專利名稱:源地址驗(yàn)證方法、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域����,特別涉及一種源地址驗(yàn)證方法、裝置及系統(tǒng)��。
背景技術(shù):
在通信系統(tǒng)中��,網(wǎng)關(guān)設(shè)備接收到從內(nèi)部網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)后���, 一般需要驗(yàn) 證數(shù)據(jù)的源地址,以防止攻擊者利用偽造IP地址發(fā)送數(shù)據(jù)�����。
現(xiàn)有的驗(yàn)證源地址的方法一般有兩種���。
一種是入口過濾法��,由于網(wǎng)關(guān)設(shè)
備中存儲(chǔ)了內(nèi)部網(wǎng)絡(luò)主機(jī)的網(wǎng)絡(luò)層地址�����,即互聯(lián)網(wǎng)協(xié)議(Internet Protocol; 以下簡(jiǎn)稱IP)地址�,因此當(dāng)接收到從內(nèi)部網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)后,若檢測(cè)到該 數(shù)據(jù)的源地址不是內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址�����,則認(rèn)為該數(shù)據(jù)是攻擊者利用偽造 IP地址發(fā)送的數(shù)據(jù)�,將其丟棄而不予轉(zhuǎn)發(fā)。
另一種是鏈路層地址綁定法��,由于網(wǎng)絡(luò)主機(jī)具有唯一的且相互對(duì)應(yīng)的IP 地址和鏈路層地址���,因此����,網(wǎng)關(guān)設(shè)備首次接收到從內(nèi)部網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)時(shí)���, 將其IP地址和鏈路層地址進(jìn)行綁定并存儲(chǔ)��,當(dāng)接收到從內(nèi)部網(wǎng)絡(luò)發(fā)送的數(shù)據(jù) 后�����,網(wǎng)關(guān)設(shè)備檢測(cè)該數(shù)據(jù)的IP地址和鏈路層地址����,若其對(duì)應(yīng)關(guān)系與已存儲(chǔ)的 綁定關(guān)系不一致,則認(rèn)為該數(shù)據(jù)是攻擊者利用偽造IP地址發(fā)送的數(shù)據(jù)���,將其 丟棄而不予轉(zhuǎn)發(fā)�。
在實(shí)現(xiàn)本發(fā)明過程中����,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題采用 入口過濾法,只能檢測(cè)出采用外部網(wǎng)絡(luò)IP地址���,若攻擊者利用本網(wǎng)內(nèi)部其他 網(wǎng)絡(luò)主機(jī)的IP地址發(fā)送數(shù)據(jù)�,則網(wǎng)關(guān)設(shè)備無法檢測(cè)出這種攻擊�;對(duì)于采用鏈 路層地址綁定法,如果首次接收到從內(nèi)部網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)就被攻擊者偽造IP 地址��,那么綁定時(shí)就采用了錯(cuò)誤的綁定關(guān)系�,則后續(xù)也無法檢測(cè)出正確的綁 定關(guān)系���,另外當(dāng)采用移動(dòng)互聯(lián)網(wǎng)協(xié)議版本6 (Mobile Internet Protocolversion 6;以下簡(jiǎn)稱MIPv6)時(shí)��,由于節(jié)點(diǎn)頻繁移動(dòng)��,綁定關(guān)系難以維持�����, 也無法^r測(cè)出偽造源地址的攻擊����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供了一種源地址驗(yàn)證方法、裝置及系統(tǒng)���,以提高報(bào)文偽 造源地址檢測(cè)的準(zhǔn)確性�。
本發(fā)明實(shí)施例提供了一種源地址驗(yàn)證方法���,包括
接收網(wǎng)關(guān)設(shè)備發(fā)送的檢測(cè)消息����,所述檢測(cè)消息包括所述網(wǎng)關(guān)設(shè)備接收到 的報(bào)文的第二報(bào)文特征����;
將所述第二報(bào)文特征與預(yù)先存儲(chǔ)的已發(fā)送報(bào)文的第 一報(bào)文特征進(jìn)行匹
配;
在所述第二報(bào)文特征與所述第 一報(bào)文特征匹配成功時(shí)�����,確認(rèn)所述網(wǎng)關(guān)設(shè)
備接收到的報(bào)文的源地址是真實(shí)地址。
本發(fā)明實(shí)施例提供了一種報(bào)文轉(zhuǎn)發(fā)方法�����,包括
獲取接收到的報(bào)文的第二報(bào)文特征及所述報(bào)文的源地址�;
向所述源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送檢測(cè)消息,所述一盒測(cè)消息包括所述接
收到的報(bào)文的第二報(bào)文特征����;
若接收到來自所述源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送的確認(rèn)所述網(wǎng)關(guān)設(shè)備接收
到的報(bào)文的源地址是真實(shí)地址的信息,則轉(zhuǎn)發(fā)所述報(bào)文����。 本發(fā)明實(shí)施例提供了一種源地址驗(yàn)證裝置,包括
接收模塊��,用于接收網(wǎng)關(guān)設(shè)備發(fā)送的檢測(cè)消息���,所述檢測(cè)消息包括所述 網(wǎng)關(guān)設(shè)備接收到的報(bào)文的第二報(bào)文特征�����;
