CN100483997C - 基于自治系统互联关系的真实IPv6源地址验证方法 - Google Patents
基于自治系统互联关系的真实IPv6源地址验证方法 Download PDFInfo
- Publication number
- CN100483997C CN100483997C CNB2006101131890A CN200610113189A CN100483997C CN 100483997 C CN100483997 C CN 100483997C CN B2006101131890 A CNB2006101131890 A CN B2006101131890A CN 200610113189 A CN200610113189 A CN 200610113189A CN 100483997 C CN100483997 C CN 100483997C
- Authority
- CN
- China
- Prior art keywords
- autonomous system
- engine
- proof rule
- autonomous
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000012795 verification Methods 0.000 title claims description 18
- 238000010200 validation analysis Methods 0.000 claims description 18
- 238000013507 mapping Methods 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000004220 aggregation Methods 0.000 claims 3
- 230000002776 aggregation Effects 0.000 claims 3
- 238000001914 filtration Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000002474 experimental method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000014616 translation Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于互联网技术领域,是一种基于自治系统互联关系的IPv6网络下真实源地址验证方法。本发明的特征在于:所述方法是在由验证规则生成引擎、验证引擎和自治系统号到IPv6地址前缀映射服务器组成的系统上实现的,利用自治系统互联关系,在自治系统边界路由器上生成和每一个路由器接口关联的真实IPv6源地址验证规则表,并利用其在自治系统边界路由器上对伪造IPv6源地址的的分组进行验证检查。该方法配置简单,可以在分组转发的过程中实时验证分组源IP地址的真实性,便于运营商部署,并且适用于复杂拓扑结构下的IPv6网络。
Description
技术领域
基于自治系统互联关系的真实IPv6源地址验证方法属于互联网技术领域,尤其涉及IPv6网络下自治系统间的真实源地址验证技术。
背景技术
现有互联网的路由转发基于目的IP地址,对于转发分组的源IP地址不做检查,这使得伪造源地址的分组难以追踪,伪造源地址的攻击轻易而频繁。实现真实IP源地址验证,确保网络中每一台主机都使用合法的真实IP地址来访问网络,可以带来以下好处:首先,互联网中的流量更加容易追踪,伪造源地址的攻击易于控制;第二,网络精细管理和基于用户地址的计费可以更加方便的实现;第三,身份认证可以基于真实IP地址得到简化。
现有源地址验证方案可以分为加密认证方法,基于事前预防的过滤验证方法和基于事后追查的回溯方法三类。加密认证方法增加了独立的密钥分发和管理开销,基于事后追查的回溯方法所采用的回溯算法复杂,并且是事后措施,而基于事前预防的过滤验证方法可以实时的在分组转发过程中对真实地址进行验证,在实际应用中最为合理。
互联网由很多自治系统组成,各个自治系统决定自己的路由策略和管理机制,各个自治系统有自己的地址前缀范围,负责管理该地址前缀范围的管理和使用。自治系统间的真实IP源地址验证是一个非常重要的问题,它的目标是确保在网络中的分组应该来自拥有该分组源地址所有权的自治系统。
本发明采用事前预防的过滤验证策略,是一种基于自治系统互联关系的自治系统间真实IPv6源地址验证方法。该方法具有配置简单和可以在分组转发的过程中实时验证分组源IP地址的真实性的特点,便于运营商部署,适用于复杂拓扑结构下的IPv6网络,实现自治系统间的真实IP地址访问,为可信任的下一代互联网安全服务和应用提供支持,是高可信下一代互联网整体技术框架中的重要组成部分。
发明内容
本发明的目的在于提供一种IPv6网络上基于自治系统互联关系的真实源地址验证方法。
本发明所提出的方法的思路在于利用自治系统互联关系,在自治系统边界路由器上生成和每一个路由器接口关联的真实IPv6源地址验证规则表,并利用其在自治系统边界路由器上对伪造IPv6源地址的的分组进行验证检查。
本发明的特征在于所述方法是在由验证规则生成引擎、验证引擎和自治系统号到IPv6地址前缀映射服务器组成的系统中依次按以下步骤实现:
