基于PIV架构的IPv6真实源地址验证方法

基于PIV架构的IPv6真实源地址验证方法是一种依托扩展多协议标签交换（MPLS）网络的、引入端到端的轻量级的真实性认证机制的自治域间真实源地址验证方法，其排除了网络拓扑、路由路径的影响，无需中间节点参与验证，部署本方法的AS可有效实现自治域粒度的真实地址访问。

本方法提出一种具有全局唯一性的、用于认证报文源地址真实性和标识报文源发性的新型MPLS标签，定义为SID。启用该标签的自治域定义为扩展MPLS AS，邻接的扩展MPLS AS依据隶属关系、路由策略、网络结构、数据通信频度和经济、政治、军事利益等现实情况组建信任联盟（TrustAlliance，TA）。信任联盟由扩展MPLS AS作为单位成员，在信任联盟内部成员自治域间协商启用跨域扩展MPLS网络，通过实现源端级过滤防御、源端真实性和源发性认证以及目的端验证的维P三IV验证架构，构建出一种具有自主过滤伪造报文功能和抵御源地址攻击能力的信任联盟体系结构。从整体上看，信任联盟就是具有源地址假冒过滤功能的、支持层次化标签交换路径和面向连接的扩展MPLS域。

扩展MPLS AS间数据通信

在TA成员AS间互访的通信场景中，成员AS间依托扩展MPLS网络分别协商和分配域内转发和域间转发的标签，建立自治域内转发和自治域间转发的标签交换路径（LSP），并依据域内和域间标签转发表对收到的报文进行转发。在本方法提出的扩展MPLS网络中，源端扩展MPLS AS出口自治域边界路由器（ABR）依据验证规则对收到来自域内流向域外的报文启动第一级防御机制（Prevention）检查并过滤本域发出的假冒报文，完成源地址真实性认证，实现“自律”；而后启动第二级防御机制（Identification）在通过验证的合法报文中MPLS扩展头部将本域对应的全局唯一、私密的SID封装入标签栈底，完成报文源发性标识防止本域前缀被他人伪造，即实现“律他”，然后将标签栈顶用于域内级别转发的标签替换为域间级别的标签，将报文送入域间LSP上下游的相邻的扩展MPLS AS，当相邻扩展MPLS AS的入口ABR收到报文后，并不处理MPLS标签头部最内层的SID标签和用于域间转发的域间级别标签，而是在域间级别标签外侧封装用于本域内部级别标签转发的标签，向它的下游域内的内部网关协议（IGP）邻居标签交换路由器（LSR）转发数据报文，当报文沿着域内LSP到达本域的出口ABR时由其剥去MPLS标签头部最外层的域内级别转发的标签，保留中间层的用于域间转发的域间级别标签和最内层的SID标签，将报文送入域间LSP上下游的扩展MPLS AS。同理，报文在域间转发过程中途经的所有中间扩展MPLS AS都不处理MPLS标签头部最内层的SID标签（标签栈底标签）。直至报文送达目的端扩展MPLS AS的入口边界时，由该扩展MPLSA S 的入口A B R 启动第三级防御机制（Validation），其依据验证规则验证该SID真实性和有效性，若验证合法则移除报文头部的SID，继续向域内它的下游LSR转发，报文沿着域内LSP在LSR间依据域内MPLS标签转发，直至被送达目的端用户。参见图1。

图1 扩展MPLS AS间数据报文真实源地址验证

投稿、转载或合作，请联系：eduinfo#cernet.com (请将#替换为@)