201)中收到的分组；

步骤5-5：进行SAC_BOUND状态到SAC_QUERY状态的测试，包括以下步骤：

步骤5-5-1：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤5-5-2：测试设备(201)发送一个源地址为3ffe:501:ffff:100::10的冲突地址检测的网络请求消息；

步骤5-5-3：等待1秒；

步骤5-5-4：观察被测设备的绑定状态表和过滤表；

步骤5-5-5：30秒后，测试设备(202)发送一个以步骤5-5-2中源地址为源地址的网络请求消息；

步骤5-5-6：观察被测设备的绑定状态表和过滤表；

步骤5-5-7：等待1秒；

步骤5-5-8：观察被测设备的绑定状态表和过滤表；

步骤5-5-9：测试设备(201)发送一个相应请求给测试设备(203)；

步骤5-5-10：观察测试设备(201)中收到的分组；

步骤5-6：继续进行SAC_BOUND状态到SAC_QUERY状态的测试，包括以下步骤：

步骤5-6-1：恢复步骤二中对控制分组侦听设备的前缀配置；

步骤5-6-2：测试设备(201)发送一个源地址为3ffe:501:ffff:100::10的冲突地址检测的网络请求消息；

步骤5-6-3：等待1秒；

步骤5-6-4：观察被测设备的绑定状态表和过滤表；

步骤5-6-5：30秒后，测试设备(202)发送一个以步骤5-6-2中源地址为源地址的网络请求消息；

步骤5-6-6：观察被测设备的绑定状态表和过滤表；

步骤5-6-7：当收到步骤六-6-2发来的网络请求消息，测试设备(201)立刻发送一个响应消息；

步骤5-6-8：观察被测设备的绑定状态表和过滤表；

步骤5-6-9：测试设备(201)发送一个相应请求给测试设备(203)；

步骤5-6-10：观察测试设备(201)中收到的分组。

6.根据权利要求1所述的一种IPv6源地址认证测试方法，其特征在于，所述对控制分组侦听设备的手动绑定测试，包括以下步骤：

步骤6-1：进行静态地址的手工绑定，包括以下步骤：

步骤6-1-1：在被测设备上开启源地址功能；

步骤6-1-2：测试设备(201)发送一个冲突地址检测的网络请求消息，目标地址的消息是不可复制的；

步骤6-1-3：观察被测设备的绑定状态表；

步骤6-1-4：等待1秒；

步骤6-1-5：观察被测设备的绑定状态表和过滤表；

步骤6-1-6：测试设备(201)发送一个响应给测试设备(203)；

步骤6-1-7：观察测试设备(203)中收到的分组；

步骤6-2：进行无限生存时间的静态地址的手工绑定，包括以下步骤：

步骤6-2-1：在被测设备上开启源地址功能；

步骤6-2-2：在被测设备上配置一个静态地址绑定的表项；

步骤6-2-3：观察被测设备的绑定状态表和过滤表；

步骤6-2-4：使用静态绑定表关闭被测设备的网络接口；

步骤6-2-5：观察绑定状态表。

7.根据权利要求1所述的一种IPv6源地址认证测试方法，其特征在于，所述对先来先服务设备的前缀配置包括：在被测设备上配置先来先服务的源地址认证前缀，配置先来先服务的路由器列表：测试设备(201)的MAC地址；清空所有先来先服务的源地址数据库消息。

8根据权利要求1所述的一种IPv6源地址认证测试方法，其特征在于，所述对先来先服务设备的数据机构测试，包括以下步骤：

步骤8-1：对先来先服务的源地址认证数据库结构测试，包括以下步骤：

步骤8-1-1：按照步骤3进行前缀配置；

步骤8-1-2：测试设备(201)发送发送一个数据包给测试设备(202)，并在源地址列表中使用源地址3ffe:501:ffff:100::10；

步骤8-1-3：观察先来先服务的源地址认证数据库结构；

步骤8-2：进行先来先服务的源地址认证前缀列表测试，包括以下步骤：

步骤8-2-1：恢复步骤二中对先来先服务设备的前缀配置；

步骤8-2-2：加入到新前缀列表：前缀为2000::/32，接口链接到测试设备(201)；

步骤8-2-3：观察先来先服务的源地址认证数据库结构；

步骤8-3：进行先来先服务的源地址认证路由器列表结构测试，包括以下步骤：

步骤8-3-1：恢复步骤二中对先来先服务设备的前缀配置；

步骤8-3-2：加入一个路由器记录到路由器列表；

步骤8-3-3：观察被测设备的路由器列表结果。

9.根据权利要求1所述的一种IPv6源地址认证测试方法，其特征在于，所述对先来先服务设备的数据报文过滤测试，包括以下步骤：

步骤9-1：进行传输流量处理测试，包括以下步骤：

步骤9-1-1：恢复步骤二中对先来先服务设备的前缀配置；

步骤9-1-2：测试设备(201)使用源地址3ffe:501:ffff:200::10发送一个分组到测试设备(202)，并且第2层的信息不是在先来先服务的源地址验证路由器列表中。