步骤(1),每个自治系统有一个专用服务器,称为验证规则生成引擎,其上拥有两个数据表,一个是与该自治系统相邻接的自治系统列表,一个是该自治系统所拥有的验证引擎的IP地址列表,每个自治系统的验证规则生成引擎初始化,读邻接自治系统表和本自治系统的验证引擎表,分别与邻接自治系统的验证规则生成引擎和本自治系统的各个验证引擎建立TCP连接;
步骤(2),各个自治系统的验证规则生成引擎生成验证规则更新,目的是把该自治系统的源地址空间信息发给邻居,这一信息用自治系统号表示;
步骤(3),一个自治系统的验证规则生成引擎收到来自邻居自治系统的验证规则生成引擎发来的更新,查导出规则表来判断是否接受这一地址空间和判断是否将其转发给其他邻居自治系统,这里导出规则表按照如下规则确定是否将自己所收到的来自其他自治系统的合法真实地址前缀集合向其他相邻自治系统传递:
其一,一个自治系统将它自己的,它客户自治系统的,以及它兄弟自治系统的真实地址空间集合传递给它的服务者自治系统和对等互联自治系统;
其二,一个自治系统将它自己的,它客户自治系统的,它兄弟自治系统的,它服务者自治系统的,它对等互联自治系统的真实地址空间集合传递给它的客户自治系统和兄弟自治系统;
步骤(4),如果这一次的验证规则更新被该自治系统的验证规则生成引擎接受,查自治系统号到IPv6地址前缀映射表,将以自治系统号形式表达的验证规则转换为以IPv6地址前缀形式表达的验证规则;
步骤(5),该验证规则生成引擎将新生成的以IPv6地址前缀形式表示的验证规则下装到本自治系统的各个边界路由器上的验证引擎;
步骤(6),该自治系统边界路由器上的验证引擎利用生成的验证规则验证检查转发的IP分组是否具有真实地址,如果真实则转发分组,如果不真实则丢弃分组。
本发明所提出的基于自治系统互联关系的IPv6网络下自治系统间真实源地址验证方法,具有配置简单和可以在分组转发的过程中实时验证分组源IP地址的真实性的特点,便于运营商部署,适用于复杂拓扑结构下的IPv6网络,目前清华大学已经将该项研究成果运用在下一代互联网实验床和CNGI—CERNET2上,以此为基础,构建可信任下一代互联网。我们计划在下一代网络建设中,进一步验证推广本发明。
附图说明
图1.基于自治系统互联关系的真实IPv6源地址验证方法原理图;
图2.基于自治系统互联关系的真实IPv6源地址验证方法导出规则表;
图3.基于自治系统互联关系的真实IPv6源地址验证方法协议流程图;
图4.基于自治系统互联关系的真实IPv6源地址验证方法部署实例。
具体实施方式
本发明的实现系统由三个部分组成,如图1所示,验证规则生成引擎,验证引擎,和自治系统号到IPv6地址映射服务器。而验证规则的表现形式是IPv6地址前缀的集合。
●验证规则生成引擎生成验证规则,一个自治系统一台,采用Linux服务器实现;
●验证引擎则利用验证规则生成引擎下装的验证规则,验证转发的IP分组的源地址的真实性,采用Linux主机模拟数据链路层设备,部署于自治系统边界路由器的每一个接口上;
●而自治系统号到IPv6地址映射服务器维护一个从自治系统号映射到属于该自治系统的一组IPv6地址前缀的目录服务。
依据自治系统是否提供流量穿越和自治系统与其他自治系统的连接情况,可以将自治系统划分为多连接非穿越自治系统,多连接穿越自治系统和单连接非穿越自治系统三类。
而自治系统互联关系则具有以下四类:
●客户到服务者关系和服务者到客户关系,其中服务者自治系统为客户自治系统提供穿越服务;
●兄弟关系,两个自治系统互相提供穿越服务;
●对等互联关系,两个自治系统互相提供到对方内部的访问。
图3指出了本发明所提出的基于自治系统互联关系的IPv6网络下自治系统间真实源地址验证方法的的具体协议交互流程。
首先,每个自治系统的验证规则生成引擎初始化,读邻接自治系统表和本自治系统的验证引擎表,分别与邻接自治系统的验证规则生成引擎和本自治系统的各个验证引擎建立TCP连接;
然后,各个自治系统的验证规则生成引擎生成验证规则更新,目的是把该自治系统的源地址空间信息发给邻居,这一信息用自治系统号表示;
其三,一个自治系统的验证规则生成引擎收到来自邻居自治系统的验证规则生成引擎发来的更新,查导出规则表来判断是否接受这一地址空间和判断是否将其转发给其他邻居自治系统。
导出规则表,如图2所示,按照如下四条规则确定是否将自己所收到的来自其他自治系统的合法真实地址前缀集合向其他相邻自治系统传递:
●一个自治系统将它自己的,它客户自治系统的,以及它兄弟自治系统的真实地址空间集合传递给它的服务者自治系统;
●一个自治系统将它自己的,它客户自治系统的,以及它兄弟自治系统的真实地址空间集合传递给它的对等互联自治系统;
●一个自治系统将它自己的,它客户自治系统的,它兄弟自治系统的,它服务者自治系统的,它对等互联自治系统的真实地址空间集合传递给它的客户自治系统;
●一个自治系统将它自己的,它客户自治系统的,它兄弟自治系统的,它服务者自治系统的,它对等互联自治系统的真实地址空间集合传递给它的兄弟自治系统。
其四是验证规则翻译,如果这一次的验证规则更新被该自治系统的验证规则生成引擎接受,查自治系统号到IPv6地址前缀映射表,将以自治系统号形式表达的验证规则转换为以IPv6地址前缀形式表达的验证规则;
最后,该验证规则生成引擎将新生成的以IPv6地址前缀形式表示的验证规则下装到本自治系统的各个边界路由器上的验证引擎;
当分组流通过自治系统的边界路由器时,变该自治系统边界路由器上的验证引擎利用生成的验证规则验证检查转发的IP分组是否具有真实地址,如果真实则转发分组,如果不真实则丢弃分组。
具体的实验环境见图4,我们在实验环境中模拟了四个自治系统。各自治系统全部部署了本方案。从自治系统4发送伪造分组经过自治系统1的时候,可以看到伪造源地址的分组在自治系统1的边界就被验证规则检查然后丢弃了。而当我们从自治系统2发送源地址真实的分组到自治系统3的时候,可以看到分组正常通过。
