CN111200611B - 基于边界接口等价类的域内源地址验证方法及装置 - Google Patents

基于边界接口等价类的域内源地址验证方法及装置 Download PDF

Info

Publication number
CN111200611B
CN111200611B CN202010010883.XA CN202010010883A CN111200611B CN 111200611 B CN111200611 B CN 111200611B CN 202010010883 A CN202010010883 A CN 202010010883A CN 111200611 B CN111200611 B CN 111200611B
Authority
CN
China
Prior art keywords
boundary
interface
local
subnet
acl
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010010883.XA
Other languages
English (en)
Other versions
CN111200611A (zh
Inventor
李丹
秦澜城
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsinghua University
Original Assignee
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsinghua University filed Critical Tsinghua University
Priority to CN202010010883.XA priority Critical patent/CN111200611B/zh
Publication of CN111200611A publication Critical patent/CN111200611A/zh
Application granted granted Critical
Publication of CN111200611B publication Critical patent/CN111200611B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种基于边界接口等价类的域内源地址验证方法及装置,该方法包括:根据边界路由器转发表生成子网入接口的ACL验证表,转发表中目的地址和下一跳接口分别为ACL验证表中源地址和入接口;边界路由器若接收到来自其他路由器的边界接口信息报文,则回复本地的边界接口信息,每个边界路由器利用收到的边界接口信息在本地分布式的生成边界接口等价类;边界路由器将本地的ACL验证表发送给接口等价类的其他接口;边界路由器将接收到的ACL验证表中的入接口更换为本地接口后,生成本地子网入接口的ACL验证表,用于源地址验证。该方法有效避免假阳性判断,支持一般化网络拓扑,支持任意路由架构,ACL验证表能够自适应更新。

