CN117997625A - 一种SRv6网络的源地址校验方法及装置 - Google Patents
一种SRv6网络的源地址校验方法及装置 Download PDFInfo
- Publication number
- CN117997625A CN117997625A CN202410209156.4A CN202410209156A CN117997625A CN 117997625 A CN117997625 A CN 117997625A CN 202410209156 A CN202410209156 A CN 202410209156A CN 117997625 A CN117997625 A CN 117997625A
- Authority
- CN
- China
- Prior art keywords
- source
- network
- vpn sid
- sid
- srv
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000012795 verification Methods 0.000 claims abstract description 68
- 230000006870 function Effects 0.000 claims description 10
- 238000001514 detection method Methods 0.000 claims description 9
- 230000003068 static effect Effects 0.000 claims description 7
- 238000001914 filtration Methods 0.000 claims description 6
- 230000007246 mechanism Effects 0.000 claims description 4
- 238000011084 recovery Methods 0.000 claims description 3
- 230000001172 regenerating effect Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 12
- 229920006235 chlorinated polyethylene elastomer Polymers 0.000 description 24
- 238000007726 management method Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 101100064323 Arabidopsis thaliana DTX47 gene Proteins 0.000 description 5
- 101150026676 SID1 gene Proteins 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 4
- 101100042631 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) SIN3 gene Proteins 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 101000840469 Arabidopsis thaliana Isochorismate synthase 1, chloroplastic Proteins 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 238000005242 forging Methods 0.000 description 2
- 238000004806 packaging method and process Methods 0.000 description 2
- 101100256918 Caenorhabditis elegans sid-2 gene Proteins 0.000 description 1
- 208000033748 Device issues Diseases 0.000 description 1
- 101150025129 POP1 gene Proteins 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000000136 cloud-point extraction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000004064 recycling Methods 0.000 description 1
