[发明专利]互联网域内源地址验证表的分布式生成方法和装置

权利要求书

1.一种互联网域内源地址验证表的分布式生成方法，其特征在于，包括以下步骤：

域内路由器根据本地转发表，生成原始DPP报文；

所述域内路由器将所述原始DPP报文发送给邻居路由器；

所述邻居路由器根据接收到的所述原始DPP报文生成源地址验证表，并接力发送DPP报文；

其中，每个接收到所述DPP报文的路由器，提取报文有效载荷中的源路由器ID字段；所述路由器根据本地保存源前缀和源路由器ID的对应关系，确定与所述源路由器ID字段对应的源前缀；如果所述DPP报文的序列号大于本地序列号，则所述路由器删除与所述源前缀相关的旧源地址验证表，以生成与所述DPP报文对应的源地址验证表。

2.如权利要求1所述的方法，其特征在于，还包括：

所述域内路由器生成并在自治域内广播SPA报文，其中，所述SPA报文中携带本地的源前缀和源路由器ID；

接收到所述SPA报文的路由器收到所述SPA报文后，在本地保存所述源前缀和源路由器ID的对应关系；

当所述源前缀发生变化时，触发广播新一轮的SPA报文的发送。

3.如权利要求1所述的方法，其特征在于，还包括：

当所述路由器接收到分组时，所述路由器根据本地的所述源地址验证表，对分组的源地址进行匹配；

如果分组的入接口和其源地址在源地址验证表中匹配的接口一致，所述路由器对分组进行正常转发。

4.如权利要求3所述的方法，其特征在于，还包括：

如果分组的入接口和其源地址在源地址验证表中匹配的接口不一致，确定所述分组进行了源地址伪造，路由器丢弃所述分组。

5.如权利要求1所述的方法，其特征在于，

所述原始DPP报文的源地址为所述域内路由器的单播地址，目的地址为所述邻居路由器的单播地址。

6.如权利要求1所述的方法，其特征在于，所述接力发送DPP报文，包括：

所述路由器提取所述DPP报文有效载荷中的目的前缀内容；

所述路由器对所述目的前缀内容中所有IP前缀，查找本地转发表，若获知转发接口为域内接口，则生成新的DPP报文，并通告给所述路由器的转发接口对应的邻居路由器。

7.一种互联网域内源地址验证表的分布式生成装置，其特征在于，包括：

生成模块，用于域内路由器根据本地转发表，生成原始DPP报文；

发送模块，用于所述域内路由器将所述原始DPP报文发送给邻居路由器；

转发模块，用于所述邻居路由器根据接收到的所述原始DPP报文生成源地址验证表，并接力发送DPP报文；

其中，每个接收到所述DPP报文的路由器，提取报文有效载荷中的源路由器ID字段；所述路由器根据本地保存源前缀和源路由器ID的对应关系，确定与所述源路由器ID字段对应的源前缀；如果所述DPP报文的序列号大于本地序列号，则所述路由器删除与所述源前缀相关的旧源地址验证表，以生成与所述DPP报文对应的源地址验证表。

8.一种计算机设备，其特征在于，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现如权利要求1-6中任一所述的方法。

9.一种非临时性计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-6中任一所述的方法。