CN114268598A - 一种层次化地址域间源地址验证机制 - Google Patents

Abstract

本发明提出一种层次化地址域间源地址验证机制、验证装置、计算机设备及存储介质，其中，该机制通过对现有互联网内的自治域进行分级划分，分为层次化的地址域，划分层次后对每一层级的地址域进行分类，在地址域之间产出通信需求时，确定通信双方的地址域从属关系，并进行数据传输。通过本发明，能够使地址域的范围自由伸缩扩展，解决了跨越地址域层级的通信时存在的标识错误问题，更好的地址域间源地址验证体系结构，同时和现有互联网络兼容，以方便更好的管理和使用互联网，提高网络管理的灵活性。本发明对现有计算机网络进行划分和管理，在跨域通信时保证同一上级地址域内的各子地址域，对外部地址域表现一致。

Description

一种层次化地址域间源地址验证机制

技术领域

本发明涉及互联网通信技术领域，尤其涉及一种层次化地址域间源地址验证机制、验证装置、计算机设备及存储介质。

背景技术

现有计算机网络是一种扁平化分布式的管理方式，任何ISP(Internet ServiceProvider，互联网服务提供商)只需要向IANA(The Internet Numbers Authority，互联网数字分配机构)下的五大RIR(Reginal Internet Registry，区域互联网注册机构)进行申请，就可以运行自己的自治域(Autonomous System)。自治域从商业关系可以划分为两种类型：Customer-Provider以及Peer-Peer，但是从管理关系看自治域相互之间是平级关系，通过运行EGP(External Gateway Protocol，外部网关协议)进行路由交换，互联互通。但是随着互联网规模的扩大，全球已经有了大约10万个自治域，对于互联网的管理和治理构成了巨大的挑战，自治域的增加带来的不仅仅是管理上的挑战和复杂度提升，还有路由收敛时间上的增加。

有关对互联网重新划分层级已经有工作有过设想或验证。David G.Andersen等人的AIP(Accountable Internet Protocol)通过把互联网分为一个个的管理域，通过CGA(Cryptographic Generated Address)技术生成用户的地址，通过AD(AccountableDomain)以及EID(Entity Identity)的组合形成路径转发的地址。其中AD是可以嵌套的。但是这种方式无法和现有的网络兼容，需要大规模更改现有的网络体系结构和路由体系结构。Xin Zhang等人的SCION(Scalability，Control，and Isolation On Next-GenerationNetworks)把现有的互联网划分为一个个的可信任域(Trust Domain)，可信任域之间通过核心可信任域进行互联互通。但是这种方案只是改变了路由转发路径，并不是真正意义上的层次化管理，而且它不能对现有自治域内部进行划分。

发明内容

本发明提供一种层次化地址域间源地址验证机制、验证装置、计算机设备及存储介质，旨在实现SAVA-X的层次化，实现更好的地址域间源地址验证体系结构，同时和现有互联网络兼容，以方便更好的管理和使用互联网，提高网络管理的灵活性。

为此，本发明的第一个目的在于提出一种层次化地址域间源地址验证机制，包括：

对互联网内选定的全部或若干自治域，依据自治域之间的关联关系，进行地址域层级划分；

划分层次的地址域中，对处于同一N级地址域下的N+1级地址域，按照其在N级地址域内所处位置进行分类；其中，N级地址域的N+1级地址域分类为主地址域、边界地址域和非主非边界地址域；

当N级地址域所属的N+1级地址域产生通信需求时，判断通信对象所属分类类型，并根据分类类型建立通信连接；其中，

若通信对象为同一N级地址域下的N+1级地址域，则直接建立通信连接；

若通信对象为相异的N级地址域所属的地址域，则构建通信路径，根据地址域的分类类型，为通信路径上每一地址域添加跨域标识，通信路径上的地址域转发通信信息的同时转发自身的跨域标识，在后地址域验证在前地址域的跨域标识，验证通过后，向其后的地址域转发通信信息，直至传输至通信对象对应的地址域。

