本技术涉及通信领域,具体涉及一种源地址验证表项的获取方法及装置。
背景技术:
1、源地址验证(source address validation,sav)是防御源地址伪造攻击的重要手段,很多防御方案,如单播反向路径转发(unicast reverse path forwarding,urpf)都是基于源地址验证实现的。在源地址验证过程中,网络设备会基于源地址验证表项,对接收到的报文的源互联网协议(internet protocol,ip)地址的真实性进行验证。如果报文与源地址验证表项不匹配,网络设备会丢弃接收到的报文,从而降低攻击流量通过网络设备进一步转发至网络的概率,有助于阻断攻击流量,提升网络安全性。目前,源地址验证表项的准确性不足,导致源地址验证过程中出现错误的概率较高。
技术实现思路
1、本技术提供了一种源地址验证表项的获取方法及装置,有助于提高源地址验证表项的准确性。所述技术方案如下。
2、第一方面,提供了一种源地址验证表项的获取方法,所述方法包括:基于第一as的标识以及第一对应关系,获得第二as的第一前缀,所述第一对应关系包括所述第一as的标识、所述第二as的标识以及所述第一有效关系,所述第二as位于所述第一as的下游;基于与所述第一as通信的接口以及所述第一前缀,获得源地址验证表项,所述源地址验证表项包括所述第一前缀以及所述接口的标识。通过第一方面提供的方法,由于利用as之间的有效关系获取前缀,从而降低as之间的无效关系对前缀获取过程造成的误差,因此提高了前缀的准确性,进而提高了基于前缀获得的源地址验证表项的准确性。
3、在一种可能的实现中,所述第一有效关系为两个上下游as之间的关系对应的区域与客户群对应的区域匹配,所述客户群包括所述两个上下游as。通过上述方式,能够基于区域是否匹配验证as之间关系的有效性。
4、在一种可能的实现中,所述基于第一as的标识以及第一对应关系,获得第二as的第一前缀之前,所述方法还包括:基于所述第一as对应的区域与所述第一as与所述第二as之间的关系对应的有效区域匹配,确定所述第一as与所述第二as具有所述第一有效关系。通过上述实现方式,由于基于区域匹配的特点确认了as之间的关系的有效性,进而利用区域匹配的as获得前缀,从而尽可能排除区域不匹配的as对前缀获取过程造成的误差,避免区域不匹配的as的前缀被错误地归入前缀集合,因此提高了前缀的准确性,进而提高了基于前缀获得的源地址验证表项的准确性。
5、在一种可能的实现中,所述第一有效关系为经过多个数据库校验通过的as之间的关系,所述多个数据库的注册量、部署时间、数字签名和证书认证中至少一项不同。通过上述方式,能够联合多个数据库验证as之间关系的有效性,从而进一步提高获取源地址验证表项过程中利用的可靠性。
6、在一种可能的实现中,所述基于第一as的标识以及第一对应关系,获得第二as的第一前缀之前,所述方法还包括:基于第二对应关系与第三对应关系匹配,确定所述第一as与所述第二as具有所述第一有效关系,所述第二对应关系包括所述第一as的标识、所述第二as的标识以及所述第一as与所述第二as之间的关系,所述第三对应关系包括所述第一as的标识、所述第二as的标识以及所述第一as与所述第二as之间的关系。通过上述实现方式,由于基于多个数据库验证了as之间的关系的有效性,进而利用经过多个数据库验证的as获得前缀,从而尽可能排除区域不匹配的as对前缀获取过程造成的误差,因此提高了前缀的准确性,进而提高了基于前缀获得的源地址验证表项的准确性。
7、在一种可能的实现中,所述第二对应关系是基于所述第一as的标识从自治系统服务商授权aspa数据库中查找下游as获得的,所述第三对应关系是基于所述第一as的标识从互联网路由注册irr数据库中查找下游as获得的;或者所述第二对应关系是基于所述第二as的标识从自治系统服务商授权aspa数据库中查找上游as从而获得的,所述第三对应关系是基于所述第二as的标识从互联网路由注册irr数据库中查找上游as从而获得的。
8、在一种可能的实现中,所述基于第一as的标识以及第一对应关系,获得第二as的第一前缀,包括:基于所述第一as的标识以及所述第一对应关系,获得所述第二as的标识;基于所述第二as的标识以及第四对应关系,获得所述第一前缀,所述第四对应关系包括所述第二as的标识、所述第一前缀以及第二有效关系。通过上述方式,由于利用as与前缀之间的有效关系获取前缀,从而降低as与前缀之间的无效关系对前缀获取过程造成的误差,因此提高了前缀的准确性,进而提高了基于前缀获得的源地址验证表项的准确性。
9、在一种可能的实现中,所述第二有效关系为前缀与前缀归属的as之间的关系对应的区域与客户群对应的区域匹配,所述客户群包括所述前缀归属的as。通过上述实现方式,由于基于区域匹配的特点确认了as与前缀之间关系的有效性,从而尽可能排除区域不匹配的前缀对前缀获取过程造成的误差,避免区域不匹配的前缀被错误地归入前缀集合,因此提高了前缀的准确性,进而提高了基于前缀获得的源地址验证表项的准确性。
