（计算机科学与技术专业论文）基于无状态核心网络方法的internet源地址认证架构设计.pdf

北京邮电大学硕卜论文基于无状态核心网络方法的i n t e r a c t 源地址 独创性 创新性 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及 取得的研究成果 尽我所知 除了文中特别加以标注和致谢中所罗列 的内容以外 论文中不包含其他人已经发表或撰写过的研究成果 也 不包含为获得北京邮电大学或其他教育机构的学位或证书而使用过 的材料 与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意 申请学位论文与资料若有不实之处 本人承担一切相关责任 r 本人签名 盘型业日期 丝 笪 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文 的规定 即 研究生在校攻读学位期间论文工作的知识产权单位属北 京邮电大学 学校有权保留并向国家有关部门或机构送交论文的复印 件和磁盘 允许学位论文被查阅和借阅 学校可以公布学位论文的全 部或部分内容 可以允许采用影印 缩印或其它复制手段保存 汇编 学位论文 保密的学位论文在解密后遵守此规定 保密论文注释 本学位论文属于保密在一年解密后适用本授权 书 非保密论文注释 本学位论文不属于保密范围 适用本授权书 本人签名 导师签名 日期 日期 北京邮电大学硕 论文基于无状态核心网络方法的i n t e r n e t 源地址认证架 北京邮电火学硕士论文基于无状态核心网络方法的i n t e r a c t 源地址认证架构设计 基于无状态核心网络方法的 i n t e r n e t 源地址认证架构设计 摘要 当前的i n t e r n e t 寻址转发体系唯一地根据目的i p 地址转发数据 包 大多数情况下转发过程并不检查源i p 地址 这使得恶意主机很 容易伪造源i p 地址 因此 阻止伪造的源地址并追溯发送恶意流量 的源主机成为了i n t e r n e t 上一个重要的挑战 在当前和下一代互联网 的设计与研究中 源地址的真实性检验成为互联网体系结构中亟需解 决的重要议题之一 实施源i p 地址验证能够帮助我们实现以下目标 1 由于那些 带有伪造源地址的包将不会被转发 因此利用源地址欺骗的攻击将无 法实施 2 假设所有的包的源地址是真实有效的 因此能够允许精 确地实施追踪 有利于网络的诊断 管理 计费以及应用 本论文提 出了一种简单精巧的协议 体系设计方法 该方法通过对接入网络入 口处的源地址真实性以及每个域边界处的分组路径的可信性进行检 验来提高网络的安全性 这种方法通过异或操作实现累积式的路径确 认 同时 异或操作的可逆性使得源地址回溯功能得以方便的实现 最大化地简化了网络的复杂性 降低了源地址认证功能所引入的系统 开销 在原型设计与实现方面 本论文中描述了两种可行的系统设计 方案 一种基于i p v 6 流标签域和b g p 的扩展设计 另一种则使用了 i p v 6 扩展报头来携带分组的路径信息 关键词源地址认证域路径验证无状态核心网流标签 邮电人学硕士论文基于无状态核心网络方法的i n t e r n e t 源地址认证架构设计 s o u r c ea d d r e s sv a l i d a t i o n a r c h i t e c t u r e b a s e do ns t a t e l e s sc o r e a p p r o a c h a b s t r a c t t h ea d d r e s s i n ga n df o r w a r d i n ga r c h i t e c t u r eb a s e do nd e s t i n a t i o no f p a c k e t si nc u r r e n ti n t e r n e tt y p i c a l l yd o e sn o tc h e c kt h ea u t h e n t i c i t yo f p a c k e t s s o u f c ea d d r e s s e s t h e r e f o r e i tc a u s e sa c o n s i d e r a b l ec h a l l e n g ei n s e c u r i t yt op r e v e n tt h ea t t a c k e r sf r o ml a u n c h i n ga t t a c k sb yf o r g i n g s o u r c e a d d r e s s e sa n dt r a c et h er e a ls o u r c e sw h i c h s e n tt h em a l i c i o u st r a f f i c t h e s o u ea d d r e s sv a l i d a t i o nt e c h n o l o g yh a sb e e nc o n s i d e r e da sa ne s s e n t i a l c o m p o n e n tf o rt h ed e s i g na n dd