本发明专利技术涉及一种基于SRv6的域间源地址验证的方法,其特征在于包括以下步骤:1)在网络中每个受信任的AS域以及主干网中预设的所有源地址验证节点使能SRv6,并确定各AS域以及主干网之间进行通信时,用于进行源地址验证的SRH扩展头的相关信息;2)受信任的AS域在需要保护的数据包的IPv6报头中添加SRH扩展头后,将其转发至主干网,由主干网中的源地址验证节点进行源地址验证服务。本发明专利技术通过SRv6技术将需要验证的报文引入能提供验证服务的节点,能够解决域间源地址伪造问题,而不改变现有网络结构。因此,可以广泛应用于互联网技术领域。
【技术实现步骤摘要】
一种基于SRv6的域间源地址验证的方法
本专利技术属于互联网
,涉及SRv6和域间源地址验证技术,特别是关于一种基于SRv6的域间源地址验证的方法。
技术介绍
接入子网源地址验证(SAVI)通过制定交换机监听策略标准获取主机授权的合法IP,并以此为基础验证主机报文源IP与其分配所获取的IP地址的一致性,从而实现主机粒度的源地址验证。然而基于SAVI实现对伪造源地址攻击的防御依赖于SAVI的全局部署。当采用SAVI部分部署时,会存在以下问题:如图1所示,现有基于SRv6的域间源地址验证方案中,自治域AS1、AS3和AS4都部署了SAVI,即AS1、AS3和AS4发出的流量的源地址都是真实的,但是如果它们之间的流量经过没有部署SAVI的不可信任区域AS2时,可能造成针对AS3的两种攻击。一是针对AS3的Flooding攻击:攻击者AS2将攻击目标AS3的IP地址作为目的地址,用任意IP例如AS1的IP地址作为源地址。则对于AS3而言,攻击者AS2能够隐藏自己。二是针对AS3的反射攻击:攻击者AS2将攻击目标AS3的IP地址作为源地址,将攻击反射节点例如AS4的IP地址作为目的地址。同样地,对于AS3而言,攻击者AS2能够隐藏自己,并且放大攻击规模。此外,AS3也无法判断经过不可信AS2的报文是否被篡改过。
技术实现思路
针对上述问题,本专利技术的目的是提供一种基于SRv6的域间源地址验证的方法,解决了域间IP源地址伪造的问题。为实现上述目的,本专利技术采取以下技术方案:一种基于SRv6的域间源地址验证的方法,其包括以下步骤:1)在网络中每个受信任的AS域以及主干网中预设的所有源地址验证节点使能SRv6,并确定各AS域以及主干网之间进行通信时,用于进行源地址验证的SRH扩展头的相关信息,包括SRH扩展头中验证码的加密算法、需要防篡改的关键字段的选择以及验证码的位数;2)受信任的AS域在需要进行源地址验证的数据包的IPv6报头中添加SRH扩展头后,将其转发至主干网,由主干网中的源地址验证节点进行源地址验证服务。进一步地,所述步骤1)中,在网络中每个受信任的AS域以及主干网中预设的所有源地址验证节点使能SRv6,并确定各AS域以及主干网之间进行通信时,用于进行源地址验证的SRH扩展头的相关信息的方法,包括以下步骤:1.1)根据实际需要将主干网中的部分节点设为源地址验证节点;1.2)在主干网的所有源地址验证节点以及每个受信任的AS域的边界路由器中使能SRv6;1.3)主干网为网络中所有受信任的AS域分发密钥,其中,分发给各AS域的密钥只有各AS域自身和主干网中所有的源地址验证节点共享。进一步地,所述步骤1.2)中,在主干网的所有源地址验证节点以及每个受信任的AS域的边界路由器中使能SRv6的方法,包括以下步骤:1.2.1)在各受信任的AS域的边界路由器节点和主干网的源地址验证节点使能SRv6,令所有使能SRv6的节点都维护一个本地SID表,该本地SID表包含所有在本节点生成的SRv6SID信息;1.2.2)在主干网的源地址验证节点的本地SID表中额外定义一个本地END.VASID,表示源地址验证的EndpointSID,该EndpointSID用于对源地址以及关键字段进行验证,且End.VASID通过IGP协议扩散到其他网元,全局可见,本地有效。进一步地,所述步骤2)中,受信任的AS域为需要进行源地址验证的数据包添加SRH扩展头后将其转发至主干网,由主干网中的源地址验证节点进行源地址验证服务的方法,包括以下步骤:2.1)受信任的AS域为需要进行源地址验证的数据包添加SRH扩展头,并将添加SRH扩展头后的数据包逐次转发直至到达主干网;2.2)主干网通过SRv6技术引导需要源地址验证的数据包进入源地址验证节点进行源地址验证服务,并更新该数据包的SRH扩展头后继续转发至目标AS域。进一步地,所述步骤2.1)中,受信任的AS域为需要进行源地址验证的数据包添加SRH扩展头的方法,包括以下步骤:2.1.1)受信任的AS域的边界路由器基于预设的加密算法和源地址验证节点分发的密钥生成验证码Code;2.1.2)受信任的AS域的边界路由器选择离自己最近的主干网上的源地址验证节点作为目标源地址验证服务节点;2.1.3)基于生成的验证码Code以及确定的目标源地址验证服务节点,边界路由器为需要保护的数据包添加SRH扩展头信息。进一步地,所述步骤2.2)中,主干网通过SRv6技术引导需要源地址验证的数据包进入源地址验证节点进行源地址验证服务,并更新该数据包的SRH扩展头后继续转发至目标AS域的方法,包括以下步骤:2.2.1)基于数据包的IPv6报文中所包含的源IP地址信息,主干网判断该数据包是否需要进行源地址验证服务,若需要,则进入步骤2.2.2),否则按照正常的转发流程转发该数据包;2.2.2)根据数据包的IPv6报文中SRH扩展头的相关信息,将该数据包引导至相应的源地址验证节点,由该源地址验证节点进行验证,验证通过则进入步骤2.2.3),否则,过滤掉该报文;2.2.3)对该数据包的SRH扩展头进行更新后,转发至目标AS域。