道南海大道3688號(hào)(72)發(fā)明人楊術(shù)張澤群崔來中楊子墨公司44599H04LHO4L儲(chǔ)介質(zhì)本發(fā)明實(shí)施例公開了一種源地址驗(yàn)證方法、領(lǐng)域，其中，所述方法包括：通過雙向認(rèn)證機(jī)制對(duì)接入網(wǎng)絡(luò)和源PoP節(jié)點(diǎn)進(jìn)行身份認(rèn)證，獲取接入PoP節(jié)點(diǎn)和鏈路的狀態(tài)信息計(jì)算多條獨(dú)立路徑，根據(jù)路徑分散性評(píng)分確定最優(yōu)路徑集合并優(yōu)化流量分配，通過源PoP節(jié)點(diǎn)接收數(shù)據(jù)包進(jìn)行分片PoP節(jié)點(diǎn)進(jìn)行完整性和真實(shí)性驗(yàn)證，對(duì)驗(yàn)證通過2通過雙向認(rèn)證機(jī)制對(duì)接入網(wǎng)絡(luò)和源PoP節(jié)點(diǎn)進(jìn)行身份認(rèn)證，獲取所述接入網(wǎng)絡(luò)的源前綴信息并綁定入口接口；獲取所有的PoP節(jié)點(diǎn)和鏈路的狀態(tài)信息，根據(jù)所述狀態(tài)信息計(jì)算多條獨(dú)立路徑，根據(jù)路徑分散性評(píng)分確定最優(yōu)路徑集合并優(yōu)化流量分配；通過所述源PoP節(jié)點(diǎn)接收數(shù)據(jù)包，根據(jù)預(yù)設(shè)的分片策略將所述數(shù)據(jù)包進(jìn)行分片得到多個(gè)分片并標(biāo)記，基于所述最優(yōu)路徑集合將各所述分片傳輸?shù)侥繕?biāo)PoP節(jié)點(diǎn)；通過所述目標(biāo)PoP節(jié)點(diǎn)對(duì)各所述分片進(jìn)行完整性和真實(shí)性驗(yàn)證，對(duì)驗(yàn)證通過的所述分片進(jìn)行重組得到原始數(shù)據(jù)包，對(duì)所述原始數(shù)據(jù)包執(zhí)行源地址驗(yàn)證和合法性驗(yàn)證并通過后轉(zhuǎn)發(fā)給所述接入網(wǎng)絡(luò)。2.如權(quán)利要求1所述的源地址驗(yàn)證方法，其特征在于，所述獲取所有的PoP節(jié)點(diǎn)和鏈路的狀態(tài)信息，根據(jù)所述狀態(tài)信息計(jì)算多條獨(dú)立路徑，根據(jù)路徑分散性評(píng)分確定最優(yōu)路徑集通過SDN南向接口按設(shè)定頻率獲取所有PoP節(jié)點(diǎn)和鏈路的狀態(tài)信息；所述狀態(tài)信息包括為每條所述鏈路分配初始安全權(quán)重，使用Dijkstra算法計(jì)算帶所述安全權(quán)重的最短路徑，通過迭代計(jì)算剩余路徑得到路徑集合；定義所述路徑集合的總體分散性得分，選擇分散性得分滿足設(shè)定條件且滿足帶寬需求的路徑集合作為最優(yōu)路徑集合，通過線性規(guī)劃模型求解最優(yōu)流量分配問題優(yōu)化流量分配。3.如權(quán)利要求1所述的源地址驗(yàn)證方法，其特征在于，所述確定最優(yōu)路徑集合之后，還為需要周期性更新的所述路徑設(shè)定基礎(chǔ)更新間隔并初始化計(jì)時(shí)器，當(dāng)所述計(jì)時(shí)器遞減至零時(shí)收集當(dāng)前網(wǎng)絡(luò)拓?fù)湫畔ⅲ桓鶕?jù)所述當(dāng)前網(wǎng)絡(luò)拓?fù)湫畔?、路徑分散性得分和帶寬需求重新?jì)算最優(yōu)路徑集合以及根據(jù)安全威脅水平動(dòng)態(tài)調(diào)整所述更新間隔，特殊情況時(shí)立即進(jìn)行路徑更新；所述特殊情況包括網(wǎng)絡(luò)拓?fù)渥兓?、檢測(cè)到可疑攻擊嘗試或手動(dòng)觸發(fā)更新命令。4.如權(quán)利要求1所述的源地址驗(yàn)證方法，其特征在于，所述根據(jù)預(yù)設(shè)的分片策略將所述數(shù)據(jù)包進(jìn)行分片得到多個(gè)分片并標(biāo)記，基于所述最優(yōu)路徑集合將各所述分片傳輸?shù)侥繕?biāo)根據(jù)所述數(shù)據(jù)包的頭部信息、網(wǎng)絡(luò)帶寬狀況和安全威脅級(jí)別確定分片數(shù)量，按照所述分片數(shù)量對(duì)所述數(shù)據(jù)包進(jìn)行分片得到多個(gè)分片并生成路由信息；通過HMAC-SHA256算法和會(huì)話密鑰生成為各所述分片生成驗(yàn)證標(biāo)識(shí)符，為各所述分片創(chuàng)建IP頭部和分片頭部；所述分片頭部包含分片標(biāo)記信息；將各所述分片分配到所述最優(yōu)路徑集合中的各條獨(dú)立路徑上同時(shí)傳輸?shù)侥繕?biāo)PoP節(jié)5.如權(quán)利要求4所述的源地址驗(yàn)證方法，其特征在于，所述通過所述目標(biāo)PoP節(jié)點(diǎn)對(duì)各所述分片進(jìn)行完整性和真實(shí)性驗(yàn)證，對(duì)驗(yàn)證通過的所述分片進(jìn)行重組得到原始數(shù)據(jù)包，包3通過所述目標(biāo)PoP節(jié)點(diǎn)根據(jù)各所述分片的分片頭部信息和本地驗(yàn)證表驗(yàn)證各所述分片的合法性，檢查各所述分片的源地址與所述入口接口是否匹配；將驗(yàn)證通過的所述分片存入重組緩沖區(qū)，根據(jù)所述分片數(shù)量設(shè)置重組超時(shí)定時(shí)器，如果在預(yù)定時(shí)間內(nèi)未收到所有的所述分片，則丟棄已接收的所有所述分片；按照所述分片頭部信息中的分片序號(hào)順序提取所有的所述分片的有效載荷部分進(jìn)行6.如權(quán)利要求1所述的源地址驗(yàn)證方法，其特征在于，所述通過所述目標(biāo)PoP節(jié)點(diǎn)對(duì)各所述分片進(jìn)行完整性和真實(shí)性驗(yàn)證之前，還包括：中間PoP節(jié)點(diǎn)接收到所述分片后，查詢所述分片的本地SAV表，驗(yàn)證所述分片的源地址與所述入口接口是否匹配；驗(yàn)證所述分片的分片頭部中的驗(yàn)證標(biāo)識(shí)符是否被篡改，如果驗(yàn)證失敗，中間PoP節(jié)點(diǎn)將丟棄所述分片并報(bào)告異常情況。7.如權(quán)利要求1所述的源地址驗(yàn)證方法，其特征在于，所述通過所述目標(biāo)PoP節(jié)點(diǎn)對(duì)各所述分片進(jìn)行完整性和真實(shí)性驗(yàn)證之后，還包括：驗(yàn)證所有所述分片的數(shù)量、源目標(biāo)和目標(biāo)地址的一致性、序列號(hào)連續(xù)性及時(shí)間戳有效性，若所述目標(biāo)PoP節(jié)點(diǎn)檢測(cè)到分片缺失、超時(shí)或驗(yàn)證失敗的情況，立即丟棄所有相關(guān)分片并釋放資源，同時(shí)向報(bào)告異常類型和相關(guān)路徑；向所述源PoP節(jié)點(diǎn)發(fā)送ICMP錯(cuò)誤消息并控制頻率避免DoS攻擊，并根據(jù)異常嚴(yán)重程度將對(duì)于輕微異常則記錄日志并降級(jí)對(duì)應(yīng)路徑的質(zhì)量，對(duì)于一般異常則丟棄對(duì)應(yīng)分片并上報(bào)，對(duì)于嚴(yán)重異常則丟棄所有分片、發(fā)送高優(yōu)先級(jí)警報(bào)、觸發(fā)緊急路徑更新，并阻斷可疑源流量。