文/李杰 鄭志延

基于PIV架構(gòu)的IPv6真實源地址驗證及實現(xiàn)研究

文/李杰1,2鄭志延1

互聯(lián)網(wǎng)業(yè)已成為信息社會的重要支柱，承擔(dān)著促進社會進步的關(guān)鍵使命。然而，當(dāng)前互聯(lián)網(wǎng)對于IP數(shù)據(jù)報文的分發(fā)機理卻存在著結(jié)構(gòu)性缺陷，即從體系結(jié)構(gòu)上不具備數(shù)據(jù)報文級別的真實性驗證。該結(jié)構(gòu)性缺陷可被惡意攻擊者加以利用，通過偽造報文I P源地址假冒源端用戶來實施不法攻擊，而接收方卻不能判別報文中的源IP地址的真實性，也就無法確定分組是否來自真實的發(fā)送方。因此，IP源地址假冒已經(jīng)成為攻擊者擾亂互聯(lián)網(wǎng)運營秩序、加害服務(wù)提供商、蓄意制造惡性安全事件的重要載體，終將導(dǎo)致無辜用戶和互聯(lián)網(wǎng)運營商利益受到侵害。汲取歷史經(jīng)驗，面向未來發(fā)展，下一代互聯(lián)網(wǎng)已將可信任列入其重要特征，無論網(wǎng)絡(luò)規(guī)模的日益拓展以及商業(yè)應(yīng)用的日益豐富，可信和可靠的特性將是下一代互聯(lián)網(wǎng)的極為關(guān)切和著力解決的重點課題。當(dāng)前下一代互聯(lián)網(wǎng)進入到蓬勃的大發(fā)展時期，學(xué)術(shù)界和工業(yè)界已經(jīng)達(dá)成共識，IP源地址的真實性驗證是互聯(lián)網(wǎng)的安全運營和可持續(xù)發(fā)展的核心問題，下一代互聯(lián)網(wǎng)只有提供高度可信的網(wǎng)絡(luò)服務(wù)，才能滿足未來發(fā)展的需求。

圖1 擴展MPLS AS間數(shù)據(jù)報文真實源地址驗證

互聯(lián)網(wǎng)真實地址訪問技術(shù)發(fā)展

近年來，清華大學(xué)等單位針對目前互聯(lián)網(wǎng)存在的安全性弱、可信度低等主要問題，在重點解決互聯(lián)網(wǎng)真實地址訪問技術(shù)難題的基礎(chǔ)上，提出了基于真實IPv6源地址的網(wǎng)絡(luò)尋址體系結(jié)構(gòu)（SAVA），設(shè)計和實現(xiàn)了可信任的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施、安全服務(wù)和典型應(yīng)用，這期間清華大學(xué)已在IETF完成1項RFC5210標(biāo)準(zhǔn)，提交4項標(biāo)準(zhǔn)草案，并以此為基礎(chǔ)推動IETF成立專門工作組SAVI，使中國參與IETF國際標(biāo)準(zhǔn)方面實現(xiàn)了新的突破，產(chǎn)生了重要的國際影響。目前，真實IPv6源地址驗證體系結(jié)構(gòu)的實現(xiàn)系統(tǒng)已經(jīng)在中國教育科研網(wǎng)絡(luò)（C N G ICERNET2）上部署和運行，并且吸引了多家國內(nèi)外機構(gòu)、運營商和設(shè)備制造商參與實現(xiàn)，國內(nèi)主要有：CERNET2、中國電信、中國移動等，國際上主要有：第三代跨歐亞信息網(wǎng)絡(luò)（TEIN3）、第二代泛歐洲教育和科研數(shù)據(jù)網(wǎng)絡(luò)（GEANT2）、亞太高等計算機網(wǎng)絡(luò)日本站（APAN-JP）、第二代韓國研究環(huán)境開放網(wǎng)絡(luò)（KREONet2）。上述機構(gòu)都擁有多個全局獨立的自治域，為學(xué)術(shù)界和工業(yè)界的致力于解決源地址假冒的科研工作及實驗提供了多自治域的、開放的實驗平臺，為解決下一代互聯(lián)網(wǎng)的安全隱患提供了重要保證，成為可信任下一代互聯(lián)網(wǎng)的重要技術(shù)基礎(chǔ)。

SAVA設(shè)計和實現(xiàn)了一種包括接入、域內(nèi)、域間源地址驗證三個層次的真實IPv6源地址網(wǎng)絡(luò)尋址系統(tǒng)，分別在主機、IP地址前綴和自治域粒度上保證源IP地址的真實性。其中，自治域（AS）間IPv6真實源地址驗證，其目標(biāo)是確保自治域間往來報文的源I P地址可信可靠，由于自治域是封閉獨立的管理域，管理者通常會綜合考慮其自身的經(jīng)濟、政治、軍事等多維利益，更多是不透明的、非對稱的獨立決策，因此這一層面的源地址驗證也更加棘手，也是整個可信任的互聯(lián)網(wǎng)體系結(jié)構(gòu)中最為復(fù)雜的。

近年來，域間真實源地址驗證方法研究取得了一些有益的進展，典型的有Bremler-Barr等人提出的基于源－目的自治域?qū)?yīng)密鑰的域間IP欺騙過濾機制SPM，在SPM中每對互為通信對端的自治域維護一對私密的、唯一的密鑰來驗證源地址的真實性，源域通過添加密鑰可保證源地址的真實性，目的域通過檢查密鑰來驗證源地址的真實性。SPM適合應(yīng)用在早期的部署真實地址尋址機制的自治域較少、分布稀疏的網(wǎng)絡(luò)環(huán)境中，采用該方案可實現(xiàn)自治域粒度的真實源地址驗證。APPA改進了SPM機制，由部署驗證機制的自治域集群組建信任聯(lián)盟，聯(lián)盟內(nèi)每一成員自治域各自維護與所有潛在通信對端自治域的一對分別用來生成和驗證標(biāo)簽的狀態(tài)機，源域依據(jù)相應(yīng)狀態(tài)機生成確保源于本域的數(shù)據(jù)報文源地址真實性的標(biāo)簽并添加在報文擴展頭中，目的域依據(jù)同樣的狀態(tài)機來驗證標(biāo)簽，若驗證通過則判定源地址是真實可信的，從而實現(xiàn)源地址前綴的驗證。然而，在現(xiàn)有的較為典型的基于標(biāo)簽的域間IPv6真實源地址驗證方法中，對于報文的驗證仍然基于對報文的IP頭進行分析和處理，這種機制使得路由器轉(zhuǎn)發(fā)層面必須維護數(shù)量龐大的轉(zhuǎn)發(fā)表項，同時也使得參與驗證的路由設(shè)備必須對每一單位報文的IP頭進行分析和處理，從一定程度上增大了驗證開銷，使得驗證延遲增大、效率降低，由成員變化帶來的影響輻射整個聯(lián)盟范圍，導(dǎo)致信任聯(lián)盟的增量部署難以實現(xiàn)。

圖2 ABR對來自域內(nèi)報文的處理流程

圖3 ABR對來自域外報文的處理流程

基于PIV架構(gòu)的IPv6真實源地址驗證方法

基于PIV架構(gòu)的IPv6真實源地址驗證方法是一種依托擴展多協(xié)議標(biāo)簽交換（MPLS）網(wǎng)絡(luò)的、引入端到端的輕量級的真實性認(rèn)證機制的自治域間真實源地址驗證方法，其排除了網(wǎng)絡(luò)拓?fù)?、路由路徑的影響，無需中間節(jié)點參與驗證，部署本方法的AS可有效實現(xiàn)自治域粒度的真實地址訪問。

基本思想

本方法提出一種具有全局唯一性的、用于認(rèn)證報文源地址真實性和標(biāo)識報文源發(fā)性的新型MPLS標(biāo)簽，定義為SID。啟用該標(biāo)簽的自治域定義為擴展MPLS AS，鄰接的擴展MPLS AS依據(jù)隸屬關(guān)系、路由策略、網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)通信頻度和經(jīng)濟、政治、軍事利益等現(xiàn)實情況組建信任聯(lián)盟（Trust Alliance，TA）。信任聯(lián)盟由擴展MPLS AS作為單位成員，在信任聯(lián)盟內(nèi)部成員自治域間協(xié)商啟用跨域擴展MPLS網(wǎng)絡(luò)，通過實現(xiàn)源端級過濾防御、源端真實性和源發(fā)性認(rèn)證以及目的端驗證的維P三IV驗證架構(gòu)，構(gòu)建出一種具有自主過濾偽造報文功能和抵御源地址攻擊能力的信任聯(lián)盟體系結(jié)構(gòu)。從整體上看，信任聯(lián)盟就是具有源地址假冒過濾功能的、支持層次化標(biāo)簽交換路徑和面向連接的擴展MPLS域。

擴展MPLS AS間數(shù)據(jù)通信

在TA成員AS間互訪的通信場景中，成員AS間依托擴展MPLS網(wǎng)絡(luò)分別協(xié)商和分配域內(nèi)轉(zhuǎn)發(fā)和域間轉(zhuǎn)發(fā)的標(biāo)簽，建立自治域內(nèi)轉(zhuǎn)發(fā)和自治域間轉(zhuǎn)發(fā)的標(biāo)簽交換路徑（LSP），并依據(jù)域內(nèi)和域間標(biāo)簽轉(zhuǎn)發(fā)表對收到的報文進行轉(zhuǎn)發(fā)。在本方法提出的擴展MPLS網(wǎng)絡(luò)中，源端擴展MPLS AS出口自治域邊界路由器（ABR）依據(jù)驗證規(guī)則對收到來自域內(nèi)流向域外的報文啟動第一級防御機制（Prevention）檢查并過濾本域發(fā)出的假冒報文，完成源地址真實性認(rèn)證，實現(xiàn)“自律”；而后啟動第二級防御機制（Identification）在通過驗證的合法報文中MPLS擴展頭部將本域?qū)?yīng)的全局唯一、私密的SID封裝入標(biāo)簽棧底，完成報文源發(fā)性標(biāo)識防止本域前綴被他人偽造，即實現(xiàn)“律他”，然后將標(biāo)簽棧頂用于域內(nèi)級別轉(zhuǎn)發(fā)的標(biāo)簽替換為域間級別的標(biāo)簽，將報文送入域間LSP上下游的相鄰的擴展MPLS AS，當(dāng)相鄰擴展MPLS AS的入口ABR收到報文后，并不處理MPLS標(biāo)簽頭部最內(nèi)層的SID標(biāo)簽和用于域間轉(zhuǎn)發(fā)的域間級別標(biāo)簽，而是在域間級別標(biāo)簽外側(cè)封裝用于本域內(nèi)部級別標(biāo)簽轉(zhuǎn)發(fā)的標(biāo)簽，向它的下游域內(nèi)的內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）鄰居標(biāo)簽交換路由器（LSR）轉(zhuǎn)發(fā)數(shù)據(jù)報文，當(dāng)報文沿著域內(nèi)LSP到達(dá)本域的出口ABR時由其剝?nèi)PLS標(biāo)簽頭部最外層的域內(nèi)級別轉(zhuǎn)發(fā)的標(biāo)簽，保留中間層的用于域間轉(zhuǎn)發(fā)的域間級別標(biāo)簽和最內(nèi)層的SID標(biāo)簽，將報文送入域間LSP上下游的擴展MPLS AS。同理，報文在域間轉(zhuǎn)發(fā)過程中途經(jīng)的所有中間擴展MPLS AS都不處理MPLS標(biāo)簽頭部最內(nèi)層的SID標(biāo)簽（標(biāo)簽棧底標(biāo)簽）。直至報文送達(dá)目的端擴展MPLS AS的入口邊界時，由該擴展MPLS A S的入口A B R啟動第三級防御機制（Validation），其依據(jù)驗證規(guī)則驗證該SID真實性和有效性，若驗證合法則移除報文頭部的SID，繼續(xù)向域內(nèi)它的下游LSR轉(zhuǎn)發(fā)，報文沿著域內(nèi)LSP在LSR間依據(jù)域內(nèi)MPLS標(biāo)簽轉(zhuǎn)發(fā)，直至被送達(dá)目的端用戶。參見圖1。

技術(shù)實現(xiàn)

在數(shù)據(jù)層面，在信任聯(lián)盟TA成員間互訪的通信場景中，本方法依托擴展MPLS網(wǎng)絡(luò)為每個MPLS轉(zhuǎn)發(fā)等價類（FEC）分配的域內(nèi)和域間級別的標(biāo)簽，啟動標(biāo)簽驅(qū)動的路由和轉(zhuǎn)發(fā)，報文在源端添加SID，在目的端驗證并去除。在其他場景下，數(shù)據(jù)報文延用傳統(tǒng)IP網(wǎng)絡(luò)即基于目的地址轉(zhuǎn)發(fā)。在這一過程中，成員自治域的邊界路由器（ABR）根據(jù)到達(dá)數(shù)據(jù)報文流向，依據(jù)驗證規(guī)則運行防御和驗證處理流程來過濾假冒（其數(shù)據(jù)層面的處理流程如圖2、3所示）。

在功能層面，本方法在功能上擴展了傳統(tǒng)的MPLS，引入了認(rèn)證源地址真實性和標(biāo)識數(shù)據(jù)報文源發(fā)性的SID標(biāo)簽，SID始終處在標(biāo)簽棧底，只在報文到達(dá)目的端時才出棧驗證，SID既作為真實性驗證依據(jù)，又為假冒追溯提供了可能。數(shù)據(jù)報文的路由、轉(zhuǎn)發(fā)和驗證完全是基于MPLS標(biāo)簽驅(qū)動的：一方面，路由設(shè)備僅根據(jù)短而定長的SID來標(biāo)識地址的源發(fā)性和驗證地址的真實性，省去了傳統(tǒng)基于標(biāo)簽的驗證方案中在報文IP頭部的標(biāo)簽添加、驗證和解除的計算開銷，降低了每單位數(shù)據(jù)報文的驗證復(fù)雜度、縮減了驗證延遲；另一方面，數(shù)據(jù)報文依據(jù)封裝在2.5層MPLS頭部的短而定長的域內(nèi)和域間標(biāo)簽進行轉(zhuǎn)發(fā)，省去了傳統(tǒng)基于IP轉(zhuǎn)發(fā)的軟件查找IP路由的復(fù)雜過程，排除了網(wǎng)絡(luò)拓?fù)洹⒙酚陕窂降挠绊?，無需中間節(jié)點參與驗證，不給運營網(wǎng)絡(luò)和域間路由協(xié)議帶來負(fù)面影響，確保了數(shù)據(jù)報文跨域傳輸?shù)母咚俑咝?。同時，我們構(gòu)建的跨域擴展MPLS網(wǎng)絡(luò)繼承了傳統(tǒng)MPLS的面向連接特性，可以有效實現(xiàn)服務(wù)質(zhì)量提升，根據(jù)不同用戶需求提供網(wǎng)絡(luò)資源預(yù)留和合理分配，提升網(wǎng)絡(luò)運營的成本效益比率，避免不必要的網(wǎng)絡(luò)資源耗費，因此具有一定的部署激勵。

在安全機制層面，本方法著重考慮了以下4點關(guān)鍵設(shè)計：（1）基于PIV架構(gòu)的多級防御機制，在源端確保了數(shù)據(jù)報文的真實性和源發(fā)性，有效實現(xiàn)了防止假冒他人的“自律機制”和抵御他人假冒的“律他機制”，在目的端的驗證最終實現(xiàn)了信任聯(lián)盟范圍內(nèi)的真實地址訪問；（2）SID信息的加密和隔離機制，SID信息由源域私密生成，他域無法仿冒，終端用戶在收到數(shù)據(jù)報文前其中的SID信息就已經(jīng)處理和去除了，故抑制了惡意終端的攻擊行為，而且當(dāng)網(wǎng)絡(luò)安全狀況惡化時，信任聯(lián)盟成員自治域還可周期性更新SID信息，重新生成驗證規(guī)則（如圖4所示）；（3）時間同步防御竊聽攻擊，一方面，在主干網(wǎng)絡(luò)上攻擊者很難實施竊聽攻擊，另一方面，本方法同時利用時間戳和網(wǎng)絡(luò)授時協(xié)議（NTP）啟動信任聯(lián)盟范圍內(nèi)的時間同步，防御竊聽攻擊；（4）安全信道機制，SID信息在聯(lián)盟范圍內(nèi)的分發(fā)采用的是內(nèi)嵌在BGP路由宣告報文中捎帶發(fā)布機制，因為路由系統(tǒng)的封閉性和多重安全機制確保了SID信息宣告始終處在路由宣告安全信道中，同時當(dāng)需要更新SID信息時，本方法還采用TCP攔截防御和Diffie-Hellman協(xié)議來構(gòu)建SID信息交互的安全信道，如圖4所示。

圖4 基于SID信息交互的驗證規(guī)則建立和更新SID信息在安全信道中的交互

圖5 方法在CNGI-CERNET2上試驗性部署

實驗部署

目前，真實IPv6源地址驗證體系結(jié)構(gòu)（SAVA）的實現(xiàn)系統(tǒng)已經(jīng)在CNGICERNET2網(wǎng)絡(luò)上試驗性部署、運行和測試，并且吸引了多家國內(nèi)外機構(gòu)、運營商和設(shè)備制造商參與實現(xiàn)，這些機構(gòu)都擁有多個全局獨立的自治域編號，為域間真實源地址驗證方案提供了一個多自治域的實驗環(huán)境。依據(jù)CNGI-CERNET2實際網(wǎng)絡(luò)環(huán)境和運營狀況，在域間源地址驗證方案實驗性部署時，我們選取了北京邊界、上海邊界、合肥邊界和廈門邊界4個獨立自治域作為實驗部署點和實驗數(shù)據(jù)監(jiān)測點，實驗?zāi)康氖窃谠诓挥绊懺性O(shè)備功能、性能和正常運行的前提下，通過增加板卡或系統(tǒng)固件升級的方式，增加源地址驗證功能，在4個自治域間搭建跨域擴展MPLS網(wǎng)絡(luò)，組建CNGI-CERNET2信任聯(lián)盟，分別在4個自治域節(jié)點增設(shè)高性能測試服務(wù)器，構(gòu)建了3種跨自治域通信場景，對本方法進行了系統(tǒng)測試。部署可行方案示意圖如圖5所示，實驗結(jié)果表明本方法可以有效實現(xiàn)自治域粒度的真實地址訪問功能。

本文依托真實源地址驗證體系結(jié)構(gòu)（SAVA），提出了一種新型的自治域間真實源地址驗證方法，該方法在信任聯(lián)盟成員自治域間協(xié)商組建跨域擴展MPLS網(wǎng)絡(luò)并引入了具有認(rèn)證源地址真實性和源發(fā)性的自治域源標(biāo)識SID，實現(xiàn)了源端級過濾、源端真實性和源發(fā)性標(biāo)記以及目的端驗證的三維PIV驗證架構(gòu)，構(gòu)建出一種具有自主過濾偽造報文功能和抵御源地址假冒攻擊能力的信任聯(lián)盟體系結(jié)構(gòu)。

（作者單位：1為清華大學(xué)計算機科學(xué)與技術(shù)系；2為國防信息學(xué)院）