互聯(lián)網(wǎng)架構(gòu)設(shè)計(jì)之初,假設(shè)所有網(wǎng)絡(luò)成員都是可信的,并沒有充分考慮不可信網(wǎng)絡(luò)成員帶來的安全威脅。在很長(zhǎng)一段時(shí)間內(nèi),路由器只根據(jù)報(bào)文的目的 IP地址轉(zhuǎn)發(fā)消息,不對(duì)報(bào)文的源IP地址的真實(shí)性進(jìn)行驗(yàn)證。數(shù)據(jù)分組真實(shí)性驗(yàn)證的缺乏會(huì)導(dǎo)致報(bào)文頭部信息被惡意篡改。提出了基于邊界路由動(dòng)態(tài)同步的互聯(lián)網(wǎng)地址域內(nèi)真實(shí)源地址驗(yàn)證方法。該機(jī)制基于前綴拓?fù)湫畔⑼降姆椒?gòu)建過濾表,解決了路由不對(duì)稱導(dǎo)致過濾表和實(shí)際路由狀態(tài)不一致的問題,避免了驗(yàn)證過程中的假陽性和假陰性,實(shí)現(xiàn)了低開銷、低時(shí)延的地址域內(nèi)IP地址前綴級(jí)粒度的真實(shí)源地址驗(yàn)證。

【文章頁數(shù)】：8 頁

【部分圖文】：

圖2 具體流程

路由器將本地直連低層管理域網(wǎng)絡(luò)側(cè)接口的路由信息通過路由協(xié)議（OSPF、ISIS、BGP）傳播的時(shí)候，在路由信息中攜帶（1）中配置的tag值。為了使路由協(xié)議支持在路由轉(zhuǎn)發(fā)消息內(nèi)攜帶標(biāo)簽，且不對(duì)已有功能產(chǎn)生沖突，本文分別對(duì)OSPF和ISIS協(xié)議進(jìn)行了擴(kuò)展。如圖4所示，在OSPF內(nèi)新定....

圖3 對(duì)等路由器連接低層管理域的接口上配置相同tag值

圖2具體流程圖4不同路由協(xié)議下的路由同步標(biāo)簽載體

圖1 路由不對(duì)稱的一般場(chǎng)景

因?yàn)槟承┑刂酚颍ㄈ鏘SP、AS）比較龐大，所以地址域內(nèi)部的不同管理域會(huì)被劃分成兩個(gè)層次，即高層管理域和低層管理域，高層管理域?yàn)榈蛯庸芾碛蛱峁┝髁總鬏數(shù)墓δ�。網(wǎng)絡(luò)邊界路由不對(duì)稱是因?yàn)榈蛯庸芾碛虿捎枚嘟尤氲姆绞浇尤敫邔庸芾碛颍窃诙鄠�(gè)接入路由器接口上的路由表信息卻不一致造成的。管理....

圖5 整體實(shí)現(xiàn)過程

方案整體實(shí)現(xiàn)過程如圖5所示。低層管理域擁有P1和P2兩個(gè)網(wǎng)段，由于高層管理域和低層管理域之間的特殊路由策略，邊界路由器A從接口A1僅學(xué)習(xí)到前綴P1，邊界路由器B從接口B1僅學(xué)習(xí)到前綴P2。uRPF在該場(chǎng)景下會(huì)產(chǎn)生嚴(yán)重的假陽性——源地址為P2的數(shù)據(jù)分組會(huì)在入接口A1處被過濾，而源....

本文編號(hào)：4025396