文/李杰 張建軍 鄭志延

互聯(lián)網(wǎng)是當(dāng)今世界最具規(guī)模和影響力的巨型信息系統(tǒng)，是人類(lèi)社會(huì)不可或缺的信息基礎(chǔ)設(shè)施，全球80%以上的信息都是通過(guò)以IP（Internet Protocol）為基礎(chǔ)的互聯(lián)網(wǎng)來(lái)傳輸，自2007年以來(lái)互聯(lián)網(wǎng)對(duì)全球經(jīng)濟(jì)增長(zhǎng)的貢獻(xiàn)更是達(dá)到了20%。近年來(lái)，體系結(jié)構(gòu)上的不斷革新，創(chuàng)新應(yīng)用不斷涌現(xiàn)，越來(lái)越多的線下活動(dòng)不斷向網(wǎng)上遷移，無(wú)處不在的網(wǎng)際互連將人類(lèi)社會(huì)更加緊密地聯(lián)系起來(lái)，都加快了互聯(lián)網(wǎng)發(fā)展壯大的步伐，以深遠(yuǎn)的影響力輻射到人類(lèi)社會(huì)包括經(jīng)濟(jì)、政治、軍事、日常生活工作的諸多方面，逐漸改變著人類(lèi)生產(chǎn)和生活方式。然而，目前的網(wǎng)絡(luò)尋址服務(wù)只是停留在盡力而為的向目的端轉(zhuǎn)發(fā)的層次，而達(dá)不到確保源端可信任的高度。這種結(jié)構(gòu)性缺陷可被惡意攻擊者加以利用，通過(guò)偽造分組IP源地址假冒源端用戶來(lái)實(shí)施不法攻擊（IP Spoofing），而接收方卻不能判別分組攜帶的IP源地址（以下簡(jiǎn)稱(chēng)源地址）的真實(shí)性，也無(wú)法相應(yīng)地判定分組是否來(lái)自真實(shí)發(fā)送方，致使互聯(lián)網(wǎng)無(wú)法向使用者提供可信任的網(wǎng)絡(luò)服務(wù)及應(yīng)用，尤其是無(wú)法保障對(duì)可信任要求較高的電子商務(wù)、私密通信、技術(shù)合作、遠(yuǎn)程醫(yī)療等網(wǎng)絡(luò)服務(wù)和應(yīng)用。

基于路由信息的源地址驗(yàn)證技術(shù)

自治域（AS）間IPv4/IPv6真實(shí)源地址驗(yàn)證，其目標(biāo)是確保自治域間往來(lái)分組的源IP地址可信可靠，由于自治域是封閉獨(dú)立的管理域，管理者通常會(huì)綜合考慮其自身的經(jīng)濟(jì)、政治、軍事等多維利益，更多是不透明的、非對(duì)稱(chēng)的獨(dú)立決策，因此這一層次的源地址驗(yàn)證也更加棘手，也是整個(gè)可信任的互聯(lián)網(wǎng)體系結(jié)構(gòu)中最為復(fù)雜的?；诼酚尚畔⒌脑吹刂夫?yàn)證是一種主動(dòng)防御的驗(yàn)證策略，旨在將偽造分組過(guò)濾在到達(dá)目的端之前的中間網(wǎng)絡(luò)中，該類(lèi)方法通常檢查攜帶某一IP源地址的分組到來(lái)的路由路徑（或入射接口）與擁有該IP源地址的網(wǎng)絡(luò)實(shí)體發(fā)出的真實(shí)分組實(shí)際到來(lái)路由路徑（或入射接口）是否匹配來(lái)完成真實(shí)IP源地址的檢查。該類(lèi)方法的實(shí)現(xiàn)中，驗(yàn)證實(shí)體的控制層面通常設(shè)計(jì)有獲取真實(shí)分組實(shí)際到來(lái)路由路徑（或入射接口）的機(jī)制，進(jìn)而生成檢查分組IP源地址真實(shí)性的驗(yàn)證規(guī)則，并將驗(yàn)證規(guī)則裝載和配置在驗(yàn)證實(shí)體的數(shù)據(jù)層面，當(dāng)分組到來(lái)時(shí)完成分組的IP源地址真實(shí)性驗(yàn)證。從技術(shù)層面上講，獲取真實(shí)分組實(shí)際到來(lái)路由路徑（或入射接口）信息是機(jī)制核心機(jī)制，適應(yīng)路由動(dòng)態(tài)變化觸發(fā)分組轉(zhuǎn)發(fā)路徑信息的自適應(yīng)更新是關(guān)鍵技術(shù)。獲取真實(shí)分組實(shí)際到來(lái)路由路徑（或入射接口）信息可由參與部署該類(lèi)方法的網(wǎng)絡(luò)實(shí)體的管理者靜態(tài)配置，也可借助現(xiàn)有路由協(xié)議學(xué)習(xí)獲得，還可研發(fā)新型的專(zhuān)用網(wǎng)絡(luò)協(xié)議交互協(xié)作來(lái)完成真實(shí)分組實(shí)際到來(lái)路由路徑（或入射接口）信息的學(xué)習(xí)過(guò)程。近年來(lái)，基于路由信息的域間真實(shí)源地址驗(yàn)證方法研究取得了一些有益的進(jìn)展，典型的有Ingress Filtering、DPF和SAVE等。Ingress Filtering機(jī)制的實(shí)現(xiàn)思想是在網(wǎng)絡(luò)邊界路由設(shè)備上配置合法IP源地址前綴空間作為對(duì)接收到分組是否準(zhǔn)許放行的判定規(guī)則（驗(yàn)證規(guī)則）。DPF依賴的是接收到的入站分組攜帶的IP源地址與入站接口的映射來(lái)判定分組攜帶的IP源地址的真實(shí)性，其中如何借助路由系統(tǒng)獲取這樣的映射關(guān)系是難點(diǎn)問(wèn)題，然而，DPF的研究并未闡述運(yùn)用何種方法和技術(shù)建立這種映射關(guān)系，研究是建立在驗(yàn)證規(guī)則已經(jīng)形成的假設(shè)上展開(kāi)的。SAVE設(shè)計(jì)了全新協(xié)議，在繼承了傳統(tǒng)域內(nèi)/域間路由協(xié)議控制平面和數(shù)據(jù)平面的功能的基礎(chǔ)上，通過(guò)新協(xié)議功能的支持在網(wǎng)絡(luò)中傳遞用于生成源地址驗(yàn)證規(guī)則的路由路徑信息，部署SAVE的路由設(shè)備向其RIB/FIB中每條表項(xiàng)記錄的網(wǎng)絡(luò)層可達(dá)地址前綴發(fā)送通告本地網(wǎng)絡(luò)所轄的源地址空間的SAVE Update報(bào)文。然而上述方法由于缺乏域間合作機(jī)制，導(dǎo)致收集的分組轉(zhuǎn)發(fā)路由路徑信息不完整，相應(yīng)地生成的驗(yàn)證規(guī)則準(zhǔn)確性也不高，影響驗(yàn)證方法的實(shí)用價(jià)值。

