【技术实现步骤摘要】
一种源地址验证的方法、网络设备及通信系统
[0001]本申请实施例涉及通信
,尤其涉及一种源地址验证的方法
、
网络设备及通信系统
。
技术介绍
[0002]源地址验证
(Source Address Validation
,
SAV)
是消除源地址伪造攻击的重要手段,很多现有的防御方案都是基于源地址验证实现的
。
源地址验证的基本原理是建立源地址与网络设备入接口的映射关系,检测从该源地址发出的报文是否从该入接口到达
。
考虑到如今互联网的连通性很强,通过验证报文的源地址对应的入接口,可以极大程度检测入接口异常,防止源地址伪造问题
。
[0003]分布式源地址验证协议
(distributed source address validation
,
DSAV)
中,目的前缀探测
(Destination Prefix Probing
,
DPP)
报文会
【技术保护点】
【技术特征摘要】
1.
一种源地址验证的方法,其特征在于,包括:第一网络设备接收第一报文,所述第一报文经过以第二网络设备为源节点
、
以所述第一网络设备为目的节点的新增路径到达所述第一网络设备,所述第一报文包括指示所述新增路径的新增路径信息;所述第一网络设备根据路径信息和所述新增路径信息添加源地址验证
SAV
规则,其中,所述路径信息包括以所述第一网络设备为目的节点的可达路径
。2.
根据权利要求1所述的方法,其特征在于,所述第一网络设备接收第一报文之前,所述方法还包括:所述第一网络设备接收探测报文,其中,所述探测报文经过以探测设备为源节点
、
以所述第一网络设备为目的节点的探测路径到达所述第一网络设备,所述探测报文包括所述探测路径上的网络设备的标识;所述第一网络设备根据所述探测路径上的网络设备的标识获得路径信息
。3.
根据权利要求1或2所述的方法,其特征在于,所述第一网络设备根据路径信息和所述新增路径信息添加
SAV
规则,包括:所述第一网络设备根据所述新增路径信息,确定所述第一报文的源节点为所述第二网络设备;所述第一网络设备根据所述路径信息确定所述第一报文的关联设备,其中,以所述关联设备作为源节点的探测报文经过所述第二网络设备转发后到达所述第一网络设备;所述第一网络设备添加以所述第二网络设备为源前缀的
SAV
规则和以所述关联设备为源前缀的
SAV
规则
。4.
根据权利要求3所述的方法,其特征在于,所述新增路径中包括第三网络设备,所述第一网络设备为所述第三网络设备的下一跳节点,所述第一网络设备添加以所述第二网络设备为源前缀的
SAV
规则和以所述关联设备为源前缀的
SAV
规则,包括:所述第一网络设备添加第一
SAV
规则和第二
SAV
规则,其中,所述第一
SAV
规则的源前缀字段指示所述第二网络设备,所述第一
SAV
规则的合法入口字段指示所述第三网络设备与所述第一网络设备之间的接口路径,所述第二
SAV
规则的源前缀字段指示所述关联设备,所述第二
SAV
规则的合法入口字段指示所述第三网络设备与所述第一网络设备之间的接口路径
。5.
根据权利要求1或2所述的方法,其特征在于,所述第一报文还包括指示所述第一报文的关联设备的信息,所述第一网络设备根据路径信息和所述新增路径信息添加
SAV
规则,包括:所述第一网络设备根据所述新增路径信息,确定所述第一报文的源节点为所述第二网络设备;所述第一网络设备根据所述指示所述第一报文的关联设备的信息和所述路径信息确定所述关联设备;所述第一网络设备添加以所述第二网络设备为源前缀的
SAV
规则和以所述关联设备为源前缀的
SAV
规则
。6.
根据权利要求1至5中任一项所述的方法,其特征在于,所述方法还包括:所述第一网络设备向目标设备发送请求报文,所述目标设备为新增的
SAV
规则中的源
前缀字段所指示的网络设备;所述第一网络设备接收来自所述目标设备的目标探测报文;所述第一网络设备根据所述目标探测报文,老化目标
SAV
规则,其中,所述目标
SAV
规则的序列号低于所述目标探测报文的序列号
。7.
根据权利要求1至6中任一项所述的方法,其特征在于,所述方法还包括:所述第一网络设备根据所述新增路径信息更新所述路径信息
。8.
根据权利要求2所述的方法,其特征在于,所述探测报文为目的前缀探测
DPP
报文,所述探测路径为
DPP
路径
。9.
根据权利要求1至8中任一项所述的方法,其特征在于,所述新增路径信息包括所述新增路径上的网络设备的标识,所述第一网络设备根据路径信息和所述新增路径信息添加源地址验证
SAV
规则包括:所述第一网络设备根据路径信息和所述新增路径上的网络设备的标识添加源地址验证
SAV
规则
。10.
一种源地址验证的方法,其特征在于,包括:第二网络设备向第一网络设备发送第一报文,所述第一报文经过以所述第二网络设备为源节点
、
以所述第一网络设备为目的节点的新增路径到达所述第一网络设备,所述第一报文包括指示所述新增路径的新增路径信息,所述新增路径信息用于指示所述第一网络设备根据路径信息和所述新增路径信息添加源地址验证
SAV
规则,其中,所述路径信息包括以所述第一网络设备为目的节点的可达路径
。11.
根据权利要求
10
所述的方法,其特征在于,在所述第二网络设备向第一网络设备发送第一报文之前,所述方法还包括:所述第二网络设备探测到所述第二网络设备与所述第一网络设备之间新增所述新增路径
。12.
根据权利要求
10
所述的方法,其特征在于,在所述第二网络设备向第一网络设备发送第一报文之前,所述方法还包括:所述第二网络设备间隔预设时间向所述第一网络设备发送所述第一报文
。13.
根据权利要求
10
至
12
中任一项所述的方法,其特征在于,在所述第二网络设备向第一网络设备发送第一报文之前,所述方法还包括:所述第二网络设备向所述第一网络设备发送探测报文,其中,所述探测报文经过以所述第二网络设备为源节点
、
以所述第一网络设备为目的节点的探测路径到达所述第一网络设备,所述探测报文包括所述探测路径上的网络设备的标识,所述探测报文用于所述第一网络设备根据所述探测路径上的网络设备的标识获得路径信息
。14.
根据权利要求
10
至
13
中任一项所述的方法,其特征在于,所述第二网络设备向第一网络设备发送第一报文之后,所述方法还包括:所述第二网络设备接收来自所述第一网络设备的请求报文;所述第二网络设备根据所述请求报文向所述第一网络设备发送目标探测报文,所述目标探测报文用于所述第一网络设备根据所述目标探测报文,老化目标
SAV
规则,其中,所述目标
SAV
规则的序列号低于所述目标探测报文的序列号
。15.
根据权利要求
13
所述的方法,其特征在于,所述探测报文为目的前缀探测
DPP
报文,
所述探测路径为
DPP
路径
。16.
根据权利要求
10
至
15
中任一项所述的方法,其特征在于,所述新增路径信息包括所述新增路径上的网络设备的标识
。17.
一种第一网络设备,其特征在于,所述第一网络设备包括:收发单元,用于接收第一报文,所述第一报文经过以第二网络设备为源节点
、
以所述第一网络设备为目的节点的新增路径到达所述第一网络设备,所述第一报文包括指示所述新增路径的新增路径信息;处理单元,用于根据路径信息和所述新增路径信息添加源地址验证
SAV
规则,其中,所述路径信息包括以所述第一网络设备为目的节点的可达路径
。18.
根据权利要求
17
所述的第...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。