其中，在依据自治域之间的关联关系，进行地址域层级划分的步骤中，自治域之间的关联关系至少包括政治关系、经济关系、文化关系和地理关系。

其中，边界地址域是位于N级地址域边界的N+1级地址域，从边界地址域向外发出的数据发往所属N级地址域之外；主地址域是代表所属N级地址域下的N+1级地址域的代表地址域，所有向N级地址域外部发送的数据，其标识由主地址域代表，主地址域由该N级地址域承担，或者从边界地址域中进行选择；非主非边界地址域是既不处于N级地址域的边界，也不是主地址域，位于N级地址域的内部，不和其它非其所属N级地址域及其子地址域直接相连的地址域。

其中，地址域之间建立通信连接时，通信路径上的相邻通信双方通过设置的路由器接口进行跨域标识验证：

同一N级地址域所属的N+1级地址域进行通信时，设置Trust路由器接口，不检查跨域标识；

同一N级地址域内相异层级地址域、或相异的N级地址域所属的地址域进行通信时，低层级地址域连接Ingress路由器接口，高层级地址域连接Egress路由器接口，Egress路由器接口用于添加跨域标识，Ingress路由器接口用于验证跨域标识正确性。

其中，跨域标识通过虚拟地址域AD_V表示，表示需要跨越地址域。

其中，互联网中的全部或选定的部分自治域划分层级后，顶级地址域为地址域联盟，标号为-1级地址域，直接附属于顶级地址域的次顶级地址域，标号为0级地址域；随层数的增加依次增加级数。

其中，通信对象为相异N级地址域所属的地址域时，构建通信路径，从通信需求的N+1级地址域起，后续连续若干地址域均为与起始的N+1级地址域同层级时，直接发送通信数据；再后续的地址域与通信需求的N+1级地址域属于相异的N级地址域时，前一地址域向后一地址域发送通信信息的同时，发送自身跨域标识，后一地址域接收通信信息的同时验证跨域标识，验证通过继续传输，否则终止。

本发明的第二个目的在于提出一种层次化地址域间源地址验证装置，当所述层次化地址域间源地址验证装置中的指令由处理器执行时，执行一种层次化地址域间源地址验证机制，该装置包括：

划分模块，用于对互联网内选定的全部或若干自治域，依据自治域之间的关联关系，进行地址域层级划分；

分类模块，用于在划分层次的地址域中，对处于同一N级地址域下的N+1级地址域，按照其在N级地址域内所处位置进行分类；其中，N级地址域的N+1级地址域分类为主地址域、边界地址域和非主非边界地址域；

通信管理模块，用于当N级地址域所属的N+1级地址域产生通信需求时，判断通信对象所属分类类型，并根据分类类型建立通信连接；其中，

若通信对象为同一N级地址域下的N+1级地址域，则直接建立通信连接；

若通信对象为相异的N级地址域所属的地址域，则构建通信路径，根据地址域的分类类型，为通信路径上每一地址域添加跨域标识，通信路径上的地址域转发通信信息的同时转发自身的跨域标识，在后地址域验证在前地址域的跨域标识，验证通过后，向其后的地址域转发通信信息，直至传输至通信对象对应的地址域。

本发明的第三个目的在于提出一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现如前述技术方案所述的方法。

本发明的第四个目的在于提出一种非临时性计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现前述技术方案所述的方法。

区别于现有技术，本发明提供的层次化地址域间源地址验证机制，通过对现有互联网内的自治域进行分级划分，分为层次化的地址域，划分层次后对每一层级的地址域进行分类，在地址域之间产出通信需求时，确定通信双方的地址域从属关系，并进行数据传输。通过本发明，能够使地址域的范围自由伸缩扩展，解决了跨越地址域层级的通信时存在的标识错误问题，更好的地址域间源地址验证体系结构，同时和现有互联网络兼容，以方便更好的管理和使用互联网，提高网络管理的灵活性。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1是本发明提供的一种层次化地址域间源地址验证机制的流程示意图。