RSF機(jī)制的分布式域間源地址驗(yàn)證

主要原理

在基于路由路徑的域間源地址驗(yàn)證方法中，控制平面是驗(yàn)證系統(tǒng)生成、存儲(chǔ)和維護(hù)驗(yàn)證規(guī)則的核心載體，當(dāng)部署節(jié)點(diǎn)規(guī)模增大后，驗(yàn)證方法需要保護(hù)的合法用戶地址空間隨之增大，網(wǎng)絡(luò)和用戶對(duì)控制平面生成的真實(shí)性判定依據(jù)即驗(yàn)證規(guī)則的準(zhǔn)確性和效率要求也隨之升高，為了提高驗(yàn)證方法的準(zhǔn)確性和執(zhí)行效率，基于路由路徑的驗(yàn)證機(jī)制設(shè)計(jì)上須施加增強(qiáng)確保合法分組能夠最終被目的端接收的機(jī)制。對(duì)于基于路由路徑驗(yàn)證的研究方向上，驗(yàn)證規(guī)則的生成主要有兩種途徑：一是本地獨(dú)立預(yù)測(cè)；二是開(kāi)展域間合作。其中，相對(duì)于本地獨(dú)立預(yù)測(cè)，由自治域相互輔助共享選路策略信息，完成對(duì)于分組實(shí)際轉(zhuǎn)發(fā)路徑的學(xué)習(xí)獲取、協(xié)同生成驗(yàn)證規(guī)則的方式，能夠確保每個(gè)部署自治域的控制平面獲取較為全面的驗(yàn)證規(guī)則信息，數(shù)據(jù)平面可以依據(jù)較為完善的驗(yàn)證規(guī)則執(zhí)行真實(shí)性判定，是有效提升驗(yàn)證機(jī)制真實(shí)性評(píng)定的正確性、減小合法分組被錯(cuò)誤過(guò)濾的假陽(yáng)性事件的重要技術(shù)手段。

基于RSF機(jī)制的分布式域間源地址驗(yàn)證的基本思路是：通過(guò)在部署自治域間引入具有協(xié)商交互域間選路策略的合作機(jī)制（RSF），通過(guò)傳播路由選擇信息反饋報(bào)文，將決策到達(dá)某一自治域所轄的目的地址前綴空間的路由選擇信息在部署自治域間驗(yàn)證路由分發(fā)相反的方向逐漸反饋和傳播。在路由選擇決策信息反饋的過(guò)程中，分組在網(wǎng)絡(luò)中轉(zhuǎn)發(fā)實(shí)際路由路徑上的每個(gè)部署自治域依據(jù)路由選擇反饋報(bào)文中攜帶的路由選擇決策信息和源地址空間信息，在本地控制平面計(jì)算生成驗(yàn)證規(guī)則，以此指導(dǎo)數(shù)據(jù)平面的過(guò)濾機(jī)制執(zhí)行，在分組到來(lái)時(shí)對(duì)其源地址真實(shí)性進(jìn)行檢查，濾除偽造分組放行合法分組。

基于RSF機(jī)制的分布式域間源地址驗(yàn)證方法的主要技術(shù)特點(diǎn)是：1.著眼主動(dòng)防御型、事前預(yù)防性應(yīng)對(duì)偽造分組的侵害和攻擊；2.分組在到達(dá)目的端的中間網(wǎng)絡(luò)中被驗(yàn)證；3.能夠較早及較為逼近偽造源過(guò)濾和抑制假冒數(shù)據(jù)流，DPF研究證明，此類(lèi)方案的部署點(diǎn)選取，只需部分部署在樞紐型自治域中，就可較為顯著地過(guò)濾大部分 IP 偽造分組，還可運(yùn)用Vertex Cover集合覆蓋理論指導(dǎo)優(yōu)化選擇部署點(diǎn)。

圖1 基于RSF機(jī)制的分布式域間源地址驗(yàn)證

技術(shù)實(shí)現(xiàn)

基于RSF機(jī)制的分布式域間源地址驗(yàn)證借助自治域間運(yùn)行的路由協(xié)議來(lái)輔助驗(yàn)證機(jī)制的實(shí)現(xiàn)，決策部署驗(yàn)證方法的自治域間以事先建立的信任關(guān)系為信任基礎(chǔ)，通過(guò)特殊的自治域間路由選擇信息的交互和共享機(jī)制（RSF），達(dá)成多個(gè)部署自治域協(xié)同工作相互通告從源端自治域到目的端自治域間數(shù)據(jù)分組的實(shí)際轉(zhuǎn)發(fā)路徑，通過(guò)域間協(xié)作的信息共享，每個(gè)部署自治域在掌握較為全面的域間選路信息的基礎(chǔ)上，重構(gòu)了一棵邏輯分組轉(zhuǎn)發(fā)路由路徑樹(shù)存儲(chǔ)在本地，輔助本地生成用于驗(yàn)證分組真實(shí)性的驗(yàn)證規(guī)則，將從建立信任關(guān)系的其他部署自治域處得到的實(shí)際轉(zhuǎn)發(fā)路徑信息處理生成源前綴空間，入射接口形式的驗(yàn)證規(guī)則，該規(guī)則中每一條規(guī)則項(xiàng)都表明“隸屬某一源自治域的源前綴空間與攜帶屬于該源地址空間源地址的分組的入射接口的映射關(guān)系”?；赗SF機(jī)制的分布式域間源地址驗(yàn)證方法的實(shí)現(xiàn)原理如圖1所示。

基于RSF機(jī)制的分布式域間源地址驗(yàn)證方法主要有兩個(gè)關(guān)鍵設(shè)計(jì)：

1．建立選路信息通告反饋的跨域安全信道。利用現(xiàn)有BGP路由協(xié)議的協(xié)商能力和捎帶功能，幫助部署自治域間建立選路信息通告反饋的跨域安全信道，路徑屬性設(shè)置為可選傳遞的BGP Update報(bào)文捎帶安全信道的接口信息（AI）確保向后兼容，實(shí)現(xiàn)了安全信道的接口信息能夠穿越未部署自治域不間斷轉(zhuǎn)發(fā)的功能，部署AS通過(guò)獲取邏輯鄰居的AI可以迅速建立TCP會(huì)話，與該AI所屬部署AS搭建用于傳遞RING報(bào)文的域間合作的安全信道。具體實(shí)現(xiàn)時(shí)利用現(xiàn)有BGP協(xié)議的協(xié)商能力：（1）引入AI作為部署節(jié)點(diǎn)間的信息交互連接入口，部署節(jié)點(diǎn)間依此建立TCP會(huì)話；（2）BGP Update報(bào)文的路徑屬性（path attribute）設(shè)置為可選傳遞模式（向后兼容性），捎帶無(wú)間斷傳遞AI信息；（3）下游部署節(jié)點(diǎn)用自己的AI替換上游部署節(jié)點(diǎn)嵌入的AI并記錄下來(lái)。

2．選路信息和源地址空間反饋。引入了路由選擇信息反饋機(jī)制（RSF），部署自治域間通過(guò)交互路由選擇信息報(bào)文（RING），實(shí)現(xiàn)跨域合作的學(xué)習(xí)機(jī)制，獲取分組在網(wǎng)絡(luò)中實(shí)際轉(zhuǎn)發(fā)的路由路徑信息，計(jì)算生成分組到達(dá)接口和其下對(duì)應(yīng)的合法源地址空間的映射表作為驗(yàn)證規(guī)則。機(jī)制實(shí)際工作中，（1）RING報(bào)文沿著訪問(wèn)網(wǎng)絡(luò)中某一可達(dá)前綴地址的分組在網(wǎng)絡(luò)中實(shí)際轉(zhuǎn)發(fā)的路由路徑傳播，將下游自治域的選擇信息和源地址空間信息反饋給沿途的所有上游部署自治域；（2）所有沿途接收到RING的上游部署自治域計(jì)算生成本地過(guò)濾規(guī)則。

基于域間選路信息反饋的分布式源地址驗(yàn)證方法立足現(xiàn)有互聯(lián)網(wǎng)實(shí)際，依托真實(shí)源地址驗(yàn)證體系結(jié)構(gòu)（SAVA），提出了一種新型的自治域間真實(shí)源地址驗(yàn)證方法，該方法在信任聯(lián)盟成員自治域間協(xié)商跨域路由路徑信息的基礎(chǔ)上，實(shí)現(xiàn)了主動(dòng)型偽造防御機(jī)制，構(gòu)建出一種支持跨域合作的、具有自主過(guò)濾偽造分組功能和抵御源地址假冒攻擊能力的可信任網(wǎng)絡(luò)體系結(jié)構(gòu)，能夠確保向所屬用戶提供可信的互聯(lián)網(wǎng)尋址訪問(wèn)服務(wù)。