本发明专利技术实施例提供一种基于边界接口等价类的域内源地址验证方法及装置,该方法包括:根据边界路由器转发表生成子网入接口的ACL验证表,转发表中目的地址和下一跳接口分别为ACL验证表中源地址和入接口;边界路由器若接收到来自其他路由器的边界接口信息报文,则回复本地的边界接口信息,每个边界路由器利用收到的边界接口信息在本地分布式的生成边界接口等价类;边界路由器将本地的ACL验证表发送给接口等价类的其他接口;边界路由器将接收到的ACL验证表中的入接口更换为本地接口后,生成本地子网入接口的ACL验证表,用于源地址验证。该方法有效避免假阳性判断,支持一般化网络拓扑,支持任意路由架构,ACL验证表能够自适应更新。
A method and device for verifying domain internal address based on boundary interface equivalence class
【技术实现步骤摘要】
基于边界接口等价类的域内源地址验证方法及装置
本专利技术涉及网络安全
,尤其涉及一种基于边界接口等价类的域内源地址验证方法及装置。
技术介绍
域内真实源地址验证技术位于接入网真实源地址验证技术和域间真实源地址验证技术之间,在自治域内对流量进行子网IP前缀粒度级别的真实源地址验证,保护真实地址子网免于被非真实地址子网攻击。目前的源地址验证方法,是在路由器上基于本地的路由信息即转发表来生成过滤表,将源地址不符合过滤表的流量丢弃。但在子网多宿主为代表的复杂网络场景下,子网与自治域存在多个接口,这将带来验证假阳性(即误丢弃合法的流量),导致合法用户无法正常上网。
技术实现思路
为了解决上述问题,本专利技术实施例提供一种基于边界接口等价类的域内源地址验证方法及装置。第一方面,本专利技术实施例提供一种基于边界接口等价类的域内源地址验证方法,包括:根据边界路由器转发表生成子网入接口的ACL(AccessControlLists,访问控制列表)验证表,转发表中目的地址和下一跳接口分别为ACL验证表中源地址和入接口;边界路由器若接收到来自其他路由器的边界接口信息报文,则回复本地的边界接口信息,每个边界路由器利用收到的边界接口信息在本地分布式的生成边界接口等价类;边界路由器将本地的ACL验证表发送给接口等价类的其他接口;边界路由器将接收到的ACL验证表中的入接口更换为本地接口后,生成本地子网入接口的ACL验证表,用于源地址验证;其中,所述接口等价类为连接到同一子网的所有边界路由器的接口。进一步地,所述方法还包括:每一边界路由器根据预设周期,向子网其它边界接口发送边界接口信息报文。进一步地,所述向子网其它边界接口发送边界接口信息报文,包括:通过邻居发现协议中的路由器通告报文,向子网中的其它边界接口发送边界接口信息。进一步地,每一边界路由器只对从子网流入域内的流量进行检测,对其他类型的流量不作检测,中间路由器对任意流量都不作检测。进一步地,边界路由器将本地的ACL验证表发送给接口等价类的其他接口之前,还包括:验证本地边界接口的ACL验证表是否非空。第二方面,本专利技术实施例提供一种基于边界接口等价类的域内源地址验证装置,包括:ACL验证表生成模块,用于根据转发表生成ACL验证表,转发表中目的地址和下一跳接口分别为ACL验证表中源地址和入接口;处理模块,用于若接收到来自其他路由器的边界接口信息报文,则回复本地的边界接口信息,每个边界路由器利用收到的边界接口信息在本地分布式的生成边界接口等价类;所述边界接口信息包括边界接口的地址;发送模块,用于将本地的ACL验证表发送给接口等价类的其他接口;ACL验证表更新模块,用于将接收到的ACL验证表中的入接口更换为本地接口后,生成本地子网入接口的ACL验证表,用于源地址验证;其中,所述接口等价类为连接到同一子网的所有边界路由器的接口。进一步地,所述发送模块还用于:根据预设周期,向子网其它边界接口发送边界接口信息报文。进一步地,所述发送模块具体用于:通过邻居发现协议中的路由器通告报文,向子网中的其它边界接口发送边界接口信息。第三方面,本专利技术实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现本专利技术第一方面基于边界接口等价类的域内源地址验证方法的步骤。第四方面,本专利技术实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现本专利技术第一方面基于边界接口等价类的域内源地址验证方法的步骤。本专利技术实施例提供的基于边界接口等价类的域内源地址验证方法及装置,边界路由器将接收到的ACL验证表中的入接口更换为本地接口后,生成本地子网入接口的ACL验证表,有效利用了连接到同一子网的等价类接口。在检测出域内子网伪造不存在源地址或假冒其他网络源地址的网络攻击行为的同时,还具有不存在假阳性判断,支持一般化网络拓扑,支持任意路由架构,边界路由器源地址验证表自适应更新的特点。