步骤9-1-3：观察测试设备(202)收到的分组；

步骤9-2：进行从路由器接口传输流量处理测试，包括以下步骤：

步骤9-2-1：恢复步骤二中对先来先服务设备的前缀配置；

步骤9-2-2：测试设备(201)使用源地址3ffe:501:ffff:200::10发送一个分组和在先来先服务源地址认证路由器列表中的第二层信息到测试设备(202)；

步骤9-2-3：观察测试设备(202)收到的分组；

步骤9-3：进行一般数据分组处理测试，包括以下步骤：

步骤9-3-1：恢复步骤二中对先来先服务设备的前缀配置；

步骤9-3-2：测试设备(201)使用源地址为3ffe:501:ffff:100::10发送一个数据分组给测试设备(202)；

步骤9-3-3：观察测试设备(202)收到的分组；

步骤9-3-4：观察先来先服务源地址认证数据库；

步骤9-3-5：恢复步骤二中对先来先服务设备的前缀配置；

步骤9-3-6：测试设备(201)使用源地址为3ffe:501:ffff:100::10发送一个数据分组给测试设备(202)；

步骤9-3-7：观察测试设备(202)收到的分组；

步骤9-3-8：观察先来先服务源地址认证数据库；

步骤9-3-9：等候20秒，测试设备(201)同步骤9-3-6一样地发送一个以同一个源地址和2层信息数据分组；

步骤9-3-10：观察测试设备(202)收到的分组；

步骤9-3-11：观察先来先服务源地址认证数据库；

步骤9-4：进行处理冲突的二层信息分组测试，包括以下步骤：

步骤9-4-1：恢复步骤二中对先来先服务设备的前缀配置；

步骤9-4-2：测试设备(201)使用源地址为3ffe:501:ffff:100::10发送一个数据分组给测试设备(202)；

步骤9-4-3：观察先来先服务源地址认证数据库；

步骤9-4-4：等待5秒，测试设备(201)发送一个带有同一个源地址的数据分组但不同于步骤5-4-2中的2层信息；

步骤9-4-5：观察测试设备(201)收到的分组；

步骤9-4-6：等待5秒，当收到了从被测设备发出的一个冲突地址检测的网络请求消息，测试设备(201)发送一个冲突地址检测的网络通告消息；

步骤9-4-7：观察测试设备(202)收到的分组；

步骤9-4-8：观察先来先服务源地址认证数据库；

步骤9-4-9：恢复步骤二中对先来先服务设备的前缀配置；

步骤9-4-10：测试设备(201)使用源地址为3ffe:501:ffff:100::10发送一个数据分组给测试设备(202)；

步骤9-4-11：观察先来先服务源地址认证数据库；

步骤9-4-12：等待5秒，测试设备(201)发送一个带有同一个源地址的数据分组但不同于步骤2中的2层信息；

步骤9-4-13：观察测试设备(201)收到的分组；

步骤9-4-14：等待5秒；

步骤9-4-15：观察测试设备(202)收到的分组；

步骤9-4-16：观察先来先服务源地址认证数据库。

10.根据权利要求1所述的一种IPv6源地址认证测试方法，其特征在于，所述对先来先服务设备的控制报文过滤测试，包括以下步骤：

步骤10-1：进行IPv6邻居发现协议分组创建一个表项的处理测试，包括以下步骤：

步骤10-1-1：恢复步骤二中对先来先服务设备的前缀配置；

步骤10-1-2：测试设备(201)发送了一个源地址为3ffe:501:ffff:100::10的冲突地址检测的网络请求消息；

步骤10-1-3：观察先来先服务源地址认证数据库；

步骤10-1-4：等待5秒；

步骤10-1-5：观察先来先服务源地址认证数据库；

步骤10-1-6：恢复步骤二中对先来先服务设备的前缀配置；

步骤10-1-7：测试设备(201)发送了一个源地址为3ffe:501:ffff:100::10的冲突地址检测的网络请求消息；