- 101150096768 sid4 gene Proteins 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种SRv6网络的源地址校验方法及装置,按照预设的编码规则为网络中的每一个设备建立唯一的源VPN SID,包括:源端在发送报文时,将其所对应的源VPN SID封装到SRH路径信息中的Src IPv6字段中;开启了校验功能的设备接收到报文后,对报文进行解析,获取Src IPv6字段出的源VPN SID;对源VPN SID进行校验,如果校验通过,继续后续流程;如果校验不通过,则丢弃相应的报文。本发明提出一种SRv6网络的源地址可信验证方法,提升了网络的安全性,通过SRv6源地址管理、SRv6源地址可信验证、SRv6源路由VPN安全访问验证,使得基于SRv6技术的网络访问更加安全。
Description
技术领域
本发明属于通信技术领域,更具体地,涉及一种SRv6网络的源地址校验方法及装置。
背景技术
基于IPv6转发平面的段路由(Segment Routing IPv6,简写为SRv6)技术是一种基于IPv6转发平面新一代承载协议,它采用现有的IPv6技术,通过灵活的IPv6扩展头,实现网络可编程,其特点在于有网络协议简化、能力开放和可编程等特点,成为5G、云时代的网络演进方向,支撑大量不同业务的不同诉求,契合业务驱动网络的趋势要求。
SRv6技术基于源路由理念设计,改变了IP网络报文路由转发的基础机制,也对网络安全防护带来新的挑战。造成SRv6源路由威胁的根本原因在于:一是由于段列表中携带SRv6地址容易泄露;二是攻击者通过窃取SRv6路由扩展头可实现网络拓扑窃取,通过任意修改SRv6路由扩展头来实现一些非法访问以及获取一些非授权的服务。
随着SRv6技术在网络中部署应用,上述SRv6技术带来的网络安全问题具体包括:
问题1,网络拓扑窃取。SRv6的段地址列表中包含转发路径中经过的多个网络设计地址信息,攻击者通过探测手段,抓取SRv6报文便可获取丰富的网络拓扑信息,然后再发起网络攻击。
问题2,获取非授权服务。网络中的客户端1购买了高质量网络服务和业务服务,客户端1的流量按照购买的网络服务在SRv6网络中转发到业务服务。客户端2(攻击者)可通过复制客户端1报文的SRv6段列表,获取与客户端1一致的网络服务和业务服务等。
问题3,虚拟专用网络(Virtual Private Network,简写为VPN)安全标识符(Security IDentifiers,简写为SID)的配置管理。对于传统的接入设备而言,没有控制器,配置相关VPN SID相对比较困难,需要进入设备的配置管理来进行配置,一般在网的设备都没有管理接口,对于一些小型的接入设备也不存在动态协议,因此只能在现场进行配置。
问题4,攻击报文的特征分析。目前已经存在一些技术使用源地址校验的方式来进行安全校验,但是他们在源地址中填充的校验值是固定的,容易被攻击者进行流量分析,构造相同的报文进行攻击。
问题5,VPN域内一般均是可以互相访问以及通信,但也会存在一些问题,例如攻击者远程控制某个分支站点的服务器对总部发起攻击,导致业务瘫痪,那么会导致其他的分支站点也无法访问总部服务。
综上,上述SRv6技术带来的网络安全问题需要被亟待解决。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种SRv6网络的源地址校验方法及装置,其目的在于通过SRv6源地址管理、SRv6源地址可信验证、SRv6源路由VPN安全访问验证,使得基于SRv6技术的网络访问更加安全,由此解决SRv6技术带来的网络安全问题。
为实现上述目的,按照本发明的一个方面,提供了一种SRv6网络的源地址校验方法,按照预设的编码规则为网络中的每一个设备建立唯一的源VPN SID,包括:
源端在发送报文时,将其所对应的源VPN SID封装到SRH路径信息中的Src IPv6字段中;
开启了校验功能的设备接收到报文后,对报文进行解析,获取Src IPv6字段出的源VPN SID;
对源VPN SID进行校验,如果校验通过,继续后续流程;如果校验不通过,则丢弃相应的报文。
进一步地,所述按照预设的编码规则为网络中的每一个设备建立唯一的源VPNSID包括:
根据全局配置前缀、设备所处网络的网络标识VPN_ID、设备所支持的业务类型和随机生成的随机数建立唯一的源VPN SID。
进一步地,所述全局配置前缀为源地址可信验证功能的公共属性,用于区分设备;所述网络标识用于标识设备的VPN信息;设备所支持的业务类型Type用于标识业务类型;随机数用于保证源VPN SID的随机性。
进一步地,还包括随机数更新机制;
判断所述源VPN SID中的随机数是否已经到期;若已经到期,则重新生成新的随机数,并更新相应的源VPN SID;
将已经到期的随机数放入回收池,以在预设时间内不再使用已经到期的随机数;
其中,当源VPN SID被更新后,同步更新校验表中相应的源VPN SID。
进一步地,所述对源VPN SID进行校验,如果校验通过,继续后续流程;如果校验不通过,则丢弃相应的报文包括:
如果源VPN SID存在于校验表中,则校验通过,继续后续流程;如果源VPN SID不存在于校验表中,则丢弃相应的报文。
进一步地,采用静态方式设备下发校验表,具体包括:
由控制器配置每个设备的源VPN SID,将源VPN SID下发至相应的设备;