图2是本发明提供的一种层次化地址域间源地址验证机制中层次化地址域拓扑结构示意图。

图3是本发明提供的一种层次化地址域间源地址验证机制中同级地址域通信时添加安全标识的示意图。

图4是本发明提供的一种层次化地址域间源地址验证机制中地址域跨域通信交互时的流程示意图。

图5是本发明提供的一种层次化地址域间源地址验证机制中路由器接口类型示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

下面参考附图描述本发明实施例的一种层次化地址域间源地址验证机制。

图1为本发明实施例所提供的一种层次化地址域间源地址验证机制的流程示意图。该方法包括以下步骤：

步骤101，对互联网内选定的全部或若干自治域，依据自治域之间的关联关系，进行地址域层级划分。

全球的互联网被分成很多个AS自治域，每个国家的运营商、机构、甚至公司等都可以申请AS号码，构建相应的自治域。本发明进行自治域通信管理时，将形成统一管理的地址域联盟，对加入联盟的自治域通信进行管理。在本实施方式中，互联网内选定的全部或若干自治域，即为加入统一管理的地址域联盟的自治域。

针对加入地址域联盟的每一自治域，依据自治域之间的关联关系，进行地址域层级划分。地址域是嵌套概念，即地址域内部可以继续划分子地址域，地址域之间存在上下级关系，也可以称之为父子关系。在同一父级地址域下的所有子地址域之间为平级关系，不同父级地址域附属的子地址域之间的通信需要通过跨域机制实现，则通过父级地址域来表示位于同一父级地址域下的所有子地址域。

在地址域分层级的过程中，针对现有的互联网，依托现有的自治域划分机制，对所有期望加入地址域联盟的的自治域，重新划分管理范围。划分结果将整体的地址域联盟设定为顶级地址域，顶级地址域作为父级地址域时，其直属的子地址域即为次顶级地址域，次顶级地址域的子地址域即为第三等级的地址域，依次类推。为方便统计，可将顶级地址域定义为-1级地址域，次顶级地址域定义为0级地址域，后续依次随层级的增加而增加级数。

步骤102：划分层次的地址域中，对处于同一N级地址域下的N+1级地址域，按照其在N级地址域内所处位置进行分类。

地址域划分层级后，每一父级地址域至少包含一个子地址域，而每一子地址域又会作为父级地址域，拥有自身的子地址域。在本步骤中，针对划分层级后的第N级地址域(本发明中N≥0)，进一步对从属于该N级地址域下的N+1级地址域进行分类。分类标准是依据N+1级地址域在其父级地址域，即对应的N级地址域内所处位置。

具体的，经过分类操作后，将从属于每一N级地址域下的所有N+1级地址域分为三类：主地址域，边界地址域，以及非主非边界地址域。

边界地址域是位于N级地址域边界的N+1级地址域，从边界地址域向外发出的数据发往所属N级地址域之外；主地址域是代表所属N级地址域下的N+1级地址域的代表地址域，所有向N级地址域外部发送的数据，其标识由主地址域代表，主地址域由该N级地址域承担，或者从边界地址域中进行选择；非主非边界地址域是既不处于N级地址域的边界，也不是主地址域，位于N级地址域的内部，不和其它非其所属N级地址域及其子地址域直接相连的地址域。

步骤103：当N级地址域所属的N+1级地址域产生通信需求时，判断通信对象所属分类类型，并根据分类类型建立通信连接。

若通信对象为同一N级地址域下的N+1级地址域，则直接建立通信连接；

若通信对象为相异的N级地址域所属的地址域，则构建通信路径，根据地址域的分类类型，为通信路径上每一地址域添加跨域标识，通信路径上的地址域转发通信信息的同时转发自身的跨域标识，在后地址域验证在前地址域的跨域标识，验证通过后，向其后的地址域转发通信信息，直至传输至通信对象对应的地址域。