实验证明,本发明配置简单,可以在分组转发的过程中实时验证分组源IP地址的真实性,而且便于运营商部署。
Claims (1)
1.一种基于自治系统互联关系的真实IPv6源地址验证方法,其特征在于所述方法是在由验证规则生成引擎、验证引擎和自治系统号到IPv6地址前缀映射服务器组成的系统中依次按以下步骤实现:
步骤(1),每个自治系统有一个专用服务器,称为验证规则生成引擎,其上拥有两个数据表,一个是与该自治系统相邻接的自治系统列表,一个是该自治系统所拥有的验证引擎的IP地址列表,每个自治系统的验证规则生成引擎初始化,读邻接自治系统表和本自治系统的验证引擎表,分别与邻接自治系统的验证规则生成引擎和本自治系统的各个验证引擎建立TCP连接;
步骤(2),各个自治系统的验证规则生成引擎生成验证规则更新,目的是把该自治系统的源地址空间信息发给邻居,这一信息用自治系统号表示;
步骤(3),一个自治系统的验证规则生成引擎收到来自邻居自治系统的验证规则生成引擎发来的更新,查找“导出规则表”来判断是否接受这一地址空间和判断是否将其转发给其他邻居自治系统,这里“导出规则表”按照如下规则确定是否将自己所收到的来自其他自治系统的合法真实IPv6地址前缀空间集合向其他相邻自治系统传递:
其一,一个自治系统将它自己的,它客户自治系统的,以及它兄弟自治系统的真实IPv6地址前缀空间集合传递给它的服务者自治系统和对等互联自治系统;
其二,一个自治系统将它自己的,它客户自治系统的,它兄弟自治系统的,它服务者自治系统的,它对等互联自治系统的真实IPv6地址前缀空间集合传递给它的客户自治系统和兄弟自治系统;
步骤(4),如果这一次的验证规则更新被该自治系统的验证规则生成引擎接受,查自治系统号到IPv6地址前缀映射服务器,将以自治系统号形式表达的验证规则转换为以IPv6地址前缀形式表达的验证规则;
步骤(5),该验证规则生成引擎将新生成的以IPv6地址前缀形式表示的验证规则下装到本自治系统的各个边界路由器上的验证引擎;
步骤(6),该自治系统边界路由器上的验证引擎利用生成的验证规则验证检查转发的IP分组是否具有真实地址,如果真实则转发分组,如果不真实则丢弃分组。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006101131890A CN100483997C (zh) | 2006-09-19 | 2006-09-19 | 基于自治系统互联关系的真实IPv6源地址验证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006101131890A CN100483997C (zh) | 2006-09-19 | 2006-09-19 | 基于自治系统互联关系的真实IPv6源地址验证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1921394A CN1921394A (zh) | 2007-02-28 |
| CN100483997C true CN100483997C (zh) | 2009-04-29 |
Family
ID=37778979
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006101131890A Expired - Fee Related CN100483997C (zh) | 2006-09-19 | 2006-09-19 | 基于自治系统互联关系的真实IPv6源地址验证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100483997C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI561038B (zh) * | 2014-09-15 | 2016-12-01 | Chunghwa Telecom Co Ltd |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101170564B (zh) * | 2007-11-30 | 2010-08-11 | 清华大学 | 端到端自动同步的防止ip源地址伪造的方法 |
| WO2010022535A1 (zh) * | 2008-08-26 | 2010-03-04 | 上海贝尔股份有限公司 | 一种在ipv6接入节点中数据包转发的方法和装置 |
| CN101374159B (zh) * | 2008-10-08 | 2012-05-23 | 中国科学院计算技术研究所 | 一种p2p网络可信控制方法及系统 |
| CN101902474B (zh) * | 2010-07-21 | 2012-11-14 | 清华大学 | 基于标签替换的自治域间IPv6真实源地址验证方法 |
| CN114389994B (zh) | 2018-11-02 | 2022-12-27 | 华为技术有限公司 | 一种路由处理的方法和网络设备 |
| CN110493367B (zh) * | 2019-08-20 | 2020-07-28 | 清华大学 | 无地址的IPv6非公开服务器、客户机与通信方法 |
| CN111211976B (zh) * | 2020-03-02 | 2021-03-19 | 清华大学 | Bgp路由信息验证方法及装置 |