所述控制器根据网络拓扑关系确定设备所信任的源VPN SID,根据设备所信任的源VPN SID建立校验表,并将校验表下发至相应的设备,以便于后续校验。
进一步地,网络中的各设备建立BGP邻居,采用动态方式通告源VPN SID,以便于建立校验表,具体包括:
由控制器配置每个设备的源VPN SID,将源VPN SID下发至相应的设备;
通过扩展BGP属性将源VPN SID分发到目的端,以便于目的端根据接收到的源VPNSID建立校验表。
进一步地,对BGP协议进行扩展,在BGP IPv6 SAVNET地址族下面新增路由类型,通过新增的路由类型通告源VPN SID;
所述通过扩展BGP属性将源VPN SID分发到目的端,以便于目的端根据接收到的源VPN SID建立校验表包括:
各个设备在VPN中均会配置相应的RT属性;
源端基于新增的路由类型生成用于通告源VPN SID的Update报文,并在Update报文中携带自身的RT属性;
目的端对Update报文进行解析,得到RT属性;将解析出来的RT属性和所有本地VPN配置的RT进行比较;
当相同时,将所述Update报文中携带的源VPN SID添加到校验表中;当不相同时,滤除所述Update报文。
进一步地,所述对源VPN SID进行校验包括:采用ACL检测方式或者URPF检测方式对源VPN SID进行校验。
按照本发明的另一方面,提供了一种SRv6网络的源地址校验装置,包括至少一个处理器和存储器,所述至少一个处理器和存储器之间通过数据总线连接,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令在被所述处理器执行后,用于完成所述的SRv6网络的源地址校验方法。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,具有如下有益效果:
本发明分析SRv6源路由转发带来的网络安全风险和对边界安全产品的防护挑战,提出一种SRv6网络的源地址可信验证方法,提升了网络的安全性,通过SRv6源地址管理、SRv6源地址可信验证、SRv6源路由VPN安全访问验证,使得基于SRv6技术的网络访问更加安全。
附图说明
图1是本发明实施例提供的一种现有网络交互示意图;
图2是本发明实施例提供的一种SRv6网络的源地址校验方法的流程示意图;
图3是本发明实施例提供的一种源VPN SID的结构示意图;
图4是本发明实施例提供的一种SRH头的路径信息的示意图;
图5是本发明实施例提供的另一种SRv6网络的源地址校验方法的流程示意图;
图6是本发明实施例提供的一种动态通告源VPN SID的流程示意图;
图7是本发明实施例提供的一种SD-WAN企业网络拓扑示意;
图8是本发明实施例提供的一种SRv6网络的源地址校验装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
实施例1:
下面结合图1,说明SRv6的安全性问题。CPE在封装外层IPv6头时,以对应的VPNSID作为外层IPv6头的源地址。在正常情况下,用户1通过CPE1的VPN SID—SID1,SID LIST为SID1->SID2->SID3->SID4的路径可以访问VCP1(私有网络)。
但是如果有伪造的CPE1’,利用VPN SID—SID1’,SID LIST为SID1’->SID2->SID3->SID4的路径可以访问VCP1。这样用户1的私有云服务便可以被用户1’非法访问。
由此可见,需要对SID地址规划管理、安全检查等方面进行改进,才能够较好地解决SRv6的安全性问题。
为了解决前述问题,本实施例提供了一种SRv6网络的源地址校验方法,参阅图2,该SRv6网络的源地址校验方法包括:
步骤101:按照预设的编码规则为网络中的每一个设备建立唯一的源VPN SID。
其中,预设的编码规则可以依据实际情况设定。
在一个实施例中,如图3,可以根据全局配置前缀、设备所处网络的网络标识VPN_ID、设备所支持的业务类型和随机生成的随机数建立唯一的源VPN SID。
其中,全局配置前缀为源地址可信验证功能的公共属性,可用于区分设备。全局配置前缀可以表示为Prefix,Prefix可以为64位长,全局配置前缀用于标识客户终端设备(Customer Premise Equipment,简写为:CPE)的设备信息。全局配置前缀为CPE的全局配置,CPE的所有VPN均使用该Prefix。
网络标识VPN_ID可以为16位长,用于标识CPE设备的VPN信息。在报文进入时,CPE便可获取当前报文从哪个VPN进入的。在SD-WAN网络中VPN_ID为VRF_ID。
设备所支持的业务类型Type可以16位长,具体值可以由用户自定义,可用于标识业务类型(标识16种业务),默认值为0,表示不识别业务。非0时表示用户需要区分业务,该VPN只允许某几类业务访问,其他的不允许访问,那么就可以填充该字段。例如,视频业务在第0位,语音业务在第2位,则Type为0000000000000101,表示可以访问视频业务和语音业务,其他业务不能访问。业务类型由用户制定,VPN域内的设备制定的类型一致即可。
