[发明专利]基于边界接口等价类的域内源地址验证方法及装置

说明书

本发明实施例提供一种基于边界接口等价类的域内源地址验证方法及装置，该方法包括：根据边界路由器转发表生成子网入接口的ACL验证表，转发表中目的地址和下一跳接口分别为ACL验证表中源地址和入接口；边界路由器若接收到来自其他路由器的边界接口信息报文，则回复本地的边界接口信息，每个边界路由器利用收到的边界接口信息在本地分布式的生成边界接口等价类；边界路由器将本地的ACL验证表发送给接口等价类的其他接口；边界路由器将接收到的ACL验证表中的入接口更换为本地接口后，生成本地子网入接口的ACL验证表，用于源地址验证。该方法有效避免假阳性判断，支持一般化网络拓扑，支持任意路由架构，ACL验证表能够自适应更新。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于边界接口等价类的域内源地址验证方法及装置。

背景技术

域内真实源地址验证技术位于接入网真实源地址验证技术和域间真实源地址验证技术之间，在自治域内对流量进行子网IP前缀粒度级别的真实源地址验证，保护真实地址子网免于被非真实地址子网攻击。

目前的源地址验证方法，是在路由器上基于本地的路由信息即转发表来生成过滤表，将源地址不符合过滤表的流量丢弃。但在子网多宿主为代表的复杂网络场景下，子网与自治域存在多个接口，这将带来验证假阳性(即误丢弃合法的流量)，导致合法用户无法正常上网。

发明内容

为了解决上述问题，本发明实施例提供一种基于边界接口等价类的域内源地址验证方法及装置。

第一方面，本发明实施例提供一种基于边界接口等价类的域内源地址验证方法，包括：根据边界路由器转发表生成子网入接口的ACL(Access Control Lists，访问控制列表)验证表，转发表中目的地址和下一跳接口分别为ACL验证表中源地址和入接口；边界路由器若接收到来自其他路由器的边界接口信息报文，则回复本地的边界接口信息，每个边界路由器利用收到的边界接口信息在本地分布式的生成边界接口等价类；边界路由器将本地的ACL验证表发送给接口等价类的其他接口；边界路由器将接收到的ACL验证表中的入接口更换为本地接口后，生成本地子网入接口的ACL验证表，用于源地址验证；其中，所述接口等价类为连接到同一子网的所有边界路由器的接口。

进一步地，所述方法还包括：每一边界路由器根据预设周期，向子网其它边界接口发送边界接口信息报文。

进一步地，所述向子网其它边界接口发送边界接口信息报文，包括：通过邻居发现协议中的路由器通告报文，向子网中的其它边界接口发送边界接口信息。

进一步地，每一边界路由器只对从子网流入域内的流量进行检测，对其他类型的流量不作检测，中间路由器对任意流量都不作检测。

进一步地，边界路由器将本地的ACL验证表发送给接口等价类的其他接口之前，还包括：验证本地边界接口的ACL验证表是否非空。

第二方面，本发明实施例提供一种基于边界接口等价类的域内源地址验证装置，包括：ACL验证表生成模块，用于根据转发表生成ACL验证表，转发表中目的地址和下一跳接口分别为ACL验证表中源地址和入接口；处理模块，用于若接收到来自其他路由器的边界接口信息报文，则回复本地的边界接口信息，每个边界路由器利用收到的边界接口信息在本地分布式的生成边界接口等价类；所述边界接口信息包括边界接口的地址；发送模块，用于将本地的ACL验证表发送给接口等价类的其他接口；ACL验证表更新模块，用于将接收到的ACL验证表中的入接口更换为本地接口后，生成本地子网入接口的ACL验证表，用于源地址验证；其中，所述接口等价类为连接到同一子网的所有边界路由器的接口。

进一步地，所述发送模块还用于：根据预设周期，向子网其它边界接口发送边界接口信息报文。

进一步地，所述发送模块具体用于：通过邻居发现协议中的路由器通告报文，向子网中的其它边界接口发送边界接口信息。