一种报文处理方法及装置制造方法及图纸

本申请提供了一种报文处理方法及装置，涉及通信技术领域。该方法应用于使能SAVA

【技术实现步骤摘要】
一种报文处理方法及装置


[0001]本申请涉及通信
，尤其涉及一种报文处理方法及装置。

技术介绍

[0002]随着互联网的发展，至2019年末，全球所有42.9亿个IPv4地址已分配完毕，IPv6地址因此被大力推崇。传统的IPv6协议目前只针对报文的转发，不会对转发报文的IPv6地址进行验证，当前也没有成熟的安全技术来解决仿冒IPv6源地址攻击问题，导致目前存在很大的网络安全问题。
[0003]基于此，提供了下一代互联网真实源地址验证架构(Source Address Validation Architecture，SAVA)，该架构分为域内、域间和接入网三层。在位于域内的SAVA
‑
P(源地址验证架构协议)功能一般都部署在与接入网相连的骨干网内边界设备上，从应用场景和部署位置看又可分为用户侧和网络侧，参考图1所示的IPv6多接入组网环境中，设备A连接设备B，设备A连接骨干网设备G，设备A连接设备C的一侧。为了防范仿冒IPv6源地址的攻击问题，在设备G的接口上开启了严格型URPF(Unicast Reverse Path Forwarding，单播反向路由查找技术)功能，仅依靠本地的路由信息来判断报文的合法性。当出现G没有路由表项的域外合法流量经过时就会造成误丢弃。
[0004]为了解决这一问题，目前提出了URPF功能与访问控制列表(Access Control Lists，ACL)配合使用的方法，当用户确认具有某些特征的报文合法时，则可以在ACL中指定这些报文，这样这些报文在逆向路由不存在的情况下，也不会做丢弃处理就不会造成误丢弃。但是该方法中，在实现仿冒IPv6源地址的校验前提下，需要用户手动配置ACL列表，从而会导致增加配置的复杂度及增加网络维护的难度。
[0005]因此，如何在解决仿冒IPv6源地址问题的攻击情况下，无需要用户手动配置就可以解决报文误丢弃的问题是值得考虑的技术问题之一。

技术实现思路

[0006]有鉴于此，本申请提供一种报文处理方法及装置，用以在解决仿冒IPv6源地址问题的攻击情况下，无需要用户手动配置就可以解决报文误丢弃的问题。
[0007]具体地，本申请是通过如下技术方案实现的：
[0008]根据本申请的第一方面，提供一种报文处理方法，应用于使能SAVA
‑
P功能的第一网络设备中，所述方法包括：
[0009]接收IPv6报文；
[0010]根据所述IPv6报文的源地址，查询所述IPv6报文的入接口对应的第一ACL表项，所述第一ACL表项包括所述入接口的接口标识与允许被所述入接口放行报文的源前缀信息之间的对应关系；
[0011]若所述源地址与所述第一ACL表项相匹配，则转发所述IPv6报文；
[0012]若所述源地址与所述第一ACL表项不匹配，则根据所述IPv6报文的源地址查询第
二ACL表项，所述第二ACL表项包括历史记录的源前缀信息；
[0013]若所述源地址与所述第二ACL表项不匹配，则转发所述IPv6报文；
[0014]若所述源地址与所述第二ACL表项相匹配，则丢弃所述IPv6报文。
[0015]根据本申请的第二方面，提供一种报文处理装置，设置于使能SAVA
‑
P功能的第一网络设备中，所述装置包括：
[0016]接收模块，用于接收IPv6报文；
[0017]第一查询模块，用于根据所述IPv6报文的源地址，查询所述IPv6报文的入接口对应的第一ACL表项，所述第一ACL表项包括所述入接口的接口标识与允许被所述入接口放行报文的源前缀信息之间的对应关系；
[0018]转发模块，用于若所述第一查询模块的查询结果为所述源地址与所述第一ACL表项相匹配，则转发所述IPv6报文；
[0019]第二查询模块，用于若所述第一查询模块的查询结果为所述源地址与所述第一ACL表项不匹配，则根据所述IPv6报文的源地址查询第二ACL表项，所述第二ACL表项包括历史记录的源前缀信息；
[0020]所述转发模块，还用于若所述第二查询模块的查询结果为所述源地址与所述第二ACL表项不匹配，则转发所述IPv6报文；
[0021]丢弃模块，用于若所述第二查询模块的查询结果为所述源地址与所述第二ACL表项相匹配，则丢弃所述IPv6报文。
[0022]根据本申请的第三方面，提供一种网络设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。
[0023]根据本申请的第四方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
[0024]本申请实施例的有益效果：
[0025]本申请实施例提供的报文处理方法及装置中，第一网络设备在接收到IPv6报文后，先根据该IPv6报文的源地址，查询该IPv6报文的入接口对应的第一ACL表项，由于第一ACL表项包括入接口的接口标识与允许被所述入接口放行报文的源前缀信息之间的对应关系，则可以确认该IPv6报文的源地址的源前缀信息是否在该第一ACL列表中，当存在时，则确认该源地址与所述第一ACL表项相匹配，表明该IPv6报文的源地址是合法的，则转发该IPv6报文；若该源地址与第一ACL表项不匹配，则为了避免合法的IPv6报文的误丢弃，本申请提出根据IPv6报文的源地址查询第二ACL表项，由于第二ACL表项包括历史记录的源前缀信息，当确认源地址与所述第二ACL表项不匹配时，则表明该IPv6报文的源地址与第一ACL表项和第二ACL表项均不匹配，则可能是合法的流量，则转发该IPv6报文；若源地址与所述第二ACL表项相匹配，则表明该IPv6报文未命中第一ACL表项，但命中了第二ACL表项，由于第一ACL表项记录的是合法的源前缀信息，则表明该IPv6报文的源前缀信息不合法，则此时可以丢弃该IPv6报文，这样一来，一方面实现了对收到的IPv6报文的源地址的合法性校验，同时保证了校验通过的IPv6报文的正常转发，解决了合法的IPv6报文的误丢弃的问题；另一方面，也实现了对校验不通过的IPv6报文的丢弃。
附图说明
[0026]图1是本申请提供的一种IPv6多接入组网环境的结构示意图；
[0027]图2是本申请实施例提供的一种报文处理方法的流程示意图；
[0028]图3是本申请实施例提供的一种报文处理方法的应用场景示意图；
[0029]图4是本申请实施例提供的一种实施报文处理方法的网络设备的硬件结构示意图。
具体实施方式
[0030]这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种报文处理方法，其特征在于，应用于使能SAVA
‑
P功能的第一网络设备中，所述方法包括：接收IPv6报文；根据所述IPv6报文的源地址，查询所述IPv6报文的入接口对应的第一ACL表项，所述第一ACL表项包括所述入接口的接口标识与允许被所述入接口放行报文的源前缀信息之间的对应关系；若所述源地址与所述第一ACL表项相匹配，则转发所述IPv6报文；若所述源地址与所述第一ACL表项不匹配，则根据所述IPv6报文的源地址查询第二ACL表项，所述第二ACL表项包括历史记录的源前缀信息；若所述源地址与所述第二ACL表项不匹配，则转发所述IPv6报文；若所述源地址与所述第二ACL表项相匹配，则丢弃所述IPv6报文。2.根据权利要求1所述的方法，其特征在于，每个入接口对应的第一ACL表项为按照下述方法生成的：接收每个第二网络设备上报的所述第二网络设备收集到的用户侧的路由信息；根据所述路由信息和所述路由信息的入接口，生成SAVA
‑
P表项，所述SAVA
‑
P表项包括该入接口的接口标识与所述路由信息中的源地址的源前缀信息；根据所述SAVA
‑
P表项，生成该入接口的第一ACL表项，所述第一ACL表项中的执行动作为放行。3.根据权利要求1所述的方法，其特征在于，所述第二ACL表项为按照下述方法生成的：接收第二网络设备上报的所述第二网络设备收集到的用户侧的路由信息；根据所述路由信息和所述路由信息的入接口，生成SAVA
‑
P表项，所述SAVA
‑
P表项包括与所述路由信息中的源地址的源前缀信息；根据所述SAVA
‑
P表项，生成所述第二ACL表项，所述第二ACL表项中的执行动作为丢弃。4.根据权利要求3所述的方法，其特征在于，根据所述SAVA
‑
P表项，生成所述第二ACL表项，包括：根据各个第二网络设备生成的SAVA
‑
P表项，生成灰名单SAVA
‑
P表项；根据所述灰名单SAVA
‑
P表项，生成所述第二ACL表项。5.根据权利要求1所述的方法，其特征在于，每个入接口对应的第一ACL表项还包括与所述第一网络设备通信的第二网络设备的入接口所绑定的VPN实例的VPN标识；根据所述IPv6报文的源地址，查询所述IPv6报文的入接口对应的第一ACL表项，包括：从所述IPv6报文中解析出源地址和VPN标识；判断解析出的源地址、VPN标识和所述IPv6报文的入接口的入接口标识之间的对应关系是否在该入接口对应的第一ACL表项中；若在，则确认所述源地址与所述第一ACL表项相匹配；否则，确认所述源地址与所述第一ACL表项不匹配。6.根据权利要求1所述的方法，其特征在于，所述第二ACL表项还包括与所述第一网络设备通信的第二网络设备的入接口所绑定的VPN实例的VPN标识；根据所述IPv6报文的源地址查询第二ACL表项，包括：从所述IPv6报文中解析出源地址和VPN标识；
判断解析出的源地址和VPN标识之间的对应关系是否在所述第二ACL表项中；若在，则确认所述源地址与所述第二ACL表项相匹配；若不在，则确认所述源地址与所述第二ACL表项不匹配。7.一种报文处理装置，其特征在于，设置于使能SAVA

【专利技术属性】
技术研发人员：左强，
申请(专利权)人：新华三技术有限公司合肥分公司，
类型：发明
国别省市：