[发明专利]源地址验证方法、装置及系统

说明书

技术领域

本发明涉及通信领域，特别涉及一种源地址验证方法、装置及系统。 

背景技术

在通信系统中，网关设备接收到从内部网络发送的数据后，一般需要验证数据的源地址，以防止攻击者利用伪造IP地址发送数据。 

现有的验证源地址的方法一般有两种。一种是入口过滤法，由于网关设备中存储了内部网络主机的网络层地址，即互联网协议(Internet Protocol；以下简称：IP)地址，因此当接收到从内部网络发送的数据后，若检测到该数据的源地址不是内部网络主机的IP地址，则认为该数据是攻击者利用伪造IP地址发送的数据，将其丢弃而不予转发。 

另一种是链路层地址绑定法，由于网络主机具有唯一的且相互对应的IP地址和链路层地址，因此，网关设备首次接收到从内部网络发送的数据时，将其IP地址和链路层地址进行绑定并存储，当接收到从内部网络发送的数据后，网关设备检测该数据的IP地址和链路层地址，若其对应关系与已存储的绑定关系不一致，则认为该数据是攻击者利用伪造IP地址发送的数据，将其丢弃而不予转发。 

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：采用入口过滤法，只能检测出采用外部网络IP地址，若攻击者利用本网内部其他网络主机的IP地址发送数据，则网关设备无法检测出这种攻击；对于采用链路层地址绑定法，如果首次接收到从内部网络发送的数据就被攻击者伪造IP地址，那么绑定时就采用了错误的绑定关系，则后续也无法检测出正确的绑定关系，另外当采用移动互联网协议版本6(Mobile Internet Protocol version 6；以下简称MIPv6)时，由于节点频繁移动，绑定关系难以维持，也无法检测出伪造源地址的攻击。 

发明内容

本发明实施例提供了一种源地址验证方法、装置及系统，以提高报文伪造源地址检测的准确性。 

本发明实施例提供了一种源地址验证方法，包括： 

接收网关设备发送的检测消息，所述检测消息包括所述网关设备接收到的报文的第二报文特征； 

将所述第二报文特征与预先存储的已发送报文的第一报文特征进行匹配； 

在所述第二报文特征与所述第一报文特征匹配成功时，确认所述网关设备接收到的报文的源地址是真实地址。 

本发明实施例提供了一种报文转发方法，包括： 

获取接收到的报文的第二报文特征及所述报文的源地址； 

向所述源地址对应的网络主机发送检测消息，所述检测消息包括所述接收到的报文的第二报文特征； 

若接收到来自所述源地址对应的网络主机发送的确认网关设备接收到的报文的源地址是真实地址的信息，则转发所述报文。 

本发明实施例提供了一种源地址验证装置，包括： 

接收模块，用于接收网关设备发送的检测消息，所述检测消息包括所述网关设备接收到的报文的第二报文特征； 

匹配模块，用于将所述第二报文特征与预先存储的已发送报文的第一报文特征进行匹配； 

第一处理模块，用于在所述第二报文特征与所述第一报文特征匹配成功时，确认所述网关设备接收到的报文的源地址是真实地址。 

本发明实施例提供了一种报文转发装置，包括： 

获取模块，用于获取接收到的报文的第二报文特征及所述报文的源地址； 

发送模块，用于向所述获取模块获取的所述源地址对应的网络主机发送检测消息，所述检测消息包括所述接收到的报文的第二报文特征； 

第二处理模块，用于若接收到来自所述源地址对应的网络主机发送的确认网关设备接收到的报文的源地址是真实地址的信息，则转发所述报文。 

本发明实施例提供了一种源地址验证系统，包括：网络主机和网关设备； 

所述网络主机包括： 

接收模块，用于接收所述网关设备发送的检测消息，所述检测消息包括所述网关设备接收到的报文的第二报文特征； 

匹配模块，用于将所述第二报文特征与预先存储的已发送报文的第一报文特征进行匹配； 

第一处理模块，用于在所述第二报文特征与所述第一报文特征匹配成功时，确认所述网关设备接收到的报文的源地址是真实地址； 

所述网关设备包括： 

获取模块，用于获取接收到的报文的第二报文特征及所述报文的源地址； 

发送模块，用于向所述源地址对应的网络主机发送检测消息，所述检测消息包括所述接收到的报文的第二报文特征；