[发明专利]互联网域内源地址验证表的分布式生成方法和装置

说明书

本发明提出一种互联网域内源地址验证表的分布式生成方法和装置，其中，方法包括：域内路由器根据本地转发表，生成原始DPP报文；域内路由器将原始DPP报文发送给邻居路由器；路由器根据接收到的原始DPP报文生成源地址验证表，并接力发送DPP报文。由此，通过邻居路由器之间传播DPP报文的形式，在路由器上分布式地生成源地址验证表，在任意域内路由架构下实现验证的正确性和协议通信的低开销。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种互联网域内源地址验证表的分布式生成方法和装置。

背景技术

域内源地址验证表包含域内源地址和分组入接口的映射关系。通过查询本地源地址验证表，域内路由器可以根据分组源地址来验证分组入接口的有效性。因此，域内源地址验证表可以用于检测域内源地址伪造，创建组播生成树和验证网络正确性等方面。

目前最常用的源地址验证方法uRPF，是通过反向查找本地转发表代替创建独立的源地址验证表。但由于域内路由策略的复杂性，域内路由不对称会导致验证状态和实际路由状态不一致，这将带来严重的错误判断。SAVE虽然保证了源地址验证的正确性，但是存在高昂的通信开销，给域内网络带来极大的压力。本发明的目的在于通过域内邻居路由器之间传播探测报文的形式，在路由器上分布式地生成源地址验证表，在任意域内路由架构下实现验证的正确性和协议通信的低开销。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本发明的第一个目的在于提出一种互联网域内源地址验证表的分布式生成方法，以实现通过邻居路由器之间传播DPP报文的形式，在路由器上分布式地生成源地址验证表，在任意域内路由架构下实现验证的正确性和协议通信的低开销。

本发明的第二个目的在于提出一种互联网域内源地址验证表的分布式生成装置。

本发明的第三个目的在于提出一种计算机设备。

本发明的第四个目的在于提出一种非临时性计算机可读存储介质。

为达上述目的，本发明第一方面实施例提出了一种互联网域内源地址验证表的分布式生成方法，包括：域内路由器根据本地转发表，生成原始DPP报文；

所述域内路由器将所述原始DPP报文发送给邻居路由器；

所述邻居路由器根据接收到的所述原始DPP报文生成源地址验证表，并接力发送DPP报文。

为达上述目的，本发明第二方面实施例提出了一种互联网域内源地址验证表的分布式生成装置，包括：生成模块，用于域内路由器根据本地转发表，生成原始DPP报文；

发送模块，用于所述域内路由器将所述原始DPP报文发送给邻居路由器；

转发模块，用于所述邻居路由器根据接收到的所述DPP报文生成源地址验证表，并接力发送DPP报文。

在本发明的一个实施例中，还包括：

所述域内路由器生成并在自治域内广播SPA报文，其中，所述SPA报文中携带本地的源前缀和源路由器ID；

接收到所述SPA报文的路由器收到所述SPA报文后，在本地保存所述源前缀和源路由器ID的对应关系；

当所述源前缀发生变化时，触发广播新一轮的SPA报文的发送。

在本发明的一个实施例中，还包括：

每个接收到所述DPP报文的路由器，提取报文有效载荷中的源路由器ID字段；

所述路由器根据所述本地保存所述源前缀和源路由器ID的对应关系，确定与所述源路由器ID字段对应的源前缀；