[发明专利]一种基于软件定义网络的源地址验证系统

说明书

本发明提供了一种基于软件定义网络的源地址验证系统，包括：监听模块，其配置为基于监听流表，从由普通主机向交换机待发送的数据报文中筛查地址分配协议报文，并将地址分配协议报文按照预定协议打包后发送出去；绑定验证模块，其配置为从打包的地址分配协议报文中提取地址关系信息，以生成地址信息绑定关系表并对绑定关系表进行验证更新；规则生成模块，其配置为根据绑定关系表生成规则流表；转发模块，其配置为根据规则流表对由普通主机向交换机待发送的数据报文进行转发。本发明可以针对实际网络中不同的设备及场景需求，实现主机源地址验证。

技术领域

本发明属于互联网技术领域，具体地说，尤其涉及一种基于软件定义网络的源地址验证系统。

背景技术

现行的TCP/IP协议在设计之初并没有过多考虑安全问题，协议默认网络中数据包的源地址信息都是真实可靠的，不需要对数据包来源的合法性进行检验和筛查。然而，随着互联网从学术同行交流的工具变成了全社会的基础设施，通过伪造IP源地址字段进行的网络攻击越来越多，给整个互联网的运营和发展带来了很大的挑战。这类攻击往往容易发起却难以追溯，危害网络安全的同时也给网络管理、诊断、计费等功能带来了巨大困难。

为了保证网络中源地址信息的可靠性和防止源地址伪造攻击，学术界和工业界提出了一系列源地址验证的方法。

2008年清华大学从网络体系结构的层面上，总结和归纳了已有的方法，提出了“基于真实IPv6源地址的网络寻址体系结构”(Source Address Validation Architecture，SAVA)，被IETF采纳并形成相关RFC。SAVA按照部署的位置和功能的不同，将源地址验证方法分成了三个层次，自底向上分别是接入网源地址验证、域内源地址验证和域间源地址验证。同年，清华大学在IETF推动成立了SAVI工作组(Source Address ValidationImprovement，SAVI)，并在之后提出了一系列相关草案并被制定为RFC。这些RFC得到了众多厂商的支持，在一系列硬件设备上得到了实现，增强了网络地址源的可管理性，为地址回溯提供了可能，提高了网络安全的等级。

目前，SAVI工作组已经针对部分IP地址分配方法和网络环境制定了一些标准，包括针对动态地址分配协议(DHCP和DHCPv6)的源地址验证方案SAVI-DHCP、针对IPv6下无状态地址分配协议(SLAAC)的源地址验证方案SAVI-FCFS、针对安全邻居发现协议(SEND)的源地址验证方案SAVI-SEND，以及针对于多种地址分配方式共存的网络环境的源地址验证方案SAVI-MIX等。

当前的SAVI标准都是以现有网络模式和网络设备为基础制定的，其基本原理是由SAVI交换机监听地址分配协议的交互过程确定地址分配的状态，进而将已分配的IP地址绑定到所选择的信任锚点上(包括MAC地址、交换机接口等)，形成绑定表。对于到达交换机的数据报文，匹配了绑定表的判定为源地址合法的报文，否则判定为源地址伪造的报文，伪造的报文将被丢弃掉。

然而，现行传统SAVI功能交换机在实际部署实施中存在三种技术复杂性问题场景复杂性、相关协议复杂性和管理配置复杂性。场景复杂性指SAVI需要工作在多种网络场景下，例如按照主机地址分配方式的不同可以分为手动配置、无状态、DHCP、SEND、混杂等场景，按照接入模式可以分为LAN、WLAN、DSL等场景，按照地址使用方式可以分为DNA、IPv4/IPv6过渡等。传统SAVI系统中的解决方案只针对特定场景，适用范围都很小，市场需求少，难以推广。而想要设计面向更多场景的SAVI解决方案，则在设计和实现上都较为复杂，效率也比较低。

相关协议复杂性表现在SAVI系统需要和多种协议进行交互，会受到多种网络协议的影响。其中，除和地址分配相关的协议外，还包含其他和地址使用相关的网络协议。因此，随着网络协议的不断更新，SAVI系统相应的功能也需要随之扩展。