連接與認(rèn)證模塊，用于通過雙向認(rèn)證機(jī)制對(duì)接入網(wǎng)絡(luò)和源PoP節(jié)點(diǎn)進(jìn)行身份認(rèn)證，獲取所述接入網(wǎng)絡(luò)的源前綴信息并綁定入口接口；路徑規(guī)劃模塊，用于獲取所有的PoP節(jié)點(diǎn)和鏈路的狀態(tài)信息，根據(jù)所述狀態(tài)信息計(jì)算多條獨(dú)立路徑，根據(jù)路徑分散性評(píng)分確定最優(yōu)路徑集合并優(yōu)化流量分配；數(shù)據(jù)傳輸模塊，用于通過所述源PoP節(jié)點(diǎn)接收數(shù)據(jù)包，根據(jù)預(yù)設(shè)的分片策略將所述數(shù)據(jù)包進(jìn)行分片得到多個(gè)分片并標(biāo)記，基于所述最優(yōu)路徑集合將各所述分片傳輸?shù)侥繕?biāo)PoP節(jié)驗(yàn)證與重組模塊，用于通過所述目標(biāo)PoP節(jié)點(diǎn)對(duì)各所述分片進(jìn)行完整性和真實(shí)性驗(yàn)證，對(duì)驗(yàn)證通過的所述分片進(jìn)行重組得到原始數(shù)據(jù)包，對(duì)所述原始數(shù)據(jù)包執(zhí)行源地址驗(yàn)證和合法性驗(yàn)證并通過后轉(zhuǎn)發(fā)給所述接入網(wǎng)絡(luò)。所述存儲(chǔ)器上存儲(chǔ)有計(jì)算機(jī)可讀指令；所述計(jì)算機(jī)可讀指令被一個(gè)或多個(gè)所述處理器執(zhí)行，使得電子設(shè)備實(shí)現(xiàn)如權(quán)利要求1至7中任一項(xiàng)所述的源地址驗(yàn)證方法。10.一種存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)可讀指令，其特征在于，所述計(jì)算機(jī)可讀指令被一個(gè)或多個(gè)處理器執(zhí)行，以實(shí)現(xiàn)如權(quán)利要求1至7中任一項(xiàng)所述的源地址驗(yàn)證方法。4一種源地址驗(yàn)證方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)技術(shù)領(lǐng)域[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種源地址驗(yàn)證方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)。背景技術(shù)[0002]隨著互聯(lián)網(wǎng)的蓬勃發(fā)展，網(wǎng)絡(luò)攻擊手段日益復(fù)雜多變，其中源地址偽造攻擊尤為突出，如分布式拒絕服務(wù)攻擊(DDoS)等，對(duì)網(wǎng)絡(luò)安全構(gòu)成了嚴(yán)峻挑戰(zhàn)。然而，傳統(tǒng)的源地址驗(yàn)證技術(shù)，如反向路徑轉(zhuǎn)發(fā)(uRPF)和源地址驗(yàn)證協(xié)議(SAV),在應(yīng)對(duì)現(xiàn)代網(wǎng)絡(luò)環(huán)境的復(fù)雜性時(shí)面臨諸多挑戰(zhàn)。[0003]傳統(tǒng)的源地址驗(yàn)證技術(shù)依賴單一路徑的驗(yàn)證方式，在面對(duì)高流量攻擊時(shí)，容易導(dǎo)致網(wǎng)絡(luò)設(shè)備負(fù)載過重，進(jìn)而影響設(shè)備性能，無法有效抵御大規(guī)模的網(wǎng)絡(luò)攻擊；且在非對(duì)稱路由或多路徑傳輸?shù)膱?chǎng)景下，傳統(tǒng)驗(yàn)證方法容易產(chǎn)生誤過濾，無法準(zhǔn)確識(shí)別惡意流量，從而給攻擊者可乘之機(jī)。[0004]此外，傳統(tǒng)方法無法根據(jù)網(wǎng)絡(luò)拓?fù)浜土髁刻攸c(diǎn)進(jìn)行靈活的動(dòng)態(tài)調(diào)整，導(dǎo)致防御效果差，無法快速響應(yīng)快速變化的網(wǎng)絡(luò)攻擊，而且將驗(yàn)證任務(wù)集中在單一設(shè)備上，不僅容易導(dǎo)致設(shè)備資源過載，影響整體網(wǎng)絡(luò)性能，還容易成為網(wǎng)絡(luò)攻擊的靶心。[0005]因此，迫切需要一種能夠有效提高網(wǎng)絡(luò)對(duì)源地址偽造攻擊的防御能力，確保網(wǎng)絡(luò)通信的安全性和可靠性，且高效、靈活且可擴(kuò)展的源地址驗(yàn)證方法。發(fā)明內(nèi)容[0006]本發(fā)明各實(shí)施例提供一種源地址驗(yàn)證方法，以解決現(xiàn)有技術(shù)依賴單一路徑、無法準(zhǔn)確識(shí)別惡意流量、防御效果差，無法快速響應(yīng)攻擊且部署困難的問題。所述技術(shù)方案如根據(jù)本發(fā)明的一個(gè)方面，一種源地址驗(yàn)證方法，所述方法包括：通過雙向認(rèn)證機(jī)制對(duì)接入網(wǎng)絡(luò)和源PoP節(jié)點(diǎn)進(jìn)行身份認(rèn)證，獲取所述接入網(wǎng)絡(luò)的源前綴信息并綁定入口接口；獲取所有的PoP節(jié)點(diǎn)和鏈路的狀態(tài)信息，根據(jù)所述狀態(tài)信息計(jì)算多條獨(dú)立路徑，根據(jù)路徑分散性評(píng)分確定最優(yōu)路徑集合并優(yōu)化流量分配；通過所述源PoP節(jié)點(diǎn)接收數(shù)據(jù)包，根據(jù)預(yù)設(shè)的分片策略將所述數(shù)據(jù)包進(jìn)行分片得到多個(gè)分片并標(biāo)記，基于所述最優(yōu)路徑集合將各所述分片傳輸?shù)侥繕?biāo)PoP節(jié)點(diǎn)；通過所述目標(biāo)PoP節(jié)點(diǎn)對(duì)各所述分片進(jìn)行完整性和真實(shí)性驗(yàn)證，對(duì)驗(yàn)證通過的所述分片進(jìn)行重組得到原始數(shù)據(jù)包，對(duì)所述原始數(shù)據(jù)包執(zhí)行源地址驗(yàn)證和合法性驗(yàn)證并通過后轉(zhuǎn)發(fā)給所述接入網(wǎng)絡(luò)。[0007]在其中一個(gè)實(shí)施例中，獲取所有的PoP節(jié)點(diǎn)和鏈路的狀態(tài)信息，根據(jù)所述狀態(tài)信息計(jì)算多條獨(dú)立路徑，根據(jù)路徑分散性評(píng)分確定最優(yōu)路徑集合并優(yōu)化流量分配通過以下步驟實(shí)現(xiàn)：通過SDN南向接口按設(shè)定頻率獲取所有PoP節(jié)點(diǎn)和鏈路的狀態(tài)信息；所述狀態(tài)信息包用Dijkstra算法計(jì)算帶所述安全權(quán)重的最短路徑，通過迭代計(jì)算剩余路徑得到路徑集合；5定義所述路徑集合的總體分散性得分，選擇分散性得分滿足設(shè)定條件且滿足帶寬需求的路徑集合作為最優(yōu)路徑集合，通過線性規(guī)劃模型求解最優(yōu)流量分配問題優(yōu)化流量分配。[0008]在其中一個(gè)實(shí)施例中，所述確定最優(yōu)路徑集合之后還包括以下步驟：為需要周期性更新的所述路徑設(shè)定基礎(chǔ)更新間隔并初始化計(jì)時(shí)器，當(dāng)所述計(jì)時(shí)器遞減至零時(shí)收集當(dāng)前網(wǎng)絡(luò)拓?fù)湫畔?；根?jù)所述當(dāng)前網(wǎng)絡(luò)拓?fù)湫畔?、路徑分散性得分和帶寬需求重新?jì)算最優(yōu)路徑集合以及流量分配，并重置計(jì)時(shí)器；根據(jù)安全威脅水平動(dòng)態(tài)調(diào)整所述更新間隔，特殊情況時(shí)立即進(jìn)行路徑更新；所述特殊情況包括網(wǎng)絡(luò)拓?fù)渥兓?、檢測(cè)到可疑攻擊嘗試或手動(dòng)觸發(fā)更新命令。[0009]在其中一個(gè)實(shí)施例中，根據(jù)預(yù)設(shè)的分片策略將所述數(shù)據(jù)包進(jìn)行分片得到多個(gè)分片并標(biāo)記，基于所述最優(yōu)路徑集合將各所述分片傳輸?shù)侥繕?biāo)PoP節(jié)點(diǎn)通過以下步驟實(shí)現(xiàn)：根據(jù)所述數(shù)據(jù)包的頭部信息、網(wǎng)絡(luò)帶寬狀況和安全威脅級(jí)別確定分片數(shù)量，按照所述分片數(shù)量對(duì)所述數(shù)據(jù)包進(jìn)行分片得到多個(gè)分片并生成路由信息；通過HMAC-SHA256算法和會(huì)話密鑰生成為各所述分片生成驗(yàn)證標(biāo)識(shí)符，為各所述分片創(chuàng)建IP頭部和分片頭部；所述分片頭部包含分片標(biāo)記信息；將各所述分片分配到所述最優(yōu)路徑集合中的各條獨(dú)立路徑上同時(shí)傳輸?shù)侥繕?biāo)PoP節(jié)點(diǎn)，根據(jù)路徑特性優(yōu)化分片分配。[0010]在其中一個(gè)實(shí)施例中，通過所述目標(biāo)PoP節(jié)點(diǎn)對(duì)各所述分片進(jìn)行完整性和真實(shí)性驗(yàn)證，對(duì)驗(yàn)證通過的所述分片進(jìn)行重組得到原始數(shù)據(jù)包通過以下步驟實(shí)現(xiàn)：通過所述目標(biāo)PoP節(jié)點(diǎn)根據(jù)各所述分片的分片頭部信息和本地驗(yàn)證表驗(yàn)證各所述分片的合法性，檢查各所述分片的源地址與所述入口接口是否匹配；將驗(yàn)證通過的所述分片存入重組緩沖區(qū)，根據(jù)所述分片數(shù)量設(shè)置重組超時(shí)定時(shí)器，如果在預(yù)定時(shí)間內(nèi)未收到所有的所述分片，則丟棄已接收的所有所述分片；按照所述分片頭部信息中的分片序號(hào)順序提取所有的所述分片的有效載荷部分進(jìn)行重建，得到原始數(shù)據(jù)包。[0011]在其中一個(gè)實(shí)施例中，通過所述目標(biāo)PoP節(jié)點(diǎn)對(duì)各所述分片進(jìn)行完整性和真實(shí)性證所述分片的源地址與所述入口接口是否匹配；驗(yàn)證所述分片的分片頭部中的驗(yàn)證標(biāo)識(shí)符是否被篡改，如果驗(yàn)證失敗，中間PoP節(jié)點(diǎn)將丟棄所述分片并報(bào)告異常情況。[0012]在其中一個(gè)實(shí)施例中，所述通過所述目標(biāo)PoP節(jié)點(diǎn)對(duì)各所述分片進(jìn)行完整性和真實(shí)性驗(yàn)證之后還包括以下步驟：驗(yàn)證所有所述分片的數(shù)量、源目標(biāo)和目標(biāo)地址的一致性、序列號(hào)連續(xù)性及時(shí)間戳有效性，若所述目標(biāo)PoP節(jié)點(diǎn)檢測(cè)到分片缺失、超時(shí)或驗(yàn)證失敗的情況，立即丟棄所有相關(guān)分片并釋放資源，同時(shí)向報(bào)告異常類型和相關(guān)路徑；向所述源PoP節(jié)點(diǎn)發(fā)送ICMP錯(cuò)誤消息并控制頻率避免DoS攻擊，并根據(jù)異常嚴(yán)重程度將異常情況分為輕微、一般和嚴(yán)重；對(duì)于輕微異常則記錄日志并降級(jí)對(duì)應(yīng)路徑的質(zhì)量，對(duì)于一般異常則丟棄對(duì)應(yīng)分片并上報(bào)，對(duì)于嚴(yán)重異常則丟棄所有分片、發(fā)送高優(yōu)先級(jí)警報(bào)、觸發(fā)緊急路徑更新，并阻斷可疑源流量。[0013]根據(jù)本發(fā)明的一個(gè)方面，一種源地址驗(yàn)證裝置，所述裝置包括：連接與認(rèn)證模塊，用于通過雙向認(rèn)證機(jī)制對(duì)接入網(wǎng)絡(luò)和源PoP節(jié)點(diǎn)進(jìn)行身份認(rèn)證，獲取所述接入網(wǎng)絡(luò)的源前綴信息并綁定入口接口；路徑規(guī)劃模塊，用于獲取所有的PoP節(jié)點(diǎn)和鏈路的狀態(tài)信息，根據(jù)所述狀態(tài)信息計(jì)算多條獨(dú)立路徑，根據(jù)路徑分散性評(píng)分確定最優(yōu)路徑集合并優(yōu)化流量分配；數(shù)據(jù)傳輸模塊，用于通過所述源PoP節(jié)點(diǎn)接收數(shù)據(jù)包，根據(jù)預(yù)設(shè)的分片策略將所述數(shù)據(jù)6包進(jìn)行分片得到多個(gè)分片并標(biāo)記，基于所述最優(yōu)路徑集合將各所述分片傳輸?shù)侥繕?biāo)PoP節(jié)點(diǎn)；驗(yàn)證與重組模塊，用于通過所述目標(biāo)PoP節(jié)點(diǎn)對(duì)各所述分片進(jìn)行完整性和真實(shí)性驗(yàn)證，對(duì)驗(yàn)證通過的所述分片進(jìn)行重組得到原始數(shù)據(jù)包，對(duì)所述原始數(shù)據(jù)包執(zhí)行源地址驗(yàn)證和合法性驗(yàn)證并通過后轉(zhuǎn)發(fā)給所述接入網(wǎng)絡(luò)。[0014]根據(jù)本發(fā)明的一個(gè)方面，一種電子設(shè)備，包括至少一個(gè)處理器以及至少一個(gè)存儲(chǔ)器，其中，所述存儲(chǔ)器上存儲(chǔ)有計(jì)算機(jī)可讀指令；所述計(jì)算機(jī)可讀指令被一個(gè)或多個(gè)所述處理器執(zhí)行，使得電子設(shè)備實(shí)現(xiàn)如上所述的源地址驗(yàn)證方法。[0015]根據(jù)本發(fā)明的一個(gè)方面，一種存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)可讀指令，所述計(jì)算機(jī)可讀指令被一個(gè)或多個(gè)處理器執(zhí)行，以實(shí)現(xiàn)如上所述的源地址驗(yàn)證方法。[0016]本發(fā)明提供的技術(shù)方案帶來的有益效果是：在上述技術(shù)方案，本發(fā)明首先通過雙向認(rèn)證機(jī)制對(duì)接入網(wǎng)絡(luò)和源PoP節(jié)點(diǎn)進(jìn)行身份認(rèn)證，獲取源前綴信息并綁定入口接口，為后續(xù)驗(yàn)證奠定基礎(chǔ)，接著利用SDN南向接口定期獲取PoP節(jié)點(diǎn)和鏈路狀態(tài)信息，計(jì)算多條獨(dú)立路徑，根據(jù)路徑分散性評(píng)分及帶寬需求確定最優(yōu)路徑集合，并優(yōu)化流量分配，同時(shí)設(shè)定周期性更新機(jī)制，動(dòng)態(tài)調(diào)整路徑以適應(yīng)網(wǎng)絡(luò)變化，在數(shù)據(jù)傳輸階段，根據(jù)預(yù)設(shè)分片策略對(duì)數(shù)據(jù)包進(jìn)行分片并標(biāo)記，通過HMAC-SHA256算法生成驗(yàn)證標(biāo)識(shí)符，確保分片的完整性和真實(shí)性，隨后基于最優(yōu)路徑集合將分片傳輸至目標(biāo)PoP節(jié)點(diǎn)，目標(biāo)PoP節(jié)點(diǎn)對(duì)分片進(jìn)行完整性和真實(shí)性驗(yàn)證，重組得到原始數(shù)據(jù)包，并執(zhí)行源地通信的穩(wěn)定性和安全性，通過多層次的驗(yàn)證機(jī)制和動(dòng)態(tài)路徑調(diào)整策略，有效提升了網(wǎng)絡(luò)通信的安全性和可靠性，從而能夠有效地解決現(xiàn)有技術(shù)依賴單一路徑、無法準(zhǔn)確識(shí)別惡意流附圖說明[0017]為了更清楚地說明本發(fā)明實(shí)施例中的技術(shù)方案，下面將對(duì)本發(fā)明實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹。顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。[0018]圖1是根據(jù)一示例性實(shí)施例示出的一種源地址驗(yàn)證方法的流程圖；圖2是一應(yīng)用場(chǎng)景中部署源地址驗(yàn)證系統(tǒng)的結(jié)構(gòu)示意圖；圖3是圖2對(duì)應(yīng)應(yīng)用場(chǎng)景中系統(tǒng)自適應(yīng)優(yōu)化的示意圖；圖4是根據(jù)一示例性實(shí)施例示出的一種源地址驗(yàn)證裝置的框圖；圖5是根據(jù)一示例性實(shí)施例示出的一種電子設(shè)備的硬件結(jié)構(gòu)圖；圖6是根據(jù)一示例性實(shí)施例示出的一種電子設(shè)備的框圖。