源地址验证方法、装置及系统的制作方法

专利名称：源地址验证方法、装置及系统的制作方法
技术领域：
本发明涉及通信领域，特别涉及一种源地址验证方法、装置及系统。
背景技术：
在通信系统中，网关设备接收到从内部网络发送的数据后， 一般需要验 证数据的源地址，以防止攻击者利用伪造IP地址发送数据。
现有的验证源地址的方法一般有两种。
一种是入口过滤法，由于网关设
备中存储了内部网络主机的网络层地址，即互联网协议(Internet Protocol; 以下简称IP)地址，因此当接收到从内部网络发送的数据后，若检测到该 数据的源地址不是内部网络主机的IP地址，则认为该数据是攻击者利用伪造 IP地址发送的数据，将其丢弃而不予转发。
另一种是链路层地址绑定法，由于网络主机具有唯一的且相互对应的IP 地址和链路层地址，因此，网关设备首次接收到从内部网络发送的数据时， 将其IP地址和链路层地址进行绑定并存储，当接收到从内部网络发送的数据 后，网关设备检测该数据的IP地址和链路层地址，若其对应关系与已存储的 绑定关系不一致，则认为该数据是攻击者利用伪造IP地址发送的数据，将其 丟弃而不予转发。
在实现本发明过程中，发明人发现现有技术中至少存在如下问题采用 入口过滤法，只能检测出采用外部网络IP地址，若攻击者利用本网内部其他 网络主机的IP地址发送数据，则网关设备无法检测出这种攻击；对于采用链 路层地址绑定法，如果首次接收到从内部网络发送的数据就被攻击者伪造IP 地址，那么绑定时就采用了错误的绑定关系，则后续也无法检测出正确的绑 定关系，另外当采用移动互联网协议版本6 (Mobile Internet Protocolversion 6;以下简称MIPv6)时，由于节点频繁移动，绑定关系难以维持， 也无法^r测出伪造源地址的攻击。

发明内容
本发明实施例提供了一种源地址验证方法、装置及系统，以提高报文伪 造源地址检测的准确性。
本发明实施例提供了一种源地址验证方法，包括
接收网关设备发送的检测消息，所述检测消息包括所述网关设备接收到 的报文的第二报文特征；
将所述第二报文特征与预先存储的已发送报文的第 一报文特征进行匹
配；
在所述第二报文特征与所述第 一报文特征匹配成功时，确认所述网关设
备接收到的报文的源地址是真实地址。
本发明实施例提供了一种报文转发方法，包括
获取接收到的报文的第二报文特征及所述报文的源地址；
向所述源地址对应的网络主机发送检测消息，所述一盒测消息包括所述接
收到的报文的第二报文特征；
若接收到来自所述源地址对应的网络主机发送的确认所述网关设备接收
到的报文的源地址是真实地址的信息，则转发所述报文。 本发明实施例提供了一种源地址验证装置，包括
接收模块，用于接收网关设备发送的检测消息，所述检测消息包括所述 网关设备接收到的报文的第二报文特征；
匹配模块，用于将所述第二报文特征与预先存储的已发送报文的第一报 文特征进行匹配；
第一处理模块，用于在所述第二报文特征与所述第一报文特征匹配成功 时，确认所述网关设备接收到的报文的源地址是真实地址。本发明实施例提供了一种报文转发装置，包括
获取模块，用于获取接收到的报文的第二报文特征及所述报文的源地址；
发送模块，用于向所述获取模块获取的所述源地址对应的网络主机发送
检测消息，所述检测消息包括所述接收到的报文的第二报文特征；
第二处理模块，用于若接收到来自所述源地址对应的网络主机发送的确 认所述网关设备接收到的报文的源地址是真实地址的信息，则转发所述报文。 本发明实施例提供了一种源地址验证系统，包括网络主机和网关设备； 所述网络主机，用于接收所述网关设备发送的检测消息，所述检测消息 包括所述网关设备接收到的报文的第二报文特征；将所述第二报文特征与预 先存储的已发送报文的第一报文特征进行匹配；在所述第二报文特征与所述 第一报文特征匹配成功时，确认所述网关设备接收到的报文的源地址是真实 地址；
所述网关设备，用于获取接收到的报文的第二报文特征及所述报文的源 地址；向所述源地址对应的网络主机发送检测消息，所述检测消息包括所迷 接收到的报文的第二报文特征；若接收到来自所述源地址对应的网络主机发 送的确认所述网关设备接收到的报文的源地址是真实地址的信息，则转发所 述报文。
本发明实施例通过提供一种源地址验证方法、装置及系统，在网络主机 和网关设备的双向交互中，利用用于标识报文的l艮文特征对网关设备接收到 的报文的源地址进行验证，有效地提高了报文伪造源地址4佥测的准确性，保 证了网络安全。


为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实 施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下 面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
图1为本发明源地址验证方法第一实施例的流程图； 图2为本发明报文转发方法第一实施例的流程图； 图3为本发明源地址验证方法具体实施例的流程图； 图4为本发明源地址聪r证装置第一实施例的结构示意图； 图5为本发明源地址验证装置第二实施例的结构示意图； 图6为本发明报文转发装置第一实施例的结构示意图； 图7为本发明源地址验证系统实施例的系统框图。
具体实施例方式
为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及 实施方式，对本发明进行进一步详细说明。应当理解，此处所描述的具体实 施方式仅仅用以解释本发明，并不用于限定本发明。
图1为本发明源地址-睑证方法第一实施例的流程图。如图1所示，本发 明实施例提供了一种源地址验证方法，包括
步骤101、接收网关设备发送的检测消息，该检测消息包括网关设备接 收到的报文的第二报文特征；
步骤102、将该第二报文特征与预先存储的已发送报文的第一报文特征 进行匹配；
步骤103、在第二报文特征与第一报文特征匹配成功时，确认网关设备 接收到的报文的源地址是真实地址。
在本实施例中，上述步骤可以由网络主才几或手才几等终端执行。例如，网 络主机向网关设备发送报文时，预先存储该报文的第一报文特征。当网关设 备接收到报文时，会将包括接收到的报文的第二报文特征的检测消息发送到 该才艮文的源地址对应的网络主机，网络主机接收到网关设备发送的检测消息 时，将该第二报文特征与预先存储的已发送报文的第一报文特征进行匹配，在该第二报文特征与第 一报文特征匹配成功时，表明第二报文特征对应的报 文为网络主机已发送的报文，则确认网关设备接收到的报文的源地址是真实 地址。
本发明实施例中的网关设备具体可以为与网络主机直接连接的第 一跳路 由器或者防火墙。
另外，本发明实施例中的第 一报文特征和第二报文特征均能够唯一标识
其对应的才艮文，如，可以为报文的校^全和(Checksum)等。
本发明实施例通过提供一种源地址验证方法，在网络主机和网关设备的
双向交互中，利用用于标识报文的报文特征对网关设备接收到的报文的源地
址进行验证，有效地提高了报文伪造源地址检测的准确性，保证了网络安全。 在上述技术方案的基础上，本发明方法第一实施例还可以包括在第二
报文特征与第一报文特征匹配不成功时，确认网关设备接收到的报文的源地
址是伪造地址。
进一步地，本发明源地址验证方法第一实施例还可以包括确认网关设 备接收到的报文的源地址是真实地址之后，删除与第二报文特征匹配的第一 报文特征。或者，网络主机发送报文并预先存储该报文的第一报文特征，当 等待时间即第一l艮文特征的存储时间大于第一预，i殳时间时还未收到网关设备 发送的检测消息时，则删除存储在网络主机中的第一报文特征，以释放空间。
上述步骤同样可以由网络主机或手机等终端执行。
本发明实施例通过提供一种源地址验证方法，在网络主机和网关设备的 双向交互中，利用用于标识报文的报文特征对网关设备接收到的报文的源地 址进行验证，有效地提高了报文伪造源地址检测的准确性，保证了网络安全。
图2为本发明报文转发方法第一实施例的流程图。如图2所示，本发明 实施例提供了一种报文转发方法，包括
步骤201、获取接收到的报文的第二报文特征及该报文的源地址；
步骤202、向该源地址对应的网络主机发送检测消息，该检测消息包括接收到的报文的第二报文特征；
步骤203、若接收到来自该源地址对应的,网络主机发送的确认网关设备 接收到的报文的源地址是真实地址的信息，则转发该报文。
在本实施例中，上述步骤可以由网关设备执行。例如，当网关设备接收 到报文时，获取该报文的第二报文特征以及该报文的源地址，将包括第二报 文特征的4企测消息发送到该源地址对应的网络主机，若网关设备接收到来自 该源地址对应的网络主机发送的信息，该信息确认网关设备接收到的净艮文的 源地址是真实地址，则转发该报文。
本发明实施例通过提供一种报文转发方法，在网络主机和网关设备的双 向交互中，利用用于标识报文的报文特征对网关设备接收到的报文的源地址 进行验证，如果验证出报文的源地址是真实的，则进行转发，保证了网络安 全。