匹配模塊����,用于將所述第二報(bào)文特征與預(yù)先存儲(chǔ)的已發(fā)送報(bào)文的第一報(bào) 文特征進(jìn)行匹配�����;
第一處理模塊����,用于在所述第二報(bào)文特征與所述第一報(bào)文特征匹配成功 時(shí),確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址是真實(shí)地址�。本發(fā)明實(shí)施例提供了一種報(bào)文轉(zhuǎn)發(fā)裝置,包括
獲取模塊��,用于獲取接收到的報(bào)文的第二報(bào)文特征及所述報(bào)文的源地址��;
發(fā)送模塊���,用于向所述獲取模塊獲取的所述源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送
檢測(cè)消息��,所述檢測(cè)消息包括所述接收到的報(bào)文的第二報(bào)文特征����;
第二處理模塊,用于若接收到來自所述源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送的確 認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址是真實(shí)地址的信息����,則轉(zhuǎn)發(fā)所述報(bào)文。 本發(fā)明實(shí)施例提供了一種源地址驗(yàn)證系統(tǒng)����,包括網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備; 所述網(wǎng)絡(luò)主機(jī)�,用于接收所述網(wǎng)關(guān)設(shè)備發(fā)送的檢測(cè)消息,所述檢測(cè)消息 包括所述網(wǎng)關(guān)設(shè)備接收到的報(bào)文的第二報(bào)文特征��;將所述第二報(bào)文特征與預(yù) 先存儲(chǔ)的已發(fā)送報(bào)文的第一報(bào)文特征進(jìn)行匹配�;在所述第二報(bào)文特征與所述 第一報(bào)文特征匹配成功時(shí),確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址是真實(shí) 地址����;
所述網(wǎng)關(guān)設(shè)備,用于獲取接收到的報(bào)文的第二報(bào)文特征及所述報(bào)文的源 地址�����;向所述源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送檢測(cè)消息��,所述檢測(cè)消息包括所迷 接收到的報(bào)文的第二報(bào)文特征�;若接收到來自所述源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā) 送的確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址是真實(shí)地址的信息�,則轉(zhuǎn)發(fā)所 述報(bào)文���。
本發(fā)明實(shí)施例通過提供一種源地址驗(yàn)證方法、裝置及系統(tǒng)���,在網(wǎng)絡(luò)主機(jī) 和網(wǎng)關(guān)設(shè)備的雙向交互中�,利用用于標(biāo)識(shí)報(bào)文的l艮文特征對(duì)網(wǎng)關(guān)設(shè)備接收到 的報(bào)文的源地址進(jìn)行驗(yàn)證���,有效地提高了報(bào)文偽造源地址4僉測(cè)的準(zhǔn)確性����,保 證了網(wǎng)絡(luò)安全���。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對(duì)實(shí) 施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹����,顯而易見地����,下 面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例���,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)性的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖���。
圖1為本發(fā)明源地址驗(yàn)證方法第一實(shí)施例的流程圖��; 圖2為本發(fā)明報(bào)文轉(zhuǎn)發(fā)方法第一實(shí)施例的流程圖����; 圖3為本發(fā)明源地址驗(yàn)證方法具體實(shí)施例的流程圖����; 圖4為本發(fā)明源地址聰r證裝置第一實(shí)施例的結(jié)構(gòu)示意圖; 圖5為本發(fā)明源地址驗(yàn)證裝置第二實(shí)施例的結(jié)構(gòu)示意圖��; 圖6為本發(fā)明報(bào)文轉(zhuǎn)發(fā)裝置第一實(shí)施例的結(jié)構(gòu)示意圖�����; 圖7為本發(fā)明源地址驗(yàn)證系統(tǒng)實(shí)施例的系統(tǒng)框圖。
具體實(shí)施例方式
為了使本發(fā)明的目的��、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白�����,以下結(jié)合附圖及 實(shí)施方式�,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明�����。應(yīng)當(dāng)理解�����,此處所描述的具體實(shí) 施方式僅僅用以解釋本發(fā)明��,并不用于限定本發(fā)明��。
圖1為本發(fā)明源地址-瞼證方法第一實(shí)施例的流程圖��。如圖1所示�,本發(fā) 明實(shí)施例提供了一種源地址驗(yàn)證方法,包括
