亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于自治系統(tǒng)互聯(lián)關(guān)系的真實IPv6源地址驗證方法

文檔序號:7966880閱讀:189來源:國知局
專利名稱:基于自治系統(tǒng)互聯(lián)關(guān)系的真實IPv6源地址驗證方法
技術(shù)領(lǐng)域
基于自治系統(tǒng)互聯(lián)關(guān)系的真實IPv6源地址驗證方法屬于互聯(lián)網(wǎng)技術(shù)領(lǐng)域,尤其涉及IPv6網(wǎng)絡(luò)下自治系統(tǒng)間的真實源地址驗證技術(shù)。
背景技術(shù)
現(xiàn)有互聯(lián)網(wǎng)的路由轉(zhuǎn)發(fā)基于目的IP地址,對于轉(zhuǎn)發(fā)分組的源IP地址不做檢查,這使得偽造源地址的分組難以追蹤,偽造源地址的攻擊輕易而頻繁。實現(xiàn)真實IP源地址驗證,確保網(wǎng)絡(luò)中每一臺主機(jī)都使用合法的真實IP地址來訪問網(wǎng)絡(luò),可以帶來以下好處首先,互聯(lián)網(wǎng)中的流量更加容易追蹤,偽造源地址的攻擊易于控制;第二,網(wǎng)絡(luò)精細(xì)管理和基于用戶地址的計費可以更加方便的實現(xiàn);第三,身份認(rèn)證可以基于真實IP地址得到簡化。
現(xiàn)有源地址驗證方案可以分為加密認(rèn)證方法,基于事前預(yù)防的過濾驗證方法和基于事后追查的回溯方法三類。加密認(rèn)證方法增加了獨立的密鑰分發(fā)和管理開銷,基于事后追查的回溯方法所采用的回溯算法復(fù)雜,并且是事后措施,而基于事前預(yù)防的過濾驗證方法可以實時的在分組轉(zhuǎn)發(fā)過程中對真實地址進(jìn)行驗證,在實際應(yīng)用中最為合理。
互聯(lián)網(wǎng)由很多自治系統(tǒng)組成,各個自治系統(tǒng)決定自己的路由策略和管理機(jī)制,各個自治系統(tǒng)有自己的地址前綴范圍,負(fù)責(zé)管理該地址前綴范圍的管理和使用。自治系統(tǒng)間的真實IP源地址驗證是一個非常重要的問題,它的目標(biāo)是確保在網(wǎng)絡(luò)中的分組應(yīng)該來自擁有該分組源地址所有權(quán)的自治系統(tǒng)。
本發(fā)明采用事前預(yù)防的過濾驗證策略,是一種基于自治系統(tǒng)互聯(lián)關(guān)系的自治系統(tǒng)間真實IPv6源地址驗證方法。該方法具有配置簡單和可以在分組轉(zhuǎn)發(fā)的過程中實時驗證分組源IP地址的真實性的特點,便于運營商部署,適用于復(fù)雜拓?fù)浣Y(jié)構(gòu)下的IPv6網(wǎng)絡(luò),實現(xiàn)自治系統(tǒng)間的真實IP地址訪問,為可信任的下一代互聯(lián)網(wǎng)安全服務(wù)和應(yīng)用提供支持,是高可信下一代互聯(lián)網(wǎng)整體技術(shù)框架中的重要組成部分。

發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種IPv6網(wǎng)絡(luò)上基于自治系統(tǒng)互聯(lián)關(guān)系的真實源地址驗證方法。