Description

基于边界接口等价类的域内源地址验证方法及装置
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于边界接口等价类的域内源地址验证方法及装置。
背景技术
域内真实源地址验证技术位于接入网真实源地址验证技术和域间真实源地址验证技术之间,在自治域内对流量进行子网IP前缀粒度级别的真实源地址验证,保护真实地址子网免于被非真实地址子网攻击。
目前的源地址验证方法,是在路由器上基于本地的路由信息即转发表来生成过滤表,将源地址不符合过滤表的流量丢弃。但在子网多宿主为代表的复杂网络场景下,子网与自治域存在多个接口,这将带来验证假阳性(即误丢弃合法的流量),导致合法用户无法正常上网。
发明内容
为了解决上述问题,本发明实施例提供一种基于边界接口等价类的域内源地址验证方法及装置。
第一方面,本发明实施例提供一种基于边界接口等价类的域内源地址验证方法,包括:根据边界路由器转发表生成子网入接口的ACL(Access Control Lists,访问控制列表)验证表,转发表中目的地址和下一跳接口分别为ACL验证表中源地址和入接口;边界路由器若接收到来自其他路由器的边界接口信息报文,则回复本地的边界接口信息,每个边界路由器利用收到的边界接口信息在本地分布式的生成边界接口等价类;边界路由器将本地的ACL验证表发送给接口等价类的其他接口;边界路由器将接收到的ACL验证表中的入接口更换为本地接口后,生成本地子网入接口的ACL验证表,用于源地址验证;其中,所述接口等价类为连接到同一子网的所有边界路由器的接口。
进一步地,所述方法还包括:每一边界路由器根据预设周期,向子网其它边界接口发送边界接口信息报文。
进一步地,所述向子网其它边界接口发送边界接口信息报文,包括:通过邻居发现协议中的路由器通告报文,向子网中的其它边界接口发送边界接口信息。
进一步地,每一边界路由器只对从子网流入域内的流量进行检测,对其他类型的流量不作检测,中间路由器对任意流量都不作检测。
进一步地,边界路由器将本地的ACL验证表发送给接口等价类的其他接口之前,还包括:验证本地边界接口的ACL验证表是否非空。
第二方面,本发明实施例提供一种基于边界接口等价类的域内源地址验证装置,包括:ACL验证表生成模块,用于根据转发表生成ACL验证表,转发表中目的地址和下一跳接口分别为ACL验证表中源地址和入接口;处理模块,用于若接收到来自其他路由器的边界接口信息报文,则回复本地的边界接口信息,每个边界路由器利用收到的边界接口信息在本地分布式的生成边界接口等价类;所述边界接口信息包括边界接口的地址;发送模块,用于将本地的ACL验证表发送给接口等价类的其他接口;ACL验证表更新模块,用于将接收到的ACL验证表中的入接口更换为本地接口后,生成本地子网入接口的ACL验证表,用于源地址验证;其中,所述接口等价类为连接到同一子网的所有边界路由器的接口。
进一步地,所述发送模块还用于:根据预设周期,向子网其它边界接口发送边界接口信息报文。
进一步地,所述发送模块具体用于:通过邻居发现协议中的路由器通告报文,向子网中的其它边界接口发送边界接口信息。
第三方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现本发明第一方面基于边界接口等价类的域内源地址验证方法的步骤。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现本发明第一方面基于边界接口等价类的域内源地址验证方法的步骤。
本发明实施例提供的基于边界接口等价类的域内源地址验证方法及装置,边界路由器将接收到的ACL验证表中的入接口更换为本地接口后,生成本地子网入接口的ACL验证表,有效利用了连接到同一子网的等价类接口。在检测出域内子网伪造不存在源地址或假冒其他网络源地址的网络攻击行为的同时,还具有不存在假阳性判断,支持一般化网络拓扑,支持任意路由架构,边界路由器源地址验证表自适应更新的特点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为子网多宿主场景下的假阳性判断情况示意图;
图2为本发明实施例提供的基于边界接口等价类的域内源地址验证方法流程图;
图3为本发明实施例提供的基于边界接口等价类的域内源地址验证方法应用场景图;
图4为本发明实施例提供的基于边界接口等价类的域内源地址验证装置结构图;
图5为本发明实施例提供的一种电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为子网多宿主场景下的假阳性判断情况示意图,如图1所示:子网1和边界路由器A的接口1相连同时也和边界路由器B的接口2相连。在路由策略下,路由器B按照转发表将目的地址为子网1的流量转发到接口4而不是接口2,所以基于路由器B本地转发表生成的过滤表会把子网1从接口2进入路由器B的合法流量全部过滤。本发明的目的在于通过建立边界接口等价类,消除在任意网络场景、任意域内路由架构下的域内源地址验证假阳性判断。
为解决这一问题,本发明实施例提供一种基于边界接口等价类的域内源地址验证方法,通过相应的路由器或具备路由功能的其它设备作为执行主体实现。
图2为本发明实施例提供的基于边界接口等价类的域内源地址验证方法流程图,如图2所示,该方法包括:
201、根据边界路由器转发表生成子网入接口的ACL验证表,转发表中目的地址和下一跳接口分别为ACL验证表中源地址和入接口。
如图1所示。每个域内边界路由器根据本地转发表,在边界接口上生成源地址验证的ACL表。源地址验证ACL表的表项由两部分组成,分别是入接口和源地址。入接口即连接子网的边界接口,源地址是转发表中下一跳为该边界接口的目的地址。目前的方法是,根据类似本发明实施例中的ACL表,对进入接口的流量进行验证。
202、边界路由器若接收到来自其他路由器的边界接口信息报文,则回复本地的边界接口信息,每个边界路由器利用收到的边界接口信息在本地分布式的生成边界接口等价类;所述边界接口信息包括边界接口的地址。
