域内真实源地址验证技术
　　对于每个自治系统(域)的管理者来说，如何在域内的各个接入网之间实现真实源地址验证，也是一个比较重要的问题。与域间真实源地址验证问题相比，域内真实源地址验证技术在网络规模上相对较小，获取网络信息的途径也更加灵活。目前，Ingress Filtering [RFC2827]及其在多宿主网络中的部署方案[RFC3704]在技术上已经比较成熟，适合域内真实源地址验证的网络条件。因此，我们在真实源地址验证体系结构中选择这两种标准作为域内真实源地址验证方案。

　　域间真实源地址验证技术(邻接部署)
　　邻接部署的域间真实源地址验证技术的基本思想是：利用自治系统互联关系，在自治系统边界路由器上生成和每一个路由器接口关联的真实IPv6源地址验证规则表，并利用其在自治系统边界路由器上对伪造IPv6源地址的分组进行验证检查。

　　整个系统由三个部分组成：验证规则生成引擎，验证引擎，和自治系统号到IPv6地址映射服务器。验证规则的表现形式是IPv6地址前缀的集合。

　　首先，每个域的验证规则生成引擎初始化，读邻接域表和本域的验证引擎表，分别与邻接域的验证规则生成引擎和本域的各个验证引擎建立TCP连接；然后，各个域的验证规则生成引擎生成验证规则更新，目的是把该域的源地址空间信息发给邻居，这一信息用自治系统号表示；同时，各域的验证规则生成引擎在收到来自邻居的验证规则生成引擎发来的更新之后，按照以下四条导出规则来判断是否接受这一地址空间和是否将其转发给其他邻居。

　　一个域将它自己的，它客户域的，以及它兄弟域的真实地址空间集合传递给它的服务者域；
　　一个域将它自己的，它客户域的，以及它兄弟域的真实地址空间集合传递给它的对等互联域；
　　一个域将它自己的，它客户域的，它兄弟域的，它服务者域的，以及它对等互联域的真实地址空间集合传递给它的其他客户域；
　　一个域将它自己的，它客户域的，它兄弟域的，它服务者域的，以及它对等互联域的真实地址空间集合传递给它的其他兄弟域。

　　如果这次验证规则更新被该域的验证规则生成引擎接受，查自治系统号到IPv6地址前缀映射表，将验证规则转换为以IPv6地址前缀形式表达的验证规则；最后，由验证规则生成引擎将新生成的以IPv6地址前缀形式表示的验证规则下装到本各个边界路由器上的验证引擎。

　　当分组流通过边界路由器时，该边界路由器上的验证引擎利用生成的验证规则检查转发的IPv6分组是否具有真实源地址，如果真实则转发分组，如果不真实则丢弃分组。

　　在真实源地址验证技术的具体实施过程中，基于自治系统互联关系的域间真实源地址验证技术更加适合部署中后期的网络环境。在这一时期的网络中，部署真实源地址验证机制的自治域在网络中已经占有一定比例，分布较为均匀或密集，采用基于自治系统互联关系的域间真实源地址验证技术，可以方便地在邻接的自治系统之间进行通信。基于自治系统互联关系的域间真实源地址验证技术的优点在于：该机制的过滤策略基于网络拓扑关系上的邻居，很容易与当前的路由协议等机制结合，部署方便。采用基于地址前缀的源地址过滤策略，算法易于实现，具有很高的处理性能。

　　域间真实源地址验证技术(非邻接部署)

　　非邻接部署的域间真实源地址验证技术的基本思想是：将部署本方案的域组成一个信任联盟，联盟内各个域的控制服务器通过端到端的方式交互彼此的地址空间信息和协商签名信息，然后由域的边界路由器在发送的IPv6分组中增加IPv6逐跳扩展报头存放签名，并在接收的IPv6分组中检查IPv6逐跳扩展报头中的签名是否正确来验证分组源地址的合法性。

　　整个系统由三部分组成：全局的注册服务器，每个部署本方案的域内的控制服务器，和每个部署本方案的域的边界路由器。

　　在控制层面，注册服务器维护所有部署了本方案的域中控制服务器的信息，所有部署了本方案的域组成一个联盟。在部署情况变化的时候即时更新信息。当一个新的域部署或者取消部署的时候，注册服务器把这个信息即时发送给其他域。

　　此外，在联盟中的每个域都需要部署控制服务器。控制服务器有如下三个重要的功能：
　　第一，和注册服务器通信，将自己注册到注册服务器上，并得到其他域的控制服务器的地址。
　　第二，和其他域的控制服务器协商签名，并交换彼此的地址前缀列表。
　　第三，控制该域的边界路由器，配置地址前缀映射表和进出方向的签名表。