具体的，当地址域联盟内的其中一个地址域产生通信需求时，判断产生通信需求的地址域和通信对象的地址域之间的关系：

如果通信交互的双方地址域同属于同一父级地址域，则直接建立通信连接；

如果通信交互的双方地址域属于不同的父级地址域，则构建链接通信交互双方的地址域的通信路径，本实施例中，假设通信需求的地址域为地址域联盟的-1级地址域所属第一0级地址域下的2级非主非边界地址域AD2013，通信对象的地址域为地址域联盟的-1级地址域所属第二0级地址域下的1级非主非边界地址域AD2345，则如图2所示，构建的通信路径为第一0级地址域所属2级非主非边界地址域AD2013-第一0级地址域所属2级主地址域AD2012-第一0级地址域所属1级边界地址域AD2011包含地址域AD2013、地址域AD2012、地址域AD2011的第一1级地址域AD1003-第二1级地址域AD1001-第一0级地址域AD0001-第二0级地址域AD0002-第二0级地址域所属1级边界地址域AD1004-第二0级地址域所属1级非主非边界地址域AD2345。

从通信路径的起点地址域AD2013开始，判断地址域AD2013和地址域AD2012的分类类型，地址域AD2013和地址域AD2012同属同一1级地址域，则地址域AD2013和地址域AD2012直接建立通信连接，地址域AD2013将通信内容直接发送至地址域AD2012；地址域AD2011和地址域AD1003为不同层级的地址域，则地址域AD2011在与地址域AD1003建立通信连接时，同时生成跨域标识，随同通信信息一起发送至地址域AD1003；地址域AD1003校验地址域AD2011的跨域标识，校验通过后，接收通信信息，生成自身跨域标识，连同通信信息一同发送至地址域AD1001；经过逐步校验，最终将通信信息发送至通信对象的地址域AD2345。

在本发明中，主地址域的选择是一个配置，它所表现出来的路由转发数据的方式和其它非主地址域一样，只是它的地址域号作为所属父级地址域的标识。本发明使用AD_V(Virtual Address Domain，虚拟地址域)作为跨域标识，当从非主地址域发往N级地址域之外的数据时，或者从N级地址域发往该N级地址域下的某一N+1级地址域时，需要使用AD_V标识。

从地址域AD2012发出，根据路由器接口可以判断出，通信信息发往的通信对象地址。在路由器的接口，可以判断通信信息的目的地址是发往本地址域联盟内部还是外部，发往地址域联盟外部的通信信息不需要标识；其次判断是不是处于同一父级地址域之下的子级地址域，如果是则按照步骤3)来处理；当从子地址域发出的时候，在同级地址域的边界地址域的路由器(Address Domain Border Router，处于地址域的边界的路由器)处，需要添加上{Source AD，AD_V_Main_AD_N}的标识，在父级地址域的边界路由器处验证该标识，如果还需要跨越层级，则继续替换为{SourceAD,AD_V_Main_AD_N_Subtract_1}，即逐级替换标识，直到目的地址域和本层级同级(最多是0级)。需要替换的标识的位置以及具体需要替换的标识如图4所示。

如图5所示，地址域之间建立通信连接时，通信路径上的相邻通信双方通过设置的路由器接口进行跨域标识验证：

同一N级地址域所属的N+1级地址域进行通信时，设置Trust路由器接口，不检查跨域标识；图5中浅色实线表示Trust路由器接口；

同一N级地址域内相异层级地址域、或相异的N级地址域所属的地址域进行通信时，低层级地址域连接Ingress路由器接口，高层级地址域连接Egress路由器接口，Egress路由器接口用于添加跨域标识，Ingress路由器接口用于验证跨域标识正确性。图5中的深色实线和虚线分别表示Egress路由器接口和Ingress路由器接口。

