【摘要】本發明屬于網絡業務流管理領域,其特征在于,含有物理存儲器件RAM,用來進行維護活躍流到物理隊列的映射關系的CAM,以及實現動態共享邏輯的FPGAASIC部分。其中,RAM用于緩存數據分組;內容尋址存儲器CAM,用來保存和查找活躍業務
【摘要】 本發明屬于真實IPv6源地址過濾認證技術領域, 其特征在于,在自治域邊界路由器出口處的一個過濾設備上配 置了一個與該路由器協同工作的過濾規則生成引擎和過濾引 擎,前者根據自治域控制服務器的通訊報文生成某種真實源地 址過濾策略的過濾規則表,并切換過濾策略,這些策略包括 SPM、SAVE、入口過濾等等,也可以是嵌入的其他策略;后 者具有互聯網控制信息協議報文處理模塊、簽名處理模塊和邊 界標記模塊,可根據過濾策略對內部網絡接口或邊界 路由器轉發引擎的報文進行驗證和過濾。本發明可靈活嵌入過 濾策略,過濾規則表為各種過濾策略的嵌入提供了統一而且高 效的數據層面支持。 【專利類型】發明申請 【申請人】清華大學 【申請人類型】學校 【申請人地址】100084北京市100084-82信箱 【申請人地區】中國 【申請人城市】北京市 【申請人區縣】海淀區 【申請號】CN200610113188.6 【申請日】2006-09-19 【申請年份】2006 【公開公告號】CN1953373A 【公開公告日】2007-04-25 【公開公告年份】2007 【授權公告號】CN100508453C 【授權公告日】2009-07-01 【授權公告年份】2009.0 【發明人】畢軍; 吳建平; 葉明江; 任罡; 姚廣 【主權項內容】1一種開放式真實IPv6源地址過濾與驗證方法,其特征在于,依次含有以下步驟: 步驟(1),在位于自治域邊界路由器向外的接口處,且與該路由器協同工作的一個過濾設 備上配置以下模塊: 過濾規則生成引擎,根據自治域控制服務器基于TCP協議發送的通訊報文動態生成 過濾規則表并且切換過濾規則; 所述過濾規則表由前綴映射表、自治域發送端簽名表和自治域接收端簽名表共三 個部分組成,其中: 前綴映射表是把地址前綴映射到對應策略所需的數據的映射表,采用基于最長前 綴匹配來進行的一種Trie樹,每個節點保存對應策略所需要的數據; 自治域發送端簽名表保存有自治域發送報文到其他自治域所應該給報文添加的 簽名;自治域接收端簽名表保存有自治域接收到其他自治域的報文時,這些報文所 應該具有的正確簽名,簽名表由一個數組實現,數組的索引是自治域的編號,數組的內 容是相應的簽名; 所述通訊報文含有:IPv6報頭、TCP報頭、策略類型號、報文類型號以及信息 更新字段,其中策略是指過濾策略,多種過濾策略可以被選擇,以下5種是已經被實現 并驗證的:SPM、源地址強制認證協議SAVE、入口過濾、基于端到端簽名的策略、以及 基于路徑標記的策略,其中SPM是Spoofing?Prevention?Method的縮寫;策略類型號是各 個策略的編號;報文類型指定了當前報文是策略切換報文還是還是規則信息更新報文; 信息更新報文是一個可變長字段,更新的是前綴映射字段或者發送端簽名表、接收端簽 名表; 過濾引擎,根據所選過濾規則表的表項來判斷是否對IPv6報文進行過濾,并且有選 擇地基于簽名的過濾規則表的內容決定是否對報文進行添加、刪除和檢查簽名,或者對 報文進行邊界標記操作,或者進行互聯網控制信息協議報文的處理,因此,過濾引擎還 含有簽名模塊、邊界標記模塊和互聯網控制信息協議報文處理模塊; 步驟(2),所述過濾與驗證方法依次按以下步驟實現: 步驟(2.1),過濾規則生成引擎從控制鏈路接收到所述控制服務器送達的過濾策略更 改報文,解析報文后,更新過濾策略,并把過濾規則表切換到與當前策略相應的過濾規 則表; 步驟(2.2),過濾規則生成引擎從另一控制鏈路接收所述控制服務器送達的過濾規則 表信息更新報文,解析該報文后,更新相應過濾規則表的相應表項中的信息; 步驟(2.3),過濾引擎從朝向自治域內部的網絡接口中接收到出自治域方向的普通數 據報文,判斷當前策略是否需要對接收的報文進行簽名處理,如果需要,則根據報文的 源、目的地址信息在發送端簽名表中查找相應的簽名信息,并在報文的逐跳可選項中添 加簽名,若不存在逐跳可選項,則增加逐跳可選項之后再添加簽名;若不需要簽名處理, 則把該報文交給所述邊界路由器的轉發引擎處理; 步驟(2.4),過濾引擎從所述轉發引擎接收到進自治域方向的普通數據報文后,若判 斷獲取的是互聯網控制信息協議報文,且當前策略對報文又添加簽名處理,則按以下步 驟處理: 步驟(2.4.1),若互聯網控制信息協議報文的類型是報文過長Packer-Too-Big,則 判斷報文的目的地址是否屬于本地自治域,如果是,執行下一步驟: 步驟(2.4.2),判斷報文內部攜帶的原報文摘要信息中目的地址是否在整個端到端 真實源地址聯盟中,如果是,把該報文建議的最大傳輸分組長度信息減少一個簽名長 度,并重新計算互聯網控制信息協議的報文校驗和; 步驟(2.5),過濾引擎從轉發引擎接收到的進自治域方向的普通數據報文為非互聯網控 制信息協議報文,則按以下步驟處理: 步驟(2.5.1),過濾引擎從所獲取的自治域外的報文中,解析出源、目的地址 信息; 步驟(2.5.2),根據步驟(2.5.1)得到的源、目的地址查當前過濾規則表中的前綴映射 表,根據查表結果是否滿足當前策略的要求判斷是否對報文進行過濾,若需要過濾, 則直接過濾報文;否則執行下一步驟; 步驟(2.5.3),若當前的策略要求對報文中的簽名進行檢查,則簽名處理模塊便獲 取報文源地址前綴對應的自治域編號,再根據接收端簽名表的該自治域的相應表項檢 查報文中逐跳可選項位置的簽名是否與接收端簽名表中的一致,若不一致,或報文中 不含有簽名,則過濾報文;否則去掉簽名,執行下一步驟; 步驟(2.5.4),判斷當前的策略是否要求對步驟(2.5.3)得到的報文進行邊界標記, 如果不需要,則把該報文交給朝向自治域內部的網絡接口轉發;如果需要,則在報文 中標記指定內容,再轉發報文。 【當前權利人】清華大學 【當前專利權人地址】北京市100084-82信箱 【專利權人類型】公立 【統一社會信用代碼】12100000400000624D 【被引證次數】17 【被自引次數】4.0 【家族被引證次數】17
未經允許不得轉載:http://www.mhvdw.cn/1776172828.html
喜歡就贊一下