步驟101����、接收網(wǎng)關(guān)設(shè)備發(fā)送的檢測(cè)消息��,該檢測(cè)消息包括網(wǎng)關(guān)設(shè)備接 收到的報(bào)文的第二報(bào)文特征��;
步驟102��、將該第二報(bào)文特征與預(yù)先存儲(chǔ)的已發(fā)送報(bào)文的第一報(bào)文特征 進(jìn)行匹配��;
步驟103�、在第二報(bào)文特征與第一報(bào)文特征匹配成功時(shí)����,確認(rèn)網(wǎng)關(guān)設(shè)備 接收到的報(bào)文的源地址是真實(shí)地址。
在本實(shí)施例中���,上述步驟可以由網(wǎng)絡(luò)主才幾或手才幾等終端執(zhí)行���。例如,網(wǎng) 絡(luò)主機(jī)向網(wǎng)關(guān)設(shè)備發(fā)送報(bào)文時(shí)�,預(yù)先存儲(chǔ)該報(bào)文的第一報(bào)文特征。當(dāng)網(wǎng)關(guān)設(shè) 備接收到報(bào)文時(shí)��,會(huì)將包括接收到的報(bào)文的第二報(bào)文特征的檢測(cè)消息發(fā)送到 該才艮文的源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)����,網(wǎng)絡(luò)主機(jī)接收到網(wǎng)關(guān)設(shè)備發(fā)送的檢測(cè)消息 時(shí)����,將該第二報(bào)文特征與預(yù)先存儲(chǔ)的已發(fā)送報(bào)文的第一報(bào)文特征進(jìn)行匹配�,在該第二報(bào)文特征與第 一報(bào)文特征匹配成功時(shí),表明第二報(bào)文特征對(duì)應(yīng)的報(bào) 文為網(wǎng)絡(luò)主機(jī)已發(fā)送的報(bào)文���,則確認(rèn)網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址是真實(shí) 地址��。
本發(fā)明實(shí)施例中的網(wǎng)關(guān)設(shè)備具體可以為與網(wǎng)絡(luò)主機(jī)直接連接的第 一跳路 由器或者防火墻�。
另外�����,本發(fā)明實(shí)施例中的第 一報(bào)文特征和第二報(bào)文特征均能夠唯一標(biāo)識(shí)
其對(duì)應(yīng)的才艮文��,如�,可以為報(bào)文的校^全和(Checksum)等�。
本發(fā)明實(shí)施例通過提供一種源地址驗(yàn)證方法,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的
雙向交互中��,利用用于標(biāo)識(shí)報(bào)文的報(bào)文特征對(duì)網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地
址進(jìn)行驗(yàn)證��,有效地提高了報(bào)文偽造源地址檢測(cè)的準(zhǔn)確性,保證了網(wǎng)絡(luò)安全���。 在上述技術(shù)方案的基礎(chǔ)上�����,本發(fā)明方法第一實(shí)施例還可以包括在第二
報(bào)文特征與第一報(bào)文特征匹配不成功時(shí)����,確認(rèn)網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地
址是偽造地址����。
進(jìn)一步地,本發(fā)明源地址驗(yàn)證方法第一實(shí)施例還可以包括確認(rèn)網(wǎng)關(guān)設(shè) 備接收到的報(bào)文的源地址是真實(shí)地址之后��,刪除與第二報(bào)文特征匹配的第一 報(bào)文特征�����?��;蛘?,網(wǎng)絡(luò)主機(jī)發(fā)送報(bào)文并預(yù)先存儲(chǔ)該報(bào)文的第一報(bào)文特征,當(dāng) 等待時(shí)間即第一l艮文特征的存儲(chǔ)時(shí)間大于第一預(yù)�����,i殳時(shí)間時(shí)還未收到網(wǎng)關(guān)設(shè)備 發(fā)送的檢測(cè)消息時(shí)�,則刪除存儲(chǔ)在網(wǎng)絡(luò)主機(jī)中的第一報(bào)文特征,以釋放空間�。
上述步驟同樣可以由網(wǎng)絡(luò)主機(jī)或手機(jī)等終端執(zhí)行。
本發(fā)明實(shí)施例通過提供一種源地址驗(yàn)證方法�����,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的 雙向交互中��,利用用于標(biāo)識(shí)報(bào)文的報(bào)文特征對(duì)網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地 址進(jìn)行驗(yàn)證�����,有效地提高了報(bào)文偽造源地址檢測(cè)的準(zhǔn)確性�����,保證了網(wǎng)絡(luò)安全���。
圖2為本發(fā)明報(bào)文轉(zhuǎn)發(fā)方法第一實(shí)施例的流程圖。如圖2所示�,本發(fā)明 實(shí)施例提供了一種報(bào)文轉(zhuǎn)發(fā)方法����,包括
步驟201��、獲取接收到的報(bào)文的第二報(bào)文特征及該報(bào)文的源地址�����;
步驟202����、向該源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送檢測(cè)消息,該檢測(cè)消息包括接收到的報(bào)文的第二報(bào)文特征�;
步驟203、若接收到來自該源地址對(duì)應(yīng)的,網(wǎng)絡(luò)主機(jī)發(fā)送的確認(rèn)網(wǎng)關(guān)設(shè)備 接收到的報(bào)文的源地址是真實(shí)地址的信息����,則轉(zhuǎn)發(fā)該報(bào)文。
