[发明专利]一种源地址验证方法和系统

说明书

技术领域

本发明涉及网络安全领域，特别是涉及一种源地址验证方法和系统。

背景技术

目前，以IP为网络层协议的互联网络取得了巨大成功，但传统的IP路由是根据数据分组的目的地址进入，缺乏对数据分组的源地址检查，导致目前源地址欺骗的安全事件层出不穷。现有技术中真实源地址验证体系是三层源地址验证架构，从上到下分别包括：自治域间源地址验证，自治域内源地址验证，子网内源地址验证。

IETF SAVI工作组致力于解决子网内源地址验证问题，实现在各种地址分配方式下进行主机粒度的源地址验证。源地址验证提高(Source AddressValidation Improvement，SAVI)要求独立于主机，部署在网络设备上，并提出了“保护边界”的概念。图1是现有技术中SAVI部署的场景示意图，如图1所示，部署SAVI的交换机形成了虚线框标记的源地址验证边界即“保护边界”。所有的主机通过该边界进入网络，SAVI通过对这些进入网络的主机进行源地址过滤实验主机粒度的源地址验证。

SAVI基本思想是通过监听主机的地址分配过程，将主机的IP绑定到一个可信锚点，在主机正常通信的过程中，SAVI对这个锚点进行检查实现源地址验证。

典型地址分配包括了DHCP，SLACC和静态地址，SAVI为各种地址分配下的地址绑定建立了统一的数据结构：

●绑定状态表(Binding State Table，BST)：记录源地址和锚之间的绑定状态，控制FT表中表项的建立和撤销。

表1.BST结构

●过滤表(Filtering Table，FT)：存储绑定关系，FT表提供分组过滤依据。

表2.FT结构

  Anchor  Address

SAVI考虑各种典型地址分配情况下的源地址验证，但目前SAVI普遍尚未考虑到在移动环境中移动节点通信所使用的源地址的特殊性。

移动IP(Mobile IP，MIP)标准中允许移动节点在驻留地网络中继续使用其家乡地址(Home Address，HoA)与其他节点进行通信。对于MIPv6，在设计之初考虑到了源地址过滤问题，MIPv6的移动节点(Mobile Node，MN)向通信节点(Correspondent Node，CN)发送消息时，源地址采用MN的转交地址(Care-of Address，CoA)，通过家乡地址选项携带家乡地址(Home Address，HoA)地址，由于CoA地址是MN所在的驻留地网络子网内地址，这样SAVI通过将MIPv6的MN的CoA地址绑定到可信锚点便能进行源地址验证。然而MIPv4没有这种机制，图2是部署SAVI的MIPv4环境中MN与CN通信的示意图，如图2所示，当MN向CN发送消息的时候，消息源地址为MN的HoA，目的地址为CN的IP地址，存在SAVI设备时，由于MIPv4的MN的HoA不在驻留地网络前缀内，SAVI模块内没有关于HoA的绑定信息，SAVI将根据FT对消息源地址验证，显然MN的正常通信分组将被丢弃。可见在MIPv4网络环境中，若部署了SAVI，MIPv4网络环境中的移动节点将不能进行合法通信。

发明内容

本发明的目的在于提供一种源地址验证方法和系统，其能够为移动节点的家乡地址绑定可信锚点，实现对真实源地址验证系统中SAVI设备对MIPv4网络环境中的移动节点进行源地址验证。

为实现本发明的目的而提供的一种源地址验证方法，包括下列步骤：

步骤100.移动节点接收外地代理的周期性的代理通告，并根据代理通告的指示信息，进行对应的移动注册；

步骤200.SAVI设备监听所述移动节点的移动注册过程，通过对监听到的移动注册过程为移动节点建立动态的家乡地址到可信锚点的绑定；

步骤300.所述SAVI设备根据过滤表对所述移动节点通信的数据分组进行源地址验证。

所述步骤200，包括下列步骤：