步骤10-1-8：观察先来先服务源地址认证数据库；

步骤10-1-9：测试设备(202)发送一个包含3ffe:501:ffff:100::10地址的网络通告消息；

步骤10-1-10：观察先来先服务源地址认证数据库；

步骤10-2：进行拥有表项的IPv6邻居发现协议的处理测试，包括以下步骤：

步骤10-2-1：恢复步骤二中对先来先服务设备的前缀配置；

步骤10-2-2：测试设备(201)发送了一个源地址为3ffe:501:ffff:100::10的冲突地址检测的网络请求消息；

步骤10-2-3：等待5秒，观察先来先服务源地址认证数据库；

步骤10-2-4：测试设备(201)向步骤10-2-2中地址发送一个冲突地址检测的网络请求消息；

步骤10-2-5：观察测试设备(202)收到的分组；

步骤10-2-6：观察先来先服务源地址认证数据库。

本发明提供了一种IPv6源地址认证测试的方法，通过安装在服务器端的测试脚本软件，对支持IPv6源地址认证的设备进行一致性测试及维护测试。

附图说明

图1：IPv6源地址认证测试方法流程图；

图2：IPv6源地址认证测试系统拓扑图。

具体实施方式

下面结合附图，对优选实施例作详细说明。应该强调的是，下述说明仅仅是示例性的，而不是为了限制本发明的范围及其应用。

对分组侦听设备进行DHCPv6侦听测试，其中，

步骤4-1，进行控制分组侦听设备DHCPv6侦听测试，观察到测试结果如下：

步骤4-1-3中，带有DHCPv6_START状态信息请求的IP地址产生的一个新的表项是在绑定表里产生，该表项的生存时间设置为MAX_DHCP_RESPONSE_TIME.＝10秒，请求分组的源地址也记录在该表项中；

步骤4-1-5中，没有收到响应应答分组；

步骤4-1-8中，带有DHCPv6_START状态信息请求的IP地址产生的一个新的表项是在绑定表里产生，该表项的生存时间为MAX_DHCP_RESPONSE_TIME＝10秒，请求分组的源地址也记录在该表项中；

步骤4-1-11中，请求IP地址表项的生存时间被再次设置成10秒；

步骤4-1-14中，带有DHCPv6_START状态信息请求的IP地址产生的一个新的表项是在绑定表里产生，该表项的生存时间设置为MAX_DHCP_RESPONSE_TIME.＝10秒，请求分组的源地址也记录在该表项中；

步骤4-1-16中，表项在绑定状态表中清除。

步骤4-2，进行带有DHCPv6确认消息的DHCPv6_START状态测试，观察到测试结果如下：

步骤4-2-3中，带有DHCPv6_START状态信息请求的IP地址产生的一个新的表项是在绑定表里产生，这个表项的生存时间被设置为MAX_DHCP_RESPONSE_TIME＝10s，确认分组的源地址也被记录在表项中；

步骤4-2-5中，没有收到响应回复的分组；

步骤4-2-8中，带有DHCPv6_START状态信息请求的IP地址产生的一个新的表项是在绑定表里产生，表项的生存时间被设置为MAX_DHCP_RESPONSE_TIME＝10s，确认分组的源地址也被记录在表项中；

步骤4-2-10中，请求IP地址表项的生存时间被再次设置成10秒；

步骤4-2-13中，带有DHCPv6_START状态信息请求的IP地址产生的一个新的表项是在绑定表里产生，该表项的生存时间设置为MAX_DHCP_RESPONSE_TIME.＝10秒，请求分组的源地址也记录在该表项中；

步骤4-2-15中，表项在绑定状态表中清除。

步骤4-3，进行带有DHCPv6回复消息的DHCPv6_LIVE状态测试，观察到测试结果如下：

步骤4-3-3中，带有DHCPv6_START状态信息请求的IP地址产生的一个新的表项是在绑定表里产生，该表项的生存时间设置为MAX_DHCP_RESPONSE_TIME.＝10秒，请求分组的源地址也记录在该表项中；