随机数Suffix可以为32位长,为随机数,用于保证源VPN SID的随机性,防止伪造。随机数Suffix也可为全0,表明不关心,那么此时的源VPN SID便不存在随机特征(一些不存在控制器的设备使用)。
在本实施例中,在SRv6 VPN域内采用源VPN SID源地址校验的方式来解决网络安全的问题,不同的源VPN SID不会同时存在于多个SRv6 VPN域中。
在为每个设备建立唯一的源VPN SID后,通过静态方式或者动态方式将源VPN SID分发至相应的设备,其中,静态方式和动态方式下文再做具体介绍说明。
步骤102:源端在发送报文时,将其所对应的源VPN SID封装到SRH路径信息中的Src IPv6字段中。
SRv6报文实质还是IPv6报文,是在IPv6网络中传输,只是根据SRH头的路径信息进行转发,其报文格式大致如下图4所示。
SRv6封装是封装一段SRH(Segment Routeing Header)路径信息,SRH路径信息该用于指导报文转发的路径;每经过一个SRH中的SRv6站点,其IPv6 Hdr中的Dst IPv6就会替换为下一跳SID地址。一般情况下,IPv6 Hdr中的Src IPv6为报文在首站出口的接口IPv6地址或者环回口地址,该地址在SRv6网络中基本没有作用,我们利用该字段封装为CPE分配的源VPN SID,用于在源端或者目的端PoP上进行源地址校验,确认源地址可信后再放行,保证SRv6网络的安全。
在报文进入时,根据配置需求,若要封装源VPN SID,便根据业务类型在VPN中找到对应的源VPN SID封装,若不知道业务类型,便封装VPN中默认的源VPN SID,并封装在外层IPv6头的Src_ipv6的位置。
步骤103:开启了校验功能的设备接收到报文后,对报文进行解析,获取Src IPv6字段出的源VPN SID。
正常转发过程中,SRv6报文是无需进行报文校验的。但是如果该VPN开启了源地址校验的功能,则进行校验,否则直接放行。
报文在转发过程中,可能会经过中间节点到达目的端,在报文转发的过程中,开启了校验功能的设备接收到报文后,对报文进行解析,获取Src IPv6字段出的源VPN SID。
步骤104:对源VPN SID进行校验,如果校验通过,继续后续流程;如果校验不通过,则丢弃相应的报文。
在一个实施例中,如果源VPN SID存在于校验表中,则校验通过,继续后续流程;如果源VPN SID不存在于校验表中,则丢弃相应的报文。
其中,校验表可以由用户静态配置,或者通过BGP通告的方式自动生成。以源VPNSID作为key,不用区分VPN,因为源VPN SID本身是区分了VPN信息的。
在本实施例中,在开启了校验功能的设备,预先建立有校验表,该校验表中存储有可以验证通过的源VPN SID,即,可以信任的设备。其中,可以根据实际情况动态更新校验表,以适应网络的变化。
在一个实施例中,也可以采用访问控制列表(Access Control Lists,简写为ACL)检测方式或者单播反向路由查找(Unicast Reverse Path Forwarding,简写为URPF)检测方式对源VPN SID进行校验。
具体地,通过严格或松散的单播反向路由查找(URPF)进行校验,在我们为CPE分配了对应的源VPN SID后,由控制器在对应的PoP设备下发对应VPN SID的网段路由,或者在无控制器的情况下手动配置,用于URPF检测。我们为CPE1分配的VPN SID为VPN SID1,为CPE2分配的VPN SID为VPN SID2;此时我们可以手动在PE1配置VPN SID1的路由,在PE2上配置VPN SID2的路由,若是PoP设备,可以SD-WAN控制器配置。此时流量为CPE1到CPE2,在报文到达PE1时,首先判断目的SID是否为BSID,若是则进行URPF检测,若发现存在VPN SID1的路由,路由出口且与入口一致,校验通过,放行,封装BSID后转发,否则不允许封装BSID,报文丢弃。若报文的目的SID不为BSID,则按照路由正常转发。
上述方法对于非法获取、非授权服务的防范是有明显效果的,因为非法用户是无法知道该授权服务的BSID是哪些源地址可以使用的,无法封装对应的源VPN SID来骗过PoP/PE设备,导致无法封装该服务的BSID。
本实施例的方案利用URPF的原理,由控制器或者手动配置PoP/PE设备上关于VPNSID的路由,实现URPF的校验。黑客由于无法获取PoP/PE设备的路由信息,无法伪造源地址来通过校验。
区别于现有技术,本实施例至少具有如下效果:本发明分析SRv6源路由转发带来的网络安全风险和对边界安全产品的防护挑战,提出一种SRv6网络的源地址可信验证方法,提升了网络的安全性,通过SRv6源地址管理、SRv6源地址可信验证、SRv6源路由VPN安全访问验证,使得基于SRv6技术的网络访问更加安全。
在一个实施例中,由控制器配置每个设备的源VPN SID,采用静态方式设备下发校验表。所述SRv6网络的源地址校验方法还包括:由控制器配置每个设备的源VPN SID,将源VPN SID下发至相应的设备;所述控制器根据网络拓扑关系确定设备所信任的源VPN SID,根据设备所信任的源VPN SID建立校验表,并将校验表下发至相应的设备,以便于后续校验。
