本公开提供了一种IPv6地址的快速验证溯源方法,包括:汇总预设时间段内的全流量数据的IP地址;基于全流量数据的数据来源将IP地址分类;将IP地址按照所属类别的过滤规则过滤,得到真实源地址;基于预设的地址库对真实源地址溯源,以获取真实原地址的溯源信息。本公开还提供了IPv6地址的快速验证溯源装置、电子设备及计算机可读存储介质。该方法可以实现真实源IPv6地址的快速验证。源IPv6地址的快速验证。源IPv6地址的快速验证。
【技术实现步骤摘要】
IPv6地址的快速验证溯源方法、装置、设备及介质
[0001]本公开涉及信息安全
,尤其涉及一种IPv6地址的快速验证溯源方法、装置、电子设备及介质。
技术介绍
[0002]互联网的IP分组转发主要基于目的IP地址,很少对分组的IP源地址的真实性进行检查,这使得分组IP源地址容易伪造,网络攻击者常常通过伪造分组IP源地址逃避承担责任,并由此引发了更多安全、管理和计费的问题。目前还没有任何成熟的安全技术可以从源头上解决安全问题,对于IPv6源地址验证已经成为互联网发展面临的一个挑战性问题。
[0003]真实IPv6源地址验证体系很好地适应了现有互联网分层体系,支持分层部署在网络不同位置、满足不同粒度需求的源地址验证。真实IPv6源地址验证主要解决和保证了以下两个问题:其一,IPv6地址的全网唯一性,可以使对攻击行为的追踪变得更容易,并为全网统一计费提供支持;其二,IPv6地址的可追溯性,通过在接入网内和其它不同网络层级上建立不同颗粒度的IPv6地址到其它标识的绑定关系,保证任何攻击行为的可追溯性。为了适应互联网的快速发展,如何快速的实现对IPv6源地址的追溯是目前值得研究的问题。
技术实现思路
[0004]鉴于上述问题,本专利技术提供了一种IPv6地址的快速验证溯源方法,以至少部分解决上述技术问题。
[0005]本公开的一个方面提供了一种IPv6地址的快速验证溯源方法,包括:汇总预设时间段内的全流量数据的IP地址;基于所述全流量数据的数据来源将所述IP地址分类;将所述IP地址按照所属类别的过滤规则过滤,得到真实源地址;基于预设的地址库对所述真实源地址溯源,以获取所述真实原地址的溯源信息。
[0006]可选地,当所述IP地址为接入源地址时,所述将所述IP地址按照所属类别的过滤规则过滤,得到真实源地址包括:验证所述IP地址是否与接收流量数据的交换机端口存在绑定关系,其中,所述交换机端口与预设的真实源地址动态绑定;当验证通过时,将所述IP地址存储为真实源地址。
[0007]可选地,当所述IP地址为域内源地址时,所述将所述IP地址按照所属类别的过滤规则过滤,得到真实源地址包括:验证所述IP地址是否与接收对应的流量数据的边界路由器存在绑定关系,其中,所述边界路由器端口与预设真实源IP地址段绑定;当验证通过时,将所述IP地址存储为真实源地址。
[0008]可选地,当所述IP地址为域内源地址时,所述将所述IP地址按照所属类别的过滤规则过滤,得到真实源地址包括:基于服务器获取域内各个路由器上的路由表;基于所述路由表,获取各所述路由器地址段与对应的到达接口之间的映射关系;将所述映射关系下发至各所述路由器,以验证所述IP地址是否存在于所述映射关系中;当验证通过时,将所述IP地址存储为真实源地址。
[0009]可选地,所述当所述IP地址为域间源地址时,所述将所述IP地址按照所属类别的过滤规则过滤,得到真实源地址包括:验证所述IP地址前缀是否与对应的边界路由器存在绑定关系,其中,所述边界路由器与一组预设的真实源地址前缀绑定关联;当验证通过时,将所述IP地址存储为真实源地址。
[0010]可选地,所述当所述IP地址为域间源地址时,所述将所述IP地址按照所属类别的过滤规则过滤,得到真实源地址包括:获取所述IP地址对应的流量数据的协议扩展头上的信任联盟签名;验证所述信任联盟签名;当所述信任联盟签名验证通过时,所述IP地址存储为真实源地址。
[0011]可选地,包括:建立域间信任联盟,各联盟之间设有独立的信任联盟签名;当发生域间的数据交换时,将所述信任联盟签名加在所述数据的IPv6协议扩展头上,以供所述数据的接收方验证。