步骤4-3-5中，表项的状态被设置为DHCPv6_LIVE，表项的生存时间被设置为MAX_DAD_PREPARE_DELAY＝1s，租用时间也将被保存在表项中；

步骤4-3-7中，没有响应请求包收到；

步骤4-3-10中，带有DHCPv6_START状态信息请求的IP地址产生的一个新的表项是在绑定表里产生，该表项的生存时间设置为MAX_DHCP_RESPONSE_TIME.＝10秒，请求分组的源地址也记录在该表项中；

步骤4-3-12中，表项的状态仍然是DHCPv6_START；

步骤4-3-14中，没有响应请求包收到；

步骤4-3-19中，表项的状态被设置为DHCPv6_LIVE，表项的生存时间被设置为MAX_DAD_PREPARE_DELAY＝1s，租用时间也将被保存在表项中；

步骤4-3-21中，表项的状态仍然是DHCPv6_START；

步骤4-3-23中，没有响应请求包收到。

步骤4-4，进行带有地址冲突检测网络请求消息的DHCPv6_DETECTION状态测试，观察到测试结果如下：

步骤4-4-4中，表项的状态被设置为DHCPv6_LIVE，表项的生存时间被设置为MAX_DAD_PREPARE_DELAY＝1s，租用时间也保存在表项中；

步骤4-4-6中，表项的状态被设置为DHCPv6_DETECTION，表项的生存时间被设置为MAX_DAD_DELAY＝1s；

步骤4-4-8中，表项的状态被设置为DHCPv6_BOUND，该表项的生存时间被设置为表项的租用时间，测试设备(201)全局地址的一个新表项被加入到过滤表中；

步骤4-4-10中，将收到响应请求分组。

步骤4-5，进行收到路由通告响应消息时删除一个表项的测试，观察到测试结果如下：

步骤4-5-4中，表项的状态被设置为DHCPv6_LIVE，表项的生存时间被设置为MAX_DAD_PREPARE_DELAY＝1s，租用时间也保存在表项中；

步骤4-5-6中，表项的状态被设置为DHCPv6_DETECTION，表项的生存时间被设置为MAX_DAD_DELAY＝1s；

步骤4-5-8中，这个地址的表项被删除；

步骤4-5-10中，没有响应请求包收到。

步骤4-6，进行收到拒收消息时删除一个表项的测试，观察到测试结果如下：

步骤4-6-4中，表项的状态被设置为DHCPv6_LIVE，表项的生存时间被设置为MAX_DAD_PREPARE_DELAY＝1s，租用时间也保存在表项中；

步骤4-6-6中，这个地址的表项被删除；

步骤4-6-8中，没有响应请求包收到。

步骤4-7，进行收到释放消息时删除一个表项的测试，观察到测试结果如下：

步骤4-7-5中，表项的状态被设置为DHCPv6_BOUND；

步骤4-7-7中，将收到响应请求分组；

步骤4-7-9中，地址表项在绑定状态表和过滤表中删除；

步骤4-7-11中，没有收到响应回复请求。

步骤4-8，进行当DHCPv6_BOUND生存期过后删除一个表项的测试，观察到测试结果如下：

步骤4-8-5中，表项的状态被设置为DHCPv6_BOUND；

步骤4-8-7中，将收到响应请求分组；

步骤4-8-9中，地址表项在绑定状态表和过滤表中删除；

步骤4-8-11中，没有收到响应回复的分组。

步骤4-9，进行链路层被中断后清除绑定测试，观察到测试结果如下：

步骤4-9-5中，表项的状态被设置为DHCPv6_BOUND，

步骤4-9-7中，地址表项在绑定状态表和过滤表中删除。

步骤4-10，进行带有DHCPv6中继更新或重绑定标识的生存时间更新测试，观察到测试结果如下：

步骤4-10-5中，表项的状态被设置为DHCPv6_BOUND，表项的生存时间设置为就像在应答消息中的租用时间一样；

步骤4-10-7中，在绑定状态表中表项的生存时间被设置为一个新的租用时间；

步骤4-10-12中，表项的状态被设置为DHCPv6_BOUND，表项的生存时间设置为就像在应答消息中的租用时间一样；

步骤4-10-14中，绑定状态表中表项的生存时间被设置为租用时间。

对分组侦听设备进行ND侦听测试，其中，

步骤5-1，进行网络请求消息生成表项的测试，观察到测试结果如下：