在上述技术方案的基础上，本发明报文转发方法第一实施例还可以包括 若接收到来自该源地址对应的网络主机发送的确认网关设备接收到的报文的 源地址是伪造地址的信息，则丟弃该报文。
上述步骤同样可以由网关设备执行。当网关设备将第二报文特征发送到 源地址对应的网络主机后等待的时间大于第二预设时间时，为了不阻断可能 的正常通信，通常认为该源地址是真实地址；或者用户可以提前定制当等待 时间大于第二预设时间时的后续转发或丟弃操作，网关设备根据用于定制， 确认该源地址是真实地址或伪造地址。
本发明实施例通过提供一种报文转发方法，在网络主机和网关设备的双 向交互中，利用用于标识报文的报文特征对网关设备接收到的报文的源地址 进行验证，如果验证出报文的源地址是真实的，则进行转发，否则丟弃该报 文，保证了网络安全。
图3为本发明源地址验证方法具体实施例的流程图。如图3所示，本发 明源地址验证方法提供了一种具体实施例，包括步骤301、网络主机存储报文的第一报文特征； 步骤302、网络主机通过网关设备发送该报文；
步骤303、网关设备接收到报文后，存储该报文，并获取该才艮文的第二 报文特征及其源地址；
步骤304、网关设备向获取到的源地址对应的网络主机发送包括第二报 文特征的检测消息，并等待；
步骤305、该源地址对应的网络主机接收到检测消息后，将该第二报文 特征与预先存储的已发送报文的第一报文特征进行匹配；
步骤306、根据匹配结果，在第二报文特征与第一报文特征匹配成功时， 网络主才几向网关i殳备发送确认(Acknowledge Character;以下简称ACK) 信息，确认网关设备接收到的报文的源地址是真实地址；在第二报文特征与 第一"^艮文特征匹配不成功时，向网关身背发送否认(Deny)信息，确认网关 设备接收到的报文的源地址是伪造地址。
步骤307、网关设备根据接收到的ACK信息或者Deny信息进行后续转发 或丟弃操作。
本发明实施例通过提供一种源地址验证方法，在网络主机和网关设备的 双向交互中，利用用于标识报文的报文特征对网关设备接收到的报文的源地 址进行验证，有效地提高了报文伪造源地址检测的准确性，保证了网络安全。
图4为本发明源地址-睑证装置第一实施例的结构示意图。如图4所示， 本发明实施例提供了一种源地址验证装置，包括接收模块401、匹配模块 402和第一处理模块403。其中，接收模块401用于接收网关设备发送的检测 消息，该检测消息包括网关设备接收到的报文的第二报文特征；匹配模块402 用于将第二报文特征与预先存储的已发送报文的第一报文特征进行匹配；第 一处理模块403用于在第二报文特征与第一报文特征匹配成功时，确认网关 设备接收到的报文的源地址是真实地址。
在本实施例中，当网关设备接收到报文时，会将包括接收到的报文的第二报文特征的检测消息发送到该报文的源地址对应的网络主机,接收模块401 接收到网关设备发送的该检测消息时，获取该第二才艮文特征，匹配模块402 将第二报文特征与预先存储的已发送报文的第一报文特征进行匹配，在第二 报文特征与第一报文特征匹配成功时，第一处理模块403确认网关设备接收 到的源地址是真实地址。
本发明实施例通过提供一种源地址验证装置，在网络主机和网关设备的 双向交互中，利用用于标识报文的报文特征对网关设备接收到的报文的源地 址进行验证，有效地提高了报文伪造源地址检测的准确性，保证了网络安全。
在上述技术方案的基础上，第一处理模块403还可以用于在第二报文特 征与第一报文特征匹配不成功时，确认网关设备接收到的报文的源地址是伪 造地址。
在本实施例中，接收模块401接收到网关设备发送的检测消息时，获取 该第二报文特征，匹配模块402将第二报文特征与预先存储的已发送的第一 报文特征进行匹配，在第二报文特征与第一报文特征匹配不成功时，第一处 理模块403确认网关设备接收到的源地址是伪造地址。
图5为本发明源地址验证装置第二实施例的结构示意图。如图5所示， 本发明提供的源地址验证装置还可以包括删除模块501,该删除模块501 用于在确认网关设备接收到的报文的源地址是真实地址之后，删除与第二报 文特征匹配的第一报文特征。或者，网络主机发送报文时，预先存储该报文 的第 一报文特征，当等待时间即第 一报文特征的存储时间大于第 一预设时间 时还未收到网关设备发送的检测消息，删除模块501则删除存储在网络主机 中的第一报文特征，以释放空间。
本发明实施例通过提供一种源地址验证装置，在网络主机和网关设备的
双向交互中，利用用于标识报文的报文特征对网关设备接收到的报文的源地
址进行验证，有效地提高了报文伪造源地址检测的准确性，保证了网络安全。
图6为本发明报文转发装置第一实施例的结构示意图。如图6所示，本发明实施例提供了一种报文转发装置，包括获取模块601、发送模块602 和第二处理模块603。其中，获^#块601用于获取接收到的报文的第二报 文特征及该报文的源地址；发送模块602用于向获取模块601获取的源地址 对应的网络主机发送检测消息，该检测消息包括接收到的报文的第二报文特 征；第二处理模块603用于若接收到来自源地址对应的网络主机发送的确认 网关设备接收到的报文的源地址是真实地址的信息，则转发该报文。
在本实施例中，当网关设备接收到报文时，获取模块601获取该报文的 第二报文特征以及该报文的源地址，发送模块602将包括该第二报文特征的 检测消息发送到该源地址对应的网络主机，若网关设备接收到来自该源地址 对应的网络主机的信息，该信息确认网关设备接收到的报文的源地址是真实 地址，第二处理模块603转发该'报文。
本发明实施例通过提供一种报文转发装置，在网络主机和网关设备的双 向交互中，利用用于标识报文的报文特征对网关设备接收到的报文的源地址 进行验证，如果验证出报文的源地址是真实的，则进行转发，保证了网络安 全。
在上述技术方案的基础上，第二处理模块603还可以用于若接收到来自 该源地址对应的网络主机发送的确认网关i殳备接收到的报文的源地址是伪造 地址的信息，则丟弃该"l艮文。
本发明实施例通过提供一种报文转发装置，在网络主机和网关设备的双 向交互中，利用用于标识报文的报文特征对网关设备接收到的报文的源地址 进行验证，如果验证出报文的源地址是真实的，则进行转发，否则丟弃该报 文，保证了网络安全。
图7为本发明源地址验证系统实施例的系统框图。如图7所示，本发明 实施例提供了一种源地址验证系统，包括网络主机701和网关设备702。 其中，网络主机701用于接收网关设备702发送的检测消息，该4企测消息包 括网关设备702接收到的报文的第二报文特征；将该第二报文特征与预先存储的已发送报文的第一报文特征进行匹配；在第二报文特征与第一报文特征 匹配成功时，确认网关设备702接收到的报文的源地址是真实地址；网关设 备702用于获取接收到的报文的第二报文特征及该报文的源地址；向该源地 址对应的网络主机701发送检测消息，该检测消息包括接收到的报文的第二 报文特征；若接收到来自该源地址对应的网络主机701发送的确认网关设备 702接收到的报文的源地址是真实地址的信息，则转发该报文。
本发明系统实施例中各装置的功能实现如上述装置实施例中的具体描 述，在此不再赘述。
本发明实施例通过提供一种源地址验证系统，在网络主机和网关设备的 双向交互中，利用用于标识报文的报文特征对网关设备接收到的报文的源地 址进行验证，有效地提高了报文伪造源地址检测的准确性，保证了网络安全。
在上述技术方案的基础上，网络主机701还可以用于在第二报文特征与 第一报文特征匹配不成功时，确认网关设备702接收到的报文的源地址是伪 造地址；在确认网关设备702接收到的报文的源地址是真实地址之后，删除 与第二报文特征匹配的第 一报文特征，在第 一净艮文特征的存储时间大于第一 预设时间、且未收到网关设备702发送的检测消息时，删除预先存储的第一 报文特征。
进一步地，网关设备702还可以用于若接收到来自源地址对应的网络主 机701发送的确认网关设备702接收到的报文的源地址是伪造地址的信息， 则丟弃该纟艮文。
本发明实施例通过提供一种源地址验证系统，在网络主机和网关设备的 双向交互中，利用用于标识报文的报文特征对网关设备接收到的报文的源地 址进行验证，有效地提高了报文伪造源地址检测的准确性，保证了网络安全。
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发 明可借助软件加必需的硬件平台的方式来实现，当然也可以全部通过硬件来 实施，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出
来，该计算机软件产品可以存储在存储介质中，如R0M/RAM、》兹碟、光盘等， 包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者 网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
最后应说明的是以上实施例仅用以说明本发明的技术方案而非对其进 行限制，尽管参照较佳实施例对本发明进行了详细的说明，本领域的普通技 术人员应当理解其依然可以对本发明的技术方案进行修改或者等同替换， 而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的 4奮神和范围。
权利要求
1、一种源地址验证方法，其特征在于，包括接收网关设备发送的检测消息，所述检测消息包括所述网关设备接收到的报文的第二报文特征；将所述第二报文特征与预先存储的已发送报文的第一报文特征进行匹配；在所述第二报文特征与所述第一报文特征匹配成功时，确认所述网关设备接收到的报文的源地址是真实地址。
2、 根据权利要求1所述的源地址验证方法，其特征在于，还包括在所 述第二报文特征与所述第一报文特征匹配不成功时，确认所述网关设备接收 到的报文的源地址是伪造地址。
3、 根据权利要求1所述的源地址验证方法，其特征在于，还包括 确认所述网关设备接收到的报文的源地址是真实地址之后，删除与所述第二报文特征匹配的所述第 一报文特征。
4、 一种报文转发方法，其特征在于，包括 获取接收到的报文的第二报文特征及所述报文的源地址； 向所述源地址对应的网络主机发送检测消息，所述检测消息包括所述接收到的报文的第二报文特征；到的报文的源地址是真实地址的信息，则转发所述报文。
5、 一种源地址验证装置，其特征在于，包括接收模块，用于接收网关设备发送的检测消息，所述检测消息包括所述 网关设备接收到的报文的第二才艮文特征；匹配模块，用于将所述第二报文特征与预先存储的已发送报文的第一报 文特征进行匹配；第 一处理模块，用于在所述第二报文特征与所述第 一报文特征匹配成功时，确认所述网关设备接收到的报文的源地址是真实地址。
6、 根据权利要求5所述的源地址验证装置，其特征在于，所述第一处理 模块还用于在所述第二报文特征与所述第一报文特征匹配不成功时，确认所 述网关设备接收到的报文的源地址是伪造地址。
7、 根据权利要求5所述的源地址验证装置，其特征在于，还包括 删除模块，用于在确认所述网关设备接收到的报文的源地址是真实地址之后，删除与所述第二报文特征匹配的所述第 一报文特征。
8、 一种报文转发装置，其特征在于，包括获取^莫块，用于获取接收到的报文的第二报文特征及所述才艮文的源地址； 发送模块，用于向所述获取模块获取的所述源地址对应的网络主机发送检测消息，所述检测消息包括所述接收到的报文的第二报文特征；第二处理模块，用于若接收到来自所述源地址对应的网络主机发送的确认所述网关设备接收到的报文的源地址是真实地址的信息，则转发所述报文。
9、 根据权利要求8所述的报文转发装置，其特征在于，所述第二处理模 块还用于若接收到来自所述源地址对应的网络主机发送的确认所述网关设备 接收到的报文的源地址是伪造地址的信息，则丟弃所述l艮文。
10、 一种源地址验证系统，其特征在于，包括网络主机和网关设备； 所述网络主机，用于接收所述网关设备发送的检测消息，所述检测消息包括所述网关设备接收到的报文的第二报文特征；将所述第二报文特征与预 先存储的已发送报文的第一报文特征进行匹配；在所述第二报文特征与所述 第一报文特征匹配成功时，确认所述网关设备接收到的报文的源地址是真实 地址；所述网关设备，用于获取接收到的报文的第二报文特征及所述报文的源 地址；向所述源地址对应的网络主机发送4企测消息，所述冲企测消息包括所述 接收到的报文的第二报文特征；若接收到来自所述源地址对应的网络主机发 送的确认所述网关设备接收到的报文的源地址是真实地址的信息，则转发所 述报文。
全文摘要
本发明实施例提供了一种源地址验证方法，包括接收网关设备发送的检测消息，所述检测消息包括所述网关设备接收到的报文的第二报文特征；将所述第二报文特征与预先存储的已发送报文的第一报文特征进行匹配；在所述第二报文特征与所述第一报文特征匹配成功时，确认所述网关设备接收到的报文的源地址是真实地址。本发明实施例还提供一种源地址验证装置、一种报文转发方法及装置、一种源地址验证系统。本发明实施例在网络主机和网关设备的双向交互中，利用用于标识报文的报文特征对网关设备接收到的报文的源地址进行验证，有效地提高了报文伪造源地址检测的准确性，保证了网络安全。
文档编号H04L29/12GK101567891SQ200910141319
公开日2009年10月28日 申请日期2009年5月31日 优先权日2009年5月31日
发明者硕 邱 申请人:成都市华为赛门铁克科技有限公司