本發(fā)明所提出的方法的思路在于利用自治系統(tǒng)互聯(lián)關(guān)系,在自治系統(tǒng)邊界路由器上生成和每一個路由器接口關(guān)聯(lián)的真實IPv6源地址驗證規(guī)則表,并利用其在自治系統(tǒng)邊界路由器上對偽造IPv6源地址的的分組進(jìn)行驗證檢查。
本發(fā)明的特征在于所述方法是在由驗證規(guī)則生成引擎、驗證引擎和自治系統(tǒng)號到IPv6地址前綴映射服務(wù)器組成的系統(tǒng)中依次按以下步驟實現(xiàn)步驟(1),每個自治系統(tǒng)有一個專用服務(wù)器,稱為驗證規(guī)則生成引擎,其上擁有兩個數(shù)據(jù)表,一個是與該自治系統(tǒng)相鄰接的自治系統(tǒng)列表,一個是該自治系統(tǒng)所擁有的驗證引擎的IP地址列表,每個自治系統(tǒng)的驗證規(guī)則生成引擎初始化,讀鄰接自治系統(tǒng)表和本自治系統(tǒng)的驗證引擎表,分別與鄰接自治系統(tǒng)的驗證規(guī)則生成引擎和本自治系統(tǒng)的各個驗證引擎建立TCP連接;步驟(2),各個自治系統(tǒng)的驗證規(guī)則生成引擎生成驗證規(guī)則更新,目的是把該自治系統(tǒng)的源地址空間信息發(fā)給鄰居,這一信息用自治系統(tǒng)號表示;步驟(3),一個自治系統(tǒng)的驗證規(guī)則生成引擎收到來自鄰居自治系統(tǒng)的驗證規(guī)則生成引擎發(fā)來的更新,查導(dǎo)出規(guī)則表來判斷是否接受這一地址空間和判斷是否將其轉(zhuǎn)發(fā)給其他鄰居自治系統(tǒng),這里導(dǎo)出規(guī)則表按照如下規(guī)則確定是否將自己所收到的來自其他自治系統(tǒng)的合法真實地址前綴集合向其他相鄰自治系統(tǒng)傳遞其一,一個自治系統(tǒng)將它自己的,它客戶自治系統(tǒng)的,以及它兄弟自治系統(tǒng)的真實地址空間集合傳遞給它的服務(wù)者自治系統(tǒng)和對等互聯(lián)自治系統(tǒng);其二,一個自治系統(tǒng)將它自己的,它客戶自治系統(tǒng)的,它兄弟自治系統(tǒng)的,它服務(wù)者自治系統(tǒng)的,它對等互聯(lián)自治系統(tǒng)的真實地址空間集合傳遞給它的客戶自治系統(tǒng)和兄弟自治系統(tǒng);步驟(4),如果這一次的驗證規(guī)則更新被該自治系統(tǒng)的驗證規(guī)則生成引擎接受,查自治系統(tǒng)號到IPv6地址前綴映射表,將以自治系統(tǒng)號形式表達(dá)的驗證規(guī)則轉(zhuǎn)換為以IPv6地址前綴形式表達(dá)的驗證規(guī)則;步驟(5),該驗證規(guī)則生成引擎將新生成的以IPv6地址前綴形式表示的驗證規(guī)則下裝到本自治系統(tǒng)的各個邊界路由器上的驗證引擎;步驟(6),該自治系統(tǒng)邊界路由器上的驗證引擎利用生成的驗證規(guī)則驗證檢查轉(zhuǎn)發(fā)的IP分組是否具有真實地址,如果真實則轉(zhuǎn)發(fā)分組,如果不真實則丟棄分組。
本發(fā)明所提出的基于自治系統(tǒng)互聯(lián)關(guān)系的IPv6網(wǎng)絡(luò)下自治系統(tǒng)間真實源地址驗證方法,具有配置簡單和可以在分組轉(zhuǎn)發(fā)的過程中實時驗證分組源IP地址的真實性的特點,便于運營商部署,適用于復(fù)雜拓?fù)浣Y(jié)構(gòu)下的IPv6網(wǎng)絡(luò),目前清華大學(xué)已經(jīng)將該項研究成果運用在下一代互聯(lián)網(wǎng)實驗床和CNGI-CERNET2上,以此為基礎(chǔ),構(gòu)建可信任下一代互聯(lián)網(wǎng)。我們計劃在下一代網(wǎng)絡(luò)建設(shè)中,進(jìn)一步驗證推廣本發(fā)明。


