【技术实现步骤摘要】
本专利技术属于通信,更具体地,涉及一种srv6网络的源地址校验方法及装置。
技术介绍
1、基于ipv6转发平面的段路由(segment routing ipv6,简写为srv6)技术是一种基于ipv6转发平面新一代承载协议,它采用现有的ipv6技术,通过灵活的ipv6扩展头,实现网络可编程,其特点在于有网络协议简化、能力开放和可编程等特点,成为5g、云时代的网络演进方向,支撑大量不同业务的不同诉求,契合业务驱动网络的趋势要求。
2、srv6技术基于源路由理念设计,改变了ip网络报文路由转发的基础机制,也对网络安全防护带来新的挑战。造成srv6源路由威胁的根本原因在于:一是由于段列表中携带srv6地址容易泄露;二是攻击者通过窃取srv6路由扩展头可实现网络拓扑窃取,通过任意修改srv6路由扩展头来实现一些非法访问以及获取一些非授权的服务。
3、随着srv6技术在网络中部署应用,上述srv6技术带来的网络安全问题具体包括:
4、问题1,网络拓扑窃取。srv6的段地址列表中包含转发路径中经过的多个网络设计地址信息,攻击者通过探测手段,抓取srv6报文便可获取丰富的网络拓扑信息,然后再发起网络攻击。
5、问题2,获取非授权服务。网络中的客户端1购买了高质量网络服务和业务服务,客户端1的流量按照购买的网络服务在srv6网络中转发到业务服务。客户端2(攻击者)可通过复制客户端1报文的srv6段列表,获取与客户端1一致的网络服务和业务服务等。
6、问题3,虚拟专用网络(virtual
7、问题4,攻击报文的特征分析。目前已经存在一些技术使用源地址校验的方式来进行安全校验,但是他们在源地址中填充的校验值是固定的,容易被攻击者进行流量分析,构造相同的报文进行攻击。
8、问题5,vpn域内一般均是可以互相访问以及通信,但也会存在一些问题,例如攻击者远程控制某个分支站点的服务器对总部发起攻击,导致业务瘫痪,那么会导致其他的分支站点也无法访问总部服务。
9、综上,上述srv6技术带来的网络安全问题需要被亟待解决。
技术实现思路
1、针对现有技术的以上缺陷或改进需求,本专利技术提供了一种srv6网络的源地址校验方法及装置,其目的在于通过srv6源地址管理、srv6源地址可信验证、srv6源路由vpn安全访问验证,使得基于srv6技术的网络访问更加安全,由此解决srv6技术带来的网络安全问题。
2、为实现上述目的,按照本专利技术的一个方面,提供了一种srv6网络的源地址校验方法,按照预设的编码规则为网络中的每一个设备建立唯一的源vpn sid,包括:
3、源端在发送报文时,将其所对应的源vpn sid封装到srh路径信息中的src ipv6字段中;
4、开启了校验功能的设备接收到报文后,对报文进行解析,获取src ipv6字段出的源vpn sid;
5、对源vpn sid进行校验,如果校验通过,继续后续流程;如果校验不通过,则丢弃相应的报文。
6、进一步地,所述按照预设的编码规则为网络中的每一个设备建立唯一的源vpnsid包括:
7、根据全局配置前缀、设备所处网络的网络标识vpn_id、设备所支持的业务类型和随机生成的随机数建立唯一的源vpn sid。
8、进一步地,所述全局配置前缀为源地址可信验证功能的公共属性,用于区分设备;所述网络标识用于标识设备的vpn信息;设备所支持的业务类型type用于标识业务类型;随机数用于保证源vpn sid的随机性。
9、进一步地,还包括随机数更新机制;
10、判断所述源vpn sid中的随机数是否已经到期;若已经到期,则重新生成新的随机数,并更新相应的源vpn sid;
11、将已经到期的随机数放入回收池,以在预设时间内不再使用已经到期的随机数;
12、其中,当源vpn sid被更新后,同步更新校验表中相应的源vpn sid。
13、进一步地,所述对源vpn sid进行校验,如果校验通过,继续后续流程;如果校验不通过,则丢弃相应的报文包括:
14、如果源vpn sid存在于校验表中,则校验通过,继续后续流程;如果源vpn sid不存在于校验表中,则丢弃相应的报文。
15、进一步地,采用静态方式设备下发校验表,具体包括:
16、由控制器配置每个设备的源vpn sid,将源vpn sid下发至相应的设备;
17、所述控制器根据网络拓扑关系确定设备所信任的源vpn sid,根据设备所信任的源vpn sid建立校验表,并将校验表下发至相应的设备,以便于后续校验。
18、进一步地,网络中的各设备建立bgp邻居,采用动态方式通告源vpn sid,以便于建立校验表,具体包括:
19、由控制器配置每个设备的源vpn sid,将源vpn sid下发至相应的设备;
