互联网地址安全体系和关键技术分析.docVIP

互联网地址安全体系和关键技术分析 　　摘 要随着互联网的不断发展，互联网早已成为我国信息基础设施的重要部分，现在很多活动都需要借助互联网才能顺利进行，包括网上银行、社交网络、E-mail等。但是，目前的互联网安全机制不够强，经常会遭到各种恶意攻击，人们对安全问题的关注程度越来越高，社会经济的发展深受互联网可信任度的影响。在整个互联网体系结构中，互联网地址安全体系具有双重属性，即位置、身份，导致互联网频繁遭受攻击，使互联网秩序遭到严重干扰。因此，互联网可信任度的建立基础就是互联网地址的安全性。不过到目前为止，互联网的内在机制并没有经过任何真实性验证，目前急需解决的问题就是建立一个高信任度、安全的互联地址安全体系。 　　【关键词】互联网地址 安全体系 关键技术 　　1 互联网地址安全体系的研究 　　经过相关研究表明，互联网遭受的安全问题中威胁程度最高的就是互联网地址欺骗，关于互联网安全的研究多种多样。只有能够确保互联网地址的安全性，同时开销少、部署简单，这种研究方案才能达到优秀，因此本文从路由协议、互联网地址的角度改革、扩展地址安全体系，即改良型研究思路、创新型研究思路。 　　1.1 改良型研究思路 　　经过最近几十年的不断发展，互联网已获得可喜的成果，互联网地址安全体系的基础，包括域间路由协议 BGP、IP 地址，这充分说明了互联网地址安全体系具有非常高的稳定性和适应能力，稍微进行变革，就会在部署方面和设计方面造成极大的开销。因此，增量式修补是改良型研究思路的主要策略，首先要确保已有路由协议、互联网地址的稳定性，然后在此基础上添加增加检测机制，这样才能地址安全受到保障。其中，检测方案的主要思路为：在一般情况下，网络特征应处于稳定状态，如路由状态、分组流向等，检测机制经过运用路由器、主机等来对网络特征进行有效监测，一旦监测结果出现不正常现象，则极有可能发生了互联网地址欺骗。例如，经过路由器接口发生来自伪造源地址的报文时，经常会出现变动。 　　1.2 创新型研究思路 　　研究者普遍认为创新型研究思路没有遵守设计指导原则，互联网安全问题不能得到根本性的解决，这种方法主要用于事发后的补救。因此，为解决问题，研究者们纷纷创新路由协议，路由协议、互联网地址系统与安全机制进行绑定成为了研究的重点，运用密码学，使得源地址得以认证，其中，研究工作分为两个方面，即对源AS 授权认证、创建可以自我验证的地址。此外，业界为了使路由可扩展性问题得到解决，制定了很多解决方案，如将位置标识和IP地址身份进行分离等。尽管最初只是建立一个新型互联网体系结构，着实分离身份、定位功能，不过也使 IP 语义过载问题得到解决，这对互联网地址安全来说，其意义非常重大。 　　1.3 地址安全体系研究思路的分析 　　改良型研究思路的部署能力是比较强的，但是却不能从本质上使互联网地址欺骗得到有效避免，另外，由于补丁过多，大大降低了路由系统的性能；创新型研究思路尝试对互联网安全进行根本性的保证，但是部署能力偏低、开销偏大。 　　2 互联网地址安全的关键技术研究 　　2.1 源地址安全的关键技术 　　2.1.1 基于路由信息的分组过滤 　　所谓基于路由信息，就是指通过运用路由表中的接口链路、地址前缀二者之间的关系，路由器制定一个验证规则，经过对流入的分组特征进行检查，以此判断地址欺骗分组的发生与否。合法数据包的判断依据，就是子网和 IP 前缀之间的隶属关系。出口过滤，也称为欺骗数据包，就是指运用路由器对流出、流入的分组头部检查出从某个边界网络中所流出的数据包和该数据包的源地址不一致。反向路径在在验证规则中对 RPF进行转发，接口信息引入其中。RPF 认为d 的分组包括所有流入的源地址，d 的分组转发的端口即为流入源地址的发送目的地址。 　　2.2 路由地址前缀的安全关键技术 　　由于前缀和前缀宣告方二者之间没有进行安全绑定，导致地址前缀劫持。路由地址前缀的安全关键技术可以分为两种类型，即：第一，攻击检测技术。发生前缀劫持后，可以进行及时检测、报警、恢复；第二，为对源AS的身份进行验证，对源A身份的地址所有权进行确认，将PKI 机制引入到路由协议中。 　　2.2.1 前缀劫持检测技术 　　前缀劫持检测技术的检测规则是由历史数据和实时信息组合而成的，包括Co-Monitor、MyASN 、PHAS等。用户在 MyASN 中，首先要进行注册，填写源AS和一直关注的地址前缀二者之间的映射关系；然后，事先采集的映射信息、实时监测的映射关系在MyASN 系统的操作下进行匹配，如果非法宣告已注册的前缀，则表明地址源发生变更。所有AS和其他参与者在Co-Monitor作用下，将各自定义的前缀进行交换，最终形成一张全局映射表，与此同时，对本地BGP路由更新进行监