[发明专利]域间源地址的验证方法、装置、电子设备及存储介质

说明书

本申请提供的一种域间源地址的验证方法、装置、直播服务器及存储介质，其中所述域间源地址的验证方法包括：在获取到源AS内的主机发送的第一数据包的情况下，确定所述第一数据包的目的地址的第一地址前缀，其中，所述第一数据包的源地址包括接口标识符，所述接口标识符中嵌入有所述源AS的第一源AS标识；基于所述第一地址前缀，确定所述源AS与所述目的地址对应的目的AS之间的共享秘钥；基于所述共享秘钥对所述接口标识符进行加密，得到第二数据包；发送所述第二数据包至所述目的地址，以使所述目的AS的边界路由器基于所述第二数据包进行所述源地址的验证。

技术领域

本申请涉及互联网技术领域，特别地涉及一种域间源地址的验证方法、装置、电子设备及存储介质。

背景技术

IP地址伪造通常被用于匿名和反射式攻击，例如：分布式拒绝服务攻(DDoS,Distributed Denial of Service)，对互联网极具破坏性，并造成了严重的经济损失。究其根因，这是由于当前的互联网不对数据包的源地址做验证导致的。如今，IPv6网络的加速部署可能会加剧DDoS攻击的损害，并且近年来基于IPv6的DDoS攻击数量呈现逐步增加的趋势。因此，为IPv6互联网设计防范DDoS攻击的方法十分重要。

为了防止源地址伪造，相关技术中提出了源地址验证体系结构(SAVA，SourceAddress Validation Architecture)，为解决源地址伪造问题提供了一套体系化的解决方法。SAVA将源地址验证划分为三个层次：接入子网、自治域(AS，Autonomous System)内和自治域间，各层次呈现互不重叠的松耦合防御形式。目前域间源地址验证方案可以被划分为两类：基于标签的方案和基于路由的方案。基于标签的方案是为数据包添加与源地址相关的标签，并用于后续验证，典型的方案包括：SPM、DISCS、Passport等。这类方案的问题在于需要为数据包添加额外的标签，对于带宽受限的自治域影响较大。并且标签往往放在扩展报头中，路由器往往会丢弃携带其不认识扩展报头的数据包。基于路由的方案则是利用路由信息构建过滤规则，然后进行源地址验证，典型的方案包括：RBF、IDPF、uRPF、SAVE等，这类方案的问题在于域间路由的非对称性将导致方案失效。

发明内容

针对上述问题，本申请提供一种域间源地址的验证方法、装置、电子设备及存储介质。

本申请提供了一种域间源地址的验证方法，应用于源自治域AS内的边界路由器，包括：

在获取到源AS内的主机发送的第一数据包的情况下，确定所述第一数据包的目的地址的第一地址前缀，其中，所述第一数据包的源地址包括接口标识符，所述接口标识符中嵌入有所述源AS的第一源AS标识；

基于所述第一地址前缀，确定所述源AS与所述目的地址对应的目的AS之间的共享秘钥；

基于所述共享秘钥对所述接口标识符进行加密，得到第二数据包；

发送所述第二数据包至所述目的地址，以使所述目的AS的边界路由器基于所述第二数据包进行所述源地址的验证。

在一些实施例中，所述基于所述第一地址前缀，确定所述源AS与所述目的地址对应的目的AS之间的共享秘钥，包括：

基于所述第一地址前缀，查询预先存储的第一对应关系表，其中，所述第一对应关系表中包括所述第一地址前缀与目的AS标识的对应关系；

基于所述第一对应关系表，确定目的AS标识；

基于所述目的AS标识，确定所述源AS与所述目的AS之间的共享秘钥。

在一些实施例中，所述基于所述目的AS，确定所述源AS与所述目的AS之间的共享秘钥，包括：

基于所述目的AS标识，查询预先存储的第二对应关系表，其中，所述第二对应关系表中包括所述目的AS标识与共享秘钥的对应关系；