在202中,考虑到仅使用本地转发表的局限性,本实施例提出了边界接口等价类的概念:接口等价类是多个边界路由器接口的集合,这些接口属于相同或者不同的路由器,但是都连接同一个子网,即连接这个子网的所有边界接口。本地接口和其它边界路由器的接口之间,互相发送边界接口信息报文,以获取对方的边界接口信息,并通过边界接口信息报文进行响应。例如,若接收到其它边界接口的边界接口信息报文,且所连接的子网与本地一致,则将所述其它边界接口添加到接口等价类。图3为本发明实施例提供的基于边界接口等价类的域内源地址验证方法应用场景图,如图3所示,以A向B发送边界接口信息报文为例,B收到后,发送本地边界接口信息至A,这样A和B均能知道彼此的存在,可以各自本地生成边界接口等价类。
203、边界路由器将本地的ACL验证表发送给接口等价类的其他接口。
边界路由器A收到边界路由器B的边界接口信息报文后,得知路由器B也是与子网1连接,且接口为2。则将本地接口2和路由器B的接口1都作为连接子网1的等价类接口,所有等价类接口构成接口等价类。路由器A会向接口等价类的其它路由器发送接口1的ACL表。边界路由器B接收等价类边界接口A发送的ACL验证表。
204、边界路由器将接收到的ACL验证表中的入接口更换为本地接口后,生成本地子网入接口的ACL验证表,用于源地址验证。
本地接口为边界路由器接收到对应ACL表的接口,边界路由器B接收到等价类边界接口A发送的ACL验证表后,则将ACL验证表中的源地址为子网1;入接口为接口1,改为源地址为子网1;入接口为接口2(即本地接口),添加到本地ACL表中。根据新的ACL表进行域内源地址验证,不仅能实现正常的源地址过滤,且不会过滤掉通过接口2接收的子网1的数据。
本实施例提供的基于边界接口等价类的域内源地址验证方法,边界路由器将接收到的ACL验证表中的入接口更换为本地接口后,生成本地子网入接口的ACL验证表,有效利用了连接到同一子网的等价类接口。在检测出域内子网伪造不存在源地址或假冒其他网络源地址的网络攻击行为的同时,还具有不存在假阳性判断,支持一般化网络拓扑,支持任意路由架构,边界路由器源地址验证表自适应更新的特点。
基于上述实施例的内容,作为一种可选实施例,所述方法还包括:每一边界路由器根据预设周期,向子网其它边界接口发送边界接口信息报文。
为了实现各路由器间边界接口的相互告知,每个边界路由器都会周期性的向其它边界路由器发送边界接口信息报文。子网中的一个边界路由器收到来自其他边界路由器的边界接口信息报文后,该路由器向发送端回复一个报文,把自己的边界接口告诉发送端,这样每个边界路由器就可以在本地分布式的建立子网的边界接口等价类。
本实施例提供的基于边界接口等价类的域内源地址验证方法,根据预设周期,向其它边界接口发送边界接口信息报文,有利于等价类接口的建立。
基于上述实施例的内容,作为一种可选实施例,向子网其它边界接口发送边界接口信息报文,包括:通过邻居发现协议中的路由器通告报文,向子网中的其它边界接口发送边界接口信息。
邻居发现协议(Neighbor Discovery Protocol,简称NDP或ND)是TCP/IP协议栈的一部分,主要与IPv6共同使用。它工作在网络层,负责在链路上发现其他节点和相应的地址,并确定可用路由和维护关于可用路径和其他活动节点的信息可达性。路由器通告(Router Advertisement,简称RA)报文,是邻居发现协议中应用的报文。
考虑到集中读取路由器MIB来生成接口等价类的开销,我们采用分布式的方法,利用Neighbor Discovery协议中的Router Advertisement报文,在边界路由器上自动生成接口等价类。同一个子网中,每个边界路由器都会响应主机的请求或者周期性的发送RouterAdvertisement报文。子网中的一个边界路由器收到来自其他边界路由器的RouterAdvertisement报文后,该路由器向发送端回复一个报文,把自己的边界接口告诉发送端,这样每个边界路由器就可以在本地分布式的建立子网接口等价类。
基于上述实施例的内容,作为一种可选实施例,每一边界路由器只对从子网流入域内的流量进行检测,对其他类型的流量不作检测,中间路由器对任意流量都不作检测。
考虑到源地址验证在第一个点检测最有效的原则,本实施例仅在域内边界路由器上部署源地址验证,并且只对从子网流入域内的流量进行检测,对其他类型的流量不作检测。中间路由器(域内除边界路由器以外的其他路由器)对任意流量都不作检测,避免重复检测的开销。这样就形成了域内边界路由器组成的安全边界,保证子网流入域内的流量都是合法的流量。
基于上述实施例的内容,作为一种可选实施例,边界路由器将本地的ACL验证表发送给接口等价类的其他接口之前,还包括:验证本地接口的ACL验证表是否非空;若为空则不发送。
子网中每个边界路由器查询根据本地转发表生成的源地址验证ACL表,如果ACL表不为空,就向接口等价类中的其他接口发送ACL表中的源地址和入接口,若ACL表为空,则不发送。
图4为本发明实施例提供的基于边界接口等价类的域内源地址验证装置结构图,如图4所示,该基于边界接口等价类的域内源地址验证装置包括:ACL验证表生成模块401、处理模块402、发送模块403和ACL验证表更新模块404。其中,ACL验证表生成模块401用于根据转发表生成ACL验证表,转发表中目的地址和下一跳接口分别为ACL验证表中源地址和入接口;处理模块402用于若接收到来自其他路由器的边界接口信息报文,则回复本地的边界接口信息,每个边界路由器利用收到的边界接口信息在本地分布式的生成边界接口等价类;所述边界接口信息包括边界接口的地址;发送模块403用于将本地的ACL验证表发送给接口等价类的其他接口;ACL验证表更新模块404用于将接收到的ACL验证表中的入接口更换为本地接口后,生成本地子网入接口的ACL验证表,用于源地址验证;其中,所述接口等价类为连接到同一子网的所有边界路由器的接口。
基于上述实施例的内容,作为一种可选实施例,发送模块403还用于:根据预设周期,向子网其它边界接口发送边界接口信息报文。
基于上述实施例的内容,作为一种可选实施例,发送模块403具体用于:通过邻居发现协议中的路由器通告报文,向子网中的其它边界接口发送边界接口信息。
本发明实施例提供的装置实施例是为了实现上述各方法实施例的,具体流程和详细内容请参照上述方法实施例,此处不再赘述。