即,由控制器进行手动配置,进行Prefix、VPN_ID、Type的配置,Suffix定期更新。在这些配置下发完成后,CPE可以自己生成属于自己VPN网络的源VPN SID;校验表也可以由控制器分发到各个CPE。
在一个实施例中,由控制器配置每个设备的源VPN SID,采用动态方式下发源VPNSID。网络中的各设备建立BGP邻居,采用动态方式通告源VPN SID,以便于建立校验表。所述SRv6网络的源地址校验方法还包括:由控制器配置每个设备的源VPN SID,将源VPN SID下发至相应的设备;通过扩展BGP属性将源VPN SID分发到目的端,以便于目的端根据接收到的源VPN SID建立校验表。
当然,在其他实施例中,也可以有设备自己生成源VPN SID,控制器从各设备查询到各个设备所对应的源VPN SID,或者设备主动向控制器通告源VPN SID。
如图6所示,在步骤“对BGP协议进行扩展,在BGP IPv6 SAVNET地址族下面新增路由类型,通过新增的路由类型通告源VPN SID”具体包括:
步骤201:各个设备在VPN中均会配置相应的RT属性。
其中,RT(Route-Target)属性是BGP扩展团体属性,它决定VPN路由的收发和过滤,依靠RT属性区分不同VPN之间路由。
步骤202:源端基于新增的路由类型生成用于通告源VPN SID的Update报文,并在Update报文中携带自身的RT属性。
步骤203:目的端对Update报文进行解析,得到RT属性;将解析出来的RT属性和所有本地VPN配置的RT进行比较。
步骤204:当相同时,将所述Update报文中携带的源VPN SID添加到校验表中;当不相同时,滤除所述Update报文。
即,CPE各节点间均建立BGP邻居。通过扩展BGP属性将源VPN SID分发到目的节点。这种场景下,节点在VPN中都会配置相应的RT属性,各节点的VPN根据配置的Prefix、VPN_ID、允许的Type类型以及随机生成的随机数Suffix,拼接成完整的源VPN SID,BGP的Update报文扩展属性携带源VPN SID。通过对BGP Update报文中携带的RT属性和所有本地VPN配置的RT进行比较;当相同时,将该Update报文中携带的路由信息导入到VPN中,并将RT匹配的源VPN SID安装到校验表中,从而实现将源VPN SID自动安装到目的节点的校验表中;不相同时,滤除该BGP Update报文。
这种方式需要对BGP协议进行扩展,需要在增加BGP IPv6 SAVNET地址族下面新增路由类型,用于通告源VPN SID。
为了提高安全性,每个设备的源VPN SID会动态更新,在本实施例中,所述SRv6网络的源地址校验方法还包括随机数更新机制;判断所述源VPN SID中的随机数是否已经到期;若已经到期,则重新生成新的随机数,并更新相应的源VPN SID;将已经到期的随机数放入回收池,以在预设时间内不再使用已经到期的随机数;其中,当源VPN SID被更新后,同步更新校验表中相应的源VPN SID。
若依靠控制器进行静态方式方式更新,具体实现方式为:随机数Suffix为控制器随机生成,下发到CPE中,并定期更新,防止攻击者伪造。Prefix+VPN_ID+Type+Suffix生成一个唯一的源VPN SID,一个VPN中若要区分多种业务,那么便存在多个源VPN SID。控制器判断CPE中的VPN网络的Suffix是否到期,若到期,重新随机生成新的Suffix,组成新的源VPN SID,并下发到需要校验的设备。控制器下发新的Suffix给CPE,替换到期的Suffix;控制器将到期的Suffix回收,并且一段时间内不再使用该到期的Suffix,以防止短时间重新分配该Suffix。控制器删除需要校验的设备的VPN校验表中到期的源VPN SID。
若不依靠控制器进行更新,使用BGP进行动态更新,具体实现方式为:CPE判断VPN网络的Suffix是否到期,若到期,更新Suffix,撤销到期的源VPN SID,同时发布新的源VPNSID;将到期的Suffix回收,放进回收池,一段时间内不再使用该到期的Suffix,以防止短时间重新分配该Suffix。需要校验的设备收到BGP撤销消息后,删除到期的源VPN SID。
实施例2:
下面基于图7,说明PoP/CPE进行源地址校验的过程:
在实际应用场景下,可以在目的端进行源校验,以实现SRv6源路由VPN安全访问,防止网络防攻击。
图7为一个基于SRv6的企业SD-WAN拓扑。在运营商为其分配一个VPN后,为每个节点(企业分支/企业总部)的CPE分配SID,企业便可以在VPN中形成一个企业的SRv6专网,实现分支与总部,分支与分支互通的网络。
但是单纯的SRv6网络存在一种安全隐患,例如若有心人员知道了CPE1企业分支去往CPE3企业总部的路径的CPE1->PoP1->PoP2->CPE3的路径,SID_LIST为SID1CPE1->SID2PoP1->SID3POP2->SID4CPE3,同时内网服务器信息也泄露,那么黑客可以很轻松的通过伪造SRv6报文的SRH(SID2PoP1,SID3POP2,SID4CPE3)来访问到企业总部的服务器,导致数据窃取,或者非法访问以及攻击,存在重大的安全隐患。