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为子网多宿主场景下的假阳性判断情况示意图;图2为本专利技术实施例提供的基于边界接口等价类的域内源地址验证方法流程图;图3为本专利技术实施例提供的基于边界接口等价类的域内源地址验证方法应用场景图;图4为本专利技术实施例提供的基于边界接口等价类的域内源地址验证装置结构图;图5为本专利技术实施例提供的一种电子设备的实体结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。图1为子网多宿主场景下的假阳性判断情况示意图,如图1所示:子网1和边界路由器A的接口1相连同时也和边界路由器B的接口2相连。在路由策略下,路由器B按照转发表将目的地址为子网1的流量转发到接口4而不是接口2,所以基于路由器B本地转发表生成的过滤表会把子网1从接口2进入路由器B的合法流量全部过滤。本专利技术的目的在于通过建立边界接口等价类,消除在任意网络场景、任意域内路由架构下的域内源地址验证假阳性判断。为解决这一问题,本专利技术实施例提供一种基于边界接口等价类的域内源地址验证方法,通过相应的路由器或具备路由功能的其它设备作为执行主体实现。图2为本专利技术实施例提供的基于边界接口等价类的域内源地址验证方法流程图,如图2所示,该方法包括:201、根据边界路由器转发表生成子网入接口的ACL验证表,转发表中目的地址和下一跳接口分别为ACL验证表中源地址和入接口。如图1所示。每个域内边界路由器根据本地转发表,在边界接口上生成源地址验证的ACL表。源地址验证ACL表的表项由两部分组成,分别是入接口和源地址。入接口即连接子网的边界接口,源地址是转发表中下一跳为该边界接口的目的地址。目前的方法是,根据类似本专利技术实施例中的ACL表,对进入接口的流量进行验证。202、边界路由器若接收到来自其他路由器的边界接口信息报文,则回复本地的边界接口信息,每个边界路由器利用收到的边界接口信息在本地分布式的生成边界接口等价类;所述边界接口信息包括边界接口的地址。在202中,考虑到仅使用本地转发表的局限性,本实施例提出了边界接口等价类的概念:接口等价类是多个边界路由器接口的集合,这些接口属于相同或者不同的路由器,但是都连接同一个子网,即连接这个子网的所有边界接口。本地接口和其它边界路由器的接口之间,互相发送边界接口信息报文,以获取对方的本文档来自技高网...
【技术保护点】
1.一种基于边界接口等价类的域内源地址验证方法,其特征在于,包括:/n根据边界路由器转发表生成子网入接口的ACL验证表,转发表中目的地址和下一跳接口分别为ACL验证表中源地址和入接口;/n边界路由器若接收到来自其他路由器的边界接口信息报文,则回复本地的边界接口信息,每个边界路由器利用收到的边界接口信息在本地分布式的生成边界接口等价类;/n边界路由器将本地的ACL验证表发送给接口等价类的其他接口;/n边界路由器将接收到的ACL验证表中的入接口更换为本地接口后,生成本地子网入接口的ACL验证表,用于源地址验证;/n其中,所述接口等价类为连接到同一子网的所有边界路由器的接口。/n
【技术特征摘要】
1.一种基于边界接口等价类的域内源地址验证方法,其特征在于,包括:
根据边界路由器转发表生成子网入接口的ACL验证表,转发表中目的地址和下一跳接口分别为ACL验证表中源地址和入接口;
边界路由器若接收到来自其他路由器的边界接口信息报文,则回复本地的边界接口信息,每个边界路由器利用收到的边界接口信息在本地分布式的生成边界接口等价类;
边界路由器将本地的ACL验证表发送给接口等价类的其他接口;
边界路由器将接收到的ACL验证表中的入接口更换为本地接口后,生成本地子网入接口的ACL验证表,用于源地址验证;
其中,所述接口等价类为连接到同一子网的所有边界路由器的接口。
2.根据权利要求1所述的基于边界接口等价类的域内源地址验证方法,其特征在于,所述方法还包括:
每一边界路由器根据预设周期,向子网其它边界接口发送边界接口信息报文。
3.根据权利要求2所述的基于边界接口等价类的域内源地址验证方法,其特征在于,所述向子网其它边界接口发送边界接口信息报文,包括:
通过邻居发现协议中的路由器通告报文,向子网中的其它边界接口发送边界接口信息。
4.根据权利要求1所述的基于边界接口等价类的域内源地址验证方法,其特征在于,每一边界路由器只对从子网流入域内的流量进行检测,对其他类型的流量不作检测,中间路由器对任意流量都不作检测。
5.根据权利要求1所述的基于边界接口等价类的域内源地址验证方法,其特征在于,边界路由器将本地的ACL验证表发送给接口等价类的其他接口之前,还包括:
验证本地边界接口的ACL验证表是否非空。
【专利技术属性】
技术研发人员:李丹,秦澜城,
申请(专利权)人:清华大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。