【技术实现步骤摘要】
本专利技术涉及一种基于反向纠错的ipv6真实源地址前缀验证方法,属于互联网安全。
技术介绍
1、当前,以ipv6为基础的下一代互联网已经成为国际、国内的研究热点,真实源地址认证解决了目前互联网体系结构中的一些固有缺陷,针对安全性弱、可信度低、移动性和流媒体业务承载能力差等主要问题,进行了技术的设计实现和创新。源地址认证可以直接解决一些伪造源地址的分布式拒绝服务攻击(ddos),比如reflection攻击等;真实地址访问,使得互联网中的流量更加容易追踪,使得设计安全机制和网络管理更加容易;可以实现基于源地址的计费、管理和测量;可以为安全服务和安全应用的设计提供支持。
2、目前互联网中的主流真实源地址验证的解决方案是互联网中的网络节点中对各自所拥有的ipv6真实源地址前缀信息进行宣告,同时学习其它网络节点所发布的ipv6真实源地址前缀信息,网络节点利用学习到的ipv6真实源地址前缀与报文传输的入接口进行绑定,形成ipv6真实源地址黑白名单,并且将绑定关系下发至数据平面,对进入网络节点的数据流源地址进行验证,匹配白名单表项的数据流被网络节点正常转发,匹配黑名单表项的数据流则被判定为伪造源地址,网络节点会将该数据流丢弃。正常情况下流量按照黑白名单进行ipv6真实源地验证,但是由于人为失误所发布的错误真实源地址信息,往往会导致携带ipv6真实源地址的流量被误阻断。
3、因此如何在数据流量被黑名单误阻断后,系统经过分析将该错误进行反向纠正,从而使携带真实源地址的数据流量不会因为误阻断而在网络中不能正常转发,是互联网
技术实现思路
1、针对现有技术的不足,本专利技术提供一种基于反向纠错的ipv6真实源地址前缀验证方法,采用基于反向纠错的ipv6真实源地址前缀信息验证,通过在路由网络中支持ipv6真实源地址验证的网络节点上对被真实源地址黑名单过滤的数据报文进行采样,实现对误阻断的真实源地址信息分析,在纠错后放入白名单中,达到在网络节点上精准进行ipv6源地址验证的目标。
2、具体来说,网络节点的所下辖前缀信息除通过路由协议扩展在各个网络节点之间传递之外,还会将其发送给ipv6真实源地址集中系统,系统在进行分析和整理后刻画出当前网络真实源地址的精准拓扑画像,针对网络节点上报的被真实源地址黑名单过滤的数据信息,在遍历本地数据库中的拓扑画像后,如果判定当前数据流量是被误阻断的,则给对应网络节点下发撤销黑名单和增加白名单指令,实现对网络流量被误阻断的纠错功能。
3、本专利技术的技术方案如下:
4、一种基于反向纠错的ipv6真实源地址前缀验证方法,步骤如下:
5、(1)ipv6真实源地址集中控制系统初始化真实源地址拓扑画像;
6、(2)ipv6真实源地址集中控制系统初始化网络节点信息表;
7、(3)ipv6真实源地址集中控制系统启动ospf协议,通过ospf协议学习网络链路信息,以网络中的每个网络节点为根节点,生成最短路径树;
8、(4)网络节点组装ipv6真实源地址上报报文,上报各自所辖的ipv6真实源地址信息;
9、(5)网络节点上报被阻断流量信息;
10、(6)ipv6真实源地址集中控制系统监听网络数据,准备接收报文;
11、(7)如果ipv6真实源地址集中控制系统接收到步骤(4)上传的ipv6真实源地址上报报文,则提取报文信息并遍历网络节点信息表,如果查找到记录,则更新网络节点信息,如果未查找到记录,则记录接收到不明网络节点的ipv6真实源地址上报报文日志信息,返回步骤(6)继续监听;
12、(8)利用步骤(7)所获得的网络节点route id扫描真实源地址拓扑画像,如果查找到以该网络节点route id为根节点的最短路径树,则更新当前匹配项的真实源地址拓扑画像;如果没有查找到对应的最短路径树,则记录该网络节点未在真实源地址拓扑画像内的最短路径树中查找到的日志信息,返回步骤(6)继续监听;
13、(9)如果接收到步骤(5)发送的被阻断流量查询请求报文,则取出相关信息,扫描真实源地址网络拓扑画像,获得匹配信息;
14、(10)组装阻断流量纠错报文并发送给发生误阻断流量的网络节点;
15、(11)发生误阻断流量的网络节点接收到阻断流量纠错报文后,更新信息,然后返回步骤(6)继续监听。
16、根据本专利技术优选的,步骤(1)中,真实源地址拓扑画像是当前网络的最短路径树,最短路径树上的每个节点代表网络中的路由器节点,ipv6真实源地址集中控制系统以每个节点为根节点,创建多棵最短路径树,每棵树代表当前根节点到达当前网络其它节点的最短路径,树中连接两个网络节点的端点记录上游节点流量进入下游节点所对应的出接口和入接口的索引值,每个网络节点保存着当前节点的唯一标识,即route id,以及多条本地所辖的ipv6真实源地址前缀和ipv6真实源地址前缀长度,其中,ipv6真实源地址前缀为从当前网络节点所辖ipv6流量源地址前缀集合,ipv6真实源地址前缀长度为ipv6真实源地址前缀的掩码位数,初始ipv6真实源地址集中控制系统最短路径树为空。
17、根据本专利技术优选的,步骤(2)中,网络节点信息表包括网络节点ip地址、网络节点routeid、状态和时间戳,其中,网络节点ip地址为ipv6真实源地址集中控制系统与当前网络节点进行通信的ip地址信息,网络节点route id为当前网络节点在网络中的唯一标识,状态为当前网络节点是否处于可连接状态,时间戳为ipv6真实源地址集中控制系统与当前网络节点最近一次连接的时间,初始化从本地配置文件中读取出的当前网络节点的信息。
18、根据本专利技术优选的,步骤(3)具体的,学习当前网络中ospf邻居所通告的链路状态信息,ipv6真实源地址集中控制系统根据学习来的链路状态信息,以网络中的每个网络节点为根节点,生成最短路径树,创建真实源地址拓扑画像,真实源地址拓扑画像记录下每棵最短路径树根节点的route id和当前的最短路径树,每个根节点所辖的ipv6真实源地址前缀列表为空。
19、根据本专利技术优选的,步骤(4)具体的,网络节点启动,收集本地ipv6真实源地址信息,组装ipv6真实源地址上报报文,报文包括ipv6真实源地址前缀、ipv6真实源地址前缀长度和网络节点route id,ipv6真实源地址前缀字段填入收集的本地ipv6真实源地址前缀,ipv6真实源地址前缀长度字段填入收集的本地ipv6真实源地址前缀长度,网络节点routeid字段填入网络节点在域内网络中唯一的标识,报文组装完毕后发送给ipv6真实源地址集中控制系统。
20、根据本专利技术优选的,步骤(5)具体的,网络节点在流量被黑名单阻断之后,组装被阻断流量查询请求报文,报文包括被阻断接口索引、源地址和网络节点route id,被阻断接口索引值填入被阻断网络流量进入网络节点时的接口索引值,源地本文档来自技高网...
【技术保护点】
1.一种基于反向纠错的IPv6真实源地址前缀验证方法,其特征在于,步骤如下:
2.如权利要求1所述的基于反向纠错的IPv6真实源地址前缀验证方法,其特征在于,步骤(1)中,真实源地址拓扑画像是当前网络的最短路径树,最短路径树上的每个节点代表网络中的路由器节点,IPv6真实源地址集中控制系统以每个节点为根节点,创建多棵最短路径树,每棵树代表当前根节点到达当前网络其它节点的最短路径,树中连接两个网络节点的端点记录上游节点流量进入下游节点所对应的出接口和入接口的索引值,每个网络节点保存着当前节点的唯一标识,即Route ID,以及多条本地所辖的IPv6真实源地址前缀和IPv6真实源地址前缀长度,其中,IPv6真实源地址前缀为从当前网络节点所辖IPv6流量源地址前缀集合,IPv6真实源地址前缀长度为IPv6真实源地址前缀的掩码位数,初始IPv6真实源地址集中控制系统最短路径树为空;
3.如权利要求2所述的基于反向纠错的IPv6真实源地址前缀验证方法,其特征在于,步骤(3)具体的,学习当前网络中OSPF邻居所通告的链路状态信息,IPv6真实源地址集中控制系统根据学习
4.如权利要求3所述的基于反向纠错的IPv6真实源地址前缀验证方法,其特征在于,步骤(4)具体的,网络节点启动,收集本地IPv6真实源地址信息,组装IPv6真实源地址上报报文,报文包括IPv6真实源地址前缀、IPv6真实源地址前缀长度和网络节点Route ID,IPv6真实源地址前缀字段填入收集的本地IPv6真实源地址前缀,IPv6真实源地址前缀长度字段填入收集的本地IPv6真实源地址前缀长度,网络节点Route ID字段填入网络节点在域内网络中唯一的标识,报文组装完毕后发送给IPv6真实源地址集中控制系统。
5.如权利要求4所述的基于反向纠错的IPv6真实源地址前缀验证方法,其特征在于,步骤(5)具体的,网络节点在流量被黑名单阻断之后,组装被阻断流量查询请求报文,报文包括被阻断接口索引、源地址和网络节点Route ID,被阻断接口索引值填入被阻断网络流量进入网络节点时的接口索引值,源地址字段填入被阻断流量报文的源地址,网络节点RouteID字段填入网络节点在域内网络中唯一的标识,报文组装完毕后发送给IPv6真实源地址集中控制系统。
6.如权利要求5所述的基于反向纠错的IPv6真实源地址前缀验证方法,其特征在于,步骤(7)中,报文信息为IPv6真实源地址前缀、IPv6真实源地址前缀长度和网络节点RouteID,根据报文的源地址和Route ID遍历网络节点信息表,如果查找到记录,则更新状态字段为1,表示当前网络节点处于活跃状态,更新时间戳字段为当前时间。
7.如权利要求6所述的基于反向纠错的IPv6真实源地址前缀验证方法,其特征在于,步骤(8)中,更新过程为,将步骤(7)从报文中获取的IPv6真实源地址前缀和IPv6真实源地址前缀长度更新为当前匹配项的IPv6真实源地址前缀和IPv6真实源地址前缀长度。
8.如权利要求7所述的基于反向纠错的IPv6真实源地址前缀验证方法,其特征在于,步骤(9)具体为,从报文中取出被阻断接口索引、源地址和网络节点Route ID,利用源地址扫描真实源地址网络拓扑画像,如果查找到包含该源地址的真实源地址信息的最短路径树,记录下IPv6真实源地址前缀和IPv6真实源地址前缀长度信息,执行步骤(9.1),如果没有查找到对应的最短路径树,则执行步骤(9.3);
9.如权利要求8所述的基于反向纠错的IPv6真实源地址前缀验证方法,其特征在于,步骤(10)中,具体的,阻断流量纠错报文包括IPv6真实源地址前缀、IPv6真实源地址前缀长度和入接口索引值,IPv6真实源地址前缀字段和IPv6真实源地址前缀长度字段填步骤(9)所获取的IPv6真实源地址前缀和IPv6真实源地址前缀长度信息,入接口索引值字段填入步骤(9.1)所获取入接口索引值,将阻断流量纠错报文发送给发生误阻断流量的网络节点。
10.如权利要求9所述的基于反向纠错的IPv6真实源地址前缀验证方法,其特征在于,步骤(11),更新信息具体为,利用阻断流量纠错报文中的IPv6真实源地址前缀、IPv6真实源地址前缀长度和入接口索引值,删除本地的黑名单,生成白名单。
...【技术特征摘要】
1.一种基于反向纠错的ipv6真实源地址前缀验证方法,其特征在于,步骤如下:
2.如权利要求1所述的基于反向纠错的ipv6真实源地址前缀验证方法,其特征在于,步骤(1)中,真实源地址拓扑画像是当前网络的最短路径树,最短路径树上的每个节点代表网络中的路由器节点,ipv6真实源地址集中控制系统以每个节点为根节点,创建多棵最短路径树,每棵树代表当前根节点到达当前网络其它节点的最短路径,树中连接两个网络节点的端点记录上游节点流量进入下游节点所对应的出接口和入接口的索引值,每个网络节点保存着当前节点的唯一标识,即route id,以及多条本地所辖的ipv6真实源地址前缀和ipv6真实源地址前缀长度,其中,ipv6真实源地址前缀为从当前网络节点所辖ipv6流量源地址前缀集合,ipv6真实源地址前缀长度为ipv6真实源地址前缀的掩码位数,初始ipv6真实源地址集中控制系统最短路径树为空;
3.如权利要求2所述的基于反向纠错的ipv6真实源地址前缀验证方法,其特征在于,步骤(3)具体的,学习当前网络中ospf邻居所通告的链路状态信息,ipv6真实源地址集中控制系统根据学习来的链路状态信息,以网络中的每个网络节点为根节点,生成最短路径树,创建真实源地址拓扑画像,真实源地址拓扑画像记录下每棵最短路径树根节点的route id和当前的最短路径树,每个根节点所辖的ipv6真实源地址前缀列表为空。
4.如权利要求3所述的基于反向纠错的ipv6真实源地址前缀验证方法,其特征在于,步骤(4)具体的,网络节点启动,收集本地ipv6真实源地址信息,组装ipv6真实源地址上报报文,报文包括ipv6真实源地址前缀、ipv6真实源地址前缀长度和网络节点route id,ipv6真实源地址前缀字段填入收集的本地ipv6真实源地址前缀,ipv6真实源地址前缀长度字段填入收集的本地ipv6真实源地址前缀长度,网络节点route id字段填入网络节点在域内网络中唯一的标识,报文组装完毕后发送给ipv6真实源地址集中控制系统。
5.如权利要求4所述的基于反向纠错的ipv6真实源地址前缀验证方法,其特征在于,步骤(5)具体的,网络节点在流量被黑名单阻断之后,组装被阻断流量查询请求报文,报文包括被阻断接口索引、源...
【专利技术属性】
技术研发人员:王宇亮,国兴昌,李康,杨晗,李宗鹏,徐明伟,杨波,
申请(专利权)人:泉城省实验室,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。