在本實(shí)施例中�����,上述步驟可以由網(wǎng)關(guān)設(shè)備執(zhí)行����。例如�,當(dāng)網(wǎng)關(guān)設(shè)備接收 到報(bào)文時(shí)��,獲取該報(bào)文的第二報(bào)文特征以及該報(bào)文的源地址��,將包括第二報(bào) 文特征的4企測(cè)消息發(fā)送到該源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)�����,若網(wǎng)關(guān)設(shè)備接收到來自 該源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送的信息����,該信息確認(rèn)網(wǎng)關(guān)設(shè)備接收到的凈艮文的 源地址是真實(shí)地址,則轉(zhuǎn)發(fā)該報(bào)文�。
本發(fā)明實(shí)施例通過提供一種報(bào)文轉(zhuǎn)發(fā)方法,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的雙 向交互中��,利用用于標(biāo)識(shí)報(bào)文的報(bào)文特征對(duì)網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址 進(jìn)行驗(yàn)證��,如果驗(yàn)證出報(bào)文的源地址是真實(shí)的���,則進(jìn)行轉(zhuǎn)發(fā),保證了網(wǎng)絡(luò)安 全����。
在上述技術(shù)方案的基礎(chǔ)上��,本發(fā)明報(bào)文轉(zhuǎn)發(fā)方法第一實(shí)施例還可以包括 若接收到來自該源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送的確認(rèn)網(wǎng)關(guān)設(shè)備接收到的報(bào)文的 源地址是偽造地址的信息��,則丟棄該報(bào)文���。
上述步驟同樣可以由網(wǎng)關(guān)設(shè)備執(zhí)行。當(dāng)網(wǎng)關(guān)設(shè)備將第二報(bào)文特征發(fā)送到 源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)后等待的時(shí)間大于第二預(yù)設(shè)時(shí)間時(shí)��,為了不阻斷可能 的正常通信����,通常認(rèn)為該源地址是真實(shí)地址;或者用戶可以提前定制當(dāng)?shù)却?時(shí)間大于第二預(yù)設(shè)時(shí)間時(shí)的后續(xù)轉(zhuǎn)發(fā)或丟棄操作���,網(wǎng)關(guān)設(shè)備根據(jù)用于定制���, 確認(rèn)該源地址是真實(shí)地址或偽造地址。
本發(fā)明實(shí)施例通過提供一種報(bào)文轉(zhuǎn)發(fā)方法�,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的雙 向交互中,利用用于標(biāo)識(shí)報(bào)文的報(bào)文特征對(duì)網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址 進(jìn)行驗(yàn)證���,如果驗(yàn)證出報(bào)文的源地址是真實(shí)的���,則進(jìn)行轉(zhuǎn)發(fā)���,否則丟棄該報(bào) 文,保證了網(wǎng)絡(luò)安全���。
圖3為本發(fā)明源地址驗(yàn)證方法具體實(shí)施例的流程圖��。如圖3所示����,本發(fā) 明源地址驗(yàn)證方法提供了一種具體實(shí)施例����,包括步驟301、網(wǎng)絡(luò)主機(jī)存儲(chǔ)報(bào)文的第一報(bào)文特征����; 步驟302、網(wǎng)絡(luò)主機(jī)通過網(wǎng)關(guān)設(shè)備發(fā)送該報(bào)文���;
步驟303����、網(wǎng)關(guān)設(shè)備接收到報(bào)文后����,存儲(chǔ)該報(bào)文,并獲取該才艮文的第二 報(bào)文特征及其源地址��;
步驟304�����、網(wǎng)關(guān)設(shè)備向獲取到的源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送包括第二報(bào) 文特征的檢測(cè)消息����,并等待;
步驟305����、該源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)接收到檢測(cè)消息后,將該第二報(bào)文 特征與預(yù)先存儲(chǔ)的已發(fā)送報(bào)文的第一報(bào)文特征進(jìn)行匹配��;
步驟306�����、根據(jù)匹配結(jié)果���,在第二報(bào)文特征與第一報(bào)文特征匹配成功時(shí)���, 網(wǎng)絡(luò)主才幾向網(wǎng)關(guān)i殳備發(fā)送確認(rèn)(Acknowledge Character;以下簡(jiǎn)稱ACK) 信息�,確認(rèn)網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址是真實(shí)地址����;在第二報(bào)文特征與 第一"^艮文特征匹配不成功時(shí),向網(wǎng)關(guān)身背發(fā)送否認(rèn)(Deny)信息����,確認(rèn)網(wǎng)關(guān) 設(shè)備接收到的報(bào)文的源地址是偽造地址。
步驟307�����、網(wǎng)關(guān)設(shè)備根據(jù)接收到的ACK信息或者Deny信息進(jìn)行后續(xù)轉(zhuǎn)發(fā) 或丟棄操作��。
