5.2 可信任互联网研究进展
5.2.1 可信任互联网研究的背景和意义
由于互联网已经成为国家的重要基础设施,对国家经济、安全等方面影响重大,2011年美国政府发布了“网络空间国际战略(International Strategy for Cyberspace)”,将建立一个开放的、互操作的、安全的、可信赖的未来网络空间,将网络空间看成和国家海、陆、空、太空同等重要的国家战略性基础设施,成为国家的第五疆域,将网络空间安全提升到与军事和经济安全同等重要的地位,并试图借助其在网络和信息技术领域的优势构建在网络空间的霸权地位。下一代互联网是未来“网络空间”的重要基础和支撑设施,在未来“网络空间”的构建和安全管控中发挥着关键作用。
随着互联网应用的不断普及,社会对互联网的依赖程度越来越大,对互联网的安全可靠、互联网应用和信息的可信任性的要求越来越高。然而,由于互联网体系结构本身的脆弱性,以及现有互联网从设计、实现到维护技术中存在的缺陷,导致互联网上的安全事件频繁发生,人们对互联网的可信任性产生怀疑。因此,可信任性是下一代互联网需要解决的重大问题,下一代互联网的发展必须首先在可信任方面取得关键技术突破。
这里的可信比安全性富有更加广泛的技术内涵,在一定程度上更为重要,这是网络安全研究领域近来取得的新共识。可信的互联网应该具有如下特性:
(1)实现传统意义上的安全性,即系统和信息的保密性、完整性、可用性;
(2)真实性,即IP分组源地址、用户身份、信息来源、信息内容的真实性;
(3)可追查性,即网络实体发起的任何行为都可追踪到实体本身;
(4)隐私性,即用户的隐私是受到保护的,某些应用是可匿名的;
(5)抗毁性,在系统故障、恶意攻击的环境中,能够提供有效的服务;
(6)可控性,指对违反网络安全政策的行为具有控制能力。而这其中,真实性是实现可信任最重要的基础。
5.2.2 真实源地址验证相关研究进展
目前互联网中,IP地址兼具用户定位和身份标识的重要功能,网络流量管理、网络故障定位和排查、网络计费都依赖于IP地址的支持。然而IP地址存在随意更改的风险,恶意的攻击者可以伪造IP数据包中的IP地址,假装成合法用户进行非法操作,这种攻击称为IP地址欺骗攻击。IP地址欺骗攻击具有极大的危害,攻击者利用它可以获取当前网络的拓扑结构,消耗受害者的资源,获取受害者的敏感信息。同时,IP地址欺骗攻击有助于攻击者隐藏真实身份、逃避各种制裁,因此极受攻击者的青睐。而且,伪造的IP地址传递的虚假标识和定位信息给管理和计费带来了很多问题。随着IPv6的发展,移动性和多宿主为IP地址欺骗带来了更多的机会。IP地址欺骗带来的问题已成下一代互联网需要解决的一个重要安全问题。
可信任互联网的要点是对网络运行状态做到可知、可控、可管,其关键问题是网络应该能够识别网络报文的源地址是否真实,对伪造源地址的网络报文可以实施过滤和追溯等控制和管理等技术手段,有效防止IP地址欺骗,实现上述功能的核心技术称为真实源地址验证技术,是可信任互联网的重要技术基础。IPv6地址空间足够大,为真实源地址验证技术的发展提供了必要的基础条件,使得真实IPv6源地址验证技术成为可信任互联网关键技术。
现有的IP源地址验证相关研究技术涉及路由协议和网络安全的多个领域。下面按照主要实现技术的不同,把现有的IP源地址验证方法分为预先过滤类IP源地址验证方法、事后追踪类IP源地址验证方法和加密认证类IP源地址验证方法三类[5]。
1.预先过滤类IP源地址验证方法
过滤方法是一种预先处置的方法。它利用预先生成的验证规则,在路由器上过滤伪造源地址的分组。有代表性的方法有入口过滤、IEEE 802.1X基于端口的网络接入控制、IP源地址保护、DHCP租约查询、DPF、路由选择通知、SAVE和HCF。入口过滤需要在边界网络全局部署。IEEE 802.1X基于端口的网络接入控制、IP源地址保护、DHCP租约查询主要工作在接入子网环境下。DPF将验证规则的部署位置从边界网络扩展到了核心网络,并且支持增量部署,但是它只能获得IP前缀粒度的地址验证。RSN利用扩展BGP协议,生成IP源地址的验证规则,在一定程度上会受到BGP收敛情况的影响。SAVE设计了一个新的协议,在全网传递源地址验证规则信息,但是协议不分层,可部署性和可扩展性受到制约。HCF则是在目的节点使用的解决方案,发现伪造IP源地址的分组时,它已经穿过整个网络。下面对这些过滤类IP源地址验证方法分别进行介绍。