圖1.基于自治系統(tǒng)互聯(lián)關(guān)系的真實IPv6源地址驗證方法原理圖;
圖2.基于自治系統(tǒng)互聯(lián)關(guān)系的真實IPv6源地址驗證方法導(dǎo)出規(guī)則表;圖3.基于自治系統(tǒng)互聯(lián)關(guān)系的真實IPv6源地址驗證方法協(xié)議流程圖;圖4.基于自治系統(tǒng)互聯(lián)關(guān)系的真實IPv6源地址驗證方法部署實例。
具體實施例方式
本發(fā)明的實現(xiàn)系統(tǒng)由三個部分組成,如圖1所示,驗證規(guī)則生成引擎,驗證引擎,和自治系統(tǒng)號到IPv6地址映射服務(wù)器。而驗證規(guī)則的表現(xiàn)形式是IPv6地址前綴的集合。
●驗證規(guī)則生成引擎生成驗證規(guī)則,一個自治系統(tǒng)一臺,采用Linux服務(wù)器實現(xiàn);●驗證引擎則利用驗證規(guī)則生成引擎下裝的驗證規(guī)則,驗證轉(zhuǎn)發(fā)的IP分組的源地址的真實性,采用Linux主機(jī)模擬數(shù)據(jù)鏈路層設(shè)備,部署于自治系統(tǒng)邊界路由器的每一個接口上;●而自治系統(tǒng)號到IPv6地址映射服務(wù)器維護(hù)一個從自治系統(tǒng)號映射到屬于該自治系統(tǒng)的一組IPv6地址前綴的目錄服務(wù)。
依據(jù)自治系統(tǒng)是否提供流量穿越和自治系統(tǒng)與其他自治系統(tǒng)的連接情況,可以將自治系統(tǒng)劃分為多連接非穿越自治系統(tǒng),多連接穿越自治系統(tǒng)和單連接非穿越自治系統(tǒng)三類。
而自治系統(tǒng)互聯(lián)關(guān)系則具有以下四類●客戶到服務(wù)者關(guān)系和服務(wù)者到客戶關(guān)系,其中服務(wù)者自治系統(tǒng)為客戶自治系統(tǒng)提供穿越服務(wù);●兄弟關(guān)系,兩個自治系統(tǒng)互相提供穿越服務(wù);●對等互聯(lián)關(guān)系,兩個自治系統(tǒng)互相提供到對方內(nèi)部的訪問。
圖3指出了本發(fā)明所提出的基于自治系統(tǒng)互聯(lián)關(guān)系的IPv6網(wǎng)絡(luò)下自治系統(tǒng)間真實源地址驗證方法的的具體協(xié)議交互流程。
首先,每個自治系統(tǒng)的驗證規(guī)則生成引擎初始化,讀鄰接自治系統(tǒng)表和本自治系統(tǒng)的驗證引擎表,分別與鄰接自治系統(tǒng)的驗證規(guī)則生成引擎和本自治系統(tǒng)的各個驗證引擎建立TCP連接;然后,各個自治系統(tǒng)的驗證規(guī)則生成引擎生成驗證規(guī)則更新,目的是把該自治系統(tǒng)的源地址空間信息發(fā)給鄰居,這一信息用自治系統(tǒng)號表示;其三,一個自治系統(tǒng)的驗證規(guī)則生成引擎收到來自鄰居自治系統(tǒng)的驗證規(guī)則生成引擎發(fā)來的更新,查導(dǎo)出規(guī)則表來判斷是否接受這一地址空間和判斷是否將其轉(zhuǎn)發(fā)給其他鄰居自治系統(tǒng)。