本发明实施例提供的基于边界接口等价类的域内源地址验证装置,边界路由器将接收到的ACL验证表中的入接口更换为本地接口后,生成本地子网入接口的ACL验证表,有效利用了连接到同一子网的等价类接口。在检测出域内子网伪造不存在源地址或假冒其他网络源地址的网络攻击行为的同时,还具有不存在假阳性判断,支持一般化网络拓扑,支持任意路由架构,边界路由器源地址验证表自适应更新的特点。另外,该方法可仅在域内边界路由器上部署源地址验证,并且只对从子网流入域内的流量进行检测,对其他类型的流量不作检测,即中间路由器对任意流量都不作检测,避免重复检测的开销。形成了域内边界路由器组成的安全边界,保证子网流入域内的流量都是合法的流量。
图5为本发明实施例提供的一种电子设备的实体结构示意图,如图5所示,该电子设备可以包括:处理器(processor)501、通信接口(Communications Interface)502、存储器(memory)503和总线504,其中,处理器501,通信接口502,存储器503通过总线504完成相互间的通信。通信接口502可以用于电子设备的信息传输。处理器501可以调用存储器503中的逻辑指令,以执行包括如下的方法:根据边界路由器转发表生成子网入接口的ACL验证表,转发表中目的地址和下一跳接口分别为ACL验证表中源地址和入接口;边界路由器若接收到来自其他路由器的边界接口信息报文,则回复本地的边界接口信息,每个边界路由器利用收到的边界接口信息在本地分布式的生成边界接口等价类;边界路由器将本地的ACL验证表发送给接口等价类的其他接口;边界路由器将接收到的ACL验证表中的入接口更换为本地接口后,生成本地子网入接口的ACL验证表,用于源地址验证;其中,所述接口等价类为连接到同一子网的所有边界路由器的接口。
此外,上述的存储器503中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明上述各方法实施例的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法,例如包括:根据边界路由器转发表生成子网入接口的ACL验证表,转发表中目的地址和下一跳接口分别为ACL验证表中源地址和入接口;边界路由器若接收到来自其他路由器的边界接口信息报文,则回复本地的边界接口信息,每个边界路由器利用收到的边界接口信息在本地分布式的生成边界接口等价类;边界路由器将本地的ACL验证表发送给接口等价类的其他接口;边界路由器将接收到的ACL验证表中的入接口更换为本地接口后,生成本地子网入接口的ACL验证表,用于源地址验证;其中,所述接口等价类为连接到同一子网的所有边界路由器的接口。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种基于边界接口等价类的域内源地址验证方法,其特征在于,包括:
根据边界路由器转发表生成子网入接口的ACL验证表,转发表中目的地址和下一跳接口分别为ACL验证表中源地址和入接口;
边界路由器若接收到来自其他路由器的边界接口信息报文,则回复本地的边界接口信息,每个边界路由器利用收到的边界接口信息在本地分布式的生成边界接口等价类;
边界路由器将本地的ACL验证表发送给边界接口等价类的其他接口;
边界路由器将接收到的ACL验证表中的入接口更换为本地接口后,生成本地子网入接口的ACL验证表,用于源地址验证;
其中,所述边界接口等价类为连接到同一子网的所有边界路由器的接口。
2.根据权利要求1所述的基于边界接口等价类的域内源地址验证方法,其特征在于,所述方法还包括:
每一边界路由器根据预设周期,向子网其它边界接口发送边界接口信息报文。
3.根据权利要求2所述的基于边界接口等价类的域内源地址验证方法,其特征在于,所述向子网其它边界接口发送边界接口信息报文,包括:
通过邻居发现协议中的路由器通告报文,向子网中的其它边界接口发送边界接口信息。
4.根据权利要求1所述的基于边界接口等价类的域内源地址验证方法,其特征在于,每一边界路由器只对从子网流入域内的流量进行检测,对其他类型的流量不作检测,中间路由器对任意流量都不作检测。
5.根据权利要求1所述的基于边界接口等价类的域内源地址验证方法,其特征在于,边界路由器将本地的ACL验证表发送给边界接口等价类的其他接口之前,还包括:
验证本地边界接口的ACL验证表是否非空。
6.一种基于边界接口等价类的域内源地址验证装置,其特征在于,包括:
ACL验证表生成模块,用于根据转发表生成ACL验证表,转发表中目的地址和下一跳接口分别为ACL验证表中源地址和入接口;
处理模块,用于若接收到来自其他路由器的边界接口信息报文,则回复本地的边界接口信息,每个边界路由器利用收到的边界接口信息在本地分布式的生成边界接口等价类;所述边界接口信息包括边界接口的地址;
发送模块,用于将本地的ACL验证表发送给边界接口等价类的其他接口;
ACL验证表更新模块,用于将接收到的ACL验证表中的入接口更换为本地接口后,生成本地子网入接口的ACL验证表,用于源地址验证;
其中,所述边界接口等价类为连接到同一子网的所有边界路由器的接口。
7.根据权利要求6所述的基于边界接口等价类的域内源地址验证装置,其特征在于,所述发送模块还用于:
根据预设周期,向子网其它边界接口发送边界接口信息报文。
8.根据权利要求7所述的基于边界接口等价类的域内源地址验证装置,其特征在于,所述发送模块具体用于:
通过邻居发现协议中的路由器通告报文,向子网中的其它边界接口发送边界接口信息。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述基于边界接口等价类的域内源地址验证方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至5任一项所述基于边界接口等价类的域内源地址验证方法的步骤。
CN202010010883.XA 2020-01-06 2020-01-06 基于边界接口等价类的域内源地址验证方法及装置 Active CN111200611B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010010883.XA CN111200611B (zh) 2020-01-06 2020-01-06 基于边界接口等价类的域内源地址验证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010010883.XA CN111200611B (zh) 2020-01-06 2020-01-06 基于边界接口等价类的域内源地址验证方法及装置

