IPv6网络自治系统间源地址验证技术研究.PDFVIP

第2卷 第10期 2007 年 10 月 中国科技论文在线 SCIENCEPAPER ONLINE 715 IPv6 网络自治系统间源地址验证技术研究 吴建平 1 1 2 ，任 罡 ，李 星 （1. 清华大学计算机科学技术系，北京 100086 ；2. 清华大学电子工程系，北京 100086 ） 摘 要：现有互联网的寻址体系结构对接收和转发的 IP 分组的源地址并不进行严格的检查，很容易伪造 IP 分 组的源地址。本文提出了在 IPv6 网络下在自治系统间实现源地址验证的方法，其对 IPv6 网络的安全,计费,管 理和应用都会有所帮助。针对进行源地址验证的两个自治系统直接互联的情况，提出了基于自治系统互联关系 的验证方法，针对进行源地址验证的两个自治系统非直接互联的情况，提出了基于签名的验证方法。本文阐述 了其设计，实现，以及在CNGI-CERNET2 ，一个大规模纯IPv6 主干网上部署的情况。 关键词：网络安全；源地址验证；基于自治系统互联关系的自治系统间 IP 源地址验证；基于签名的自治系统 间IP 源地址验证 中图分类号：TP393.08 文献标识码：A 文章编号：1673－7180(2007)10 －0715 －5 其中自治系统间的 IP 源地址验证具有以下两个 0 引言 特点：其一，需要在不同自治域间协同工作；其二， 现有互联网的 IP 分组转发，主要基于目的 IP 机制必须简单轻权，不给自治系统间的高速通信带 地址，很少对分组的 IP 源地址的真实性进行检查， 来明显影响。这是相对最为复杂重要的一个层次， 这使得分组的 IP 源地址容易伪造。网络攻击者常常 直接关系着运营商之间 IP 分组源地址的验证的部 通过伪造分组的 IP 源地址逃避承担责任。IP 源地址 署，其目标是实现自治系统粒度的 IP 源地址验证。 验证已经成为互联网安全面临的一个挑战性的问 在本文中，我们针对进行源地址验证的两个自治系 题。在互联网上实现源地址验证可以使得互联网中 统直接互联的情况，提出了基于自治系统互联关系 携带真实 IP 源地址的分组更容易被追踪，携带伪造 的验证方法，针对进行源地址验证的两个自治系统 IP 源地址的分组无法转发，被丢弃。 非直接互联的情况，提出了基于签名的验证方法。 目前在研究和工程领域已经有很多相关的努 尽管在 IPv6 网络上进行源地址验证的机制的主 力，主要包括基于加密认证的技术，基于过滤的技 要设计思想也可以应用在 IPv4 环境下，我们目前的 术和基于追踪的技术。然而这些现有机制都没能在 设计和研究主要集中在 IPv6 领域，这主要是因为现 现有互联网上得到广泛的部署。缺乏对增量部署的 有的基于 IPv4 的互联网的路由和寻址体系结构已经 支持和对运营商的激励是主要的原因。 部署和运行多年，直接在其上更新网络设备是困难 要实现全网的 IP 源地址验证，依赖单一的方法， 的，并且代价高昂。而新的 IPv6 网络的设计和部署， 部署在单一层次的位置是不现实的。因为互联网的 为我们直接在基础设施层实现 IP 源地址验证提供了 路由和寻址是一个层次结构，相对应的，我们设计 机会。 的 IP 源地址验证机制也应该是分层的。这里我们可 本文的正文部分是这样组织和展开的。第 1 节， 以划分为三个层次：接入子网源地址验证，自治系