導(dǎo)出規(guī)則表,如圖2所示,按照如下四條規(guī)則確定是否將自己所收到的來自其他自治系統(tǒng)的合法真實地址前綴集合向其他相鄰自治系統(tǒng)傳遞●一個自治系統(tǒng)將它自己的,它客戶自治系統(tǒng)的,以及它兄弟自治系統(tǒng)的真實地址空間集合傳遞給它的服務(wù)者自治系統(tǒng);●一個自治系統(tǒng)將它自己的,它客戶自治系統(tǒng)的,以及它兄弟自治系統(tǒng)的真實地址空間集合傳遞給它的對等互聯(lián)自治系統(tǒng);●一個自治系統(tǒng)將它自己的,它客戶自治系統(tǒng)的,它兄弟自治系統(tǒng)的,它服務(wù)者自治系統(tǒng)的,它對等互聯(lián)自治系統(tǒng)的真實地址空間集合傳遞給它的客戶自治系統(tǒng);
●一個自治系統(tǒng)將它自己的,它客戶自治系統(tǒng)的,它兄弟自治系統(tǒng)的,它服務(wù)者自治系統(tǒng)的,它對等互聯(lián)自治系統(tǒng)的真實地址空間集合傳遞給它的兄弟自治系統(tǒng)。
其四是驗證規(guī)則翻譯,如果這一次的驗證規(guī)則更新被該自治系統(tǒng)的驗證規(guī)則生成引擎接受,查自治系統(tǒng)號到IPv6地址前綴映射表,將以自治系統(tǒng)號形式表達(dá)的驗證規(guī)則轉(zhuǎn)換為以IPv6地址前綴形式表達(dá)的驗證規(guī)則;最后,該驗證規(guī)則生成引擎將新生成的以IPv6地址前綴形式表示的驗證規(guī)則下裝到本自治系統(tǒng)的各個邊界路由器上的驗證引擎;當(dāng)分組流通過自治系統(tǒng)的邊界路由器時,變該自治系統(tǒng)邊界路由器上的驗證引擎利用生成的驗證規(guī)則驗證檢查轉(zhuǎn)發(fā)的IP分組是否具有真實地址,如果真實則轉(zhuǎn)發(fā)分組,如果不真實則丟棄分組。
具體的實驗環(huán)境見圖4,我們在實驗環(huán)境中模擬了四個自治系統(tǒng)。各自治系統(tǒng)全部部署了本方案。從自治系統(tǒng)4發(fā)送偽造分組給自治系統(tǒng)1的時候,可以看到偽造源地址的分組在自治系統(tǒng)1的邊界就被驗證規(guī)則檢查然后丟棄了。而當(dāng)我們從自治系統(tǒng)2發(fā)送源地址真實的分組到自治系統(tǒng)3的時候,可以看到分組正常通過。
實驗證明,本發(fā)明配置簡單,可以在分組轉(zhuǎn)發(fā)的過程中實時驗證分組源IP地址的真實性,而且便于運營商部署。
權(quán)利要求
1.基于自治系統(tǒng)互聯(lián)關(guān)系的真實IPv6源地址驗證方法的特征在于所述方法是在由驗證規(guī)則生成引擎、驗證引擎和自治系統(tǒng)號到IPv6地址前綴映射服務(wù)器組成的系統(tǒng)中依次按以下步驟實現(xiàn)步驟(1),每個自治系統(tǒng)有一個專用服務(wù)器,稱為驗證規(guī)則生成引擎,其上擁有兩個數(shù)據(jù)表,一個是與該自治系統(tǒng)相鄰接的自治系統(tǒng)列表,一個是該自治系統(tǒng)所擁有的驗證引擎的IP地址列表,每個自治系統(tǒng)的驗證規(guī)則生成引擎初始化,讀鄰接自治系統(tǒng)表和本自治系統(tǒng)的驗證引擎表,分別與鄰接自治系統(tǒng)的驗證規(guī)則生成引擎和本自治系統(tǒng)的各個驗證引擎建