步骤5-1-3中，一个新的为冲突地址检测网络请求目标IP为SAC_START状态产生的表项是在绑定状态表中生成；

步骤5-1-5中，表项的状态被设为SAC_BOUND，表项的生存时间设为MAX_SAC_LIFETIME＝2h，一个相应的表项加入到过滤表中；

步骤5-1-7中，测试设备(201)收到响应请求。

步骤5-2，进行网络响应消息清除绑定测试，观察到测试结果如下：

步骤5-2-3中，一个新的为冲突地址检测网络请求目标IP为SAC_START状态产生的表项是在绑定状态表中生成；

步骤5-2-5中，在绑定状态表和过滤表中没有发现表项；

步骤5-2-7中，没有收到响应回复的分组。

步骤5-3，更新带有SAC_BOUND状态表项的生存时间，观察到测试结果如下：

步骤5-3-4中，一个为冲突地址检测的网络请求目标地址为SAC_BOUND状态的表项可以再绑定状态表里面找到，该表项的生存时间被加入到过滤表中，相应的表项被加入到过滤表中；

步骤5-3-6中，当表项的生存时间被设备MAX_DAD PREPARE_DELAY＝1s时，一个为该地址发送网络请求分组从204发出；

步骤5-3-8中，这个表项的生存时间被再次设置为：MAX_SAC_LIFETIME＝2h；

步骤5-3-10中，收到响应回复的分组。

步骤5-4，删除带有SAC_BOUND状态的表项，观察到测试结果如下：

步骤5-4-4中，一个为冲突地址检测的网络请求目标地址为SAC_BOUND状态的表项可以再绑定状态表里面找到，该表项的生存时间被加入到过滤表中，相应的表项被加入到过滤表中；

步骤5-4-6中，当这个表项的生存时间被设置为MAX_DAD_PREPARE_DELAY＝1s时，为该地址发送一个网络请求消息。

步骤5-5，进行SAC_BOUND状态到SAC_QUERY状态的测试，观察到测试结果如下：

步骤5-5-4中，一个为冲突地址检测的网络请求目标地址为SAC_BOUND状态的表项可以再绑定状态表里面找到，该表项的生存时间被加入到过滤表中，相应的表项被加入到过滤表中；

步骤5-5-6中，目标IP表项的状态设置为SAC_QUERY，表项的生存时间被设置为MAX_DAD_PREPARE_DELAY＝1s，在过滤表中没有改变；

步骤5-5-8中，在绑定状态表和过滤表中没有相关表项；

步骤5-5-10中，没有相应回复分组收到。

步骤5-6，继续进行SAC_BOUND状态到SAC_QUERY状态的测试，观察到测试结果如下：

步骤5-6-4中，一个为冲突地址检测的网络请求目标地址为SAC_BOUND状态的表项可以再绑定状态表里面找到，该表项的生存时间被加入到过滤表中，相应的表项被加入到过滤表中；

步骤5-6-6中，目标IP表项的状态设置为SAC_QUERY，表项的生存时间被设置为MAX_DAD_PREPARE_DELAY＝1s，在过滤表中没有改变；

步骤5-6-8中，表项的状态被设置为SAC_BOUND，并且这个表项的生存时间被设置为MAX_SAC_LIFETIME＝2h；

步骤5-6-10中，响应回复分组被接收。

对分组侦听设备进行手动绑定测试，其中，

步骤6-1，进行静态地址的手工绑定，观察到测试结果如下：

步骤6-1-3中，一个为具有STATIC状态的地址建立的表项是在绑定状态表里，这个表项的生存时间被设置为无限。

步骤6-2，进行无限生存时间的静态地址的手工绑定，观察到测试结果如下：

步骤6-2-3中，一个为具有STATIC状态的地址建立的表项是在绑定状态表里。这个表项的生存时间被设置为无限；

步骤6-2-5中，表项的状态被设为SAC_BOUND，表项的生存时间设为MAX_SAC_LIFETIME＝2h，一个相应的表项加入到过滤表中。

对先来先服务设备进行数据机构测试，其中，

步骤8-1，对先来先服务的源地址认证数据库结构测试，观察到测试结果如下：

步骤8-1-3中，一个新的为冲突地址检测网络请求目标IP为SAC_START状态产生的表项在绑定状态表中生成；包括：IP源地址：3ffe:501:ffff:100::10，第二层信息，生存周期，状态：有效的，创建时间：当入口表首先被创建时使用本地时钟值。

