文/李杰 鄭志延

基于PIV架構(gòu)的IPv6真實(shí)源地址驗(yàn)證及實(shí)現(xiàn)研究

文/李杰1,2鄭志延1

互聯(lián)網(wǎng)業(yè)已成為信息社會的重要支柱，承擔(dān)著促進(jìn)社會進(jìn)步的關(guān)鍵使命。然而，當(dāng)前互聯(lián)網(wǎng)對于IP數(shù)據(jù)報(bào)文的分發(fā)機(jī)理卻存在著結(jié)構(gòu)性缺陷，即從體系結(jié)構(gòu)上不具備數(shù)據(jù)報(bào)文級別的真實(shí)性驗(yàn)證。該結(jié)構(gòu)性缺陷可被惡意攻擊者加以利用，通過偽造報(bào)文I P源地址假冒源端用戶來實(shí)施不法攻擊，而接收方卻不能判別報(bào)文中的源IP地址的真實(shí)性，也就無法確定分組是否來自真實(shí)的發(fā)送方。因此，IP源地址假冒已經(jīng)成為攻擊者擾亂互聯(lián)網(wǎng)運(yùn)營秩序、加害服務(wù)提供商、蓄意制造惡性安全事件的重要載體，終將導(dǎo)致無辜用戶和互聯(lián)網(wǎng)運(yùn)營商利益受到侵害。汲取歷史經(jīng)驗(yàn)，面向未來發(fā)展，下一代互聯(lián)網(wǎng)已將可信任列入其重要特征，無論網(wǎng)絡(luò)規(guī)模的日益拓展以及商業(yè)應(yīng)用的日益豐富，可信和可靠的特性將是下一代互聯(lián)網(wǎng)的極為關(guān)切和著力解決的重點(diǎn)課題。當(dāng)前下一代互聯(lián)網(wǎng)進(jìn)入到蓬勃的大發(fā)展時(shí)期，學(xué)術(shù)界和工業(yè)界已經(jīng)達(dá)成共識，IP源地址的真實(shí)性驗(yàn)證是互聯(lián)網(wǎng)的安全運(yùn)營和可持續(xù)發(fā)展的核心問題，下一代互聯(lián)網(wǎng)只有提供高度可信的網(wǎng)絡(luò)服務(wù)，才能滿足未來發(fā)展的需求。

圖1 擴(kuò)展MPLS AS間數(shù)據(jù)報(bào)文真實(shí)源地址驗(yàn)證

互聯(lián)網(wǎng)真實(shí)地址訪問技術(shù)發(fā)展

近年來，清華大學(xué)等單位針對目前互聯(lián)網(wǎng)存在的安全性弱、可信度低等主要問題，在重點(diǎn)解決互聯(lián)網(wǎng)真實(shí)地址訪問技術(shù)難題的基礎(chǔ)上，提出了基于真實(shí)IPv6源地址的網(wǎng)絡(luò)尋址體系結(jié)構(gòu)（SAVA），設(shè)計(jì)和實(shí)現(xiàn)了可信任的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施、安全服務(wù)和典型應(yīng)用，這期間清華大學(xué)已在IETF完成1項(xiàng)RFC5210標(biāo)準(zhǔn)，提交4項(xiàng)標(biāo)準(zhǔn)草案，并以此為基礎(chǔ)推動IETF成立專門工作組SAVI，使中國參與IETF國際標(biāo)準(zhǔn)方面實(shí)現(xiàn)了新的突破，產(chǎn)生了重要的國際影響。目前，真實(shí)IPv6源地址驗(yàn)證體系結(jié)構(gòu)的實(shí)現(xiàn)系統(tǒng)已經(jīng)在中國教育科研網(wǎng)絡(luò)（C N G ICERNET2）上部署和運(yùn)行，并且吸引了多家國內(nèi)外機(jī)構(gòu)、運(yùn)營商和設(shè)備制造商參與實(shí)現(xiàn)，國內(nèi)主要有：CERNET2、中國電信、中國移動等，國際上主要有：第三代跨歐亞信息網(wǎng)絡(luò)（TEIN3）、第二代泛歐洲教育和科研數(shù)據(jù)網(wǎng)絡(luò)（GEANT2）、亞太高等計(jì)算機(jī)網(wǎng)絡(luò)日本站（APAN-JP）、第二代韓國研究環(huán)境開放網(wǎng)絡(luò)（KREONet2）。上述機(jī)構(gòu)都擁有多個(gè)全局獨(dú)立的自治域，為學(xué)術(shù)界和工業(yè)界的致力于解決源地址假冒的科研工作及實(shí)驗(yàn)提供了多自治域的、開放的實(shí)驗(yàn)平臺，為解決下一代互聯(lián)網(wǎng)的安全隱患提供了重要保證，成為可信任下一代互聯(lián)網(wǎng)的重要技術(shù)基礎(chǔ)。

SAVA設(shè)計(jì)和實(shí)現(xiàn)了一種包括接入、域內(nèi)、域間源地址驗(yàn)證三個(gè)層次的真實(shí)IPv6源地址網(wǎng)絡(luò)尋址系統(tǒng)，分別在主機(jī)、IP地址前綴和自治域粒度上保證源IP地址的真實(shí)性。其中，自治域（AS）間IPv6真實(shí)源地址驗(yàn)證，其目標(biāo)是確保自治域間往來報(bào)文的源I P地址可信可靠，由于自治域是封閉獨(dú)立的管理域，管理者通常會綜合考慮其自身的經(jīng)濟(jì)、政治、軍事等多維利益，更多是不透明的、非對稱的獨(dú)立決策，因此這一層面的源地址驗(yàn)證也更加棘手，也是整個(gè)可信任的互聯(lián)網(wǎng)體系結(jié)構(gòu)中最為復(fù)雜的。

近年來，域間真實(shí)源地址驗(yàn)證方法研究取得了一些有益的進(jìn)展，典型的有Bremler-Barr等人提出的基于源－目的自治域?qū)?yīng)密鑰的域間IP欺騙過濾機(jī)制SPM，在SPM中每對互為通信對端的自治域維護(hù)一對私密的、唯一的密鑰來驗(yàn)證源地址的真實(shí)性，源域通過添加密鑰可保證源地址的真實(shí)性，目的域通過檢查密鑰來驗(yàn)證源地址的真實(shí)性。SPM適合應(yīng)用在早期的部署真實(shí)地址尋址機(jī)制的自治域較少、分布稀疏的網(wǎng)絡(luò)環(huán)境中，采用該方案可實(shí)現(xiàn)自治域粒度的真實(shí)源地址驗(yàn)證。APPA改進(jìn)了SPM機(jī)制，由部署驗(yàn)證機(jī)制的自治域集群組建信任聯(lián)盟，聯(lián)盟內(nèi)每一成員自治域各自維護(hù)與所有潛在通信對端自治域的一對分別用來生成和驗(yàn)證標(biāo)簽的狀態(tài)機(jī)，源域依據(jù)相應(yīng)狀態(tài)機(jī)生成確保源于本域的數(shù)據(jù)報(bào)文源地址真實(shí)性的標(biāo)簽并添加在報(bào)文擴(kuò)展頭中，目的域依據(jù)同樣的狀態(tài)機(jī)來驗(yàn)證標(biāo)簽，若驗(yàn)證通過則判定源地址是真實(shí)可信的，從而實(shí)現(xiàn)源地址前綴的驗(yàn)證。然而，在現(xiàn)有的較為典型的基于標(biāo)簽的域間IPv6真實(shí)源地址驗(yàn)證方法中，對于報(bào)文的驗(yàn)證仍然基于對報(bào)文的IP頭進(jìn)行分析和處理，這種機(jī)制使得路由器轉(zhuǎn)發(fā)層面必須維護(hù)數(shù)量龐大的轉(zhuǎn)發(fā)表項(xiàng)，同時(shí)也使得參與驗(yàn)證的路由設(shè)備必須對每一單位報(bào)文的IP頭進(jìn)行分析和處理，從一定程度上增大了驗(yàn)證開銷，使得驗(yàn)證延遲增大、效率降低，由成員變化帶來的影響輻射整個(gè)聯(lián)盟范圍，導(dǎo)致信任聯(lián)盟的增量部署難以實(shí)現(xiàn)。

圖2 ABR對來自域內(nèi)報(bào)文的處理流程

圖3 ABR對來自域外報(bào)文的處理流程

基于PIV架構(gòu)的IPv6真實(shí)源地址驗(yàn)證方法

基于PIV架構(gòu)的IPv6真實(shí)源地址驗(yàn)證方法是一種依托擴(kuò)展多協(xié)議標(biāo)簽交換（MPLS）網(wǎng)絡(luò)的、引入端到端的輕量級的真實(shí)性認(rèn)證機(jī)制的自治域間真實(shí)源地址驗(yàn)證方法，其排除了網(wǎng)絡(luò)拓?fù)?、路由路徑的影響，無需中間節(jié)點(diǎn)參與驗(yàn)證，部署本方法的AS可有效實(shí)現(xiàn)自治域粒度的真實(shí)地址訪問。

基本思想

本方法提出一種具有全局唯一性的、用于認(rèn)證報(bào)文源地址真實(shí)性和標(biāo)識報(bào)文源發(fā)性的新型MPLS標(biāo)簽，定義為SID。啟用該標(biāo)簽的自治域定義為擴(kuò)展MPLS AS，鄰接的擴(kuò)展MPLS AS依據(jù)隸屬關(guān)系、路由策略、網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)通信頻度和經(jīng)濟(jì)、政治、軍事利益等現(xiàn)實(shí)情況組建信任聯(lián)盟（Trust Alliance，TA）。信任聯(lián)盟由擴(kuò)展MPLS AS作為單位成員，在信任聯(lián)盟內(nèi)部成員自治域間協(xié)商啟用跨域擴(kuò)展MPLS網(wǎng)絡(luò)，通過實(shí)現(xiàn)源端級過濾防御、源端真實(shí)性和源發(fā)性認(rèn)證以及目的端驗(yàn)證的維P三IV驗(yàn)證架構(gòu)，構(gòu)建出一種具有自主過濾偽造報(bào)文功能和抵御源地址攻擊能力的信任聯(lián)盟體系結(jié)構(gòu)。從整體上看，信任聯(lián)盟就是具有源地址假冒過濾功能的、支持層次化標(biāo)簽交換路徑和面向連接的擴(kuò)展MPLS域。

擴(kuò)展MPLS AS間數(shù)據(jù)通信

在TA成員AS間互訪的通信場景中，成員AS間依托擴(kuò)展MPLS網(wǎng)絡(luò)分別協(xié)商和分配域內(nèi)轉(zhuǎn)發(fā)和域間轉(zhuǎn)發(fā)的標(biāo)簽，建立自治域內(nèi)轉(zhuǎn)發(fā)和自治域間轉(zhuǎn)發(fā)的標(biāo)簽交換路徑（LSP），并依據(jù)域內(nèi)和域間標(biāo)簽轉(zhuǎn)發(fā)表對收到的報(bào)文進(jìn)行轉(zhuǎn)發(fā)。在本方法提出的擴(kuò)展MPLS網(wǎng)絡(luò)中，源端擴(kuò)展MPLS AS出口自治域邊界路由器（ABR）依據(jù)驗(yàn)證規(guī)則對收到來自域內(nèi)流向域外的報(bào)文啟動第一級防御機(jī)制（Prevention）檢查并過濾本域發(fā)出的假冒報(bào)文，完成源地址真實(shí)性認(rèn)證，實(shí)現(xiàn)“自律”；而后啟動第二級防御機(jī)制（Identification）在通過驗(yàn)證的合法報(bào)文中MPLS擴(kuò)展頭部將本域?qū)?yīng)的全局唯一、私密的SID封裝入標(biāo)簽棧底，完成報(bào)文源發(fā)性標(biāo)識防止本域前綴被他人偽造，即實(shí)現(xiàn)“律他”，然后將標(biāo)簽棧頂用于域內(nèi)級別轉(zhuǎn)發(fā)的標(biāo)簽替換為域間級別的標(biāo)簽，將報(bào)文送入域間LSP上下游的相鄰的擴(kuò)展MPLS AS，當(dāng)相鄰擴(kuò)展MPLS AS的入口ABR收到報(bào)文后，并不處理MPLS標(biāo)簽頭部最內(nèi)層的SID標(biāo)簽和用于域間轉(zhuǎn)發(fā)的域間級別標(biāo)簽，而是在域間級別標(biāo)簽外側(cè)封裝用于本域內(nèi)部級別標(biāo)簽轉(zhuǎn)發(fā)的標(biāo)簽，向它的下游域內(nèi)的內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）鄰居標(biāo)簽交換路由器（LSR）轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文，當(dāng)報(bào)文沿著域內(nèi)LSP到達(dá)本域的出口ABR時(shí)由其剝?nèi)PLS標(biāo)簽頭部最外層的域內(nèi)級別轉(zhuǎn)發(fā)的標(biāo)簽，保留中間層的用于域間轉(zhuǎn)發(fā)的域間級別標(biāo)簽和最內(nèi)層的SID標(biāo)簽，將報(bào)文送入域間LSP上下游的擴(kuò)展MPLS AS。同理，報(bào)文在域間轉(zhuǎn)發(fā)過程中途經(jīng)的所有中間擴(kuò)展MPLS AS都不處理MPLS標(biāo)簽頭部最內(nèi)層的SID標(biāo)簽（標(biāo)簽棧底標(biāo)簽）。直至報(bào)文送達(dá)目的端擴(kuò)展MPLS AS的入口邊界時(shí)，由該擴(kuò)展MPLS A S的入口A B R啟動第三級防御機(jī)制（Validation），其依據(jù)驗(yàn)證規(guī)則驗(yàn)證該SID真實(shí)性和有效性，若驗(yàn)證合法則移除報(bào)文頭部的SID，繼續(xù)向域內(nèi)它的下游LSR轉(zhuǎn)發(fā)，報(bào)文沿著域內(nèi)LSP在LSR間依據(jù)域內(nèi)MPLS標(biāo)簽轉(zhuǎn)發(fā)，直至被送達(dá)目的端用戶。參見圖1。

技術(shù)實(shí)現(xiàn)

在數(shù)據(jù)層面，在信任聯(lián)盟TA成員間互訪的通信場景中，本方法依托擴(kuò)展MPLS網(wǎng)絡(luò)為每個(gè)MPLS轉(zhuǎn)發(fā)等價(jià)類（FEC）分配的域內(nèi)和域間級別的標(biāo)簽，啟動標(biāo)簽驅(qū)動的路由和轉(zhuǎn)發(fā)，報(bào)文在源端添加SID，在目的端驗(yàn)證并去除。在其他場景下，數(shù)據(jù)報(bào)文延用傳統(tǒng)IP網(wǎng)絡(luò)即基于目的地址轉(zhuǎn)發(fā)。在這一過程中，成員自治域的邊界路由器（ABR）根據(jù)到達(dá)數(shù)據(jù)報(bào)文流向，依據(jù)驗(yàn)證規(guī)則運(yùn)行防御和驗(yàn)證處理流程來過濾假冒（其數(shù)據(jù)層面的處理流程如圖2、3所示）。

在功能層面，本方法在功能上擴(kuò)展了傳統(tǒng)的MPLS，引入了認(rèn)證源地址真實(shí)性和標(biāo)識數(shù)據(jù)報(bào)文源發(fā)性的SID標(biāo)簽，SID始終處在標(biāo)簽棧底，只在報(bào)文到達(dá)目的端時(shí)才出棧驗(yàn)證，SID既作為真實(shí)性驗(yàn)證依據(jù)，又為假冒追溯提供了可能。數(shù)據(jù)報(bào)文的路由、轉(zhuǎn)發(fā)和驗(yàn)證完全是基于MPLS標(biāo)簽驅(qū)動的：一方面，路由設(shè)備僅根據(jù)短而定長的SID來標(biāo)識地址的源發(fā)性和驗(yàn)證地址的真實(shí)性，省去了傳統(tǒng)基于標(biāo)簽的驗(yàn)證方案中在報(bào)文IP頭部的標(biāo)簽添加、驗(yàn)證和解除的計(jì)算開銷，降低了每單位數(shù)據(jù)報(bào)文的驗(yàn)證復(fù)雜度、縮減了驗(yàn)證延遲；另一方面，數(shù)據(jù)報(bào)文依據(jù)封裝在2.5層MPLS頭部的短而定長的域內(nèi)和域間標(biāo)簽進(jìn)行轉(zhuǎn)發(fā)，省去了傳統(tǒng)基于IP轉(zhuǎn)發(fā)的軟件查找IP路由的復(fù)雜過程，排除了網(wǎng)絡(luò)拓?fù)?、路由路徑的影響，無需中間節(jié)點(diǎn)參與驗(yàn)證，不給運(yùn)營網(wǎng)絡(luò)和域間路由協(xié)議帶來負(fù)面影響，確保了數(shù)據(jù)報(bào)文跨域傳輸?shù)母咚俑咝?。同時(shí)，我們構(gòu)建的跨域擴(kuò)展MPLS網(wǎng)絡(luò)繼承了傳統(tǒng)MPLS的面向連接特性，可以有效實(shí)現(xiàn)服務(wù)質(zhì)量提升，根據(jù)不同用戶需求提供網(wǎng)絡(luò)資源預(yù)留和合理分配，提升網(wǎng)絡(luò)運(yùn)營的成本效益比率，避免不必要的網(wǎng)絡(luò)資源耗費(fèi)，因此具有一定的部署激勵。

在安全機(jī)制層面，本方法著重考慮了以下4點(diǎn)關(guān)鍵設(shè)計(jì)：（1）基于PIV架構(gòu)的多級防御機(jī)制，在源端確保了數(shù)據(jù)報(bào)文的真實(shí)性和源發(fā)性，有效實(shí)現(xiàn)了防止假冒他人的“自律機(jī)制”和抵御他人假冒的“律他機(jī)制”，在目的端的驗(yàn)證最終實(shí)現(xiàn)了信任聯(lián)盟范圍內(nèi)的真實(shí)地址訪問；（2）SID信息的加密和隔離機(jī)制，SID信息由源域私密生成，他域無法仿冒，終端用戶在收到數(shù)據(jù)報(bào)文前其中的SID信息就已經(jīng)處理和去除了，故抑制了惡意終端的攻擊行為，而且當(dāng)網(wǎng)絡(luò)安全狀況惡化時(shí)，信任聯(lián)盟成員自治域還可周期性更新SID信息，重新生成驗(yàn)證規(guī)則（如圖4所示）；（3）時(shí)間同步防御竊聽攻擊，一方面，在主干網(wǎng)絡(luò)上攻擊者很難實(shí)施竊聽攻擊，另一方面，本方法同時(shí)利用時(shí)間戳和網(wǎng)絡(luò)授時(shí)協(xié)議（NTP）啟動信任聯(lián)盟范圍內(nèi)的時(shí)間同步，防御竊聽攻擊；（4）安全信道機(jī)制，SID信息在聯(lián)盟范圍內(nèi)的分發(fā)采用的是內(nèi)嵌在BGP路由宣告報(bào)文中捎帶發(fā)布機(jī)制，因?yàn)槁酚上到y(tǒng)的封閉性和多重安全機(jī)制確保了SID信息宣告始終處在路由宣告安全信道中，同時(shí)當(dāng)需要更新SID信息時(shí)，本方法還采用TCP攔截防御和Diffie-Hellman協(xié)議來構(gòu)建SID信息交互的安全信道，如圖4所示。

圖4 基于SID信息交互的驗(yàn)證規(guī)則建立和更新SID信息在安全信道中的交互

圖5 方法在CNGI-CERNET2上試驗(yàn)性部署

實(shí)驗(yàn)部署

目前，真實(shí)IPv6源地址驗(yàn)證體系結(jié)構(gòu)（SAVA）的實(shí)現(xiàn)系統(tǒng)已經(jīng)在CNGICERNET2網(wǎng)絡(luò)上試驗(yàn)性部署、運(yùn)行和測試，并且吸引了多家國內(nèi)外機(jī)構(gòu)、運(yùn)營商和設(shè)備制造商參與實(shí)現(xiàn)，這些機(jī)構(gòu)都擁有多個(gè)全局獨(dú)立的自治域編號，為域間真實(shí)源地址驗(yàn)證方案提供了一個(gè)多自治域的實(shí)驗(yàn)環(huán)境。依據(jù)CNGI-CERNET2實(shí)際網(wǎng)絡(luò)環(huán)境和運(yùn)營狀況，在域間源地址驗(yàn)證方案實(shí)驗(yàn)性部署時(shí)，我們選取了北京邊界、上海邊界、合肥邊界和廈門邊界4個(gè)獨(dú)立自治域作為實(shí)驗(yàn)部署點(diǎn)和實(shí)驗(yàn)數(shù)據(jù)監(jiān)測點(diǎn)，實(shí)驗(yàn)?zāi)康氖窃谠诓挥绊懺性O(shè)備功能、性能和正常運(yùn)行的前提下，通過增加板卡或系統(tǒng)固件升級的方式，增加源地址驗(yàn)證功能，在4個(gè)自治域間搭建跨域擴(kuò)展MPLS網(wǎng)絡(luò)，組建CNGI-CERNET2信任聯(lián)盟，分別在4個(gè)自治域節(jié)點(diǎn)增設(shè)高性能測試服務(wù)器，構(gòu)建了3種跨自治域通信場景，對本方法進(jìn)行了系統(tǒng)測試。部署可行方案示意圖如圖5所示，實(shí)驗(yàn)結(jié)果表明本方法可以有效實(shí)現(xiàn)自治域粒度的真實(shí)地址訪問功能。

本文依托真實(shí)源地址驗(yàn)證體系結(jié)構(gòu)（SAVA），提出了一種新型的自治域間真實(shí)源地址驗(yàn)證方法，該方法在信任聯(lián)盟成員自治域間協(xié)商組建跨域擴(kuò)展MPLS網(wǎng)絡(luò)并引入了具有認(rèn)證源地址真實(shí)性和源發(fā)性的自治域源標(biāo)識SID，實(shí)現(xiàn)了源端級過濾、源端真實(shí)性和源發(fā)性標(biāo)記以及目的端驗(yàn)證的三維PIV驗(yàn)證架構(gòu)，構(gòu)建出一種具有自主過濾偽造報(bào)文功能和抵御源地址假冒攻擊能力的信任聯(lián)盟體系結(jié)構(gòu)。

（作者單位：1為清華大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)系；2為國防信息學(xué)院）