微信公众号“空间流”
前面几期我们谈了SAVI接入和域内的方案,今天我们就聊一聊域间的方案。
域间方案是为了防止跨域的身份仿冒问题,提高不同自治域主机之间的接入安全问题。
角色分布
在域间有几个新的角色需要提前跟大家介绍下:
角色列表
技术方案
域间示意图
1)AS组成信任联盟,联盟内的AS称为联盟成员,联盟外的AS称为非联盟成员。整个联盟有一个联盟注册中心服务器,该服务器用于管理联盟的成员列表、控制成员的加入和离开。
2)每一个联盟成员AS都有一个控制服务器,这些服务器彼此通信来协商状态机,进而将这些状态机部署到本AS的边界路由器上进行标签的添加和检查。
3)每一对成员AS被关联一个用来生成和更新标签的状态机,标签源AS的出口路由器加在报文中,被目的AS的入口路由器检验,从而验证报文源地址前缀的正确性。
4)通过标签的添加和检验,联盟成员可以验证彼此的报文源地址前缀,从而可以起相互的信任关系,防止其他AS内的主机伪造成本AS内的主机,并可以在探测到攻击时拒绝不可信任的链接
总结
通过七期的讲解,我把SAVI的三大场景的解决方案给大家做了介绍。通过介绍大家可以看出,savi部署离主机越近防仿冒的效果越好。至此,对SAVI的分享就暂告一段落,如果大家还有什么不明白的,可以关注我的公众号“空间流”进行沟通。
如果大家喜欢我的分享,还请大家多多支持,非常感谢。