1)入口过滤(Ingress filtering)
入口过滤[6-10]的基本思想是在边界路由器上设置以合法IP地址前缀表示的验证规则集合,仅允许IP源地址是用户网络内部合法IP地址的分组进入ISP的网络。
对于验证规则的生成,现有的实现方法主要有两类:一类是静态的配置方法,使用访问控制表(ACL);另一类是动态的方法,称为单播反向路径转发(uRPF),Cisco、Juniper等厂商的路由器中都有实现,其基本思想是利用路由器的转发表,对于从接口I来的声称源地址是A的分组,如果在转发表中存在一项,目的地址是A所在的子网,转发接口同样为I,则认为该分组合法;否则丢弃。在Multi-homing网络环境下和IPv6网络环境下实现入口过滤方法目前在IETF也已经被提出。
入口过滤实现简单,但也存在局限。从部署策略来说,它要求所有的边界路由器全局部署。而且,需要验证的边界不仅在边缘网络,在ISP与ISP之间同样需要验证。从验证规则的生成来说,动态的入口过滤,如uRPF,依赖的假设是网络中不存在非对称路由,而这个假设并不总成立,因此需要解决对非对称路由的扩展支持。
2)IEEE 802.1X基于端口的网络接入控制
802.11协议是标准的无线局域网协议,其最初的主要目的是解决无线局域网用户的接入控制问题。随着网络的发展,对于一般的有线局域网的接入,有必要对端口加以控制,以实现用户级的接入控制。802.1X就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的标准。
802.1X的认证系统主要由以下三部分组成。
(1)客户端(Supplicant System),是PC或网络设备,需要通过交换机或无线接入设备接入网络。
(2)认证系统(Authenticator System),是边缘交换机或无线接入设备,根据客户端的认证状态控制端口,在客户端和认证服务器间充当代理(Proxy)。认证系统与客户端间通过EAP协议进行通信,认证系统与认证服务器间主要通过Radiu协议通信,认证系统要求客户端提供认证标识,接收到后再发送到认证服务器,认证系统根据认证服务器的结果控制端口是否可用。
(3)认证服务器(Authentication Server)对客户端进行实际认证,认证服务器核实客户的认证标识,通知认证系统是否允许客户端访问网络。
802.1X认证的目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证EAP报文通过。
在802.1X认证中,端口的状态决定了客户端是否能接入网络,在启用802.1X认证时端口初始状态一般为非授权状态(unauthorized),在该状态下,除802.1X报文和广播报文外不允许任何业务输入、输出通信。当客户通过认证后,则端口状态切换到授权状态(authorized),允许客户端通过端口进行正常通信。
802.1X关心的只是一个端口(物理的或逻辑的)是否打开,而不验证端口打开后继续转发的IP报文的源地址是否真实。
3)IP源地址保护
IP源地址保护[11](IP Source Guard)在二层交换设备的端口上提供IPv4地址过滤,以阻止一个恶意的端系统模仿一个合法的邻居端系统的IPv4地址。
这一技术使用动态主机配置协议监听(DHCP snooping)[12]生成IP地址和端口的绑定,或者使用静态手工配置IPv4源地址绑定,在不可信的二层设备端口上将IPv4地址和端系统绑定。
动态主机配置协议监听是由交换机支持的一种功能,当开启后,会对转发的DHCP请求应答报文进行侦听。其主要有两个功能:
(1)从接收的DHCP请求应答消息中提取MAC和IP地址关联信息;
(2)允许将物理端口设置为信任端口和不信任端口,信任端口允许通过DHCP协议消息,不信任端口则不允许。