采用了本方案后可以规避前述问题,为每个CPE配置相应源VPN SID,以通过源VPNSID进行源地址校验。比如CPE3要阻断CPE2的流量,虽然CPE2和CPE3在同一个VPN域内,只要CPE3不配置CPE2的源VPN SID,CPE2便无法主动与CPE3进行交互。这种方式可以防止黑客利用企业分支2的CPE2来发起攻击(比如远程控制了企业分支2的服务器),那么被攻击者(CPE3)发现是利用企业分支2发起的攻击,那么此时来自CPE2的流量便不可信了,此时便可以阻断CPE2的流量访问,不至于将总部服务瘫痪。
黑客计划攻击该VPN网络,由于VPN校验的开启,即使黑客获取到各个CPE的SID,也无法通过CPE的源地址校验。
上述方案分别在源侧的PoP/PE设备进行源地址校验,在目的节点PoP/CPE设备上进行源地址校验。
其中,在源侧的PoP/PE设备进行源地址校验的有益效果:可以在SRv6信任域的BSID节点进行源地址校验,防止非信任域的流量篡改SID地址为该SRv6网络信任域的BSID,从而进入SRv6信任域网络,导致SRv6网络信任域的安全问题。可以将一个BSID地址作为一个高速网络,作为优质服务用于销售,同时给相关用户分配一个可以进入该BSID高速网络的源VPN SID,在进入高速网络之前,按照上述方案进行源地址校验,可以防止非授权用户使用这个BSID。使用这种方式来实现优质网络销售是十分便捷的。
在目的节点的PoP/CPE设备上进行源地址校验的有益效果:可以防止非法用户访问VPN网络,保证VPN网络的信息安全和数据安全。若有非法数据访问,将会被拦截在目的节点。可以防止DDos攻击,在目的节点进行源地址校验,校验不通过会将报文直接丢弃,不会将报文送达目的服务器,无法实现DDos攻击。
综上,本实施例的方案至少具有如下有益效果:
(1)可以实现SRv6网络的VPN域内的安全,防止非法访问以及非授权服务的使用。
(2)整个流程没有复杂的计算,基本不影响SRv6网络的转发性能,在保证网络安全的情况下保证性能。
(3)可以控制域内各站点的互通性,在一个站点出现问题时,可以隔绝其攻击流量。
实施例3:
在上述实施例提供的SRv6网络的源地址校验方法的基础上,本发明还提供了一种SRv6网络的源地址校验装置,如图8所示,是本发明实施例的装置架构示意图。本实施例的装置包括一个或多个处理器21以及存储器22。其中,图8中以一个处理器21为例。
所述处理器21和所述存储器22可以通过总线或者其他方式连接,图8中以通过总线连接为例。
所述存储器22作为一种SRv6网络的源地址校验方法的非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如实施例1中的SRv6网络的源地址校验方法。所述处理器21通过运行存储在所述存储器22中的非易失性软件程序、指令以及模块,从而执行装置的各种功能应用以及数据处理,即实现实施例的SRv6网络的源地址校验方法。
所述存储器22可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,所述存储器22可选包括相对于所述处理器21远程设置的存储器,这些远程存储器可以通过网络连接至所述处理器21。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述程序指令/模块存储在所述存储器22中,当被所述一个或者多个处理器21执行时,执行上述实施例中的SRv6网络的源地址校验方法,具体包括:按照预设的编码规则为网络中的每一个设备建立唯一的源VPN SID,源端在发送报文时,将其所对应的源VPN SID封装到SRH路径信息中的Src IPv6字段中;开启了校验功能的设备接收到报文后,对报文进行解析,获取Src IPv6字段出的源VPN SID;对源VPN SID进行校验,如果校验通过,继续后续流程;如果校验不通过,则丢弃相应的报文。
在一个实施例中,如果源VPN SID存在于校验表中,则校验通过,继续后续流程;如果源VPN SID不存在于校验表中,则丢弃相应的报文。可以采用静态方式设备下发校验表,具体包括:由控制器配置每个设备的源VPN SID,将源VPN SID下发至相应的设备;所述控制器根据网络拓扑关系确定设备所信任的源VPN SID,根据设备所信任的源VPN SID建立校验表,并将校验表下发至相应的设备,以便于后续校验。也可以采用动态方式通告源VPN SID,以便于建立校验表,具体包括:由控制器配置每个设备的源VPN SID,将源VPN SID下发至相应的设备;通过扩展BGP属性将源VPN SID分发到目的端,以便于目的端根据接收到的源VPNSID建立校验表。具体而言,各个设备在VPN中均会配置相应的RT属性;源端基于新增的路由类型生成用于通告源VPN SID的Update报文,并在Update报文中携带自身的RT属性;目的端对Update报文进行解析,得到RT属性;将解析出来的RT属性和所有本地VPN配置的RT进行比较;当相同时,将所述Update报文中携带的源VPN SID添加到校验表中;当不相同时,滤除所述Update报文。