立TCP連接;步驟(2),各個自治系統(tǒng)的驗證規(guī)則生成引擎生成驗證規(guī)則更新,目的是把該自治系統(tǒng)的源地址空間信息發(fā)給鄰居,這一信息用自治系統(tǒng)號表示;步驟(3),一個自治系統(tǒng)的驗證規(guī)則生成引擎收到來自鄰居自治系統(tǒng)的驗證規(guī)則生成引擎發(fā)來的更新,查導(dǎo)出規(guī)則表來判斷是否接受這一地址空間和判斷是否將其轉(zhuǎn)發(fā)給其他鄰居自治系統(tǒng),這里導(dǎo)出規(guī)則表按照如下規(guī)則確定是否將自己所收到的來自其他自治系統(tǒng)的合法真實地址前綴集合向其他相鄰自治系統(tǒng)傳遞其一,一個自治系統(tǒng)將它自己的,它客戶自治系統(tǒng)的,以及它兄弟自治系統(tǒng)的真實IPv6地址前綴空間集合傳遞給它的服務(wù)者自治系統(tǒng)和對等互聯(lián)自治系統(tǒng);其二,一個自治系統(tǒng)將它自己的,它客戶自治系統(tǒng)的,它兄弟自治系統(tǒng)的,它服務(wù)者自治系統(tǒng)的,它對等互聯(lián)自治系統(tǒng)的真實地址空間集合傳遞給它的客戶自治系統(tǒng)和兄弟自治系統(tǒng);步驟(4),如果這一次的驗證規(guī)則更新被該自治系統(tǒng)的驗證規(guī)則生成引擎接受,查自治系統(tǒng)號到IPv6地址前綴映射服務(wù)器,將以自治系統(tǒng)號形式表達(dá)的驗證規(guī)則轉(zhuǎn)換為以IPv6地址前綴形式表達(dá)的驗證規(guī)則;步驟(5),該驗證規(guī)則生成引擎將新生成的以IPv6地址前綴形式表示的驗證規(guī)則下裝到本自治系統(tǒng)的各個邊界路由器上的驗證引擎;步驟(6),該自治系統(tǒng)邊界路由器上的驗證引擎利用生成的驗證規(guī)則驗證檢查轉(zhuǎn)發(fā)的IP分組是否具有真實地址,如果真實則轉(zhuǎn)發(fā)分組,如果不真實則丟棄分組。
全文摘要
本發(fā)明屬于互聯(lián)網(wǎng)技術(shù)領(lǐng)域,是一種基于自治系統(tǒng)互聯(lián)關(guān)系的IPv6網(wǎng)絡(luò)下真實源地址驗證方法。本發(fā)明的特征在于所述方法是在由驗證規(guī)則生成引擎、驗證引擎和自治系統(tǒng)號到IPv6地址前綴映射服務(wù)器組成的系統(tǒng)上實現(xiàn)的,利用自治系統(tǒng)互聯(lián)關(guān)系,在自治系統(tǒng)邊界路由器上生成和每一個路由器接口關(guān)聯(lián)的真實IPv6源地址驗證規(guī)則表,并利用其在自治系統(tǒng)邊界路由器上對偽造IPv6源地址的的分組進(jìn)行驗證檢查。該方法配置簡單,可以在分組轉(zhuǎn)發(fā)的過程中實時驗證分組源IP地址的真實性,便于運營商部署,并且適用于復(fù)雜拓?fù)浣Y(jié)構(gòu)下的IPv6網(wǎng)絡(luò)。
文檔編號H04L29/06GK1921394SQ200610113189
公開日2007年2月28日 申請日期2006年9月19日 優(yōu)先權(quán)日2006年9月19日
發(fā)明者吳建平, 任罡, 畢軍, 段海新, 徐恪 申請人:清華大學(xué)
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1