进一步地,所述步骤2.2.1)中,主干网判断该数据包是否需要进行源地址验证服务的方法为:检查数据包的源IP地址是否为受信任的AS域,如果是,则对接收到的数据包的IPv6报文进行验证,如果该IPv6报文携带引导至源地址验证节点的SRH扩展头,则进入步骤2.2.2),否则过滤掉该报文;如果该数据包的源IP地址不是受信任的AS域,则按照正常的转发流程转发数据包。进一步地,所述步骤2.2.2)中,源地址验证节点对数据包进行验证的方法为:首先,根据该数据包的IPv6报文中的DA信息查询LocalSID表,并判断其是否需要进行源地址验证服务,如果需要,则进行验证,否则过滤掉该报文;然后,根据源地址所在AS域对应的密钥、加密算法对源地址和关键字段进行加密,将加密后的结果与数据包的SRH扩展头中的验证码Code字段进行对比,如果相同则验证通过,否则过滤掉该报文。本专利技术由于采取以上技术方案,其具有以下优点:本专利技术首次将SRv6技术引入到域间源地址验证中,设计了基于SRv6的域间源地址验证方案。通过在SRv6报头中携带可验证Code,验证Code使用主机的密钥对源地址以及关键字段进行加密生成,存放在SRH中的扩展字段。通过SRv6技术将需要验证的报文引入能提供验证服务的节点,能够解决域间源地址伪造问题,而不改变现有网络结构。附图说明图1是现有基于SRv6的域间源地址验证方案;图2是携带SRH扩展头的IPv6报文结构;图3是本专利技术基于SRv6的域间源地址验证方法示意图。具体实施方式下面结合附图和实施例对本专利技术进行详细的描述。如图2所示,SRv6是一种新的网络转发技术,其通过结合IPv6与本文档来自技高网...
【技术保护点】
1.一种基于SRv6的域间源地址验证的方法,其特征在于包括以下步骤:/n1)在网络中每个受信任的AS域以及主干网中预设的所有源地址验证节点使能SRv6,并确定各AS域以及主干网之间进行通信时,用于进行源地址验证的SRH扩展头的相关信息,包括SRH扩展头中验证码的加密算法、需要防篡改的关键字段的选择以及验证码的位数;/n2)受信任的AS域在需要进行源地址验证的数据包的IPv6报头中添加SRH扩展头后,将其转发至主干网,由主干网中的源地址验证节点进行源地址验证服务。/n
【技术特征摘要】
1.一种基于SRv6的域间源地址验证的方法,其特征在于包括以下步骤:
1)在网络中每个受信任的AS域以及主干网中预设的所有源地址验证节点使能SRv6,并确定各AS域以及主干网之间进行通信时,用于进行源地址验证的SRH扩展头的相关信息,包括SRH扩展头中验证码的加密算法、需要防篡改的关键字段的选择以及验证码的位数;
2)受信任的AS域在需要进行源地址验证的数据包的IPv6报头中添加SRH扩展头后,将其转发至主干网,由主干网中的源地址验证节点进行源地址验证服务。
2.如权利要求1所述的一种基于SRv6的域间源地址验证的方法,其特征在于:所述步骤1)中,在网络中每个受信任的AS域以及主干网中预设的所有源地址验证节点使能SRv6,并确定各AS域以及主干网之间进行通信时,用于进行源地址验证的SRH扩展头的相关信息的方法,包括以下步骤:
1.1)根据实际需要将主干网中的部分节点设为源地址验证节点;
1.2)在主干网的所有源地址验证节点以及每个受信任的AS域的边界路由器中使能SRv6;
1.3)主干网为网络中所有受信任的AS域分发密钥,其中,分发给各AS域的密钥只有各AS域自身和主干网中所有的源地址验证节点共享。
3.如权利要求2所述的一种基于SRv6的域间源地址验证的方法,其特征在于:所述步骤1.2)中,在主干网的所有源地址验证节点以及每个受信任的AS域的边界路由器中使能SRv6的方法,包括以下步骤:
1.2.1)在各受信任的AS域的边界路由器节点和主干网的源地址验证节点使能SRv6,令所有使能SRv6的节点都维护一个本地SID表,该本地SID表包含所有在本节点生成的SRv6SID信息;
1.2.2)在主干网的源地址验证节点的本地SID表中额外定义一个本地END.VASID,表示源地址验证的EndpointSID,该EndpointSID用于对源地址以及关键字段进行验证,且End.VASID通过IGP协议扩散到其他网元,全局可见,本地有效。
4.如权利要求1所述的一种基于SRv6的域间源地址验证的方法,其特征在于:所述步骤2)中,受信任的AS域为需要进行源地址验证的数据包添加SRH扩展头后将其转发至主干网,由主干网中的源地址验证节点进行源地址验证服务的方法,包括以下步骤:
2.1)受信任的AS域为需要进行源地址验证的数据包添加SRH扩展头,并将添加SRH扩展头后的数据包逐次转发直至到达主干网;
2.2)主干网通过SRv6技术引导需要源地址验证的数据包进入源地址验证节点进行源地址验证服务,并更新该数据包的SR...
【专利技术属性】
技术研发人员:刘莹,何林,操佳敏,
申请(专利权)人:清华大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。