專利名稱:源地址驗證方法�、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,特別涉及一種源地址驗證方法���、裝置及系統(tǒng)����。
背景技術(shù):
在通信系統(tǒng)中����,網(wǎng)關(guān)設(shè)備接收到從內(nèi)部網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)后�, 一般需要驗 證數(shù)據(jù)的源地址�,以防止攻擊者利用偽造IP地址發(fā)送數(shù)據(jù)���。
現(xiàn)有的驗證源地址的方法一般有兩種�����。
一種是入口過濾法�����,由于網(wǎng)關(guān)設(shè)
備中存儲了內(nèi)部網(wǎng)絡(luò)主機(jī)的網(wǎng)絡(luò)層地址����,即互聯(lián)網(wǎng)協(xié)議(Internet Protocol; 以下簡稱IP)地址�,因此當(dāng)接收到從內(nèi)部網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)后,若檢測到該 數(shù)據(jù)的源地址不是內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址���,則認(rèn)為該數(shù)據(jù)是攻擊者利用偽造 IP地址發(fā)送的數(shù)據(jù)�����,將其丟棄而不予轉(zhuǎn)發(fā)�。
另一種是鏈路層地址綁定法,由于網(wǎng)絡(luò)主機(jī)具有唯一的且相互對應(yīng)的IP 地址和鏈路層地址�,因此,網(wǎng)關(guān)設(shè)備首次接收到從內(nèi)部網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)時�, 將其IP地址和鏈路層地址進(jìn)行綁定并存儲,當(dāng)接收到從內(nèi)部網(wǎng)絡(luò)發(fā)送的數(shù)據(jù) 后���,網(wǎng)關(guān)設(shè)備檢測該數(shù)據(jù)的IP地址和鏈路層地址���,若其對應(yīng)關(guān)系與已存儲的 綁定關(guān)系不一致,則認(rèn)為該數(shù)據(jù)是攻擊者利用偽造IP地址發(fā)送的數(shù)據(jù)���,將其 丟棄而不予轉(zhuǎn)發(fā)���。
在實現(xiàn)本發(fā)明過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題采用 入口過濾法���,只能檢測出采用外部網(wǎng)絡(luò)IP地址�����,若攻擊者利用本網(wǎng)內(nèi)部其他 網(wǎng)絡(luò)主機(jī)的IP地址發(fā)送數(shù)據(jù)��,則網(wǎng)關(guān)設(shè)備無法檢測出這種攻擊���;對于采用鏈 路層地址綁定法��,如果首次接收到從內(nèi)部網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)就被攻擊者偽造IP 地址��,那么綁定時就采用了錯誤的綁定關(guān)系�����,則后續(xù)也無法檢測出正確的綁 定關(guān)系,另外當(dāng)采用移動互聯(lián)網(wǎng)協(xié)議版本6 (Mobile Internet Protocolversion 6;以下簡稱MIPv6)時�,由于節(jié)點(diǎn)頻繁移動,綁定關(guān)系難以維持��, 也無法^r測出偽造源地址的攻擊��。
發(fā)明內(nèi)容
本發(fā)明實施例提供了一種源地址驗證方法�����、裝置及系統(tǒng)�,以提高報文偽 造源地址檢測的準(zhǔn)確性。
本發(fā)明實施例提供了一種源地址驗證方法����,包括
接收網(wǎng)關(guān)設(shè)備發(fā)送的檢測消息�����,所述檢測消息包括所述網(wǎng)關(guān)設(shè)備接收到 的報文的第二報文特征����;
將所述第二報文特征與預(yù)先存儲的已發(fā)送報文的第 一報文特征進(jìn)行匹
配�;
在所述第二報文特征與所述第 一報文特征匹配成功時,確認(rèn)所述網(wǎng)關(guān)設(shè)
備接收到的報文的源地址是真實地址�����。
本發(fā)明實施例提供了一種報文轉(zhuǎn)發(fā)方法�,包括
獲取接收到的報文的第二報文特征及所述報文的源地址;
向所述源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送檢測消息����,所述一盒測消息包括所述接
收到的報文的第二報文特征;
若接收到來自所述源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送的確認(rèn)所述網(wǎng)關(guān)設(shè)備接收