20、通过扩展bgp属性将源vpn sid分发到目的端,以便于目的端根据接收到的源vpnsid建立校验表。
21、进一步地,对bgp协议进行扩展,在bgp ipv6 savnet地址族下面新增路由类型,通过新增的路由类型通告源vpn sid;
22、所述通过扩展bgp属性将源vpn sid分发到目的端,以便于目的端根据接收到的源vpn sid建立校验表包括:
23、各个设备在vpn中均会配置相应的rt属性;
24、源端基于新增的路由类型生成用于通告源vpn sid的update报文,并在update报文中携带自身的rt属性;
25、目的端对update报文进行解析,得到rt属性;将解析出来的rt属性和所有本地vpn配置的rt进行比较;
26、当相同时,将所述update报文中携带的源vpn sid添加到校验表中;当不相同时,滤除所述update报文。
27、进一步地,所述对源vpn sid进行校验包括:采用acl检测方式或者urpf检测方式对源vpn sid进行校验。
28、按照本专利技术的另一方面,提供了一种srv6网络的源地址校验装置,包括至少一个处理器和存储器,所述至少一个处理器和存储器之间通过数据总线连接,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令在被所述处理器执行后,用于完成所述的srv6网络的源地址校验方法。
29、总体而言,通过本专利技术所构思的以上技术方案与现有技术相比,具有如下有益效果:
本文档来自技高网...
【技术保护点】
1.一种SRv6网络的源地址校验方法,其特征在于,按照预设的编码规则为网络中的每一个设备建立唯一的源VPN SID,包括:
2.根据权利要求1所述的SRv6网络的源地址校验方法,其特征在于,所述按照预设的编码规则为网络中的每一个设备建立唯一的源VPN SID包括:
3.根据权利要求2所述的SRv6网络的源地址校验方法,其特征在于,所述全局配置前缀为源地址可信验证功能的公共属性,用于区分设备;所述网络标识用于标识设备的VPN信息;设备所支持的业务类型Type用于标识业务类型;随机数用于保证源VPN SID的随机性。
4.根据权利要求2所述的SRv6网络的源地址校验方法,其特征在于,还包括随机数更新机制;
5.根据权利要求1所述的SRv6网络的源地址校验方法,其特征在于,所述对源VPN SID进行校验,如果校验通过,继续后续流程;如果校验不通过,则丢弃相应的报文包括:
6.根据权利要求5所述的SRv6网络的源地址校验方法,其特征在于,采用静态方式设备下发校验表,具体包括:
7.根据权利要求5所述的SRv6网络的源
8.根据权利要求7所述的SRv6网络的源地址校验方法,其特征在于,对BGP协议进行扩展,在BGP IPv6 SAVNET地址族下面新增路由类型,通过新增的路由类型通告源VPN SID;
9.根据权利要求1所述的SRv6网络的源地址校验方法,其特征在于,所述对源VPN SID进行校验包括:采用ACL检测方式或者URPF检测方式对源VPN SID进行校验。
10.一种SRv6网络的源地址校验装置,其特征在于,包括至少一个处理器和存储器,所述至少一个处理器和存储器之间通过数据总线连接,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令在被所述处理器执行后,用于完成权利要求1-9任一所述的SRv6网络的源地址校验方法。
...【技术特征摘要】
1.一种srv6网络的源地址校验方法,其特征在于,按照预设的编码规则为网络中的每一个设备建立唯一的源vpn sid,包括:
2.根据权利要求1所述的srv6网络的源地址校验方法,其特征在于,所述按照预设的编码规则为网络中的每一个设备建立唯一的源vpn sid包括:
3.根据权利要求2所述的srv6网络的源地址校验方法,其特征在于,所述全局配置前缀为源地址可信验证功能的公共属性,用于区分设备;所述网络标识用于标识设备的vpn信息;设备所支持的业务类型type用于标识业务类型;随机数用于保证源vpn sid的随机性。
4.根据权利要求2所述的srv6网络的源地址校验方法,其特征在于,还包括随机数更新机制;
5.根据权利要求1所述的srv6网络的源地址校验方法,其特征在于,所述对源vpn sid进行校验,如果校验通过,继续后续流程;如果校验不通过,则丢弃相应的报文包括:
6.根据权利要求5所述的srv6网络的源地址校验方法...
【专利技术属性】
技术研发人员:范富明,钟富进,邱晨,
申请(专利权)人:成都烽火云网信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。