e v e l o p m e n to fn e x tg e n e r a t i o ni n t e m e t a r c h i t e c t u r e e n f o r c i n gt h es o u r c ea d d r e s sv a l i d a t i o nw o u l dh e l pu sa c h i e v et h e g o a l s 1 s i n c ep a c k e t sw h i c hc a r r ys p o o f e d s o u r c ea d d r e s s e sw o u l dn o t b ef o r w a r d e d i tw o u l db ei m p o s s i b l et ol a u n c hn e t w o r k a t t a c k sb yu s i n g s p o o f e ds o u r c ea d d r e s s e s 2 t h ea u t h e n t i c a t e ds o u r c ea d d r e s s e sw o u l d b e n e f i tn e t w o r kd i a g n o s i s m a n a g e m e n t a c c o u n t i n g a n da p p l i c a t i o n s i n t h i sp a p e r an e wp r o t o c o l a r c h i t e c t u r ed e s i g ni s d e s c r i b e dt oe n h a n c e n e t w o r ks e c u r i t yb ys e p a r a t e l yv e r i f y i n gt h ea u t h e n t i c i t y o fs o u r c ei p a d d r e s s e si nt h ei n g r e s so fa c c e s sn e t w o r ka n dt h ec r e d i b i l i t yo fp a c k e t p a t ho nt h eb o r d e ro fe v e r yd o m a i n t h ea c c e s sv a l i d a t i o nb a s e s o nt h e i a b e lg e n e r a t e db yh o s t t h ep a t hv e r i f i c a t i o n i s i m p l e m e n t e db y a n i n d i c a t o ro fa c c u m u l a t e di n f o r m a t i o no fd o m a i n sw h i c ht h ep a c k e t sp a s s t h r o u g h a n dt h i s m e c h a n i s mi n t r i n s i c a l l yp r o v i d e s t h ec a p a b i l i t yo f t r a c i n gt h ea t t a c k e rw h o s e n d st h em a l i c i o u sp a c k e t s t h i sa r c h i t e c t u r e g r e a t l yr e d u c e st h en e t w o r kc o m p l e x i t ya n ds y s t e mo v e r h e a dw h i c h i s i n t r o d u c e db vt h es o u r c ea d d r e s sv a l i d a t i o n i na d d i t i o n i nt h ed e s i g na n d i m p l e m e n t a t i o no fp r o t o t y p e w ep r e s e n t s as i m p l i f i e dm o d e lb a s e do n 北京邮电大学硕 j 论文基于无状态核心网络方法的i n t e m e t 源地址认证架构设计 i p v 6f l o wl a b e lf i e l dw h i c hi su s e dt oc a r r yt h eh o s t g e n e r a t e dr a n d o m t a g st oe n h a n c et h ee x i s t i n ga d d r e s sb i n d i n gm e c h a n i s mi nt h ea c c e s s n e t w o r ka n db e a rt h ep a t hv a l i d a t i o ni n f o r m a t i o ni na u t o n o m o u sd o m a i n b o u n d a r yb yd e v e l o p i n gt h eb g pp r o t o c o le x t e n s i o n t h ep r o t o t y p e d e s i g n b a s e do np a t h a t t r i b u t eo fb g pu p d a t em e s s a g e f a c i l i t a t e st h ed e v e l o p m e n ta n dd e p l o y m e n to fs o u r c ea d d r e s sv a l i d a t i o n a r c h i t e c t u r e 一 k e yw o r d ss o u r c ea d d r e s sv a l i d a t i o n d o m a i n p a t hv e r i f y i n g s t a t e l e s sc o r e f l o wl a b e l t 北京邮电大学硕士论文 基于无状态核心网络方法的i n t e r a c t 源地址认证架构设计 目录 摘要 i a b s t r a c t 诳 第一章绪论 1 1 1 研究背景 1 1 2 论文结构 2 第二章相关工作及研究现状 4 2 1 网络源地址认证技术 4 2 1 1 源地址认证增强协议s a v e 4 2 1 2r f c5 2 1 0 s o u r c e a d d r e s sv a l i d a t i o n a r c h i t e c t u r e s a v a 5 2 1 3a c c o u n t a b l ei n t e r n e tp r o t o c o l a i p 9 2 2i pt r a c e b a c k 技术 9 2 2 1 概率分组标记 9 2 2 2 基于哈希的i pt r a c e b a c k 10 2 2 3i c m pt r a c e b a c k 10 第三章设计原理概述3 无状态核心网络 1 2 3 1 公平带宽分配 12 3 2 每流准入控制 13 3 3 路由绑定 14 第四章s c o r e 源地址认证架构 16 4 1 域路径验证机制 16 4 1 1 域路径标识符 17 4 1 2 域路径标识符表 18 4 2s c o r e 源地址认证架构中的回溯功能实现 2 0 4 2 1 基于异或操作可逆性的源地址回溯 2 0 4 2 2 域路径标识符冲突 2 1 4 3 一个完整例子 2 2 4 3 1 网络拓扑 2 2 4 3 2 域路径标识符表 2 2 4 3 3 域间数据包路径认证 2 3 4 3 4 源地址回溯过程 2 4 4 4 j j i 2 5 第五章网络边缘源地址认证机制 2 7 5 1 网络边缘源地址认证机制概述 2 7 5 2 使用l p v 6 流标签增强网络边缘地址认证 2 8 北京邮电人学硕二l 论文基于无状态核心9 自嘻络方法的i n t e r a c t 源地址认证架构设计 5 2 1 主机通过接入交换机访问网络 2 8 5 2 2 主机通过边界接入路由器访问网络 2 9 5 2 3 无状态自动配置接入网络 3 0 5 3 小结 3 1 第六章s c o r e 源地址认证架构原型系统设计 3 2 6 1 基于i p v 6 流标签的源地址认证架构b g p 原型设计 3 2 6 1 1i p v 6 流标签用作域路径认证 3 2 6 1 2 扩展b g p 支持s c o r e 源地址认证 3 3 6 1 3 构建逻辑上的源地址认证自治域 3 5 6 2 基于i p v 6 扩展报头的s c o r e 源地址认证部署方案 3 6 6 2 1 用于实现源地址域路径认证的逐跳选项扩展头 3 7 6 2 2b g pa sp a t h 属性建立域路径认证表 3 8 第七章结论与进一步工作 4 1 参考文献 4 3 致谢 1 5 作者攻读学位期间发表的学术论文目录 4 7 n 北京邮电大学硕士论文基于无状态核心网络方法的i n t c r n e t 源地址认证架构设计 1 1 研究背景 第一章绪论 现有的i n t e r a c t 由于在设计阶段没有充分考虑安全问题 缺乏一个系统的安 全体系结构 而且t c p i p 协议底层缺乏有效的内置安全机制 现有的安全技术 都是以修修补补的形式增加进来的 难免会出现安全漏洞 功能重叠 实现复杂 等各种问题 因此 目前互联网的安全技术相对独立 系统性不强 基本处于被 动应对的状态 从互联网体系结构上找出其安全问题的根源 确保下一代互联网 地址及其位置的安全可信 从体系结构上系统地解决互联网安全问题 是下一代 互联网研究的重要目标1 1 2 l 当前的i n t e r n c t 唯一地根据目的i p 地址转发数据包 大多数情况下转发过程 并不检查源p 地址 这使得恶意主机很容易伪造源l p 地址 因此 阻止伪造的 源地址并追溯发送恶意流量的源主机成为了i n t e r n e t 上一个重要的挑战 对所有 被转发的包验证源礤地址是必要的 源地址认证技术是当前以及下一代互联网 i p v 6 网络的设计和实现过程中的一个重要部分 基于目的地址的路由体系使得分组的源地址与路由器中分组的转发过程是 相互独立的 因此 我们应该考虑如何阻止攻击者在i n t e r a c t 流量中插入虚假源 地址 尤其是在d d o s 攻击中 同时 很多常见的攻击方法如t c ps y n 泛洪攻 击 i c m ps m u r f 攻击和u d pf r a g g l e 攻击都是通过源地址欺骗产生虚假分组包 来隐藏攻击者的身份 实施源l p 地址验证能够帮助我们实现以下目标 网络中的流量能够被精确地追踪 对于网络中的每个分组 不仅能够识别 接收分组的目的地 而且能够验证发送分组的源端 由于那些带有未被认证的或伪造的源地址的包将不会被转发 因此利用源 地址欺骗的攻击将无法实施 确保接收和转发分组包的源地址真实性可以有效加强网络管理 提升服务质 量 如资源分配 拥塞控制 授权 鉴定及计费 服务质量与流量工程等 因此 确保数据包具有可信的源地址 保护网络免受那些基于地址欺骗的攻击是一项有 1 北京邮电大学硕士论文基于无状态核心网络方法的i n t e m e t 源地址认证架构设计 重要意义的工作 可信的源地址 包括以下涵义 3 j 认证性 可信的源地址必须是被互联网地址认证机构所认证的 非伪造的 地址 这些可信源地址的路由信息都必须被包括在全球路由表中 唯一性 可信源地址必须是全局唯一的 可溯性 可以由数据分组可以追踪到使用此地址的合法主机 使用这种经过认证的全局唯一地址可以得到如下额外的好处 由于可以很容易地映射用户或用户的应用程序到经过验证的i p v 6 地址上 网络管理与计费可以被以更精细的粒度实施 可以简化应用程序的身份认证 即应用程序的身份认证能够被映射为l p 地址的实体认证 在分组的转发过程中 经过认证的i p v 6 地址即代表了 发送端的认证实体 能够加速i n t e r n e t 上新应用的部署 本论文描述了一种简单的基于无状态核心网络方法的源地址认证架构 该方 法通过对接入网络入口处的源地址真实性以及每个域边界处的分组路径的可信 性进行检验来提高网络的安全性 这种方法通过异或操作实现累积式的路径确 认 同时 异或操作的可逆性使得源地址回溯功能得以方便的实现 最大化地简 化了网络的复杂性 降低了源地址认证功能所引入的系统开销 1 2 论文结构 本论文结构安排如下 第二章概述了与本论文主题相关的研究工作与成果 主要从源地址认证技术 和i p 地址追踪技术两个方面考虑 第三章介绍了本文源地址认证架构设计所依据的原理 即无状态核心网络方 法的基本思想与实例 第四章描述了基于无状态核心网络思想的源地址认证架构的方案设计 包括 域路径认证机制和源地址回溯两个主要功能的设计细节和问题讨论 并通过一个 简单的完整例子阐释了本文所提出的认证架构是如何提供分组路径的可信性验 证和源地址回溯的 第五章描述了一个改进的接入网络认证方法 这种方法基于主机生成的随机 标签来验证端主机在发送分组期间的一致性 它与第六章中所阐述的基于l p v 6 流标签和b g p 协议扩展的系统设计原型相统一 l 架构设计 3 基础架 域和扩 北京邮电人学硕 t 论文 摹于无状态核心网络方法的i n t e r a c t 源地址认证架构设计 第二章相关工作及研究现状 2 1 网络源地址认证技术 尽管i n t e r a c t 源地址认证技术的研究已经产生了大量的成果 但是这些方案 大多只是在部分上解决了i p 地址欺骗的问题 而针对i n t e r a c t 整体架构上的问题 提出的解决方案相对较少 这一小节中 选取了几种较为典型的 用于从系统架 构上全面解决源地址认证问题的方案加以介绍 2 1 1 源地址认证增强协议s a v e 源地址认证增强协议 s o u r c ea d d r e s sv a l i d i t ye n f o r c e m e n t s a v e 4 1 是一 个用来提供网络地址认证功能的特定协议 它通过在源端到目的地路径的每台路 由器上建立一个检验表来实现源地址认证功能 在s a v e 中 路由器的源地址检验表是通过绑定路由器接口和一组合法地址 空间来实现的 通过在路由器的接口指定合法的源地址空间 路由器能够过滤那 些带有伪造源地址的数据分组 例如 为l a n 转发流量的路由器的合法源地址 空间即为l a n 上主机的地址集合 自治系统的边界路由器处理整个自治系统的 源地址空间 支持s a v e 协议路由器的每个接口周期性地发送验证更新信息到它相应的 目的地址空间以建立路径上所有路由器的入口验证表 s a v e 的更新信息表明了 合法的源地址空间和相应的目的地址空间 由于s a v e 更新信息与合法i p 分组 有相同的到达接口 源端到目的地路径上的路由器可以依此记录此源地址空间所 对应的接口 s a v e 更新信息确保源地址认证增强协议作为一个整体架构实现以 下两个重要目标 s a v e 路由器记录s a v e 更新在到达本路由器之前所穿越的路径l 确保s a v e 更新信息与合法的数据包沿着相同的路径被转发 4 北京邮电大学硕士论文基于无状态核心网络方法的i n t e r n e t 源地址认证架构设计 2 1 2r f c5 2 1 0 s o u r c ea d d r e s sv a l i d a t i o na r c h i t e c t u r e 蜗a 2 0 0 8 年5 月 互联网工程任务组 i e t f 成立了源地址认证工作组 s o u r c e a d d r e s sv a l i d a t i o ni m p r o v e m e n t sg r o u p s a v i 并发布了一系列源地址验证的技 术方案 5 l 6 胴 8 1 吼 r f c5 2 1 0 1 1 0 l f l l 源地址验证体系结构测试床与部署经验 简 称s a v a 就是s a v i 工作组最重要的研究成果之一 s a v a 系统由清华大学主持完成 是我国第一个非信息类国际互联网标准草 案r f c s a v a 体系结构提出了一种多级防护的源地址认证体系结构方案 即在 网络中有多个点验证数据包源地址的真实性 这是因为当前大多数的单点模型仅 仅在网络的入口处进行源端地址的真实性验证 而验证机制部署的不充分性使得 恶意主机仍然存在很大的可能实施基于伪造源地址的攻击 而多级防护方案将在 网络的多个逻辑或物理的层面上实施源地址真实性的检验 允许部署中的 空洞 并且通过整体的i n t e r a c t 部署增强对源地址合法性的信任 这罩的假设是即使当 合法性验证不是全局部署的 对于增加源地址合法性信任的代价相对于减少实施 源地址欺骗攻击的机会仍然是值得的 此外 这一架构允许多个独立的 松耦合的检验机制协调工作 这是由于 i n t e r n e t 规模巨大 要求单独的口源地址认证机制是不切合实际的 不同的运营 商和服务商也许选择部署不同的实现机制 实现上的或是配置上的错误也潜在的 导致无效的实现 因此 s a v a 原型实现使用了多种不同的现有机制 并在三个 层次上实现了源口地址验证 接入网络源地址验证 域内源地址验证以及域间 源地址验证 1 接入网络 接入层的源地址验证阻止网络中的主机伪造同一网段的其他主机的地址 相 对于域内保护 这是一种主机粒度的保护方案 存在两种可能的部署方案 称之 为变体a 和变体b 在变体a 方案中 代理是强制的 每个主机都连接代理到 专用的物理端口上 对于变体b 主机需要请求运行接入认证并且生成一个密钥 在这种方案中 代理是可选的 变体a 的主要思想是创建一个交换机端口与合法源i p 地址之间 或是m a c 地址 交换机端口与合法源口地址三者之间的动态绑定 这一功能通过使用一 种交换机能够追踪的新地址配置协议来实现 此系统由三个模块组成 主机中的 源地址请求客户端 s a r c 交换机中的源地址认证代理 s 趟 p 以及源地址 5 北京邮电 管理服 1 并记录 仍然需 2 与管理 3 地址和 4 元组的 a r c s o u r c ea d d r e s sr 棚雕s tc l i e n t 游地址请求客户端 s a v p s o u r c ea d d r e s sv a l i d a t i o np r o x y 源地址认证代理 s a m s o u r c ea d d r e s sm 丑n a g e m e n ts e r v e r 源地址管理臌务器 图2 1 基于绑定的接入网络i p 地址验证 变体b 的主要思想是使用一些附加网络访问验证过程产生密钥 每个主机 使用会话密钥来加密所发送的数据包 这使得追踪主机使用的地址是否是其被分 配的合法地址成为可能 这里简要描述其过程如下 1 当一个主机想要建立连接 它需要运行网络访问验证 2 网路接入设备为s a v a 代理提供一个会话密钥s 这一密钥同时也被分发 6 北京邮电大学硕士论文 基于无状态核心网络方法的i n t e r n e t 源地址认证架构设计 给s a v a 设备 s a v a 设备绑定此会话密钥与源i p 地址 3 当主机发送到接入网络外部的包m 主机或是s a v a 代理需要使用密钥 s 和报文m 生成一个信息验证码 这一信息验证码通过i p v 6 扩展包头携带 4 s 趟 a 设备使用会话密钥验证数据包的签名以便证实其源地址的合法性 以上两种方案中 基于交换机的方案具有更好的性能 但是需要新的接入网 络交换机 通常接入网络中交换机的数目是巨大的 基于签名的方案可以部署 在主机与现有的路由器之间 但是引入了一些嵌入和检验签名的额外开销 2 域内模型 当网络自治域的边缘路由器实施源地址真实性验证 例如使用r f c 2 8 2 7 和 r f c 3 7 0 4 中的网络入口过滤器方案 主机将无法进行地址欺骗 但是如果没有 启用接入网络的地址验证 它们仍然能够使用同一网段内的其它合法主机地址实 施欺骗 作为一个极端的退化模型 当路由器连接了一台单独的主机 主机将不 能仿冒任何地址 3 域间模型 域间模型在自治域的边界实施源地址正确性检验 由于全球i n t e r n e t 具有网 状拓扑结构 而且不同的网络属于不同的管理机构 在域间进行地址验证更具挑 战性 尽管如此 如果缺乏前两级的源地址验证部署或是验证机制并没有起到应 有的作用 这种第三层的保护对于检测伪造的源地址仍然是必要的 这里的基本 思想是 在域边界路由器使用一个绑定了合法源地址块与路由器接口验证规则 v a l i d a t i o nr u l e 的表来过滤伪造源地址的数据包 两个交换业务量的自治域可以分为客户对提供商 提供商对客户 对等端关 系 p e e r t o p e e r 和兄弟关系 s i b l i n g t o s i b l i n g 在客户对提供商或是提供商 对客户关系中 客户通常是一个利用较大服务商来提供i n t e r n e t 接入的较小服务 商 在对等端关系中 两个对等端通常具备相当规模的管理域并且优先交换它们 各自客户的业务量 兄弟关系是指两个自治域属于相同的管理域或是属于两个遵 循相互运输协定的管理域 在s a v a 方案中 i p v 6 前缀的合法性验证分为三个功能模块 验证规则生成 引擎 v r e g 验证引擎 v e 和i p v 6 域前缀映射服务器 舢m s v r g e 生 成的验证规则由i p v 6 地址前缀来表示 不同的自治域使用v r e g 中的基于a s 关系的输出策略来交换v r 规则 一 个a s 输出它自身的地址前缀 客户 提供商 兄弟端和对等端到它的客户和兄 7 北京邮电人学硕上论文基于无状态核心网络方法的i n t e t n e t 源地址认证架构设计 弟端作为其合法前缀 而输出地址前缀 客户和兄弟端到它的提供商和对端作为 合法前缀 对于i p v 6 域前缀映射服务器 仅仅自治域号在域问传递 并被映射 给v r e g 中的地址前缀 域间的源地址验证过程如下 1 当v r g e 初始化完成 它从邻居s a v a 域获得a s 表并建立到自身a s 所 有v e 的连接 2 v r e g 更新v r 根据输出表 它发送自己的v r 到邻居a s 的v r g e 在这一过程中 v r 被表述为a s 号 3 当一个v r g e 从它的邻居处收到一个新的v r 它利用自身的输出表来 决定是否接受此v r 如果接受 是否应将此v r 发送给邻居自治域 4 如果v r g e 接受了一个v r 它使用a i m s 转换此a s 的v r 为一个i p v 6 前缀v r 5 v r g e 发布此v r 到域内的所有v e v e 使用基于前缀的v r 验证数据包 的源口地址 以上模型假设相邻的两个自治域都部署了s a v a 模块 此外 为了支持增量 式的 松耦合的部署 r f c5 2 1 0 也讨论了在非邻接的s a v a 域部署源地址认证 架构的方案 当两个自治域并不直接交换数据包时 使用一个认证标签来建立自 治域之间的信任关系 对于非直接相连的每对s 筒 a 域 存在一个唯一的临时认证标签对 当一个 数据包离开它所属的自治域 如果目的i p 地址属于一个s a v a 自治域联盟中的 域 边缘路由器使用目的自治域的a s 号查找认证标签 并附加此标签到数据包 上 当数据包到达目的a s 如果数据包的源i p 地址属于s a v a 联盟域 目的 a s 的边缘路由器使用源a s 号作为关键字查找认证标签表 由此数据包的标签 被检验并移除 对于每个被转发的数据包 认证标签可以放置在l p v 6 的逐跳扩 展报头中 使用1 2 8 位的共享随机数作为认证标签可以节省由生成认证标签处理 开销 这一方案相对于纯粹的本地地址认证的优点在于 当本地地址验证被一组网 络使用时 可以确保不发送欺骗包 但是其他网络也许仍然会这样做 对于以上 的机制 这种情况不会发生 如果一些信任联盟以外的主机使用联盟内的源地址 伪造数据包 信任联盟内的成员将拒绝接受这一数据包 这一系统包括三个组件 注册服务器 r e g 自治域控制服务器 a s c 以及自治域边缘路由器 a s b r 注册服务器是整个信任联盟 t a 的核心 8 北京邮电人学硕b 论文 基于无状态核心网络方法的i n t e r n e t 源地址认证架构设计 它维护一个t a 的成员列表 它从a s 控制服务器获得t a 的成员列表 并当成 员列表改变时通告每个a s 控制服务器 每个部署了此系统的a s 拥有一个自治 域控制服务器 自治域控制服务器有三个主要功能 1 与注册服务器通信 以 获得t a 成员列表的更新 2 与t a 中其他a s 成员的a s 控制服务器通信 以 交换前缀信息的更新和认证标签 3 与所有的本地a s 边缘路由器通信 配置 边缘路由器的处理组件 发送自治域的边缘路由器附加认证标签到数据包 目的 自治域的边缘路由器验证并移除认证标签 2 1 3a c c o u n t a b l ei n t e r n e tp r o t o c o l a i p 可信的互联网协议 a c c o u n t a b l ei n t e m e tp r o t o c o l a l p 1 1 2 1 1 1 3 被作为一 个前瞻性的未来互联网解决方案而提出 它利用分层的 自验证 架构提供可信 的互联网基础设施并避免用户端与服务提供商之间交互 在a l p 中 每个可信的自治域拥有一个唯一的域验证符 a d 而每个主机 被分配一个唯一的端点验证符 e n d p o i n ti d e i d 在域a d 中的主机e i d 将以 a d e i d 的形式被寻址 a l p 协议的地址长度为1 6 0 位 它本身是一个公钥或公钥的哈希值 在a i p 的协议头部 1 6 0 位的a d 域是自治域i d 的公钥 或公钥的哈希 e i d 域是主 机端点验证符的公钥 或公钥的哈希 因此 a l p 地址对于外部对象来说具备 自验证性 即外部对象可在不需要任何外部可信机构的条件下实现对交互对象的 真实性验证 2 2i pt r a c e b a c k 技术 在大量网络安全问题中 尤其是在d d o s 攻击中 发动攻击的攻击者通常 都采用了地址欺骗 也就是说 攻击i p 分组中的源地址都是随机生成或盗用其 它合法主机的地址 这就为追查真正的攻击者设置了障碍 2 2 1 概率分组标记 概率分组标记 1 4 l 的基本思想是当分组到达路由器时 以某一概率标记分组 的部分路径信息 当攻击发生时会产生大量的攻击分组 这样被攻击主机就可以 得到足够的信息回复出完整的攻击路径 理想的情况 可以在分组通过路由器时 将每个路由器的p 地址追加到i p 分组的尾部 然而 由于分组长度的不可预计 性 会带来分片和m t u 发现等新的问题 因此 要求其它的机制 如概率标记 9 s p l e 通过将i p 头部的不变部分和负载的前8 个字节作为哈希函数的输入 具有s h e 能力的路由器维护最近转发的分组流量摘要的缓冲区 如果某个分组 被入侵检测系统判断为具有危害性 那么入侵检测系统将向s p i e 发出查询请求 查询该分组的摘要信息 查询的结果可以用模拟的反向路径泛洪算法来构造分组 源的攻击路径 每个具有s p i e 能力的路由器都有一个数据生成代 d a t ag e n e r a t i o na g e n t d g a d g a 为每个离开路由器的分组计算摘要并保存在位映射的摘要表中 由 于路由器的资源限制 d g a 中只能保存一段时间内的摘要表 因此 可以将摘 要表传送到s p i e 搜集和缩减代理进行长期保存以备将来查询和分析 由于网络 拓扑结构的复杂性 一个i s p 通常需要设置多个搜集和缩减代理 每个负责一定 的区域 每个搜集和缩减代理产生的攻击信息在集中的s p i e 追踪管理器出合并 成完整的攻击图 2 2 ji c m pt r a c e b a c k 参考文献 1 6 中提出了一种由路由器以概率生成i c m p 消息的t r a c e b a c k 方 案 i t r a c e 其基本思想是 每个路由器从其转发的分组中以很小的概率 通常 1 0 北京邮电大学硕士论文 基于无状态核心删络方法的 n t e r n c t 源地址认证架构设计 小于1 2 0 0 0 0 随机选取部分分组 把分组的内容和路由等信息放入专门设计的 i c m p t r a c e b a c k 消息分组中发送给目的节点 当目的节点遭受攻击时 可以依据 这些i c m p 信息重构攻击路径 该策略类似于概率分组标记 所不同的是它并不 在i p 分组中标记 而是使用专用的i c m p 消息提供给端主机可能有用的攻击信 息 北京邮电大学硕 论文基于无状态核心网络方法的i n t e r a c t 源地址认证架构设计 第三章设计原理概述 无状态核心网络 本章描述了本论文所设计的源地址认证架构依据的基本方法 即无状态核心 网络 s t a t e l e s sc o r e s c o r e 方法的基本思想与实例 其中 无状态核心网络 的路由绑定的方法将被用来实现本文的源地址认证架构的基本框架 它本质上基 于异或操作的可逆性质 无状态核心网络 i o ns t o c i a 2 0 0 1a c mb e s td i s s e r t a t i o n a w a r d 1 1 7 l 的基本思想是 在核心路由器不保存每流状态的情况下 通过在数 据包头负载可被重写的动态数据 即动态分组状态技术 实现类似于有状态网 络的每流处理 使用 状态消除 策略的核心无状态网络只在边界路由器维护每 流状态 核心路由器不维护每流状态 而是由分组自己携带与数据流有关的状态 信息 这种动态分组状态技术是s c o r e 网络的关键技术 分组中的状态信息由 边界路由器写入 而核心路由器依据分组头部的状态信息和路由器内部状态对分 组进行有差别的处理 并在转发时更新分组的头部状态 利用无状态核心网络和动态分组技术 可以使流穿越路径中的边界路由器和 核心路由器协同工作 使得我们可以在一个无状态网络中实现与有状态网络相类 似的服务质量保证等功能 同时具有了有状态网络所不具备的可扩展性 下面给 出几个例子来具体说明动态分组技术的工作机制和应用 其中 路由绑定中利用 异或操作的可逆性来构造一个路径标签的思想将被用来实现本文的源地址的域 间认证以及源地址回溯 3 1 公平带宽分配 流保护 f l o wp r o t e c t i o n 机制是当前 尽力而为 的i n t e r a c t 上最迫切需要 的服务之一 流保护机制可以使不同的端到端拥塞控制机制在i n t e r a c t 上无缝地 协作并保护好行为流 w e l l b e h a v e df l o w 不受恶意行为流 m a l i c i o u s b e h a v e d f l o w 的影响 实现流保护的一种方案是使路由器实现公平带宽分配 假设路由 器可以以数据位的粒度提供服务 那么公平带宽分配可以通过逐位的轮转策略来 实现 通常来讲 在一个拥塞链路上分配给流的最大带宽称为公平速率 f a i rr a t e 1 2 北京邮电人学硕十论文基于无状态核心网络方法的i n t e r a c t 源地址认证架构设计 对于1 1 个流共享一条带宽为c 的拥塞链路 公平速率a 定义为 m i n c 其中 r i 表示流i 的到达速率 因此 在逐位轮转策略中 到达速率为r i 的流i 的服务速率为m i n r i a 该策略称为公平排队 具有足够要求的流可以按照公平速率a 接受服务 而 不考虑其它流的行为 也就是说 一个流无论向网络中发送了多少分组 它都只 能以公平速率a 被服务 虽然公平排队机制提供了流保护功能 但它的实现要远远复杂于现有的路由 器排队机制 路由器需要对每一个分组进行分类 将他们放入不同的流队列中 更新每流状态变量并执行每流调度 而在无状态核心网络中 核心路由器不必维 护每流状态即可实现有状态网络中路由器采取公平排队机制时的服务质量效果 即核心无状态公平排队算法 c o r e s t a t e l e s sf a i rq u e u e i n g c s f q c s f q 算法的基本思想是让每个流的分组自己携带流的速率估计信息 g 流i 的分组携带的流速率估计 此速率估计由边界路由器计算后插入分组头部 接收到分组后 核心路由器使用概率 一 p m 转发该分组 并使用概率1 p 丢弃该分组 因此 当路由器使用概率p 转发分组 时 路由器为流i 分配的速率为 吒xp m i n j i 口 因此 可以很容易看出 核心路由器在不需要维护每流状态的情况下 实现了与 有状态网络相类似的公平排队性能 3 2 每流准入控制 准入控制的目地是检查数据路径中是否有足够的资源分配给预留请求 这里 我们只考虑基于带宽的准入控制 当一个新的流请求资源预留时 从源到目的的 每台路由器都要检查是否有足够的带宽来容纳这个新的流 如果所有的路由器都 允许分配这个请求所要求的资源 则预留成功 对于带宽为c 的链路 只要当前链路上的已预留的聚集资源r 和新的预留 1 3 北京邮电人学硕上论文 基于无状态核心嘲络方法的i n t e r a c t 源地址认证架构设计 请求r s v 满足删 rsc 则路由器可以接受r s v 的预留请求 但只有当转发路 径上的所有路由器都接受了预留 预留路径才能够建立 如果有一台路由器不接 受预留 那么所有已接受预留的路由器必须取消预留并回滚到预留之前的状态 此外 当请求预留的分组出现丢失的情况 要求重新进行预留请求时 要求路由 器记录对这个请求之前的处理上下文 因此 这一类的资源预留方案 如r s v p 均要求路由器维护每流状态 在s c o r e 网络中 通过d p s 技术 可以避免核心路由器维护每流状态实现 相对公平的资源预留分配 理想情况下 如果所有的流均按照预留的速率发送 则路由器只需维护聚集流量的速率 然而 大多数情况下数据流并不会完全按照 预留速率进行发送 为此 s c o r e 网络为每一个数据流分组关联一个虚拟长度 的变量 v i r t u a ll e n g t h 其含义为 若流中的每个分组的长度都等于其虚拟长度 那么流的速率就等于其预留速率 更准确的说 分组的虚拟长度表示按预留速率 和前面已经发送的分组的长度计算出的和预留速率相对应的虚拟长度 令r s v i 表示流i 的预留 t j i 取lt j 1 i 表示流i 中第j 和第j 1 个分组的离去时间 那么第j 个分组的虚拟长度为 v t 1 量峭 1 一t j 流的第一个分组的虚拟长度就是分组的实际长度 分组离开时由边界路由器 计算出虚拟长度并插入分组头部 而核心路由器使用分组携带的虚拟长度估计资 源聚集预留 因此 在t 时间内到达核心路由器的流i 的分组虚拟长度之和b d 就提供了流发送速率的近似估计 流i 的预留带宽可以按照下式估计 座 地 丁 因此 核心路由器只需要维护全局变量b t 并在每个分组到达时更新 b t 就能实现不需要维护每流状态的资源聚集预留 3 3 路由绑定 许多应用 包括流量工程和保证型服务都要求同一个流的所有数据包被沿着 相同的路径转发 r s v p 这一类资源预留方案要求路由器中维护每流状态信息 通过识别分组属于哪个数据流来采取相应的处理 基于动态包状态的无状态核心 网方案则避免了路由器维护每流的路径信息 利用分组头部的标签来指示数据流 所应遵循的路径 1 4 北京邮电人学硕士论文基于无状态核心网络方法的i n t e m e t 源地址认证架构设计 无状态核心网络路由绑定的基本思想是对路径上的所有路由器标识符执行 一个连续的异或操作作为一条路径的标签被分组头部携带 考虑一条路径i d o i d l e e epi d n 这里珏表示路径中的第j 个路由器的标识符 因此 这条路径在 处的标识符为 p a t h i d loi d 2o o 耐厅 当需要按照此条路径被转发的分组从边界路由器进入网络 边界路由器使用 路径标签局来标记分组的转发路径 边界路由器为每一条路径维护一个路径标 签的和她的下一跳地址 核心路由器通过对路径标签和自身标识符进行异或得到 后续路径的标签 即当分组到达第一个核心路由器曲时 核心路由器计算后续 的路径标签为 p a t h f 一p a t h o i d lti d 2 固 o 耐撑 j 核心路由器将此新标签写入分组头部并查找路径标签路由表 转发分组 这 样就在核心路由器不需要维护每流状态的情况下实现了确定路径的转发 在本文 所设计的源地址认证体系结