具體實(shí)施方式[0019]下面詳細(xì)描述本發(fā)明的實(shí)施例，所述實(shí)施例的示例在附圖中示出，其中自始至終相同或類似的標(biāo)號(hào)表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實(shí)施例是示例性的，僅用于解釋本發(fā)明，而不能解釋為對(duì)本發(fā)明的限制。7[0020]本技術(shù)領(lǐng)域技術(shù)人員可以理解，除非特意聲明，這里使用的單數(shù)形式“一”、“一辭“和/或”包括一個(gè)或更多個(gè)相關(guān)聯(lián)的列出項(xiàng)的全部或任一單元和全部組合。[0021]本發(fā)明提供一種源地址驗(yàn)證方法，通過多層次的驗(yàn)證機(jī)制和動(dòng)態(tài)路徑調(diào)整策略，有效提升了網(wǎng)絡(luò)通信的安全性和可靠性，解決了現(xiàn)有技術(shù)依賴單一路徑、無法準(zhǔn)確識(shí)別惡意流量、防御效果差，無法快速響應(yīng)攻擊且部署困難的問題，該源地址驗(yàn)證方法適用于源地址驗(yàn)證裝置中，該源地址驗(yàn)證裝置可以是電子設(shè)備。本發(fā)明實(shí)施例中的源地址驗(yàn)證方法可以應(yīng)用于多種場(chǎng)景，例如應(yīng)用程序和在線網(wǎng)絡(luò)平臺(tái)的防護(hù)等等。[0022]請(qǐng)參閱圖1,本發(fā)明實(shí)施例提供了一種源地址驗(yàn)證方法，該方法適用于電子設(shè)備。[0023]在下述方法實(shí)施例中，為了便于描述，以該方法各步驟的執(zhí)行主體為電子設(shè)備為例進(jìn)行說明，但是并非對(duì)此構(gòu)成具體限定。[0024]如圖1所示，該方法可以包括以下步步驟110,通過雙向認(rèn)證機(jī)制對(duì)接入網(wǎng)絡(luò)和源PoP節(jié)點(diǎn)進(jìn)行身份認(rèn)證獲取接入網(wǎng)絡(luò)的源前綴信息并綁定入口接口。[0025]在一個(gè)可能的實(shí)現(xiàn)方式，客戶網(wǎng)絡(luò)通過接入模塊與最近的PoP節(jié)點(diǎn)建立連接，然后對(duì)客戶網(wǎng)絡(luò)進(jìn)行身份認(rèn)證，確?？蛻艟W(wǎng)絡(luò)的合法性，同時(shí)公布客戶網(wǎng)絡(luò)的源前綴，并綁定未來通信的入口接口。[0026]具體地，客戶網(wǎng)絡(luò)通過安全的接入?yún)f(xié)議與最近的PoP節(jié)點(diǎn)建立加密連接，確保通信的機(jī)密性和完整性，采用雙向認(rèn)證機(jī)制即PoP節(jié)點(diǎn)驗(yàn)證客戶網(wǎng)絡(luò)的身份證書，同時(shí)客戶網(wǎng)絡(luò)也驗(yàn)證PoP節(jié)點(diǎn)的合法性，確保雙方身份的真實(shí)可靠，客戶網(wǎng)絡(luò)在認(rèn)證通過后，向PoP節(jié)點(diǎn)公布其源前綴信息，并綁定特定的入口接口，PoP節(jié)點(diǎn)記錄這些信息，以便后續(xù)的數(shù)據(jù)傳輸與驗(yàn)證。[0027]在上述過程中，本發(fā)明實(shí)施例實(shí)現(xiàn)了客戶網(wǎng)絡(luò)與PoP節(jié)點(diǎn)之間的安全連接與認(rèn)證，綁定了源前綴與入口接口，確保了通信的可追溯性和安全性，為后續(xù)步驟提供了必要的信[0028]步驟120,獲取所有的PoP節(jié)點(diǎn)和鏈路的狀態(tài)信息，根據(jù)狀態(tài)信息計(jì)算多條獨(dú)立路徑，根據(jù)路徑分散性評(píng)分確定最優(yōu)路徑集合并優(yōu)化流量分配。[0029]在一個(gè)可能的實(shí)現(xiàn)方式，通過SDN南向接口按設(shè)定頻率獲取所有PoP節(jié)點(diǎn)和鏈路的狀態(tài)信息，為每條鏈路分配初始安全權(quán)重，使用Dijkstra算法計(jì)算帶安全權(quán)重的最短路徑，通過迭代計(jì)算剩余路徑得到路徑集合，定義路徑集合的總體分散性得分，選擇分散性得分滿足設(shè)定條件且滿足帶寬需求的路徑集合作為最優(yōu)路徑集合，通過線性規(guī)劃模型求解最優(yōu)流量分配問題優(yōu)化流量分配。未加以限定。[0031]在一個(gè)可能的實(shí)現(xiàn)方式，確定最優(yōu)路徑集合之后為需要周期性更新的路徑設(shè)定基8礎(chǔ)更新間隔并初始化計(jì)時(shí)器，當(dāng)計(jì)時(shí)器遞減至零時(shí)收集當(dāng)前網(wǎng)絡(luò)拓?fù)湫畔?，根?jù)當(dāng)前網(wǎng)絡(luò)拓?fù)湫畔?、路徑分散性得分和帶寬需求重新?jì)算最優(yōu)路徑集合以及流量分配，并重置計(jì)時(shí)器，根據(jù)安全威脅水平動(dòng)態(tài)調(diào)整更新間隔，特殊情況時(shí)立即進(jìn)行路徑更新，例如安全威脅水[0032]其中，特殊情況包括網(wǎng)絡(luò)拓?fù)渥兓z測(cè)到可疑攻擊嘗試或手動(dòng)觸發(fā)更新命令等[0033]進(jìn)一步地，路徑更新后繼續(xù)通過中間PoP節(jié)點(diǎn)和目標(biāo)PoP節(jié)點(diǎn)進(jìn)行分布式驗(yàn)證，確保數(shù)據(jù)傳輸?shù)陌踩院屯暾?，如果?yàn)證過程中發(fā)現(xiàn)任何異常，系統(tǒng)將按照驗(yàn)證失敗處理機(jī)制進(jìn)行相應(yīng)處理，通過這一智能的路徑更新機(jī)制，能夠動(dòng)態(tài)適應(yīng)網(wǎng)絡(luò)狀況和安全威脅水平的變化，確保數(shù)據(jù)傳輸?shù)陌踩院托省0034]在上述過程中，本發(fā)明實(shí)施例實(shí)現(xiàn)了路徑的多樣化與獨(dú)立性，提高了通信的可靠性和安全性，通過動(dòng)態(tài)調(diào)整路徑更新頻率，實(shí)現(xiàn)了安全性與性能的平衡，優(yōu)化的流量分配確保了網(wǎng)絡(luò)資源的有效利用，提高了數(shù)據(jù)傳輸效率。[0035]步驟130,通過源PoP節(jié)點(diǎn)接收數(shù)據(jù)包，根據(jù)預(yù)設(shè)的分片策略將數(shù)據(jù)包進(jìn)行分片得到多個(gè)分片并標(biāo)記，基于最優(yōu)路徑集合將各分片傳輸?shù)侥繕?biāo)PoP節(jié)點(diǎn)。[0036]在一個(gè)可能的實(shí)現(xiàn)方式，根據(jù)數(shù)據(jù)包的頭部信息、網(wǎng)絡(luò)帶寬狀況和安全威脅級(jí)別確定分片數(shù)量，按照分片數(shù)量對(duì)所述數(shù)據(jù)包進(jìn)行分片得到多個(gè)分片并生成路由信息，通過HMAC-SHA256算法和會(huì)話密鑰生成為各分片生成驗(yàn)證標(biāo)識(shí)符，為各分片創(chuàng)建IP頭部和分片頭部，將各分片分配到最優(yōu)路徑集合中的各條獨(dú)立路徑上，確保每條路徑僅傳輸一個(gè)分片，然后通過各條獨(dú)立路徑同時(shí)傳輸?shù)侥繕?biāo)PoP節(jié)點(diǎn)，根據(jù)路徑特性優(yōu)化分片分配，例如如較小的分片分配給較慢的路徑，較大的分片分配給較快的路徑，以平衡到達(dá)時(shí)間。在上述過程中，本發(fā)明實(shí)施例實(shí)現(xiàn)了數(shù)據(jù)的分片傳輸，提高了數(shù)據(jù)傳輸?shù)撵`活性和可靠性，通過多路徑傳輸，降低了數(shù)據(jù)被竊取或篡改的風(fēng)險(xiǎn)，驗(yàn)證標(biāo)識(shí)符和路由信息的使用確保了數(shù)據(jù)的完整性和真實(shí)性，便于后續(xù)驗(yàn)證與重組。[0038]步驟140,通過目標(biāo)PoP節(jié)點(diǎn)對(duì)各分片進(jìn)行完整性和真實(shí)性驗(yàn)證，對(duì)驗(yàn)證通過的分片進(jìn)行重組得到原始數(shù)據(jù)包，對(duì)原始數(shù)據(jù)包執(zhí)行源地址驗(yàn)證和合法性驗(yàn)證并通過后轉(zhuǎn)發(fā)給接入網(wǎng)絡(luò)。[0039]在一個(gè)可能的實(shí)現(xiàn)方式，通過目標(biāo)PoP節(jié)點(diǎn)根據(jù)各分片的分片頭部信息和本地驗(yàn)證表驗(yàn)證各分片的合法性，檢查各分片的源地址與所述入口接口是否匹配，將驗(yàn)證通過的分片存入重組緩沖區(qū)，根據(jù)分片數(shù)量設(shè)置重組超時(shí)定時(shí)器，如果在預(yù)定時(shí)間內(nèi)未收到所有的分片，則丟棄已接收的所有分片，按照分片頭部信息中的分片序號(hào)順序提取所有的分片的有效載荷部分進(jìn)行重建，得到原始數(shù)據(jù)包。[0040]具體地，目標(biāo)PoP節(jié)點(diǎn)接收到分片后首先檢查分片頭部信息(如分片ID、時(shí)間戳等),然后查詢本地驗(yàn)證表驗(yàn)證分片的合法性，如果本地存在相應(yīng)的會(huì)話密鑰，重新計(jì)算驗(yàn)證標(biāo)識(shí)符并與分片中的VI比對(duì)，同時(shí)，檢查分片是否從預(yù)期的入口接口到達(dá)，以及源地址與預(yù)期是否匹配。[0041]進(jìn)一步地，將驗(yàn)證通過的分片存入重組緩沖區(qū)，等待所有分片到達(dá)，根據(jù)分片頭部中的分片總數(shù)字段確定需要等待的分片數(shù)量，并設(shè)置重組超時(shí)定時(shí)器，如果在預(yù)定時(shí)間內(nèi)9未收到所有分片，則丟棄已接收的所有分片，最后，按照分片序號(hào)順序?qū)⑺蟹制挠行лd荷部分提取出來，重建原始數(shù)據(jù)包的完整載荷。[0042]進(jìn)一步地，對(duì)重組后的完整數(shù)據(jù)包執(zhí)行最后一次源地址驗(yàn)證，檢查數(shù)據(jù)包的合法性(包括協(xié)議合規(guī)性和應(yīng)用層數(shù)據(jù)一致性),如果驗(yàn)證通過，則轉(zhuǎn)發(fā)給接入的客戶網(wǎng)絡(luò)，否則，丟棄數(shù)據(jù)包并報(bào)告異常情況。[0043]通過上述過程，本發(fā)明實(shí)施例實(shí)現(xiàn)了數(shù)據(jù)的完整性和真實(shí)性驗(yàn)證，確保了數(shù)據(jù)傳輸?shù)陌踩?，通過重組緩沖區(qū)等待所有分片到達(dá)，提高了數(shù)據(jù)傳輸?shù)目煽啃?，最后一次源地址?yàn)證確保了數(shù)據(jù)包的合法性，增強(qiáng)了網(wǎng)絡(luò)的安全性。[0044]在一個(gè)可能的實(shí)現(xiàn)方式，在目標(biāo)PoP節(jié)點(diǎn)對(duì)各分片進(jìn)行完整性和真實(shí)性驗(yàn)證之前，中間PoP節(jié)點(diǎn)接收到分片后，查詢分片的本地SAV表，驗(yàn)證分片的源地址與所述入口接口是否匹配，驗(yàn)證分片的分片頭部中的驗(yàn)證標(biāo)識(shí)符是否被篡改，如果驗(yàn)證失敗，中間PoP節(jié)點(diǎn)將丟棄分片并報(bào)告異常情況。[0045]在一個(gè)可能的實(shí)現(xiàn)方式，在目標(biāo)PoP節(jié)點(diǎn)對(duì)各分片進(jìn)行完整性和真實(shí)性驗(yàn)證之后，驗(yàn)證所有分片的數(shù)量、源目標(biāo)和目標(biāo)地址的一致性、序列號(hào)連續(xù)性及時(shí)間戳有效性，若目標(biāo)PoP節(jié)點(diǎn)檢測(cè)到分片缺失、超時(shí)或驗(yàn)證失敗的情況，立即丟棄所有相關(guān)分片并釋放資源，同時(shí)向報(bào)告異常類型和相關(guān)路徑。[0046]進(jìn)一步地，向源PoP節(jié)點(diǎn)發(fā)送ICMP錯(cuò)誤消息并控制頻率避免DoS攻擊，并根據(jù)異常嚴(yán)重程度將異常情況分為輕微、一般和嚴(yán)重，對(duì)于輕微異常則記錄日志并降級(jí)對(duì)應(yīng)路徑的質(zhì)量，對(duì)于一般異常則丟棄對(duì)應(yīng)分片并上報(bào)，對(duì)于嚴(yán)重異常則丟棄所有分片、發(fā)送高優(yōu)先級(jí)[0047]通過上述過程，本發(fā)明通過初始連接與認(rèn)證、路徑規(guī)劃、數(shù)據(jù)傳輸和驗(yàn)證與重組實(shí)現(xiàn)了網(wǎng)絡(luò)通信中源地址的真實(shí)性與數(shù)據(jù)的完整性驗(yàn)證，采用多路徑傳輸與分布式驗(yàn)證機(jī)間PoP節(jié)點(diǎn)也承擔(dān)驗(yàn)證職責(zé)，形成了多層次的驗(yàn)證體系，同時(shí)通過動(dòng)態(tài)調(diào)整路徑更新頻率和優(yōu)化流量分配，實(shí)現(xiàn)了安全性與性能的平衡，能夠有效提升網(wǎng)絡(luò)通信的安全性和可靠性，從而能夠有效地解決現(xiàn)有技術(shù)依賴單一路徑、無法準(zhǔn)確識(shí)別惡意流量、防御效果差，無法快速響應(yīng)攻擊且部署困難的問題。[0048]在一示例性實(shí)施例中，展示了一種源地址驗(yàn)證系統(tǒng)為自治系統(tǒng)(AS)間的通信提供地址驗(yàn)證；中央控制器是系統(tǒng)的核心，負(fù)責(zé)全局路徑規(guī)劃、安全策略制定、動(dòng)態(tài)路徑更新調(diào)文序列號(hào)標(biāo)識(shí)符等信息；客戶網(wǎng)絡(luò)加入信任網(wǎng)絡(luò)架構(gòu)的自治系統(tǒng)(AS),通過最近的PoP節(jié)點(diǎn)接入系統(tǒng)。[0051]具體地，客戶網(wǎng)絡(luò)AS1通過接入模塊與最近的PoP節(jié)點(diǎn)(PoP1)建立連接，進(jìn)行雙向[0052]進(jìn)一步地，中央控制器為AS1生成會(huì)話密鑰K_session,基于系統(tǒng)主密鑰K_master、鑰的動(dòng)態(tài)生成和周期性更新(每小時(shí)一次)確保了通信的安全性，防止密鑰泄露導(dǎo)致的安全風(fēng)險(xiǎn)。[0054]具體地，中央控制器通過SDN南向接口每10秒收集一次全網(wǎng)PoP節(jié)點(diǎn)和鏈路的狀態(tài)數(shù)量。高頻次的拓?fù)湫畔⑹占_保了網(wǎng)絡(luò)狀態(tài)的實(shí)時(shí)更新，為路徑規(guī)劃提供了準(zhǔn)確的數(shù)據(jù)基礎(chǔ)。[0056]進(jìn)一步地，使用改進(jìn)的Yen'sK最短路徑算法，為AS1到AS7計(jì)算多條獨(dú)立路徑，初始路徑配置為三條路徑：路徑1(PoP1→PoP2→PoP5)、路徑2(PoP1→PoP3→PoP5)、路徑3間PoP節(jié)點(diǎn)。多路徑傳輸增加了攻擊者偽造源地址的難度，提高了網(wǎng)絡(luò)的安全性。[0057]進(jìn)一步地，因?yàn)榉稚⑿缘梅衷礁弑硎韭窂郊现械穆窂交ハ嗒?dú)立性越強(qiáng)，所以根據(jù)路徑分散性評(píng)分以及帶寬需求選擇最優(yōu)路徑集合，確保路徑之間的獨(dú)立性，通過線性規(guī)劃模型優(yōu)化流量分配，確保各路徑上的負(fù)載均衡，將優(yōu)化后的路徑集及其流量分配方案下發(fā)給相關(guān)PoP節(jié)點(diǎn)。路徑優(yōu)化提高了網(wǎng)絡(luò)的傳輸效率和資源利用率，同時(shí)降低了單點(diǎn)故障的風(fēng)險(xiǎn)。[0059]具體地，源PoP節(jié)點(diǎn)(PoP1)接收AS1發(fā)送的數(shù)據(jù)包，根據(jù)數(shù)據(jù)包大小、網(wǎng)絡(luò)帶寬狀況和安全威脅級(jí)別確定分片數(shù)量(如3個(gè)分片),每個(gè)分片包含HMAC-SHA256算法和會(huì)話密鑰生成的認(rèn)證令牌和驗(yàn)證標(biāo)識(shí)符。數(shù)據(jù)分片降低了單個(gè)數(shù)據(jù)包被篡改的風(fēng)險(xiǎn)，同時(shí)提高了傳輸?shù)撵`活性。[0060]其中，源PoP節(jié)點(diǎn)在發(fā)送分片后，向驗(yàn)證表中添加對(duì)應(yīng)的記錄，記錄的過期時(shí)間設(shè)為當(dāng)前時(shí)間加上路徑的估計(jì)往返時(shí)間的2倍，超過過期時(shí)間的記錄將被自動(dòng)清除，釋放表空[0061]其中，各分片唯一的驗(yàn)證標(biāo)識(shí)符包含以下字段：原始數(shù)據(jù)包ID(16位):用于識(shí)別同一數(shù)據(jù)包的不同分片；分片序號(hào)(8位):標(biāo)識(shí)當(dāng)前分片在所有分片中的位置(1至N);分片總數(shù)(8位):標(biāo)識(shí)原始數(shù)據(jù)包被分為多少個(gè)分片；時(shí)間戳(32位):標(biāo)識(shí)分片生成時(shí)間，用于防重放攻擊；路徑標(biāo)識(shí)符(16位):標(biāo)識(shí)該分片將使用的預(yù)定路徑；分片驗(yàn)證碼(32位):使用[0062]具體地，將原始數(shù)據(jù)包的有效載荷按照大小均勻分割成N個(gè)部分，為每個(gè)分片創(chuàng)建新的IP頭部，包含原始源IP和目標(biāo)IP,在IP頭部和數(shù)據(jù)之間插入特殊的分片頭部，包含上述分片標(biāo)記信息，更新每個(gè)分片的校驗(yàn)和字段，確保數(shù)據(jù)完整性。[0063]進(jìn)一步地，將三個(gè)分片分別分配到三條獨(dú)立路徑上傳輸，每條路徑傳輸一個(gè)分片，中間PoP節(jié)點(diǎn)(如PoP2、PoP3、PoP4)根據(jù)本地驗(yàn)證表驗(yàn)證分片的源地址與預(yù)期入口接口是否匹配，若不匹配則丟棄分片。分布式驗(yàn)證機(jī)制確保了數(shù)據(jù)包在傳輸過程中的安全性，任何偽11造或篡改的數(shù)據(jù)包都會(huì)被及時(shí)丟棄。[0064]其中，根據(jù)路徑特性優(yōu)化分片分配，例如，較小的分片分配給較慢的路徑，較大的分片分配給較快的路徑，以平衡到達(dá)時(shí)間，為每個(gè)分片添加對(duì)應(yīng)路徑的路由信息，設(shè)置TTL由網(wǎng)絡(luò)轉(zhuǎn)發(fā)模塊，開始在各自路徑上傳輸。[0066]具體地，目標(biāo)PoP節(jié)點(diǎn)(PoP5)接收到所有分片后，首先驗(yàn)證分片的完整性和真實(shí)性，包括檢查分片ID、時(shí)間戳的有效性，使用會(huì)話密鑰驗(yàn)證分片驗(yàn)證碼。嚴(yán)格的驗(yàn)證流程確保了只有合法、未被篡改的數(shù)據(jù)包才能進(jìn)入目標(biāo)網(wǎng)絡(luò)。[0067]值得一提的是，每個(gè)中間PoP節(jié)點(diǎn)和目標(biāo)PoP節(jié)點(diǎn)接收到分片時(shí)首先提取分片頭部配項(xiàng)，具體地驗(yàn)證內(nèi)容包括：確認(rèn)分片的源IP前綴是否在已注冊(cè)的合法前綴列表中、檢查分片是否從預(yù)期的入口接口到達(dá)、驗(yàn)證時(shí)間戳是否在允許的時(shí)間窗口內(nèi)(通常為±30秒)、如果本地存在相應(yīng)的會(huì)話密鑰，重新計(jì)算驗(yàn)證標(biāo)識(shí)符并與分片中的VI比對(duì)。若驗(yàn)證通過則轉(zhuǎn)發(fā)分片到下一跳，若驗(yàn)證失敗則記錄失敗原因，丟棄分片，并向中央控[0068]需要注意的是，目標(biāo)PoP節(jié)點(diǎn)除執(zhí)行中間節(jié)點(diǎn)的驗(yàn)證步驟外，還進(jìn)行額外的完整性檢查：收集同一數(shù)據(jù)包的所有分片，檢查分片數(shù)量是否完整；驗(yàn)證各分片的源地址和目標(biāo)地址是否一致；檢查分片序列號(hào)是否連續(xù)，沒有缺失或重復(fù)；驗(yàn)證所有分片的時(shí)間戳是否在合理的時(shí)間窗口內(nèi)。只有所有驗(yàn)證步驟都通過，目標(biāo)PoP節(jié)點(diǎn)才進(jìn)行數(shù)據(jù)包重組和轉(zhuǎn)發(fā)處[0069]進(jìn)一步地，驗(yàn)證通過的分片存入重組緩沖區(qū)，等待所有分片到達(dá)后，根據(jù)分片序號(hào)順序提取有效載荷部分進(jìn)行重建，得到原始數(shù)據(jù)包。數(shù)據(jù)重組恢復(fù)了原始數(shù)據(jù)包的內(nèi)容，確保了數(shù)據(jù)的完整性和可用性。[0070]具體地，根據(jù)分片頭部中的"分片總數(shù)"字段，確定需要等待的分片數(shù)量，設(shè)置重組超時(shí)定時(shí)器，如果在預(yù)定時(shí)間內(nèi)(通常為100-500ms,可配置)未收到所有分片，則丟棄已接收的所有分片，檢查所有已接收分片的"分片序號(hào)"字段，確認(rèn)沒有缺失或重復(fù)的分片，按照分片序號(hào)順序，將所有分片的有效載荷部分提取出來，將這些有效載荷按正確順序拼接，重建原始數(shù)據(jù)包的完整載荷。[0071]進(jìn)一步地，對(duì)重組后的數(shù)據(jù)包執(zhí)行最后一次源地址驗(yàn)證和合法性驗(yàn)證，若驗(yàn)證通過，則轉(zhuǎn)發(fā)給目標(biāo)客戶網(wǎng)絡(luò)(AS7)。最終驗(yàn)證確保了數(shù)據(jù)包在傳輸和重組過程中的安全性，防止了任何潛在的安全威脅。[0072]具體地，創(chuàng)建新的IP頭部，包含原始的源IP和目標(biāo)IP地址，計(jì)算并設(shè)置新的校驗(yàn)和字段，確保重組后數(shù)據(jù)包的完整性，對(duì)重組后的完整數(shù)據(jù)包執(zhí)行最后一次源地址驗(yàn)證，檢查重組數(shù)據(jù)包的合法性，包括協(xié)議合規(guī)性和應(yīng)用層數(shù)據(jù)一致性，如驗(yàn)證通過則將重組后的數(shù)據(jù)包轉(zhuǎn)發(fā)給目標(biāo)客戶網(wǎng)絡(luò)，并在驗(yàn)證表中更新該數(shù)據(jù)通信的記錄，包括成功接收時(shí)間、重組延遲等指標(biāo)。[0073]其中，如檢測(cè)到任何分片缺失，超時(shí)不到達(dá)，或驗(yàn)證失敗，系統(tǒng)將立即丟棄所有相向源PoP節(jié)點(diǎn)發(fā)送ICMP錯(cuò)誤消息，指示重組失敗原因并控制頻率以防止DoS攻擊。[0074]在所有中間PoP節(jié)點(diǎn)和目標(biāo)PoP節(jié)點(diǎn)的驗(yàn)證過程中，針對(duì)輕微異常(如單個(gè)分片延遲過大)則記錄日志，可能觸發(fā)路徑質(zhì)量降級(jí)；針對(duì)一般異常(如驗(yàn)證標(biāo)識(shí)符不匹配)則丟棄分片，向中央控制器報(bào)告；針對(duì)嚴(yán)重異常(如檢測(cè)到偽造攻擊模式)則立即丟棄所有相關(guān)分片、向中央控制器發(fā)送高優(yōu)先級(jí)警報(bào)、觸發(fā)路徑緊急更新、暫時(shí)阻斷可疑源前綴的流量。[0075]進(jìn)一步地，中央控制器匯總各PoP節(jié)點(diǎn)報(bào)告的驗(yàn)證失敗事件，進(jìn)行模式分析，針對(duì)不同類型的異常實(shí)施不同級(jí)別的響應(yīng)：針對(duì)隨機(jī)性失敗(網(wǎng)絡(luò)抖動(dòng)導(dǎo)致)則調(diào)整路徑質(zhì)量評(píng)分；針對(duì)集中性失敗(特定路徑問題)則暫時(shí)禁用有問題的路徑；針對(duì)持續(xù)性失敗或攻擊則提高目標(biāo)路徑的安全權(quán)重，增加路徑更新頻率；針對(duì)維護(hù)全局安全威脅指數(shù)則調(diào)整路徑選擇和更新策略。[0076]通過上述過程，本發(fā)明實(shí)施例通過初始連接與認(rèn)證、路徑規(guī)劃、數(shù)據(jù)傳輸?shù)津?yàn)證與重組，每個(gè)階段都融入了先進(jìn)的技術(shù)手段，確保了網(wǎng)絡(luò)通信的安全性和可靠性，同時(shí)，高頻次的拓?fù)湫畔⑹占?、多路徑傳輸、分布式?yàn)證等機(jī)制共同構(gòu)成了系統(tǒng)的安全防線，有效抵御了各種網(wǎng)絡(luò)攻擊。[0077]在一應(yīng)用場(chǎng)景中，某大型電子商務(wù)平臺(tái)在促銷活動(dòng)期間，常面臨分布式拒絕服務(wù)(DDoS)攻擊的威脅。攻擊者利用偽造的源IP地址發(fā)起大量連接請(qǐng)求，尤其是SYN泛洪攻擊，耗盡平臺(tái)的網(wǎng)絡(luò)資源，導(dǎo)致合法用戶無法正常訪問。為有效防御此類攻擊，該平臺(tái)部署了基于NFV技術(shù)的多路徑分布式源地址驗(yàn)證系統(tǒng)，圖2展示了該電子商務(wù)平臺(tái)的防護(hù)部署架構(gòu)圖，圖3展示了系統(tǒng)參數(shù)隨時(shí)間的動(dòng)態(tài)變化。[0078]如圖2所示，電商平臺(tái)數(shù)據(jù)中心位于中心位置，負(fù)責(zé)處理所有交易請(qǐng)求和數(shù)據(jù)存PoP節(jié)點(diǎn)具備源地址驗(yàn)證功能，并由中央安全控制器(SC)協(xié)調(diào)工作；客戶流量(客戶A、B、C)從各個(gè)地區(qū)通過互聯(lián)網(wǎng)連接到最近的PoP節(jié)點(diǎn)進(jìn)入系統(tǒng)，通過多條路徑傳輸并驗(yàn)證，最終到達(dá)平臺(tái)的數(shù)據(jù)中心；用虛線表示的控制信息流用于顯示中央控制器與各PoP節(jié)點(diǎn)之間的控制信號(hào)傳輸路徑，包括路徑規(guī)劃、安全策略更新等；用實(shí)線表示的數(shù)據(jù)流量路徑用于顯示用戶請(qǐng)求從PoP節(jié)點(diǎn)到電商平臺(tái)數(shù)據(jù)中心的傳輸路徑，以及響應(yīng)數(shù)據(jù)的返回路徑。[0079]具體地，該場(chǎng)景下的多路徑分布式源地址驗(yàn)證可以包括以下步驟：步驟S1,系統(tǒng)初始化與前綴注冊(cè)。[0080]具體地，電商平臺(tái)將其合法IP前綴注冊(cè)到系統(tǒng)中，中央控制器初始化驗(yàn)證表，將合法前綴與對(duì)應(yīng)入口接口綁定，生成并分發(fā)初始會(huì)話密鑰到各PoP節(jié)點(diǎn)，確保通信安全。[0081]其中，用戶訪問電商平臺(tái)服務(wù)器之后用戶的請(qǐng)求數(shù)據(jù)包到達(dá)入口PoP1,PoP1驗(yàn)證源地址合法性，PoP1將請(qǐng)求分為3個(gè)片段，每個(gè)片段包含認(rèn)證令牌和驗(yàn)證標(biāo)識(shí)符，分別對(duì)應(yīng)不同的傳輸路徑，片段1通過路徑1(PoP1→PoP2→PoP5→電商平臺(tái)數(shù)據(jù)中心),片段2通過路徑2(PoP1→PoP3→PoP5→電商平臺(tái)數(shù)據(jù)中心),片段3通過路徑3(PoP1→PoP4→PoP5→電商平臺(tái)數(shù)據(jù)中心)傳輸。保片段來源合法，電商平臺(tái)數(shù)據(jù)中心接收所有片段后進(jìn)行重組，驗(yàn)證數(shù)據(jù)的完整性和真實(shí)性，然后將響應(yīng)通過類似的多路徑過程返回給用戶。[0083]當(dāng)攻擊流量到達(dá)系統(tǒng)時(shí)，攻擊者使用偽造的源IP地址發(fā)起大量連接請(qǐng)求，流量到達(dá)PoP1,PoP1進(jìn)行初步驗(yàn)證，發(fā)現(xiàn)源地址可疑，但暫時(shí)無法確認(rèn)是否為攻擊流量，攻擊數(shù)據(jù)行深入驗(yàn)證，發(fā)現(xiàn)驗(yàn)證標(biāo)識(shí)符不匹配或源地址與預(yù)期入口接口不匹配，相關(guān)分片被丟棄，驗(yàn)證失敗信息上報(bào)給中央控制器，控制器記錄異常流量模式，中央控制器分析異常模式，更新防御策略，如暫時(shí)阻斷可疑源前綴的流量，或增加驗(yàn)證強(qiáng)度。[0084]系統(tǒng)在檢測(cè)到攻擊后自動(dòng)提高路徑更新頻率(如從5分鐘/次提高到30秒/次),以增加攻擊者預(yù)測(cè)通信路徑的難度，然后增加傳輸路徑數(shù)量(如從3條增加到5條),并選擇更分散的路徑集，避免攻擊者集中攻擊某一條路徑，同時(shí)提高驗(yàn)證強(qiáng)度，在更多節(jié)點(diǎn)上執(zhí)行完整性驗(yàn)證，確保數(shù)據(jù)在傳輸過程中未被篡改。[0085]如圖3所示，頂部為路徑更新頻率變化曲線，中部為路徑選擇變化，底部為驗(yàn)證強(qiáng)度調(diào)整，在t1時(shí)刻檢測(cè)到攻擊，系統(tǒng)自動(dòng)做出以下調(diào)整：路徑更新頻率從5分鐘/次提高到30秒/次、增加傳輸路徑數(shù)量從3條增加到5條，并選擇更分散的路徑集、節(jié)點(diǎn)上執(zhí)行完整性驗(yàn)證。隨著攻擊強(qiáng)度在t2時(shí)刻減弱，系統(tǒng)逐步恢復(fù)正常配置，優(yōu)化資源使用，圖3中的曲線顯示了系統(tǒng)參數(shù)隨時(shí)間的動(dòng)態(tài)變化，展示了系統(tǒng)的自適應(yīng)能力。[0086]通過上述過程，該大型電子商務(wù)平臺(tái)通過部署基于NFV技術(shù)的多路徑分布式源地址驗(yàn)證系統(tǒng)，有效防御了DDoS攻擊，確保了合法用戶的正常訪問，系統(tǒng)的高準(zhǔn)確率攻擊檢測(cè)、低誤報(bào)率、可擴(kuò)展性、動(dòng)態(tài)防御能力和增量部署友好性等特點(diǎn)，為電商平臺(tái)提供了強(qiáng)有力的安全保障，同時(shí)，系統(tǒng)的自適應(yīng)優(yōu)化能力使其能夠根據(jù)網(wǎng)絡(luò)狀況動(dòng)態(tài)調(diào)整防御策略，提高了系統(tǒng)的整體性能和可靠性，保障了電商平臺(tái)在促銷活動(dòng)期間的穩(wěn)定運(yùn)行。[0087]下述為本發(fā)明裝置實(shí)施例，可以用于執(zhí)行本發(fā)明所涉及的源地址驗(yàn)證方法。對(duì)于本發(fā)明裝置實(shí)施例中未披露的細(xì)節(jié)，請(qǐng)參照本發(fā)明所涉及的源地址驗(yàn)證方法的方法實(shí)施[0088]請(qǐng)參閱圖4,本發(fā)明實(shí)施例中提供了一種源地址驗(yàn)證裝置800。[0089]所述源地址驗(yàn)證裝置800包括但不限于：連接與認(rèn)證模塊810、路徑規(guī)劃模塊830、數(shù)據(jù)傳輸模塊850及驗(yàn)證與重組模塊870。[0090]其中，連接與認(rèn)證模塊810,用于通過雙向認(rèn)證機(jī)制對(duì)接入網(wǎng)絡(luò)和源PoP節(jié)點(diǎn)進(jìn)行身份認(rèn)證，獲取所述接入網(wǎng)絡(luò)的源前綴信息并綁定入口接口。[0091]路徑規(guī)劃模塊830,用于獲取所有的PoP節(jié)點(diǎn)和鏈路的狀態(tài)信息，根據(jù)所述狀態(tài)信息計(jì)算多條獨(dú)立路徑，根據(jù)路徑分散性評(píng)分確定最優(yōu)路徑集合并優(yōu)化流量分配。[0092]數(shù)據(jù)傳輸模塊850,用于通過所述源PoP節(jié)點(diǎn)接收數(shù)據(jù)包，根據(jù)預(yù)設(shè)的分片策略將所述數(shù)據(jù)包進(jìn)行分片得到多個(gè)分片并標(biāo)記，基于所述最優(yōu)路徑集合將各所述分片傳輸?shù)侥繕?biāo)PoP節(jié)點(diǎn)。[0093]驗(yàn)證與重組模塊870,用于通過所述目標(biāo)PoP節(jié)點(diǎn)對(duì)各所述分片進(jìn)行完整性和真實(shí)性驗(yàn)證，對(duì)驗(yàn)證通過的所述分片進(jìn)行重組得到原始數(shù)據(jù)包，對(duì)所述原始數(shù)據(jù)包執(zhí)行源地址驗(yàn)證和合法性驗(yàn)證并通過后轉(zhuǎn)發(fā)給所述接入網(wǎng)絡(luò)。[0094]需要說明的是，上述實(shí)施例所提供的源地址驗(yàn)證時(shí)，僅以上述各功能模塊的劃分進(jìn)行舉例說明，實(shí)際應(yīng)用中，可以根據(jù)需要而將上述功能分配由不同的功能模塊完成，即源地址驗(yàn)證裝置的內(nèi)部結(jié)構(gòu)將劃分為不同的功能模塊，以完成以上描述的全部或者部分功[0095]另外，上述實(shí)施例所提供的源地址驗(yàn)證裝置與源地址驗(yàn)證方法的實(shí)施例屬于同一構(gòu)思，其中各個(gè)模塊執(zhí)行操作的具體方式已經(jīng)在方法實(shí)施例中進(jìn)行了詳細(xì)描述，此處不再贅述。[0096]圖5根據(jù)一示例性實(shí)施例示出的一種電子設(shè)備的結(jié)構(gòu)示意。[0097]需要說明的是，該電子設(shè)備只是一個(gè)適配于本發(fā)明的示例，不能認(rèn)為是提供了對(duì)本發(fā)明的使用范圍的任何限制。該電子設(shè)備也不能解釋為需要依賴于或者必須具有圖5示出的示例性的電子設(shè)備2000中的一個(gè)或者多個(gè)組件。[0098]電子設(shè)備2000的硬件結(jié)構(gòu)可因配置或者性能的不同而產(chǎn)生較大的差異，如圖5所[0099]具體地，電源210用于為電子設(shè)備2000上的各硬件設(shè)備提供工作電壓。[0100]接口230包括至少一有線或無線網(wǎng)絡(luò)接口231,用于與外部設(shè)備交互。當(dāng)然，在其余本發(fā)明適配的示例中，接口230還可以進(jìn)一步包括至少一串并轉(zhuǎn)換接口233、至少一輸入輸[0101]存儲(chǔ)器250作為資源存儲(chǔ)的載體，可以是只讀存儲(chǔ)器、隨機(jī)存儲(chǔ)器、磁盤或者光盤等，其上所存儲(chǔ)的資源包括操作系統(tǒng)251、應(yīng)用程序253及數(shù)據(jù)255等，存儲(chǔ)方式可以是短暫存儲(chǔ)或者永久存儲(chǔ)。[0102]其中，操作系統(tǒng)251用于管理與控制電子設(shè)備2000上的各硬件設(shè)備以及應(yīng)用程序253,以實(shí)現(xiàn)中央處理器270對(duì)存儲(chǔ)器250中海量數(shù)據(jù)255的運(yùn)算與處理，其可以是Windows[0103]應(yīng)用程序253是基于操作系統(tǒng)251之上完成至少一項(xiàng)特定工作的計(jì)算機(jī)可讀指令，其可以包括至少一模塊(圖5未示出),每個(gè)模塊都可以分別包含有對(duì)電子設(shè)備2000的計(jì)算機(jī)可讀指令。例如，源地址驗(yàn)證裝置可視為部署于電子設(shè)備2000的應(yīng)用程序253。[0104]數(shù)據(jù)255可以是信號(hào)信息等，存儲(chǔ)于存儲(chǔ)器250中。[0105]中央處理器270可以包括一個(gè)或多個(gè)以上的處理器，并設(shè)置為通過至少一通信總線與存儲(chǔ)器250通信，以讀取存儲(chǔ)器250中存儲(chǔ)的計(jì)算機(jī)可讀指令，進(jìn)而實(shí)現(xiàn)對(duì)存儲(chǔ)器250中海量數(shù)據(jù)255的運(yùn)算與處理。例如，通過中央處理器270讀取存儲(chǔ)器250中存儲(chǔ)的一系列計(jì)算機(jī)可讀指令的形式來完成源地址驗(yàn)證方法。[0106]此外，通過硬件電路或者硬件電路結(jié)合軟件也能同樣實(shí)現(xiàn)本發(fā)明，因此，實(shí)現(xiàn)本發(fā)明并不限于任何特定硬件電路、軟件以及兩者的組合。[0107]請(qǐng)參閱圖6,本發(fā)明實(shí)施例中提供了一種電子設(shè)備4000,該電子設(shè)備4000可以包[0108]在圖6中，該電子設(shè)備4000包括至少一個(gè)處理器4001以及至少一個(gè)存儲(chǔ)器4003。[0109]其中，處理器4001和存儲(chǔ)器4003之間的數(shù)據(jù)交互，可以通過至少一個(gè)通信總線4002實(shí)現(xiàn)。該通信總線4002可包括一通路，用于在處理器4001和存儲(chǔ)器4003之間傳輸數(shù)據(jù)。通信總線4002可以是PCI(PeripheralComponentInterconnect,外設(shè)部件互連標(biāo)準(zhǔn))總線或EISA(ExtendedIndustryStandardArchitecture,擴(kuò)展工業(yè)標(biāo)準(zhǔn)結(jié)構(gòu))線4002可以分為地址總線、數(shù)據(jù)總線、控制總線等。為便于表示，圖6中僅用一條粗線表示，但并不表示僅有一根總線或一種類型的總線。[0110]可選地，電子設(shè)備4000還可以包括收發(fā)器4004,收發(fā)器4004可以用于該電子設(shè)備與其他電子設(shè)備之間的數(shù)據(jù)交互，如數(shù)據(jù)的發(fā)送和/或數(shù)據(jù)的接收等。需要說明的是，實(shí)際應(yīng)用中收發(fā)器4004不限于一個(gè)，該電子設(shè)備4000的結(jié)構(gòu)并不構(gòu)成對(duì)本發(fā)明實(shí)施例的限定。[0111]處理器4001可以是CPU(CentralProcessingUnit,中央處理器),通用處理器，DSP(DigitalSignalProcessor,數(shù)據(jù)信號(hào)處理器),ASIC(ApplicationSpecificIntegratedCircuit,專用集成電路),FPGA(FieldProgrammableGateArray,現(xiàn)場(chǎng)可編程門陣列)或者其他可編程邏輯器件、晶體管邏輯器件、硬件部件或者其任意組合。其可以實(shí)現(xiàn)或執(zhí)行結(jié)合本發(fā)明公開內(nèi)容所描述的各種示例性的邏輯方框、模塊和電路。處理器4001也可以是實(shí)現(xiàn)計(jì)算功能的組合，例如包含一個(gè)或多個(gè)微處理器組合、DSP和微處理器的組合等。[0112]存儲(chǔ)器4003可以是ROM(ReadOnlyMemory,只讀存儲(chǔ)器)或可存儲(chǔ)靜態(tài)信息和指令的其他類型的靜態(tài)存儲(chǔ)設(shè)備，RAM(RandomAccessMemory,隨機(jī)存取存儲(chǔ)器)或者可存儲(chǔ)信息和指令的其他類型的動(dòng)態(tài)存儲(chǔ)設(shè)備，也可以是EEPROM(ElectricallyErasableProgrammableReadOnlyMemory,電可擦可編程只讀存儲(chǔ)器)、CD-ROM(CompactDisc字通用光碟、藍(lán)光