到的報文的源地址是真實地址的信息�,則轉(zhuǎn)發(fā)所述報文。 本發(fā)明實施例提供了一種源地址驗證裝置�����,包括
接收模塊,用于接收網(wǎng)關(guān)設(shè)備發(fā)送的檢測消息��,所述檢測消息包括所述 網(wǎng)關(guān)設(shè)備接收到的報文的第二報文特征����;
匹配模塊,用于將所述第二報文特征與預(yù)先存儲的已發(fā)送報文的第一報 文特征進(jìn)行匹配���;
第一處理模塊���,用于在所述第二報文特征與所述第一報文特征匹配成功 時,確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報文的源地址是真實地址����。本發(fā)明實施例提供了一種報文轉(zhuǎn)發(fā)裝置�,包括
獲取模塊,用于獲取接收到的報文的第二報文特征及所述報文的源地址�;
發(fā)送模塊,用于向所述獲取模塊獲取的所述源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送
檢測消息����,所述檢測消息包括所述接收到的報文的第二報文特征;
第二處理模塊����,用于若接收到來自所述源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送的確 認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報文的源地址是真實地址的信息��,則轉(zhuǎn)發(fā)所述報文�����。 本發(fā)明實施例提供了一種源地址驗證系統(tǒng)�����,包括網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備����; 所述網(wǎng)絡(luò)主機(jī)�����,用于接收所述網(wǎng)關(guān)設(shè)備發(fā)送的檢測消息�,所述檢測消息 包括所述網(wǎng)關(guān)設(shè)備接收到的報文的第二報文特征;將所述第二報文特征與預(yù) 先存儲的已發(fā)送報文的第一報文特征進(jìn)行匹配�;在所述第二報文特征與所述 第一報文特征匹配成功時,確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報文的源地址是真實 地址����;
所述網(wǎng)關(guān)設(shè)備,用于獲取接收到的報文的第二報文特征及所述報文的源 地址;向所述源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送檢測消息����,所述檢測消息包括所迷 接收到的報文的第二報文特征;若接收到來自所述源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā) 送的確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報文的源地址是真實地址的信息�����,則轉(zhuǎn)發(fā)所 述報文�����。
本發(fā)明實施例通過提供一種源地址驗證方法����、裝置及系統(tǒng),在網(wǎng)絡(luò)主機(jī) 和網(wǎng)關(guān)設(shè)備的雙向交互中��,利用用于標(biāo)識報文的l艮文特征對網(wǎng)關(guān)設(shè)備接收到 的報文的源地址進(jìn)行驗證����,有效地提高了報文偽造源地址4僉測的準(zhǔn)確性����,保 證了網(wǎng)絡(luò)安全。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實 施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹���,顯而易見地�����,下 面描述中的附圖僅僅是本發(fā)明的一些實施例��,對于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖���。
圖1為本發(fā)明源地址驗證方法第一實施例的流程圖����; 圖2為本發(fā)明報文轉(zhuǎn)發(fā)方法第一實施例的流程圖���; 圖3為本發(fā)明源地址驗證方法具體實施例的流程圖��; 圖4為本發(fā)明源地址聰r證裝置第一實施例的結(jié)構(gòu)示意圖�; 圖5為本發(fā)明源地址驗證裝置第二實施例的結(jié)構(gòu)示意圖�����; 圖6為本發(fā)明報文轉(zhuǎn)發(fā)裝置第一實施例的結(jié)構(gòu)示意圖; 圖7為本發(fā)明源地址驗證系統(tǒng)實施例的系統(tǒng)框圖�。
具體實施例方式
為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白���,以下結(jié)合附圖及 實施方式��,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明����。應(yīng)當(dāng)理解�,此處所描述的具體實 施方式僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明��。