[0012]本公开的另一个方面提供了一种IPv6地址的快速验证溯源装置,包括:数据采集模块,用于汇总预设时间段内的全流量数据的IP地址;地址分类模块,用于基于所述全流量数据的数据来源将所述IP地址分类;地址过滤模块,用于将所述IP地址按照所属类别的过滤规则过滤,得到真实源地址;地址溯源模块,用于基于预设的地址库对所述真实源地址溯源,以获取所述真实原地址的溯源信息。
[0013]本公开的另一个方面提供了一种电子设备,包括:存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时,实现所述IPv6地址的快速验证溯源方法中的各个步骤。
[0014]本公开的另一个方面提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现所述IPv6地址的快速验证溯源方法中的各个步骤。
[0015]在本公开实施例采用的上述至少一个技术方案能够达到以下有益效果:
[0016]本公开提出了一种IPv6地址的快速验证溯源方法、装置、电子设备及计算机可读存储介质,可以实现针对源地址数据的真实性验证,然后通过预设地址库进行溯源,解决了源地址数据量较大的情况下验证溯源定位困难的问题,实现了源地址验证溯源效率最大化。
附图说明
[0017]为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中:
[0018]图1示意性示出了本公开实施例提供的一种IPv6地址的快速验证溯源方法的流程图;
[0019]图2示意性示出了本公开实施例提供的另一种IPv6地址的快速验证溯源方法的示意图;
[0020]图3示意性示出了本公开实施例提供的一种IPv6地址的快速验证溯源装置的结构框图;
[0021]图4示意性示出了本公开实施例提供的一种电子设备的结构框图。
具体实施方式
[0022]以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
[0023]在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
[0024]在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
[0025]附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。
[0026]因此,本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种IPv6地址的快速验证溯源方法,其特征在于,包括:汇总预设时间段内的全流量数据的IP地址;基于所述全流量数据的数据来源将所述IP地址分类;将所述IP地址按照所属类别的过滤规则过滤,得到真实源地址;基于预设的地址库对所述真实源地址溯源,以获取所述真实原地址的溯源信息。2.根据权利要求1所述的方法,其特征在于,当所述IP地址为接入源地址时,所述将所述IP地址按照所属类别的过滤规则过滤,得到真实源地址包括:验证所述IP地址是否与接收流量数据的交换机端口存在绑定关系,其中,所述交换机端口与预设的真实源地址动态绑定;当验证通过时,将所述IP地址存储为真实源地址。3.根据权利要求1所述的方法,其特征在于,当所述IP地址为域内源地址时,所述将所述IP地址按照所属类别的过滤规则过滤,得到真实源地址包括:验证所述IP地址是否与接收对应的流量数据的边界路由器存在绑定关系,其中,所述边界路由器端口与预设真实源IP地址段绑定;当验证通过时,将所述IP地址存储为真实源地址。4.根据权利要求1所述的方法,其特征在于,当所述IP地址为域内源地址时,所述将所述IP地址按照所属类别的过滤规则过滤,得到真实源地址包括:基于服务器获取域内各个路由器上的路由表;基于所述路由表,获取各所述路由器地址段与对应的到达接口之间的映射关系;将所述映射关系下发至各所述路由器,以验证所述IP地址是否存在于所述映射关系中;当验证通过时,将所述IP地址存储为真实源地址。5.根据权利要求1所述的方法,其特征在于,所述当所述IP地址为域间源地址时,所述将所述IP地址按照所属类别的过滤规则过滤,得到真实源地址包括:验...
【专利技术属性】
技术研发人员:黄友俊,孙思默,李星,吴建平,吴焕乐,
申请(专利权)人:赛尔网络有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。