本技术涉及通信,尤其涉及一种验证信息生成方法、装置、设备、存储介质及计算机程序产品。
背景技术:
1、随着互联网技术的飞速发展,互联网应用的安全性问题日益突显严重。随着互联网的应用,统计数据表明很多网络攻击是通过源地址伪造方式实现的,源地址伪造攻击种类繁多、且发生频繁,对用户经济造成很大的损失,严重影响了用户的正常应用。为缓解源地址伪造攻击的影响,很多源地址验证(source address validation,sav)技术方案被提出。sav技术的可行性源于伪造源地址的设备和拥有合法源地址的设备通常具有不同的地理或接入位置,因此去往同一目的地的伪造报文和合法报文会使用不同的转发路径,并从不同入接口通过沿途路由器,故而路由器可以通过源地址和入站接口之间的映射关系识别哪些信息是合法的,哪些是伪造的。目前自治系统内部最常用的源地址验证技术包括单播反向路径转发(unicast reverse path forwarding,urpf),主要有宽松urpf和严格urpf两种方式。
2、但是,宽松urpf和严格urpf的方案在一些场景下仍存在假阴性和假阳性问题,导致互联网安全性依然较低。
3、申请内容
4、为解决上述技术问题,本技术期望提供一种验证信息生成方法、装置、设备、存储介质及计算机程序产品,解决了目前源地址验证技术不够完善,导致互联网安全性依然较低的问题,提出了一种源地址验证技术中信息确定的方法,根据互联网实际状态动态生成第一源地址验证表savnet表项,在自治域内实现低开销、快速收敛、易部署推广的动态精准防护。
5、本技术的技术方案是这样实现的:
6、本技术提供一种验证信息生成方法,所述方法包括:
7、确定与边界网关协议bgp类型对应的第一路由信息;
8、基于所述第一路由信息和第一源地址验证表,得到第二源地址验证表。
9、上述方案中,所述基于所述第一路由信息和第一源地址验证表,得到第二源地址验证表,包括:
10、若检测到第一指示信息,确定所述第一路由信息中包括的团体属性信息;其中,所述第一指示信息用于指示根据所述团体属性信息生成所述第二源地址验证表;
11、基于所述团体属性信息,对所述第一路由信息和所述第一源地址验证表进行分析处理,得到所述第二源地址验证表。
12、上述方案中,所述基于所述团体属性信息,对所述第一路由信息和所述第一源地址验证表进行分析处理,得到所述第二源地址验证表,包括:
13、若所述团体属性信息为第一属性信息,确定所述第一路由信息中包括的下一跳信息;其中,所述下一跳信息与所述团体属性信息具有关联关系;
14、从所述第一源地址验证表中确定与所述下一跳信息匹配的源前缀对应的第一网络接口;
15、基于所述第一网络接口和所述第一路由信息中对应的目标源前缀信息,生成所述第二源地址验证表;其中,所述目标源前缀信息与所述下一跳信息具有关联关系。
16、上述方案中,所述方法还包括:
17、若检测到第二指示信息,确定所述第一路由信息中包括的下一跳信息;其中,所述第二指示信息指示生成所述第二源地址验证表时不考虑所述团体属性信息;
18、从所述第一源地址验证表中确定与所述下一跳信息匹配的源前缀对应的第一网络接口;
19、基于所述第一网络接口和所述第一路由信息中对应的目标源前缀信息,生成所述第二源地址验证表;其中,所述目标源前缀信息与所述下一跳信息具有关联关系。
20、上述方案中,所述基于所述第一路由信息和第一源地址验证表,得到第二源地址验证表之前,所述方法还包括:
21、获取与内部网关协议igp类型对应的第二路由信息;
22、基于连通性对所述第二路由信息进行分析处理,生成所述第一源地址验证表。
23、上述方案中,所述基于连通性对所述第二路由信息进行分析处理,生成所述第一源地址验证表,包括:
24、基于连通性对所述第二路由信息对应的链路状态信息进行计算分析,确定验证信息生成设备包括的每一第二网络接口对应的源前缀信息;
25、基于每一所述第二网络接口和对应的所述源前缀信息,得到所述第一源地址验证表。
26、上述方案中,所述基于连通性对所述第二路由信息对应的链路状态信息进行计算分析,确定验证信息生成设备包括的每一第二网络接口对应的源前缀信息,包括:
27、基于连通性对所述第二路由信息中的链路状态信息进行计算分析,确定每一所述第二网络接口对应的可达设备集合;
28、检测每一所述可达设备集合中是否包括同位设备,得到检测结果;其中,所述同位设备为属于同一网络层级,且存在处于导通状态的直连链路的至少两个设备;
29、基于所述检测结果,确定对应的所述第二网络接口对应的所述源前缀信息。
30、上述方案中,所述基于所述检测结果,确定对应的所述第二网络接口对应的所述源前缀信息,包括:
31、若所述检测结果中包括至少一组同位设备组,基于对应的可达设备集合中除至少一组所述同位设备组外的设备和每一组所述同位设备组中首个检测到的设备进行连通性分析,确定得到对应的所述第二网络接口对应的所述源前缀信息;
32、若所述检测结果指示不存在所述同位设备,对对应的所述可达设备集合进行连通性分析,确定对应的所述第二网络接口对应的所述源前缀信息。
33、本技术提供一种验证信息生成装置,所述装置包括:确定单元和第一处理单元;其中:
34、所述确定单元,用于确定与边界网关协议bgp类型对应的第一路由信息;
35、所述第一处理单元,用于基于所述第一路由信息和第一源地址验证表,得到第二源地址验证表。
36、本技术提供一种验证信息生成设备,所述设备至少包括:通信接口、存储器、处理器和通信总线;其中:
37、所述存储器,用于存储可执行指令;
38、所述通信总线,用于实现所述通信接口、所述处理器和所述存储器之间的通信连接;
39、所述处理器,用于执行所述存储器中存储的验证信息生成程序,实现如上述任一项所述的验证信息生成方法的步骤。
40、本技术提供一种存储介质,所述存储介质上存储有验证信息生成程序,所述验证信息生成程序被执行时用于实现如上述任一项所述的验证信息生成方法的步骤。
41、本技术提供一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现如上述任一项所述的验证信息生成方法的步骤。
42、本技术实施例提供了一种验证信息生成方法、装置、设备、存储介质及计算机程序产品,通过验证信息生成设备确定与bgp类型对应的第一路由信息后,基于第一路由信息和第一源地址验证表,得到第二源地址验证表。这样,通过验证信息生成设备根据bgp类型的第一路由信息来对已有的第一源地址验证表进行补充,得到第二源地址验证表,解决了目前源地址验证技术不够完善,导致互联网安全性依然较低的问题,提出了一种源地址验证技术中信息确定的方法,根据互联网实际状态动态生成第一源地址验证表savnet表项,以便后续根据此表对接收到的数据包的地址信息进行验证处理,实现在自治域内实现低开销、快速收敛、易部署推广的动态精准防护。
技术实现思路
1.一种验证信息生成方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述第一路由信息和第一源地址验证表,得到第二源地址验证表,包括:
3.根据权利要求2所述的方法,其特征在于,所述基于所述团体属性信息,对所述第一路由信息和所述第一源地址验证表进行分析处理,得到所述第二源地址验证表,包括:
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
5.根据权利要求1至4任一项所述的方法,其特征在于,所述基于所述第一路由信息和第一源地址验证表,得到第二源地址验证表之前,所述方法还包括:
6.根据权利要求5所述的方法,其特征在于,所述基于连通性对所述第二路由信息进行分析处理,生成所述第一源地址验证表,包括:
7.根据权利要求6所述的方法,其特征在于,所述基于连通性对所述第二路由信息对应的链路状态信息进行计算分析,确定验证信息生成设备包括的每一第二网络接口对应的源前缀信息,包括:
8.根据权利要求7所述的方法,其特征在于,所述基于所述检测结果,确定对应的所述第二网络接口对应的所述源前缀信息,包括:
9.一种验证信息生成装置,其特征在于,所述装置包括:确定单元和第一处理单元;其中:
10.一种验证信息生成设备,其特征在于,所述设备至少包括:通信接口、存储器、处理器和通信总线;其中:
11.一种存储介质,其特征在于,所述存储介质上存储有验证信息生成程序,所述验证信息生成程序被执行时用于实现如权利要求1至8中任一项所述的验证信息生成方法的步骤。
12.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序在被处理器执行时实现如权利要求1至8中任一项所述的验证信息生成方法的步骤。