圖1為本發(fā)明源地址-瞼證方法第一實施例的流程圖�。如圖1所示,本發(fā) 明實施例提供了一種源地址驗證方法��,包括
步驟101�、接收網(wǎng)關(guān)設(shè)備發(fā)送的檢測消息�,該檢測消息包括網(wǎng)關(guān)設(shè)備接 收到的報文的第二報文特征;
步驟102���、將該第二報文特征與預(yù)先存儲的已發(fā)送報文的第一報文特征 進(jìn)行匹配����;
步驟103、在第二報文特征與第一報文特征匹配成功時�����,確認(rèn)網(wǎng)關(guān)設(shè)備 接收到的報文的源地址是真實地址���。
在本實施例中�����,上述步驟可以由網(wǎng)絡(luò)主才幾或手才幾等終端執(zhí)行�。例如����,網(wǎng) 絡(luò)主機(jī)向網(wǎng)關(guān)設(shè)備發(fā)送報文時,預(yù)先存儲該報文的第一報文特征����。當(dāng)網(wǎng)關(guān)設(shè) 備接收到報文時,會將包括接收到的報文的第二報文特征的檢測消息發(fā)送到 該才艮文的源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)���,網(wǎng)絡(luò)主機(jī)接收到網(wǎng)關(guān)設(shè)備發(fā)送的檢測消息 時�,將該第二報文特征與預(yù)先存儲的已發(fā)送報文的第一報文特征進(jìn)行匹配,在該第二報文特征與第 一報文特征匹配成功時�����,表明第二報文特征對應(yīng)的報 文為網(wǎng)絡(luò)主機(jī)已發(fā)送的報文�,則確認(rèn)網(wǎng)關(guān)設(shè)備接收到的報文的源地址是真實 地址。
本發(fā)明實施例中的網(wǎng)關(guān)設(shè)備具體可以為與網(wǎng)絡(luò)主機(jī)直接連接的第 一跳路 由器或者防火墻�����。
另外����,本發(fā)明實施例中的第 一報文特征和第二報文特征均能夠唯一標(biāo)識
其對應(yīng)的才艮文,如���,可以為報文的校^全和(Checksum)等�。
本發(fā)明實施例通過提供一種源地址驗證方法����,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的
雙向交互中,利用用于標(biāo)識報文的報文特征對網(wǎng)關(guān)設(shè)備接收到的報文的源地
址進(jìn)行驗證��,有效地提高了報文偽造源地址檢測的準(zhǔn)確性��,保證了網(wǎng)絡(luò)安全��。 在上述技術(shù)方案的基礎(chǔ)上���,本發(fā)明方法第一實施例還可以包括在第二
報文特征與第一報文特征匹配不成功時����,確認(rèn)網(wǎng)關(guān)設(shè)備接收到的報文的源地
址是偽造地址����。
進(jìn)一步地,本發(fā)明源地址驗證方法第一實施例還可以包括確認(rèn)網(wǎng)關(guān)設(shè) 備接收到的報文的源地址是真實地址之后�,刪除與第二報文特征匹配的第一 報文特征?����;蛘?���,網(wǎng)絡(luò)主機(jī)發(fā)送報文并預(yù)先存儲該報文的第一報文特征,當(dāng) 等待時間即第一l艮文特征的存儲時間大于第一預(yù)�����,i殳時間時還未收到網(wǎng)關(guān)設(shè)備 發(fā)送的檢測消息時,則刪除存儲在網(wǎng)絡(luò)主機(jī)中的第一報文特征�,以釋放空間。
上述步驟同樣可以由網(wǎng)絡(luò)主機(jī)或手機(jī)等終端執(zhí)行��。
本發(fā)明實施例通過提供一種源地址驗證方法����,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的 雙向交互中,利用用于標(biāo)識報文的報文特征對網(wǎng)關(guān)設(shè)備接收到的報文的源地 址進(jìn)行驗證���,有效地提高了報文偽造源地址檢測的準(zhǔn)確性�����,保證了網(wǎng)絡(luò)安全�。
圖2為本發(fā)明報文轉(zhuǎn)發(fā)方法第一實施例的流程圖�����。如圖2所示���,本發(fā)明 實施例提供了一種報文轉(zhuǎn)發(fā)方法����,包括
步驟201、獲取接收到的報文的第二報文特征及該報文的源地址���;
步驟202、向該源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送檢測消息��,該檢測消息包括接收到的報文的第二報文特征���;
步驟203��、若接收到來自該源地址對應(yīng)的,網(wǎng)絡(luò)主機(jī)發(fā)送的確認(rèn)網(wǎng)關(guān)設(shè)備 接收到的報文的源地址是真實地址的信息�����,則轉(zhuǎn)發(fā)該報文�。
在本實施例中���,上述步驟可以由網(wǎng)關(guān)設(shè)備執(zhí)行��。例如��,當(dāng)網(wǎng)關(guān)設(shè)備接收 到報文時��,獲取該報文的第二報文特征以及該報文的源地址���,將包括第二報 文特征的4企測消息發(fā)送到該源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)����,若網(wǎng)關(guān)設(shè)備接收到來自 該源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送的信息�����,該信息確認(rèn)網(wǎng)關(guān)設(shè)備接收到的凈艮文的 源地址是真實地址����,則轉(zhuǎn)發(fā)該報文。
本發(fā)明實施例通過提供一種報文轉(zhuǎn)發(fā)方法�,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的雙 向交互中,利用用于標(biāo)識報文的報文特征對網(wǎng)關(guān)設(shè)備接收到的報文的源地址 進(jìn)行驗證���,如果驗證出報文的源地址是真實的�,則進(jìn)行轉(zhuǎn)發(fā)�����,保證了網(wǎng)絡(luò)安 全。
在上述技術(shù)方案的基礎(chǔ)上��,本發(fā)明報文轉(zhuǎn)發(fā)方法第一實施例還可以包括 若接收到來自該源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送的確認(rèn)網(wǎng)關(guān)設(shè)備接收到的報文的 源地址是偽造地址的信息����,則丟棄該報文。
上述步驟同樣可以由網(wǎng)關(guān)設(shè)備執(zhí)行��。當(dāng)網(wǎng)關(guān)設(shè)備將第二報文特征發(fā)送到 源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)后等待的時間大于第二預(yù)設(shè)時間時��,為了不阻斷可能 的正常通信�����,通常認(rèn)為該源地址是真實地址�;或者用戶可以提前定制當(dāng)?shù)却?時間大于第二預(yù)設(shè)時間時的后續(xù)轉(zhuǎn)發(fā)或丟棄操作��,網(wǎng)關(guān)設(shè)備根據(jù)用于定制��, 確認(rèn)該源地址是真實地址或偽造地址���。
本發(fā)明實施例通過提供一種報文轉(zhuǎn)發(fā)方法��,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的雙 向交互中���,利用用于標(biāo)識報文的報文特征對網(wǎng)關(guān)設(shè)備接收到的報文的源地址 進(jìn)行驗證�����,如果驗證出報文的源地址是真實的��,則進(jìn)行轉(zhuǎn)發(fā)���,否則丟棄該報 文,保證了網(wǎng)絡(luò)安全��。
圖3為本發(fā)明源地址驗證方法具體實施例的流程圖�。如圖3所示,本發(fā) 明源地址驗證方法提供了一種具體實施例���,包括步驟301���、網(wǎng)絡(luò)主機(jī)存儲報文的第一報文特征; 步驟302����、網(wǎng)絡(luò)主機(jī)通過網(wǎng)關(guān)設(shè)備發(fā)送該報文;
步驟303�����、網(wǎng)關(guān)設(shè)備接收到報文后,存儲該報文��,并獲取該才艮文的第二 報文特征及其源地址��;
步驟304����、網(wǎng)關(guān)設(shè)備向獲取到的源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送包括第二報 文特征的檢測消息,并等待�����;
步驟305���、該源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)接收到檢測消息后,將該第二報文 特征與預(yù)先存儲的已發(fā)送報文的第一報文特征進(jìn)行匹配���;
步驟306���、根據(jù)匹配結(jié)果,在第二報文特征與第一報文特征匹配成功時����, 網(wǎng)絡(luò)主才幾向網(wǎng)關(guān)i殳備發(fā)送確認(rèn)(Acknowledge Character;以下簡稱ACK) 信息���,確認(rèn)網(wǎng)關(guān)設(shè)備接收到的報文的源地址是真實地址;在第二報文特征與 第一"^艮文特征匹配不成功時��,向網(wǎng)關(guān)身背發(fā)送否認(rèn)(Deny)信息�����,確認(rèn)網(wǎng)關(guān) 設(shè)備接收到的報文的源地址是偽造地址��。
步驟307���、網(wǎng)關(guān)設(shè)備根據(jù)接收到的ACK信息或者Deny信息進(jìn)行后續(xù)轉(zhuǎn)發(fā) 或丟棄操作�����。
本發(fā)明實施例通過提供一種源地址驗證方法���,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的 雙向交互中,利用用于標(biāo)識報文的報文特征對網(wǎng)關(guān)設(shè)備接收到的報文的源地 址進(jìn)行驗證���,有效地提高了報文偽造源地址檢測的準(zhǔn)確性����,保證了網(wǎng)絡(luò)安全。
圖4為本發(fā)明源地址-瞼證裝置第一實施例的結(jié)構(gòu)示意圖�����。如圖4所示�����, 本發(fā)明實施例提供了一種源地址驗證裝置��,包括接收模塊401�、匹配模塊 402和第一處理模塊403。其中��,接收模塊401用于接收網(wǎng)關(guān)設(shè)備發(fā)送的檢測 消息����,該檢測消息包括網(wǎng)關(guān)設(shè)備接收到的報文的第二報文特征�;匹配模塊402 用于將第二報文特征與預(yù)先存儲的已發(fā)送報文的第一報文特征進(jìn)行匹配;第 一處理模塊403用于在第二報文特征與第一報文特征匹配成功時����,確認(rèn)網(wǎng)關(guān) 設(shè)備接收到的報文的源地址是真實地址�����。
在本實施例中����,當(dāng)網(wǎng)關(guān)設(shè)備接收到報文時����,會將包括接收到的報文的第二報文特征的檢測消息發(fā)送到該報文的源地址對應(yīng)的網(wǎng)絡(luò)主機(jī),接收模塊401 接收到網(wǎng)關(guān)設(shè)備發(fā)送的該檢測消息時,獲取該第二才艮文特征�����,匹配模塊402 將第二報文特征與預(yù)先存儲的已發(fā)送報文的第一報文特征進(jìn)行匹配�����,在第二 報文特征與第一報文特征匹配成功時�,第一處理模塊403確認(rèn)網(wǎng)關(guān)設(shè)備接收 到的源地址是真實地址。
本發(fā)明實施例通過提供一種源地址驗證裝置�����,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的 雙向交互中�,利用用于標(biāo)識報文的報文特征對網(wǎng)關(guān)設(shè)備接收到的報文的源地 址進(jìn)行驗證����,有效地提高了報文偽造源地址檢測的準(zhǔn)確性��,保證了網(wǎng)絡(luò)安全���。
在上述技術(shù)方案的基礎(chǔ)上�����,第一處理模塊403還可以用于在第二報文特 征與第一報文特征匹配不成功時��,確認(rèn)網(wǎng)關(guān)設(shè)備接收到的報文的源地址是偽 造地址�。
在本實施例中����,接收模塊401接收到網(wǎng)關(guān)設(shè)備發(fā)送的檢測消息時,獲取 該第二報文特征�����,匹配模塊402將第二報文特征與預(yù)先存儲的已發(fā)送的第一 報文特征進(jìn)行匹配��,在第二報文特征與第一報文特征匹配不成功時�����,第一處 理模塊403確認(rèn)網(wǎng)關(guān)設(shè)備接收到的源地址是偽造地址�。
圖5為本發(fā)明源地址驗證裝置第二實施例的結(jié)構(gòu)示意圖。如圖5所示��, 本發(fā)明提供的源地址驗證裝置還可以包括刪除模塊501,該刪除模塊501 用于在確認(rèn)網(wǎng)關(guān)設(shè)備接收到的報文的源地址是真實地址之后���,刪除與第二報 文特征匹配的第一報文特征��?��;蛘撸W(wǎng)絡(luò)主機(jī)發(fā)送報文時�����,預(yù)先存儲該報文 的第 一報文特征�����,當(dāng)?shù)却龝r間即第 一報文特征的存儲時間大于第 一預(yù)設(shè)時間 時還未收到網(wǎng)關(guān)設(shè)備發(fā)送的檢測消息�����,刪除模塊501則刪除存儲在網(wǎng)絡(luò)主機(jī) 中的第一報文特征,以釋放空間���。
本發(fā)明實施例通過提供一種源地址驗證裝置�,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的
雙向交互中�,利用用于標(biāo)識報文的報文特征對網(wǎng)關(guān)設(shè)備接收到的報文的源地
址進(jìn)行驗證,有效地提高了報文偽造源地址檢測的準(zhǔn)確性��,保證了網(wǎng)絡(luò)安全���。
圖6為本發(fā)明報文轉(zhuǎn)發(fā)裝置第一實施例的結(jié)構(gòu)示意圖���。如圖6所示,本發(fā)明實施例提供了一種報文轉(zhuǎn)發(fā)裝置���,包括獲取模塊601�����、發(fā)送模塊602 和第二處理模塊603�����。其中�����,獲^#塊601用于獲取接收到的報文的第二報 文特征及該報文的源地址����;發(fā)送模塊602用于向獲取模塊601獲取的源地址 對應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送檢測消息�,該檢測消息包括接收到的報文的第二報文特 征;第二處理模塊603用于若接收到來自源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送的確認(rèn) 網(wǎng)關(guān)設(shè)備接收到的報文的源地址是真實地址的信息�,則轉(zhuǎn)發(fā)該報文。
在本實施例中�,當(dāng)網(wǎng)關(guān)設(shè)備接收到報文時,獲取模塊601獲取該報文的 第二報文特征以及該報文的源地址�,發(fā)送模塊602將包括該第二報文特征的 檢測消息發(fā)送到該源地址對應(yīng)的網(wǎng)絡(luò)主機(jī),若網(wǎng)關(guān)設(shè)備接收到來自該源地址 對應(yīng)的網(wǎng)絡(luò)主機(jī)的信息��,該信息確認(rèn)網(wǎng)關(guān)設(shè)備接收到的報文的源地址是真實 地址����,第二處理模塊603轉(zhuǎn)發(fā)該'報文。
本發(fā)明實施例通過提供一種報文轉(zhuǎn)發(fā)裝置����,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的雙 向交互中���,利用用于標(biāo)識報文的報文特征對網(wǎng)關(guān)設(shè)備接收到的報文的源地址 進(jìn)行驗證,如果驗證出報文的源地址是真實的�,則進(jìn)行轉(zhuǎn)發(fā),保證了網(wǎng)絡(luò)安 全��。
在上述技術(shù)方案的基礎(chǔ)上����,第二處理模塊603還可以用于若接收到來自 該源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送的確認(rèn)網(wǎng)關(guān)i殳備接收到的報文的源地址是偽造 地址的信息,則丟棄該"l艮文�����。
本發(fā)明實施例通過提供一種報文轉(zhuǎn)發(fā)裝置�,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的雙 向交互中,利用用于標(biāo)識報文的報文特征對網(wǎng)關(guān)設(shè)備接收到的報文的源地址 進(jìn)行驗證��,如果驗證出報文的源地址是真實的��,則進(jìn)行轉(zhuǎn)發(fā)��,否則丟棄該報 文�,保證了網(wǎng)絡(luò)安全。
圖7為本發(fā)明源地址驗證系統(tǒng)實施例的系統(tǒng)框圖����。如圖7所示�����,本發(fā)明 實施例提供了一種源地址驗證系統(tǒng),包括網(wǎng)絡(luò)主機(jī)701和網(wǎng)關(guān)設(shè)備702�����。 其中����,網(wǎng)絡(luò)主機(jī)701用于接收網(wǎng)關(guān)設(shè)備702發(fā)送的檢測消息,該4企測消息包 括網(wǎng)關(guān)設(shè)備702接收到的報文的第二報文特征�;將該第二報文特征與預(yù)先存儲的已發(fā)送報文的第一報文特征進(jìn)行匹配;在第二報文特征與第一報文特征 匹配成功時�,確認(rèn)網(wǎng)關(guān)設(shè)備702接收到的報文的源地址是真實地址;網(wǎng)關(guān)設(shè) 備702用于獲取接收到的報文的第二報文特征及該報文的源地址����;向該源地 址對應(yīng)的網(wǎng)絡(luò)主機(jī)701發(fā)送檢測消息,該檢測消息包括接收到的報文的第二 報文特征����;若接收到來自該源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)701發(fā)送的確認(rèn)網(wǎng)關(guān)設(shè)備 702接收到的報文的源地址是真實地址的信息�,則轉(zhuǎn)發(fā)該報文�����。
本發(fā)明系統(tǒng)實施例中各裝置的功能實現(xiàn)如上述裝置實施例中的具體描 述��,在此不再贅述��。
本發(fā)明實施例通過提供一種源地址驗證系統(tǒng)�����,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的 雙向交互中����,利用用于標(biāo)識報文的報文特征對網(wǎng)關(guān)設(shè)備接收到的報文的源地 址進(jìn)行驗證,有效地提高了報文偽造源地址檢測的準(zhǔn)確性��,保證了網(wǎng)絡(luò)安全����。
在上述技術(shù)方案的基礎(chǔ)上,網(wǎng)絡(luò)主機(jī)701還可以用于在第二報文特征與 第一報文特征匹配不成功時���,確認(rèn)網(wǎng)關(guān)設(shè)備702接收到的報文的源地址是偽 造地址���;在確認(rèn)網(wǎng)關(guān)設(shè)備702接收到的報文的源地址是真實地址之后�����,刪除 與第二報文特征匹配的第 一報文特征�����,在第 一凈艮文特征的存儲時間大于第一 預(yù)設(shè)時間、且未收到網(wǎng)關(guān)設(shè)備702發(fā)送的檢測消息時����,刪除預(yù)先存儲的第一 報文特征。
進(jìn)一步地����,網(wǎng)關(guān)設(shè)備702還可以用于若接收到來自源地址對應(yīng)的網(wǎng)絡(luò)主 機(jī)701發(fā)送的確認(rèn)網(wǎng)關(guān)設(shè)備702接收到的報文的源地址是偽造地址的信息, 則丟棄該纟艮文����。
本發(fā)明實施例通過提供一種源地址驗證系統(tǒng),在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的 雙向交互中�,利用用于標(biāo)識報文的報文特征對網(wǎng)關(guān)設(shè)備接收到的報文的源地 址進(jìn)行驗證,有效地提高了報文偽造源地址檢測的準(zhǔn)確性���,保證了網(wǎng)絡(luò)安全�。
通過以上的實施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可借助軟件加必需的硬件平臺的方式來實現(xiàn)�,當(dāng)然也可以全部通過硬件來 實施,但很多情況下前者是更佳的實施方式�����?�;谶@樣的理解�,本發(fā)明的技術(shù)方案對背景技術(shù)做出貢獻(xiàn)的全部或者部分可以以軟件產(chǎn)品的形式體現(xiàn)出
來,該計算機(jī)軟件產(chǎn)品可以存儲在存儲介質(zhì)中�����,如R0M/RAM����、》茲碟、光盤等��, 包括若干指令用以使得一臺計算機(jī)設(shè)備(可以是個人計算機(jī)���,服務(wù)器�,或者 網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例或者實施例的某些部分所述的方法。
最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案而非對其進(jìn) 行限制�,盡管參照較佳實施例對本發(fā)明進(jìn)行了詳細(xì)的說明,本領(lǐng)域的普通技 術(shù)人員應(yīng)當(dāng)理解其依然可以對本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換�, 而這些修改或者等同替換亦不能使修改后的技術(shù)方案脫離本發(fā)明技術(shù)方案的 4奮神和范圍。
權(quán)利要求
1�、一種源地址驗證方法,其特征在于����,包括接收網(wǎng)關(guān)設(shè)備發(fā)送的檢測消息,所述檢測消息包括所述網(wǎng)關(guān)設(shè)備接收到的報文的第二報文特征����;將所述第二報文特征與預(yù)先存儲的已發(fā)送報文的第一報文特征進(jìn)行匹配����;在所述第二報文特征與所述第一報文特征匹配成功時,確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報文的源地址是真實地址��。
2�����、 根據(jù)權(quán)利要求1所述的源地址驗證方法,其特征在于�����,還包括在所 述第二報文特征與所述第一報文特征匹配不成功時�����,確認(rèn)所述網(wǎng)關(guān)設(shè)備接收 到的報文的源地址是偽造地址�。
3、 根據(jù)權(quán)利要求1所述的源地址驗證方法���,其特征在于�,還包括 確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報文的源地址是真實地址之后��,刪除與所述第二報文特征匹配的所述第 一報文特征�����。
4����、 一種報文轉(zhuǎn)發(fā)方法,其特征在于�,包括 獲取接收到的報文的第二報文特征及所述報文的源地址; 向所述源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送檢測消息,所述檢測消息包括所述接收到的報文的第二報文特征����;到的報文的源地址是真實地址的信息,則轉(zhuǎn)發(fā)所述報文��。
5����、 一種源地址驗證裝置,其特征在于��,包括接收模塊��,用于接收網(wǎng)關(guān)設(shè)備發(fā)送的檢測消息����,所述檢測消息包括所述 網(wǎng)關(guān)設(shè)備接收到的報文的第二才艮文特征;匹配模塊��,用于將所述第二報文特征與預(yù)先存儲的已發(fā)送報文的第一報 文特征進(jìn)行匹配����;第 一處理模塊���,用于在所述第二報文特征與所述第 一報文特征匹配成功時��,確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報文的源地址是真實地址�。
6、 根據(jù)權(quán)利要求5所述的源地址驗證裝置����,其特征在于,所述第一處理 模塊還用于在所述第二報文特征與所述第一報文特征匹配不成功時����,確認(rèn)所 述網(wǎng)關(guān)設(shè)備接收到的報文的源地址是偽造地址。
7��、 根據(jù)權(quán)利要求5所述的源地址驗證裝置��,其特征在于����,還包括 刪除模塊,用于在確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報文的源地址是真實地址之后�����,刪除與所述第二報文特征匹配的所述第 一報文特征���。
8�����、 一種報文轉(zhuǎn)發(fā)裝置�����,其特征在于�,包括獲取^莫塊,用于獲取接收到的報文的第二報文特征及所述才艮文的源地址��; 發(fā)送模塊��,用于向所述獲取模塊獲取的所述源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送檢測消息����,所述檢測消息包括所述接收到的報文的第二報文特征;第二處理模塊����,用于若接收到來自所述源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送的確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報文的源地址是真實地址的信息,則轉(zhuǎn)發(fā)所述報文����。
9、 根據(jù)權(quán)利要求8所述的報文轉(zhuǎn)發(fā)裝置�����,其特征在于�����,所述第二處理模 塊還用于若接收到來自所述源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送的確認(rèn)所述網(wǎng)關(guān)設(shè)備 接收到的報文的源地址是偽造地址的信息����,則丟棄所述l艮文。
10���、 一種源地址驗證系統(tǒng)�,其特征在于���,包括網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備����; 所述網(wǎng)絡(luò)主機(jī)�,用于接收所述網(wǎng)關(guān)設(shè)備發(fā)送的檢測消息,所述檢測消息包括所述網(wǎng)關(guān)設(shè)備接收到的報文的第二報文特征��;將所述第二報文特征與預(yù) 先存儲的已發(fā)送報文的第一報文特征進(jìn)行匹配;在所述第二報文特征與所述 第一報文特征匹配成功時�,確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報文的源地址是真實 地址;所述網(wǎng)關(guān)設(shè)備����,用于獲取接收到的報文的第二報文特征及所述報文的源 地址;向所述源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送4企測消息��,所述沖企測消息包括所述 接收到的報文的第二報文特征����;若接收到來自所述源地址對應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā) 送的確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報文的源地址是真實地址的信息,則轉(zhuǎn)發(fā)所 述報文��。
全文摘要
本發(fā)明實施例提供了一種源地址驗證方法����,包括接收網(wǎng)關(guān)設(shè)備發(fā)送的檢測消息,所述檢測消息包括所述網(wǎng)關(guān)設(shè)備接收到的報文的第二報文特征����;將所述第二報文特征與預(yù)先存儲的已發(fā)送報文的第一報文特征進(jìn)行匹配;在所述第二報文特征與所述第一報文特征匹配成功時�����,確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報文的源地址是真實地址。本發(fā)明實施例還提供一種源地址驗證裝置����、一種報文轉(zhuǎn)發(fā)方法及裝置���、一種源地址驗證系統(tǒng)����。本發(fā)明實施例在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的雙向交互中�����,利用用于標(biāo)識報文的報文特征對網(wǎng)關(guān)設(shè)備接收到的報文的源地址進(jìn)行驗證��,有效地提高了報文偽造源地址檢測的準(zhǔn)確性��,保證了網(wǎng)絡(luò)安全����。
文檔編號H04L29/12GK101567891SQ200910141319
公開日2009年10月28日 申請日期2009年5月31日 優(yōu)先權(quán)日2009年5月31日
發(fā)明者碩 邱 申請人:成都市華為賽門鐵克科技有限公司