更为具体的实现方式请详见实施例1和实施例2,在此不再赘述。
本领域普通技术人员可以理解实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取存储器(RAM,Random AccessMemory)、磁盘或光盘等。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种SRv6网络的源地址校验方法,其特征在于,按照预设的编码规则为网络中的每一个设备建立唯一的源VPN SID,包括:
源端在发送报文时,将其所对应的源VPN SID封装到SRH路径信息中的Src IPv6字段中;
开启了校验功能的设备接收到报文后,对报文进行解析,获取Src IPv6字段出的源VPNSID;
对源VPN SID进行校验,如果校验通过,继续后续流程;如果校验不通过,则丢弃相应的报文。
2.根据权利要求1所述的SRv6网络的源地址校验方法,其特征在于,所述按照预设的编码规则为网络中的每一个设备建立唯一的源VPN SID包括:
根据全局配置前缀、设备所处网络的网络标识VPN_ID、设备所支持的业务类型和随机生成的随机数建立唯一的源VPN SID。
3.根据权利要求2所述的SRv6网络的源地址校验方法,其特征在于,所述全局配置前缀为源地址可信验证功能的公共属性,用于区分设备;所述网络标识用于标识设备的VPN信息;设备所支持的业务类型Type用于标识业务类型;随机数用于保证源VPN SID的随机性。
4.根据权利要求2所述的SRv6网络的源地址校验方法,其特征在于,还包括随机数更新机制;
判断所述源VPN SID中的随机数是否已经到期;若已经到期,则重新生成新的随机数,并更新相应的源VPN SID;
将已经到期的随机数放入回收池,以在预设时间内不再使用已经到期的随机数;
其中,当源VPN SID被更新后,同步更新校验表中相应的源VPN SID。
5.根据权利要求1所述的SRv6网络的源地址校验方法,其特征在于,所述对源VPN SID进行校验,如果校验通过,继续后续流程;如果校验不通过,则丢弃相应的报文包括:
如果源VPN SID存在于校验表中,则校验通过,继续后续流程;如果源VPN SID不存在于校验表中,则丢弃相应的报文。
6.根据权利要求5所述的SRv6网络的源地址校验方法,其特征在于,采用静态方式设备下发校验表,具体包括:
由控制器配置每个设备的源VPN SID,将源VPN SID下发至相应的设备;
所述控制器根据网络拓扑关系确定设备所信任的源VPN SID,根据设备所信任的源VPNSID建立校验表,并将校验表下发至相应的设备,以便于后续校验。
7.根据权利要求5所述的SRv6网络的源地址校验方法,其特征在于,网络中的各设备建立BGP邻居,采用动态方式通告源VPN SID,以便于建立校验表,具体包括:
由控制器配置每个设备的源VPN SID,将源VPN SID下发至相应的设备;
通过扩展BGP属性将源VPN SID分发到目的端,以便于目的端根据接收到的源VPN SID建立校验表。
8.根据权利要求7所述的SRv6网络的源地址校验方法,其特征在于,对BGP协议进行扩展,在BGP IPv6 SAVNET地址族下面新增路由类型,通过新增的路由类型通告源VPN SID;
所述通过扩展BGP属性将源VPN SID分发到目的端,以便于目的端根据接收到的源VPNSID建立校验表包括:
各个设备在VPN中均会配置相应的RT属性;
源端基于新增的路由类型生成用于通告源VPN SID的Update报文,并在Update报文中携带自身的RT属性;
目的端对Update报文进行解析,得到RT属性;将解析出来的RT属性和所有本地VPN配置的RT进行比较;
当相同时,将所述Update报文中携带的源VPN SID添加到校验表中;当不相同时,滤除所述Update报文。
9.根据权利要求1所述的SRv6网络的源地址校验方法,其特征在于,所述对源VPN SID进行校验包括:采用ACL检测方式或者URPF检测方式对源VPN SID进行校验。
10.一种SRv6网络的源地址校验装置,其特征在于,包括至少一个处理器和存储器,所述至少一个处理器和存储器之间通过数据总线连接,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令在被所述处理器执行后,用于完成权利要求1-9任一所述的SRv6网络的源地址校验方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410209156.4A CN117997625A (zh) | 2024-02-26 | 2024-02-26 | 一种SRv6网络的源地址校验方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410209156.4A CN117997625A (zh) | 2024-02-26 | 2024-02-26 | 一种SRv6网络的源地址校验方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117997625A true CN117997625A (zh) | 2024-05-07 |