因此,动态主机配置协议监听有两个作用:其一是隔绝不合法的DHCP Server;其二是建立MAC和IP的动态绑定表。
初始时,在受保护的端口上,除了DHCP协议消息以外的所有分组都被阻止。当一个客户端从DHCP服务器获得一个IP地址,或者在静态的IP源地址绑定被管理员手工配置在设备上时,所有的带有这一IPv4地址的流量都允许从该客户端发出,而来自其他端系统的流量则被阻止。这种过滤阻止了一个攻击者伪造自己邻居的IPv4地址来攻击网络的能力。IP源地址保护是一个基于端口的特性,并且可以隐式地实现端口访问控制表(PACL)。
这一方法目前只应用在IPv4网络中,并且主要用于一个端系统拥有一个网络接口,每个网络接口拥有一个IP地址的情况。
4)动态主机配置协议租约查询(DHCP Leasequery)
DHCPv4服务器维护着它分发给DHCP客户的IP地址信息。DHCP租约查询协议[13,14]
为网络设备(路由器、交换机)查询这些信息,提供了一种轻量级的方便机制。
系统主要由三部分组成:DHCP服务器、客户端系统和接入集中器(Access Concentrator)。
其中,接入集中器是支持DHCP中继代理(DHCP relay agent)[15]的路由器或交换机,位于宽带接入运营商的网络边缘。
协议交互主要有三个基本步骤:
(1)接入集中器发送DHCP Leasequery消息给DHCP服务器,携带客户端IP地址,MAC地址或客户标识信息;
(2)DHCP服务器返回和上述地址标识信息相关的位置信息;
(3)接入集中器参考这些位置信息,转发分组到客户端系统。
接入集中器可以根据利用DHCP Leasequery消息查询的位置信息对来自接入网络的分组进行IP源地址验证。
DHCP租约查询主要用于公众宽带网络接入环境,特别是DSL接入等环境。目前针对IPv4网络提出了解决方案,需要假设所有的地址分配都由DHCP进行,并且需要接入集中器支持DHCP中继代理。
5)分布式分组过滤
分布式分组过滤(Route-based Distributed Packet Filtering, DPF)[16]是一种基于路由的分组过滤方法。自治系统根据路由系统提供的源地址与路由器端口间的映射关系判断IP分组源地址的真实性。文献[16]通过模拟实验研究了DPF的有效性,因为互联网中网络节点连接的分布服从幂率分布,根据1997年BGP路由表生成的互联网拓扑,基于路由的DPF部署20%的AS能消除超过80%的伪造分组;而对于没有过滤掉的伪造分组,它的真实发送方可以被定位在较小的AS范围内。但是DPF并没有阐述具体用什么协议和方法生成IP源地址的验证规则。
一种应用于自治系统间,仅在边界路由器上过滤伪造源地址分组的方法IDPF[17]被提出。这种方法根据与直接邻居自治系统交换的BGP消息构建过滤伪造IP分组的验证规则。路由器根据路由策略形成的路由输出约束确定从发送方到接收方可能的上游自治系统集合,以此作为在自治系统间进行IP源地址验证的标准。但是由于IDPF不是基于发送方到接收方的唯一转发路由验证分组真实性,分组过滤的标准被模糊化,这大大降低了精确识别和过滤伪造IP源地址分组的能力。
6)路由选择通知
路由选择通知[18,19](RSN)通过扩展BGP协议为域间分布式分组过滤提供源地址验证规则。根据自治系统间的连接拓扑和域间路由形成的分组转发约束,验证进入本自治系统分组源地址的真实性,过滤使用伪造IP源地址的分组。
路由选择通知的基本设计思想是:AS选择一条路由后给发送这条路由的邻居AS回送一条消息,通知该路由被选择,而且在消息中附带本AS的地址空间,这也就是真实源地址应属于的地址范围。路由选择通知扩展中增加的消息类型命名为选择通知(Selection Notice)消息,简称SN消息。收到的所有SN消息中的信息命名为路由选择信息(Route Selection Information, RSI)。边界路由器根据RSI生成域间分组过滤所需的源地址验证规则。
SN消息的作用是:在路由被选择为最优路由时,通知路由发送者该路由被选择;在最优路由被取消或被其他路由替代时,通知路由发送者其发送的路由不再作为转发路由。SN消息还要带有发生路由变化的AS的地址空间以提供真实源地址范围。
SN消息包括五个数据域。
(1)“Select”域长度为1字节,可取值有两个:Select=1表示发送者选择了到达“Destination prefix”的路由;Select=0表示发送者取消了到达“Destination prefix”的路由。
(2)“Destination prefix length”域长度为2字节,表示“Destination prefix”域的长度。
(3)“Destination prefix”是一个变长域,其中的内容是被选择或被取消的路由的地址前缀,每个前缀由二元组<length;prefix>构成。
(4)“Source prefix length”域长度为2字节,表示“Source prefix”域的长度。
(5)“Source prefix”是变长域,其中的内容是发送者所在AS的地址空间,由一个或多个地址前缀组成,地址前缀由二元组<length;prefix>构成。
扩展了路由选择通知功能的BGP,除了支持发送SN消息外,还要能够处理和存储SN消息中的信息,形成分组源地址验证规则。为了减小“路由选择通知”扩展带来的额外通信开销,还设计了聚合多个路由选择消息的路由选择时钟机制。
由于BGP协议本身具有很强的扩展新功能的能力,BGP建立连接、维护连接、错误检验和消息传输等机制保证BGP会话有很强的可靠性。扩展BGP的方法可以利用已有的这些机制,减少重复设计、降低设计复杂度、减小路由器的开销。但是同时也不可避免地受到BGP收敛性问题的影响。
7)全网路由器过滤
Internet路由的非对称性决定了反向利用转发表(forwarding table)来确定分组的来源是不可靠的。文献[20,21]提出一个新的协议来构建一个和转发表相对的进入表(incoming table),用以作为验证规则,对IP分组的源地址的真实性进行验证。
路由器的转发表将路由器的输出接口和一个给定的目的地址空间关联起来,相对地,进入表将一个输入接口和一个给定的源地址空间关联起来。SAVE(Source AddressValidity Enforcement)协议的设计参照了路由协议的设计。路由更新被用来计算最优的路径,而SAVE的更新则被设计用来通知各个路由器已经被选中的路径,以允许在到目的地址路径上的所有路由器为指定的源地址空间计算输入接口。而路由器就利用这个进入表来实现对伪造IP源地址的过滤。
和入口过滤技术相比,SAVE协议在动态构建验证规则(即进入表)时,充分考虑了Internet路由的非对称性。同时,SAVE的部署既包括边缘网络,又包括核心网络。
但SAVE协议同样存在局限,首先SAVE虽然充分考虑了非对称路由问题,但是SAVE协议是没有内部层次的,整个Internet都是SAVE协议更新信息的传递域,实际应用的可扩展性有限;另外,SAVE协议要求全局部署,虽然提出了扩展增量部署方案iSAVE,但是实现复杂。
8)HCF
基于路由器跳数计数(hop-count)的分组过滤方法HCF[22,23](Hop-Count Filtering)。和前面介绍的分组过滤方法不同,HCF不是在网络中的路由器上实现的,而是在目的节点实现的。HCF的基本原理是:大多数伪造IP源地址的分组,当到达目的节点时,它所携带的路由器跳数计数和它所伪造的源地址应该到目的节点的跳数计数不一致。
HCF建立一个准确的IP地址到路由器跳数计数的映射表(IP2HC)。利用这个映射表检查每一个分组的路由器跳数计数。HCF有两种状态:alert和action。通常情况下,HCF处在alert状态下,监视异常的TTL行为,但是并不丢弃任何分组。当检测到攻击时(可以借助其他入侵检测手段的辅助),HCF切换到action状态,在这个状态下,HCF丢弃那些路由器跳数计数和IP2HC表中的记录值不匹配的分组。
实验表明HCF可以捕获90%的伪造源地址攻击分组,同时通过采用地址聚类的策略,占用的存储资源也很有限。它在目的节点而不是路由器上实现,也相对便于部署。但是它也具有以下缺陷:①在目的节点而不是中间路由器上实现过滤器,使得伪造源地址的分组只能在最后的目的节点被发现,浪费了网络带宽;②建立初始的IP2HC映射表所需要的时间周期太长,并且对于网络中路由变化频繁的情况不适用。
2.事后追踪类IP源地址验证方法
事后追踪类IP源地址验证方法是一类事后处置的方法。分组转发时,记录路径信息,并从目的端追踪伪造源地址分组的起源。主要的方案包括SPIE[24,25]、iTrace[26]、iTrace-CP[27]、PPM[28,29]、APPM[30]和DPM[31]等。
这类方法的关键在于记录分组转发路径信息的方式和追踪IP源地址的回溯算法。
按照记录分组转发路径信息的方式,事后追踪类IP源地址验证方法又可以分为三类。
(1)在路由器上记录分组转发的状态信息,称为记录(logging)方式,其表方案是SPIE。
(2)利用另外单独的分组来记录分组转发的状态信息,主要采用附加的ICMP协议消息,称为iTrace,还有基于iTrace的扩展方案iTrace-CP。
(3)直接在IP分组上记录其转发的状态信息,称为标记(marking)方式,其代表方案是概率分组标记(PPM),以及基于概率分组标记的扩展认证概率分组标记(APPM)等,还有针对特定IP分组的确定分组标记(DPM)等。
复杂的回溯算法是这类方法的主要缺陷。下面对几种主要的方案进行介绍。
1)SPIE
SPIE(Source Path Isolation Engine)的基本思想是利用实现在每个路由器中的“数据生成代理”(DGA)计算每个经过相应路由器转发的IP分组的32位哈希摘要,存入摘要表。一个区域内各个路由器的摘要数据有一个数据集中处理点,称为“收集与压缩代理”(SCAR)。此外,还有一个回溯管理器(STM),控制着整个SPIE系统,它和入侵检测系统或人机交互系统接口。当追踪的请求生成时,它验证请求的合法性,然后将请求分发到各个SCAR,并收集各个SCAR生成的局部攻击路径图,合成最后的追踪图表,重构分组转发路径。
SPIE的不足之处在于,按照作者提出的摘要哈希方法,还是可以出现不同的分组被映射成同样的摘要的情况。特别是在一个网络内部,这种可能大大增加。而且和其他基于分组标记的追踪方法相比,它对路由器存储空间的需求还是很大的,它能够观察的时间区段是有限的,要增大时间区段,就要成比例地扩大存储空间。这个系统的追踪结果在很大程度上会依赖入侵检测系统的灵敏性,如果入侵检测系统不敏锐,较长时间后才对网络进行分析,这时SPIE的效果就不好了。而在高带宽网络下,路由器存储空间也是系统的瓶颈。
2)iTrace
iTrace(ICMP-based traceback)的基本思想是,每个路由器都以较低的概率从其转发的IP分组中抽取样本,将样本IP分组的内容和相邻路由器等信息放入ICMP分组中发给目的节点。当目的节点遭受攻击时,就可以利用这些收到的信息重构攻击路径,追溯真实IP地址范围。这一方法将辅助追查的分组转发状态信息用单独的消息通知目的端。
iTrace不影响现有协议,支持逐步递增的实施,不需要ISP间的协作。但是局限在于:①随抽样概率的变化,增加了网络流量;②ICMP分组容易被伪造;③有些路由器会拒绝转发ICMP消息。
3)分组标记
分组标记直接在IP分组上标记其转发的路径信息。
最简单的直接标记算法采用类似于IP协议的记录路由选项机制。当分组通过路由器时,将路由器的地址加到分组的尾部。但是在实际中很难推广,因为它会造成分组长度不可估计。分组长度的不断增加还会带来分片和MTU发现等新问题。
对直接标记算法的改进产生了概率分组标记(PPM)。它的基本原理是当分组到达路由器时,以某种概率标记分组的部分路径信息。每个分组只包括路径的部分信息,当真正的攻击发生时往往会有大量的攻击分组,这样被攻击主机就可以得到足够的信息恢复出完整的攻击路径,进而追溯真实的IP源地址范围。但是概率分组标记类的算法无法处理伪造IP地址分组数量稀少的情况,那时没有足够的标记信息重构攻击路径。
从安全的角度考虑,不经过认证的分组标记很容易被攻击者利用,如果攻击者控制了网络中的某台路由器进而利用它进行虚假的分组标记,这将导致被攻击主机无法正确追溯真实的攻击源。于是有文献提出了基于消息认证码(MAC)的分组标记认证策略。
进一步的研究发现,通过重构完整的攻击路径的方式回溯不合法分组的真实IP地址其实是一种浪费。真正的关键在于确定伪造IP源地址分组经过的第一跳或靠近源端的前几跳路由器,于是产生了确定分组标记(DPM),然而确定第一跳路由器是困难的,而且对第一跳路由器地址的标记信息同样可以被伪造。
分组标记方法的局限在于接收方需要收到一定数量的分组(和分组标记概率p相关)才能追溯伪造源地址的分组,而且有些分组标记算法可能产生假阳性的结果,对复杂的DDoS的防御效果也不明显。
3.加密认证类IP源地址验证方法
加密认证方法的基本思想是通信双方通过密钥协商,预先建立认证的安全连接,然后基于这个安全连接进行通信。
加密认证方法主要有IPSec[32]和SPM[33]两种。
IPSec是一种端到端的方法,并且它的大规模部署依赖于全局的PKI。SPM(Spoofing Prevention Method)是一个自治系统到自治系统的解决方案,每一对互相通信的自治系统拥有一对单独的、临时的密钥做地址验证。采用以上两种方法,IP源地址真实性的检查只能在目的主机或目的自治系统中进行,并不能有效减少伪造IP源地址分组的流量。
部署SPM的所有AS形成一个信任联盟。对于任何两个不直接相邻却都属于信任联盟的自治系统,它们协商一对单独的动态同步变化的签名。
当一个分组离开它自己发源的自治系统,且目的地址也在另一个属于信任联盟的自治系统内时,源自治系统的边界路由器依据目的地址,查询预先协商好的签名表,并把这个签名加在分组上。当一个分组到达目的自治系统后,如果分组的源地址属于一个在信任联盟内的自治系统,目的自治系统的边界路由器根据分组IP源地址查找预先协商好的签名表,如果匹配,则去掉签名后转发给目的端;如果不匹配,则丢弃分组。
SPM能够保证联盟中每个AS的源地址不会被其他AS伪造,实现AS级别的粗粒度的IP源地址验证。参加SPM的AS在一定程度上可以保护本网络中的用户,因此具有运营商部署的激励,但是SPM密钥的管理、协商和同步难以控制。并且,伪造IP源地址的IP分组只有在转发到目的自治系统后才能被发现,因此浪费了网络带宽。
5.2.3 可信任互联网体系结构
清华大学等100所高校和科研单位在科技部“十五”863快速启动重大课题“可信任新一代互联网关键技术及应用示范研究”和国家“十一五”科技支撑计划重大项目“可信任互联网”的支持下,在可信任互联网方面已经取得了一定的研究成果,提出了新一代可信任互联网体系结构。
可信任的新一代互联网体系结构是一个层次模型,分为可信任的网络基础设施层、可信任的网络安全服务层和可信任的新一代互联网应用三个层次,利用基于真实IP地址的网络基础设施构建基于全局用户标识的可信任的安全服务,实现可信任的新一代互联网应用。
在可信任的网络基础设施层,实现新一代互联网的真实IP地址认证访问。在可信任的网络安全服务层,实现面向新一代互联网的全局网络身份标识和认证系统。在可信任的新一代互联网应用层,设计建立在真实IP地址认证访问、可信任安全服务基础上的可信任安全应用,并着重实现大规模点到点的综合通信平台、可信任的电子邮件服务和可信任的BBS服务模型。可信任互联网体系结构。
可信任互联网体系结构涉及多项关键技术。研究真实IPv6源地址验证技术,实现IP地址可信任;研究可扩展路由和交换技术,以实现路由可信任;研究统一服务标识和信誉模型,以实现服务可信任;构建大规模试验网,以实现基础设施和集成环境的可信任。
其中,真实源地址验证是解决互联网安全可信的重要基础之一。真实的位置标识Locator(分组发出的源位置)是可信任互联网的基础和前提,有利于杜绝各种安全攻击,有利于构建可信任互联网的安全服务和安全应用,真实源地址验证可以对网络分组的源进行有效的追溯和监控,保证网络测量统计信息的准确,可以实现基于真实源地址的计费,也可避免伪造源地址攻击占用大量网络资源造成巨大经济损失。
而基于真实源地址验证技术,设计了统一服务标识和信誉模型,这相当于中间层,作用非常重要,它给上层应用提供了基于底层真实地址的接口。它的作用是将底层的IP地址、MAC地址等信息和用户ID绑定,提交给上层应用。其中实现真实IPv6源地址认证的交换机保证MAC地址和IP地址是真实的、不可伪造的;交换机在用户认证开始时,把用户信息交给认证服务器,认证服务器将MAC地址、IP地址、交换机端口号Switch Port#和用户标识UserID通过签名的Ticket交给网络真实地址管理服务器。通过认证的用户可以访问上层应用,保证用户身份和真实地址的绑定。
5.2.4 真实IP源地址验证体系结构及其部署
真实IPv6源地址验证体系结构位于可信任互联网体系结构中的网络基础设施层面,是可信任网络其他层次的基础,十分重要。真实IPv6源地址验证体系结构的设计应满足以下原则。
(1)性能。IP源地址验证系统结构的部署不应降低现有路由和交换设备的分组转发性能。
(2)可扩展性。IP源地址验证系统结构应该支持在整个互联网的大规模部署。
(3)多重防御。IP源地址验证系统结构应该支持分层的、部署在网络不同位置的、满足不同粒度需求的源地址验证。
(4)松耦合。IP源地址验证系统结构应允许不同运营商采用各自不同的实现,系统各个部分相互独立,每个部分可以进行各自粒度的真实地址检查,每个部分的功能不依赖其他部分的实现。
(5)支持增量部署。IP源地址验证系统结构应该支持在全网渐进的、增量的部署,以及使在部分部署的时候仍可以获得一定程度的IP源地址验证效果。
(6)激励运营商。IP源地址验证系统结构的设计应体现“谁部署谁受益”的原则,部署IP源地址验证机制的运营商可以更加容易地发现和追踪网络中伪造源地址的分组,保护自己的网络。
(7)支持上层应用。
要实现全网的IP源地址验证,依赖单一的方法,部署在单一层次的位置是不现实的。因为互联网的路由和寻址是一个层次结构,相对应地,设计的源地址验证系统结构也应该是分层的。这里划分为三个层次:接入子网内IP源地址验证、自治系统内IP源地址验证和自治系统间IP源地址验证。
不同的层次实现不同粒度的IP源地址真实性验证。在每一个层次,允许不同的运营商采用不同的方法。这一系统结构设计是一个整体结构的简单性和各部分组成的灵活性的平衡。
(1)接入子网内IP源地址验证。
这是系统结构的重要组成部分,实现端系统IP地址一级的细粒度的IP源地址验证。如果没有这一级的验证,一个主机依然可以伪造IP地址前缀相同的同一子网内其他主机的地址。
接入子网内IP源地址验证具有以下特点:所有相关网络设备在同一个网络管理机构管理控制下。解决方案与接入子网的地址管理分配和控制策略密切相关。目前已经在IETF SAVI工作组提交了基于控制报文监听的解决方案,已进入工作组草案的标准化进程,即将实现标准化。
(2)自治系统内IP源地址验证。
这一层次相对简单,其目标是实现IP地址前缀粒度的IP源地址验证。因为自治系统内的网络设备都在同一个管理机构管理之下,主要的验证机制只需部署在运营商网络和接入网络的边界。清华大学已在此领域提出了CPF方法(Calculated Path Forwarding),即基于计算路径过滤的域内源地址验证方法。
(3)自治系统间IP源地址验证。
这是最复杂的一个层次,其目标是实现自治系统粒度的IP源地址验证。自治系统间IP源地址验证具有如下特点:需要在不同自治域间协同工作。机制必须简单轻权,不给自治系统间的高速通信带来明显影响。这一层次的验证协议设计还需要考虑可扩展性和对增量部署的支持。清华大学已在此领域提出了SMA方法(State Machine based Authentication),即通过同步状态机来实现端到端源地址验证的机制。
三个层次的IP源地址验证系统结构,将IP源地址验证的问题分解为三部分,分别实现端系统IP地址、IP地址前缀和自治系统粒度的IP源地址验证。
在互联网的边界,实现细粒度的端系统IP地址一级的验证;而在高流量的核心网络中,则通过简单并且可扩展的解决方案实现粗粒度的自治系统一级的验证,有效地避免了IP源地址验证机制成为网络的瓶颈。
