基于自治系统互联关系的真实IPv6源地址验证方法

摘要

本发明属于互联网技术领域，是一种基于自治系统互联关系的IPv6网络下真实源地址验证方法。本发明的特征在于：所述方法是在由验证规则生成引擎、验证引擎和自治系统号到IPv6地址前缀映射服务器组成的系统上实现的，利用自治系统互联关系，在自治系统边界路由器上生成和每一个路由器接口关联的真实IPv6源地址验证规则表，并利用其在自治系统边界路由器上对伪造IPv6源地址的的分组进行验证检查。该方法配置简单，可以在分组转发的过程中实时验证分组源IP地址的真实性，便于运营商部署，并且适用于复杂拓扑结构下的IPv6网络。

主权项

1.基于自治系统互联关系的真实IPv6源地址验证方法的特征在于所述方法是在由验证规则生成引擎、验证引擎和自治系统号到IPv6地址前缀映射服务器组成的系统中依次按以下步骤实现：步骤(1)，每个自治系统有一个专用服务器，称为验证规则生成引擎，其上拥有两个数据表，一个是与该自治系统相邻接的自治系统列表，一个是该自治系统所拥有的验证引擎的IP地址列表，每个自治系统的验证规则生成引擎初始化，读邻接自治系统表和本自治系统的验证引擎表，分别与邻接自治系统的验证规则生成引擎和本自治系统的各个验证引擎建立TCP连接；步骤(2)，各个自治系统的验证规则生成引擎生成验证规则更新，目的是把该自治系统的源地址空间信息发给邻居，这一信息用自治系统号表示；步骤(3)，一个自治系统的验证规则生成引擎收到来自邻居自治系统的验证规则生成引擎发来的更新，查导出规则表来判断是否接受这一地址空间和判断是否将其转发给其他邻居自治系统，这里导出规则表按照如下规则确定是否将自己所收到的来自其他自治系统的合法真实地址前缀集合向其他相邻自治系统传递：其一，一个自治系统将它自己的，它客户自治系统的，以及它兄弟自治系统的真实IPv6地址前缀空间集合传递给它的服务者自治系统和对等互联自治系统；其二，一个自治系统将它自己的，它客户自治系统的，它兄弟自治系统的，它服务者自治系统的，它对等互联自治系统的真实地址空间集合传递给它的客户自治系统和兄弟自治系统；步骤(4)，如果这一次的验证规则更新被该自治系统的验证规则生成引擎接受，查自治系统号到IPv6地址前缀映射服务器，将以自治系统号形式表达的验证规则转换为以IPv6地址前缀形式表达的验证规则；步骤(5)，该验证规则生成引擎将新生成的以IPv6地址前缀形式表示的验证规则下装到本自治系统的各个边界路由器上的验证引擎；步骤(6)，该自治系统边界路由器上的验证引擎利用生成的验证规则验证检查转发的IP分组是否具有真实地址，如果真实则转发分组，如果不真实则丢弃分组。