本發(fā)明實(shí)施例通過提供一種源地址驗(yàn)證方法���,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的 雙向交互中�,利用用于標(biāo)識(shí)報(bào)文的報(bào)文特征對(duì)網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地 址進(jìn)行驗(yàn)證�,有效地提高了報(bào)文偽造源地址檢測(cè)的準(zhǔn)確性,保證了網(wǎng)絡(luò)安全�。
圖4為本發(fā)明源地址-瞼證裝置第一實(shí)施例的結(jié)構(gòu)示意圖�����。如圖4所示�����, 本發(fā)明實(shí)施例提供了一種源地址驗(yàn)證裝置,包括接收模塊401��、匹配模塊 402和第一處理模塊403���。其中�,接收模塊401用于接收網(wǎng)關(guān)設(shè)備發(fā)送的檢測(cè) 消息���,該檢測(cè)消息包括網(wǎng)關(guān)設(shè)備接收到的報(bào)文的第二報(bào)文特征��;匹配模塊402 用于將第二報(bào)文特征與預(yù)先存儲(chǔ)的已發(fā)送報(bào)文的第一報(bào)文特征進(jìn)行匹配�����;第 一處理模塊403用于在第二報(bào)文特征與第一報(bào)文特征匹配成功時(shí)���,確認(rèn)網(wǎng)關(guān) 設(shè)備接收到的報(bào)文的源地址是真實(shí)地址�����。
在本實(shí)施例中�,當(dāng)網(wǎng)關(guān)設(shè)備接收到報(bào)文時(shí)�,會(huì)將包括接收到的報(bào)文的第二報(bào)文特征的檢測(cè)消息發(fā)送到該報(bào)文的源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī),接收模塊401 接收到網(wǎng)關(guān)設(shè)備發(fā)送的該檢測(cè)消息時(shí),獲取該第二才艮文特征���,匹配模塊402 將第二報(bào)文特征與預(yù)先存儲(chǔ)的已發(fā)送報(bào)文的第一報(bào)文特征進(jìn)行匹配���,在第二 報(bào)文特征與第一報(bào)文特征匹配成功時(shí),第一處理模塊403確認(rèn)網(wǎng)關(guān)設(shè)備接收 到的源地址是真實(shí)地址�����。
本發(fā)明實(shí)施例通過提供一種源地址驗(yàn)證裝置����,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的 雙向交互中,利用用于標(biāo)識(shí)報(bào)文的報(bào)文特征對(duì)網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地 址進(jìn)行驗(yàn)證�����,有效地提高了報(bào)文偽造源地址檢測(cè)的準(zhǔn)確性,保證了網(wǎng)絡(luò)安全�����。
在上述技術(shù)方案的基礎(chǔ)上�,第一處理模塊403還可以用于在第二報(bào)文特 征與第一報(bào)文特征匹配不成功時(shí),確認(rèn)網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址是偽 造地址���。
在本實(shí)施例中��,接收模塊401接收到網(wǎng)關(guān)設(shè)備發(fā)送的檢測(cè)消息時(shí),獲取 該第二報(bào)文特征�����,匹配模塊402將第二報(bào)文特征與預(yù)先存儲(chǔ)的已發(fā)送的第一 報(bào)文特征進(jìn)行匹配���,在第二報(bào)文特征與第一報(bào)文特征匹配不成功時(shí)�����,第一處 理模塊403確認(rèn)網(wǎng)關(guān)設(shè)備接收到的源地址是偽造地址�。
圖5為本發(fā)明源地址驗(yàn)證裝置第二實(shí)施例的結(jié)構(gòu)示意圖��。如圖5所示, 本發(fā)明提供的源地址驗(yàn)證裝置還可以包括刪除模塊501,該刪除模塊501 用于在確認(rèn)網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址是真實(shí)地址之后����,刪除與第二報(bào) 文特征匹配的第一報(bào)文特征?��;蛘?�,網(wǎng)絡(luò)主機(jī)發(fā)送報(bào)文時(shí)����,預(yù)先存儲(chǔ)該報(bào)文 的第 一報(bào)文特征���,當(dāng)?shù)却龝r(shí)間即第 一報(bào)文特征的存儲(chǔ)時(shí)間大于第 一預(yù)設(shè)時(shí)間 時(shí)還未收到網(wǎng)關(guān)設(shè)備發(fā)送的檢測(cè)消息�����,刪除模塊501則刪除存儲(chǔ)在網(wǎng)絡(luò)主機(jī) 中的第一報(bào)文特征����,以釋放空間���。
本發(fā)明實(shí)施例通過提供一種源地址驗(yàn)證裝置���,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的
雙向交互中����,利用用于標(biāo)識(shí)報(bào)文的報(bào)文特征對(duì)網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地
址進(jìn)行驗(yàn)證�����,有效地提高了報(bào)文偽造源地址檢測(cè)的準(zhǔn)確性��,保證了網(wǎng)絡(luò)安全��。
圖6為本發(fā)明報(bào)文轉(zhuǎn)發(fā)裝置第一實(shí)施例的結(jié)構(gòu)示意圖�。如圖6所示,本發(fā)明實(shí)施例提供了一種報(bào)文轉(zhuǎn)發(fā)裝置�����,包括獲取模塊601�����、發(fā)送模塊602 和第二處理模塊603�����。其中���,獲^#塊601用于獲取接收到的報(bào)文的第二報(bào) 文特征及該報(bào)文的源地址��;發(fā)送模塊602用于向獲取模塊601獲取的源地址 對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送檢測(cè)消息����,該檢測(cè)消息包括接收到的報(bào)文的第二報(bào)文特 征�����;第二處理模塊603用于若接收到來自源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送的確認(rèn) 網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址是真實(shí)地址的信息�,則轉(zhuǎn)發(fā)該報(bào)文。
在本實(shí)施例中��,當(dāng)網(wǎng)關(guān)設(shè)備接收到報(bào)文時(shí)�,獲取模塊601獲取該報(bào)文的 第二報(bào)文特征以及該報(bào)文的源地址,發(fā)送模塊602將包括該第二報(bào)文特征的 檢測(cè)消息發(fā)送到該源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)�,若網(wǎng)關(guān)設(shè)備接收到來自該源地址 對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)的信息,該信息確認(rèn)網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址是真實(shí) 地址��,第二處理模塊603轉(zhuǎn)發(fā)該'報(bào)文�。
本發(fā)明實(shí)施例通過提供一種報(bào)文轉(zhuǎn)發(fā)裝置,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的雙 向交互中����,利用用于標(biāo)識(shí)報(bào)文的報(bào)文特征對(duì)網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址 進(jìn)行驗(yàn)證�����,如果驗(yàn)證出報(bào)文的源地址是真實(shí)的�����,則進(jìn)行轉(zhuǎn)發(fā)����,保證了網(wǎng)絡(luò)安 全�����。
在上述技術(shù)方案的基礎(chǔ)上��,第二處理模塊603還可以用于若接收到來自 該源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送的確認(rèn)網(wǎng)關(guān)i殳備接收到的報(bào)文的源地址是偽造 地址的信息����,則丟棄該"l艮文�。
本發(fā)明實(shí)施例通過提供一種報(bào)文轉(zhuǎn)發(fā)裝置,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的雙 向交互中���,利用用于標(biāo)識(shí)報(bào)文的報(bào)文特征對(duì)網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址 進(jìn)行驗(yàn)證�����,如果驗(yàn)證出報(bào)文的源地址是真實(shí)的��,則進(jìn)行轉(zhuǎn)發(fā)�����,否則丟棄該報(bào) 文���,保證了網(wǎng)絡(luò)安全��。
圖7為本發(fā)明源地址驗(yàn)證系統(tǒng)實(shí)施例的系統(tǒng)框圖��。如圖7所示����,本發(fā)明 實(shí)施例提供了一種源地址驗(yàn)證系統(tǒng)�����,包括網(wǎng)絡(luò)主機(jī)701和網(wǎng)關(guān)設(shè)備702����。 其中�����,網(wǎng)絡(luò)主機(jī)701用于接收網(wǎng)關(guān)設(shè)備702發(fā)送的檢測(cè)消息�,該4企測(cè)消息包 括網(wǎng)關(guān)設(shè)備702接收到的報(bào)文的第二報(bào)文特征��;將該第二報(bào)文特征與預(yù)先存儲(chǔ)的已發(fā)送報(bào)文的第一報(bào)文特征進(jìn)行匹配�;在第二報(bào)文特征與第一報(bào)文特征 匹配成功時(shí),確認(rèn)網(wǎng)關(guān)設(shè)備702接收到的報(bào)文的源地址是真實(shí)地址��;網(wǎng)關(guān)設(shè) 備702用于獲取接收到的報(bào)文的第二報(bào)文特征及該報(bào)文的源地址�����;向該源地 址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)701發(fā)送檢測(cè)消息�����,該檢測(cè)消息包括接收到的報(bào)文的第二 報(bào)文特征����;若接收到來自該源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)701發(fā)送的確認(rèn)網(wǎng)關(guān)設(shè)備 702接收到的報(bào)文的源地址是真實(shí)地址的信息�,則轉(zhuǎn)發(fā)該報(bào)文���。
本發(fā)明系統(tǒng)實(shí)施例中各裝置的功能實(shí)現(xiàn)如上述裝置實(shí)施例中的具體描 述,在此不再贅述���。
本發(fā)明實(shí)施例通過提供一種源地址驗(yàn)證系統(tǒng)�����,在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的 雙向交互中��,利用用于標(biāo)識(shí)報(bào)文的報(bào)文特征對(duì)網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地 址進(jìn)行驗(yàn)證����,有效地提高了報(bào)文偽造源地址檢測(cè)的準(zhǔn)確性����,保證了網(wǎng)絡(luò)安全。
在上述技術(shù)方案的基礎(chǔ)上�,網(wǎng)絡(luò)主機(jī)701還可以用于在第二報(bào)文特征與 第一報(bào)文特征匹配不成功時(shí),確認(rèn)網(wǎng)關(guān)設(shè)備702接收到的報(bào)文的源地址是偽 造地址���;在確認(rèn)網(wǎng)關(guān)設(shè)備702接收到的報(bào)文的源地址是真實(shí)地址之后��,刪除 與第二報(bào)文特征匹配的第 一報(bào)文特征��,在第 一凈艮文特征的存儲(chǔ)時(shí)間大于第一 預(yù)設(shè)時(shí)間�、且未收到網(wǎng)關(guān)設(shè)備702發(fā)送的檢測(cè)消息時(shí),刪除預(yù)先存儲(chǔ)的第一 報(bào)文特征���。
進(jìn)一步地���,網(wǎng)關(guān)設(shè)備702還可以用于若接收到來自源地址對(duì)應(yīng)的網(wǎng)絡(luò)主 機(jī)701發(fā)送的確認(rèn)網(wǎng)關(guān)設(shè)備702接收到的報(bào)文的源地址是偽造地址的信息, 則丟棄該纟艮文����。
本發(fā)明實(shí)施例通過提供一種源地址驗(yàn)證系統(tǒng),在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的 雙向交互中���,利用用于標(biāo)識(shí)報(bào)文的報(bào)文特征對(duì)網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地 址進(jìn)行驗(yàn)證��,有效地提高了報(bào)文偽造源地址檢測(cè)的準(zhǔn)確性��,保證了網(wǎng)絡(luò)安全�。
通過以上的實(shí)施方式的描述��,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可借助軟件加必需的硬件平臺(tái)的方式來實(shí)現(xiàn)�����,當(dāng)然也可以全部通過硬件來 實(shí)施,但很多情況下前者是更佳的實(shí)施方式��?��;谶@樣的理解,本發(fā)明的技術(shù)方案對(duì)背景技術(shù)做出貢獻(xiàn)的全部或者部分可以以軟件產(chǎn)品的形式體現(xiàn)出
來��,該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在存儲(chǔ)介質(zhì)中����,如R0M/RAM、》茲碟�、光盤等, 包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)���,服務(wù)器��,或者 網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法�����。
最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非對(duì)其進(jìn) 行限制�����,盡管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明��,本領(lǐng)域的普通技 術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換��, 而這些修改或者等同替換亦不能使修改后的技術(shù)方案脫離本發(fā)明技術(shù)方案的 4奮神和范圍���。
權(quán)利要求
1�、一種源地址驗(yàn)證方法�,其特征在于,包括接收網(wǎng)關(guān)設(shè)備發(fā)送的檢測(cè)消息�,所述檢測(cè)消息包括所述網(wǎng)關(guān)設(shè)備接收到的報(bào)文的第二報(bào)文特征;將所述第二報(bào)文特征與預(yù)先存儲(chǔ)的已發(fā)送報(bào)文的第一報(bào)文特征進(jìn)行匹配�����;在所述第二報(bào)文特征與所述第一報(bào)文特征匹配成功時(shí)��,確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址是真實(shí)地址���。
2�����、 根據(jù)權(quán)利要求1所述的源地址驗(yàn)證方法���,其特征在于����,還包括在所 述第二報(bào)文特征與所述第一報(bào)文特征匹配不成功時(shí)����,確認(rèn)所述網(wǎng)關(guān)設(shè)備接收 到的報(bào)文的源地址是偽造地址�����。
3���、 根據(jù)權(quán)利要求1所述的源地址驗(yàn)證方法�,其特征在于�����,還包括 確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址是真實(shí)地址之后�����,刪除與所述第二報(bào)文特征匹配的所述第 一報(bào)文特征。
4���、 一種報(bào)文轉(zhuǎn)發(fā)方法����,其特征在于����,包括 獲取接收到的報(bào)文的第二報(bào)文特征及所述報(bào)文的源地址; 向所述源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送檢測(cè)消息��,所述檢測(cè)消息包括所述接收到的報(bào)文的第二報(bào)文特征���;到的報(bào)文的源地址是真實(shí)地址的信息����,則轉(zhuǎn)發(fā)所述報(bào)文�����。
5����、 一種源地址驗(yàn)證裝置�����,其特征在于���,包括接收模塊,用于接收網(wǎng)關(guān)設(shè)備發(fā)送的檢測(cè)消息����,所述檢測(cè)消息包括所述 網(wǎng)關(guān)設(shè)備接收到的報(bào)文的第二才艮文特征;匹配模塊�,用于將所述第二報(bào)文特征與預(yù)先存儲(chǔ)的已發(fā)送報(bào)文的第一報(bào) 文特征進(jìn)行匹配�����;第 一處理模塊��,用于在所述第二報(bào)文特征與所述第 一報(bào)文特征匹配成功時(shí)�,確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址是真實(shí)地址。
6��、 根據(jù)權(quán)利要求5所述的源地址驗(yàn)證裝置��,其特征在于��,所述第一處理 模塊還用于在所述第二報(bào)文特征與所述第一報(bào)文特征匹配不成功時(shí),確認(rèn)所 述網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址是偽造地址��。
7�、 根據(jù)權(quán)利要求5所述的源地址驗(yàn)證裝置,其特征在于����,還包括 刪除模塊,用于在確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址是真實(shí)地址之后��,刪除與所述第二報(bào)文特征匹配的所述第 一報(bào)文特征���。
8���、 一種報(bào)文轉(zhuǎn)發(fā)裝置,其特征在于�,包括獲取^莫塊,用于獲取接收到的報(bào)文的第二報(bào)文特征及所述才艮文的源地址����; 發(fā)送模塊,用于向所述獲取模塊獲取的所述源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送檢測(cè)消息��,所述檢測(cè)消息包括所述接收到的報(bào)文的第二報(bào)文特征���;第二處理模塊����,用于若接收到來自所述源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送的確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址是真實(shí)地址的信息,則轉(zhuǎn)發(fā)所述報(bào)文�。
9、 根據(jù)權(quán)利要求8所述的報(bào)文轉(zhuǎn)發(fā)裝置�����,其特征在于�����,所述第二處理模 塊還用于若接收到來自所述源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送的確認(rèn)所述網(wǎng)關(guān)設(shè)備 接收到的報(bào)文的源地址是偽造地址的信息�����,則丟棄所述l艮文���。
10、 一種源地址驗(yàn)證系統(tǒng)�,其特征在于,包括網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備�����; 所述網(wǎng)絡(luò)主機(jī),用于接收所述網(wǎng)關(guān)設(shè)備發(fā)送的檢測(cè)消息�����,所述檢測(cè)消息包括所述網(wǎng)關(guān)設(shè)備接收到的報(bào)文的第二報(bào)文特征���;將所述第二報(bào)文特征與預(yù) 先存儲(chǔ)的已發(fā)送報(bào)文的第一報(bào)文特征進(jìn)行匹配��;在所述第二報(bào)文特征與所述 第一報(bào)文特征匹配成功時(shí)�����,確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址是真實(shí) 地址����;所述網(wǎng)關(guān)設(shè)備��,用于獲取接收到的報(bào)文的第二報(bào)文特征及所述報(bào)文的源 地址�;向所述源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā)送4企測(cè)消息,所述沖企測(cè)消息包括所述 接收到的報(bào)文的第二報(bào)文特征�����;若接收到來自所述源地址對(duì)應(yīng)的網(wǎng)絡(luò)主機(jī)發(fā) 送的確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址是真實(shí)地址的信息,則轉(zhuǎn)發(fā)所 述報(bào)文��。
全文摘要
本發(fā)明實(shí)施例提供了一種源地址驗(yàn)證方法�����,包括接收網(wǎng)關(guān)設(shè)備發(fā)送的檢測(cè)消息�����,所述檢測(cè)消息包括所述網(wǎng)關(guān)設(shè)備接收到的報(bào)文的第二報(bào)文特征�;將所述第二報(bào)文特征與預(yù)先存儲(chǔ)的已發(fā)送報(bào)文的第一報(bào)文特征進(jìn)行匹配;在所述第二報(bào)文特征與所述第一報(bào)文特征匹配成功時(shí)�����,確認(rèn)所述網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址是真實(shí)地址��。本發(fā)明實(shí)施例還提供一種源地址驗(yàn)證裝置��、一種報(bào)文轉(zhuǎn)發(fā)方法及裝置����、一種源地址驗(yàn)證系統(tǒng)�����。本發(fā)明實(shí)施例在網(wǎng)絡(luò)主機(jī)和網(wǎng)關(guān)設(shè)備的雙向交互中,利用用于標(biāo)識(shí)報(bào)文的報(bào)文特征對(duì)網(wǎng)關(guān)設(shè)備接收到的報(bào)文的源地址進(jìn)行驗(yàn)證�,有效地提高了報(bào)文偽造源地址檢測(cè)的準(zhǔn)確性,保證了網(wǎng)絡(luò)安全���。
文檔編號(hào)H04L29/12GK101567891SQ200910141319
公開日2009年10月28日 申請(qǐng)日期2009年5月31日 優(yōu)先權(quán)日2009年5月31日
發(fā)明者碩 邱 申請(qǐng)人:成都市華為賽門鐵克科技有限公司