下一代互联网真实地址寻址技术实现及试验情况.doc

下一代互联网真实地址寻址技术实现及试验情况毕 军，吴建平，程祥斌（清华大学信息网络工程研究中心 北京 100084）摘要 随着网络规模的不断扩大和应用方式的多样化，互联网在安全可信方面正面临着挑战。作为可信任下一代互联网的重要基础，研究真实地址寻址技术具有十分重要的意义。本文从体系结构出发，对真实地址寻址结构各个层面的技术实现进行了说明，并介绍了基于CNGI-CERNET2的真实地址寻址试验网。关键词真实地址；CNGI-CERNET2；试验床； IPv61概述当前，互联网已经成为国家的重要信息基础设施，极大地影响着人们的生产和生活。然而，互联网体系结构设计之初在安全可信方面存在缺陷，造成当前的互联网面临着各种安全威胁。著名的ARBOR全球网络基础设施安全调查报告显示，2005年有40%左右的网络基础设施每月平均有110次会因遭受攻击而造成网络用户受到影响，到2007年这一比例已经上升到60%。与此同时，遭受攻击而造成网络基础设施受到严重影响的比例也一直保持在60%以上，2007年甚至达到70%。可以说，互联网可信任性的缺乏造成的安全问题已经相当严重。目前，互联网中路由转发只基于目的地址，对于源地址基本不做检查，使得伪造源地址攻击轻易而频繁。源地址伪造问题主要表现在如下几个方面： 在安全方面，反射式DDoS等多种攻击都依赖于地址欺骗，这些攻击已经对网络服务造成了无可估量的损失； 在网络管理方面，源地址伪造使得网络管理者对大量攻击事件的源无法追溯和监控； 在网络测量方面，使不能获得准确的统计信息作为决策基础； 在网络计费方面，使基于源地址的计费无法实现，大量伪造源地址攻击占用大量网络资源，造成大量经济损失。针对当前互联网存在的安全性弱、可信度低等问题，“可信任下一代互联网关键技术及应用示范研究” 项目组提出了一套新的可信任互联网体系结构，如图1所示。从图1可以看出，真实地址寻址结构是可信任互联网的重要技术基础。在互联网中，地址是主机的标识，缺乏源地址认证，使得无法在网络层建立信任关系。而互联网基础设施不能提供端到端的信任，各种应用独自实施认证，不但效率低、难以统一，而且不能解决各种网络安全威胁。因此，研究和实现真实地址寻址结构，为上层安全服务提供一个可信任的网络基础设施，对于构建可信任的下一代互联网有着重要的意义。2真实地址寻址体系结构及实现策略2.1体系结构基于网络本身的分层结构，真实地址寻址体系结构被分为域间真实地址寻址、域内真实地址寻址和子网内真实地址寻址3个部分，它们有机地组合在一起，共同形成真实地址寻址结构的框架1,2，如图2所示。真实地址寻址体系结构具有以下新特点。 简单：实现方案的存储和处理开销非常小，对真实源地址的网络分组的流量基本没有影响。 松耦合：真实地址寻址体系结构划分为自治系统内、自治系统间和接入子网3个部分，各个部分相互独立，每个部分可以实现不同粒度的真实地址检查，每个部分的功能实现不依赖于其他部分。 多重防御：对于一个伪造源地址的分组，设置接入子网、自治系统内和自治系统间3 道防线实现真实源地址验证。 支持增量部署：真实地址寻址体系结构支持在全网渐进的、增量的部署，部分部署时仍可以获得一定程度的真实源地址验证效果。 便于对上层可信任应用提供支持：真实地址寻址体系结构可以很好地为上层可信任的安全服务和应用提供基础设施的支持。 激励运营商部署：真实地址寻址体系结构的设计体现了“谁部署，谁受益”的原则，部署真实地址访问机制的网络可以更加容易地发现和追踪网络中伪造源地址的分组，保护自身网络。 2.2 实现策略2.2.1域间真实地址寻址策略域间真实地址寻址主要实现自治系统粒度的真实地址验证功能。根据验证规则的生成方式，有基于端到端轻量级签名3,4和基于路径信息5两种实现方案。前者适合于非邻接部署，后者适合于邻接部署。（1）基于端到端轻量级签名的域间真实地址寻址方案该方案的基本思想是：将部署本方案的域组成一个信任联盟，联盟内各个域的控制服务器通过端到端的方式交互彼此的地址空间信息和协商签名信息，然后由域的边界路由器在发送的IPv6分组中增加IPv6扩展报头存放签名，并在接收的分组中检查签名是否正确。基于端到端轻量级签名的域间真实地址寻址功能由全局注册服务器、控制服务器和边界路由器共同实现，如图3所示。所有部署了本方案的域组成一个联盟，联盟中的每个域都需要部署控制服务器。控制服务器完成3个功能：与注册服务器通信，完成自身的注册，并得到其他域的控制服务器的地址；与其他域的控制服务器协商签名，并交换彼此的地址前缀列表；控制该域的边界路由器，配置地址前缀映射表和进出方向的签名表。在控制层面，注册服务器维护所有部署了本方案的域中控制服务器的信息，当有新的域部署或者某个域取消部署时，注册服务器把这个信息及时发送给其他域。在数据层面，发送端在一个IPv6分组到达发送端的时候进行如下处理：如果分组的源地址不属于本域，或者源地址属于本域但目的地址不是联盟成员，则直接转发；如果源地址属于本域且目的地址是联盟成员，则给该分组添加一个签名并转发。接收端在一个IPv6分组到达接收端的时候进行如下处理：如果目的地址不属于本域，则直接转发；如果源地址不在联盟内，则直接转发（遭受攻击时可以降低这部分流量的优先级）；如果源地址在联盟内，检查签名是否正确，如果不正确则抛弃，否则移除签名并转发。该方案利用现有IPv6协议中的逐跳扩展报头并设计了一种新的扩展报头来存放签名。签名的生成采用一种基于随机序列的签名自动更新算法，参与通信的双方在经过一次初始协商获得“种子序列”之后，可以通过该序列自动生成用于更新的签名，从而避免更新过程中的通信开销，同时大大加快密码更新的频率和速度以进一步提高安全性能。该方案的优点：以自治域为单位部署，部署后立即可以启用；既可以保证自己的地址不被伪造，又可以验证其他来源的地址的真实性，具有很好的增量部署特点和激励机制；签名的自动更新降低了控制服务器之间的通信开销，性能得到很大的提升。该方案适合部署在早期的网络环境中，因为这一时期网络中已经部署真实地址寻址机制的自治域较少，分布稀疏，采用该方案可以保证所有部署真实地址寻址机制的自治域之间相互通信。（2）基于路径信息的域间真实地址寻址方案该方案的基本思想是：利用自治系统互联关系，在自治系统边界路由器上生成与每一个路由器接口关联的真实IPv6源地址验证规则表，并利用其对伪造IPv6源地址的分组进行验证检查。基于路径信息的域间真实地址寻址功能主要由验证规则生成引擎、验证引擎和自治系统号到IPv6地址前缀映射服务器共同实现，如图4所示。验证规则的表现形式是IPv6地址前缀的集合。首先，每个域的验证规则生成引擎初始化，与邻接域的验证规则生成引擎和本域的各个验证引擎建立连接；然后，各个域的验证规则生成引擎生成验证规则更新（目的是把该域的源地址空间信息发给邻居），各域的验证规则生成引擎在收到邻居的验证规则生成引擎发来的更新之后，按照一定的导出规则判断是否接受这一地址空间和是否将其转发给其他邻居；最后，由验证规则生成引擎将新生成的验证规则下装到本域各个边界路由器上的验证引擎。当分组流通过边界路由器时，该边界路由器上的验证引擎利用生成的验证规则检查转发的IPv6分组的地址是否真实，如果真实则转发分组，如果不真实则丢弃分组。该方案的优点：过滤策略基于网络拓扑关系上的邻居，很容易与当前的路由协议等机制结合，部署方便；采用基于地址前缀的源地址过滤策略，算法易于实现，具有很高的处理性能。该方案适合部署在中后期的网络环境中，因为这一时期网络中已经部署真实地址寻址机制的自治域较多，分布较为均匀或密集，采用该方案便于邻接自治系统之间的通信。2.2.2域内真实地址寻址策略域内真实地址寻址主要实现地址前缀级的真实地址验证功能。从真实性保证粒度来说，域内真实地址寻址可以实现比域间真实地址寻址粒度更细的保证。由于域内真实地址寻址主要针对地址前缀进行检查和过滤，因此在部署的方便程度和算法开销方面具有比较好的性能。当前应用比较多的方案有Ingress Filtering6和uRPF7，前者主要根据已知的本域地址范围对发出的数据报进行过滤，后者利用路由表和转发表来协助判断地址前缀的合法性。两种方案目前都已经形成了RFC标准，并在部分厂商的设备中实现了硬件支持。2.2.3接入子网真实地址寻址策略接入子网内真实地址寻址主要保证网络中的报文来自拥有该报文源地址所有权的某子网内的主机。针对不同的部署能力，研发了基于绑定的用户准入控制机制8和基于签名的端到端认证机制9 两种实现方案。（1）基于绑定的用户准入控制机制实现方案该方案的基本思想是：通过一个由真实IPv6地址准入验证服务器、真实IPv6地址准入交换机和真实IPv6地址准入客户端构成的系统对用户进行准入控制。该方案的实现流程如图5所示。用户在客户端通过用户名与密码提交联网申请，客户端根据用户名构造身份认证请求并发送给准入交换机的代理模块；代理模块收到请求以后，将该请求、交换机IPv6地址、客户端连接准入交换机的端口号发送给准入验证服务器；准入验证服务器通过用户名及密码对用户的身份进行验证，根据用户身份信息分配IPv6地址区间，并发送给对应的准入交换机；准入交换机从中取出分配的IPv6地址区间，形成MAC-IP-端口的绑定关系表，并将分配的IPv6地址区间发送给客户端；客户端将获得的IPv6地址区间转给IPv6分组发送模块，由其将以该IPv6地址为源地址的IPv6分组发送给真实IPv6地址过滤模块进行过滤。该方案的优点：在实施端口绑定的基础上，该方案可以与包括802.1x在内的现有其他方案很好地配合，方便部署；交换机的每个端口绑定一个IP地址，可以为网络管理和流量计费等提供保证；过滤算法以数据包的源地址作为过滤依据，开销较小，系统性能较好。该方案适用于用户通过以太网经交换机直接接入互联网的情况。（2）基于签名的端到端认证机制实现方案该方案的基本思想是：在IPv6接入网的边界路由器入口处部署一个安全认证网关，网内的每个主机接入网络时都需要向该网关进行接入认证，使该主机的IPv6地址与它和安全网关共享的会话密钥绑定起来，通过接入认证后，该主机向外网发出的任何一个报文都需要携带一个签名，这些发往外网的报文都会通过安全认证网关，安全认证网关认证报文中携带的签名，只有认证通过，才能发往外网，否则丢弃；与此同时，采用序列号与时间戳相结合的方法来防止重放攻击。防重放攻击与鉴别源地址真实性的机制结合起来，就可以保证该接入网发出的报文源地址都是真实的。该方案的实现原理如图6所示。在地址真实性校验模块中，通信双方（主机A，安全认证网关B）共享公共的会话密钥S，主机A将发送给安全认证网关B的消息M中的特定部分（源地址、目的地址及报文序列号等）和S联接后再用消息摘要函数MD5或SHA1等计算Hash值，生成消息认证符HM|S，追加到消息M之后发送给安全认证网关B。安全认证网关B收到该消息对后，根据收到的报文重新计算Hash值并进行比较。如果两个数值相等，安全认证网关B可以确认数据确是从主机A发送来的；如果不相等，安全认证网关B可以推测出数据是由伪造者发送的，将其丢弃。在重放报文校验模块中，将时间戳和序列号相结合，不仅可以克服时间戳机制弊端，而且可以克服序列号方法的缺陷，是一个可靠的抵御重放攻击的方案。仍以主机A向安全认证网关B通信为例。安全认证网关 B收到一个报文后，若|TbTa|T（Ta为报文时间戳，表明报文的发送时间；Tb为安全认证网关B收到报文的当前时间；T为安全认证网关B允许接收的时间窗口），它将记录该报文中携带的序列号，在剩下的(T|TbTa|）时间内，如果收到来自同一IP地址的报文，而且其中的序列号小于等于所记录的序列号，则仍属重放攻击，将其丢弃，否则属合法报文。该方案的优点：在拨号、ADSL等接入方式中，接入服务提供商可以很方便地在网络中加入安全网关功能；用户与安全网关之间一对一的密钥保证了地址的真实性，同时为流量管理和计费等提供了良好的保证；MD5算法的计算性能足以满足大多数接入网的带宽条件，对方案的整体性能影响不大。该方案适用于用户不通过以太网接入互联网的情况。3基于CNGI-CERNET2的真实地址试验网3.1试验网基础架构作为中国最大的下一代互联网的主干网，CNGI-CERNET2在全国20座城市共建有25个核心节点，其中12个节点目前部署了真实地址寻址试验系统，这12个节点分别是清华大学（北京 THU）、北京大学（北京 PKU）、北京邮电大学（北京 BUPT）、上海交通大学（上海 SH）、华中科技大学（武汉 WH）、东南大学（南京 NJ）、华南理工大学（广州 GZ）、东北大学（沈阳 SY）、西安交通大学（西安 XA）、山东大学（济南 JN）、电子科技大学（成都 CD）和重庆大学（重庆 CQ），如图7所示。每个试验网节点作为一个独立的自治系统，拥有自己的地址空间（2001:da8:e1:/48 到 2001:da8:ec:/48）。所有节点的边界处都部署了域间真实地址寻址策略，其中清华大学试验网节点还部署了完整的域内、接入子网真实地址寻址策略，并在此基础上架设了各种网络应用和服务，包括可信任的电子邮件、BBS、视频服务、Web等。3.2真实地址寻址策略试验方案为了验证真实地址寻址策略的有效性，在上述试验网基础上架设了一系列应用服务，如图8所示，在一个自治系统内部署一台媒体服务器，向用户端提供视频服务。利用IXIA测试仪生成大量携带伪造源地址的数据包，从自治系统外和自治系统内分别向媒体服务器发起攻击。在没有启用任何真实地址寻址策略的情况下，媒体服务器的性能会受到严重影响，表现为客户端视频质量下降，出现画面模糊、跳帧等现象。在启用了真实地址寻址策略之后，伪造源地址的数据包在自治系统边界或接入子网边界被域间和域内真实地址寻址策略识别并过滤，媒体服务器得到保护，用户终端的视频质量提高。作为试验辅助，在真实地址试验网中设置了若干流量监控点。图9所示为启用真实地址寻址策略前后网络流量变化情况，其中图像1为进入过滤设备之前的网络流量，图像2为经过过滤设备之后的网络流量，图像3为媒体服务器的流量。此外，在试验网中还部署了包括可信任的电子邮件、BBS、Web服务等网络应用。在提供了地址真实性保证的基础上，这些应用程序的安全问题被大大简化，可以有效提高应用程序的安全性能。3.3试验结果在上述试验网中，对域间、域内、接入子网真实地址寻址策略进行了详尽的测试，测试内容包括算法的有效性、信息更新过程、资源开销等，试验结果表明3个层面的各种策略相互结合可以提供完整、有效的地址真实性保证功能。4结束语作为可信任下一代互联网的重要基础，真实地址寻址策略为上层应用提供了一个方便、有效的平台。本文对真实地址寻址体系结构，域间、域内和接入子网3个层面的真实地址寻址实现策略，基于CNGI-CERNET2的真实地址寻址试验网架构及测试情况做了详细介绍。参考文献1Wu J, Ren G, Li X. Building a network with an authentic IPv6 addressing architecture. In:ICNP，20072Wu J, Bi J, Li X, et al. Sava testbed and experiences to date. draft-wu-sava-testbed-experience-03, 20073Ye M, Wu J, Zhang M. Experience with SPM in IPv6.