Publications (2)

Publication Number Publication Date
CN111200611A CN111200611A (zh) 2020-05-26
CN111200611B true CN111200611B (zh) 2021-02-23

Family

ID=70746785

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010010883.XA Active CN111200611B (zh) 2020-01-06 2020-01-06 基于边界接口等价类的域内源地址验证方法及装置

Country Status (1)

Country Link
CN (1) CN111200611B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112929279B (zh) * 2021-03-09 2021-11-30 清华大学 互联网域内源地址验证表的分布式生成方法和装置
CN113438245B (zh) * 2021-06-29 2023-04-07 新华三信息安全技术有限公司 一种信息更新、报文安全性检测方法及装置
CN114745174A (zh) * 2022-04-11 2022-07-12 中国南方电网有限责任公司 电网设备的接入验证系统和方法
CN117201050A (zh) * 2022-06-01 2023-12-08 华为技术有限公司 一种源地址验证的方法、网络设备及通信系统
CN117353949A (zh) * 2022-06-28 2024-01-05 华为技术有限公司 一种生成验证规则的方法以及相关装置
CN118487785A (zh) * 2023-02-10 2024-08-13 华为技术有限公司 源地址验证方法、通信装置及系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1953373A (zh) * 2006-09-19 2007-04-25 清华大学 一种开放式真实IPv6源地址过滤与验证方法
CN101621513A (zh) * 2009-07-20 2010-01-06 清华大学 规范接入子网内源地址验证方案的方法
CN101917434A (zh) * 2010-08-18 2010-12-15 清华大学 域内ip源地址验证的方法
CN102006289A (zh) * 2010-08-05 2011-04-06 清华大学 伪造源地址过滤方法和装置
WO2015197978A1 (fr) * 2014-06-26 2015-12-30 Orange Procede de protection d'un routeur contre des attaques
CN105577669A (zh) * 2015-12-25 2016-05-11 北京神州绿盟信息安全科技股份有限公司 一种识别虚假源攻击的方法及装置
CN106060015A (zh) * 2016-05-18 2016-10-26 深圳信息职业技术学院 一种基于sdn的ip源地址验证方法
US10135784B2 (en) * 2015-08-24 2018-11-20 Alibaba Group Holding Limited Verifying source addresses associated with a terminal
CN109150895A (zh) * 2018-09-13 2019-01-04 清华大学 一种软件定义网络的域内源地址的验证方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101764822B (zh) * 2010-01-29 2013-02-13 北京天地互连信息技术有限公司 一种IPv6源地址认证测试方法
CN101945117A (zh) * 2010-09-28 2011-01-12 杭州华三通信技术有限公司 防止源地址欺骗攻击的方法及设备

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1953373A (zh) * 2006-09-19 2007-04-25 清华大学 一种开放式真实IPv6源地址过滤与验证方法
CN101621513A (zh) * 2009-07-20 2010-01-06 清华大学 规范接入子网内源地址验证方案的方法
CN102006289A (zh) * 2010-08-05 2011-04-06 清华大学 伪造源地址过滤方法和装置
CN101917434A (zh) * 2010-08-18 2010-12-15 清华大学 域内ip源地址验证的方法
WO2015197978A1 (fr) * 2014-06-26 2015-12-30 Orange Procede de protection d'un routeur contre des attaques
US10135784B2 (en) * 2015-08-24 2018-11-20 Alibaba Group Holding Limited Verifying source addresses associated with a terminal
CN105577669A (zh) * 2015-12-25 2016-05-11 北京神州绿盟信息安全科技股份有限公司 一种识别虚假源攻击的方法及装置
CN106060015A (zh) * 2016-05-18 2016-10-26 深圳信息职业技术学院 一种基于sdn的ip源地址验证方法
CN109150895A (zh) * 2018-09-13 2019-01-04 清华大学 一种软件定义网络的域内源地址的验证方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
《A Source Address Validation Architecture (SAVA) Testbed and Deployment Experience》;IETF;《RFC 5210》;20080630;全文 *
《实现真实源地址验证体系结构》;清华大学信息网络工程研究中心;《研究与发展下一代互联网》;20091031;全文 *

Also Published As

Publication number Publication date
CN111200611A (zh) 2020-05-26

Similar Documents

Publication Publication Date Title
CN111200611B (zh) 基于边界接口等价类的域内源地址验证方法及装置
CN109802985B (zh) 数据传输方法、装置、设备及可读取存储介质
US9923984B2 (en) Methods, systems, and computer readable media for remote authentication dial in user service (RADIUS) message loop detection and mitigation
US7167922B2 (en) Method and apparatus for providing automatic ingress filtering
JP6080313B2 (ja) 仮想ネットワークを実装及び管理するシステム及び方法
US20240179087A1 (en) Bgp route identification method, apparatus, and device
JPWO2005036831A1 (ja) フレーム中継装置
CN106559246B (zh) 集群的实现方法和服务器
EP2469787A1 (en) Method and device for preventing network attacks
CN110995873A (zh) 网关服务业务接口发现方法、系统、电子设备及存储介质
EP3852328B1 (en) Method, device and system for determining routing leakage
CN112134891A (zh) 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法
US9467372B2 (en) Methods and systems for processing internet protocol packets
CN108289044B (zh) 数据转发方法、确定静态路由的链路状态方法及网络设备
EP3466027A1 (en) Network isolation
Gashinsky et al. Operational neighbor discovery problems
CN108737273A (zh) 一种报文处理方法和装置
CN103414641A (zh) 邻居表项释放方法、装置和网络设备
CN112383559B (zh) 地址解析协议攻击的防护方法及装置
US10680930B2 (en) Method and apparatus for communication in virtual network
US8078758B1 (en) Automatic configuration of source address filters within a network device
US20210037052A1 (en) Systems and methods for preventing router attacks
US10680900B2 (en) BGP logical topology generation method, and device
CN113014530A (zh) Arp欺骗攻击防范方法及系统
CN113660199B (zh) 流量攻击的防护方法、装置、设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant