專利名稱：基于標(biāo)簽替換的自治域間IPv6真實(shí)源地址驗(yàn)證方法
技術(shù)領(lǐng)域：
本發(fā)明涉及下一代可信任互聯(lián)網(wǎng)技術(shù)領(lǐng)域，特別涉及一種可層次化部署的基于標(biāo) 簽替換的自治域間IPv6真實(shí)源地址驗(yàn)證方法。
背景技術(shù)：
可信任是下一代互聯(lián)網(wǎng)的重要特征。當(dāng)前的互聯(lián)網(wǎng)，IP分組轉(zhuǎn)發(fā)的基本依據(jù)是目 的IP地址，一般不對分組的IP源地址做真實(shí)性檢查，造成分組的IP源地址易被偽造。隨 著互聯(lián)網(wǎng)規(guī)模的日益拓展和商業(yè)應(yīng)用的日益豐富，網(wǎng)絡(luò)用戶的成分變的異常復(fù)雜，來自某 些高級用戶的惡意攻擊常常是通過偽造分組的IP源地址來實(shí)施的，偽造的IP源地址同時 又為惡意攻擊者隱匿真實(shí)身份、逃避制裁提供了溫床，并由此引發(fā)了很多安全、管理和計(jì)費(fèi) 問題。無可回避的，IP源地址的真實(shí)性驗(yàn)證給互聯(lián)網(wǎng)的安全運(yùn)營和可持續(xù)發(fā)展提出了諸多 挑戰(zhàn)。致力于互聯(lián)網(wǎng)的長遠(yuǎn)利益，互聯(lián)網(wǎng)只有提供高度可信的網(wǎng)絡(luò)服務(wù)，才能滿足未來發(fā)展 的需求。因此，確保分組源IP地址的真實(shí)性是實(shí)現(xiàn)可信下一代互聯(lián)網(wǎng)的核心問題。當(dāng)前的互聯(lián)網(wǎng)傳輸服務(wù)的提供是盡力而為的模式，路由器在轉(zhuǎn)發(fā)表中依據(jù)分組的 目的IP地址將其發(fā)往相應(yīng)的下一跳，分組到達(dá)接收方時，只能根據(jù)源IP地址判斷發(fā)送者身 份。分組的發(fā)送者可以任意篡改分組的源IP地址，以達(dá)到不法目的。接收方不能判別分組 中的源IP地址的真實(shí)性，也就無法確定分組是否來自真實(shí)的發(fā)送方，因此目前的網(wǎng)絡(luò)服務(wù) 只是停留在盡力而為的向目的端轉(zhuǎn)發(fā)的層次，而達(dá)不到盡力而為的確保源端可信的高度。 同時，攜帶虛假源IP地址的偽造分組也會被轉(zhuǎn)發(fā)到目的地，將會給接收方帶來不同程度的 安全威脅。自治域(AS)間IPv6真實(shí)源地址驗(yàn)證，是整個可信任的互聯(lián)網(wǎng)體系結(jié)構(gòu)中最復(fù)雜 的一個層次，其目標(biāo)是實(shí)現(xiàn)自治域粒度的真實(shí)源地址驗(yàn)證。近年來，學(xué)術(shù)界和工業(yè)界已做出了許多相關(guān)的努力，概括起來可以分為三類基于 加密認(rèn)證的技術(shù)、基于過濾的技術(shù)和基于追蹤的技術(shù)。其中基于加密認(rèn)證的方法引入了一 種端到端的加密認(rèn)證機(jī)制，排除了網(wǎng)絡(luò)拓?fù)洹⒙酚陕窂降挠绊?，無需中間節(jié)點(diǎn)特殊處理，加 密由源AS端添加認(rèn)證源真實(shí)身份的標(biāo)簽完成，報文轉(zhuǎn)發(fā)至目的AS端，檢查分組攜帶標(biāo)簽， 如果標(biāo)簽驗(yàn)證正確，即把標(biāo)簽從分組中去除并將分組轉(zhuǎn)發(fā)給目的主機(jī)；如果標(biāo)簽驗(yàn)證不正 確，就將分組丟棄。部署加密認(rèn)證方法的所有AS形成一個信任聯(lián)盟，其中的每對源AS和目 的AS通過協(xié)商，得到在一定周期內(nèi)有效的唯一的標(biāo)簽?；诩用苷J(rèn)證的方法能夠保證信任 聯(lián)盟中每個AS的源地址不會被其它AS偽造，實(shí)現(xiàn)AS級別粒度的真實(shí)IP地址訪問。參加 加密認(rèn)證的AS在一定程度上可以保護(hù)本網(wǎng)絡(luò)中的用戶，因此具有部署的激勵。然而，在現(xiàn) 有的基于標(biāo)簽的域間IPv6真實(shí)源地址驗(yàn)證方法中，信任聯(lián)盟的部署僅限于單一信任聯(lián)盟 體系結(jié)構(gòu)即所有部署源地址驗(yàn)證的AS間同屬于一個單一信任聯(lián)盟，這種扁平化的體系結(jié) 構(gòu)使得聯(lián)盟內(nèi)部所有路由設(shè)備必須維護(hù)數(shù)量龐大的全局信息才能正確實(shí)施驗(yàn)證工作，而且 參與驗(yàn)證的路由設(shè)備存儲負(fù)擔(dān)沉重，報文驗(yàn)證延遲增大、效率降低，由成員的變化帶來的影 響輻射整個聯(lián)盟范圍，導(dǎo)致信任聯(lián)盟的增量部署變得異常困難。

發(fā)明內(nèi)容
本發(fā)明旨在解決上述問題，提出一種支持分層級建立信任聯(lián)盟的、低開銷的、可擴(kuò) 展性強(qiáng)的、驗(yàn)證效果好的，基于標(biāo)簽替換的自治域間IPv6真實(shí)源地址驗(yàn)證方法。為達(dá)到上述目的，本發(fā)明提出了一種可層次化部署的自治域間源地址驗(yàn)證方法， 包括以下步驟將部署本方法的自治域組成層次化的多級信任聯(lián)盟，當(dāng)源自治域和目的自 治域同屬一個信任聯(lián)盟時，由源自治域端的和目的自治域端的邊界路由器依據(jù)源自治域和 目的自治域?qū)?yīng)的標(biāo)簽來完成單一聯(lián)盟成員間傳送的數(shù)據(jù)報文的源地址驗(yàn)證；當(dāng)源自治域 和目的自治域分屬不同信任聯(lián)盟時，由源自治域端的和目的自治域端的聯(lián)盟邊界路由器和 邊界路由器協(xié)作對標(biāo)簽進(jìn)行多次替換來完成跨聯(lián)盟間傳送的數(shù)據(jù)報文的源地址驗(yàn)證；當(dāng)源 自治域?yàn)樾湃温?lián)盟成員而目的自治域?yàn)榉切湃温?lián)盟成員時，無須進(jìn)行源地址驗(yàn)證，數(shù)據(jù)報 文直接依據(jù)目的地址轉(zhuǎn)發(fā)。在本發(fā)明的一個實(shí)施例中，當(dāng)所述源自治域和目的自治域同屬一個信任聯(lián)盟時， 由源自治域端的和目的自治域端的邊界路由器依據(jù)源自治域和目的自治域?qū)?yīng)的標(biāo)簽來 完成單一聯(lián)盟成員間傳送的數(shù)據(jù)報文的源地址驗(yàn)證，進(jìn)一步包括所述源自治域端邊界路 由器從連接域內(nèi)網(wǎng)絡(luò)的端口(Ingress Port)收到數(shù)據(jù)報文，判斷該報文源地址是否屬于本 自治域，若是則進(jìn)一步檢查目的地址，若否則丟棄該報文；進(jìn)一步判斷數(shù)據(jù)報文目的地址是 否與源地址同屬一個信任聯(lián)盟，若是則查找所述源自治域和目的自治域間對應(yīng)的狀態(tài)機(jī)， 生成標(biāo)簽添加在報文擴(kuò)展頭中，發(fā)送到網(wǎng)絡(luò)中；中繼自治域端對經(jīng)過的數(shù)據(jù)報文不作處理， 直接依據(jù)目的地址查表轉(zhuǎn)發(fā)；數(shù)據(jù)報文送達(dá)目的自治域端，目的自治域端邊界路由器從連 接域外網(wǎng)絡(luò)的端口(Egress Port)收到報文，判斷報文源地址是否屬于本自治域，若是則丟 棄所述報文，若否則進(jìn)一步檢查報文的目的地址；目的自治域端邊界路由器進(jìn)一步判斷數(shù) 據(jù)報文目的地址是否屬于本自治域，若是則查找所述源自治域端和目的自治域端相應(yīng)的狀 態(tài)機(jī)以驗(yàn)證和去除標(biāo)簽，發(fā)送至域內(nèi)網(wǎng)絡(luò)。在本發(fā)明的一個實(shí)施例中，當(dāng)所述源自治域和目的自治域分屬不同信任聯(lián)盟時， 由源自治域端的和目的自治域端的聯(lián)盟邊界路由器和邊界路由器協(xié)作對標(biāo)簽進(jìn)行多次替 換來完成跨聯(lián)盟間傳送的數(shù)據(jù)報文的源地址驗(yàn)證，進(jìn)一步包括所述源自治域端邊界路由 器收到源自本地自治域且目的為非本級聯(lián)盟地址前綴的報文時，查找以本地自治域?yàn)樵匆?通往目的地址前綴的路由經(jīng)過的聯(lián)盟邊界為宿的狀態(tài)機(jī)1，生成并添加對應(yīng)標(biāo)簽1，向本地 自治域外部轉(zhuǎn)發(fā)；所述源自治域端聯(lián)盟邊界路由器收到源自本級聯(lián)盟且目的為非本級聯(lián)盟 前綴的報文時，啟動處理程序1 ；中繼自治域端的路由器對所述源自非本級聯(lián)盟且目的為 非本級聯(lián)盟前綴的報文直接轉(zhuǎn)發(fā)；目的自治域端聯(lián)盟邊界路由器收到所述源自非本級聯(lián)盟 且目的為本級聯(lián)盟前綴的報文時，啟動處理程序2 ；所述目的自治域端邊界路由器收到聯(lián) 盟邊界路由器發(fā)來的報文時，驗(yàn)證所述報文源地址的真實(shí)性，當(dāng)所述報文源地址屬實(shí)時向 本地自治域內(nèi)部轉(zhuǎn)發(fā)。在本發(fā)明的一個實(shí)施例中，所述啟動處理程序1，進(jìn)一步包括查找所述狀態(tài)機(jī)1， 驗(yàn)證并去除數(shù)據(jù)報文中所述標(biāo)簽1 ；查找以所述本級聯(lián)盟為源以所述目的前綴所在聯(lián)盟為 宿的狀態(tài)機(jī)2，生成并在數(shù)據(jù)報文中添加對應(yīng)標(biāo)簽2，向本級聯(lián)盟外部轉(zhuǎn)發(fā)。在本發(fā)明的一個實(shí)施例中，所述啟動處理程序2，進(jìn)一步包括查找所述狀態(tài)機(jī)2，
5驗(yàn)證并去除數(shù)據(jù)報文中所述標(biāo)簽2 ；查找以所述本地自治域?yàn)樵匆运瞿康那熬Y所在的自 治域?yàn)樗薜臓顟B(tài)機(jī)3，生成并在數(shù)據(jù)報文中添加對應(yīng)的標(biāo)簽3，向本級聯(lián)盟內(nèi)部轉(zhuǎn)發(fā)。在本發(fā)明的一個實(shí)施例中，所述目的自治域端邊界路由器收到聯(lián)盟邊界路由器發(fā) 來的報文時，驗(yàn)證所述數(shù)據(jù)報文源地址的真實(shí)性，當(dāng)所述數(shù)據(jù)報文源地址屬實(shí)時向本地自 治域內(nèi)部轉(zhuǎn)發(fā)，進(jìn)一步包括所述目的自治域端邊界路由器收到所屬聯(lián)盟邊界路由器發(fā)來 的數(shù)據(jù)報文時，查找相應(yīng)的所述狀態(tài)機(jī)3，驗(yàn)證并去除所述標(biāo)簽3，向所述本地自治域內(nèi)部 轉(zhuǎn)發(fā)報文。在本發(fā)明的一個實(shí)施例中，當(dāng)所述源自治域?yàn)樾湃温?lián)盟成員而所述目的自治域?yàn)?非信任聯(lián)盟成員時，不做源地址驗(yàn)證，直接依據(jù)目的地址轉(zhuǎn)發(fā)數(shù)據(jù)報文，進(jìn)一步包括當(dāng)所 述信任聯(lián)盟用戶與非信任聯(lián)盟用戶間通信報文沿著通往目的前綴的路徑傳送時，途經(jīng)的內(nèi) 部邊界路由器對非源自本地自治域，且目的指向非本地自治域前綴的報文直接轉(zhuǎn)發(fā)；當(dāng)所 述信任聯(lián)盟用戶與非信任聯(lián)盟用戶間通信報文沿著通往目的前綴的路徑傳送時，途經(jīng)的聯(lián) 盟邊界路由器對非源自本級聯(lián)盟，且目的指向非本級聯(lián)盟前綴的報文直接轉(zhuǎn)發(fā)。與現(xiàn)有的基于標(biāo)簽的域間IPv6真實(shí)源地址驗(yàn)證方法比較，本方法的顯著特點(diǎn)是 第一，應(yīng)用場景多元，既可應(yīng)用于單一信任聯(lián)盟體系結(jié)構(gòu)即所有部署源地址驗(yàn)證的AS間同 屬于一個單一信任聯(lián)盟，也可應(yīng)用于層次化的信任聯(lián)盟體系結(jié)構(gòu)即每一級信任聯(lián)盟都可以 成員身份加入更高一級信任聯(lián)盟(多級信任聯(lián)盟并存)；第二，減小了路由設(shè)備管理開銷， 本級聯(lián)盟內(nèi)部邊界路由器(AER)只掌握本級成員情況(成員信息、狀態(tài)機(jī)信息等)而不必 知曉全局信息，依然能夠?qū)崿F(xiàn)全局可達(dá)，全局信息只需聯(lián)盟邊界路由器(TAER)掌握；第三， 縮短了報文處理時間，在一定程度上縮短了源、目的地址檢查和狀態(tài)機(jī)查找以及報文標(biāo)簽 處理的時間延時；第四，層次化的聯(lián)盟間互不影響，使得下層聯(lián)盟和更高層聯(lián)盟內(nèi)部網(wǎng)絡(luò)環(huán) 境的變化，彼此互不可見、互無影響，有利于增量部署。通過本發(fā)明提出的基于標(biāo)簽替換的自治域間IPv6源地址驗(yàn)證方法，互聯(lián)網(wǎng)絡(luò)能 夠構(gòu)建自上而下的金字塔式的層次化信任聯(lián)盟體系結(jié)構(gòu)，可有效避免由于信任聯(lián)盟規(guī)模的 膨脹帶來的自治域互聯(lián)關(guān)系和網(wǎng)絡(luò)拓?fù)渥兓挠绊?，同時降低了加密認(rèn)證標(biāo)簽管理、協(xié)商 和同步的難度，大大減小了設(shè)備維護(hù)和處理標(biāo)簽的開銷，保證了源地址真實(shí)性驗(yàn)證的高效 和精確，增強(qiáng)了信任聯(lián)盟構(gòu)建的靈活性、冗余性和可控性，并使其能夠有效支持增量部署。本發(fā)明附加的方面和優(yōu)點(diǎn)將在下面的描述中部分給出，部分將從下面的描述中變 得明顯，或通過本發(fā)明的實(shí)踐了解到。


本發(fā)明上述的和/或附加的方面和優(yōu)點(diǎn)從下面結(jié)合附圖對實(shí)施例的描述中將變 得明顯和容易理解，其中圖1是本發(fā)明實(shí)施例的層次化的信任聯(lián)盟體系結(jié)構(gòu)圖；圖2是本發(fā)明實(shí)施例的驗(yàn)證設(shè)備控制層面處理流程圖；圖3是本發(fā)明實(shí)施例的AER數(shù)據(jù)層面處理流程圖；圖4是本發(fā)明實(shí)施例的TAER數(shù)據(jù)層面處理流程圖；圖5是本發(fā)明所涉及的一個應(yīng)用實(shí)例圖；圖6 12是本發(fā)明一個實(shí)施例的數(shù)據(jù)層面處理流程圖；和
圖13是本發(fā)明實(shí)施例的CERNET2三層級信任聯(lián)盟模擬部署效果圖。
具體實(shí)施例方式下面詳細(xì)描述本發(fā)明的實(shí)施例，所述實(shí)施例的示例在附圖中示出，其中自始至終 相同或類似的標(biāo)號表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附 圖描述的實(shí)施例是示例性的，僅用于解釋本發(fā)明，而不能解釋為對本發(fā)明的限制。本發(fā)明提出了可層次化部署的基于標(biāo)簽替換的自治域間IPv6源地址驗(yàn)證方法。 該方法的核心思想在于引入聯(lián)盟邊界(TAE)，通過將部署加密認(rèn)證機(jī)制的所有自治域(AS) 劃分成多級聯(lián)盟，每一級信任聯(lián)盟可以作為成員(抽象為一個系統(tǒng)整體)參加更高級別的 信任聯(lián)盟，并且提供了一種自下而上的可層次化部署的確保源地址真實(shí)性的金字塔式的網(wǎng) 絡(luò)體系結(jié)構(gòu)，使得下層聯(lián)盟和更高層聯(lián)盟的內(nèi)部網(wǎng)絡(luò)環(huán)境的變化彼此互不可見、互無影響， 可有效實(shí)現(xiàn)漸進(jìn)式部署，即使在規(guī)模龐大的層次結(jié)構(gòu)中仍然能夠保證驗(yàn)證的有效性和簡單 化。以下對本發(fā)明提出的可層次化部署的基于標(biāo)簽替換的自治域間IPv6源地址驗(yàn)證 方法的整體進(jìn)行描述，該方法的認(rèn)證機(jī)制是一種端到端的基于標(biāo)簽的加密認(rèn)證機(jī)制，在多 層級的信任聯(lián)盟體系結(jié)構(gòu)中，該方法通過判斷源自治域和目的自治域所屬的信任聯(lián)盟的異 同，使得數(shù)據(jù)通信被區(qū)分為三類。第一，當(dāng)所述源自治域和目的自治域同屬一個信任聯(lián)盟時，由源自治域端的和目 的自治域端的邊界路由器依據(jù)源自治域和目的自治域?qū)?yīng)的標(biāo)簽來完成單一聯(lián)盟成員間 傳送的數(shù)據(jù)報文的源地址驗(yàn)證。在本發(fā)明的實(shí)施，稱此類通信為聯(lián)盟內(nèi)數(shù)據(jù)通信(即數(shù)據(jù) 報文在某一層級信任聯(lián)盟內(nèi)部成員間交互)，在此類網(wǎng)絡(luò)通信場景下，該層級聯(lián)盟內(nèi)成員 AS互為通信對端，AS間只需動態(tài)的、私密的維護(hù)本級聯(lián)盟范圍的狀態(tài)機(jī)有序?qū)Γ粋€用在 作為源端時生成確保自己身份真實(shí)的標(biāo)簽，標(biāo)簽由本級聯(lián)盟內(nèi)部邊界路由器(AER)添加在 報文擴(kuò)展頭中，另一個用在作為目的端時AER對接收到的報文進(jìn)行標(biāo)簽檢查。由于此類數(shù) 據(jù)通信是在同一聯(lián)盟中進(jìn)行的，所以此類數(shù)據(jù)報文處理過程不涉及標(biāo)簽替換。更為具體地，所述源自治域端邊界路由器首先從連接域內(nèi)網(wǎng)絡(luò)的端口(Ingress Port)收到所述數(shù)據(jù)報文，判斷所述報文源地址是否屬于所述源自治域，若是則進(jìn)一步檢查 目的地址，若否則丟棄所述報文；接著進(jìn)一步判斷所報文述目的地址是否與所述源地址同 屬一個信任聯(lián)盟，若是則查找所述本級信任聯(lián)盟成員間對應(yīng)的狀態(tài)機(jī)，生成標(biāo)簽添加在報 文擴(kuò)展頭中，發(fā)送到網(wǎng)絡(luò)中；而后中繼自治域端對經(jīng)過的所述報文不做標(biāo)簽驗(yàn)證，直接根據(jù) 目的地址查表轉(zhuǎn)發(fā)；在所述報文送達(dá)目的端后，目的自治域端邊界路由器從連接域外部網(wǎng) 絡(luò)的端口(Egress Port)收到報文，判斷所述報文源地址是否屬于所述源自治域，若是則丟 棄所述報文，若否則進(jìn)一步檢查目的地址；最后進(jìn)一步判斷所述目的地址是否與所述源地 址同屬于一個信任聯(lián)盟，若是則查找所述源自治域端和目的自治域端相應(yīng)的狀態(tài)機(jī)以驗(yàn)證 和去除標(biāo)簽，發(fā)送至域內(nèi)網(wǎng)絡(luò)。第二，當(dāng)源自治域和目的自治域分屬不同信任聯(lián)盟時，由源自治域端的和目的自 治域端的聯(lián)盟邊界路由器和邊界路由器協(xié)作對標(biāo)簽進(jìn)行多次替換來完成跨聯(lián)盟間傳送的 數(shù)據(jù)報文的源地址驗(yàn)證。在本發(fā)明的實(shí)施例中，稱此類為跨聯(lián)盟數(shù)據(jù)通信(即不同層級信 任聯(lián)盟成員間的數(shù)據(jù)通信)，在此類網(wǎng)絡(luò)通信場景下，技術(shù)人員通過引入TAE，在邏輯上將每一層級聯(lián)盟和外界網(wǎng)絡(luò)隔離，將所有源地址屬于本級聯(lián)盟目的在其他層級聯(lián)盟的數(shù)據(jù)報 文統(tǒng)一轉(zhuǎn)發(fā)至路由路徑上的第一個TAE，由該處的聯(lián)盟邊界路由器(TAER)將標(biāo)簽替換成數(shù) 據(jù)報文轉(zhuǎn)發(fā)途經(jīng)的更高層級的聯(lián)盟的標(biāo)簽，使得TAER形成聯(lián)盟內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)報文交互的 “中繼代理”，如果數(shù)據(jù)報文穿越多個更高層級的聯(lián)盟，則多次執(zhí)行上述過程完成自下而上 的逐級替換，并且在路由路徑上所有的中間節(jié)點(diǎn)不對數(shù)據(jù)報文標(biāo)簽做任何處理，只是按照 目的地址正常轉(zhuǎn)發(fā)，當(dāng)數(shù)據(jù)報文送達(dá)目的AS端所在聯(lián)盟時，相應(yīng)地每一層級的TAER對報文 進(jìn)行自上而下的逐級標(biāo)簽替換過程，直至數(shù)據(jù)報文送達(dá)目的地為止。
更為具體地，源AS端AER在收到源自本地AS目的指向非本級聯(lián)盟前綴的報文時， 查找以本地AS為源以通往目的前綴的路由經(jīng)過的聯(lián)盟邊界為宿的狀態(tài)機(jī)(狀態(tài)機(jī)1)，生成 并添加對應(yīng)標(biāo)簽(標(biāo)簽1)，向本地AS外部轉(zhuǎn)發(fā)；源AS端TAER在收到源自本級聯(lián)盟目的指 向非本級聯(lián)盟前綴的報文時，會接連啟動2個處理流程(1)查找狀態(tài)機(jī)1，驗(yàn)證并去除標(biāo)簽1 ；(2)查找以本級聯(lián)盟為源以目的前綴所在聯(lián)盟為宿的狀態(tài)機(jī)(狀態(tài)機(jī)2)，生成并 添加對應(yīng)標(biāo)簽(標(biāo)簽2)，向本級聯(lián)盟外部轉(zhuǎn)發(fā)。隨后，在中繼AS端，當(dāng)報文沿著通往目的前綴的路徑傳送時，途經(jīng)的路由設(shè)備對 源自非本級聯(lián)盟目的指向非本級聯(lián)盟前綴的報文不進(jìn)行任何驗(yàn)證處理直接轉(zhuǎn)發(fā)；目的AS 端TAER在收到源自非本級聯(lián)盟目的指向本級聯(lián)盟前綴的報文時，相應(yīng)地，同樣會接連啟動 2個處理流程(1)查找狀態(tài)機(jī)2，驗(yàn)證并去除標(biāo)簽2 ；(2)查找以本地AS為源以目的前綴所在的AS為宿的狀態(tài)機(jī)(狀態(tài)機(jī)3)，添加并 生成對應(yīng)的標(biāo)簽(標(biāo)簽3)，向本級聯(lián)盟內(nèi)部轉(zhuǎn)發(fā)。最后，目的AS端AER在收到TAER發(fā)來的報文時，查找相應(yīng)的狀態(tài)機(jī)3，驗(yàn)證并去除 標(biāo)簽3，向本地AS內(nèi)部轉(zhuǎn)發(fā)。第三，當(dāng)所述源自治域?yàn)樾湃温?lián)盟成員而所述目的自治域?yàn)榉切湃温?lián)盟成員時， 無須對報文標(biāo)簽做任何處理，直接按目的地址轉(zhuǎn)發(fā)數(shù)據(jù)報文。在本發(fā)明的實(shí)施例中，稱為與 非信任聯(lián)盟數(shù)據(jù)通信(即信任聯(lián)盟與非信任聯(lián)盟間的數(shù)據(jù)通信)，在此類網(wǎng)絡(luò)通信場景下， 不涉及有關(guān)標(biāo)簽的任何操作，只需按照目的地址轉(zhuǎn)發(fā)。更為具體地，當(dāng)信任聯(lián)盟用戶與非信任聯(lián)盟用戶間通信報文沿著通往目的前綴的 路徑傳送時，途經(jīng)的AER對非源自本地自治域目的指向非本地自治域前綴的報文不進(jìn)行任 何驗(yàn)證處理直接轉(zhuǎn)發(fā)；當(dāng)信任聯(lián)盟用戶與非信任聯(lián)盟用戶間通信報文沿著通往目的前綴的 路徑傳送時，途經(jīng)的TAER對非源自本級聯(lián)盟目的指向非本級聯(lián)盟前綴的報文不進(jìn)行任何 驗(yàn)證處理直接轉(zhuǎn)發(fā)。本方法涉及的源地址驗(yàn)證設(shè)備及其維護(hù)表項(xiàng)主要有注冊服務(wù)器(REG)，本級聯(lián) 盟內(nèi)部邊界路由器(AER)，聯(lián)盟邊界路由器(TAER)，控制服務(wù)器(ACS)，本級聯(lián)盟狀態(tài)機(jī)表 (LAST)，全局狀態(tài)機(jī)表(GAST)，全局地址前綴與對應(yīng)聯(lián)盟映射表(粗粒度)(GA-TA-I)，全局 地址前綴與對應(yīng)聯(lián)盟映射表(細(xì)粒度)(GA-TA-2)，本級聯(lián)盟邊界信息表(LAEIT)，具體描述 參見表1 表 1在層次化的信任聯(lián)盟體系結(jié)構(gòu)中，數(shù)據(jù)報文的源地址驗(yàn)證主要集中在AER和TAER 上，這種驗(yàn)證由控制層面和數(shù)據(jù)層面協(xié)作完成?？刂茖用嬷饕ǔ蓡T信息的注冊與傳 達(dá)，狀態(tài)機(jī)的協(xié)商、變更與同步，對AER和TAER的配置等等，其參與主體為REG、ACS和AER/TAER0數(shù)據(jù)層面主要包括在源端AS的AER上添加標(biāo)簽，在源端TAE的TAER上完成第一階 段源地址驗(yàn)證并完成第一次標(biāo)簽替換，在目的端TAE的TAER上完成第二階段源地址驗(yàn)證并 完成第二次標(biāo)簽替換，在目的端AS的AER上對標(biāo)簽進(jìn)行檢查完成第三階段源地址驗(yàn)證，其 參與主體為AER和TAER。其中，為了適應(yīng)層次化的體系結(jié)構(gòu)同時減小部署代價和運(yùn)營成本， REG、ACS的配備使用均可被多級聯(lián)盟復(fù)用。數(shù)據(jù)報文的源地址驗(yàn)證過程在控制層面主要實(shí)現(xiàn)以下功能，其處理流程如圖2所 示(I)REG受理來自ACS的成員注冊和變更信息，維護(hù)成員列表；(2) REG作為聯(lián)盟時間基準(zhǔn)，為各成員授時，向聯(lián)盟所有成員的ACS傳達(dá)成員信息；(3) ACS從REG獲取成員列表，并與之保持對成員列表的動態(tài)、同步維護(hù)；(4) ACS間進(jìn)行地址前綴信息的收集和交換；(5) ACS間進(jìn)行狀態(tài)機(jī)信息的生成和宣告；
(6) ACS制定策略并向AER/TAER部署；(7) ACS接受AER/TAER的運(yùn)行狀態(tài)匯報；(8) AER/TAER接收ACS部署的狀態(tài)機(jī)，并將其應(yīng)用；(9) AER/TAER接收ACS部署的策略，并將其應(yīng)用。結(jié)合圖5所示實(shí)例，對數(shù)據(jù)報文在層次化的信任聯(lián)盟體系結(jié)構(gòu)中的源地址驗(yàn)證過 程進(jìn)行詳細(xì)說明，其中涉及到的AER/TAER的數(shù)據(jù)層面的處理流程如圖3、4所示。步驟(1)當(dāng)AS X_AER(源端AER)收到源自本地自治域AS X的報文時，查表 GA-TA-I發(fā)現(xiàn)該報文目的前綴的歸屬AS Y不屬于本級聯(lián)盟Sub-TA2，會接連啟動兩個處理 流程步驟(1. 1)查表LAEIT找到該報文沿路由路徑出本級聯(lián)盟Sub_TA2的TAE是 ASZ ；步驟(1.2)查表LAST找到以本地自治域AS X為源以通往目的前綴的路徑上的 第一個聯(lián)盟邊界AS Z為宿的狀態(tài)機(jī)<AS X，AS Z>，生成并添加對應(yīng)標(biāo)簽(標(biāo)簽1)，向本地 自治域AS X外部網(wǎng)絡(luò)轉(zhuǎn)發(fā)。處理流程如圖6所示。步驟⑵當(dāng)AS K_AER(中間端AER)收到網(wǎng)絡(luò)轉(zhuǎn)發(fā)的報文時，查表GA_TA_1發(fā)現(xiàn) 該報文源自非本地自治域目的指向非本地自治域，不對該報文標(biāo)簽做任何處理，直接按照 目的前綴轉(zhuǎn)發(fā)至下一跳。處理流程如圖7所示。步驟(3)當(dāng)AS Z_TAER(源聯(lián)盟端TAER)收到源自本級聯(lián)盟的報文時，查表 GA-TA-2發(fā)現(xiàn)該報文目的前綴的歸屬AS Y不屬于本級聯(lián)盟Sub-TA2而屬于對等聯(lián)盟 Sub-TA3，會接連啟動2個處理流程步驟(3. 1)查表LAST找到狀態(tài)機(jī)<AS X，AS Z>，驗(yàn)證并去除標(biāo)簽1 ；步驟(3.2)查表GAST找以本級聯(lián)盟為源以目的前綴所在的對端聯(lián)盟為宿的狀態(tài) 機(jī)<Sub-TA2，Sub-TA3>,生成并添加對應(yīng)標(biāo)簽(標(biāo)簽2)，向本級聯(lián)盟外部網(wǎng)絡(luò)轉(zhuǎn)發(fā)；完成第 一階段驗(yàn)證和第一次標(biāo)簽替換。處理流程如圖8所示。步驟⑷當(dāng)AS ff_TAER(中間端TAER)收到網(wǎng)絡(luò)轉(zhuǎn)發(fā)的報文時，查表GA_TA_2發(fā) 現(xiàn)該報文源自非本級聯(lián)盟Sub-TA2目的指向非本級聯(lián)盟Sub-TA3前綴，不對該報文標(biāo)簽做 任何處理，直接按照目的前綴轉(zhuǎn)發(fā)至下一跳。處理流程如圖9所示。
步驟(5)當(dāng)AS U_TAER(目的聯(lián)盟端TAER)收到網(wǎng)絡(luò)發(fā)來的報文時，查表GA_TA_2 發(fā)現(xiàn)該報文目的前綴的歸屬AS Y屬于本級聯(lián)盟Sub-TA3，會接連啟動2個處理流程步驟(5. 1)查表GAST找到狀態(tài)機(jī)<Sub_TA2，Sub_TA3>，驗(yàn)證并去除標(biāo)簽2 ；步驟(5. 2)查表LAST找到狀態(tài)機(jī)<AS U，AS Y>，添加標(biāo)簽3，發(fā)往AS Y ；完成第 二階段驗(yàn)證和第二次標(biāo)簽替換。處理流程如圖11所示。步驟(6)當(dāng)AS L_AER(中間端AER)收到網(wǎng)絡(luò)轉(zhuǎn)發(fā)的報文時，查表GA-TA-1發(fā)現(xiàn) 該報文源自非本地自治域目的指向非本地自治域，不對該報文標(biāo)簽做任何處理，直接按照 目的前綴轉(zhuǎn)發(fā)至下一跳。處理流程如圖11所示。步驟(7)當(dāng)AS Y_TAER(目的端AER)收到網(wǎng)絡(luò)轉(zhuǎn)發(fā)的報文時，查表GA-TA-1發(fā)現(xiàn) 該報文目的前綴的歸屬本地自治域，查表LAST找到狀態(tài)機(jī)<AS U，AS Y>，驗(yàn)證并去除標(biāo)簽 3，完成最后一階段的驗(yàn)證。處理流程如圖12所示。以下就具體舉例的方式進(jìn)行描述，按照上述部署實(shí)施例的方法在純IPv6網(wǎng)絡(luò)中 國教育和科研網(wǎng)絡(luò)(CERNET2)模擬部署了三個層級的信任聯(lián)盟，如圖13所示，其中步驟(1)部署于北京核心，使其成為CERNET2聯(lián)盟和上級聯(lián)盟中國下一代互聯(lián)網(wǎng) (CNGI)信任聯(lián)盟的聯(lián)盟邊界；步驟(2)部署于中國電信信任聯(lián)盟出口節(jié)點(diǎn)，使其成為中國電信信任聯(lián)盟和上 級CNGI聯(lián)盟的聯(lián)盟邊界；步驟(3)部署于CNGI-6IX，使其成為CNGI聯(lián)盟和上級國際聯(lián)盟的聯(lián)盟邊界；步驟(4) :CERNET2 (第一級)、中國電信聯(lián)盟(第一級)同屬信任聯(lián)盟CNGI成員， 組成CNGI聯(lián)盟(第二級)，CNGI聯(lián)盟和其他國家信任聯(lián)盟組成國際聯(lián)盟(第三級)，上述 聯(lián)盟間彼此形成對等或隸屬關(guān)系，內(nèi)部網(wǎng)絡(luò)互無影響、互不可見。以上對本發(fā)明所提出的一種層次化的具有I Pv6真實(shí)源地址驗(yàn)證功能的網(wǎng)絡(luò)體 系結(jié)構(gòu)進(jìn)行了詳細(xì)介紹。通過應(yīng)用本發(fā)明提出的基于標(biāo)簽的自治域間IPv6源地址驗(yàn)證方 法，互聯(lián)網(wǎng)絡(luò)能夠構(gòu)建自上而下的金字塔式的信任聯(lián)盟體系結(jié)構(gòu)，易于實(shí)現(xiàn)層次化部署，同 時其端到端的加密認(rèn)證機(jī)制，可以不受自治域互聯(lián)關(guān)系和周邊網(wǎng)絡(luò)拓?fù)渥兓挠绊?，不僅 可部署于鄰接自治域間，也可部署在非相鄰自治域間，且無需對中間節(jié)點(diǎn)特殊處理；另一方 面，本方法能夠有效完成多次源地址驗(yàn)證，使得每一層級聯(lián)盟內(nèi)部成員只需維護(hù)本地信息 (本級聯(lián)盟成員信息、狀態(tài)機(jī)信息和地址前綴信息)而無需掌握全局情況，全局信息(所有 層級聯(lián)盟成員信息、狀態(tài)機(jī)信息和地址前綴信息)則由每一層級的聯(lián)盟邊界(TAE)掌握， 充分保證驗(yàn)證的可靠性與冗余性，有效減小驗(yàn)證開銷，隨著參加信任聯(lián)盟自治域規(guī)模的不 斷增長，加密認(rèn)證標(biāo)簽的維護(hù)和處理開銷僅僅呈輕量級增長，管理、協(xié)商和同步難度并未增 加，因此在一定程度上具有漸進(jìn)式部署的激勵。盡管已經(jīng)示出和描述了本發(fā)明的實(shí)施例，對于本領(lǐng)域的普通技術(shù)人員而言，可以 理解在不脫離本發(fā)明的原理和精神的情況下可以對這些實(shí)施例進(jìn)行多種變化、修改、替換 和變型，本發(fā)明的范圍由所附權(quán)利要求及其等同限定。
權(quán)利要求
一種自治域間基于標(biāo)簽替換的IPv6真實(shí)源地址驗(yàn)證方法，其特征在于，包括以下步驟步驟1，判斷源自治域和目的自治域所屬的信任聯(lián)盟；步驟2，當(dāng)源自治域和目的自治域同屬一個信任聯(lián)盟時，由源自治域端的和目的自治域端的邊界路由器依據(jù)源自治域和目的自治域?qū)?yīng)的標(biāo)簽來完成單一聯(lián)盟成員間傳送的數(shù)據(jù)報文的源地址驗(yàn)證；步驟3，當(dāng)源自治域和目的自治域分屬不同信任聯(lián)盟時，由源自治域端的和目的自治域端的聯(lián)盟邊界路由器和邊界路由器協(xié)作對標(biāo)簽進(jìn)行多次替換來完成跨聯(lián)盟間傳送的數(shù)據(jù)報文的源地址驗(yàn)證；步驟4，當(dāng)源自治域?yàn)樾湃温?lián)盟成員而目的自治域?yàn)榉切湃温?lián)盟成員時，無須進(jìn)行源地址驗(yàn)證，數(shù)據(jù)報文直接按目的地址轉(zhuǎn)發(fā)。
2.如權(quán)利要求1所述的自治域間基于標(biāo)簽替換的IPv6真實(shí)源地址驗(yàn)證方法，其特征在 于，當(dāng)源自治域和目的自治域同屬一個信任聯(lián)盟時，由源自治域端的和目的自治域端的邊 界路由器依據(jù)每一對源自治域和目的自治域?qū)?yīng)的標(biāo)簽來完成單一聯(lián)盟成員間傳送的數(shù) 據(jù)報文的源地址驗(yàn)證，進(jìn)一步包括步驟1，所述源自治域端邊界路由器從連接域內(nèi)網(wǎng)絡(luò)的端口(Ingress Port)收到數(shù)據(jù) 報文，判斷該報文源地址是否屬于本自治域，若是則進(jìn)一步檢查目的地址，若否則丟棄該報 文；步驟1. 1，進(jìn)一步判斷數(shù)據(jù)報文目的地址是否與源地址同屬一個信任聯(lián)盟，若是則查找 所述源自治域和目的自治域?qū)?yīng)的一定周期內(nèi)有效的且全局唯一的狀態(tài)機(jī)，生成相應(yīng)標(biāo)簽 添加在報文擴(kuò)展頭中，發(fā)送到網(wǎng)絡(luò)中；步驟2，中繼自治域端對經(jīng)過的數(shù)據(jù)報文不作處理，直接根據(jù)目的地址查表轉(zhuǎn)發(fā)；步驟3，數(shù)據(jù)報文送達(dá)目的自治域端，目的自治域端邊界路由器從連接域外網(wǎng)絡(luò)的端口 (Egress Port)收到報文，判斷報文源地址是否屬于本自治域，若是則丟棄所述報文，若否 則進(jìn)一步檢查報文的目的地址；步驟3. 1，目的自治域端邊界路由器進(jìn)一步判斷數(shù)據(jù)報文目的地址是否屬于本自治域， 若是則查找所述源自治域端和目的自治域端對應(yīng)的狀態(tài)機(jī)以驗(yàn)證和去除標(biāo)簽，發(fā)送至域內(nèi) 網(wǎng)絡(luò)。
3.如權(quán)利要求1所述的自治域間基于標(biāo)簽替換的IPv6真實(shí)源地址驗(yàn)證方法，其特征在 于，當(dāng)源自治域和目的自治域分屬不同信任聯(lián)盟時，由源自治域端的和目的自治域端的聯(lián) 盟邊界路由器和邊界路由器協(xié)作對標(biāo)簽進(jìn)行多次替換來完成跨聯(lián)盟間傳送的數(shù)據(jù)報文的 源地址驗(yàn)證，進(jìn)一步包括步驟1，所述源自治域端邊界路由器收到源自本地自治域且目的為非本級聯(lián)盟地址前 綴的報文時，查找以本地自治域?yàn)樵匆酝ㄍ康牡刂非熬Y的路由經(jīng)過的聯(lián)盟邊界為宿的狀 態(tài)機(jī)1，生成并添加對應(yīng)標(biāo)簽1，向本地自治域外部轉(zhuǎn)發(fā)；步驟2，所述源自治域端聯(lián)盟邊界路由器收到源自本級聯(lián)盟且目的為所述非本級聯(lián)盟 前綴的報文時，啟動處理程序1 ；步驟3，中繼自治域端的路由器對所述源自非本級聯(lián)盟且目的為非本級聯(lián)盟前綴的報 文直接轉(zhuǎn)發(fā)；步驟4，目的自治域端聯(lián)盟邊界路由器收到所述源自非本級聯(lián)盟且目的為本級聯(lián)盟前 綴的報文時，啟動處理程序2;步驟5，所述目的自治域端邊界路由器收到聯(lián)盟邊界路由器發(fā)來的報文時，驗(yàn)證所述報 文源地址的真實(shí)性，當(dāng)所述報文源地址屬實(shí)時向本地自治域內(nèi)部轉(zhuǎn)發(fā)。
4.如權(quán)利要求3所述的自治域間基于標(biāo)簽替換的IPv6真實(shí)源地址驗(yàn)證方法，其特征在 于，所述啟動處理程序1，進(jìn)一步包括步驟1，查找所述狀態(tài)機(jī)1，驗(yàn)證并去除所述標(biāo)簽1 ；步驟2，查找以所述本級聯(lián)盟為源以目的前綴所在聯(lián)盟為宿的狀態(tài)機(jī)2，生成并添加對 應(yīng)標(biāo)簽2，向本級聯(lián)盟外部轉(zhuǎn)發(fā)。
5.如權(quán)利要求3所述的自治域間基于標(biāo)簽替換的IPv6真實(shí)源地址驗(yàn)證方法，其特征在 于，所述啟動處理程序2，進(jìn)一步包括步驟1，查找所述狀態(tài)機(jī)2，驗(yàn)證并去除所述標(biāo)簽2 ；步驟2，查找以所述本地自治域?yàn)樵?，且以所述目的前綴所在的自治域?yàn)樗薜臓顟B(tài)機(jī) 3，添加并生成對應(yīng)的標(biāo)簽3，向本級聯(lián)盟內(nèi)部轉(zhuǎn)發(fā)。
6.如權(quán)利要求5所述的自治域間基于標(biāo)簽替換的IPv6真實(shí)源地址驗(yàn)證方法，其特征在 于，所述目的自治域端邊界路由器收到聯(lián)盟邊界路由器發(fā)來的報文時，驗(yàn)證所述報文源地 址的真實(shí)性，當(dāng)所述報文源地址屬實(shí)時向本地自治域內(nèi)部轉(zhuǎn)發(fā)報文，進(jìn)一步包括所述目的自治域端邊界路由器收到聯(lián)盟邊界路由器發(fā)來的報文時，查找所述狀態(tài)機(jī)3， 驗(yàn)證并去除所述標(biāo)簽3，向本地自治域內(nèi)部轉(zhuǎn)發(fā)報文。
7.如權(quán)利要求1所述的自治域間基于標(biāo)簽替換的IPv6真實(shí)源地址驗(yàn)證方法，其特征在 于，當(dāng)所述源自治域?yàn)樾湃温?lián)盟成員而所述目的自治域?yàn)榉切湃温?lián)盟成員時，按目的地址 轉(zhuǎn)發(fā)數(shù)據(jù)報文，進(jìn)一步包括當(dāng)所述信任聯(lián)盟用戶與非信任聯(lián)盟用戶間通信報文沿著通往目的前綴的路徑傳送時， 途經(jīng)的內(nèi)部邊界路由器對非源自本地自治域，且目的指向非本地自治域前綴的報文直接轉(zhuǎn) 發(fā)；當(dāng)所述信任聯(lián)盟用戶與非信任聯(lián)盟用戶間通信報文沿著通往目的前綴的路徑傳送時， 途經(jīng)的聯(lián)盟邊界路由器對非源自本級聯(lián)盟，且目的指向非本級聯(lián)盟前綴的報文直接轉(zhuǎn)發(fā)。
全文摘要
本發(fā)明涉及下一代可信任互聯(lián)網(wǎng)技術(shù)領(lǐng)域，提出了一種自治域間基于標(biāo)簽替換的IPv6真實(shí)源地址驗(yàn)證方法，包括以下步驟，當(dāng)源自治域和目的自治域同屬一個信任聯(lián)盟時，由源自治域端的和目的自治域端的邊界路由器依據(jù)源自治域和目的自治域?qū)?yīng)的標(biāo)簽來完成單一聯(lián)盟成員間傳送的數(shù)據(jù)報文的源地址驗(yàn)證；當(dāng)源自治域和目的自治域分屬不同信任聯(lián)盟時，由源自治域端的和目的自治域端的聯(lián)盟邊界路由器和邊界路由器協(xié)作對標(biāo)簽進(jìn)行多次替換來完成跨聯(lián)盟間傳送的數(shù)據(jù)報文的源地址驗(yàn)證。本發(fā)明為自治域間的IPv6真實(shí)源地址驗(yàn)證提供了一種實(shí)現(xiàn)機(jī)制簡單輕權(quán)的、對自治域間高速通信影響甚微的、可層次化漸進(jìn)式部署的真實(shí)源地址驗(yàn)證方法。
文檔編號H04L29/12GK101902474SQ201010234850
公開日2010年12月1日 申請日期2010年7月21日 優(yōu)先權(quán)日2010年7月21日
發(fā)明者吳建平, 徐恪, 李 杰 申請人:清華大學(xué)