步骤8-2，进行先来先服务的源地址认证前缀列表测试，观察到测试结果如下：

步骤8-2-3中，前缀列表包含下列记录：前缀：2000::/32，直接链接到201的接口。

步骤8-3，进行先来先服务的源地址认证路由器列表结构测试，观察到测试结果如下：

步骤8-3-3中，路由器列表包含如下内容：路由器IP地址，路由器第二层信息。

对先来先服务设备进行数据报文过滤测试，其中，

步骤9-1，进行传输流量处理测试，观察到测试结果如下：

步骤9-1-3中，没有收到带有3ffe:501:ffff:200::10的分组。

步骤9-2，进行从路由器接口传输流量处理测试，观察到测试结果如下：

步骤9-2-3中，测试设备(201)发送的分组被测试设备(202)收到。

步骤9-3，进行一般数据分组处理测试，观察到测试结果如下：

步骤9-3-3中，测试设备(201)发送的分组被测试设备(202)收到；

步骤9-3-4中，一个新的表项为分组的源地址创建，使用数据分组的信息，包括所有的相关在分组在生存期内的表项被收到第2层信息被设置为LIFETIME，状态设为有效；

步骤9-3-7中，测试设备(201)发送的分组被测试设备(202)收到；

步骤9-3-8中，一个新的表项为分组的源地址创建，使用数据分组的信息，包括所有的相关在分组在生存期内的表项被收到第2层信息被设置为LIFETIME，状态设为有效；

步骤9-3-10中，测试设备(201)发送的分组被测试设备(202)收到；

步骤9-3-11中，源地址的入口仍然在数据库中，表项的生存时间被设置为LIFETIME，状态设为有效。

步骤9-4，进行处理冲突的二层信息分组测试，观察到测试结果如下：

步骤9-4-3中，一个分组的源地址表项(3ffe:501:ffff:100::10)将产生使用分组信息，包括所有的分组收到的相关2层信息来源和表项生存期也在LIFETIME中设定，状态设为有效；

步骤9-4-5中，一个冲突地址检测的网络请求消息使用目标地址为3ffe:501:ffff:100::10被接收到，它使用在先来先服务的源地址认证的数据库表项中可用的第二层相关信息；

步骤9-4-7中，测试设备(201)发送的分组在步骤中表述不应收到；

步骤9-4-8中，源地址(3ffe:501:ffff:100::10)表项仍被设为有效并且生存时间更新为LIFETIME；

步骤9-4-11中，一个分组的源地址表项(3ffe:501:ffff:100::10)将产生使用分组信息，包括所有的分组收到的相关2层信息来源和表项生存期也在LIFETIME中设定，状态设为有效。

步骤9-4-13中，一个冲突地址检测的网络请求消息使用目标地址为3ffe:501:ffff:100::10被接收到，它使用在先来先服务的源地址认证的数据库表项中可用的第二层相关信息；

步骤9-4-15中，步骤9-4-2中描述的测试设备(201)发送的分组接收到；

步骤9-4-16中，为源地址(3ffe:501:ffff:100::10)建立的表项将被修改为包含在步骤9-4-15中收到的分组的新信息，生存时间更新为LIFETIME。

对先来先服务设备进行控制报文过滤测试，其中，

步骤10-1，进行IPv6邻居发现协议分组创建一个表项的处理测试，观察到测试结果如下：

步骤10-1-3中，一个分组的源地址表项(3ffe:501:ffff:100::10)将产生使用分组信息，包括所有的分组收到的相关2层信息来源和表项生存期也在LIFETIME中设定，状态设为临时的；

步骤10-1-5中，表项状态设置为有效的，生存时间设置为LIFETIME；

步骤10-1-8中，一个分组的源地址表项(3ffe:501:ffff:100::10)将产生使用分组信息，包括所有的分组收到的相关2层信息来源和表项生存期也在LIFETIME中设定，状态设为临时的。

步骤10-1-10中，3ffe:501:ffff:100::10产生的表项在数据库中被删除。

步骤10-2，进行拥有表项的IPv6邻居发现协议的处理测试，观察到测试结果如下：

步骤10-2-3中，一个目标地址(3ffe:501:ffff:100::10)的表项被建立，包含分组相关的2层信息，状态被设置为有效，并且生存时间被设置为无限；

步骤10-2-5中，测试设备(202)收到了网络请求分组；

步骤10-2-6中，3ffe:501:ffff:100::10的表项向在步骤10-2-3中观察的一样被保留。

收集分析报文输出WEB格式测试结果，如表1所示，包括编号、项目、结果、日字脚本、抓包项目。

表1：测试结果