进一步，在本发明的其他实施例中，地址域层级划分是依据自治域之间的关联关系进行划分；自治域之间的关联关系至少包括政治关系、经济关系、文化关系和地理关系。示例的，政府部门的门户网站形成自治域时，其层级划分依据政治关系进行，形成国家-省-市-县-乡镇-村的层级关系；子母企业的网络内容各自形成自治域时，其层级划分依据经济关系进行，形成总公司-一级子公司-二级子公司-……的层级关系；学校校内网站内容形成自治域时，其层级关系依据文化关系划分，形成学校-学院-系-学科的层级关系；世界范围内的区域的相关网络内容形成自治域时，层级关系依据地理关系划分，形成洲-国家的层级关系，而不同国家进一步根据自身的地域行政级别设定，进一步划分自身国内的层级。

如图3所示，在本发明的一些实施例中，如果同一父级地址域下所属的子地址域之间的通信需要使用安全标识，则通信需求的地址域需要向通信对象的地址域发送通信信息的同时发送安全标识，通信对象的地址域在校验安全标识后，接收通信内容。图3中，地址域AD2011和地址域AD2012之间的通信，是在同一父级地址域AD1003下。则从地址域AD2011发至地址域AD2012的数据包，需要添加安全标识，如{AD2011,AD2012}，从地址域AD2012发至地址域AD2011的数据包，需要添加安全标识，如{AD2012,AD2011}。

此外，本发明提供了一种层次化地址域间源地址验证装置，当层次化地址域间源地址验证装置中的指令由处理器执行时，执行一种层次化地址域间源地址验证机制，该装置包括：

划分模块，用于对互联网内选定的全部或若干自治域，依据自治域之间的关联关系，进行地址域层级划分；

分类模块，用于在划分层次的地址域中，对处于同一N级地址域下的N+1级地址域，按照其在N级地址域内所处位置进行分类；其中，N级地址域的N+1级地址域分类为主地址域、边界地址域和非主非边界地址域；

通信管理模块，用于当N级地址域所属的N+1级地址域产生通信需求时，判断通信对象所属分类类型，并根据分类类型建立通信连接；其中，

若通信对象为同一N级地址域下的N+1级地址域，则直接建立通信连接；

若通信对象为相异的N级地址域所属的地址域，则构建通信路径，根据地址域的分类类型，为通信路径上每一地址域添加跨域标识，通信路径上的地址域转发通信信息的同时转发自身的跨域标识，在后地址域验证在前地址域的跨域标识，验证通过后，向其后的地址域转发通信信息，直至传输至通信对象对应的地址域。

需要说明的是，前述对层次化地址域间源地址验证机制实施例的解释说明也适用于该实施例的互联网自治域的通信管理装置，此处不再赘述。

为了实现上述实施例，本发明还提出另一种计算机设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，处理器执行计算机程序时，实现如本发明实施例所述的层次化地址域间源地址验证机制。

为了实现上述实施例，本发明还提出一种非临时性计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现如本发明实施例所述的层次化地址域间源地址验证机制。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如，如果用硬件来实现和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (10)

1.一种层次化地址域间源地址验证机制，其特征在于，包括：

对互联网内选定的全部或若干自治域，依据自治域之间的关联关系，进行地址域层级划分；

划分层次的地址域中，对处于同一N级地址域下的N+1级地址域，按照其在N级地址域内所处位置进行分类；其中，N级地址域的N+1级地址域分类为主地址域、边界地址域和非主非边界地址域；

当N级地址域所属的N+1级地址域产生通信需求时，判断通信对象所属分类类型，并根据分类类型建立通信连接；其中，

若通信对象为同一N级地址域下的N+1级地址域，则直接建立通信连接；

若通信对象为相异的N级地址域所属的地址域，则构建通信路径，根据地址域的分类类型，为通信路径上每一地址域添加跨域标识，通信路径上的地址域转发通信信息的同时转发自身的跨域标识，在后地址域验证在前地址域的跨域标识，验证通过后，向其后的地址域转发通信信息，直至传输至通信对象对应的地址域。

2.根据权利要求1所述的层次化地址域间源地址验证机制，其特征在于，在依据自治域之间的关联关系，进行地址域层级划分的步骤中，自治域之间的关联关系至少包括政治关系、经济关系、文化关系和地理关系。

3.根据权利要求1所述的层次化地址域间源地址验证机制，其特征在于，边界地址域是位于N级地址域边界的N+1级地址域，从边界地址域向外发出的数据发往所属N级地址域之外；主地址域是代表所属N级地址域下的N+1级地址域的代表地址域，所有向N级地址域外部发送的数据，其标识由主地址域代表，主地址域由该N级地址域承担，或者从边界地址域中进行选择；非主非边界地址域位于N级地址域的内部，其它非其所属N级地址域及其子地址域直接相连的地址域。

4.根据权利要求1所述的层次化地址域间源地址验证机制，其特征在于，地址域之间建立通信连接时，通信路径上的相邻通信双方通过设置的路由器接口进行跨域标识验证：

同一N级地址域所属的N+1级地址域进行通信时，设置Trust路由器接口；

同一N级地址域内相异层级地址域、或相异的N级地址域所属的地址域进行通信时，低层级地址域连接Ingress路由器接口，高层级地址域连接Egress路由器接口，Egress路由器接口用于添加跨域标识，Ingress路由器接口用于验证跨域标识正确性。

5.根据权利要求4所述的层次化地址域间源地址验证机制，其特征在于，所述跨域标识通过虚拟地址域AD_V表示，表示需要跨越地址域。

6.根据权利要求1所述的层次化地址域间源地址验证机制，其特征在于，互联网中的全部或选定的部分自治域划分层级后，顶级地址域为地址域联盟，标号为-1级地址域，直接附属于顶级地址域的次顶级地址域，标号为0级地址域；随层数的增加依次增加级数。

7.根据权利要求5所述的层次化地址域间源地址验证机制，其特征在于，通信对象为相异N级地址域所属的地址域时，构建通信路径，从通信需求的N+1级地址域起，后续连续若干地址域均为与起始的N+1级地址域同层级时，直接发送通信数据；再后续的地址域与通信需求的N+1级地址域属于相异的N级地址域时，前一地址域向后一地址域发送通信信息的同时，发送自身跨域标识，后一地址域接收通信信息的同时验证跨域标识，验证通过继续传输，否则终止。

8.一种层次化地址域间源地址验证装置，当所述层次化地址域间源地址验证装置中的指令由处理器执行时，执行一种层次化地址域间源地址验证机制，其特征在于，所述装置包括：

划分模块，用于对互联网内选定的全部或若干自治域，依据自治域之间的关联关系，进行地址域层级划分；

分类模块，用于在划分层次的地址域中，对处于同一N级地址域下的N+1级地址域，按照其在N级地址域内所处位置进行分类；其中，N级地址域的N+1级地址域分类为主地址域、边界地址域和非主非边界地址域；

通信管理模块，用于当N级地址域所属的N+1级地址域产生通信需求时，判断通信对象所属分类类型，并根据分类类型建立通信连接；其中，

若通信对象为同一N级地址域下的N+1级地址域，则直接建立通信连接；

若通信对象为相异的N级地址域所属的地址域，则构建通信路径，根据地址域的分类类型，为通信路径上每一地址域添加跨域标识，通信路径上的地址域转发通信信息的同时转发自身的跨域标识，在后地址域验证在前地址域的跨域标识，验证通过后，向其后的地址域转发通信信息，直至传输至通信对象对应的地址域。

9.一种计算机设备，其特征在于，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现如权利要求1-7中任一所述的方法。

10.一种非临时性计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-7中任一所述的方法。

Images