Family
ID=90890958
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410209156.4A Pending CN117997625A (zh) | 2024-02-26 | 2024-02-26 | 一种SRv6网络的源地址校验方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117997625A (zh) |
-
2024
- 2024-02-26 CN CN202410209156.4A patent/CN117997625A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110113291B (zh) | 用于在业务功能链域之间进行互通的方法和设备 | |
| US9584531B2 (en) | Out-of band IP traceback using IP packets | |
| US20110119752A1 (en) | Method and system for including security information with a packet | |
| US7873993B2 (en) | Propagating black hole shunts to remote routers with split tunnel and IPSec direct encapsulation | |
| CN109525601B (zh) | 内网中终端间的横向流量隔离方法和装置 | |
| CN107819732B (zh) | 用户终端访问本地网络的方法和装置 | |
| US10091102B2 (en) | Tunnel sub-interface using IP header field | |
| CN103188351B (zh) | IPv6环境下IPSec VPN通信业务处理方法与系统 | |
| Wu et al. | A source address validation architecture (SAVA) testbed and deployment experience | |
| US11968174B2 (en) | Systems and methods for blocking spoofed traffic | |
| US10911581B2 (en) | Packet parsing method and device | |
| CN101902482B (zh) | 基于IPv6自动配置实现终端安全准入控制的方法和系统 | |
| CN112532621B (zh) | 一种流量清洗方法、装置、电子设备及存储介质 | |
| CN105207778A (zh) | 一种在接入网关设备上实现包身份标识及数字签名的方法 | |
| CN106027491B (zh) | 基于隔离ip地址的独立链路式通信处理方法和系统 | |
| CN108092897B (zh) | 一种基于sdn的可信路由源管理方法 | |
| CN106789999B (zh) | 追踪视频源的方法及装置 | |
| Li et al. | SDN-Ti: a general solution based on SDN to attacker traceback and identification in IPv6 networks | |
| US20040233849A1 (en) | Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture | |
| Khoussainov et al. | LAN security: problems and solutions for Ethernet networks | |
| US8065393B2 (en) | Method and system for obviating redundant actions in a network | |
| CN117997625A (zh) | 一种SRv6网络的源地址校验方法及装置 | |
| US9571459B2 (en) | Synchronizing a routing-plane and crypto-plane for routers in virtual private networks | |
| Siddiqui et al. | Self-reliant detection of route leaks in inter-domain routing | |
| WO2023222028A1 (zh) | 一种网络编程技术处理方法、系统及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |