互联网业已成为信息社会的重要支柱,承担着促进社会进步的关键使命。然而,当前互联网对于IP数据报文的分发机理却存在着结构性缺陷,即从体系结构上不具备数据报文级别的真实性验证。该结构性缺陷可被恶意攻击者加以利用,通过伪造报文IP 源地址假冒源端用户来实施不法攻击,而接收方却不能判别报文中的源IP地址的真实性,也就无法确定分组是否来自真实的发送方。因此,IP源地址假冒已经成为攻击者扰乱互联网运营秩序、加害服务提供商、蓄意制造恶性安全事件的重要载体,终将导致无辜用户和互联网运营商利益受到侵害。汲取历史经验,面向未来发展,下一代互联网已将可信任列入其重要特征,无论网络规模的日益拓展以及商业应用的日益丰富,可信和可靠的特性将是下一代互联网的极为关切和着力解决的重点课题。当前下一代互联网进入到蓬勃的大发展时期,学术界和工业界已经达成共识,IP源地址的真实性验证是互联网的安全运营和可持续发展的核心问题,下一代互联网只有提供高度可信的网络服务,才能满足未来发展的需求。
互联网真实地址访问技术发展
近年来,清华大学等单位针对目前互联网存在的安全性弱、可信度低等主要问题,在重点解决互联网真实地址访问技术难题的基础上,提出了基于真实IPv6源地址的网络寻址体系结构(SAVA),设计和实现了可信任的互联网基础设施、安全服务和典型应用,这期间清华大学已在IETF完成1项RFC5210标准,提交4项标准草案,并以此为基础推动IETF 成立专门工作组SAVI,使中国参与IETF国际标准方面实现了新的突破,产生了重要的国际影响。目前,真实IPv6源地址验证体系结构的实现系统已经在中国教育科研网络(CNGI-CERNET2)上部署和运行,并且吸引了多家国内外机构、运营商和设备制造商参与实现,国内主要有:CERNET2、中国电信、中国移动等,国际上主要有:第三代跨欧亚信息网络(TEIN3)、第二代泛欧洲教育和科研数据网络(GEANT2)、亚太高等计算机网络日本站(APAN-JP)、第二代韩国研究环境开放网络(KREONet2)。上述机构都拥有多个全局独立的自治域,为学术界和工业界的致力于解决源地址假冒的科研工作及实验提供了多自治域的、开放的实验平台,为解决下一代互联网的安全隐患提供了重要保证,成为可信任下一代互联网的重要技术基础。
SAVA设计和实现了一种包括接入、域内、域间源地址验证三个层次的真实IPv6源地址网络寻址系统,分别在主机、IP地址前缀和自治域粒度上保证源IP地址的真实性。其中,自治域(AS)间IPv6真实源地址验证,其目标是确保自治域间往来报文的源I P 地址可信可靠,由于自治域是封闭独立的管理域,管理者通常会综合考虑其自身的经济、政治、军事等多维利益,更多是不透明的、非对称的独立决策,因此这一层面的源地址验证也更加棘手,也是整个可信任的互联网体系结构中最为复杂的。
近年来,域间真实源地址验证方法研究取得了一些有益的进展,典型的有Bremler-Barr等人提出的基于源-目的自治域对应密钥的域间IP欺骗过滤机制SPM,在SPM中每对互为通信对端的自治域维护一对私密的、唯一的密钥来验证源地址的真实性,源域通过添加密钥可保证源地址的真实性,目的域通过检查密钥来验证源地址的真实性。SPM适合应用在早期的部署真实地址寻址机制的自治域较少、分布稀疏的网络环境中,采用该方案可实现自治域粒度的真实源地址验证。APPA改进了SPM机制,由部署验证机制的自治域集群组建信任联盟,联盟内每一成员自治域各自维护与所有潜在通信对端自治域的一对分别用来生成和验证标签的状态机,源域依据相应状态机生成确保源于本域的数据报文源地址真实性的标签并添加在报文扩展头中,目的域依据同样的状态机来验证标签,若验证通过则判定源地址是真实可信的,从而实现源地址前缀的验证。然而,在现有的较为典型的基于标签的域间IPv6真实源地址验证方法中,对于报文的验证仍然基于对报文的IP 头进行分析和处理,这种机制使得路由器转发层面必须维护数量庞大的转发表项,同时也使得参与验证的路由设备必须对每一单位报文的IP头进行分析和处理,从一定程度上增大了验证开销,使得验证延迟增大、效率降低,由成员变化带来的影响辐射整个联盟范围,导致信任联盟的增量部署难以实现。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。