域间ip欺骗防御服务增强机制

ip地址真实性验证成为构建可信网络的基础,基于源-目的标识(密钥)的自治域级ip欺骗过滤和基于源标识(公钥)的端系统级ip认证均采用了端-端方式试图解决ip欺骗.端-端认证方式实现简单,但却忽略了ip欺骗报文对中间网络的泛洪攻击,防御效果差.提出面向ip欺骗防御联盟成员的域间ip欺骗防御服务增强机制——esp(enhancedspoofingprevention).esp引入开放的路由器协同机制,提供了源-目的路径中esp节点信息通告和协同标记的框架.基于源标识ip欺骗防御,esp融入了路径标识,不仅减小了源标识冲突概率,而且混合型标识支持了esp节点根据报文标识提前过滤ip欺骗报文.基于bgp(bordergatewayprotocol),提出前缀p-安全节点的概念和检测理论,有效控制了源标识传播范围,减小了esp节点的标记和过滤开销.esp继承了基于标识的防御机制的可部分部署性,能够很好地支持动态路由和非对称路由.应用routeview提供的rib(routinginformationbase)进行评估,esp增强了ip欺骗防御服务的能力,而且能够提前过滤ip欺骗报文.