【技术实现步骤摘要】
一种基于SRv6的域间源地址验证的方法
本专利技术属于互联网
,涉及SRv6和域间源地址验证技术,特别是关于一种基于SRv6的域间源地址验证的方法。
技术介绍
接入子网源地址验证(SAVI)通过制定交换机监听策略标准获取主机授权的合法IP,并以此为基础验证主机报文源IP与其分配所获取的IP地址的一致性,从而实现主机粒度的源地址验证。然而基于SAVI实现对伪造源地址攻击的防御依赖于SAVI的全局部署。当采用SAVI部分部署时,会存在以下问题:如图1所示,现有基于SRv6的域间源地址验证方案中,自治域AS1、AS3和AS4都部署了SAVI,即AS1、AS3和AS4发出的流量的源地址都是真实的,但是如果它们之间的流量经过没有部署SAVI的不可信任区域AS2时,可能造成针对AS3的两种攻击。一是针对AS3的Flooding攻击:攻击者AS2将攻击目标AS3的IP地址作为目的地址,用任意IP例如AS1的IP地址作为源地址。则对于AS3而言,攻击者AS2能够隐藏自己。二是针对AS3的反射攻击:攻击者AS2将攻击目标AS3的...
【技术保护点】
1.一种基于SRv6的域间源地址验证的方法,其特征在于包括以下步骤:/n1)在网络中每个受信任的AS域以及主干网中预设的所有源地址验证节点使能SRv6,并确定各AS域以及主干网之间进行通信时,用于进行源地址验证的SRH扩展头的相关信息,包括SRH扩展头中验证码的加密算法、需要防篡改的关键字段的选择以及验证码的位数;/n2)受信任的AS域在需要进行源地址验证的数据包的IPv6报头中添加SRH扩展头后,将其转发至主干网,由主干网中的源地址验证节点进行源地址验证服务。/n
【技术特征摘要】
1.一种基于SRv6的域间源地址验证的方法,其特征在于包括以下步骤:
1)在网络中每个受信任的AS域以及主干网中预设的所有源地址验证节点使能SRv6,并确定各AS域以及主干网之间进行通信时,用于进行源地址验证的SRH扩展头的相关信息,包括SRH扩展头中验证码的加密算法、需要防篡改的关键字段的选择以及验证码的位数;
2)受信任的AS域在需要进行源地址验证的数据包的IPv6报头中添加SRH扩展头后,将其转发至主干网,由主干网中的源地址验证节点进行源地址验证服务。
2.如权利要求1所述的一种基于SRv6的域间源地址验证的方法,其特征在于:所述步骤1)中,在网络中每个受信任的AS域以及主干网中预设的所有源地址验证节点使能SRv6,并确定各AS域以及主干网之间进行通信时,用于进行源地址验证的SRH扩展头的相关信息的方法,包括以下步骤:
1.1)根据实际需要将主干网中的部分节点设为源地址验证节点;
1.2)在主干网的所有源地址验证节点以及每个受信任的AS域的边界路由器中使能SRv6;
1.3)主干网为网络中所有受信任的AS域分发密钥,其中,分发给各AS域的密钥只有各AS域自身和主干网中所有的源地址验证节点共享。
3.如权利要求2所述的一种基于SRv6的域间源地址验证的方法,其特征在于:所述步骤1.2)中,在主干网的所有源地址验证节点以及每个受信任的AS域的边界路由器中使能SRv6的方法,包括以下步骤:
1.2.1)在各受信任的AS域的边界路由器节点和主干网的源地址验证节点使能SRv6,令所有使能SRv6的节点都维护一个本地SID表,该本地SID表包含所有在本节点生成的SRv6SID信息;
1.2.2)在主干网的源地址验证节点的本地SID表中额外定义一个本地END.VASID,表示源地址验证的EndpointSID,该EndpointSID用于对源地址以及关键字段进行验证,且End.VASID通过IGP协议扩散到其他网元,全局可见,本地有效。
4.如权利要求1所述的一种基于SRv6的域间源地址验证的方法,其特征在于:所述步骤2)中,受信任的AS域为需要进行源地址验证的数据包添加SRH扩展头后将其转发至主干网,由主干网中的源地址验证节点进行源地址验证服务的方法,包括以下步骤:
2.1)受信任的AS域为需要进行源地址验证的数据包添加SRH扩展头,并将添加SRH扩展头后的数据包逐次转发直至到达主干网;
2.2)主干网通过SRv6技术引导需要源地址验证的数据包进入源地址验证节点进行源地址验证服务,并更新该数据包的SR...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。