10、在一种可能的实现中,所述基于所述第二as的标识以及第四对应关系,获得所述第一前缀之前,所述方法还包括:基于所述第二as对应的区域与所述第二as与所述第一前缀之间的关系对应的有效区域匹配,确定所述第二as与所述第一前缀具有所述第二有效关系。
11、在一种可能的实现中,所述第二有效关系为经过多种数据库校验通过的as之间的关系,所述多种数据库的注册量、部署时间、数字签名和证书认证中至少一项不同。通过上述方式,能够基于多个数据库是否均校验通过验证as与前缀之间关系的有效性。
12、在一种可能的实现中,所述基于所述第二as的标识以及第四对应关系,获得所述第一前缀之前,所述方法还包括:基于第五对应关系与第六对应关系匹配,确定所述第二as与所述第一前缀具有所述第二有效关系,所述第五对应关系包括所述第二as的标识、所述第一前缀以及所述第二as与所述第一前缀之间的关系,所述第六对应关系包括所述第二as的标识、所述第一前缀以及所述第二as与所述第一前缀之间的关系。通过上述实现方式,由于基于多个数据库验证了as与前缀之间的关系的有效性,因此提高了前缀的准确性,进而提高了基于前缀获得的源地址验证表项的准确性。
13、在一种可能的实现中,所述第五对应关系是基于所述第二as的标识从roa数据库中查找前缀从而获得的,所述第六对应关系是基于所述第二as的标识从irr数据库中查找前缀从而获得的;或者所述第五对应关系是基于所述第一前缀从roa数据库中查找归属as从而获得的,所述第六对应关系是基于所述第一前缀从irr数据库中查找归属as从而获得的。
14、在一种可能的实现中,所述第一对应关系包括所述第一as的客户群,所述第一as的客户群包括所述第一as以及所述第二as。
15、在一种可能的实现中,所述方法由网络设备执行,所述网络设备包括所述接口,所述网络设备位于第三as的边缘,所述第三as位于所述第一as的上游。
16、在一种可能的实现中,所述方法由控制设备执行,所述基于与所述第一as通信的接口以及所述第一前缀,获得源地址验证表项之后,所述方法还包括:所述控制设备向网络设备发送所述协议报文,所述网络设备包括所述接口,所述网络设备位于第三as的边缘,所述第三as位于所述第一as的上游,所述协议报文包括所述源地址验证表项。通过上述实现方式,支持由控制设备自动将源地址验证表项下发给网络设备。
17、在一种可能的实现中,所述协议报文为边界网关协议bgp报文或者路径计算元素协议pcep报文。
18、在一种可能的实现中,所述协议报文为边界网关协议流规则bgp fs报文,所述bgpfs报文包括网络层可达信息nlri字段以及扩展团体属性字段,所述nlri字段包括所述第一前缀,所述扩展团体属性字段包括所述接口的标识。
19、第二方面,提供了一种源地址验证表项的获取装置,该源地址验证表项的获取装置具有实现上述第一方面或第一方面任一种可选方式的功能。该源地址验证表项的获取装置包括至少一个单元,至少一个单元用于实现上述第一方面或第一方面任一种可选方式所提供的方法。在一些实施方式中,源地址验证表项的获取装置中的单元通过软件实现,源地址验证表项的获取装置中的单元是程序模块。在另一些实施例中,源地址验证表项的获取装置中的单元通过硬件或固件实现。第二方面提供的源地址验证表项的获取装置的具体细节可参见上述第一方面或第一方面任一种可选方式,此处不再赘述。
20、第三方面,提供了一种网络设备,该网络设备包括处理器和网络接口,该处理器用于执行指令,使得该网络设备执行上述第一方面或第一方面任一种可选方式所提供的方法,所述网络接口用于接收或发送报文。第三方面提供的网络设备的具体细节可参见上述第一方面或第一方面任一种可选方式,此处不再赘述。
21、第四方面,提供了一种计算机可读存储介质,该存储介质中存储有至少一条指令,该指令在计算机上运行时,使得计算机执行上述第一方面或第一方面任一种可选方式所提供的方法。
22、第五方面,提供了一种计算机程序产品,所述计算机程序产品包括一个或多个计算机程序指令,当所述计算机程序指令被计算机加载并运行时,使得所述计算机执行上述第一方面或第一方面任一种可选方式所提供的方法。
23、第六方面,提供了一种芯片,包括存储器和处理器,存储器用于存储计算机指令,处理器用于从存储器中调用并运行该计算机指令,以执行上述第一方面及其第一方面任意可能的实现方式中的方法。
1.一种源地址验证表项的获取方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述第一有效关系为两个上下游as之间的关系对应的区域与客户群对应的区域匹配,所述客户群包括所述两个上下游as;或者,
3.根据权利要求1所述的方法,其特征在于,所述基于第一as的标识以及第一对应关系,获得第二as的第一前缀之前,所述方法还包括:
4.根据权利要求1所述的方法,其特征在于,所述基于第一as的标识以及第一对应关系,获得第二as的第一前缀之前,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,所述第二对应关系是基于所述第一as的标识从自治系统服务商授权aspa数据库中查找下游as获得的,所述第三对应关系是基于所述第一as的标识从互联网路由注册irr数据库中查找下游as获得的;或者,
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述基于第一as的标识以及第一对应关系,获得第二as的第一前缀,包括:
7.根据权利要求6所述的方法,其特征在于,所述第二有效关系为前缀与前缀归属的as之间的关系对应的区域与客户群对应的区域匹配,所述客户群包括所述前缀归属的as;或者,
8.根据权利要求6所述的方法,其特征在于,所述基于所述第二as的标识以及第四对应关系,获得所述第一前缀之前,所述方法还包括:
9.根据权利要求4所述的方法,其特征在于,所述基于所述第二as的标识以及第四对应关系,获得所述第一前缀之前,所述方法还包括:
10.根据权利要求1所述的方法,其特征在于,所述第五对应关系是基于所述第二as的标识从路由源授权roa数据库中查找前缀从而获得的,所述第六对应关系是基于所述第二as的标识从irr数据库中查找前缀从而获得的;或者,
11.根据权利要求1所述的方法,其特征在于,所述第一对应关系包括所述第一as的客户群,所述第一as的客户群包括所述第一as以及所述第二as。
12.根据权利要求1所述的方法,其特征在于,所述方法由网络设备执行,所述网络设备包括所述接口,所述网络设备位于第三as的边缘,所述第三as位于所述第一as的上游。
13.根据权利要求1所述的方法,其特征在于,所述方法由控制设备执行,所述基于与所述第一as通信的接口以及所述第一前缀,获得源地址验证表项之后,所述方法还包括:
14.根据权利要求13所述的方法,其特征在于,所述协议报文为边界网关协议bgp报文或者路径计算元素协议pcep报文。
15.根据权利要求13或14所述的方法,其特征在于,所述协议报文为边界网关协议流规则bgp fs报文,所述bgp fs报文包括网络层可达信息nlri字段以及扩展团体属性字段,所述nlri字段包括所述第一前缀,所述扩展团体属性字段包括所述接口的标识。
16.一种源地址验证表项的获取装置,其特征在于,所述装置包括:
17.根据权利要求16所述的装置,其特征在于,所述第一有效关系为两个上下游as之间的关系对应的区域与客户群对应的区域匹配,所述客户群包括所述两个上下游as;或者,
18.根据权利要求16所述的装置,其特征在于,所述装置还包括:
19.根据权利要求16所述的装置,其特征在于,所述装置还包括:
20.根据权利要求19所述的装置,其特征在于,所述第二对应关系是基于所述第一as的标识从自治系统服务商授权aspa数据库中查找下游as获得的,所述第三对应关系是基于所述第一as的标识从互联网路由注册irr数据库中查找下游as获得的;或者,
21.根据权利要求16至20中任一项所述的装置,其特征在于,所述第一获得单元,用于基于所述第一as的标识以及所述第一对应关系,获得所述第二as的标识;基于所述第二as的标识以及第四对应关系,获得所述第一前缀,所述第四对应关系包括所述第二as的标识、所述第一前缀以及第二有效关系。
22.根据权利要求21所述的装置,其特征在于,所述第二有效关系为前缀与前缀归属的as之间的关系对应的区域与客户群对应的区域匹配,所述客户群包括所述前缀归属的as;或者,
23.根据权利要求21所述的装置,其特征在于,所述装置还包括:
24.根据权利要求19所述的装置,其特征在于,所述装置还包括:
25.根据权利要求16所述的装置,其特征在于,所述第五对应关系是基于所述第二as的标识从路由源授权roa数据库中查找前缀从而获得的,所述第六对应关系是基于所述第二as的标识从irr数据库中查找前缀从而获得的;或者,
26.根据权利要求16所述的装置,其特征在于,所述第一对应关系包括所述第一as的客户群,所述第一as的客户群包括所述第一as以及所述第二as。
27.根据权利要求16所述的装置,其特征在于,所述装置由网络设备执行,所述网络设备包括所述接口,所述网络设备位于第三as的边缘,所述第三as位于所述第一as的上游。
28.根据权利要求16所述的装置,其特征在于,所述装置设于控制设备,所述装置还包括:
29.根据权利要求28所述的装置,其特征在于,所述协议报文为边界网关协议bgp报文或者路径计算元素协议pcep报文。
30.根据权利要求28或29所述的装置,其特征在于,所述协议报文为边界网关协议流规则bgp fs报文,所述bgp fs报文包括网络层可达信息nlri字段以及扩展团体属性字段,所述nlri字段包括所述第一前缀,所述扩展团体属性字段包括所述接口的标识。
