第15章 下一代互联网安全和可信任互联网(3)

1.自治系统间IP源地址验证技术

清华大学提出了基于端到端验证的域间源地址验证方法SMA。SMA的全称是State Machine based Authentication，通过同步状态机来实现端到端源地址验证的机制。

SMA方法以签名、认证的方式防止源地址的伪造。报文发送方在报文中加入签名，以标识自己没有伪造。验证方在收到报文时，检查报文中的源地址与签名是否对应，如果对应，则说明报文没有伪造。这种签名加认证的过程中，签名的安全性非常重要。由于可能存在窃听等非正常情况，签名可能泄露。在这种机制中，签名的更新影响其安全性与开销。

SMA方法的特征在于能够以极低的开销精细地防止IP源地址伪造，削减DOS/DDOS攻击，并且支持增量部署。方案的最大特点是设计了一种在源与目的之间自动同步、更新签名的技术，做到降低运行与管理开销，每个报文有独立签名的方式能做到防止重放攻击，对DOS/DDOS有很强的鲁棒性。

将SMA应用于域间真实地址验证，就是以AS为单位，AS之间使用状态机进行端到端的源地址检查验证；部署的AS共同组成信任联盟，联盟成员之间彼此可信任、可验证、可追溯，对联盟外的源地址伪造有识别和过滤能力，因此对部署者提供保护和部署激励，支持增量部署。

1）数据层面的报文验证

联盟内每一对AS协商一个私密的状态机，通过状态机同步的周期性变迁来生成不断变化的标签。源AS在边界路由器上对出口报文打上标签，目的AS在边界路由器上对入口报文检查并去除标签。源端AS使用Ingress Filtering保证发往其他成员的报文携带真实的源地址（前缀）；通过对标签的验证，AS彼此之间可以认证，同时对联盟外的AS发来的伪造报文进行识别和过滤。

为了实现安全且轻量级的标签生成，在状态机中使用非常轻量的伪随机数算法（KISS）作为状态机的标签生成算法。该算法运行效率高，生成的标签以明文方式加入报文，验证只需位串匹配。因此，此方法防重放、防猜测，安全性高且轻量，非常适合在路由器上实现和运行。

2）控制层面的协议通信

在SMA系统中，除了需要在路由器上实现状态机的维护、标签的添加和验证，还需要通过控制协议维护联盟成员的信息、协商状态机等。完成这些工作的实体包括联盟注册中心（REG）和每个成员AS内的控制服务器（ACS），它们的职责分别如下：

（1）联盟注册中心（REG）：管理联盟成员列表；

（2）控制服务器（ACS）：维护成员列表、交换AS地址前缀列表，协商状态机，配置AER；

（3）边界路由器（AER）：接收ACS的配置，添加、检查标签。

SMA首次提出使用同步状态机的方式进行端到端的源地址验证，该成果解决了源地址验证领域的若干难题，如减少假阳性、验证的轻量性、报文可溯源性、部署者收益、部署激励及增量部署等。

2.自治系统内源地址验证技术

清华大学设计了自治系统内源地址验证的CPF方法。其主要思想是获取全局的路由表信息，可以设计新的协议，也可以采取类似网络管理的体系结构，在域内所有路由器上开启SNMP代理服务，中心网管服务器通过SNMP协议获得各路由器路由表，然后根据所有的路由表计算域内以任一节点为源到其他节点的路由路径，记下每个路由器的接口的所有可能出现的源地址前缀或（源，目的）前缀对作为过滤表条目，并以此作为依据用SSH将这些过滤条目配置到部署点路由器的ACL中，部署点路由器根据ACL中接口与源地址前缀或（源，目的）前缀对的对应关系，对报文的源地址的真实性进行验证。

CPF方案体系结构，采取类似网络管理的体系结构，在域内所有路由器上开启SNMP代理服务，中心网管服务器通过SNMP协议获得各路由器路由表，然后根据所有的路由表计算域内以任一节点为源到其他节点的路由路径，并记下进入每个下一跳路由器的接口。再将每条转发路径结合进入每个下一跳的接口IP组织成形如：Src→（inIf）nextHop→……→（inIf）nextHop→（inIf）Dest形式的过滤条目，并以此作为依据用SSH将这些过滤条目配置到相关部署点路由器的ACL中。ACL的格式是（Src， Dest， inIf），其中inIf是部署点路由器的一个接口地址。部署点路由器根据ACL对报文的源地址的真实性进行验证。

在具体网络环境中，为了使管理器对所有路由器实施快速而有效的管理，应尽量避免使得管理器处于靠近域边界路由器的位置，而应使之处于靠近网络中心的位置。

另外，为了增强方法的实时性和可扩展性。对于较大的域，可以考虑在域内安装多台协同工作的管理器，共同完成对同一域内的路由器的计算和监控任务。

将域内所有路由器按照地理分布划分为若干区，每个区由若干路由器组成，且每个区由一个管理器管理，其中处于偏中心区的管理器被设置为主管理器，其余均为从管理器。每个管理器获得各自区内的所有路由表，主管理器除了获得自己区内的路由表，还要从其他从管理器获得路由表，即主管理器掌握域内所有路由器的路由表。各管理器（包括主管理器）主要负责其内部路由器之间两两可达路径的计算，且途经的路由器都在各自的区内（叫做区内聚路径）的源地址和目的地址对过滤路径进行计算，并且计算各区内路由器在区内已计算的过滤路径中途出现的次数（叫做区节点频率）；对于途径路由器在其他区的源目地址对（叫做区耦合路径）则通告给主管理器。主管理器不仅计算自己所在区的区内聚路径，还要计算来自各从管理器未能计算的区耦合路径。另外，取得各从管理器的区节点频率后，结合自己的区节点频率计算出域内所有路由器的域内节点频率，作为确定部署点的依据。

整个系统的基本工作步骤如下：

（1）使用SNMP获取各个路由器路由表（中断或轮询的方式处理路由变动）；

（2）计算域内任意两前缀间的转发路径；

（3）管理服务器通过SSH将转发路径中包含部署点前缀地址的过滤表项配置到相应的部署点路由器的ACL上。

系统的数据流图（工作流程图）。

系统在一个主循环中运行。在主循环中维持几个进程。其中Trap模块用于发现路由器更新的情况；计时保持是用于控制系统时间的模块。

基于安全可靠、方便的考虑，拟使用SSH将过滤条目配置到相关部署点路由器ACL中。关于SSH的配置、使用及路由器上的ACL格式的设计是这部分工作的重点。同时考虑SSH配置路由器的同步机制（同步建立同步更新），做到迅速全部建立及迅速全部更新，以防部署点此时受到攻击。

3.接入子网内源地址验证技术

清华大学提出了接入网内的源地址验证的框架，提出了基于交换机监听控制报文生成绑定表的方案CPS（Control Packet Snooping）。该方法使得主机只使用IPv6地址分配方式分配的地址，且未部署区域不影响部署区域，此方案也满足IETF SAVI工作组的要求：支持DHCPv4/v6、SLAAC、手工、静态等主要地址分配方式；不安装主机软件、不设计新的协议、支持主机移动、支持多地址等，因此被IETF SAVI工作组采纳为工作组系列标准（Framework、DHCP场景、SLAAC场景、混合场景等），并已经进入Last Call最后阶段，即将成为国际标准RFC。

由于按照RFC 4862，无论是DHCPv6方式，还是无状态方式分配的地址、密码学产生的地址，以及手动分配的地址，在正常使用之前，都必须发送冲突检测报文确定唯一性，没有经过唯一性检测的地址是不能使用的。基于对于源地址伪造的定义，交换机只需要监听与其直接相连的主机的源地址分配报文，判断主机是否根据标准进行源地址配置，就可以建立主机已经合法使用的源地址列表，并使用该列表来对报文进行过滤。对于IPv4地址，按照最新的标准RFC 5227。

按照此原理，本方案的工作情况。

CPS方案通过对地址分配相关的报文进行监听，判断主机是否已完成地址分配流程，建立主机可使用的源地址和交换机端口的绑定关系，并利用此绑定来对报文进行过滤。

CPS需要监听如下协议的工作建立绑定关系，或者修改绑定关系。

（1）DHCPv6：主机可以通过DHCPv6协议，向DHCPv6服务器申请地址，并配置该地址；

（2）Duplicate Address Detection（DAD）：对于任何方式获取的地址，在配置前，主机需要发送DAD Neighbor Solicitation报文对地址的唯一性进行检查；

（3）Secure Neighbor Discovery（SeND）：对于采用密码学产生的地址，其真实性的确定需要对SeND协议进行监听；

（4）Graituitous ARP：主机在分配IPv4地址到本地接口之前，需要通过Graituitous ARP协议检验该地址的唯一性。

CPS部署在与主机直接相连的网络接入设备上，如交换机和无线接入点。为了CPS能有效工作，需要部署的交换机的一个端口不能被多个主机共享，或者主机接口具有安全的链路层地址。所谓安全的链路层地址，是指在802.11i或802.1ae/af被使用时主机的MAC地址。交换机一个端口不能被多个主机共享，是指多个主机的接口不能通过集线器等设备接入到交换机的同一个接口。如果本技术被部署在交换机上，在交换机的端口上可能连接其他接入设备，如交换机、路由器等，这些端口需要和直接连接主机的端口加以区别。CPS对不直接连接到部署该方案设备的主机不进行主机粒度的源地址过滤。

在部署之后，CPS将建立源地址与部署设备的端口或主机链路层地址的绑定关系，并对报文进行过滤。CPS将使用一个数据结构存储绑定关系，这里称为绑定关系表，另外，该技术使用一个数据结构存储绑定关系的状态和生命期，这里称为绑定关系状态表。CPS根据控制报文（DHCPv4，DHCPv6，Neighbor Discovery Protocol， ARP）、时间和其他事件来对绑定关系表和绑定关系状态表进行修改。

4.真实IP源地址验证技术的部署

目前以清华大学为牵头单位，联合多所高校，已完成可信任互联网试验网总体设计，组织100所学校采用增量部署方式构建了可信任互联网试验网，主干网覆盖全国25个核心节点，接入网100个，用户已达100万以上。

前述真实源地址验证体系结构与实际网络的部署关系是这样的：接入子网内IPv6源地址验证（SAVI）技术部署在100个校园网的接入层；域内IPv6源地址验证（域内SAVA）技术部署在100个校园网管理域内；域间IPv6源地址验证（域间SAVA）技术部署在CNGI-CERNET2主干网的25个核心节点和CNGI国际国内互联中心CNGI-6IX。

在现有的高校下一代互联网试验网条件下，在校园网接入层、校园网管理域内、CNGI-CERNET2主干网核心节点之间、CNGI-6IX国内/国际互联点上增量部署实现真实IPv6源地址验证技术的试制设备和升级模块，可以在可知、可控、可管三个方面增强网络的可信任性。

5.2.5 可信任互联网关键技术小结

可信任互联网是下一代互联网的关键技术，对实现网络的可管可控具有重要意义。我国在下一代可信任互联网关键技术方面取得了一定的突破，提出了真实源地址验证技术，并成为国际标准。采用真实源地址验证技术构建成功大规模的可信任互联网试验网，验证了这项新技术的先进性和可实现性，为我国研究和制定网络空间（Cyber Space）国际发展战略提供了必要基础。

参考文献

[1]Sean Convery， Darrin Miller.IPv6 and IPv4 Threat Comparison and Best-Current Practice， www.cisco.com.

[2]Xiaoyun Wang.Collisions for Hash Functions MD4，MD5，HAVAL-128 and RIPEMD，Crypto 2004.

[3]T.Aura.Cryptographically Generated Addresses（CGA），IETF RFC3972.

[4]J.Arkko， J.Kempf， B.Zill， P.Nikander， SEcure Neighbor Discovery（SEND），IETFRFC 3971.

[5]任罡.IP源地址验证系统结构和协议研究.清华大学博士学位论文.

[6]Ferguson P， Senie D.Network Ingress Filtering：Defeating Denial of Service Attacks which employ IP Source Address Spoofing.RFC 2827（Best Current Practice），May，2000.http：//www.ietf.org/rfc/rfc2827.txt.Updated by RFC 3704.

[7]Baker F， Savola P.Ingress Filtering for Multihomed Networks.RFC 3704，2004.

[8]Kaeo， M.Operational Security Current Practices in Internet Service Provider Environments， RFC 4778，January 2007.

[9]Dupont F， Castelluccia C.IPv6 Network Ingress Filtering.IETF Internet draft.draft-dupont-ipv6-ingress-filtering-00.2002.

[10]Baker F.Multiprefix IPv6 Routing for Ingress Filters.draft-baker-6man-multiprefix-default-route-00.txt.http：//tools.ietf.org/html/draft-baker-6man-multiprefix-default-route.[11]Cisco Document， Cisco：Configuring IP Source Guard， http：//www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/ipsrcgrd.html.

[12]Cisco Document， Understanding and configuring DHCP snooping.http：//www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.1/13ew/configuration/guide/dhcp.html.

[13]Woundy R， Kinnear K.Dynamic Host Configuration Protocol（DHCP）Leasequery，RFC 4388，2006.

[14]Cisco Document， Cable Source Verify（DHCP Lease Query），http：//www.cisco.com/en/US/tech/tk86/tk803/technologies_tech_note09186a00800a7828.shtml.

[15]Patrik M， DHCP relay agent， RFC 3046，2001.

[16]Park K， Lee H.On the Efectiveness of Route-based Packet Filtering for Distributed DoS Attack Prevention in Power-law Internets.Proceedings of the Annual Conference of the Special Interest Group on Data Communication（ACM SIGCOMM），San Diego， CA， USA，2001：15-26.

[17]Duan Z， Yuan X， Chandrashekar J.Constructing Inter-Domain Packet Filters to Control IP Spoofing Based on BGP Updates.Proceedings of the 25th Annual Joint Conference of the IEEE Computer and Communications Societies（INFOCOM），Barcelona， Spain，2006.

[18]王立军，吴建平，徐恪.支持域间分布式分组过滤的BGP扩展.软件学报，2007，18（12）：3048-3059.

[19]Wang L， Xu K， Wu J.BGP Route Selection Notice.International Conference on Information Network（ICOIN）2006，LNCS 3961/2006：440-449.

[20]Li J， Mirkovic J， Wang M， et al.SAVE：Source Address Validity Enforcement Protocol.Proceedings of the 21st Annual Joint Conference of the IEEE Computer and Communications Societies（INFOCOM），New York， NY， USA，2002：1557-1566.

[21]Li J， Mirkovic J， Ehrenkranz T， et al.Learning the valid incoming direction of IPpackets.Computer Networks， v 52，n 2，Feb 8，2008：399-417.

[22]Jin C， Wang H.Hop-count filtering：an effective defense against spoofed DDoS traffic，ACM CCS，2003.

[23]Wang H， Jin C， Shin K.Defense against spoofed IP traffic using hop-countfiltering.IEEE/ACM Transactions on Networking， v 15，n 1，February，2007：40-53.

[24]Snoeren A C， Partridge C， Sanchez L A， et al.Single-packet IP traceback.IEEE/ACMTransactions on Networking，2002，10（6）：721-734.

[25]Snoeren A C.Partridge C， Sanchez L， et al.A Hash-based IP traceback， ACMSIGCOMM 2001.

[26]Bellovin S， Leech M， Taylor T.ICMP Traceback messages.IETF Internet Draft，draft-ietf-itrace-03，2003.

[27]Lee H， Thing V， Xu Y， Ma M.ICMP Traceback with Cumulative Path， An EffcientSolution for IP Traceback.Information and Communications Security.LNCS.2003：124-135.

[28]Savage S， Wetherall D， Karlin A， et al.Network Support for IP Traceback.IEEE/ACMTransactions on Networking，2001，9（3）：226-237.

[29]Savage S， Wetherall D， Karlin A， et al.Pratical network support for IP traceback.ACMSIGCOMM 2000.

[30]Song D X， Perrig A.Advanced and Authenticated Marking Schemes for IP Traceback.Proceedings of the 20th Annual Joint Conference of the IEEE Computer and Communications Societies（INFOCOM），Anchorage， AK， USA，2001.

[31]Belenky A， Ansari N， IP Traceback With Deterministic Packet Marking， IEEECOMMUNICATIONS LETTERS，2003.

[32]Kent， S，R.Atkinson.Security Architecture for the Internet Protocol.RFC 2401，1998.[33]Bremler-Barr A， Levy H.Spoofing Prevention Method.IEEE INFOCOM2005.