一种基于存活时间的报文安全检查方法及系统技术方案

本发明专利技术公开了一种基于存活时间的报文安全检查方法及系统，涉及数据通信技术领域，本发明专利技术提出一种基于存活时间的报文安全检查方法及系统，通过获取用户输入的合法跳数值，将合法的跳数转换成TTL范围，再根据TTL范围计算出对应的ACL的规则的掩码，对本机收到的报文进行ACL的规则检查，合法报文上送，非法报文被直接丢弃，从而准确判断报文是否是合法对端邻居生成，保护基于IP的单播路由协议受到攻击而消耗资源，保护CPU资源。

A message security checking method and system based on survival time

The invention discloses a message security check method and system based on the survival time, which relates to the field of data communication technology. The invention provides a message security check method and system based on the survival time. By acquiring the legitimate hop value input by the user, the legitimate hop number is converted into the TTL range, and then is counted according to the TTL range. The corresponding ACL rules mask is calculated to check the ACL rules received by the host. The legitimate packets are uploaded and the illegal packets are discarded directly, so as to accurately judge whether the packets are generated by the legitimate peer-to-peer neighbors, protect the IP-based unicast routing protocol from being attacked and consume resources, and protect the CPU resources.

【技术实现步骤摘要】
一种基于存活时间的报文安全检查方法及系统
本专利技术涉及数据通信
，具体涉及一种基于存活时间的报文安全检查方法及系统。
技术介绍
存活时间(TTL，TimeToLive)，是IP数据包在计算机网络中可以转发的最大跳数，由IP数据包的发送者设置。当对网络上的主机进行ping操作的时候，本地机器会发出一个数据包，数据包经过一定数量的路由器传送到目的主机，但是由于很多的原因，一些数据包不能正常传送到目的主机，那如果不给这些数据包一个生存时间的话，这些数据包会一直在网络上传送，导致网络开销的增大。当数据包传送到一个路由器之后，TTL就自动减1，如果减到0了还是没有传送到目的主机，那么就自动丢失。GTSM(GeneralizedTTLSecurityMechanism)检测机制，通过TTL检测来达到防止CPU受到CPU利用率类型攻击的目的。GTSM检查IPV4报文的TTL字段，判断报文是否是合法对端邻居生成，从而保护基于IP的单播路由协议受到攻击而消耗资源。当攻击者模拟真实的路由协议，对一台设备不断进行攻击，会导致设备因处理这些攻击报文而耗费大量CPU资源，使正常协议报文得不到处理。因此本文档来自技高网...

【技术保护点】
1.一种基于存活时间的报文安全检查方法，其特征在于，包括以下步骤：获取用户设置的合法的跳数，将所述合法的跳数转换成存活时间TTL范围；根据所述TTL范围计算出对应的访问控制列表ACL的规则的掩码；当设备收到相邻设备发送的报文时，根据ACL的规则的掩码判断报文是否符合所述ACL的规则，若符合，判断为合法报文，允许报文上送；若不符合，判断为非合法报文，将该报文丢弃。

【技术特征摘要】
1.一种基于存活时间的报文安全检查方法，其特征在于，包括以下步骤：获取用户设置的合法的跳数，将所述合法的跳数转换成存活时间TTL范围；根据所述TTL范围计算出对应的访问控制列表ACL的规则的掩码；当设备收到相邻设备发送的报文时，根据ACL的规则的掩码判断报文是否符合所述ACL的规则，若符合，判断为合法报文，允许报文上送；若不符合，判断为非合法报文，将该报文丢弃。2.如权利要求1所述的一种基于存活时间的报文安全检查方法，其特征在于：所述合法的跳数为hops，所述TTL范围为(255-hops～255]。3.如权利要求1所述的一种基于存活时间的报文安全检查方法，其特征在于：根据ACL的规则的掩码判断报文是否符合所述ACL的规则的过程包括：将收到的报文中的TTL值与计算出的掩码进行按位与操作，若得到掩码本身，则判断为符合所述ACL的规则，否则判断为不符合所述ACL的规则。4.如权利要求1所述的一种基于存活时间的报文安全检查方法，其特征在于：根据TTL范围计算出对应的访问控制列表ACL的规则的掩码的过程包括：S31，设TTL范围的最小值为ttl_min；将ttl_min转换成二进制数；S32，从所述二进制数的非0最高位开始向低位查找，找到第一个为0的索引作为当前索引，将从最高位开始直到当前索引的高一位的值保持不变，将当前索引对应位的值设置为1，将当前索引的低一位至最低位的值都设置为0，组成一个掩码；S33，从该当前索引继续向低位查找，找到第一个为0的索引作为当前索引，将从最高位开始直到当前索引的高一位的值保持不变，将当前索引对应位的值设置为1，将当前索引的低一位至最低位的值都设置为0，组成一个掩码；S34，重复步骤S33直至查找至所述二进制数的最低位，判断该最低位的值是否为0，若是，将从最高位开始直到当前索引的高一位的值保持不变，将当前索引对应位的值设置为1，组成一个掩码；若否，结束查找。5.如权利要求4所述的一种基于存活时间的报文安全检查方法，其特征在于：根据TTL范围计算出对应的访问控制列表ACL的规则的掩码的最大数量为8。6.一种基于存活时间的报文安全检查系统，其特征在于，包...

【专利技术属性】
技术研发人员：林杨宝，张波，
申请(专利权)人：烽火通信科技股份有限公司，
类型：发明
国别省市：湖北,42