徐 恪 等 : 互 联 网 地 址 安 全 体 系 与 关 键 技 术 79 进 行. 然 而, 当 前 互 联 网 的 安 全 机 制 较 为 薄 弱, 系 统 性 不 强, 各 种 欺 骗 隐 私 窃 取 等 恶 意 攻 击 泛 滥, 安 全 问 题 越 来 越 引 起 人 们 的 关 注, 互

Transcription

1 软 件 学 报 ISSN , CODEN RUXUEW Journal of Software,2014,25(1):78 97 [doi: /j.cnki.jos ] 中 国 科 学 院 软 件 研 究 所 版 权 所 有. Tel/Fax: 互 联 网 地 址 安 全 体 系 与 关 键 技 术 徐 恪 1,2, 朱 亮 1,2 1,2, 朱 敏 1 ( 清 华 信 息 科 学 与 技 术 国 家 实 验 室 ( 清 华 大 学 ), 北 京 ) 2 ( 清 华 大 学 计 算 机 科 学 与 技 术 系, 北 京 ) 通 讯 作 者 : 徐 恪, xuke@mail.tsinghua.edu.cn, 摘 要 : 当 前, 互 联 网 体 系 结 构 不 具 备 地 址 真 实 性 验 证 机 制, 源 地 址 伪 造 与 路 由 地 址 前 缀 欺 骗 造 成 了 极 大 危 害. 解 决 地 址 安 全 问 题 构 建 真 实 可 信 的 互 联 网 环 境, 已 成 为 亟 待 解 决 的 重 要 课 题. 地 址 的 真 实 性 是 互 联 网 可 信 的 基 础 和 前 提. 针 对 这 些 问 题, 研 究 者 们 从 不 同 角 度 提 出 了 很 多 解 决 方 案. 首 先, 该 文 介 绍 了 地 址 的 概 念 及 其 欺 骗 现 状, 分 析 了 地 址 安 全 的 含 义, 并 从 研 究 体 系 实 现 机 制 以 及 关 键 技 术 这 3 个 维 度, 对 地 址 安 全 研 究 思 路 进 行 了 归 纳 分 析. 然 后, 对 典 型 地 址 安 全 方 案 的 性 能 指 标 进 行 了 总 结. 最 后, 给 出 了 一 个 地 址 与 标 识 通 用 实 验 管 理 平 台 的 设 想, 基 于 该 平 台, 可 以 为 不 同 的 地 址 标 识 方 案 提 供 统 一 的 部 署 实 验 环 境. 关 键 词 : 地 址 欺 骗 ; 前 缀 劫 持 ; 地 址 安 全 ; 地 址 认 证 ; 通 用 地 址 平 台 中 图 法 分 类 号 : TP393 文 献 标 识 码 : A 中 文 引 用 格 式 : 徐 恪, 朱 亮, 朱 敏. 互 联 网 地 址 安 全 体 系 与 关 键 技 术. 软 件 学 报,2014,25(1): 英 文 引 用 格 式 : Xu K, Zhu L, Zhu M. Architecture and key technologies of internet address security. Ruan Jian Xue Bao/Journal of Software, 2014,25(1):78 97 (in Chinese). Architecture and Key Technologies of Internet Address Security XU Ke 1,2, ZHU Liang 1,2, ZHU Min 1,2 1 (Tsinghua National Laboratory for Information Science and Technology (Tsinghua University), Beijing , China) 2 (Department of Computer Science and Technology, Tsinghua University, Beijing , China) Corresponding author: XU Ke, xuke@mail.tsinghua.edu.cn, Abstract: Forged source address and routing address prefix hijacking have caused great threats since there are no source address validation mechanisms on the current Internet. Solving the address security problem and constructing a reliable Internet environment have become a critical issue. The foundation of a trustworthy Internet is the authenticated IP addresses. Therefore, researchers have proposed many solutions from different perspectives on these problems. This paper first introduces the notion of address and the current situation of address spoofing, then gives an analysis to the meaning of the address security. The paper analyzes and compares these security solutions in three dimensions: The architecture, the mechanism and the key technical means. Their performances are also summarized and evaluated. Finally, the study provides a proposal of constructing a general experimental platform for network addresses which enables different address schemes to be deployed and experimented. Key words: address spoofing; prefix hijacking; address security; address authentication; general address platform 1 引 言 互 联 网 已 成 为 重 要 的 信 息 基 础 设 施, 社 交 网 络 电 子 商 务 到 网 上 银 行 等 各 种 活 动, 都 需 依 托 互 联 网 基 金 项 目 : 国 家 自 然 科 学 基 金 ( ); 国 家 重 点 基 础 研 究 发 展 计 划 (973)(2009CB320501, 2012CB315803); 国 家 科 技 重 大 专 项 (2012ZX ); 国 家 高 技 术 研 究 发 展 计 划 (863)(2013AA013302); 国 家 科 技 支 撑 计 划 (2011BAK08B05-02, 2012BAH01 B01) 收 稿 时 间 : ; 修 改 时 间 : ; 定 稿 时 间 : ; jos 在 线 出 版 时 间 : CNKI 网 络 优 先 出 版 : :38,

2 徐 恪 等 : 互 联 网 地 址 安 全 体 系 与 关 键 技 术 79 进 行. 然 而, 当 前 互 联 网 的 安 全 机 制 较 为 薄 弱, 系 统 性 不 强, 各 种 欺 骗 隐 私 窃 取 等 恶 意 攻 击 泛 滥, 安 全 问 题 越 来 越 引 起 人 们 的 关 注, 互 联 网 的 可 信 任 性 已 影 响 到 国 家 经 济 发 展 以 及 社 会 的 和 谐 稳 定. 在 现 有 的 互 联 网 体 系 结 构 中, 地 址 同 时 兼 具 身 份 与 位 置 双 重 属 性, 这 种 语 义 过 载 的 特 性 造 成 了 大 量 基 于 地 址 欺 骗 的 攻 击, 不 仅 严 重 扰 乱 互 联 网 秩 序, 同 时 隐 藏 了 肇 事 者 的 身 份 以 致 很 难 溯 源 追 查. 因 此 可 以 说, 地 址 的 安 全 性 是 构 建 可 信 任 互 联 网 的 基 础. 但 当 前, 互 联 网 并 不 具 备 地 址 真 实 性 验 证 的 内 在 机 制, 地 址 的 安 全 可 信 已 成 为 亟 待 解 决 的 重 要 问 题 之 一. 由 Clark 等 人 主 导 美 国 多 所 高 校 联 合 研 究 的 项 目 NewArch [1] 明 确 指 出 : 包 括 地 址 验 证 在 内 的 身 份 验 证 体 系, 对 下 一 代 互 联 网 安 全 具 有 关 键 意 义. 为 了 解 互 联 网 地 址 安 全 的 研 究 现 状, 本 文 从 研 究 体 系 实 现 机 制 以 及 关 键 技 术 这 3 个 维 度 对 目 前 的 地 址 安 全 技 术 进 行 了 归 纳 研 究, 并 在 深 入 分 析 的 基 础 上, 对 它 们 的 地 址 欺 骗 防 御 能 力 可 部 署 性 以 及 开 销 等 指 标 进 行 了 对 比 与 评 估. 1.1 地 址 概 念 Shoch 最 早 给 出 了 关 于 地 址 的 定 义 An address indicates where it is [2], 该 定 义 简 单 且 容 易 被 理 解, 类 似 于 我 们 日 常 生 活 中 的 邮 政 系 统, 即 地 址 标 识 了 主 体 的 地 理 位 置.2011 年,Woojik 等 人 为 了 分 析 名 字 地 址 身 份 标 识 定 位 标 识 这 四 者 的 关 系, 给 地 址 赋 予 了 一 个 新 的 定 义 An address denotes position to where an entity can be placed (or attached) [3], 并 认 为 : 地 址 在 能 够 唯 一 标 识 主 体 的 情 况 下, 可 以 被 作 为 身 份 标 识 使 用. 而 在 当 前 互 联 网 体 系 结 构 中,IP 地 址 的 语 义 至 少 包 括 身 份 (identifier) 和 位 置 (locator) 这 两 种 属 性 [4], 其 中, 身 份 属 性 用 来 标 识 通 信 对 端, 而 定 位 属 性 代 表 拓 扑 位 置, 是 路 由 寻 址 的 基 础. 也 就 是 说, 具 有 持 久 性 的 身 份 标 识 与 动 态 的 拓 扑 位 置 其 实 是 绑 定 在 一 起 的, 这 难 免 会 带 来 一 系 列 的 管 理 和 安 全 问 题. 为 了 解 决 这 些 问 题, 研 究 者 们 开 始 从 地 址 本 身 的 构 造 方 式 结 构 特 征 以 及 路 由 寻 址 协 议 着 手 进 行 创 新 性 改 造, 也 提 出 了 很 多 替 代 传 统 IP 地 址 的 方 案. 由 于 实 现 思 想 及 技 术 手 段 的 区 别, 这 些 方 案 中 的 地 址 分 别 聚 合 了 不 尽 相 同 的 语 义 特 征 和 属 性 空 间. 本 文 所 论 述 的 地 址 可 以 定 义 为 : 以 某 种 方 式 产 生, 兼 具 位 置 标 识 身 份 标 识 以 及 结 构 安 全 可 扩 展 等 多 重 属 性 的 网 络 实 体 标 签. 而 地 址 的 安 全 主 要 是 指 地 址 属 性 中 身 份 和 位 置 属 性 的 可 信 可 控. 1.2 地 址 欺 骗 当 前 的 互 联 网 变 得 越 来 越 庞 大 而 复 杂, 已 不 具 备 通 信 双 方 互 相 信 任 的 前 提.Steiner 的 那 副 卡 通 画 On the Internet, nobody knows you are a dog [5] 非 常 形 象 地 说 明 了 互 联 网 中 用 户 的 匿 名 性. 上 一 节 中 提 到 的 IP 地 址 兼 具 身 份 和 定 位 的 语 义 过 载 特 性 带 来 了 极 大 的 安 全 威 胁, 甚 至 阻 碍 了 互 联 网 体 系 结 构 的 演 进 发 展. 当 前, 互 联 网 中 的 网 络 设 备 仅 根 据 报 文 中 的 目 标 IP 地 址 进 行 寻 址 转 发, 并 不 对 源 地 址 进 行 验 证 ; 核 心 协 议 BGP(border gateway protocol) 缺 乏 路 由 信 息 认 证 机 制, 路 由 安 全, 尤 其 是 地 址 前 缀 宣 告 的 真 实 性 面 临 极 大 的 威 胁. 鉴 于 此, 本 文 讨 论 的 地 址 欺 骗 主 要 体 现 在 以 下 两 个 方 面 : 1) 源 地 址 欺 骗 : 产 生 原 因 在 于 用 户 可 以 随 意 伪 造 报 文 中 的 源 IP 地 址 以 隐 藏 身 份, 而 数 据 平 面 无 法 验 证 一 个 节 点 是 否 拥 有 其 所 声 明 的 源 地 址. 互 联 网 中 大 量 的 网 络 攻 击 ( 如 Dos/DDos [6],flooding attack [7], smurf [8] 攻 击 等 ) 大 都 借 助 了 源 地 址 欺 骗 技 术, 使 得 追 溯 定 位 变 得 极 为 困 难 ; 2) 地 址 前 缀 欺 骗 : 前 缀 劫 持 是 BGP 面 临 的 最 主 要 的 威 胁 [9], 产 生 的 根 本 原 因 在 于 互 联 网 体 系 结 构 的 控 制 平 面 缺 少 验 证 AS 是 否 授 权 通 告 某 IP 前 缀 的 安 全 机 制, 恶 意 AS 可 以 对 外 宣 告 一 个 不 属 于 自 身 的 IP 地 址 前 缀 以 劫 持 网 络 流 量, 进 行 监 听 篡 改 等 恶 意 行 为, 文 献 [10,11] 分 别 从 技 术 和 经 济 的 角 度 对 前 缀 劫 持 进 行 了 深 入 分 析. 结 合 以 上 两 类 安 全 威 胁, 攻 击 者 可 以 伪 装 成 他 人 的 身 份 进 行 非 法 操 作, 或 是 劫 持 路 由 地 址 前 缀 以 改 变 分 组 流 向, 从 而 达 到 不 可 告 人 的 目 的, 我 们 称 这 种 行 为 为 地 址 欺 骗 年,MIT ANA 成 立 了 Spoofer Project 研 究 小 组 [12], 通 过 全 球 范 围 内 的 测 试 主 机 向 服 务 器 发 送 源 地 址 欺 骗 分 组, 来 探 测 这 些 主 机 是 否 存 在 地 址 欺 骗 的 能 力, 并 用 以 进 行 不 同 欺 骗 粒 度 的 统 计.2012 年 11 月 18 日 发 布 的 研 究 结 果 表 明 ( 如 图 1 所 示 [13] ): 有 17.3%IP 地 址 表 示 的 主 机 14.3% 网 络 前 缀 以 及 23.3% 的 自 治 系 统 中 的 攻 击 者 可 以 进 行 IP 地 址 欺 骗 攻 击 (spoofable). 这 里 的 spoofable 指 的 是 至 少 可 以 成 功 伪 造 一 个 源 地 址, 也 就 是 说, 实 际 可

3 80 Journal of Software 软 件 学 报 Vol.25, No.1, January 2014 以 伪 造 的 IP 源 地 址 将 远 远 高 于 17.3%. 虽 然 相 比 之 前 的 数 据,unspoofable 的 端 系 统 ( 即 能 够 被 防 御 机 制 有 效 拦 截 的 ) 数 量 大 幅 增 加 [14], 但 可 执 行 地 址 欺 骗 的 主 机 仍 然 占 据 着 相 当 可 观 的 比 例. Netblocks IP Addresses ASes Spoofable Spoofable Spoofable 14.3% 17.3% 23.3% 85.7% UnSpoofable 82.7% UnSpoofable 76.7% UnSpoofable Estimated out of Netblocks Spoofable Estimated 575 million out of 3.32 billion IP Addresses Spoofable Fig.1 Current situation of IP spoofing ( ) [13] 图 1 IP 地 址 欺 骗 现 状 ( ) [13] Estimated 9300 out of Ases Spoofable 近 年 来, 地 址 前 缀 劫 持 事 件 也 是 层 出 不 穷, 给 互 联 网 的 正 常 运 行 带 来 了 极 大 的 危 害. 其 中 比 较 著 名 的 是 2008 年 巴 基 斯 坦 的 恶 意 劫 持 事 件 [15] : 为 了 对 国 内 用 户 屏 蔽 YouTube 网 站, 巴 基 斯 坦 电 信 管 理 局 在 本 国 范 围 内 宣 告 了 伪 造 的 地 址 前 缀, 但 由 于 配 置 错 误, 导 致 该 非 法 前 缀 向 全 球 蔓 延, 从 而 造 成 大 量 用 户 对 YouTube 的 访 问 中 断. 这 表 明 :IP 地 址 欺 骗 仍 然 是 互 联 网 中 一 个 巨 大 的 安 全 漏 洞, 必 须 引 起 人 们 的 足 够 关 注 [16]. 1.3 互 联 网 地 址 安 全 从 上 节 中 对 地 址 欺 骗 的 分 析 可 知, 互 联 网 地 址 安 全 应 包 括 源 地 址 安 全 以 及 路 由 前 缀 安 全 两 个 方 面 : 伪 造 的 源 地 址 隐 藏 了 攻 击 者 的 身 份, 被 劫 持 的 地 址 前 缀 导 致 网 络 流 量 被 重 定 位 到 非 法 目 的 位 置. 然 而, 当 前 互 联 网 体 系 结 构 的 数 据 平 面 和 控 制 平 面 中 都 不 具 备 地 址 真 实 性 认 证 的 安 全 机 制. 可 以 说, 确 保 互 联 网 地 址 身 份 及 其 位 置 属 性 的 真 实 可 信, 已 成 为 下 一 代 互 联 网 研 究 中 重 要 的 技 术 挑 战 [17]. 本 文 所 论 述 的 地 址 安 全 可 以 概 括 为 ( 如 图 2 所 示 ): 通 过 一 定 的 安 全 手 段, 保 证 地 址 身 份 标 识 的 唯 一 性 以 及 路 由 位 置 的 真 实 性 ; 确 保 地 址 ( 前 缀 ) 来 自 于 授 权 使 用 方, 在 分 配 及 使 用 过 程 中 不 被 篡 改 伪 造 ; 对 于 非 授 权 的 地 址 ( 前 缀 ) 应 能 及 时 检 测 或 过 滤, 从 而 为 互 联 网 安 全 可 信 提 供 良 好 的 基 础. 地 址 稳 定 性 结 构 性 安 全 性 标 识 定 位 唯 一 性 可 扩 展 性 动 态 性 身 份 欺 骗 位 置 欺 骗 主 机 源 地 址 伪 造 非 法 宣 告 地 址 前 缀 数 据 平 面 控 制 平 面 地 址 安 全 身 份 标 识 唯 一 性 授 权 的 地 址 宣 告 有 效 检 测 和 过 滤 路 由 前 缀 真 实 性 Fig.2 Definition of Internet address security 图 2 互 联 网 地 址 安 全 概 念 2 互 联 网 地 址 安 全 的 研 究 体 系 [18] 自 1989 年 Bellovin 指 出 基 于 地 址 欺 骗 是 存 在 于 互 联 网 中 一 种 极 具 威 胁 的 安 全 问 题 以 来, 地 址 安 全 研 究 不 断 推 陈 出 新. 一 个 优 秀 的 方 案 应 能 在 保 证 地 址 安 全 的 同 时 还 具 有 易 于 部 署 开 销 低 等 特 性, 这 将 是 地 址 安 全

4 徐 恪 等 : 互 联 网 地 址 安 全 体 系 与 关 键 技 术 81 研 究 面 临 的 一 个 长 期 挑 战. 地 址 和 路 由 系 统 是 当 前 互 联 网 体 系 结 构 的 核 心, 要 对 它 们 做 出 革 新 无 疑 是 非 常 困 难 的. 因 此, 早 期 的 研 究 集 中 在 体 系 结 构 缺 陷 的 修 补 上, 并 不 对 地 址 或 路 由 协 议 作 本 质 革 新. 随 着 研 究 的 不 断 深 入, 研 究 工 作 开 始 从 地 址 的 语 义 特 征 以 及 协 议 的 扩 展 着 手, 以 建 立 一 套 完 整 的 路 由 寻 址 协 议 乃 至 从 体 系 结 构 为 出 发 点 来 解 决 地 址 安 全 问 题. 借 鉴 于 互 联 网 体 系 结 构 研 究 思 路 的 划 分, 本 文 从 是 否 对 地 址 或 路 由 协 议 进 行 扩 展 或 革 新 的 层 面 上, 将 地 址 安 全 研 究 归 为 改 良 型 和 革 新 型 两 类 研 究 体 系. 2.1 改 良 型 研 究 思 路 互 联 网 几 十 年 来 取 得 了 巨 大 成 功,IP 地 址 和 域 间 路 由 协 议 BGP 作 为 体 系 结 构 的 核 心 基 础, 证 明 了 其 强 大 的 适 应 性 和 稳 定 性, 轻 易 地 变 革 将 会 导 致 设 计 和 部 署 上 的 巨 大 开 销 [19]. 鉴 于 此, 改 良 型 的 研 究 思 路 采 用 增 量 式 修 补 策 略, 在 保 证 现 有 地 址 体 系 和 路 由 协 议 稳 定 的 基 础 上, 通 过 增 加 检 测 机 制 以 保 障 地 址 安 全. 这 类 检 测 方 案 的 基 本 思 想 是 : 正 常 情 况 下, 网 络 中 的 分 组 流 向 路 由 状 态 等 特 征 应 当 是 稳 定 的, 检 测 机 制 通 过 在 主 机 路 由 器 或 第 三 方 进 行 监 测 与 地 址 相 关 的 网 络 特 征, 若 出 现 异 常, 则 怀 疑 发 生 了 地 址 欺 骗. 如 : 伪 造 源 地 址 的 报 文 进 入 路 由 器 的 接 口 可 能 会 发 生 变 化 ; 而 地 址 前 缀 劫 持 常 会 被 检 测 到 多 个 AS 宣 告 相 同 前 缀 的 异 常 现 象 (MOAS 冲 突 ) [20]. 2.2 革 新 型 研 究 思 路 这 类 研 究 认 为 修 补 的 方 法 缺 少 设 计 的 指 导 原 则 [21], 并 且 不 能 从 根 本 上 解 决 地 址 安 全 问 题, 只 是 一 种 事 后 的 补 救 策 略. 因 此, 研 究 者 们 开 始 从 协 议 的 改 进 或 更 新 入 手 来 解 决 问 题, 研 究 的 重 点 转 向 了 在 地 址 系 统 和 路 由 协 议 中 绑 定 安 全 机 制, 使 用 密 码 学 的 方 法 实 现 源 地 址 的 认 证. 主 要 研 究 工 作 包 括 创 建 能 够 自 我 验 证 的 地 址 以 及 对 源 AS 授 权 认 证 两 方 面. 另 外, 为 了 解 决 移 动 性 及 路 由 可 扩 展 性 问 题, 业 界 提 出 了 很 多 IP 地 址 身 份 和 位 置 标 识 分 离 (ID/LOCATOR split) [22,23] 的 方 案. 虽 然 其 初 衷 是 为 了 建 立 一 套 基 于 身 份 定 位 功 能 分 离 的 新 型 互 联 网 体 系 结 构, 但 其 解 决 了 IP 语 义 过 载 这 一 根 本 问 题, 因 此 对 互 联 网 的 地 址 安 全 也 具 有 十 分 重 要 的 意 义. 2.3 地 址 安 全 研 究 思 路 分 析 改 良 型 方 案 具 有 较 强 的 部 署 能 力, 但 不 能 从 源 头 上 避 免 地 址 欺 骗, 而 且 大 量 补 丁 势 必 造 成 地 址 以 及 路 由 系 统 性 能 的 下 降 ; 革 新 型 的 研 究 思 路 试 图 从 根 本 上 保 证 地 址 安 全, 但 其 所 带 来 的 开 销 以 及 实 际 部 署 能 力 不 容 乐 观. 图 3 展 示 了 互 联 网 地 址 安 全 研 究 体 系 机 制 技 术 手 段 以 及 三 者 之 间 的 隶 属 关 系. 互 联 网 地 址 安 全 地 址 认 证 的 验 证 规 则 地 址 安 全 实 现 策 略 与 思 想 关 键 技 术 实 现 机 制 报 文 标 识 行 为 特 征 检 测 路 由 信 息 网 络 行 为 地 址 空 间 分 层 自 认 证 地 址 证 书 授 权 密 码 学 地 址 认 证 依 托 的 体 系 结 构 模 型 研 究 体 系 依 托 现 有 互 联 网 地 址 与 路 由 系 统 创 新 型 的 协 议 变 革 Fig.3 Architectures, mechanisms and technologies of address security 图 3 地 址 安 全 研 究 体 系 机 制 与 技 术

5 82 Journal of Software 软 件 学 报 Vol.25, No.1, January 互 联 网 地 址 安 全 的 实 现 机 制 基 于 密 码 学 的 源 认 证 机 制 能 够 对 地 址 ( 前 缀 ) 宣 告 源 进 行 授 权 认 证, 是 一 种 欺 骗 避 免 机 制, 但 其 巨 大 开 销 带 来 的 部 署 难 题 一 直 遭 受 质 疑 ; 从 实 际 可 部 署 的 角 度 出 发, 基 于 行 为 特 征 检 测 的 安 全 机 制 受 到 越 来 越 多 研 究 者 的 关 注 ; 而 地 址 空 间 分 层 机 制 则 重 新 定 义 了 地 址 的 基 本 语 义 和 属 性, 对 地 址 安 全 具 有 重 要 的 意 义. 3.1 基 于 密 码 学 的 源 认 证 机 制 无 论 是 端 系 统 的 源 地 址 欺 骗 还 是 地 址 前 缀 劫 持, 其 根 本 原 因 都 在 于 无 法 鉴 别 源 的 真 实 性, 即 无 法 验 证 源 主 机 (AS) 是 否 拥 有 其 宣 告 地 址 ( 前 缀 ) 的 授 权. 源 认 证 是 一 种 确 认 地 址 所 有 权 的 方 法, 基 本 思 想 是 : 在 地 址 构 造 或 BGP 协 议 中 使 用 密 码 技 术 进 行 源 真 实 性 鉴 别, 从 而 在 根 本 上 避 免 地 址 欺 骗. 基 于 密 码 学 的 源 认 证 机 制 主 要 可 以 分 为 两 类 : 自 认 证 (self-certifying) 的 地 址 以 及 基 于 证 书 的 公 钥 密 码 机 制. 自 认 证 的 地 址 是 指 网 络 实 体 在 不 依 赖 于 第 三 方 权 威 的 情 况 下 能 够 证 明 自 己 对 所 宣 称 地 址 的 拥 有 权, 从 源 头 上 解 决 地 址 欺 骗 的 问 题. 自 认 证 的 思 想 最 早 由 Mazieres 等 人 提 出 [24], 底 层 通 常 使 用 加 密 的 方 法. 产 生 自 认 证 地 址 最 直 接 的 方 法 是 将 地 址 与 公 钥 绑 定, 使 用 对 应 的 私 钥 对 消 息 进 行 签 名. 接 收 方 使 用 发 送 方 的 公 钥 对 消 息 进 行 有 效 性 认 证, 这 样 无 需 外 部 安 全 基 础 设 施 的 支 持 就 可 以 实 现 源 地 址 真 实 性 认 证. 由 于 公 钥 的 长 度 往 往 大 于 命 名 空 间 的 长 度, 在 实 际 方 案 中 通 常 使 用 公 钥 的 hash 值 命 名 节 点. 目 前, 构 造 自 认 证 地 址 的 思 想 已 经 得 到 了 广 泛 的 采 用, 如 :CGA [25] 地 址 的 低 64 位 是 由 基 于 公 钥 等 一 系 列 参 数 的 哈 希 散 列 产 生 ;TrueIP [26] 则 将 IP 地 址 直 接 作 为 公 共 密 钥 ;AIP [27] 最 核 心 的 部 分 在 于 使 用 了 AD:EID 这 种 自 我 验 证 的 地 址 形 态, 其 中,AD 和 EID 分 别 是 基 于 公 钥 散 列 产 生 的 自 治 域 及 主 机 的 全 局 唯 一 标 识 符. 基 于 证 书 的 密 码 机 制 主 要 是 针 对 源 AS 进 行 鉴 别, 即 确 认 一 个 BGP 发 言 者 所 在 的 AS 是 否 具 备 宣 告 特 定 地 址 前 缀 的 授 权. 其 基 本 思 想 是 : 在 BGP 协 议 中 增 加 PKI( 公 钥 基 础 设 施,public key infrastructure) 机 制, 通 过 提 供 IP 前 缀 和 自 治 系 统 号 码 的 授 权 证 明 来 主 动 防 范 非 法 的 前 缀 宣 告. 从 信 任 模 型 上 又 可 以 分 为 集 中 式 和 分 布 式 两 类 : [28 30] 集 中 式 认 证 方 案 依 赖 于 严 格 的 层 次 式 PKI, 以 可 信 第 三 方 为 信 任 锚 建 立 地 址 前 缀 ASN( 自 治 系 统 号 ) 与 公 [31,32] 钥 的 绑 定 ; 而 分 布 式 认 证 没 有 一 致 的 信 任 根, 需 要 选 择 出 信 任 的 对 等 实 体. 一 般 来 说, 集 中 式 认 证 安 全 能 力 比 分 布 式 要 强, 但 部 署 难 度 更 大. 3.2 基 于 特 征 匹 配 的 检 测 机 制 该 类 机 制 借 鉴 了 入 侵 检 测 的 研 究 思 路, 通 常 包 括 两 种 基 本 组 件 : 用 于 监 测 网 络 信 息 的 监 控 设 施 以 及 提 供 匹 配 查 询 的 网 络 特 征 库. 基 本 思 想 是 : 将 监 测 到 的 数 据 信 息 与 事 先 采 集 的 特 征 规 则 进 行 匹 配, 若 发 现 异 常 行 为, 则 进 行 报 警 或 报 文 过 滤. 一 般 工 作 原 理 如 图 4 所 示. 收 集 网 络 正 常 行 为 数 据 构 建 特 征 库 实 时 监 测 网 络 信 息 匹 配 特 征 库 匹 配 异 常 则 告 警 或 过 滤 Fig.4 General working procedure of detective mechanisms 图 4 检 测 机 制 的 一 般 工 作 过 程 源 地 址 欺 骗 的 检 测 规 则 分 为 基 于 路 由 和 基 于 报 文 标 识 两 种 类 型 : 基 于 路 由 信 息 的 检 测 是 指 路 由 器 利 用 路 由 表 中 的 地 址 前 缀 及 接 口 链 路 等 信 息 生 成 验 证 规 则, 判 断 分 组 的 出 入 接 口 是 否 符 合 该 规 则, 以 此 鉴 别 源 地 址 欺 [33 37] 骗 报 文. 这 些 方 案 大 都 需 要 全 局 部 署, 且 存 在 一 个 普 遍 问 题 : 无 法 处 理 同 一 接 入 子 网 内 地 址 伪 造 的 问 题. 基 于 报 文 标 识 是 指 在 分 组 头 部 插 入 标 记 或 对 分 组 进 行 签 名, 在 主 机 或 者 路 径 上 的 路 由 器 中 通 过 检 测 分 组 头 部 字 [38 41] 段 的 方 式 进 行 非 法 报 文 的 验 证 及 过 滤. 这 类 方 案 由 于 需 要 在 报 文 中 嵌 入 其 他 负 荷, 难 免 造 成 性 能 上 较 大 的 [42,43] 开 销. 另 外, 还 有 部 分 研 究 者 专 门 针 对 源 地 址 的 定 位 提 出 了 追 踪 回 溯 方 法, 同 样 也 是 通 过 添 加 分 组 标 记 来 加 以 实 现, 但 由 于 事 后 处 理 的 设 计 思 想 及 复 杂 的 回 溯 算 法, 使 其 没 有 得 到 广 泛 应 用. 地 址 前 缀 劫 持 监 测 机 制 根 据 网 络 信 息 或 流 量 特 征 的 变 化 来 判 断 是 否 有 欺 骗 的 发 生, 根 据 监 测 的 数 据 类 型,

6 徐 恪 等 : 互 联 网 地 址 安 全 体 系 与 关 键 技 术 83 [44 46] 可 分 为 基 于 控 制 平 面 和 数 据 平 面 两 类 : 控 制 平 面 检 测 技 术 大 都 采 用 被 动 监 测 路 由 信 息 ( 如 路 由 更 新 报 文 ) [47 49] 的 方 式, 可 部 署 性 较 好, 但 其 检 测 结 果 的 准 确 性 和 实 时 性 都 受 到 数 据 源 的 限 制 ; 基 于 数 据 平 面 的 检 测 方 法 多 数 要 求 设 立 若 干 观 测 点 主 动 探 测 数 据 平 面, 根 据 观 测 到 的 特 征 ( 如 传 输 路 径 或 流 量 的 变 化 ) 进 行 检 测. 另 外, 还 有 [50,51] 一 些 方 案 尝 试 同 时 收 集 两 个 平 面 的 信 息 进 行 综 合 分 析, 但 其 准 确 性 同 样 受 到 来 自 两 个 平 面 数 据 源 的 共 同 约 束. 3.3 基 于 地 址 空 间 分 层 的 机 制 IP 地 址 既 充 当 定 位 符 又 作 为 标 识 带 来 了 一 系 列 路 由 可 扩 展 性 移 动 性 问 题, 为 此, 一 些 研 究 者 们 开 始 打 破 传 统 TCP/IP 的 限 制, 立 足 于 创 建 IP 地 址 身 份 和 定 位 功 能 分 离 的 体 系 结 构 [52 55]. 这 些 方 案 大 都 采 用 两 层 命 名 空 间 的 思 想, 将 地 址 空 间 分 为 身 份 标 识 和 位 置 标 识 两 部 分, 其 中, 身 份 标 识 用 来 标 识 主 体 身 份, 位 置 标 识 用 来 进 行 路 由, 两 者 之 间 由 一 个 映 射 系 统 负 责 相 互 转 换. 这 类 机 制 按 实 现 位 置 主 要 分 为 两 类 : 一 类 在 主 机 侧 实 现 分 离, 如 HIP [56] ; 另 一 类 在 边 缘 网 络 侧, 由 路 由 器 等 网 络 设 备 实 现, 如 LISP [57] 等. 图 5 以 主 机 侧 分 离 为 例, 说 明 了 该 机 制 的 基 本 工 作 过 程. 映 射 系 统 Application Transport Identity Network ID IP 映 射 IP ID 映 射 使 用 身 份 标 识 (ID) 通 信 使 用 位 置 标 识 (IP 地 址 ) 路 由 Application Transport Identity Network Fig.5 General principle of ID/LOC split mechanism 图 5 身 份 与 位 置 分 离 机 制 的 一 般 原 理 尽 管 这 类 机 制 并 没 有 将 地 址 安 全 作 为 主 要 设 计 目 标, 但 在 其 中 一 些 方 案 ( 如 HIP) 中,IP 地 址 只 标 识 主 机 位 置 及 用 于 路 由, 主 机 身 份 标 识 HI(host identifier) 基 于 主 机 公 钥 构 造 以 保 证 其 可 信 性. 从 地 址 生 成 技 术 来 看,HIP 同 样 属 于 自 认 证 的 地 址 机 制, 但 地 址 空 间 分 层 思 想 考 虑 了 IP 地 址 语 义 过 载 这 一 根 本 性 问 题, 将 身 份 与 位 置 剥 离 开, 对 于 将 来 地 址 结 构 的 发 展 有 着 深 刻 的 影 响, 因 此, 本 文 将 HIP 纳 入 这 一 机 制 中 进 行 阐 述. 3.4 地 址 安 全 机 制 分 析 基 于 密 码 的 源 认 证 是 一 种 欺 骗 避 免 机 制, 安 全 性 好, 但 需 要 扩 展 地 址 和 路 由 协 议 以 及 密 码 体 系 的 支 持, 难 免 带 来 庞 大 的 开 销, 实 际 部 署 难 度 大 ; 攻 击 检 测 机 制 无 法 从 根 本 上 避 免 地 址 欺 骗, 只 能 进 行 事 后 的 检 测 以 降 低 攻 击 影 响, 但 无 需 扩 展 协 议, 部 署 能 力 强, 受 到 了 研 究 者 们 的 更 多 关 注 ; 地 址 空 间 分 层 机 制 从 IP 地 址 语 义 过 载 这 一 根 本 问 题 出 发, 旨 在 一 体 化 地 解 决 地 址 安 全 路 由 可 扩 展 以 及 移 动 性 问 题, 但 是 部 署 迁 移 带 来 的 开 销 也 是 相 当 可 观 的. 地 址 安 全 机 制 的 特 点 分 析 见 表 1. Table 1 Analysis of address security mechanisms 表 1 地 址 安 全 机 制 分 析 地 址 安 全 机 制 基 本 思 想 安 全 手 段 技 术 分 类 代 表 方 案 安 全 能 力 可 部 署 性 基 于 密 码 学 的 源 认 证 确 认 地 址 所 有 权 源 绑 定 自 认 证 地 址 CGA [25] PKI 证 书 S-BGP [29] 强 较 差 基 于 特 征 匹 配 的 检 测 构 建 信 息 特 征 库 异 常 特 征 匹 配 控 制 平 面 PHAS [45] 数 据 平 面 SAVI [37] 较 弱 好 地 址 空 间 分 层 机 制 身 份 位 置 属 性 分 离 自 认 证 地 址 主 机 侧 分 离 HIP [56] 网 络 侧 分 离 LISP [57] 一 般 一 般

7 84 Journal of Software 软 件 学 报 Vol.25, No.1, January 互 联 网 地 址 安 全 关 键 技 术 研 究 在 本 节 中, 我 们 以 实 现 地 址 安 全 的 基 本 技 术 手 段 作 为 分 类 依 据, 结 合 一 些 典 型 方 案 简 要 加 以 阐 述 分 析. 4.1 源 地 址 安 全 关 键 技 术 基 于 路 由 信 息 的 分 组 过 滤 基 于 路 由 信 息 是 指 路 由 器 利 用 路 由 表 中 的 地 址 前 缀 与 接 口 链 路 的 关 系 生 成 验 证 规 则, 通 过 检 查 流 入 的 分 组 特 征 来 验 证 是 否 为 地 址 欺 骗 分 组. 出 入 口 过 滤 (ingress/egress filtering) [33] 以 IP 前 缀 与 子 网 的 隶 属 关 系 作 为 验 证 规 则, 来 判 断 是 否 为 合 法 数 据 包. 由 边 界 网 关 路 由 器 检 查 流 入 和 流 出 的 分 组 头 部, 对 于 一 个 边 界 网 络 内 流 出 的 数 据 包, 若 该 数 据 包 的 源 地 址 不 属 于 该 边 界 网 络, 则 视 其 为 欺 骗 数 据 包, 称 为 出 口 过 滤. 同 理, 对 于 来 自 于 该 边 界 网 络 外 部 的 数 据 包, 如 果 这 个 数 据 包 的 源 地 址 属 于 该 边 界 网 络, 则 判 断 其 为 源 地 址 欺 骗, 称 为 入 口 过 滤. 该 方 案 轻 量 且 有 效, 但 如 果 没 有 接 近 100% 的 部 署 率, 则 其 效 果 将 会 大 打 折 扣. 反 向 路 径 转 发 RPF(reverse path forwarding) [34] 在 验 证 规 则 中 引 入 了 接 口 信 息.RPF 认 为 : 流 入 的 任 何 源 地 址 为 d 的 分 组, 都 将 发 送 到 目 的 地 址 为 d 的 分 组 所 转 发 的 端 口. 也 就 是 说, 假 如 源 地 址 为 d 的 分 组 P 从 接 口 1 进 入, 若 路 由 表 中 没 有 目 的 地 址 d, 接 口 1 这 一 转 发 表 项, 则 认 为 P 是 地 址 欺 骗 分 组. 但 互 联 网 中 存 在 大 量 的 不 对 称 路 由 [58], 势 必 造 成 一 定 的 误 判. 由 于 从 特 定 源 地 址 到 特 定 目 的 地 址 所 经 过 的 链 路 是 一 定 的,DPF(distributed packet filtering) [35] 采 用 分 布 式 过 滤 的 方 法. 路 由 器 通 过 维 护 路 由 信 息 来 判 断 分 组 是 否 由 错 误 的 端 口 进 入. 假 如 一 个 攻 击 者 想 伪 造 一 个 源 地 址, 他 必 须 确 保 欺 骗 分 组 在 每 个 经 过 的 路 由 器 中 都 由 正 确 的 端 口 进 入.DPF 实 现 原 理 如 图 6 所 示 : 当 节 点 H 伪 造 节 点 C 的 报 文 时, 节 点 G 事 先 知 道 C 的 报 文 只 会 从 固 定 的 接 口 到 达, 因 此 丢 弃 H 伪 造 的 欺 骗 报 文. 实 验 结 果 表 明, 若 有 18% 的 网 络 部 署 DPF, 就 可 以 减 少 90% 的 地 址 欺 骗 报 文, 但 在 DPF 中 并 没 有 提 供 一 种 路 由 器 获 取 报 文 到 达 [59 61] 链 路 的 方 法. 近 年 来, 一 些 基 于 DPF 的 域 间 源 地 址 认 证 方 案 都 提 出 了 相 应 的 解 决 办 法, 比 如 在 IDPF(interdomain packet filters) [59] 中 通 过 与 直 接 邻 居 AS 交 换 BGP 消 息 来 构 建 过 滤 规 则, 实 现 IDPF 的 路 由 器 能 够 获 取 自 治 系 统 之 间 的 关 系 信 息,IDPF 根 据 这 些 策 略 来 确 定 从 发 送 方 到 接 收 方 可 能 的 上 游 AS 集 合, 并 以 此 作 为 在 域 间 进 行 欺 骗 分 组 过 滤 的 标 准. A D F B C E G 节 点 C 的 路 由 节 点 H 伪 造 C 的 报 文 H Fig.6 Detection in DPF 图 6 DPF 的 检 测 原 理 SAVE(source address validity enforcement protocol) [36] 提 供 了 一 种 路 由 信 息 更 新 的 机 制, 以 允 许 每 个 路 由 器 建 立 一 张 与 转 发 表 相 对 应 的 进 入 表 (incoming table). 正 如 转 发 表 关 联 了 接 口 与 特 定 的 目 的 地 址 空 间, 进 入 表 将 每 个 接 口 与 合 法 的 源 地 址 空 间 绑 定 在 一 起. 当 分 组 到 达 时, 便 可 以 通 过 进 入 表 来 判 断 分 组 是 否 合 法.SAVE 在 构 建 进 入 表 时 考 虑 了 路 由 不 对 称 带 来 的 问 题, 但 其 更 新 消 息 的 连 续 传 递 性, 决 定 了 无 法 进 行 增 量 式 部 署 基 于 报 文 标 识 的 地 址 认 证 SPM(spoofing prevention method) [38] 是 一 种 域 间 地 址 验 证 方 案, 通 过 在 报 文 中 嵌 入 签 名 对 来 判 断 该 数 据 包 的 合 法 性. 源 自 治 系 统 与 目 的 自 治 系 统 共 同 协 商 一 对 动 态 变 化 的 签 名 (s,d), 其 中,s 表 示 源 自 治 系 统,d 表 示 目 的 自 治 系 统. 当 数 据 包 发 送 时, 源 自 治 系 统 在 报 文 中 嵌 入 签 名, 到 达 自 治 系 统 d 时,d 对 数 据 包 的 签 名 进 行 检 查.

8 徐 恪 等 : 互 联 网 地 址 安 全 体 系 与 关 键 技 术 85 SPM 开 销 较 少, 也 具 有 较 高 的 部 署 激 励 ; 但 SPM 是 一 种 端 到 端 的 过 滤 机 制, 意 味 着 路 径 中 间 的 节 点 无 法 参 与 验 证. 不 同 于 SPM 仅 将 目 的 自 治 域 签 名 添 加 到 报 文 中,Passport [40] 添 加 所 有 经 过 的 自 治 域 签 名.Passport 定 义 一 个 自 身 的 头 部, 类 似 于 一 个 具 有 多 个 签 证 的 护 照, 每 个 签 证 对 应 着 沿 途 经 过 的 部 署 Passport 的 自 治 系 统. 当 报 文 到 达 时, 自 治 系 统 将 验 证 护 照 里 对 应 的 签 证 信 息 ( 如 图 7 所 示 ). Passport 中 的 签 证 其 实 就 是 一 个 消 息 认 证 码 (message authentication code, 简 称 MAC), 源 自 治 系 统 使 用 与 路 径 上 每 个 AS 共 享 的 密 钥 计 算 出 相 应 的 MAC, 将 其 嵌 入 到 发 送 的 分 组 中. 当 下 游 路 由 器 收 到 这 个 分 组 时, 便 可 以 利 用 与 源 自 治 系 统 共 享 的 密 钥 重 新 计 算 MAC 值, 以 此 进 行 地 址 验 证. 与 SPM 相 比,Passport 可 以 在 伪 造 报 文 到 达 目 的 端 之 前 进 行 过 滤, 但 报 文 中 嵌 入 的 过 多 负 荷 造 成 了 性 能 上 的 开 销. R1 AS1 R2 R3 AS2 R4 R5 AS3 R6 IP Header Passport Payload R2 为 分 组 附 上 签 证 R3,R5 进 行 地 址 检 查...MAC1 MAC2 MAC3 Fig.7 Illustration of passport 图 7 护 照 法 示 意 图 StackPi [41] 使 用 TTL(time to live) 作 为 分 组 标 识 域 索 引, 并 将 标 识 域 看 作 栈 的 形 式. 路 径 上 支 持 StackPi 的 路 由 器 分 别 将 标 记 插 入 分 组 报 文 标 识 域. 目 的 端 接 收 到 分 组 时 并 不 清 楚 该 分 组 的 传 输 路 径, 但 如 果 绝 大 多 数 分 组 都 具 有 相 同 的 标 记, 那 么 这 些 分 组 的 传 输 路 径 则 很 可 能 是 相 同 的. 因 此, 一 旦 目 的 端 系 统 识 别 出 一 个 欺 骗 分 组, 即 可 过 滤 所 有 后 续 攻 击 报 文. HCF(hop-count filtering) [39] 同 样 利 用 了 分 组 的 TTL 变 化 规 律, 不 同 于 StackPi 的 标 记 插 入 方 式,HCF 通 过 构 造 一 张 精 确 的 IP 地 址 与 跳 数 计 数 的 映 射 表 IP-Count 来 进 行 分 组 TTL 的 比 对. 上 述 两 种 类 型 的 部 分 方 案 已 被 路 由 器 实 际 采 用, 在 一 定 程 度 上 减 少 了 源 IP 地 址 欺 骗 的 发 生, 但 其 关 注 面 都 比 较 单 一, 无 法 形 成 一 套 完 整 的 地 址 认 证 安 全 体 系 年, 清 华 大 学 和 CERNET 网 络 中 心 提 出 了 基 于 真 实 IPv6 源 地 址 的 网 络 寻 址 体 系 结 构 SAVA(source address validation architecture) [62], 设 计 并 实 现 了 一 种 包 括 接 入 域 内 域 间 这 3 个 层 次 的 真 实 源 地 址 验 证 系 统, 形 成 了 一 套 有 效 而 完 整 的 源 地 址 认 证 安 全 体 系. 接 入 子 网 的 IPv6 源 地 址 验 证 目 前 的 主 要 方 案 为 SAVI(source address validation improvements) [37], 主 要 原 理 是 将 IP 地 址 动 态 绑 定 到 交 换 机 的 端 口 上, 通 过 建 立 三 元 绑 定 关 系 终 端 IPv6 地 址, 终 端 MAC 地 址, 接 入 设 备 的 端 口 号 对 流 量 进 行 过 滤 ; 自 治 域 内 源 地 址 验 证 主 要 有 入 口 过 滤 和 CPF 两 种 方 案 ; 域 间 使 用 的 是 SMA(state-machine based anti-spoofing) [63], 通 过 对 SPM 进 行 扩 展, 建 立 信 任 联 盟 以 实 现 真 实 地 址 的 验 证. 以 清 华 大 学 (AS45576) 中 国 电 信 (AS4134) 两 个 AS 成 员 为 代 表, 已 经 部 署 了 SMA 方 案 组 成 信 任 联 盟 ( 如 图 8 所 示 ), 成 员 间 彼 此 认 证 对 方 网 络 报 文 的 真 实 性. 目 前,SAVA 正 逐 步 部 署 于 我 国 最 大 的 纯 IPv6 网 络 CNGI-CERNET2 之 中. 另 外, 在 SAVA 的 基 础 上, 清 华 大 学 联 合 中 国 电 信 分 别 针 对 IPv6 接 入 网 环 境 以 及 4over6 过 渡 场 景 中 的 源 地 址 认 证 作 了 深 入 的 研 究, 并 向 IETF SAVI 工 作 组 提 交 了 两 项 标 准 草 案 [64,65].

9 86 Journal of Software 软 件 学 报 Vol.25, No.1, January 2014 Cisco 7609 Tsinghua-CTC trust alliance ebgp CNGI-6IX AS23911 ebgp ACS BOX REG HK GSR RS1 ibgp RS2 Tsinghua AS45576 ebgp ebgp Cisco 7609 ACS REG CERNET2 AS23910 Fig.8 BOX China TELECOM AS4134 Illustration of trusted alliance of SAVA 图 8 SAVA 可 信 任 联 盟 示 意 图 基 于 密 钥 构 造 的 地 址 利 用 加 密 产 生 地 址 的 思 想 最 初 被 应 用 于 解 决 移 动 IPv6 下 的 地 址 归 属 问 题. 为 了 保 护 IPv6 网 络 中 邻 居 发 现 协 议 (neighbor discovery protocol, 简 称 NDP) 的 安 全 性,IETF 的 SEND 工 作 小 组 提 出 了 CGA(cryptographically generated addresses, 即 加 密 产 生 的 地 址 ) 的 模 型 并 标 准 化 为 RFC [66]. CGA 基 于 公 钥 产 生 地 址, 地 址 结 构 类 似 于 IPv6, 由 64 位 子 网 前 缀 和 64 位 接 口 标 识 符 组 成. 不 同 的 是,CGA 的 接 口 标 识 符 是 利 用 地 址 所 有 者 的 公 钥 安 全 参 数 Sec 等 辅 助 参 数 通 过 hash 计 算 形 成 的. 图 9(a) 说 明 了 CGA 地 址 的 结 构 及 生 成 过 程. CGA 参 数 数 据 结 构 修 正 值 (128bits) 路 由 前 缀 (64bits) 冲 突 计 数 (8bits) 公 钥 ( 可 变 长 度 ) 冲 突 计 数 置 0 SHA-1 散 列 路 由 前 缀 置 0 修 正 值 +1, 重 新 进 行 散 列 Hash2 值 ( 取 最 左 边 112bits) N 接 收 到 分 组 冲 突 计 数 =0/1/2 IPv6 CGA 地 址 SHA-1 散 列 Hash1 值 ( 取 前 64bits) 使 用 59 位 hash 值 确 定 修 正 值 Y 前 16*sec (bits) 为 0 N 验 证 失 败 N N 子 网 前 缀 是 否 一 致 散 列 运 算 进 行 验 证 对 参 数 数 据 结 构, 仿 照 地 址 生 成 步 骤 重 新 进 行 两 次 散 列, 判 断 HASH1 与 接 口 标 识 符 是 否 相 等 ;HASH2 前 16 Sec 比 特 是 否 为 0 子 网 前 缀 (64bits) 接 口 地 址 (64bits) SEC 3bits u,g 2bits 地 址 验 证 成 功 Fig.9 (a) CGA 地 址 构 造 过 程 (b) CGA 地 址 验 证 过 程 Data flows in generation and authentication of cryptographically generated addresses 图 9 CGA 地 址 构 造 与 认 证 过 程

10 徐 恪 等 : 互 联 网 地 址 安 全 体 系 与 关 键 技 术 87 发 送 方 用 相 应 的 私 钥 对 要 发 送 的 数 据 进 行 签 名, 并 以 CGA 生 成 的 地 址 连 带 CGA 参 数 数 据 结 构 一 起 发 送 出 去.CGA 接 收 方 在 收 到 数 据 后, 通 过 对 CGA 参 数 重 新 散 列 等 手 段 进 行 地 址 验 证, 具 体 验 证 步 骤 如 图 9(b) 所 示.CGA 的 验 证 过 程 不 需 要 额 外 的 安 全 架 构 支 持, 但 并 不 能 确 保 经 过 认 证 的 地 址 是 否 真 的 存 在, 且 必 须 在 部 署 了 RSA 算 法 的 网 络 环 境 中 才 能 使 用, 网 络 管 理 的 难 度 较 大. 另 一 种 基 于 密 钥 产 生 的 地 址 是 由 Schridde 等 人 提 出 的 TrueIP [26].TrueIP 的 核 心 思 想 是 通 过 IBC(identitybased cryptography, 简 称 IBC) [67] 构 造 地 址. 基 于 标 识 加 密 (IBC) 的 概 念 最 早 由 Shamir 提 出, 用 以 解 决 公 共 密 钥 的 复 杂 管 理 问 题.IBC 最 大 的 优 势 在 于 使 用 了 自 认 证 的 公 共 密 钥.TrueIP 正 是 基 于 这 一 点, 直 接 使 用 IP 地 址 作 为 公 钥, 不 需 要 CA 或 PKI 将 IP 地 址 绑 定 到 其 他 公 钥 上, 有 效 地 减 小 了 管 理 开 销. 在 TrueIP 中, 发 送 方 利 用 私 钥 对 数 据 进 行 签 名, 证 明 自 己 对 某 个 IP 地 址 的 合 法 拥 有 权, 接 收 方 利 用 公 钥 对 其 进 行 验 证 源 地 址 安 全 技 术 分 析 针 对 源 地 址 安 全 的 技 术 方 案 种 类 较 多, 且 涉 及 到 路 由 协 议 及 安 全 的 多 个 领 域. 为 了 清 晰 直 观 地 进 行 分 析 比 较, 我 们 从 以 下 几 个 维 度 对 它 们 进 行 分 类 ( 见 表 2): 1) 验 证 的 粒 度 : 能 够 验 证 何 种 粒 度 IP 地 址 的 真 实 性, 网 络 前 缀 的 验 证 或 是 细 粒 度 网 络 接 口 地 址 的 验 证 ; 2) 验 证 的 部 署 位 置 : 地 址 安 全 机 制 的 部 署 位 置, 可 以 是 在 源 端 的 接 入 交 换 机 边 界 路 由 器 或 者 目 的 端 ; 3) 验 证 规 则 生 成 手 段 : 基 于 何 种 技 术 或 信 息 生 成 验 证 规 则, 包 括 利 用 路 由 信 息 在 报 文 中 嵌 入 标 识 等 ; 4) 过 滤 的 位 置 : 过 滤 欺 骗 分 组 的 地 点, 在 欺 骗 分 组 到 达 目 的 之 前 的 路 径 上 过 滤 或 是 到 达 端 系 统 时 过 滤. Table 2 Analysis of source address security technologies 表 2 源 地 址 安 全 技 术 方 案 分 析 验 证 方 案 部 署 位 置 过 滤 位 置 验 证 规 则 生 成 验 证 粒 度 Ingress/Egress [33] 边 界 网 络 路 径 上 路 由 信 息 地 址 前 缀 RPF [34] 边 界 网 络 路 径 上 路 由 信 息 地 址 前 缀 DPF [35] AS 间 路 径 上 路 由 信 息 地 址 前 缀 IDPF [59] AS 间 路 径 上 路 由 信 息 地 址 前 缀 SAVE [36] 全 网 路 径 上 路 由 信 息 地 址 前 缀 SPM [38] AS 间 目 的 端 报 文 标 识 地 址 前 缀 Passport [40] AS 间 路 径 上 报 文 标 识 地 址 前 缀 StackPi [41] 全 网 目 的 端 报 文 标 记 接 口 地 址 HCF [39] 目 的 端 目 的 端 报 文 标 记 接 口 地 址 SAVA [62] 全 网 路 径 上 多 规 则 引 擎 各 层 次 粒 度 CGA [66] 源 主 机 欺 骗 避 免 自 认 证 地 址 接 口 地 址 4.2 路 由 地 址 前 缀 安 全 关 键 技 术 地 址 前 缀 劫 持 的 根 本 原 因 在 于 前 缀 和 前 缀 宣 告 方 之 间 缺 乏 安 全 绑 定, 一 种 典 型 的 技 术 是 在 路 由 协 议 中 增 加 PKI 机 制 来 验 证 源 AS 的 身 份, 确 认 其 地 址 所 有 权 ; 另 一 类 是 攻 击 检 测 技 术, 基 本 思 想 是 前 缀 劫 持 发 生 后 能 够 被 及 时 探 测 从 而 进 行 报 警 和 恢 复 基 于 密 码 的 源 AS 认 证 技 术 S-BGP(secure BGP) [29] 是 迄 今 为 止 相 对 完 整 的 路 由 安 全 方 案, 采 用 两 套 PKI, 分 别 用 于 地 址 所 有 权 以 及 ASN ( 自 治 系 统 号 ) 所 有 权 认 证, 证 书 的 签 发 并 行 于 当 前 的 地 址 分 配 系 统, 以 ICANN 为 信 任 根, 使 用 层 次 式 的 信 任 模 型.ISP 拥 有 两 类 证 书 :IP 地 址 前 缀 证 书 和 ASN 证 书, 分 别 绑 定 了 该 地 址 前 缀 ASN 与 该 ISP 的 归 属 关 系. 为 了 对 源 和 路 径 进 行 认 证,S-BGP 引 入 了 一 种 可 携 带 数 字 签 名 的 路 径 属 性, 包 括 地 址 证 明 (address attestation, 简 称 AA) 和 路 由 证 明 (route attestation, 简 称 RA): AA 由 地 址 前 缀 持 有 者 产 生, 用 来 授 予 某 AS 宣 告 该 地 址 前 缀 的 权 利 ; RA 被 路 径 上 的 每 个 AS 使 用 私 钥 依 次 签 名, 这 种 嵌 套 签 名 的 方 式, 使 S-BGP 具 备 了 较 好 的 路 径 验 证 能 力. S-BGP 的 具 体 验 证 方 式 如 图 10 所 示.

11 88 Journal of Software 软 件 学 报 Vol.25, No.1, January 2014 获 取 IP 前 缀 获 取 其 绑 定 证 书 及 地 址 证 明 用 公 钥 验 证 地 址 证 明 成 功 获 取 每 一 跳 的 路 由 器 证 书 失 败 非 法 前 缀 宣 告 成 功 验 证 路 由 证 明 失 败 非 法 AS_PATH Fig.10 Authentication procedure of S-BGP 图 10 S-BGP 验 证 过 程 sobgp(secure origin BGP) [30] 是 思 科 公 司 提 出 的 一 个 轻 量 级 方 案, 使 用 3 类 证 书 进 行 认 证 :EntityCert 通 过 将 AS 号 与 公 钥 绑 定 以 进 行 身 份 认 证 ;AuthCert 授 权 源 AS 宣 告 特 定 地 址 前 缀 ;ASPolicyCert 包 含 与 当 前 AS 相 邻 的 所 有 AS 列 表,BGP 路 由 器 可 以 根 据 该 证 书 计 算 出 AS 连 接 拓 扑.BGP 发 言 人 在 收 到 路 由 信 息 时, 便 可 根 据 此 拓 扑 验 证 路 径 的 真 实 性.soBGP 的 源 认 证 基 于 网 状 信 任 模 型 (Web of trust), 无 需 严 格 的 层 次 信 任 结 构, 但 同 时 也 相 应 降 低 了 安 全 性 ;TBGP [71] 定 义 了 一 组 符 合 路 由 策 略 规 范 的 更 新 与 撤 销 规 则, 通 过 强 制 BGP 路 由 器 执 行, 从 而 形 成 一 种 信 任 传 递 关 系, 避 免 了 仅 仅 依 赖 密 码 机 制 而 带 来 的 巨 大 开 销. S-BGP 具 有 强 大 的 路 由 安 全 能 力, 但 同 时 也 存 在 开 销 大 部 署 难 等 实 际 问 题. 为 此, 研 究 者 们 在 S-BGP 的 基 础 上 展 开 了 大 量 研 究 工 作, 关 注 重 点 在 于 如 何 减 小 密 码 机 制 带 来 的 开 销 [68 70] 前 缀 劫 持 检 测 技 术 基 于 控 制 平 面 的 前 缀 劫 持 检 测 技 术 通 常 是 将 实 时 信 息 与 历 史 数 据 的 匹 配 结 果 作 为 检 测 规 则, 典 型 方 案 有 MyASN [44],PHAS(prefix hijack alert system) [45] 和 Co-Monitor [46] 等. 在 MyASN 中, 用 户 首 先 需 要 注 册, 提 供 其 所 关 注 的 地 址 前 缀 与 源 AS 的 映 射 关 系 ; 之 后,MyASN 系 统 会 将 实 时 监 测 的 映 射 关 系 与 事 先 采 集 的 映 射 信 息 相 匹 配, 若 发 现 已 注 册 的 前 缀 被 非 法 宣 告, 则 生 成 地 址 源 变 更 事 件. PHAS 类 似 MyASN, 区 别 在 于 其 本 身 并 不 采 集 BGP 路 由 信 息, 而 是 利 用 诸 如 Route Views 等 公 共 路 由 数 据. Co-Monitor 基 于 协 作 监 测 的 思 想, 让 每 个 AS 与 其 他 参 与 者 交 换 自 定 义 的 前 缀 - 源 自 治 系 统 映 射 信 息, 以 形 成 一 张 全 局 映 射 表, 同 时 监 测 本 地 BGP 路 由 更 新, 一 旦 出 现 异 常, 则 发 出 警 报. 基 于 数 据 平 面 的 检 测 技 术 主 动 发 送 探 测 数 据 包, 并 对 返 回 的 结 果 加 以 整 理 分 析, 从 而 进 行 检 测 判 断. 一 般 来 说, 网 络 上 某 点 到 目 标 前 缀 的 路 径 是 稳 定 的, 当 该 路 径 出 现 明 显 变 化 时, 则 怀 疑 发 生 前 缀 劫 持. 基 于 这 种 思 想,Zheng 等 人 提 出 了 一 种 分 布 式 的 检 测 方 案 [49]. 该 方 案 周 期 性 地 探 测 从 观 测 点 到 目 标 前 缀 的 路 径 距 离, 并 以 是 否 发 生 显 著 变 化 为 标 准 进 行 检 测 ( 如 图 11 所 示 ).ISPY [47] 是 一 种 用 来 检 测 自 身 前 缀 是 否 被 劫 持 的 方 案, 其 基 本 思 想 是 : 如 果 AS 遭 到 前 缀 劫 持 攻 击, 该 AS 发 送 的 数 据 包 将 无 法 收 到 回 应 ( 即 自 治 域 不 可 到 达 ), 因 为 响 应 分 组 的 目 的 地 址 已 被 劫 持. 同 时, 前 缀 劫 持 造 成 的 污 染 会 导 致 基 于 该 AS 的 可 达 性 视 图 出 现 很 多 断 路. 为 了 提 高 判 断 的 准 确 性,ISPY 提 出 了 cut 值 ( 即 断 路 的 数 目 ) 的 概 念, 以 区 分 自 治 域 不 可 到 达 是 否 由 前 缀 劫 持 所 致. 当 cut 值 大 于 门 限 值 时, 则 可 判 断 前 缀 已 被 劫 持. 实 验 结 果 表 明 : 门 限 值 越 大, 误 判 的 概 率 越 小. 类 似 的 检 测 技 术 还 有 很 多, 如 利 用 流 量 分 布 变 化 作 为 检 测 依 据 等 [48], 这 里 不 再 赘 述.

12 徐 恪 等 : 互 联 网 地 址 安 全 体 系 与 关 键 技 术 89 劫 持 前 缀 A 主 动 发 送 探 测 数 据 包 探 测 点 路 径 异 常 劫 持 后 劫 持 前 前 缀 劫 持 者 合 法 拥 有 前 缀 A 正 常 路 径 特 征 被 劫 持 者 Fig.11 Detection based on path characteristic 图 11 基 于 路 径 特 征 的 检 测 原 理 综 上 可 知 : 控 制 平 面 检 测 方 法 只 需 被 动 收 集 路 由 信 息, 实 时 性 好, 但 检 测 结 果 的 准 确 性 在 很 大 程 度 上 受 到 数 据 集 的 限 制 ; 数 据 平 面 检 测 具 备 更 强 的 部 署 能 力, 但 需 要 不 断 地 发 送 探 测 包, 性 能 相 对 较 低 地 址 前 缀 安 全 技 术 分 析 在 BGP 中, 宣 告 非 法 地 址 前 缀 以 及 伪 造 AS_PATH 都 能 够 导 致 前 缀 劫 持 的 发 生 [72], 一 种 理 想 的 前 缀 安 全 方 案 应 当 同 时 具 备 针 对 源 以 及 路 径 的 认 证 能 力. 基 于 密 码 的 源 认 证 技 术 通 常 具 备 路 径 认 证 能 力, 但 计 算 和 存 储 开 销 巨 大 ; 劫 持 检 测 技 术 可 部 署 性 好, 但 通 常 是 以 牺 牲 安 全 能 力 为 代 价. 地 址 前 缀 安 全 技 术 分 析 见 表 3. Table 3 Analysis of routing address prefix security technologies 表 3 路 由 地 址 前 缀 安 全 技 术 分 析 安 全 方 案 验 证 方 法 数 据 来 源 源 认 证 路 径 认 证 可 部 署 性 S-BGP [29] 集 中 式 信 任 模 型 PKI 证 书 强 强 较 差 SoBGP [30] 网 状 信 任 模 型 PKI 证 书 强 弱 较 差 MyASN [44] 源 与 前 缀 映 射 信 息 控 制 平 面 弱 - 较 好 PHAS [45] 外 部 路 由 数 据 集 控 制 平 面 弱 - 好 Distributed [49] 路 径 稳 定 性 数 据 平 面 较 弱 - 好 ISPY [47] 自 治 域 可 达 性 数 据 平 面 较 弱 - 好 4.3 新 型 安 全 路 由 体 系 结 构 如 本 文 所 述, 地 址 安 全 方 案 数 量 众 多, 但 通 常 关 注 面 较 为 狭 窄, 而 且 大 量 的 修 补 势 必 造 成 互 联 网 的 臃 肿 不 堪. 鉴 于 此, 一 些 研 究 者 提 出 了 新 型 的 安 全 路 由 寻 址 体 系 结 构, 旨 在 从 根 本 上 一 体 化 地 解 决 地 址 安 全 问 题 身 份 与 位 置 分 离 的 体 系 架 构 主 机 标 识 协 议 HIP(host identity protocol) [56] 是 一 种 典 型 的 名 址 分 离 方 案, 最 初 由 Moskowitz 等 人 为 解 决 IP 网 络 中 移 动 和 多 宿 问 题 而 提 出.HIP 在 传 输 层 和 网 络 层 之 间 插 入 了 一 个 独 立 的 新 协 议 层 主 机 标 志 层 HIL( 图 12 展 示 了 现 有 体 系 结 构 与 HIP 的 对 比 ), 利 用 加 密 的 命 名 空 间 为 每 个 通 信 主 机 赋 予 一 个 全 局 唯 一 的 主 机 标 志 HI(host identity), 而 IP 地 址 只 用 于 数 据 包 的 路 由 与 转 发. 主 机 标 识 符 HI 使 用 公 钥 表 示, 每 一 个 HI 可 映 射 到 一 个 或 多 个 IP 地 址, 这 些 IP 地 址 标 记 了 移 动 节 点 在 网 络 中 的 位 置. 由 于 非 对 称 密 钥 算 法 中 的 公 钥 长 度 并 不 一 致, 因 此,HIP 协 议 对 HI 进 行 单 向 散 列 变 换, 得 到 一 个 128 位 的 主 机 标 识 标 签 HIT(host identity tag), 用 于 绑 定 TCP 连 接. 主 机 标 志 层 HIL 负 责 传 输 层 与 网 络 层 报 文 中 HIT 与 IP 地 址 的 转 换. 这 样 就 可 以 实 现 Identity,HIT 以 及 Locator,IP 的 绑 定, 从 而 实 现 了 传 输 层 和 网 络 层 的 分 离.HIP 中, 公 钥 的 认 证 过 程 也 就 是 主 机 身 份 的 认 证 过 程 : 在 分 组 传 递 过 程 中,HIP 使 用 自 己 的 私 钥 对 分 组 数 据 进 行 签 名, 对 等 实 体 收 到 签 名 的 数 据 后, 再 用 发 送 端 的 公 钥 进 行 认 证, 从 而 保 证 数 据 源 身 份 的 真 实 可 信.HIT 长 度 为 128bit, 与 IPv6 的 兼 容 性 较 好, 但 主 机 及 应 用 的 部 署 迁 移 将 会 是 复 杂 而 又 庞 大 的 工 程, 需 要 进 一 步 的 实 践 证 明 其

13 90 Journal of Software 软 件 学 报 Vol.25, No.1, January 2014 可 用 性. 进 程 进 程 传 输 层 IP 地 址, 端 口 传 输 层 HIT, 端 口 主 机 标 识 层 主 机 标 识 HI 网 络 层 IP 地 址 网 络 层 IP 地 址 链 路 层 链 路 层 地 址 链 路 层 链 路 层 地 址 Fig.12 Layer structure of HIP 图 12 HIP 分 层 结 构 基 于 责 任 性 的 安 全 路 由 体 系 所 谓 责 任 性 (accountability) 是 指 将 可 靠 的 网 络 实 体 与 网 络 行 为 绑 定 在 一 起 的 能 力. 近 年 来,accountability 的 机 制 受 到 了 业 界 的 很 大 关 注, 并 广 泛 用 于 解 决 网 络 体 系 结 构 中 的 安 全 问 题.AIP [27] 使 用 一 种 层 次 化 的 地 址 结 构, 使 得 网 络 层 具 有 accountability 的 特 性, 并 建 立 了 一 套 完 整 的 体 系 结 构.AIP 的 核 心 在 于 自 认 证 的 地 址 标 识, 它 将 每 个 网 络 单 元 划 分 成 一 个 或 者 多 个 责 任 单 元 Ads(accountability domains), 每 个 AD 都 拥 有 全 球 唯 一 的 ID 号, 为 网 络 所 在 域 (domain) 的 公 钥 Hash 值 ; 而 AD 中 的 每 个 主 机 唯 一 的 终 端 号 EID, 则 是 相 应 主 机 公 钥 的 Hash 值 ( 其 中,AD,EID 均 为 160 位 ). 因 此 在 AIP 体 系 结 构 中, 主 机 就 被 表 示 为 AD:EID 的 形 式. AIP 通 过 扩 展 逆 向 路 径 转 发 (urpf) [73] 来 进 行 地 址 认 证 : 在 第 1 跳 路 由 器 处, 通 过 签 名 回 询 的 方 式 验 证 直 接 相 连 的 主 机 地 址 是 否 真 实 ; 在 分 组 穿 越 的 每 个 AD 中, 使 用 urpf 验 证 上 一 跳 路 由 器 地 址 的 真 实 性. 具 体 验 证 过 程 如 图 13 所 示. 路 由 器 接 收 到 分 组 是 否 为 本 地 AD 分 组 N 是 否 为 可 信 任 AD N 使 用 urpf 认 证 Y 是 否 为 认 证 主 机 Y Y 转 发 剩 余 分 组 认 证 是 否 成 功 N 发 送 认 证 分 组 V 接 收 主 机 返 回 的 分 组 V N 认 证 是 否 通 过 N Y 忽 略 Fig.13 Process of address authentication in AIP 图 13 AIP 的 地 址 验 证 过 程

14 徐 恪 等 : 互 联 网 地 址 安 全 体 系 与 关 键 技 术 91 EID 地 址 的 验 证 过 程 如 下 : 假 设 第 1 跳 路 由 器 R 接 收 到 没 有 认 证 的 主 机 发 来 的 分 组, 那 么 它 将 丢 弃 该 分 组 并 返 回 一 个 认 证 分 组 V,V 中 包 含 源 分 组 中 的 源 和 目 的 地 址 分 组 的 hash 值 以 及 分 组 到 达 接 口 这 3 种 信 息 的 编 码 形 式.R 使 用 周 期 性 更 新 密 钥 的 HMAC(Hash-based message authentication code) 对 V 进 行 签 名. 源 主 机 必 须 通 过 使 用 与 其 EID 相 关 联 的 密 钥 对 V 进 行 签 名 来 证 明 自 身 的 真 实 性. 如 果 主 机 产 生 了 正 确 的 签 名,R 将 缓 存 这 条 信 息 并 正 常 转 发 剩 余 分 组.AD 层 对 于 非 信 任 AD 中 的 主 机 发 送 的 分 组 则 使 用 逆 向 路 径 转 发 (urpf) 进 行 验 证, 但 是, 由 于 urpf 在 多 宿 主 及 路 由 不 对 称 情 况 下 存 在 缺 陷, 因 此,AIP 通 过 结 合 发 送 认 证 分 组 的 方 式 认 证 数 据 包 的 上 一 跳 路 由 器 的 身 份 的 真 实 性. 5 地 址 安 全 方 案 性 能 分 析 与 评 估 5.1 设 计 目 标 与 难 点 上 一 节 分 析 了 当 前 较 为 典 型 的 地 址 安 全 方 案 的 工 作 原 理 及 特 性. 我 们 认 识 到, 设 计 一 种 高 效 且 易 于 部 署 的 方 案 需 要 考 虑 到 多 方 面 的 因 素. 一 般 来 说, 一 种 理 想 的 地 址 安 全 技 术 方 案 应 尽 可 能 优 化 以 下 特 性 : 1) 地 址 欺 骗 防 御 能 力 : 鉴 别 伪 造 地 址 ( 前 缀 ) 的 能 力, 包 括 准 确 性 实 时 性 等, 还 应 结 合 追 溯 定 位 技 术 为 审 计 追 查 提 供 基 础 ; 2) 可 部 署 性 : 对 当 前 网 络 基 础 设 施 具 备 良 好 的 兼 容 性, 支 持 增 量 部 署, 为 运 营 商 提 供 部 署 激 励 ; 3) 开 销 : 方 案 的 存 储 开 销 计 算 开 销 带 宽 开 销 等 以 及 对 网 络 性 能 造 成 的 影 响. 就 目 前 来 看, 很 少 有 哪 一 种 方 案 或 技 术 能 够 在 各 个 方 面 都 做 得 很 优 秀, 安 全 能 力 与 部 署 能 力 的 矛 盾 始 终 是 一 个 巨 大 的 挑 战. 下 面 我 们 将 当 前 典 型 的 地 址 安 全 机 制 综 合 起 来 进 行 分 析 与 比 较. 5.2 地 址 欺 骗 防 御 性 能 所 有 的 地 址 安 全 方 案 根 据 自 身 的 部 署 情 况, 都 具 备 一 定 程 度 的 防 范 能 力. 一 般 来 说, 使 用 密 码 体 系 的 方 [29,30,40] [33 36] 案 安 全 能 力 更 强 ; 基 于 规 则 匹 配 的 过 滤 机 制 的 安 全 性 依 赖 于 部 署 程 度 ; 就 实 时 性 而 言, 路 径 上 的 检 测 [40] [38] [44 46] 方 案 在 地 址 欺 骗 造 成 影 响 前 阻 断, 比 目 的 端 检 测 实 时 性 要 好 ; 控 制 平 面 的 前 缀 劫 持 检 测 的 实 时 性 要 优 于 数 据 平 面 [47 49] ; 在 追 溯 定 位 方 面, 由 于 IP 追 踪 需 要 路 由 器 添 加 相 应 标 签 以 重 组 信 息, 所 以 端 系 统 过 滤 的 机 [38,39] [26,56] 制 大 都 不 具 备 溯 源 能 力 ; 基 于 自 认 证 地 址 的 方 案 以 欺 骗 避 免 为 目 的, 因 此 并 没 有 考 虑 追 溯 定 位. 5.3 可 部 署 性 [38 40] IP 分 组 头 部 部 分 字 段 的 使 用 尚 未 标 准 化, 基 于 对 报 文 添 加 标 识 的 方 法 在 实 际 部 署 时 可 能 会 产 生 一 些 [38] 不 可 预 知 的 问 题, 因 此 可 部 署 性 不 强. 对 于 运 营 商 的 部 署 激 励 而 言, 过 滤 目 的 端 欺 骗 分 组 的 方 案 比 过 滤 源 [33] 端 的 要 强. 一 部 分 自 认 证 地 址 方 案 CGA,TrueIP,HIP,AIP 沿 用 了 类 似 IPv6 的 地 址 结 构 形 式, 也 考 虑 到 了 与 现 有 协 议 的 兼 容 性, 因 此 具 备 增 量 部 署 的 特 性, 但 部 署 迁 移 过 程 复 杂. 依 赖 全 局 PKI 支 撑 的 集 中 式 源 认 证 机 制 实 际 部 署 难 度 很 大, 若 只 在 局 部 部 署, 安 全 性 能 则 大 打 折 扣. 5.4 开 销 地 址 安 全 的 实 现 需 以 存 储 开 销 计 算 开 销 及 带 宽 开 销 为 代 价, 这 些 开 销 也 是 部 分 地 址 安 全 机 制 至 今 不 能 实 [29,30] 际 部 署 的 主 要 原 因. 基 于 PKI 安 全 机 制 的 方 案 开 销 最 大, 自 认 证 的 地 址 基 于 密 钥 构 造, 同 样 有 一 部 分 计 算 和 [40] 带 宽 开 销. 由 于 互 联 网 核 心 简 单 边 缘 复 杂 的 设 计 思 想, 基 于 主 机 安 全 方 案 的 部 署 开 销 比 基 于 路 由 器 的 要 高.Ingress/Egress,RPF,DPF 在 源 端 过 滤 IP 欺 骗 报 文, 开 销 相 对 较 小 ;SPM 及 Passport 需 要 维 护 一 系 列 的 签 名 信 息, 且 存 在 路 由 器 对 流 出 分 组 进 行 标 记 并 检 查 流 入 分 组 的 计 算 开 销 ;HIP 的 实 现 需 要 在 传 统 TCP/IP 的 传 输 层 网 络 层 之 间 添 加 新 的 协 议 层, 且 加 密 解 密 过 程 较 为 复 杂.AIP 对 现 有 网 络 体 系 结 构 进 行 了 层 次 划 分, 增 加 了 路 由 表 数 量, 存 储 开 销 是 需 要 解 决 的 问 题. 综 合 上 述 分 析, 我 们 在 表 4 中 对 一 些 代 表 性 方 案 的 性 能 指 标 进 行 了 总 结.

15 92 Journal of Software 软 件 学 报 Vol.25, No.1, January 2014 Table 4 Analysis and evaluation on Internet address security mechanisms 表 4 互 联 网 地 址 安 全 方 案 分 析 与 评 估 方 案 安 全 目 标 关 键 技 术 验 证 粒 度 防 御 能 力 可 部 署 性 开 销 Ingress [33] 源 地 址 安 全 前 缀 与 子 网 关 系 绑 定 地 址 前 缀 一 般 较 好 较 小 DPF [35] 源 地 址 安 全 分 布 式 接 口 信 息 维 护 地 址 前 缀 较 好 较 差 一 般 SAVE [36] 源 地 址 安 全 前 缀 与 接 口 关 系 绑 定 地 址 前 缀 较 好 一 般 一 般 Passport [40] 源 地 址 安 全 路 径 上 AS 对 分 组 签 名 地 址 前 缀 较 好 较 差 大 SAVA [62] 源 地 址 安 全 接 口 绑 定 SMA 等 多 粒 度 验 证 好 较 好 一 般 CGA [66] 源 地 址 安 全 公 钥 构 造 自 认 证 地 址 接 口 地 址 好 一 般 较 大 HIP [56] 源 地 址 安 全 地 址 分 层 及 自 认 证 地 址 接 口 地 址 好 较 差 大 S-BGP [29] 路 由 前 缀 安 全 基 于 PKI 集 中 式 认 证 源 路 径 好 差 大 SoBGP [30] 路 由 前 缀 安 全 基 于 PKI 网 状 信 任 模 型 源 路 径 较 好 一 般 较 大 MyASN [44] 路 由 前 缀 安 全 源 AS 与 前 缀 映 射 信 息 源 AS 较 弱 较 好 较 小 PHAS [45] 路 由 前 缀 安 全 外 部 路 由 数 据 集 匹 配 源 AS 较 弱 好 小 Distributed [49] 路 由 前 缀 安 全 路 径 距 离 特 征 变 化 源 AS 一 般 好 一 般 ISPY [47] 路 由 前 缀 安 全 AS 可 达 性 视 图 变 化 源 AS 较 好 好 一 般 AIP [27] 安 全 路 由 体 系 自 认 证 的 层 次 化 地 址 标 识 各 层 次 粒 度 好 差 大 6 地 址 和 标 识 通 用 实 验 管 理 平 台 在 众 多 地 址 安 全 解 决 方 案 中, 安 全 性 能 与 可 部 署 性 的 矛 盾 是 一 个 巨 大 的 挑 战, 很 难 预 测 哪 种 方 案 未 来 将 应 用 于 互 联 网, 目 前 也 只 有 S-BGP 进 行 过 实 际 的 部 署 实 验. 本 文 最 后 不 是 要 提 出 一 种 地 址 安 全 方 案, 而 是 给 出 一 种 可 以 同 时 支 持 多 种 体 系 结 构 部 署 测 试 的 通 用 实 验 平 台 的 设 想. 在 该 平 台 中, 可 以 对 这 些 方 案 的 实 际 性 能 和 开 销 进 行 实 验 评 估, 并 能 给 出 一 个 直 观 的 实 验 结 果, 从 而 进 一 步 指 出 哪 些 特 性 会 更 加 有 利 于 实 际 部 署. 在 这 里, 我 们 简 单 介 绍 一 下 通 用 实 验 平 台 的 设 计 构 想. 6.1 实 验 网 络 设 计 思 想 从 互 联 网 体 系 结 构 的 层 次 及 基 本 组 成 来 看, 我 们 认 为 该 实 验 平 台 可 在 地 址 路 由 传 输 这 3 个 通 用 模 型 的 基 础 上 来 进 行 设 计, 图 14 说 明 了 实 验 网 络 平 台 的 基 本 设 计 思 路. 配 置 控 制 注 入 实 验 配 置 传 输 形 式 化 描 述 评 估 控 制 中 心 路 由 测 量 结 果 测 量 控 制 地 址 与 标 识 反 馈 测 量 结 果 实 验 网 络 Fig.14 Basic structure of general experimental platform 图 14 通 用 实 验 平 台 的 基 本 结 构 首 先, 研 究 人 员 根 据 脚 本 描 述 规 则, 将 实 验 方 案 抽 象 并 形 式 化 ; 评 估 控 制 中 心 通 过 配 置 控 制 服 务 器 将 实 验 配 置 部 署 到 整 个 实 验 网 络 ; 测 量 控 制 服 务 器 负 责 收 集 网 络 测 量 和 实 验 结 果, 进 行 汇 总 向 控 制 中 心 报 告 ; 控 制 中 心 针 [74] 对 不 同 性 能 指 标, 利 用 相 应 的 评 估 方 法 对 被 实 验 方 案 的 可 部 署 性 开 销 等 特 性 进 行 量 化 评 估.

16 徐 恪 等 : 互 联 网 地 址 安 全 体 系 与 关 键 技 术 地 址 和 标 识 通 用 实 验 管 理 平 台 在 这 一 节 中, 我 们 将 重 点 以 通 用 的 地 址 与 标 识 部 署 平 台 为 例, 简 要 介 绍 一 下 其 设 计 方 法. 通 用 地 址 平 台 可 以 为 不 同 的 地 址 标 识 方 案 提 供 统 一 的 部 署 实 验 环 境. 为 保 证 最 大 程 度 的 通 用 性 和 可 伸 缩 性, 我 们 首 先 需 要 提 供 一 套 语 义 完 备 的 可 解 释 当 前 乃 至 未 来 地 址 属 性 的 描 述 规 范, 研 究 人 员 基 于 这 套 规 范 就 可 以 自 定 义 出 所 需 地 址 方 案. 比 如 说, 我 们 可 以 对 当 前 各 种 地 址 方 案 总 结 归 纳, 抽 取 出 可 以 涵 盖 地 址 属 性 的 核 心 特 征, 如 地 址 类 型 地 址 长 度 前 缀 构 造 方 式 安 全 性 映 射 及 资 源 需 求 等, 研 究 人 员 只 需 给 出 这 些 特 征 的 属 性 值, 通 用 平 台 便 可 根 据 此 描 述 将 实 际 方 案 部 署 到 实 验 网 络 中. 例 如, 可 对 IPv6 地 址 结 构 使 用 XMLschema 定 义 描 述 规 范 ( 如 图 15 所 示 ). Fig.15 Description of IPv6 address using XML 图 15 基 于 XML 语 言 的 IPv6 地 址 描 述 另 外, 我 们 还 需 要 抽 象 出 地 址 相 关 操 作 的 通 用 原 语 和 API, 使 研 究 人 员 得 以 主 动 可 伸 缩 地 参 与 和 定 制 自 己 需 要 的 地 址 与 标 识 模 型. 例 如 : 要 在 IPv6 中 增 加 SAVI 机 制, 研 究 人 员 只 需 在 上 述 描 述 规 范 中 插 入 类 似 xs: sproperty= SAVI / 的 描 述, 该 平 台 将 能 自 动 调 用 对 应 API 以 及 分 配 所 需 资 源 ; 在 部 署 实 验 过 程 中, 研 究 人 员 还 可 以 通 过 定 义 完 备 的 API 控 制 SAVI 的 绑 定 信 息 过 滤 策 略 等, 以 便 让 系 统 能 够 按 照 自 己 所 期 望 的 方 式 工 作. 这 样, 我 们 便 可 以 通 过 控 制 安 全 机 制 的 运 作 过 程 对 该 方 案 的 性 能 和 开 销 进 行 具 体 的 实 验 评 估. 7 总 结 和 进 一 步 的 研 究 工 作?xml version= 1.0 encoding= UTF-8? xs:schema xmlns:xs= xs:simpletype name= IPv6_Address xs:restriction base= xs:string xs:pattern value= ([A-Fa-f0-9]{1,4}:){7}[A-Fa-f0-9]{1,4} / /xs:restriction /xs:simpletype xs:element name= address_structure type= hierarchical /!-- 地 址 结 构 -- xs:element name= address_blocks type= xs:integer fixed= 8 /!-- 地 址 块 -- xs:element name= address_prefix type= xs:integer /!-- 网 络 前 缀 -- xs:element name= separator type= xs:string fixed= : /!-- 分 隔 符 -- xs:element name= base_address type= xs:hexbianry /!-- 地 址 基 类 型 -- /xs:schema 当 前, 互 联 网 体 系 结 构 不 具 备 地 址 真 实 性 验 证 机 制, 源 地 址 伪 造 与 路 由 地 址 前 缀 欺 骗 给 互 联 网 乃 至 社 会 稳 定 带 来 了 极 大 危 害. 本 文 从 研 究 体 系 实 现 机 制 以 及 关 键 技 术 这 3 个 维 度 对 地 址 安 全 研 究 进 行 了 归 纳 分 析, 并 对 典 型 地 址 安 全 方 案 的 性 能 指 标 进 行 了 总 结 评 估. 基 于 自 认 证 地 址 以 及 身 份 与 位 置 分 离 的 思 想, 是 当 前 乃 至 未 来 一 段 时 间 的 研 究 热 点. 尽 管 当 前 网 络 中 已 经 部 署 了 一 些 安 全 机 制, 但 由 于 开 销 及 兼 容 性 等 问 题 无 法 形 成 统 一 的 安 全 体 系, 对 于 防 范 地 址 欺 骗 的 效 用 是 有 限 的. 鉴 于 地 址 安 全 的 重 要 性 以 及 部 署 难 题, 从 设 计 部 署 实 验 这 3 个 角 度 来 看, 我 们 认 为, 未 来 的 相 关 研 究 应 包 括 以 下 3 个 方 面 : (1) 解 决 安 全 性 能 与 开 销 之 间 的 矛 盾. [25 30] 本 文 中 提 到 的 基 于 密 码 的 机 制 虽 然 安 全 能 力 强, 但 大 都 使 用 了 复 杂 加 密 算 法 以 及 需 要 全 局 PKI 的 支 持, 难 以 带 来 部 署 激 励. 目 前, 较 新 的 研 究 都 是 在 围 绕 如 何 减 少 加 密 开 销 的 层 面 上 [68 70]. 另 外, 在 保 证 低 开 销 的 前 提 下, 提 高 检 测 机 制 的 准 确 性 和 实 时 性 也 是 研 究 热 点 之 一 [47]. (2) 安 全 机 制 实 际 部 署 的 策 略 与 分 析. 在 现 有 的 互 联 网 体 系 结 构 中 部 署 一 种 新 机 制, 必 须 考 虑 到 兼 容 性 开 销 等 多 方 面 的 因 素, 而 一 种 有 效 的 部 [75] 署 策 略 也 是 值 得 深 入 研 究 的 问 题. 如 Gill 等 人 使 用 基 于 效 用 的 模 型 对 S-BGP 的 部 署 策 略 进 行 了 分 析, 验 证 了

17 94 Journal of Software 软 件 学 报 Vol.25, No.1, January 2014 通 过 少 数 部 署 推 动 全 网 部 署 这 一 原 则 的 有 效 性, 对 S-BGP 的 实 际 部 署 有 一 定 的 指 导 意 义. (3) 对 地 址 安 全 方 案 进 行 针 对 性 实 验 评 估, 从 而 得 到 其 实 际 性 能 与 开 销 的 具 体 结 论. 针 对 性 的 实 验 评 估, 有 助 于 更 加 清 晰 地 了 解 方 案 的 具 体 性 能 参 数, 对 方 案 的 设 计 研 究 以 及 部 署 具 有 重 要 的 参 考 价 值. 从 目 前 来 看,GENI [76] 是 最 为 强 大 的 实 验 平 台, 但 系 统 庞 大 复 杂 并 缺 少 针 对 性 指 导 原 则, 导 致 设 计 过 于 自 由 和 发 散. 本 文 最 后 提 出 的 通 用 地 址 与 标 识 平 台 提 供 了 对 地 址 方 案 进 行 针 对 性 实 验 及 评 估 的 可 能. 致 谢 感 谢 审 稿 专 家 对 论 文 初 稿 提 出 的 宝 贵 意 见. References: [1] NewArch Project. Future Generation Internet architecture [2] Postel J. Internet protocol DARPA Internet program protocol specification. RFC 791, [3] Chun W, Lee TH, Choi T. YANAIL: Yet another definition on names, addresses, identifiers, and locators. In: Proc. of the CFI Seoul: ACM Press, [doi: / ] [4] Wang JH, Wang Y, Xu MW, Yang JH. Separating identifier from locator with extended DNS. In: Proc. of the ICC IEEE, [doi: /ICC ] [5] Steiner P. On the Internet, nobody knows you re a dog [6] Manoj R, Tripti C. An effective approach to detect DDOS attack. In: Meghanathan N, ed. Advances in Computing and Information Technology. Berlin, Heidelberg: Springer-Verlag, [doi: / _33] [7] Gilad Y, Herzberg A. LOT: A defense against IP spoofing and flooding attacks. ACM Trans. on Information and System Security (TISSEC), 2012,15(2):1 30. [doi: / ] [8] Kumar S. Smurf-Based distributed denial of service (DDoS) attack amplification in Internet. In: Proc. of the ICIMP Washington: IEEE Computer Society, [doi: /ICIMP ] [9] Li S, Zhuge JW, Li X. Study on BGP security. Ruan Jian Xue Bao/Journal of Software, 2013,24(1): (in Chinese with English abstract). [doi: /SP.J ] [10] Hiran R, Carlsson N, Gill P. Characterizing large-scale routing anomalies: A case study of the china telecom incident. In: Roughan M, Chang R, eds. Proc. of the Passive and Active Measurement. Berlin, Heidelberg: Springer-Verlag, [doi: / _23] [11] Bangera P, Gorinsky S. Impact of prefix hijacking on payments of providers. In: Proc. of the rd Int l Conf. on Communication Systems and Networks (COMSNETS). IEEE, [doi: /COMSNETS ] [12] MIT ANA spoofer project [13] Spoofer project: State of IP spoofing [14] Beverly R, Berger A, Hyun Y. Understanding the efficacy of deployed internet source address validation filtering. In: Proc. of the ACM SIGCOMM Chicago: ACM Press, [doi: / ] [15] YouTube hijacking: A RIPE NCC RIS case study [16] Kováčik M, Kajan M, Žádník M. Detecting IP spoofing by modelling history of IP address entry points. In: Doyen G, ed. Proc. of the Emerging Management Mechanisms for the Future Internet. Berlin, Heidelberg: Springer-Verlag, [doi: / _9] [17] Wu JP, Wu Q, Xu K. Research and exploration of next-generation Internet architecture. Chinese Journal of Computers, 2008,31(9): (in Chinese with English abstract). [18] Bellovin SM. A look back at Security problems in the TCP/IP protocol suite. In: Proc. of the ACSAC Washington: ACM Press, [doi: /CSAC ] [19] Dovrolis C, Streelman JT. Evolvable network architectures: What can we learn from biology? ACM SIGCOMM Computer Communication Review, 2010,40(2): [doi: / ] [20] Biersack E, Jacquemart Q, Fischer F, Fuchs J, Thonnard O, Theodoridis G, Tzovaras D, Vervier P-A. Visual analytics for BGP monitoring and prefix hijacking identification. IEEE Trans. on Network, 2012,26(6): [doi: /MNET ]

18 徐 恪 等 : 互 联 网 地 址 安 全 体 系 与 关 键 技 术 95 [21] Feldmann A. Internet clean-slate design: What and why? ACM SIGCOMM Computer Communication Review, 2007,37(3): [doi: / ] [22] Kafle VP, Inoue M. Introducing multi-id and multi-locator into network architecture. IEEE Trans. on Communications Magazine, 2012,50(3): [doi: /MCOM ] [23] Burness L, Eardley P, Jiang S, Xu XH. A pragmatic comparison of locator ID split solutions for routing system scalability. In: Proc. of the 3rd Int l Conf. on ChinaCom [doi: /CHINACOM ] [24] Mazières D, Kaminsky M, Kaashoek MF, Witchel E. Separating key management from file system security. In: Proc. of the 17th ACM SOSP. Charleston: ACM Press, [doi: / ] [25] Rafiee H, Loewis MV, Meinel C. Transaction SIGnature (TSIG) using CGA algorithm in IPv6. Internet draft, [26] Schridde C, Smith M, Freisleben B. TrueIP: Prevention of IP spoofing attacks using identity-based cryptography. In: Proc. of the SIN New York: ACM Press, [doi: / ] [27] Andersen DG, Balakrishnan H, Feamster N, Koponen T, Moon D, Shenker S. Accountable Internet protocol (AIP). In: Proc. of the SIGCOMM New York: ACM Press, [doi: / ] [28] Liu ZH, Sun B, Gu LZ, Yang YX. Origin authentication scheme against BGP address prefix hijacking. Ruan Jian Xue Bao/ Journal of Software, 2012,23(7): (in Chinese with English abstract). [doi: / SP.J ] [29] Kent S, Lynn C, Seo K. Secure border gateway protocol (S-BGP). IEEE Journal on Selected Areas in Communications, 2000,18(4): [doi: / ] [30] White R. Securing BGP through secure origin BGP. Business Communications Review, 2003,33(5): [31] Hu XJ, Zhu PD, Gong ZH. SE-BGP: An approach for BGP security. Ruan Jian Xue Bao/Journal of Software, 2008,19(1): (in Chinese with English abstract). [doi: /SP.J ] [32] van Oorschot PC, Wan T, Kranakis E. On interdomain routing security and pretty secure BGP (psbgp). ACM Trans. on Information and System Security (TISSEC), 2007,10(3): [doi: / ] [33] Baker F, Savola P. Ingress filtering for multihomed networks. RFC 3704, [34] Wijnands IJ, Boers A, Rosen E. The reverse path forwarding (RPF) vector TLV. RFC 5496, [35] Park K, Lee H. On the effectiveness of route-based packet filtering for distributed DoS attack prevention in power-law internets. In: Proc. of the ACM SIGCOMM New York: ACM Press, [doi: / ] [36] Li J, Mirkovic J, Wang MQ, Reiher P, Zhang LX. SAVE: Source address validity enforcement protocol. In: Proc. of the InfoCom New York: IEEE, [doi: /INFCOM ] [37] Nordmark E, Bagnulo M. FCFS SAVI: First-Come, first-served source address validation improvement for locally assigned IPv6 addresses. RFC 6620, [38] Bremler-Barr A, Levy H. Brief announcement: Spoofing prevention method. In: Proc. of the PODC Newfoundland: ACM Press, [doi: / ] [39] Jin C, Wang HN, Shin KG. Hop-Count filtering: An effective defense against spoofed DDoS traffic. In: Proc. of the CCS New York: ACM Press, [doi: / ] [40] Liu X, Li A, Yang XW, Wetherall D. Passport: Secure and adoptable source authentication. In: Proc. of the NSDI San Francisco: USENIX Association, [41] Yaar A, Perrif A, Song D. StackPi: New packet marking and filtering mechanisms for DDoS and IP spoofing defense. IEEE Journal on Selected Areas in Communications, 2006,24(10): [doi: /JSAC ] [42] Yang MH, Yang MC. RIHT: A novel hybrid IP traceback scheme. IEEE Trans. on Information Forensics and Security, 2012,7(2): [doi: /TIFS ] [43] Saurabh S, Sairam AS. Linear and remainder packet marking for fast IP traceback. In: Proc. of the COMSNETS Bangalore: IEEE, [doi: /COMSNETS ] [44] RIPE. Routing information service: MyASn system [45] Lad M, Massey D, Pei D, Wu YG, Zhang BC, Zhang LX. PHAS: A prefix hijack alert system. In: Proc. of the15th USENIX Security Symp. Vancouver: USENIX Press,

19 96 Journal of Software 软 件 学 报 Vol.25, No.1, January 2014 [46] Liu X, Zhu PD, Peng YX. Co-Monitor: Collaborative monitoring mechanism for detecting prefix hijacks. Ruan Jian Xue Bao/ Journal of Software, 2010,21(10): (in Chinese with English abstract). [doi: /SP.J ] [47] Zhang Z, Zhang Y, Hu YC, Mao ZM, Bush R. Ispy: Detecting ip prefix hijacking on my own. IEEE/ACM Trans. on Network, 2010,18(6): [doi: /TNET ] [48] Liu YJ, Su JS, Chang RKC. LDC: Detecting BGP prefix hijacking by load distribution change. In: Proc. of the 2012 IEEE 26th Int l Parallel and Distributed Processing Symp. Workshops & PhD Forum. IEEE, [doi: /IPDPSW ] [49] Zheng CX, Ji LS, Pei D, Wang J, Francis P. A light-weight distributed scheme for detecting IP prefix hijacks in real-time. In: Proc. of the SIGCOMM Kyoto: ACM Press, [doi: / ] [50] Xiang Y, Wang ZL, Yin X, Wu JP. Argus: An accurate and agile system to detecting ip prefix hijacking. In: Proc. of the ICNP Beijing: IEEE, [doi: /ICNP ] [51] Hu X, Mao ZM. Accurate real-time identification of IP prefix hijacking. In: Proc. of the IEEE Symp. on Security and Privacy. Oakland: ACM Press, [doi: /SP ] [52] Xu X. Routing architecture for the next generation Internet (RANGI) txt [53] Shang WT, Bao CX, Li X. Research and comparison on the ID/locator separation network architecture. In: Proc. of the 2nd Int l Conf. on CECNet IEEE, [doi: /CECNet ] [54] Kafle VP, Li RD, Inoue D, Harai H. An integrated security scheme for ID/locator split architecture of future network. In: Proc. of the 2012 IEEE Int l Conf. on Communications (ICC). IEEE, [doi: /ICC ] [55] Kanemaru S, Yonemura K, Teraoka F. ZNP: A new generation network layer protocol based on ID/locator split considering practical operation. In: Proc. of the 2011 IEEE Int l Conf. on Communications (ICC) [doi: /icc ] [56] Moskowitz R, Hirschmann V, Jokela P, Henderson T. Host identity protocol version 2 (HIPv2) doc/draft-ietf-hip-rfc5201-bis/ [57] Farinacci D, Fuller V. The locator/id separation protocol (LISP). RFC 6830, [58] Rodríguez A, Ruiz R. A study on the effect of the asymmetry on real capacitated vehicle routing problems. Computers & Operations Research, 2012,39(9): [doi: /j.cor ] [59] Duan ZH, Yuan X, Chandrashekar J. Constructing inter-domain packet filters to control IP spoofing based on BGP updates. In: Proc. of the InfoCom Barcelona: IEEE, [doi: /INFOCOM ] [60] Velmayil G, Pannirselvam S. Defending of IP spoofing by ingress filter in extended-inter domain packet key marking system. Int l Journal of Computer Network and Information Security (IJCNIS), 2013,5(5): [doi: /ijcnis ] [61] Abhang TA, Kulkarni UV. An integrated approach to detect and limit IP spoofing. Int l Journal of Computer Science and Mobile Computing, 2013,7(2): [62] Wu J, Bi J, Li X, Xu K, Williams M. A source address validation architecture (SAVA) testbed and deployment experience. RFC 5210, [63] Liu BY, Bi J. SMA: State machine based anti-spoofing [64] Xu K, Zhu L, Hu G. SAVI requirements and solutions for ISP IPv6 access network [65] Xu K, Hu G, Bi J, Xu M. The requirements and tentative solutions for SAVI in IPv4/IPv6 transition org/doc/draft-shi-savi-access/ [66] Aura T. Cryptographically generated addresses (CGA). RFC 3972, [67] Hoeper K, Gong G. Bootstrapping security in mobile ad hoc networks using identity-based schemes with key revocation. Technical Report, CACR , Centre for Applied Cryptographic Research, University of Waterloo, Canada, ist.psu.edu/viewdoc/download?doi= [68] Mancini LV, Spognardi A, Soriente C, Villani A. Relieve Internet routing security of public key infrastructure. In: Proc. of the 21st Int l Conf. on Computer (ICCCN). IEEE, [doi: /ICCCN ]

20 徐 恪 等 : 互 联 网 地 址 安 全 体 系 与 关 键 技 术 97 [69] Wählisch M, Maennel O, Schmidt TC. Towards detecting BGP route hijacking using the RPKI. ACM SIGCOMM Computer Communication Review, 2012,42(4): [doi: / ] [70] Raimagia D, Singh S. A trusted centralized public key to secure border gateway protocol. IJEIR, 2012,3(1): [71] Li Q, Xu MW, Wu JP, Zhang XW, Lee PPC, Xu K. Enhancing the trust of internet routing with lightweight. In: Proc. of the ASIACCS Hong Kong: ACM Press, [doi: / ] [72] Zhang Y, Pourzandi M. Studying impacts of prefix interception attack by exploring BGP AS-PATH prepending. In: Proc. of the 2012 IEEE 32nd Int l Conf. on ICDCS. IEEE, [doi: /ICDCS ] [73] Ferguson P, Senie D. Network ingress filtering. RFC 2827, [74] Xu K, Zhu M, Lin C. Internet architeture evaluation models, mechanisms and methods. Chinese Journal of Computers, 2012,35(10): (in Chinese with English abstract). [doi: /SP.J ] [75] Gill P, Schapira M, Goldberg S. Let the market drive deployment: A strategy for transitioning to BGP security. In: Proc. of the SIGCOMM Toronto, [doi: / ] [76] GENI. 附 中 文 参 考 文 献 : [9] 黎 松, 诸 葛 建 伟, 李 星.BGP 安 全 研 究. 软 件 学 报,2013,24(1): [doi: / SP.J ] [17] 吴 建 平, 吴 茜, 徐 恪. 下 一 代 互 联 网 体 系 结 构 基 础 研 究 及 探 索. 计 算 机 学 报,2008,31(9): [28] 刘 志 辉, 孙 斌, 谷 利 泽, 杨 义 先. 一 种 防 范 BGP 地 址 前 缀 劫 持 的 源 认 证 方 案. 软 件 学 报,2012,23(7): org.cn/ /4125.htm [doi: /SP.J ] [31] 胡 湘 江, 朱 培 栋, 龚 正 虎.SE-BGP: 一 种 BGP 安 全 机 制. 软 件 学 报,2008,19(1): [doi: /SP.J ] [46] 刘 欣, 朱 培 栋, 彭 宇 行.Co-Monitor: 检 测 前 缀 劫 持 的 协 作 监 测 机 制. 软 件 学 报,2010,21(10): [doi: /SP.J ] [74] 徐 恪, 朱 敏, 林 闯. 互 联 网 体 系 结 构 评 估 模 型 机 制 及 方 法 研 究 综 述. 计 算 机 学 报,2012,35(10): [doi: /SP.J ] 徐 恪 (1974-), 男, 江 苏 洪 泽 人, 博 士, 教 授, 博 士 生 导 师,CCF 高 级 会 员, 主 要 研 究 领 域 为 新 一 代 互 联 网 体 系 结 构, 高 性 能 路 由 器 体 系 结 构,P2P 与 应 用 层 网 络,Overlay 网 络, 物 联 网. xuke@mail.tsinghua.edu.cn 朱 亮 (1982-), 男, 博 士 生, 主 要 研 究 领 域 为 计 算 机 网 络 体 系 结 构, 网 络 安 全. tshbruce@gmail.com 朱 敏 (1977-), 女, 博 士 生, 主 要 研 究 领 域 为 计 算 机 网 络 体 系 结 构 及 其 评 估. min-zhu09@mails.tsinghua.edu.cn