| CN112003959B (zh) * | 2020-07-13 | 2023-06-16 | 深圳网基科技有限公司 | 路由起源授权的自动签发方法和装置 |
| CN113810354B (zh) * | 2020-09-08 | 2022-06-14 | 北京航空航天大学 | 用于自治系统的数据认证方法及装置 |
| CN112929269B (zh) * | 2021-03-09 | 2021-10-26 | 清华大学 | 互联网域间源地址验证表的分布式生成方法和装置 |
| CN112929279B (zh) * | 2021-03-09 | 2021-11-30 | 清华大学 | 互联网域内源地址验证表的分布式生成方法和装置 |
| WO2024193420A1 (zh) * | 2023-03-17 | 2024-09-26 | 华为技术有限公司 | 一种验证信息发送方法、验证表项获取方法、装置及设备 |
-
2006
- 2006-09-19 CN CNB2006101131890A patent/CN100483997C/zh not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI561038B (zh) * | 2014-09-15 | 2016-12-01 | Chunghwa Telecom Co Ltd |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1921394A (zh) | 2007-02-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100483997C (zh) | 基于自治系统互联关系的真实IPv6源地址验证方法 | |
| Zhou et al. | Security and privacy for cloud-based IoT: Challenges | |
| CN101159718B (zh) | 嵌入式工业以太网安全网关 | |
| US20210194912A1 (en) | Attestation service gateway | |
| CN110945853A (zh) | 基于联盟链投票共识算法产生及管理多模标识网络的方法 | |
| CN101902474B (zh) | 基于标签替换的自治域间IPv6真实源地址验证方法 | |
| CN102447694B (zh) | 一种IPv6网络虚假源地址数据包追溯方法和装置 | |
| CN103873461B (zh) | 基于iec62351的goose报文的安全交互方法 | |
| Wu et al. | A source address validation architecture (SAVA) testbed and deployment experience | |
| CN106506534B (zh) | 一种sdn网络的arp攻击检测方法 | |
| CN1937499A (zh) | 基于域名的统一身份标识和认证方法 | |
| CN105207778B (zh) | 一种在接入网关设备上实现包身份标识及数字签名的方法 | |
| CN106060015B (zh) | 一种基于sdn的ip源地址验证方法 | |
| CN109921944A (zh) | 用于工业互联网的网络边界控制方法及装置 | |
| CN103051643B (zh) | 云计算环境下虚拟主机安全连接动态建立方法与系统 | |
| US11595267B2 (en) | Methods and systems for distributed network verification | |
| CN101471878B (zh) | 对等会话起始协议网络的安全路由方法、网络系统及设备 | |
| CN106850547A (zh) | 一种基于http协议的数据还原方法及系统 | |
| Wang et al. | Scalable identifier system for industrial internet based on multi-identifier network architecture | |
| CN107104919A (zh) | 防火墙设备、流控制传输协议sctp报文的处理方法 | |
| CN109962879A (zh) | 针对分布式反射拒绝服务DRDoS的安全防御方法和控制器 | |
| Guo et al. | A novel security mechanism for software defined network based on Blockchain | |
| CN105956490A (zh) | 一种在网络环境中生成、维护可信数据的方法 | |
| CN106878019B (zh) | 基于STiP模型的安全路由方法及系统 | |
| Koutsoukos et al. | Performance evaluation of secure industrial control system design: A railway control system case study |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090429 Termination date: 20200919 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |