基于标签替换的自治域间IPv6真实源地址验证方法转让专利
申请号 : CN201010234850.X
文献号 : CN101902474B
文献日 : 2012-11-14
发明人 : 吴建平 , 李杰 , 徐恪
申请人 : 清华大学
摘要 :
本发明涉及下一代可信任互联网技术领域,提出了一种自治域间基于标签替换的IPv6真实源地址验证方法,包括以下步骤,当源自治域和目的自治域同属一个信任联盟时,由源自治域端的和目的自治域端的边界路由器依据源自治域和目的自治域对应的标签来完成单一联盟成员间传送的数据报文的源地址验证;当源自治域和目的自治域分属不同信任联盟时,由源自治域端的和目的自治域端的联盟边界路由器和边界路由器协作对标签进行多次替换来完成跨联盟间传送的数据报文的源地址验证。本发明为自治域间的IPv6真实源地址验证提供了一种实现机制简单轻权的、对自治域间高速通信影响甚微的、可层次化渐进式部署的真实源地址验证方法。
权利要求 :
1.一种自治域间基于标签替换的IPv6真实源地址验证方法,其特征在于,包括以下步骤:步骤1,判断源自治域和目的自治域所属的信任联盟;
步骤2,当源自治域和目的自治域同属一个信任联盟时,由源自治域端的和目的自治域端的边界路由器依据源自治域和目的自治域对应的标签来完成单一联盟成员间传送的数据报文的源地址验证;
步骤3,当源自治域和目的自治域分属不同信任联盟时,由源自治域端的和目的自治域端的联盟边界路由器和边界路由器协作对标签进行多次替换来完成跨联盟间传送的数据报文的源地址验证;
步骤4,当源自治域为信任联盟成员而目的自治域为非信任联盟成员时,无须进行源地址验证,数据报文直接按目的地址转发。
2.如权利要求1所述的自治域间基于标签替换的IPv6真实源地址验证方法,其特征在于,当源自治域和目的自治域同属一个信任联盟时,由源自治域端的和目的自治域端的边界路由器依据每一对源自治域和目的自治域对应的标签来完成单一联盟成员间传送的数据报文的源地址验证,进一步包括:步骤1,所述源自治域端边界路由器从连接域内网络的端口(Ingress Port)收到数据报文,判断该报文源地址是否属于本自治域,若是则进一步检查目的地址,若否则丢弃该报文;
步骤1.1,进一步判断数据报文目的地址是否与源地址同属一个信任联盟,若是则查找所述源自治域和目的自治域对应的一定周期内有效的且全局唯一的状态机,生成相应标签添加在报文扩展头中,发送到网络中;
步骤2,中继自治域端对经过的数据报文不作处理,直接根据目的地址查表转发;
步骤3,数据报文送达目的自治域端,目的自治域端边界路由器从连接域外网络的端口(Egress Port)收到报文,判断报文源地址是否属于本自治域,若是则丢弃所述报文,若否则进一步检查报文的目的地址;
步骤3.1,目的自治域端边界路由器进一步判断数据报文目的地址是否属于本自治域,若是则查找所述源自治域端和目的自治域端对应的状态机以验证和去除标签,发送至域内网络。
3.如权利要求1所述的自治域间基于标签替换的IPv6真实源地址验证方法,其特征在于,当源自治域和目的自治域分属不同信任联盟时,由源自治域端的和目的自治域端的联盟边界路由器和边界路由器协作对标签进行多次替换来完成跨联盟间传送的数据报文的源地址验证,进一步包括:步骤1,所述源自治域端边界路由器收到源自本地自治域且目的为非本级联盟地址前缀的报文时,查找以本地自治域为源以通往目的地址前缀的路由经过的联盟边界为宿的状态机1,生成并添加对应标签1,向本地自治域外部转发;
步骤2,所述源自治域端联盟边界路由器收到源自本级联盟且目的为所述非本级联盟地址前缀的报文时,启动处理程序1;
步骤3,中继自治域端的路由器对源自非本级联盟且目的为非本级联盟前缀的报文直接转发;
步骤4,目的自治域端联盟边界路由器收到源自非本级联盟且目的为本级联盟前缀的报文时,启动处理程序2;
步骤5,所述目的自治域端边界路由器收到联盟边界路由器发来的报文时,验证所述报文源地址的真实性,当所述报文源地址属实时向本地自治域内部转发;
其中,所述启动处理程序1,进一步包括:
步骤1,查找所述状态机1,验证并去除所述标签1;
步骤2,查找以所述本级联盟为源以目的前缀所在联盟为宿的状态机2,生成并添加对应标签2,向本级联盟外部转发;
其中,所述启动处理程序2,进一步包括:
步骤1,查找以本级联盟为源目的前缀所在联盟为宿的状态机2,验证并去除对应标签
2;
步骤2,查找以所述本地自治域为源,且以所述目的前缀所在的自治域为宿的状态机
3,添加并生成对应的标签3,向本级联盟内部转发。
4.如权利要求3所述的自治域间基于标签替换的IPv6真实源地址验证方法,其特征在于,所述目的自治域端边界路由器收到联盟边界路由器发来的报文时,验证所述报文源地址的真实性,当所述报文源地址属实时向本地自治域内部转发报文,进一步包括:所述目的自治域端边界路由器收到联盟边界路由器发来的报文时,查找所述状态机3,验证并去除所述标签3,向本地自治域内部转发报文。
5.如权利要求1所述的自治域间基于标签替换的IPv6真实源地址验证方法,其特征在于,当所述源自治域为信任联盟成员而所述目的自治域为非信任联盟成员时,按目的地址转发数据报文,进一步包括:当所述信任联盟成员与非信任联盟成员间通信报文沿着通往目的前缀的路径传送时,途经的边界路由器对非源自本地自治域,且目的指向非本地自治域前缀的报文直接转发;
当所述信任联盟成员与非信任联盟成员间通信报文沿着通往目的前缀的路径传送时,途经的联盟边界路由器对非源自本级联盟,且目的指向非本级联盟前缀的报文直接转发。
说明书 :
基于标签替换的自治域间IPv6真实源地址验证方法
技术领域
[0001] 本发明涉及下一代可信任互联网技术领域,特别涉及一种可层次化部署的基于标签替换的自治域间IPv6真实源地址验证方法。
背景技术
[0002] 可信任是下一代互联网的重要特征。当前的互联网,IP分组转发的基本依据是目的IP地址,一般不对分组的IP源地址做真实性检查,造成分组的IP源地址易被伪造。随着互联网规模的日益拓展和商业应用的日益丰富,网络用户的成分变的异常复杂,来自某些高级用户的恶意攻击常常是通过伪造分组的IP源地址来实施的,伪造的IP源地址同时又为恶意攻击者隐匿真实身份、逃避制裁提供了温床,并由此引发了很多安全、管理和计费问题。无可回避的,IP源地址的真实性验证给互联网的安全运营和可持续发展提出了诸多挑战。致力于互联网的长远利益,互联网只有提供高度可信的网络服务,才能满足未来发展的需求。因此,确保分组源IP地址的真实性是实现可信下一代互联网的核心问题。
[0003] 当前的互联网传输服务的提供是尽力而为的模式,路由器在转发表中依据分组的目的IP地址将其发往相应的下一跳,分组到达接收方时,只能根据源IP地址判断发送者身份。分组的发送者可以任意篡改分组的源IP地址,以达到不法目的。接收方不能判别分组中的源IP地址的真实性,也就无法确定分组是否来自真实的发送方,因此目前的网络服务只是停留在尽力而为的向目的端转发的层次,而达不到尽力而为的确保源端可信的高度。同时,携带虚假源IP地址的伪造分组也会被转发到目的地,将会给接收方带来不同程度的安全威胁。
[0004] 自治域(AS)间IPv6真实源地址验证,是整个可信任的互联网体系结构中最复杂的一个层次,其目标是实现自治域粒度的真实源地址验证。
[0005] 近年来,学术界和工业界已做出了许多相关的努力,概括起来可以分为三类:基于加密认证的技术、基于过滤的技术和基于追踪的技术。其中基于加密认证的方法引入了一种端到端的加密认证机制,排除了网络拓扑、路由路径的影响,无需中间节点特殊处理,加密由源AS端添加认证源真实身份的标签完成,报文转发至目的AS端,检查分组携带标签,如果标签验证正确,即把标签从分组中去除并将分组转发给目的主机;如果标签验证不正确,就将分组丢弃。部署加密认证方法的所有AS形成一个信任联盟,其中的每对源AS和目的AS通过协商,得到在一定周期内有效的唯一的标签。基于加密认证的方法能够保证信任联盟中每个AS的源地址不会被其它AS伪造,实现AS级别粒度的真实IP地址访问。参加加密认证的AS在一定程度上可以保护本网络中的用户,因此具有部署的激励。然而,在现有的基于标签的域间IPv6真实源地址验证方法中,信任联盟的部署仅限于单一信任联盟体系结构即所有部署源地址验证的AS间同属于一个单一信任联盟,这种扁平化的体系结构使得联盟内部所有路由设备必须维护数量庞大的全局信息才能正确实施验证工作,而且参与验证的路由设备存储负担沉重,报文验证延迟增大、效率降低,由成员的变化带来的影响辐射整个联盟范围,导致信任联盟的增量部署变得异常困难。
发明内容
[0006] 本发明旨在解决上述问题,提出一种支持分层级建立信任联盟的、低开销的、可扩展性强的、验证效果好的,基于标签替换的自治域间IPv6真实源地址验证方法。
[0007] 为达到上述目的,本发明提出了一种可层次化部署的自治域间源地址验证方法,包括以下步骤:将部署本方法的自治域组成层次化的多级信任联盟,当源自治域和目的自治域同属一个信任联盟时,由源自治域端的和目的自治域端的边界路由器依据源自治域和目的自治域对应的标签来完成单一联盟成员间传送的数据报文的源地址验证;当源自治域和目的自治域分属不同信任联盟时,由源自治域端的和目的自治域端的联盟边界路由器和边界路由器协作对标签进行多次替换来完成跨联盟间传送的数据报文的源地址验证;当源自治域为信任联盟成员而目的自治域为非信任联盟成员时,无须进行源地址验证,数据报文直接依据目的地址转发。
[0008] 在本发明的一个实施例中,当所述源自治域和目的自治域同属一个信任联盟时,由源自治域端的和目的自治域端的边界路由器依据源自治域和目的自治域对应的标签来完成单一联盟成员间传送的数据报文的源地址验证,进一步包括:所述源自治域端边界路由器从连接域内网络的端口(Ingress Port)收到数据报文,判断该报文源地址是否属于本自治域,若是则进一步检查目的地址,若否则丢弃该报文;进一步判断数据报文目的地址是否与源地址同属一个信任联盟,若是则查找所述源自治域和目的自治域间对应的状态机,生成标签添加在报文扩展头中,发送到网络中;中继自治域端对经过的数据报文不作处理,直接依据目的地址查表转发;数据报文送达目的自治域端,目的自治域端边界路由器从连接域外网络的端口(Egress Port)收到报文,判断报文源地址是否属于本自治域,若是则丢弃所述报文,若否则进一步检查报文的目的地址;目的自治域端边界路由器进一步判断数据报文目的地址是否属于本自治域,若是则查找所述源自治域端和目的自治域端相应的状态机以验证和去除标签,发送至域内网络。
[0009] 在本发明的一个实施例中,当所述源自治域和目的自治域分属不同信任联盟时,由源自治域端的和目的自治域端的联盟边界路由器和边界路由器协作对标签进行多次替换来完成跨联盟间传送的数据报文的源地址验证,进一步包括:所述源自治域端边界路由器收到源自本地自治域且目的为非本级联盟地址前缀的报文时,查找以本地自治域为源以通往目的地址前缀的路由经过的联盟边界为宿的状态机1,生成并添加对应标签1,向本地自治域外部转发;所述源自治域端联盟边界路由器收到源自本级联盟且目的为非本级联盟前缀的报文时,启动处理程序1;中继自治域端的路由器对所述源自非本级联盟且目的为非本级联盟前缀的报文直接转发;目的自治域端联盟边界路由器收到所述源自非本级联盟且目的为本级联盟前缀的报文时,启动处理程序2;所述目的自治域端边界路由器收到联盟边界路由器发来的报文时,验证所述报文源地址的真实性,当所述报文源地址属实时向本地自治域内部转发。
[0010] 在本发明的一个实施例中,所述启动处理程序1,进一步包括:查找所述状态机1,验证并去除数据报文中所述标签1;查找以所述本级联盟为源以所述目的前缀所在联盟为宿的状态机2,生成并在数据报文中添加对应标签2,向本级联盟外部转发。
[0011] 在本发明的一个实施例中,所述启动处理程序2,进一步包括:查找所述状态机2,验证并去除数据报文中所述标签2;查找以所述本地自治域为源以所述目的前缀所在的自治域为宿的状态机3,生成并在数据报文中添加对应的标签3,向本级联盟内部转发。
[0012] 在本发明的一个实施例中,所述目的自治域端边界路由器收到联盟边界路由器发来的报文时,验证所述数据报文源地址的真实性,当所述数据报文源地址属实时向本地自治域内部转发,进一步包括:所述目的自治域端边界路由器收到所属联盟边界路由器发来的数据报文时,查找相应的所述状态机3,验证并去除所述标签3,向所述本地自治域内部转发报文。
[0013] 在本发明的一个实施例中,当所述源自治域为信任联盟成员而所述目的自治域为非信任联盟成员时,不做源地址验证,直接依据目的地址转发数据报文,进一步包括:当所述信任联盟用户与非信任联盟用户间通信报文沿着通往目的前缀的路径传送时,途经的内部边界路由器对非源自本地自治域,且目的指向非本地自治域前缀的报文直接转发;当所述信任联盟用户与非信任联盟用户间通信报文沿着通往目的前缀的路径传送时,途经的联盟边界路由器对非源自本级联盟,且目的指向非本级联盟前缀的报文直接转发。
[0014] 与现有的基于标签的域间IPv6真实源地址验证方法比较,本方法的显著特点是:第一,应用场景多元,既可应用于单一信任联盟体系结构即所有部署源地址验证的AS间同属于一个单一信任联盟,也可应用于层次化的信任联盟体系结构即每一级信任联盟都可以成员身份加入更高一级信任联盟(多级信任联盟并存);第二,减小了路由设备管理开销,本级联盟内部边界路由器(AER)只掌握本级成员情况(成员信息、状态机信息等)而不必知晓全局信息,依然能够实现全局可达,全局信息只需联盟边界路由器(TAER)掌握;第三,缩短了报文处理时间,在一定程度上缩短了源、目的地址检查和状态机查找以及报文标签处理的时间延时;第四,层次化的联盟间互不影响,使得下层联盟和更高层联盟内部网络环境的变化,彼此互不可见、互无影响,有利于增量部署。
[0015] 通过本发明提出的基于标签替换的自治域间IPv6源地址验证方法,互联网络能够构建自上而下的金字塔式的层次化信任联盟体系结构,可有效避免由于信任联盟规模的膨胀带来的自治域互联关系和网络拓扑变化的影响,同时降低了加密认证标签管理、协商和同步的难度,大大减小了设备维护和处理标签的开销,保证了源地址真实性验证的高效和精确,增强了信任联盟构建的灵活性、冗余性和可控性,并使其能够有效支持增量部署。
[0016] 本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
[0017] 本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
[0018] 图1是本发明实施例的层次化的信任联盟体系结构图;
[0019] 图2是本发明实施例的验证设备控制层面处理流程图;
[0020] 图3是本发明实施例的AER数据层面处理流程图;
[0021] 图4是本发明实施例的TAER数据层面处理流程图;
[0022] 图5是本发明所涉及的一个应用实例图;
[0023] 图6~12是本发明一个实施例的数据层面处理流程图;和
[0024] 图13是本发明实施例的CERNET2三层级信任联盟模拟部署效果图。
具体实施方式
[0025] 下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
[0026] 本发明提出了可层次化部署的基于标签替换的自治域间IPv6源地址验证方法。该方法的核心思想在于引入联盟边界(TAE),通过将部署加密认证机制的所有自治域(AS)划分成多级联盟,每一级信任联盟可以作为成员(抽象为一个系统整体)参加更高级别的信任联盟,并且提供了一种自下而上的可层次化部署的确保源地址真实性的金字塔式的网络体系结构,使得下层联盟和更高层联盟的内部网络环境的变化彼此互不可见、互无影响,可有效实现渐进式部署,即使在规模庞大的层次结构中仍然能够保证验证的有效性和简单化。
[0027] 以下对本发明提出的可层次化部署的基于标签替换的自治域间IPv6源地址验证方法的整体进行描述,该方法的认证机制是一种端到端的基于标签的加密认证机制,在多层级的信任联盟体系结构中,该方法通过判断源自治域和目的自治域所属的信任联盟的异同,使得数据通信被区分为三类。
[0028] 第一,当所述源自治域和目的自治域同属一个信任联盟时,由源自治域端的和目的自治域端的边界路由器依据源自治域和目的自治域对应的标签来完成单一联盟成员间传送的数据报文的源地址验证。在本发明的实施,称此类通信为联盟内数据通信(即数据报文在某一层级信任联盟内部成员间交互),在此类网络通信场景下,该层级联盟内成员AS互为通信对端,AS间只需动态的、私密的维护本级联盟范围的状态机有序对,一个用在作为源端时生成确保自己身份真实的标签,标签由本级联盟内部边界路由器(AER)添加在报文扩展头中,另一个用在作为目的端时AER对接收到的报文进行标签检查。由于此类数据通信是在同一联盟中进行的,所以此类数据报文处理过程不涉及标签替换。
[0029] 更为具体地,所述源自治域端边界路由器首先从连接域内网络的端口(Ingress Port)收到所述数据报文,判断所述报文源地址是否属于所述源自治域,若是则进一步检查目的地址,若否则丢弃所述报文;接着进一步判断所报文述目的地址是否与所述源地址同属一个信任联盟,若是则查找所述本级信任联盟成员间对应的状态机,生成标签添加在报文扩展头中,发送到网络中;而后中继自治域端对经过的所述报文不做标签验证,直接根据目的地址查表转发;在所述报文送达目的端后,目的自治域端边界路由器从连接域外部网络的端口(Egress Port)收到报文,判断所述报文源地址是否属于所述源自治域,若是则丢弃所述报文,若否则进一步检查目的地址;最后进一步判断所述目的地址是否与所述源地址同属于一个信任联盟,若是则查找所述源自治域端和目的自治域端相应的状态机以验证和去除标签,发送至域内网络。
[0030] 第二,当源自治域和目的自治域分属不同信任联盟时,由源自治域端的和目的自治域端的联盟边界路由器和边界路由器协作对标签进行多次替换来完成跨联盟间传送的数据报文的源地址验证。在本发明的实施例中,称此类为跨联盟数据通信(即不同层级信任联盟成员间的数据通信),在此类网络通信场景下,技术人员通过引入TAE,在逻辑上将每一层级联盟和外界网络隔离,将所有源地址属于本级联盟目的在其他层级联盟的数据报文统一转发至路由路径上的第一个TAE,由该处的联盟边界路由器(TAER)将标签替换成数据报文转发途经的更高层级的联盟的标签,使得TAER形成联盟内外网络数据报文交互的“中继代理”,如果数据报文穿越多个更高层级的联盟,则多次执行上述过程完成自下而上的逐级替换,并且在路由路径上所有的中间节点不对数据报文标签做任何处理,只是按照目的地址正常转发,当数据报文送达目的AS端所在联盟时,相应地每一层级的TAER对报文进行自上而下的逐级标签替换过程,直至数据报文送达目的地为止。
[0031] 更为具体地,源AS端AER在收到源自本地AS目的指向非本级联盟前缀的报文时,查找以本地AS为源以通往目的前缀的路由经过的联盟边界为宿的状态机(状态机1),生成并添加对应标签(标签1),向本地AS外部转发;源AS端TAER在收到源自本级联盟目的指向非本级联盟前缀的报文时,会接连启动2个处理流程:
[0032] (1)查找状态机1,验证并去除标签1;
[0033] (2)查找以本级联盟为源以目的前缀所在联盟为宿的状态机(状态机2),生成并添加对应标签(标签2),向本级联盟外部转发。
[0034] 随后,在中继AS端,当报文沿着通往目的前缀的路径传送时,途经的路由设备对源自非本级联盟目的指向非本级联盟前缀的报文不进行任何验证处理直接转发;目的AS端TAER在收到源自非本级联盟目的指向本级联盟前缀的报文时,相应地,同样会接连启动2个处理流程:
[0035] (1)查找状态机2,验证并去除标签2;
[0036] (2)查找以本地AS为源以目的前缀所在的AS为宿的状态机(状态机3),添加并生成对应的标签(标签3),向本级联盟内部转发。
[0037] 最后,目的AS端AER在收到TAER发来的报文时,查找相应的状态机3,验证并去除标签3,向本地AS内部转发。
[0038] 第三,当所述源自治域为信任联盟成员而所述目的自治域为非信任联盟成员时,无须对报文标签做任何处理,直接按目的地址转发数据报文。在本发明的实施例中,称为与非信任联盟数据通信(即信任联盟与非信任联盟间的数据通信),在此类网络通信场景下,不涉及有关标签的任何操作,只需按照目的地址转发。
[0039] 更为具体地,当信任联盟用户与非信任联盟用户间通信报文沿着通往目的前缀的路径传送时,途经的AER对非源自本地自治域目的指向非本地自治域前缀的报文不进行任何验证处理直接转发;当信任联盟用户与非信任联盟用户间通信报文沿着通往目的前缀的路径传送时,途经的TAER对非源自本级联盟目的指向非本级联盟前缀的报文不进行任何验证处理直接转发。
[0040] 本方法涉及的源地址验证设备及其维护表项主要有:注册服务器(REG),本级联盟内部边界路由器(AER),联盟边界路由器(TAER),控制服务器(ACS),本级联盟状态机表(LAST),全局状态机表(GAST),全局地址前缀与对应联盟映射表(粗粒度)(GA-TA-1),全局地址前缀与对应联盟映射表(细粒度)(GA-TA-2),本级联盟边界信息表(LAEIT),具体描述参见表1:
[0041]
[0042] 表1
[0043] 在层次化的信任联盟体系结构中,数据报文的源地址验证主要集中在AER和TAER上,这种验证由控制层面和数据层面协作完成。控制层面主要包括:成员信息的注册与传达,状态机的协商、变更与同步,对AER和TAER的配置等等,其参与主体为REG、ACS和AER/TAER。数据层面主要包括:在源端AS的AER上添加标签,在源端TAE的TAER上完成第一阶段源地址验证并完成第一次标签替换,在目的端TAE的TAER上完成第二阶段源地址验证并完成第二次标签替换,在目的端AS的AER上对标签进行检查完成第三阶段源地址验证,其参与主体为AER和TAER。其中,为了适应层次化的体系结构同时减小部署代价和运营成本,REG、ACS的配备使用均可被多级联盟复用。
[0044] 数据报文的源地址验证过程在控制层面主要实现以下功能,其处理流程如图2所示:
[0045] (1)REG受理来自ACS的成员注册和变更信息,维护成员列表;
[0046] (2)REG作为联盟时间基准,为各成员授时,向联盟所有成员的ACS传达成员信息;
[0047] (3)ACS从REG获取成员列表,并与之保持对成员列表的动态、同步维护;
[0048] (4)ACS间进行地址前缀信息的收集和交换;
[0049] (5)ACS间进行状态机信息的生成和宣告;
[0050] (6)ACS制定策略并向AER/TAER部署;
[0051] (7)ACS接受AER/TAER的运行状态汇报;
[0052] (8)AER/TAER接收ACS部署的状态机,并将其应用;
[0053] (9)AER/TAER接收ACS部署的策略,并将其应用。
[0054] 结合图5所示实例,对数据报文在层次化的信任联盟体系结构中的源地址验证过程进行详细说明,其中涉及到的AER/TAER的数据层面的处理流程如图3、4所示。
[0055] 步骤(1):当AS X_AER(源端AER)收到源自本地自治域AS X的报文时,查表GA-TA-1发现该报文目的前缀的归属AS Y不属于本级联盟Sub-TA2,会接连启动两个处理流程:
[0056] 步骤(1.1):查表LAEIT找到该报文沿路由路径出本级联盟Sub-TA2的TAE是ASZ;
[0057] 步骤(1.2):查表LAST找到以本地自治域AS X为源以通往目的前缀的路径上的第一个联盟边界AS Z为宿的状态机,生成并添加对应标签(标签1),向本地自治域AS X外部网络转发。处理流程如图6所示。
[0058] 步骤(2):当AS K_AER(中间端AER)收到网络转发的报文时,查表GA-TA-1发现该报文源自非本地自治域目的指向非本地自治域,不对该报文标签做任何处理,直接按照目的前缀转发至下一跳。处理流程如图7所示。
[0059] 步骤(3):当AS Z_TAER(源联盟端TAER)收到源自本级联盟的报文时,查表GA-TA-2发现该报文目的前缀的归属AS Y不属于本级联盟Sub-TA2而属于对等联盟Sub-TA3,会接连启动2个处理流程:
[0060] 步骤(3.1):查表LAST找到状态机,验证并去除标签1;
[0061] 步骤(3.2):查表GAST找以本级联盟为源以目的前缀所在的对端联盟为宿的状态机,生成并添加对应标签(标签2),向本级联盟外部网络转发;完成第一阶段验证和第一次标签替换。处理流程如图8所示。
[0062] 步骤(4):当AS W_TAER(中间端TAER)收到网络转发的报文时,查表GA-TA-2发现该报文源自非本级联盟Sub-TA2目的指向非本级联盟Sub-TA3前缀,不对该报文标签做任何处理,直接按照目的前缀转发至下一跳。处理流程如图9所示。
[0063] 步骤(5):当AS U_TAER(目的联盟端TAER)收到网络发来的报文时,查表GA-TA-2发现该报文目的前缀的归属AS Y属于本级联盟Sub-TA3,会接连启动2个处理流程:
[0064] 步骤(5.1):查表GAST找到状态机,验证并去除标签2;
[0065] 步骤(5.2):查表LAST找到状态机,添加标签3,发往AS Y;完成第二阶段验证和第二次标签替换。处理流程如图11所示。
[0066] 步骤(6):当AS L_AER(中间端AER)收到网络转发的报文时,查表GA-TA-1发现该报文源自非本地自治域目的指向非本地自治域,不对该报文标签做任何处理,直接按照目的前缀转发至下一跳。处理流程如图11所示。
[0067] 步骤(7):当AS Y_TAER(目的端AER)收到网络转发的报文时,查表GA-TA-1发现该报文目的前缀的归属本地自治域,查表LAST找到状态机,验证并去除标签3,完成最后一阶段的验证。处理流程如图12所示。
[0068] 以下就具体举例的方式进行描述,按照上述部署实施例的方法在纯IPv6网络中国教育和科研网络(CERNET2)模拟部署了三个层级的信任联盟,如图13所示,其中:
[0069] 步骤(1):部署于北京核心,使其成为CERNET2联盟和上级联盟中国下一代互联网(CNGI)信任联盟的联盟边界;
[0070] 步骤(2):部署于中国电信信任联盟出口节点,使其成为中国电信信任联盟和上级CNGI联盟的联盟边界;
[0071] 步骤(3):部署于CNGI-6IX,使其成为CNGI联盟和上级国际联盟的联盟边界;
[0072] 步骤(4):CERNET2(第一级)、中国电信联盟(第一级)同属信任联盟CNGI成员,组成CNGI联盟(第二级),CNGI联盟和其他国家信任联盟组成国际联盟(第三级),上述联盟间彼此形成对等或隶属关系,内部网络互无影响、互不可见。
[0073] 以上对本发明所提出的一种层次化的具有I Pv6真实源地址验证功能的网络体系结构进行了详细介绍。通过应用本发明提出的基于标签的自治域间IPv6源地址验证方法,互联网络能够构建自上而下的金字塔式的信任联盟体系结构,易于实现层次化部署,同时其端到端的加密认证机制,可以不受自治域互联关系和周边网络拓扑变化的影响,不仅可部署于邻接自治域间,也可部署在非相邻自治域间,且无需对中间节点特殊处理;另一方面,本方法能够有效完成多次源地址验证,使得每一层级联盟内部成员只需维护本地信息(本级联盟成员信息、状态机信息和地址前缀信息)而无需掌握全局情况,全局信息(所有层级联盟成员信息、状态机信息和地址前缀信息)则由每一层级的联盟边界(TAE)掌握,充分保证验证的可靠性与冗余性,有效减小验证开销,随着参加信任联盟自治域规模的不断增长,加密认证标签的维护和处理开销仅仅呈轻量级增长,管理、协商和同步难度并未增加,因此在一定程度上具有渐进式部署的激励。
[0074] 尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同限定。