[发明专利]域内IP源地址验证的方法

说明书

技术领域

本发明涉及互联网技术领域，具体而言，本发明涉及域内IP源地址验证的方法。

背景技术

随着互联网使用环境的变化，互联网技术的缺陷正逐渐暴露出来，其中不保证源地址的真实性便是一个重要问题。互联网之初主要用于学术目的，当时假设网络中的所有设备都是可信任的，因此报文在转发过程中没有认证源地址的真实性。而在当前复杂的互联网环境下，这种网络设备普遍可信的情况早已不复存在，与之相反，每一台设备都可能伪造其源地址来达成特殊目的。当今，通过伪造源地址来辅助发起网络攻击的行为十分频繁。

互联网上的采用伪造IP源地址的攻击相当泛滥，据互联网观测组织的统计，每周至少有4000起采用伪造源地址的拒绝服务攻击。这类攻击具有容易发起但是难以追溯的特点，这是造成伪造源地址攻击泛滥的原因。

目前已经有很多技术被提出来希望能控制这类攻击。它们可以分为三类：

路径过滤类(Filtering)：这一类技术主要是使用路由信息来过滤掉一部分伪造源地址的报文。典型的例子如入口过滤(Ingress filtering)，就是通过检查网关上接收到的报文其源地址是否在接入子网的地址空间范围内，从而判断报文是否合法。

端到端认证类(End-to-End Approach)：这一类技术在源端给报文加入标记，这一标记在报文的目的端被检查用来判断报文中所含源地址的真实性。

回溯类(Traceback)：回溯类技术是一种被动的技术。它希望获取报文在互联网上所经过的路径，在攻击发生时，通过分析报文路径来获取攻击源的地址。

尽管出现了很多解决方法，但目前并没有一种方法可以完美地解决源地址伪造问题。不支持增量部署及缺乏对运营商的激励也是这一难题形成的重要原因。

完全部署Ingress Filtering是一种技术上最为简单且有效的方法，但是由于缺少激励机制，我们无法强求它被完全部署。uRPF(Unicast Reverse Path Forwarding，单播反向路径转发)是一种更加实际的替代方案，现有的一些发展也是在对uRPF进行补充和强化，但是它也存在致命的缺点，比如对于非对称路由效果较差，对于同一反向路径上的源地址伪造无能为力。这种情况在域内有更广泛的需求，加上现在IPv6网络的大力发展，一种同时支持IPv6和IPv4的域内源地址确认方案的需求就变得很迫切。

因此，有必要提出一种有效的技术方案，以解决目前IPv6或IPv4协议下域内IP源地址验证的问题。

发明内容

本发明的目的旨在至少解决上述技术缺陷之一，特别通过在域内网络节点上部署本发明提出的方案，利用源地址、目的地址和进入端口记录对报文进行检查验证，以解决目前IPv6或IPv4协议下域内IP源地址验证的问题。

为了达到上述目的，本发明的实施例提出了一种域内IP源地址验证的方法，包括以下步骤：

中心控制器建立源地址前缀、目的地址前缀以及入接口的映射关系表FTDB；

将所述映射关系表FTDB转化为访问列表Access-list配置到节点的访问控制列表ACL中；

所述节点通过所述访问控制列表ACL过滤经过所述节点的伪造源地址报文。

本发明提出的上述方案，通过对利用源地址、目的地址和进入端口记录对报文进行检查验证，以解决目前IPv6或IPv4协议下域内IP源地址验证的问题。本发明提出的上述方案可以支持IPv4和IPv6，不修改主机和协议栈，不增加新的协议，满足现有的地址分配方式。相比于入口过滤方法，它具有细粒度和支持IPv6等特点。相比于IP Source Guard，它能够支持IPv6。相比与其他方法，它的主要优点是不修改主机，且能满足所有的地址分配方式。此外，本发明提出的上述方案，对现有系统的改动很小，不会影响系统的兼容性，而且实现简单、高效。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为计算机通道过滤CPF原理图原理示意图；

图2为本发明实施例域内IP源地址验证的方法的流程图；

图3为本发明实施例源地址验证方法的模块及数据流图的示意图；

图4为本发明实施例部署实例示意图。

具体实施方式