《清華大學：2023年SAVA-X 域間源地址驗證技術白皮書（39頁）.pdf》由會員分享，可在線閱讀，更多相關《清華大學：2023年SAVA-X 域間源地址驗證技術白皮書（39頁）.pdf（39頁珍藏版）》請在三個皮匠報告上搜索。

1、SAVA-X 域間源地址驗證技術白皮書White Paper for Source Address ValidationArchitecture-eXternal(SAVA-X)清華大學華為技術有限公司新華三技術有限公司2023 年 11 月前 言缺乏對源地址真實性的驗證機制是當前互聯網體系結構存在的一個重大安全設計缺陷。當前互聯網面臨的主要安全威脅中，以偽造源地址為基礎的攻擊手段（如身份哄騙、中間人攻擊、分布式拒絕服務攻擊、路由劫持、域名系統緩存投毒等）占據了重要地位，對互聯網的安全性和可用性造成極大的破壞，使得網絡的安全可信面臨極大的挑戰，真實源地址驗證成為亟需突破的互聯網核心技術之一。源

2、地址驗證體系結構將源地址驗證技術分為了三個層次：接入網層、地址域內層、地址域間層。其中地址域間層處于多個不同網絡運營商的管理范圍，網絡連接復雜多變，網絡用戶缺乏信任，同時域間網絡往往是網絡的核心所在，承擔的流量極其龐大，需要平衡效率和安全，因此需要一套簡單、輕量、高效的機制，以抵御域間源地址偽造攻擊。域間源地址驗證（SAVA-X）方案構建了層次化信任聯盟機制，將現有網絡按照一定的標準，劃分為層次化可自嵌套的地址域層級聯盟；通過聯盟鏈維護地址域數字資源信息，保證地址域信息真實可靠不可篡改；地址域之間兩兩維護一對時間同步狀態機，通過時間觸發狀態機的狀態遷移同時生成加密標簽，實現無通信開銷的標簽輪換

3、機制。在數據面通信時，地址域的邊界路由器處理數據包中攜帶的標簽，源端地址域添加標簽、中間地址域驗證替換標簽、目的端地址域驗證移除標簽，通過標簽的正確性，保證源地址的真實性，實現域間源地址驗證。清華大學聯合華為和新華三，共同攻關真實源地址驗證關鍵技術，目前已經完成了體系結構的總體設計和支撐平臺的研發，華為的 NE8000 系列核心路由器，新華三的CR16000 和 CR19000 系列核心路由器均已經支持域間源地址驗證能力，可以開展現網實驗并支持實際商業化部署。ii目 錄前 言ii第一章互聯網源地址安全現狀1第二章項目背景52.1源地址偽造問題.52.2域間源地址驗證方案.62.2.1基于域間路

4、由信息的方案.62.2.2基于加密標簽簽名的方案.8第三章源地址驗證體系結構12第四章層次化域間源地址驗證技術154.1總體機制.154.2地址域管理.164.3控制平面.184.4數據平面.224.5數據包簽名機制.23第五章系統實現與典型應用265.1系統實現.265.1.1控制服務器端實現.265.1.2核心路由器端實現.275.2典型應用.305.2.1真實可信網絡.30iiiiv目 錄5.2.2高價值網絡防御.31第六章標準化進展33附錄 A 縮略語列表34附錄 B 編寫組成員名單35第一章互聯網源地址安全現狀自 1967 年美國實施 ARPANET 計劃以來，互聯網從最初的 4 個

5、主機節點發展到了今天的全球自治互聯?；ヂ摼W成功滲入了政治外交、經濟金融、軍事戰爭、社會生活、文化娛樂等各個方面，互聯網的持續發展極大的便利了人們的生產生活，促進了社會的長足進步和經濟的持續發展，已成為最重要的人類社會信息基礎設施和國家戰略資源?；ヂ摼W的成功是天時地利人和共同作用的結果，但最為重要的是構建了 TCP/IP（Transmission Control Protocol/Internet Protocol）體系結構，如圖1.1所示，TCP/IP 體系結構是互聯網發展成功的關鍵所在。圖 1.1 互聯網窄腰模型互聯網協議（Internet Protocol，IP）作為最為重要的兩個互聯網的

6、標準協議之一，“IP on everything”和“everything over IP”，使得 IP 起著承上啟下的作用，保證了全網通達。IP 是異構網絡互聯的基礎，也是體系結構的核心，更是互聯網能夠快速迭代發展的基石。作為互聯網早期設計者的 Vinton Cerf 指出 IP 在設計上：與通信技術無關：僅轉發數據包，可運行于任何通信技術之上；與邊緣創新無關：增加邊緣創新應用/服務，網絡無需做任何改變；支持大規模擴展：支持十億級規模擴展；完全開放：對所有新協議、新技術、新應用提供開放服務。12第一章互聯網源地址安全現狀在 20 世紀 80 年代設計運行之初，互聯網節點稀疏，節點之間彼此信任

7、，同時受限于當時通信技術的發展，互聯網采用了“盡力而為”的轉發方式，中間節點轉發 IP 數據包的時候，不會檢查數據包的源 IP 地址，只是根據目的 IP 地址進行轉發。盡管依托于 IP 協議良好的高瞻遠矚式設計，互聯網能夠高速迭代發展至今，但是伴隨互聯網的蓬勃發展，用戶節點數量激增，紛繁復雜的網絡連接致使節點間信任缺失。作為重要的基礎設施之一，互聯網由于網絡初始設計上的缺陷，缺乏對源 IP 地址真實性的驗證機制，致使網絡自身的安全性和可靠性仍然難以得到保障。IP 協議是互聯網的核心協議，源 IP 地址真實性的缺失影響到互聯網體系結構的各個層面。當前互聯網面臨的主要安全威脅中，以偽造源 IP 地

8、址為基礎的攻擊手段，如身份哄騙、中間人攻擊、分布式拒絕服務攻擊、路由劫持、域名系統（Domain Name System，DNS）緩存投毒等，占據了重要地位。利用這一缺陷發起的網絡攻擊層出不窮，不僅對網絡的持續發展產生了一定的制約，而且對人們的生產生活造成了重大困擾?；ヂ摼W巨擎 VintonCerf 指出，當前的互聯網體系結構缺乏安全可信基礎，很容易發生網絡攻擊，值得深入研究。IP 地址具有語義二重性，使得 IP 地址既可以作為用戶的身份信息標識，又可以作為用戶的地理位置信息標識，身份信息標識體現為用戶在網絡中的身份，位置信息標識則體現在用于從目的設備向源設備反向發送數據。偽造 IP 地址則既

9、可以隱藏攻擊者身份，又可以隱藏攻擊者位置。承擔著位置和身份雙重角色的 IP 地址，在數據傳輸過程中暴露出的嚴重缺陷是互聯網最根本的威脅，使得應用偽造 IP 地址已經成為大量攻擊成功的一個先決條件。同時，偽造 IP 地址的威脅不僅存在于網絡層：基于 IP 協議的許多協議，使用 IP 地址這個并不安全的標識作為通訊對方的標識，因而只要偽造了源地址，相應地就欺騙了這些協議，這使得偽造源地址攻擊的能力超出網絡層范圍，危害到其它更上層的協議。通過禁用或者過濾源 IP 地址這種簡單的策略并不會明顯減少攻擊流量，導致受害者遭受攻擊的時無法進行有效的反制以及防御，同時使得定位溯源攻擊者也變得異常困難。網絡設備

10、使用假冒的源 IP 地址發起網絡攻擊或進行不正當網絡活動的行為被稱為源 IP 地址偽造，即源 IP 地址偽造是指網絡設備使用并不屬于它的 IP 地址作為源地址發送數據包的行為，經過修改后的源地址稱為偽造源地址。利用源地址偽造的手段，網絡攻擊的發起者可以隱匿自己的身份和位置，逃避法律的制裁。使用偽造的源地址的網絡攻擊行為難以被追溯，這是當前偽造源地址行為泛濫的原因。借助偽造源地址發起的分布式拒絕服務攻擊（Distributed Denial of Service，DDoS）是當前互聯網公認的最大的安全威脅之一。隨著源地址偽造手段的大量使用，基于真實地址的網絡計費、管理、監控和安全認證等都無法正常

11、進行，對互聯網基礎設施和上層應用都造成了嚴重的危害。隨著互聯網的發展，基于源地址偽造的網絡攻擊愈發猖獗，IP 地址可偽造、不可信等問題給網絡可信安全訪問帶來嚴重的威脅，甚至嚴重危害到社會和國家的安全?？偟膩碚f，源地址偽造主要帶來了如下 3 方面的安全問題：31.一些攻擊類型，例如遠程訪問注入攻擊（CWE-78）1，在原理上依賴于假冒源地址，它們需要偽造特定的地址才能成功發起攻擊；2.一些攻擊類型，例如分布式拒絕服務攻擊，雖然可以不偽造特定源地址就可以發起攻擊，但是一旦采用了偽造源地址，則可以起到隱藏攻擊真實源頭的目的，令管理者不易發現和制止；3.目前很多應用以源地址為資源使用的標識，例如可使用

12、 IP 登錄的應用網站，在地址假冒的情況下，攻擊者可以盜用網絡資源，損害了網絡運營者的利益。根據應用互聯網數據分析中心（Center for Applied Internet Data Analysis，CAIDA）的統計報告2，如圖1.2所示，當前互聯網，在不支持網絡地址轉換（Network AddressTransition，NAT）技術的 IPv4 網絡中，有 18.8%的 IP 地址塊可以被偽造，有 30.4%的自治域支持偽造源地址；在支持 NAT 技術的 IPv4 網絡中，有 8.5%的 IP 地址塊可以被偽造，有 24.7%的自治域支持偽造源地址；在 IPv6 網絡上有 17.4%

13、的 IP 地址塊可以被偽造，有 35.0%的自治域支持偽造源地址。測量結果表明，在互聯網上偽造源地址是相對容易實現的。,3Y1$71$7,3Y1$7,3Y,3Y1$71$7,3Y1$7,3Y圖 1.2 IP 源地址可偽造現狀令人不可思議的是，作為防御手段的最佳實踐 BCP383，在實際部署中，入口過濾的部署率小于出口過濾部署率：67.0%的 IPv4 自治域和 74.2%的 IPv6 自治域，不會1https:/cwe.mitre.org/data/definitions/78.html2https:/spoofer.caida.org/summary.php，2023.04.253https

14、:/www.rfc-editor.org/info/bcp384第一章互聯網源地址安全現狀過濾聲稱來自他們網絡的外部流量4。這表明大多數自治域的路由器使用的是一種“寬進嚴出”的策略，即自治域網絡管理者基于某種考慮，可能是防御手段的假陽性，也可能是用戶體驗，即便知道進入本自治域的一些數據包是偽造的，也沒有進行過濾，這體現了源地址偽造的猖獗和治理的復雜性。4https:/www.caida.org/projects/spoofer/spoofer-flyer.pdf第二章項目背景2.1源地址偽造問題網絡設備使用并不屬于它的 IP 地址作為源地址發送數據包的行為稱之為源地址偽造。源地址偽造可以發生的

15、根本原因是互聯網設計時假設了網絡內部成員互相之間都是可以信任的，并沒有充分地考慮隨著網絡規模擴大和網絡信息開放，網絡成員之間信任缺失帶來的安全威脅。在網絡中，終端設備通信時發出數據包，以路由器等為代表的中間轉發設備只是根據數據包的目的地址進行轉發，而不對數據包的源地址進行任何校驗和檢查，為源地址偽造的發生提供了基礎設施上的支持。源地址可偽造是互聯網的一個核心安全問題，眾多類型的網絡攻擊都需要直接或者間接地借助于源地址偽造技術。當網絡中的設備使用偽造的 IP 源地址進行通信時，ISP 在管理上將面臨以下兩方面的困難：難以追溯攻擊者的身份和位置。IP 地址具有語義二重性，IP 地址是一臺終端設備在

16、網絡中的唯一標識，它既標識設備在網絡中的位置，同時也標識設備在網絡中的身份。數據包中偽造的 IP 源地址同時隱藏了攻擊者的地理位置及其身份信息，導致通過 IP 地址對攻擊者進行溯源追蹤難以實現，使得攻擊者可以逃脫法律的懲戒和制裁。難以追溯攻擊者的身份和位置是當前互聯網中依托于偽造源地址發起網絡攻擊行為泛濫的重要原因。難以防御基于偽造源地址的網絡攻擊?，F在使用的兩個 IP 協議版本中，IPv4 的地址空間有 232個地址，IPv6 的地址空間則擴大到了 2128個地址，即便是去掉標準規定的私有地址和保留地址之后，IP 地址空間仍然十分龐大。過于龐大地址空間就導致網絡管理者無法使用訪問控制列表（A

17、ccess Control List，簡稱 ACL）等簡單的策略，通過禁止某些 IP 地址訪問的方式來防御網絡攻擊。TCP/IP 協議棧是互聯網事實上的協議棧標準。根據 TCP/IP 協議棧的設計，IP協議是互聯網的核心協議之一，起著承上啟下的作用。TCP/IP 協議棧中，IP 的上層協議如 TCP、UDP 等，依賴于不安全、不真實的 IP 地址作為通信雙方的標識，一旦使56第二章項目背景用了偽造的 IP 源地址，也就實現了對基于 IP 的上層協議的欺騙和偽造，危害到了上層協議的安全性和真實性?；ヂ摼W已經成為社會生活中重要的基礎設施，是國家的戰略資源。然而基于源地址偽造的網絡攻擊愈發頻繁和猖獗

18、，嚴重威脅到了社會中重要網站和服務的安全性和可用性，給現實社會帶來了巨大的經濟財產損失。增強互聯網中的端系統和路由設備對數據包源地址的驗證和過濾能力，對于提升互聯網的安全性、可用性、魯棒性以及人類社會健康良好的生產生活都具有重要意義。2.2域間源地址驗證方案在國內外工業界和學術界的一致努力下，當前對于 IP 源地址進行驗證過濾已經提出了比較多的方案。按照清華大學在 2008 年在 IETF 提出的 RFC 5210 的分類方法，可以將源地址驗證工作分為三層：接入網源地址驗證層（簡稱接入層）、自治域內源地址驗證層（簡稱域內層）、自治域間源地址驗證層（簡稱域間層）。三層之間保護粒度越來越粗，保護范

19、圍越來越大。由于接入層和域內層都是位于同一個 ISP 運行、維護、管理下，其部署相對方便，但是域間層涉及到不同 ISP 的協作，容易發生不信任的情況，更有可能發生源地址偽造。因此，在本文中只關注并分析自治域間源地址驗證技術方案。自治域間源地址驗證技術，通常需要不同的自治域之間相互協作，通過分工協作來傳遞過濾規則，共同完成源地址驗證并且過濾偽造源地址數據包的任務。自治域間源地址驗證方案根據技術原理以及特點可以分為兩個大類：一類是借助于域間路由信息，通過現有的路由協議攜帶數據包轉發路徑上的源地址相關屬性信息，驗證相關信息正確性保證源地址真實性；另一類是基于加密標簽簽名的方案，通過對數據包進行加密或

20、者簽名，通過加密算法的安全性保證源地址真實性。2.2.1基于域間路由信息的方案基于域間路由信息方案的基本假設是，在一般情況下，攻擊者能夠偽造數據包中的源地址，但是并不能更改數據包的轉發路徑?；谟蜷g路由信息的源地址驗證方案通過BGP 等外部邊界網關路由協議，來攜帶數據包轉發路徑上的源地址屬性信息，這些屬性通常是一些自治域級別的信息，例如自治域路徑、路徑長度以及路徑標識等信息。自治域的邊界路由器通過源地址屬性信息來檢驗經過它的流量是否發生了源地址偽造問題。單播反向路由查找技術（unicast Reverse Path Forward，簡稱 uRPF）具有三種常見的工作模式：嚴格模式、寬松模式和可

21、行模式。工作在嚴格模式下的 uRPF，檢查數據包的入接口是否和反向到達數據包中 IP 源地址的出接口相匹配。如果不匹配，則認2.2域間源地址驗證方案7為數據包使用了偽造源地址并進行過濾。由此可見，只有在對稱路由的網絡中可以啟用嚴格模式的 uRPF，對稱路由網絡中數據包的轉發方向和到達方向具有一致性。但是，隨著 ISP 和用戶對網絡可用性和健壯性期望的提高以及新的自治域加入網絡，兩個對等自治域之間可達路徑逐步增加，拓樸結構變得復雜，路由對稱性難以得到保證，增加了數據包正向轉發和反向轉發非對稱的可能性，導致嚴格模式下的 uRPF 方案假陽性問題嚴重。工作在寬松模式下的 uRPF，不關注數據包到底從

22、路由器的哪個接口接收，而只檢查路由表中是否存在和數據包 IP 源地址相對應的表項。如果存在對應表項，則認為數據包源地址是真實的，否則過濾數據包。寬松模式的 uRPF 并不能過濾已經存在于路由表項中的偽造源地址數據包，存在著嚴重的假陰性問題，其過濾能力比較差。在檢查時去掉對默認路由的檢查，這時如果路由表項包含了所有的合法可達地址，那么將能夠提高寬松模式的 uRPF 過濾效果。工作在可行模式下的 uRPF，擴展了嚴格模式，增加了數據包到達接口的可行范圍，在一定程度上降低了嚴格模式的假陽性，但同時也增加了假陰性。當網絡中的等價路徑較多時，增加數據包到達的可行接口實質上已經退化為了寬松模式，此時假陽性

23、問題和假陰性問題都存在。出入口過濾（Ingress Egress Filtering，簡稱 IEF）是一種部署在網絡的邊界路由器上過濾數據包的技術，它過濾來自該網絡但是其源地址卻不屬于該網絡，以及發送至該網絡但是其源地址卻是該網絡的數據包，前者為出口過濾（Egress Filtering），后者為入口過濾（Ingress Filtering）。由于網絡龐大的 IP 地址空間，相比于出口過濾，入口過濾方法在網絡中更為常見。入口過濾常常被使用在服務提供自治域（Provider AS）和客戶自治域（Customer AS）之間的鏈路上以及自治域出口處，用于過濾偽造源地址的流量。入口過濾的過濾規則的建

24、立依賴于手動配置或者依賴于路由表的 uRPF。由于只需要依賴于現有路由表而不需要其它額外的信息，入口過濾是一種非常高效的方法。實際上，如果每一個自治域的出口路由器都部署了入口過濾，那么互聯網上自治域粒度的源地址就一定是真實的。但是根據調查研究，互聯網上只有 80%的自治域部署啟用了BCP 38 即入口過濾技術，剩下 20%的自治域則未啟用該技術，方案的完整性受到破壞。而且當 Customer AS 使用的是和 Provider AS 無關的前綴時，或者 Customer AS是一個多宿主的自治域時，基于 uRPF 生成的過濾規則可能會存在假陽性問題，致使方案的可部署性遭受挑戰。對于其它類型的自

25、治域間鏈路，由于路由的對稱性基本不存在，所以入口過濾并不完全適用。而基于手動配置的入口過濾，存在配置過于復雜以及很難適應網絡動態變化的情況。分布式包過濾（Distributed Packet Filtering，簡稱 DPF）是一個重要的基于路由進行過濾的工作，其核心思想是在自治域間部署基于流和接口的綁定關系或者基于路由地址前綴的過濾規則。通過實驗模擬，DPF 證明了其構建的過濾規則在互聯網上是有效的，只需要 20%左右的自治域部署 DPF 就可以使 70%的自治域免于基于源地址偽造技術的攻擊。但是 DPF 只是提出了一個方案框架，并沒有給出如何生成過濾規則表。同時也沒有說明為了避免“公共地的

26、悲劇”，作為公共物品的源地址偽造防御方案，應8第二章項目背景該如何推進自治域的部署。DPF 的后續工作都在研究如何生成過濾規則表。這些工作可以分為兩個方向，一是完全自治域本地化地生成過濾規則表；二是依賴于自治域合作生成過濾規則表。在第一個方向上的代表工作是域間包過濾方案（Inter-Domain PacketFilter，簡稱 IDPF），它通過學習 BGP 更新報文（BGP Update）來推斷出源和目的自治域之間可能的路徑信息和相互之間的關系。IDPF 依賴于 Valley-free 特性來生成本地的過濾表，“Valley-free”即自治域間商業關系的無低谷特性，任何自治域都不愿意為其自

27、身以及 Customer AS 之外的任何流量付費。由于自治域間 Valley-free 路徑的多樣性，IDPF 生成的過濾規則表實際上比較寬松，限制了方案的過濾能力。DPF 在第二個方向上的代表工作有 BASE 和 BGP Selection Notice。BASE 和 BGP Selection Notice 都需要通過修改 BGP 協議來傳播路徑信息，以幫助其它自治域生成正確的過濾規則表。BASE 方案需要部署自治域向 BGP 宣告中加入標簽，收到宣告的自治域學習到標簽并將標簽和源地址前綴進行綁定以建立過濾規則表。BGP Selection Notice 方案為 BGP新增加選路通知報文

28、，將選路策略通過 BGP 宣告通知路徑上的所有自治域，進而建立過濾規則表?；谔鴶涤嫈颠^濾方案（Hop Count Filtering，簡稱 HCF）是依賴于數據包從源自治域到檢查點自治域的跳數和 IP 源地址前綴之間的關系，對數據包源地址進行驗證的方法。在域間路由穩定的情況下，從一個源自治域到檢查點自治域所需要經過的跳數是固定的。檢查點自治域首先從數據包的 IP 數據包頭中的 Time-To-Live（TTL）字段推斷出數據包所設置的初始 TTL 值，然后用推斷出的 TTL 值減去 TTL 現值就可以得到數據包所經歷的跳數。如果事先建立了地址前綴和跳數之間的映射關系，那么就可以判斷數據包源地

29、址的真實性。HCF 最大的優勢是：對于終端設備或者邊緣網絡等出口很少的網絡，上述基于路由方向的過濾方案無法很好地工作，而這時基于跳數過濾可以起到較好的效果。另外地址前綴和跳數的對應關系也可以通過學習或者探測的方式獲得，無需制定新的協議。但是自治域間網絡抖動以及路由動態性的存在使得 HCF 方案獲得的是一個區間范圍的可行解集，為了減少假陽性，其源地址驗證保護粒度相當粗放，同時由于初始 TTL 值是可以偽造的，HCF 方案假陰性問題嚴重，造成其實際應用相當困難。2.2.2基于加密標簽簽名的方案基于加密標簽簽名的技術方案主要依靠源端自治域在數據包中打上特定的標記，然后由目的端自治域負責檢查標記和數據

30、包源地址的匹配關系，這是一類端到端的驗證方案。端到端驗證的一個明顯優勢就是與路由無關，所以不用處理路由帶來的動態性和復雜性，然而其明顯的缺陷就是需要同時修改路由設備的控制平面和數據平面。首先這類方案需要一個控制平面的協議來交換密鑰信息，此外，必須在數據包中添加一些額外信息。除去處理效率方面的考慮，這種模式可能會影響其它協議的工作。此外，如果數據包本身已經是最大長度且網絡不支持分片，這時也就無法向數據包中插入信息。2.2域間源地址驗證方案9IPSec 方案是一類經過了 IETF 標準化的方案，它可以為 IP 層的通訊提供認證和加密的機制。通訊中的雙方可以通過在數據包中添加和檢查認證頭（Authe

31、nticationHeader，簡稱 AH），IPSec 使用 AH 確保數據包來自于 IP 源地址的擁有者而非偽造源地址。IPSec 除了用在通訊雙方的主機之間，也可以用在兩個網絡之間，或者主機和網絡之間，通過使用協商好的密鑰，構建一條端到端的隧道，隧道的機密性、完整性和不可篡改性由協商的端到端密鑰和加密算法來保證。盡管 IPSec 經過多年的發展，已經是一項十分成熟的技術方案，在現在的網絡中作為 VPN（Virtual Private Network，簡稱VPN）方案使用，但是 IPSec 在用于源地址保護時，卻有著不可忽略的缺陷。如果使用互聯網密鑰交換技術（Internet Key Ex

32、change，簡稱 IKE）來進行密鑰交換，則 IPSec方案最大的問題在于，交換密鑰的雙方無法證明各自對于所使用地址的所有權，例如一個主機可以用一個同一個子網下沒有被分配給它的地址和對方完成密鑰交換，這可能來源于中間人攻擊。此外，IPSec 的數據包驗證采用摘要算法單向哈希如 MD5 或者SHA1，驗證開銷較大，使得路由器可能成為 DoS 攻擊的目標，從而癱瘓網絡，因此在實際中，AH 報文頭應用較少，IPSec 常常作為一種 VPN 技術存在，并不能大范圍應用于互聯網全局。SPM 方案（Spoofing Prevention Method，簡稱 SPM）建立了信任聯盟機制，每個部署 SPM

33、方案的自治域都必須加入信任聯盟，但在決定部署 SPM 方案之前自治域則是自愿選擇部署的。處于信任聯盟之內的所有成員自治域都需要承擔為其它成員自治域提供源地址驗證過濾的義務。該方案需要事先協商要使用的特定標簽，該標簽具備方向性，源自治域到目的自治域和目的自治域到源自治域需要使用不同的標簽。在通信時源端自治域的邊界路由器向數據包添加標簽，目的端自治域的邊界路由器驗證數據包中的標簽，通過標簽正確性來保證數據包源地址的真實性。而對于信任聯盟之外的其它自治域，由于缺少必要的協商標簽的過程，信任聯盟內的自治域則不會為其提供該項源地址驗證過濾支持。由此可知，SPM 最大的弊端是不會阻止信任聯盟之外的源地址偽

34、造，對于目的地址是信任聯盟內部的自治域才會校驗數據包的源地址，否則并不會進行過濾操作，因此 SPM 方案只有通過擴大信任聯盟部署規模才能防止更多的源地址偽造。只有當全局部署時，SPM 的部署收益才能有顯著地提升，部分部署時其部署收益變化不大。同時由于在自治域間通信時，SPM 方案所使用的標簽是事先協商確定的，沒有做到逐包變化，所以面臨著標簽重放攻擊，攻擊者可以線上竊聽標簽并進行重放，造成方案的假陰性問題?？蓪徲?IP 方案（Accountable Internet Protocol，簡稱 AIP）將網絡劃分為獨立的可審計域，在可審計域內和可審計域間可以進行源地址驗證。網絡設備和可審計域都使用一

35、個 160 位的比特串作為自身標識，該標識使用了加密生成地址（CryptographicallyGenerated Addresses，簡稱 CGA）的技術來生成，其具有自驗證的能力。每一個數據包中都包含了源網絡設備標識、源可審計域標識、目的網絡設備標識、目的可審計域標識這樣的四元組，依靠標識的自驗證能力，轉發路徑上的數據包轉發者和數據包接收10第二章項目背景者都可以檢查數據包源標識的真實性。AIP 的優勢在于使用全局性的自驗證地址可以避免引入驗證所需要的密鑰基礎設施，同時可驗證性的可審計域標識使得偽造源地址的數據包在匯聚到接收者之前就可以被大量過濾，避免了由于加密驗證開銷導致的資源耗盡式的拒

36、絕服務攻擊。但是 AIP 使用的加密生成地址的方式是一種非常激進的設計，和現在的互聯網體系結構完全無法兼容，無法適用于 IPv4 或 IPv6 下的地址結構。即便不考慮地址的后向兼容性，由于 AIP 中的地址標識采用加密的方式完全隨機生成，不具備地址前綴匯聚性，導致網絡中每一個路由設備需要存儲非常巨大的路由表，和現在的路由體系結構也無法兼容。這種方案在目前條件下看來還不具有可行性。Passport 方案可以在自治域內和自治域間進行源地址驗證。Passport 方案設計時考慮了現有的網絡體系結構，因此具備一定的向后兼容的性質。Passport 方案原理是在數據包中插入根據源端自治域和檢查端自治域

37、之間的密鑰產生的加密內容，又稱為消息認證碼（Message Authentication Code，簡稱 MAC）。和 IPSec 的端到端的檢查不同，Passport 方案考慮了路徑上節點對數據包真實性進行檢查的能力，因此它是一個結合了基于域間路由信息和基于加密標簽簽名的方案。在端系統上，端系統需要產生和自治域邊界路由器之間的 MAC-P，以及和目的端之間的 MAC。邊界路由器在檢查數據包中的 MAC-P 通過之后會移除 MAC-P，并且在數據包中插入本自治域和路徑上其它自治域之間的 MAC。MAC 會被路徑上的自治域逐一檢查，直到數據包到達目的端自治域。Passport 實際上是一種在數據

38、包轉發路徑上也能夠檢查數據包 MAC 并進行替換的方案，這種檢查替換的特性可以很好地防止偽造源地址的攻擊流量匯聚到目的端受害者自治域。盡管 Passport 方案考慮了向后兼容性，但是它依然需要一個全局的信任基礎設施來幫助其生成自治域之間的 MAC，以及一個自治域內的公鑰基礎設施來幫助產生主機和邊界路由器之間的 MAC。此外，在數據包中插入 MAC，實際上是路由器和主機暫不具備的功能，所以需要 ISP 付出巨大的成本去大量的升級現有設備。此外，插入和檢查 MAC 使用的對稱密鑰算法或者單向哈希摘要算法會給路由器帶來較大的開銷。除去性能和部署上的考慮，Passport 方案在終端設備地址真實性上

39、的考慮略有欠缺?，F在的終端設備配置的地址通常并非是固定不變的，而是依靠 DHCP 等協議動態分配的。在動態分配地址的情況下，邊界路由器實際上很難知道終端被授權使用哪一個地址，這時檢查源地址的真實性實際上是沒有意義的。同時由于域間路由的動態性，Passport 方案在轉發路徑上使用了逐段檢查，但是又沒有使用如分段路由等源路由技術，這無可避免地增加了方案的假陽性。SMA 方案（State Machine-based Anti-spoofing）是一個基于時序狀態機的輕量化的 SPM 演化方案。SMA 方案最大的優點是使用基于時序同步狀態機的方式，在自治域本地通過狀態機的運行生成一致性標簽，取代了

40、SPM 繁瑣的密鑰交換過程，提升了控制面的安全性。SMA 作為一個端到端的方案，通過標簽的真實性保證源地址的真實性，中間路由器無需感知如何處理標簽選項頭，可以和現有部署了 IPv6 但是沒有部署SMA 機制的路由器兼容。但是一個比較嚴重的問題是 SMA 沒有充分考慮互聯網較為2.2域間源地址驗證方案11明顯的層次化拓撲分布，互聯網上最多的自治域類型是 Stub AS，這種類型的 AS 沒有下聯自治域，其本身可能具有多個出入口，也可能只有唯一的一個出入口。由該類型自治域的上游自治域進行源地址驗證，就可以保障該自治域的源地址真實性。由此 SMA機制實際上維護了大量的非必要的狀態機，浪費了較多資源。

41、同時，SMA 方案同其它端到端方案一樣，其更大的弊端是沒有實質性減少網絡數據包轉發路徑中的偽造流量，這些流量只有到達了目的自治域的邊界路由器才會因為源地址檢查未通過而被丟棄，中間路由器沒有對源地址進行檢查，所以造成的后果是網絡中仍然可能充斥著大量的偽造流量。通過合理的層次化讓中間部署了源地址驗證方案的路由器參與源地址驗證有助于解決這兩個問題。分布式協作系統（Distributed Collaboration System，簡稱 DISCS）是 SPM 的拓展方案，在其基礎上完善了方案具體的實施方法。DISCS 依托于不同自治域之間的協作，其將信任聯盟劃分為了不同的防御聯盟，一個自治域可以自愿加

42、入和其存在共同利益的防御聯盟。同時 DISCS 將可選、可傳遞的路徑屬性設置到 BGP 更新消息中，在聯盟成員間進行傳遞，以區分不同的防御聯盟。最終 DISCS 將整個互聯網劃分為多個并行的防御聯盟，每個防御聯盟內提供與 SPM 類似的防御保護能力，但防御聯盟之間并不建立防御共識。DISCS 最大的貢獻是可以按需調用防御功能，而不需要自治域邊界路由器一直開啟防御功能，這對于提升方案性能和執行效率具備實際意義。部署 DISCS的自治域需要實現 4 個防御函數，用于實現協同防御功能。這些防御函數包括目的保護、密碼學的目的保護、源保護和密碼學的源保護。聯盟成員在收到攻擊時，其可以請求其它聯盟成員執行

43、最適合的防御函數。當攻擊停止時，其它聯盟成員將會停止防御函數執行。按需調用的協作方式降低了防御開銷，同時降低了假陽性問題。但是 DISCS的防御聯盟建立依托于 BGP 協議的安全性，后者的安全性也是目前互聯網亟待攻克的難題，因此 DISCS 的部署也受到了挑戰。第三章源地址驗證體系結構針對源地址可偽造這一國際互聯網重大技術挑戰，清華大學提出了分而治之、端網協同的真實源地址驗證體系結構（Source Address Validation Architecture，SAVA）1。真實源地址驗證體系結構 SAVA，用于在網絡層提供一種透明的服務，確?；ヂ摼W中轉發的每一個分組都使用“真實源 IP 地址

44、”，具備三層含義：經授權的：源 IP 地址必須是經互聯網 IP 地址管理機構分配授權的，不能偽造；唯一的：源 IP 地址必須是全局唯一的；可追溯的：網絡中轉發的 IP 分組，可根據其源 IP 地址找到其所有者和位置。下一代互聯網管理的現狀是：不同的網絡管理者負責管理各自的網絡，這些網絡的互聯構成全球互聯網。其中，一個網絡管理者可以擁有一個或多個自治域（AutonomousSystem，AS），一個自治域也可以包含多個網絡管理者的網絡。由于 IP 地址作為互聯網的通信標識具有全球唯一性，每個網絡管理者擁有其獨屬的 IP 地址前綴集合，稱其為地址管理域，簡稱地址域（Address Domain，A

45、D）。按地址域劃分接入網內、地址域內和地址域間三個層次、不同粒度的源地址驗證體系，具有系統化、層次化、松耦合、多重防御、支持增量部署的優點，顯著提升了源地址驗證體系結構的靈活性和適應能力，更加適應下一代互聯網實際運行管理現狀。根據下一代互聯網管理現狀，改進的面向地址域的新型源地址驗證 SAVA 體系結構，如圖3.1所示，針對接入網、地址域內、地址域間三個層次，分別確定了單個地址、地址前綴、前綴集合的不同驗證粒度，相應提出了地址同步、多模異構的真實源地址接入驗證方法 SAVA-A（SAVA-Access），路由同步、動態過濾的真實源地址域內前綴驗證方法 SAVA-P（SAVA-Prefix），多

46、域同步、協作信任的真實源地址域間驗證方法 SAVA-X（SAVA-eXternal），實現了：不同層次可以實現不同粒度的 IPv6 源地址真實性驗證；1SAVA 工作已經于 2008 年在互聯網工程任務組（Internet Engineering Task Force，IETF）進行了標準化，編號是 RFC 5210：A Source Address Validation Architecture(SAVA)Testbed and DeploymentExperience（https:/datatracker.ietf.org/doc/rfc5210/）1213 每一層次，允許不同網絡運營商采

47、用不同方法技術驗證源 IP 地址真實性；整體結構簡單性和各部分組成的靈活性的平衡。圖 3.1 下一代互聯網真實源地址驗證體系結構 SAVA源地址驗證體系結構中，接入層是地址粒度最細的層次，它保證了設備接口級別的安全，具有最精確的源地址驗證保護粒度；地址域內層是中等地址粒度的層次，它保證了自治域內部的源地址的真實性，防止內部子網設備偽造源地址，保證地址前綴級別的安全，但是兩者都不能保證來自更大范圍的外部網絡地址的真實性。同時接入網層和地址域內層基本都是屬于同一網絡運營者在管理，其相對于地址域間層的源地址驗證較為簡單，而域間層的源地址驗證可能會涉及到不同 ISP 之間的相互信任與協作，迫切需要系統

48、地解決分布式非協作網絡跨域可信訪問難等安全問題。域間真實源地址驗證技術 SAVA-X 主要的目標是提供地址域前綴粒度的源地址真實性。SAVA-X 以地址域為單位，地址域是一個 IP 地址前綴所對應的所有 IP 地址組成的地址集合,由加入 SAVA-X 方案的所有地址域共同組成的信任聯盟，內部經過劃分形成分層的地址域信任聯盟，稱為地址域層級聯盟，每一層都有其層級編號，編號從 0開始。地址域之間使用狀態機進行端到端的源地址檢查驗證；部署 SAVA-X 的地址域共同組成信任聯盟，聯盟成員之間彼此可信任、可驗證、可追溯，對聯盟外的源地址偽造具有識別和過濾能力。扁平式的域間源地址驗證方案不利于方案增量部

49、署實施，且不能及時丟棄偽造流量，使得偽造流量只有到達目的端地址域才會被丟棄，浪費了寶貴的網絡帶寬。層次化域間源地址驗證技術方案依據流量關系、地理位置等方式，將網絡劃分為層次化可嵌套的地址域，通過逐級驗證替換標簽的方式及時發現偽造流量，解決了上述兩個問題。為了增加可擴展性、增強增量部署能力且能盡早過濾偽造源 IP 地址的數據包，SAVA-X設計了信任聯盟的層次化方法，采用一種基于輕量級標簽替換的地址域端到地址域端14第三章源地址驗證體系結構的加密認證機制，使得整個信任聯盟系統構成一種具有源地址驗證功能的、層次化的體系結構。通過虛擬地址域、層次化標簽替換等技術實現了多域協同、多域聚類的域間信任傳遞

50、，解決了多徑傳輸場景下地址域間 IP 地址前綴集合粒度的真實源地址驗證問題。SAVA-X 提出了基于端到端驗證的域間源地址驗證機制 SMA（State Machine basedAnti-spoofing）。通過維護同步狀態機生成加密標簽簽名來實現端到端源地址驗證，是SAVA-X 方案的核心機制?；跔顟B機同步的域間源地址驗證 SMA 技術，是一種端到端驗證機制，通過引入狀態機自動同步，實現低開銷、輕量化的對稱密鑰更新機制。將SMA 技術應用于域間真實源地址驗證，是以地址域為單位，地址域之間使用狀態機進行端到端的源地址檢查驗證；部署的地址域共同組成信任聯盟，聯盟成員之間彼此可信任、可驗證、可追

51、溯，對聯盟外的源地址偽造有識別和過濾能力，因此對部署方提供了保護和部署激勵，支持增量部署。SAVA-X 設計了數據包防篡改機制，通過把數據包中的部分信息和狀態機產生的標簽進行拼接并計算其 Hash 值，達到逐包簽名效果，并在目的端地址域的邊界路由器上驗證簽名，從而有效抵御攻擊者復用標簽的攻擊方式。SAVA-X 的具體技術內容在第四章介紹，SAVA-X 的實現部署應用工作在第五章介紹，在 CCSA TC3 WG2 以及 IETF 進行標準化的進展情況在第六章介紹。第四章層次化域間源地址驗證技術4.1總體機制扁平信任聯盟結構的域間源地址驗證方案，要求加入信任聯盟的每兩個地址域之間都維護至少一個時間

52、同步狀態機1，協商初始狀態以及狀態遷移間隔等狀態機相關參數。在時間同步后，各狀態機在本地運行，由時間觸發狀態遷移的同時生成一個加密位串作為標簽，源端地址域的邊界路由器（AD Edge Router，AER）發送數據包時添加標簽，目的端地址域的邊界路由器收到數據包驗證移除標簽，通過標簽的正確性，保證源地址的真實性。但是當信任聯盟內包含大量的對等地址域時，以扁平信任聯盟方式在互聯網全局進行增量部署是比較困難的，尤其是在部署后期，每新增一個對等地址域，需要信任聯盟內的所有地址域都與新增地址域維護一個時間同步狀態機，這在網絡管理運維上是及其困難的。同時在扁平模式下，中間節點地址域不會檢查數據包，偽造流

53、量只有在到達目的端地址域后才會被檢查丟棄，偽造流量仍然充斥著整個網絡，浪費了寶貴的網絡帶寬資源。為了增加可擴展性，并且能夠盡早丟棄偽造流量，SAVA-X 設計了層次化的信任聯盟方案。在扁平信任聯盟結構的域間源地址驗證方案的基礎上，立足實際網絡拓撲結構和域間路由機制，通過合理的分層標準，SAVA-X 將部署了驗證機制的所有網絡劃分成多層級地址域信任聯盟，每一級地址域聯盟可以作為成員（抽象為一個系統整體）自下而上的參加更高級別的地址域信任聯盟，形成一種多級并存的、層次化的信任聯盟體系結構。SAVA-X 層次化結構示意圖如圖4.1所示，通過引入實現標簽替換的“中繼代理”聯盟邊界地址域（Trust A

54、lliance Edge AD，TAE-AD），如 AD3、AD4，將每一層級聯盟和外界網絡隔離，在確保域間高速通信的同時使得下層聯盟和更高層聯盟內部的網絡環境彼此互不可見、互無影響，有效降低了邊界路由設備狀態機存儲、查找、同步和處理等驗證開銷，即使在規模較大的層次結構中仍然能保證驗證的有效性和簡單化，著力體現“先部署先受益”的特點，具有一定的增量部署激勵。報文經過 TAE-AD 時，1狀態機是有方向性的，且狀態機存在輪換，由此如果雙向標簽不一致或者狀態機即將到期，就需要維護兩個及以上的狀態機。本文后續考慮最簡單情況，即不區分狀態機方向、不考慮狀態機輪換，因此兩個地址域之間只維護一個狀態機。1

55、516第四章層次化域間源地址驗證技術TAE-AD 的邊界路由器會替換現有標簽為跨地址域級別標簽，路徑上的多次檢查可以提前發現偽造報文，減少互聯網中偽造源地址報文數量。域間分布式共識基礎設施現有Internet基礎設施（RPKI）分布式共識算法成員信息成員信息(N-1)級地址域ADC1(N-1)級地址域ADC2N級地址域AD1N級地址域AD3N級地址域AD2N級地址域AD4N級地址域AD5PKTTagAD1-VADC1PKTPKTTagAD1-VADC1PKTTagADC1-ADC2PKTTagVADC2-AD5PKTPKTTagVADC2-AD5PKTTagADC1-ADC2PKT圖 4.1

56、層次化信任聯盟4.2地址域管理地址域（Address Domain，AD）是一種可自嵌套的層次化結構，地址域內部可以繼續劃分地址域，層級數依次遞增，地址域具體的層級數取決于網絡運營商（InternetService Provider，ISP）管理上的靈活方便以及地址域所轄網絡規模。地址域其內部是可聚合的地址前綴集合，是對現在網絡一種邏輯上的劃分，形成一種分層形式的網絡，細化網絡的管理范圍，這可使得網絡在管理上更加靈活方便，增強網絡的可管理性、靈活性和安全性。將地址域信任聯盟按照商業關系、地理位置關系、社會經濟關系、軍事關系、聯盟互助關系、路由策略、網絡結構等標準，劃分為不同的地址域層級聯盟，形

57、成的每一個頂級地址域稱之為 0 級地址域，最終地址域的層級結構構成一棵邏輯上的樹型或森林型結構。當跨越地址域層級通信時，可能會產生多徑問題，即數據包可以從不同的邊界地址域進行跨越地址域層級，SAVA-X 使用了虛擬地址域（Virutual AD,V_AD），其表示當前地址域的外部所有地址域，如 V _AD1 代表了 AD1 外部的所有地址域，當數據包發送至當前地址域外部時需要使用虛擬地址域標識來表示目的地址域。4.2地址域管理17SAVA-X 使用域間分布式共識基礎設施負責地址域創建（加入）、查詢、更新和刪除（退出）管理，域間分布式共識基礎設施構建及存儲信息如圖4.2所示。Block j-1B

58、lock jBlock j+1Block j+2Block j-1Block jBlock j+1Block j+2運營商成員教育網組織結構管理部門服務提供方其它參與方去中心化的域間信任聯盟Block i+1Block i+2Block i-2Block i-1Block i父級地址域號本級地址域號IP地址前綴地址域公鑰Block j-1Block jBlock j+1Block j+2Block j-1Block jBlock j+1Block j+2Block j-1Block jBlock j+1Block j+2單節點維護內容聯盟成員私鏈聯盟管理鏈圖 4.2 域間分布式共識基礎設施地址

59、域信息管理地址域需要一個地址域號（Address Domain Identity，ADID）來標識，地址域號使用 32 位的二進制數，并以 10 進制文本形式表示。為了和現有的自治域號兼容，同時為了保護自治域內部的網絡拓撲信息，在自治域內部的地址域其地址域號只需保證在當前自治域內唯一，即自治域上級包括自治域的地址域號都是唯一的，自治域之下的地址域號只在當前自治域內部保證唯一性。地址域號在地址域注冊的時候進行分配。地址域在劃分好層次之后需要進行注冊并分配地址。地址域注冊時，需要提交一個包含地址域相關信息的 CSR 文件給域間分布式共識基礎設施。地址域相關信息 CSR文件（Certificate

60、Signing Request，證書請求文件）需要使用域間分布式共識基礎設施存儲，在 CSR 文件中包含本地址域號、父級地址域號、地址域所擁有的 IP 地址前綴以及地址域的公鑰信息。當域間分布式共識基礎設施節點收到地址域提交的 CSR 文件之后，需要通過共識合約首先驗證 CSR 文件中地址域相關信息其中的父級地址域號指向的地址域是否存在，如果不存在，則不能通過該地址域的注冊請求；如果父級地址域存在了，則需要驗證父級地址域所擁有的 IP 地址前綴，是否可以包含申請注冊的地址域的 IP 地址前綴，如果不能包含或者父級地址域的 IP 地址前綴和申請注冊的地址域 IP 地址前綴完全一致，則不能通過該地

61、址域的注冊請求；如果父級地址域 IP 地址前綴可以包含申請注冊的地址域 IP 地址前綴，且父級地址域的 IP 地址前綴和申請注冊的地址域 IP 地址前綴不完全一致，則驗證本地址域號是否和已經存在的地址域的地址域號相互沖突，以及是否合法，如果沖突或者不合法，則需要重新分配一個地址域號給當前申請注冊的地址域；之后將申請注冊地址域的相關信息取出打包成塊，存儲在域間分布式共識基礎設施18第四章層次化域間源地址驗證技術上。地址域的信息管理使用分布式共識基礎設施完成，地址域相關信息在域間分布式共識基礎設施上的存儲以及域間分布式共識基礎設施的節點區塊信息如圖4.2所示的示例，每個區塊存儲的是一個或者多個地址

62、域的相關信息。域間分布式共識基礎設施是由所有地址域信任聯盟的參與方共同組建的，當有新的參與方想要加入信任聯盟的時候，需要它所要加入的鏈中已有的各參與方的確認，該確認過程需要使用共識合約，資質審核可以在線下協商完成，共識合約只負責驗證信息資質的完整性。在域間分布式共識基礎設施上存儲的信息，為了管理上的方便，這里不要求通過地址域號來體現地址域的層級關系，域間分布式共識基礎設施的管理委員會鏈由 0 級地址域的代表節點組成，存儲的是所有 0 級地址域的相關信息，每個 0 級地址域內部組成一條子鏈，存儲的是本 0 級地址域內部的分層地址域的所有的相關信息，這些信息不會區分層級關系，這些信息對于在當前的

63、0 級地址域內的所有地址域都是可見的；對于所有非該 0 級地址域的其它地址域以及外界都是不可見的，也是不該被感知的。當需要查詢某個地址域的信息時，需要提供該地址域的地址域號，并驗證該查詢節點在域間分布式共識基礎設施中具備訪問被查詢節點的權限，如果不具備相應的查詢權限，則限制操作；如果具備訪問權限，則由域間分布式共識基礎設施的查詢接口返回地址域的地址域號、父級地址域號、所擁有的 IP 地址前綴以及地址域公鑰信息。當需要刪除某個地址域的信息時，需要提供該地址域的地址域號，并使用私鑰對地址域相關信息簽名，其中信息需要嚴格匹配提交注冊時候使用的地址域號、父級地址域號、所擁有的 IP 地址前綴以及地址域

64、公鑰信息。當刪除地址域的時候，首先校驗該刪除節點在域間分布式共識基礎設施中具備刪除被刪除節點的權限，如果不具備相應的刪除權限，則限制操作；如果具備刪除權限，則使用公鑰驗證簽名之后，進行刪除，并將地址域號回收。當需要更新某個地址域的信息時，需要提供該地址域的地址域號，并使用私鑰對地址域相關信息簽名。當域間分布式共識基礎設施收到地址域更新信息的操作時，首先校驗該更新節點是否在域間分布式共識基礎設施中具備更新被更新節點的權限，如果不具備相應的更新權限，則限制操作；如果具備更新權限，則使用公鑰驗證簽名之后，需要按照創建的信息驗證流程重新驗證，通過后才可以進行地址域信息的更新。4.3控制平面SAVA-X

65、 由控制平面和數據平面共同組成?？刂破矫嫘枰瓿陕撁顺蓡T注冊與管理、狀態機協商與同步、邊界路由器配置的內容。如圖4.3所示，其中地址域的管理由域間分布式共識基礎設施完成，時間同步則在本文檔范圍之外，可以使用 RFC5905 規定的網絡時間協議（Network Time Protocol，NTP）完成各設備之間的時間同步。地址域4.3控制平面19號以及地址前綴信息同步需要保證宣告的一致性、完整性，狀態機信息域參數則是通過ACS 之間的通信進行保密協商。邊界路由器 AER 需要接收 ACS 下發的地址域號信息、地址前綴信息、標簽策略信息，并配置到自己本地，以用于域間源地址的驗證，同時也要同 ACS

66、 保持時間同步。圖 4.3 SAVA-X 控制平面本方案以標簽校驗的方式防止源地址的偽造。報文發送方在報文中加入標簽，以標識自己沒有偽造源地址。驗證方在收到報文時，檢查報文中的標簽與本地生成的標簽是否對應，如果對應，則說明報文沒有偽造。這種標簽校驗的過程，標簽自身的安全性非常重要。由于可能存在竊聽等非正常情況，標簽有可能泄露。同時，標簽的更新影響方案的安全性與性能。本方案的特征，在于能夠以極低的開銷，精細粒度地防止源 IP 地址偽造，削減DoS/DDoS 攻擊，并且支持增量部署。方案的最大特點是設計了一種在源與目的之間自動同步、更新標簽的技術，做到降低運行與管理開銷，對 DoS/DDoS 以及

67、其他基于源地址偽造的攻擊擁有很強的魯棒性。標簽通過時間同步狀態機生成，圖4.4展示的是狀態機工作原理的示意圖。協商初始狀態后，狀態機在本地運行，由時間觸發狀態遷移，同時生成標簽。狀態機在到期停止之前不需要進行額外通信，減少了方案的通信開銷以及標簽協商開銷。標簽生成算法是狀態機機制中的一個重要組成部分，實現同步狀態機生成標簽，有兩類不同的標簽生成算法：偽隨機數算法和哈希鏈算法。在偽隨機數生成算法中，通常使用一個初始的數字或字符串作為“種子”，它對應于狀態機的初始狀態。使用種子，通過某種算法如 KISS 偽隨機數算法（Keep It Simpleand Stupid），生成一個偽隨機數序列作為標簽

68、序列。KISS 算法中，狀態 S 可以表示為(x,y,z,c)。算法盒為 KISS()。每經過一次計算，狀態都經歷一次轉移 Sn=Sn+1，也即狀態中的四個分量 x,y,z,c 都發生了變化。同時，生成一個偽隨機數(x+y+z)。偽隨機數生成算法的基本設計目標主要是周期長、分布好等，并沒有或很少考慮到安全20第四章層次化域間源地址驗證技術算法盒A-Box狀態Sn時間觸發狀態Sn+1標簽Tagn生成轉移圖 4.4 狀態機工作原理示意圖因素，比如，是否可以從當前的一個或幾個隨機數逆推出種子、或者預測出下一個隨機數?；诠ｆ湹臉撕炈惴ǖ脑O計可以參見 RFC1760 和 RFC2289 規定的 S/

69、Key 一次性密鑰系統。在 S/Key 中，存在一個加密端和一個驗證端。加密端生成一個初始的 W，然后使用某種哈希算法 H()對 W 進行迭代的運算，得到一個字符串序列：H0(W),H1(W),HN(W)，其中 Hn(W)表示對 W 進行 n 次 H()的迭代運算，H0(W)=W。把狀態序列 S 定義為哈希鏈的逆序，即 Sn=HNn(W)，舉例來說，初始狀態S0=HN(W)，末狀態 SN=H0(W)=W，所以轉移函數 Transit()=H1()。與偽隨機數生成算法不同的是，在哈希鏈中，標簽就是狀態本身，即 Generate()的輸出與輸入是一致的，Tagn=Sn。下面討論的時候，暫時使用 S

70、n代替 Tagn，以為表述的方便。加密端把初始狀態 S0發送給驗證端，自己維護 S1 SN，S1 SN也是所使用的標簽序列。加密端每次發送 Sn+1到驗證端，驗證端利用自己維護的 Sn通過運算Sn+1=Transit(Sn)來檢驗加密端的標簽正確性。上面已經說明，Transit()=H1()。在應用中，通常使用一種安全的哈希算法作為 H()，而對于這些哈希算法，計算 H()很容易，但是計算 H1()卻很難。所以，驗證端收到 Sn+1后，計算 H(Sn+1)是否等于Sn，相等則說明驗證成功，否則失敗。哈希鏈具有很高的安全性，它很好的防止了逆推和預測不僅攻擊者無法逆推或預測，甚至連驗證端也不可以。

71、哈希鏈的缺點是，加密端在使用標簽前，需要把所有的標簽序列計算出來，再把序列的最后一個發給驗證端作為初始狀態。同時，加密端需要保存一整個標簽序列，雖然可以在每用完一個標簽之后刪掉它，但存儲的代價確實是不可忽略的。狀態機生成的位串以明文方式加入報文，通過驗證位串是否匹配來驗證源地址是否偽造，匹配則未偽造，否則是偽造。因此，此方案平衡了安全性和性能，能夠防止標簽猜測，安全性高且輕量高效，非常適合在路由器上實現和運行。同時本方案也支持使用控制服務器（AD Control Server，ACS）維護狀態機，通過 ACS 定期將更新的標簽下發給地址域邊界路由器，減輕路由器計算負擔，但是會加重路由器的通信開

72、銷。以明4.3控制平面21文方式直接將狀態機生成的位串作為標簽加入報文，會導致攻擊者截獲報文之后，就可以直接復用標簽，產生假陰性問題。本章第4.5節給出了 SAVA-X 的包簽名機制，用于隱藏明文標簽信息，解決上述問題。由于成員的邊界路由器之間存在著時間誤差，為保證驗證標簽方法的正確運行，需要使得聯盟內各設備向同一個時鐘基準進行校準，需要使用到 NTP 協議，該協議是互聯網絡標準的時間協議。雖然時間同步協議可以保證 AER 之間時間的同步，但是 AER之間還是可能會存在微小的時間誤差，這是不可避免的。因此，在 AER 上需要設置一個共享時間片，在該時間片內，剛剛到期的標簽與新的標簽均被認為是有

73、效的，即存在一段時間，同時有多于一個標簽有效，在做標簽驗證的時候，目的 AD 需要對所有的屬于某一源 AD 的標簽都做驗證，有一個驗證通過，就認為標簽是正確的。因此這里存在一個共享時間片的概念。假設 AER 與 ACS 的時間誤差最大為 te，我們在相鄰兩個標簽之間設置一個長度為 2te 共享時間片（Shared Time Slice），在這個共享時間片內，前后兩個標簽在驗證端均有效。加入了共享時間片的標簽有效期如圖4.5a所示。除了時間誤差以外，還應該考慮到報文在網絡中的傳輸延時。設最小延時為 tdmin，最大延時為 tdmax。則Tagn的有效期結束時間應該向后延長 tdmax，Tagn+

74、1的有效期開始時間應該向后延遲 tdmin。根據傳輸延時修正后的共享時間片和標簽有效期如圖4.5b所示，Tagn的有效期結束時間向后延了 te+tdmax，Tagn+1的有效期開始時間向前延了 te tdmin。te、tdmin、tdmax、共享時間片長度、標簽的有效期等參數由驗證端根據實際網絡環境自行確定。在這兩個“延長”的綜合作用下，實際上一個標簽的有效期為：Lifecycle=TransitionInterval+2tetdmin+tdmax。共享時間片2teTagnTagn+1Tagn 生命周期 Tagn+1 生命周期(a)加入了共享時間片的標簽有效期共享時間片2te-tdmin+td

75、maxTagnTagn+1Tagn 生命周期 Tagn+1 生命周期(b)修正后的共享時間片和標簽有效期圖 4.5 共享時間片注意，如果不能精確進行時間同步，可以按照在同一時間的同一路由器報文處理方向上，兩個新舊標簽同時有效，需要依次驗證有效的標簽。SAVA-X 在控制面除了需要實現地址域管理、狀態機維護，還需要通過控制協議將聯盟成員的信息、地址域前綴信息、狀態機信息以及標簽信息通過控制服務器（ADControl Server，ACS）下發給地址域邊界路由器。22第四章層次化域間源地址驗證技術4.4數據平面SAVA-X 的數據平面的參與主體是成員地址域的邊界路由器，它主要負責標簽的添加、驗證、

76、替換和移除，通過驗證標簽的正確性以實現對域間源地址真實性的驗證。如圖4.6所示，源端地址域在邊界路由器上對出口報文打上標簽，以傳遞源地址前綴的真實性，目的端地址域在邊界路由器上對入口報文檢查并去除標簽，以驗證所關聯源地址的真實性，標簽不一致則表明該報文是偽造，需要丟棄報文。中間節點對于標簽的替換，可以看作是先收到帶有標簽的報文，對標簽先做驗證移除，再做標簽添加的過程。源端地址域使用 Ingress Filtering（入口過濾，BCP38 和 BCP84）保證發往其他成員的報文攜帶真實的源地址（前綴）。對于源地址是本信任聯盟內的地址，目的地址也是本信任聯盟內的地址，但是沒有添加標簽或者添加標簽

77、有誤，目的端即可以認為發生了源地址偽造，直接丟棄該數據包。對于源地址是本信任聯盟之外的地址的數據包，則直接轉發。通過對標簽的驗證，地址域彼此之間可以認證，同時對聯盟外的地址域發來的偽造報文進行識別和過濾。圖 4.6 SAVA-X 數據平面標簽是通過狀態機的隨時間輪轉生成并經由 ACS 下發給 AER。地址域層級聯盟內，每一對具有同級關系的地址域（它們的直接上級地址域是同一個，如圖4.7中的AD1021,AD1024,AD1027,AD1028,AD1029）或者具有直接上下級關系的地址域（如圖4.7中的 AD1025 和 AD1021），相互之間協商一個私密的狀態機，通過狀態機同步的周期性的變

78、遷來生成不斷變化的標簽。數據包轉發以及標簽處理流程，以圖4.7為例，在同一直接上級地址域內進行通信時，則相當于是扁平式的域間源地址驗證方案，此時不需要中間端驗證替換標簽信息，如 AD1021 和 AD1027 進行通信，則只需要直接使用 標簽，源端添加、目的端驗證移除即可。在不同直接上級地址域內的兩個地址域進行通信，數據包經過地址域邊界路由器時需要進行標簽信息操作：源端添加、中間端驗證替換、目的端驗證移除。上行過程從源地址域 AD1027 發出的報文需要使用源和虛擬地址域的標簽即，這樣在數據包到達邊界地址域 AD1024 或 AD1029 時使用的都是同一標簽，得以解決數據包轉發多徑問題。在其

79、直接上級地址域進行標簽驗證替換，然后再使用直接上級與其直接上級地址域的標簽并發送，這種替換一直到數據包到達源地址域和目的地址域共同的上級地址域，即 到達AD1025 的邊界路由器替換為，到達 AD1026 的邊界路由器再替換為，到達最上層的 0 級地址域 AD1，此時需要使用平級4.5數據包簽名機制23AD1AD3AD2AD1025AD1021AD1027AD1024AD1029AD1028未部署AD1026邊界地址域AD2046邊界地址域AD2048AD2047數據包簽名1196數據包簽名10 80數據包簽名更新10 80數據包簽名更新10 80數據包簽名更新10 80數據包簽名更新10 8

80、0數據包簽名更新10 80數據包簽名更新10 800級地址域1級地址域2級地址域3級地址域圖 4.7 層次化信任聯盟的標簽即標簽。下行過程到目的地址域處理流程類似，逐級驗證替換標簽，以盡可能將偽造流量排除在目的地址域之外。由于圖中 AD3 和 AD1 以及 AD2 是同級關系，所以 AD31 或 AD3 是傳輸地址域，不參與該數據包標簽 的處理，同理 AD1028 未部署 SAVA-X，也不會參與處理。4.5數據包簽名機制SAVA-X 方案中，利用維護同步狀態機生成一致性加密標簽機制提供的端到端標記實現源地址真實性驗證，但其中的狀態機標簽是和時間相關的，狀態機由時間觸發狀態轉移，并產生新的標簽

81、，在一段時間內，所有的數據包都使用同一個標簽。而且，由于時間同步存在的細微差異，所以在一段時間內，新舊兩個標簽都是可以使用的，且標簽以明文形式填充到數據包中，這導致攻擊者可以通過簡單的復制標簽，就可以達到復用標簽，進行基于標簽的重放攻擊的目的。本方案是 SAVA-X 中防止數據包篡改的機制，通過把數據包中的部分信息和狀態機產生的標簽進行拼接并計算其 Hash 值，達到逐包簽名效果，抵御攻擊者復用標簽進行攻擊，其處理流程如下圖4.8所示。為了保證地址前綴和數據包不被仿冒、篡改，同時又可以把域內部署的源地址驗證信息可信的暴露出去，可以使用包簽名機制，通過調整簽名字段、增加新的信息位、更改標識校驗的

82、機制實現上述兩個目標。包簽名機制的格式如下圖圖4.8所示。通過對原始標簽(64bits)、源地址(128bits)、目的地址(128bits)、載荷前 8 位(8bits)、可信級別24第四章層次化域間源地址驗證技術數據包簽名可信級別可信前綴長度保留位32 bits 8 bits 8bits 16bits狀態機生成標簽目的地址載荷前n位源地址可信前綴長度可信級別附加信息Reserved附加信息類型HASH+FOLD數據包簽名計算順序和規則1.從左至右，從上到下2.不足8bits，高位補064 bits128 bits 128 bits n bits8 bits 8 bits4 bits 8 b

83、its 32 bits00：無01：SAVI10：SAVA-P11：SAVI+SAVA-P圖 4.8 AER 生成數據包的簽名機制處理流程(8bits)、可信前綴長度(8bits)、AI Type(4bits)、Reserved(8bits)、附加信息(32bits)用HASH 算法做哈希運算、并折疊得到 32 位的數據包簽名，之后再在數據包 32 位的簽名后加上 8 位的可信級別、8 位的可信前綴長度以及 16 位的填充位構造成 64 位的新的標識。其中 AI Type 字段不足 8bits，計算 HASH 時會先擴充到 8bits，在高位補零。在源地址域的路由器上，這個標識將會附加到數據包

84、的 Type=00111011 的 IPv6 DestinationOption Header 一個新建的選項格式的 Tag 字段中。在目的端接收到這個數據包之后，會再次使用本端的產生的標簽拼接上數據包中的上述信息，通過 HASH 和折疊算法得到 32 位的數據包簽名，如果這個數據包簽名和接收到的數據包標識上的數據包簽名一致，則代表該數據包未經過篡改?？尚偶墑e代表的是是否在地址域內部部署了域內方案或者接入方案，目前其取值有 4 個，00 代表沒有部署任何域內或接入方案，01 代表部署了 SAVA-A 方案，10 代表部署了 SAVA-P 方案，11 代表混合部署了 SAVA-A 和 SAVA-

85、P 方案。由于構建信任聯盟的方式只能檢測到信任聯盟外的數據包是否偽造了源地址，而無法檢測到信任聯盟內的偽造源地址數據包，其粒度可能比較粗獷，達不到用戶所需的保護驗證精度。因此需要使用 SAVA-A 或 SAVA-P 進行額外的保護，本字段表示 SAVA-X 和 SAVA-A、SAVA-P 的協同過濾情況。默認該域為 00，表示只啟用了 SAVA-X?？尚徘熬Y是在本域中能夠保證的最長的可信前綴，在啟用了 SAVA-A 或 SAVA-P 之后，可信前綴粒度得以進一步精細化。使用數據包簽名，可以防止攻擊者篡改、偽造源地址，同時原始標簽對外不可見也4.5數據包簽名機制25保證了原始標簽的安全，做到了“

86、逐包簽名”，保證了攻擊者無法直接復用標簽，也無法篡改數據報文。第五章系統實現與典型應用5.1系統實現目前已經在 Linux 服務器上實現了 SAVA-X 的控制平面 ACS 的基本功能，但尚未接入聯盟鏈功能；在新華三和華為的核心路由器平臺上實現了 SAVA-X 的數據平面AER 的基本功能。在劃分好層次化地址域后，啟動 SAVA-X 時，需要先行啟動 SAVA-X 的 ACS 服務器，然后再啟動 AER 邊界路由器。5.1.1控制服務器端實現由于 ACS 尚未接入聯盟鏈維護地址域的功能，因此地址域信息是通過文件的形式存在于本地的。在啟動 ACS 之前，需要先行配置地址域信息。ACS 和 AER

87、 通信需要使用 OPENSSL 3.X 版本，以保護控制服務器和邊界路由器之間的通信安全。編譯完成后，以 root 用戶，使用下述命令可以啟動 ACS 控制服務器。啟動前需要向某一時間基準服務器矯正時間，以實現時間同步。1saviacs-ca ACS_IPv6_ADDRESS啟動后 ACS 控制服務器分為后臺和前臺，在前臺交互端使用下述命令分別配置地址域的類型、當前地址域所在 0 級地址域號、自身地址域號類型及地址域號，以便于服務器在配置文件中定位地址域信息及判斷和其它地址域關系。1settype AD_TYPE2setsuballi ADID_OF_LEVEL_03setad ADID_TY

88、PE ADIDACS 啟動后讀取地址域信息，會自動與相關 ACS 建立連接，維護狀態機并生成標簽?？梢允褂孟率雒罘謩e查看和其它設備的連接情況、ACS 自身信息、地址域信息、地址域前綴信息、狀態機信息、以及標簽信息。265.1系統實現271linkstat#link state info2show 2#current ACS info3show 3#ARI info4show 4#API info5show 5#state machine info6show 6#tag info待查看 ACS 的相關信息沒問題之后，使用下述命令可添加 AER，以向其發送地址域信息和標簽信息，用于啟用 SAVA

89、-X 的數據平面功能。1addaer AER_ADDRESS AD_LEVEL5.1.2核心路由器端實現目前已經在新華三的 CR19000 核心路由器平臺和華為 NetEngine 8000 核心路由器平臺實現了 SAVA-X 的數據平面功能。(a)新華三 CR19000 設備(b)華為 NetEngine 8000 設備圖 5.1 路由器設備28第五章系統實現與典型應用待路由器加電啟動后，默認情況下 SAVA-X 功能是關閉的，需要網絡管理員手動打開后再進行相關配置。開啟 SAVA-X 前需要向某一時間基準服務器矯正時間，以實現各設備之間的時間同步。時間同步是設備獨立于 SAVA-X 的功能

90、，超出本文配置設置范圍，請參照各設備手冊進行操作。由于新華三和華為設備命令略有不同，下面分別進行介紹。新華三路由器配置開啟 SAVA-X 功能需要進入路由器的系統視圖，然后使能 SAVA-X 功能。使能后，后續命令若沒有明確指明，皆在 SMA 視圖下進行配置。1 system-view2H3C sma-anti-spoof ipv6 enable在成功使能 SAVA-X 功能后，使用下述命令，配置 AER 地址、ACS 地址以及地址域級別，以和 ACS 之間建立 TCP 連接用于接收 ACS 下發信息。在默認情況下不會使用 SSL 對 TCP 通信進行保護，建議配置時啟用 SSL 相關配置，即

91、配置 SSL 策略名稱?？梢耘渲枚鄠€ ACS 地址，這取決于 AER 所處位置和層級。1H3C sma-anti-spoof ipv6 server ACS_IPv6_ADDRESS clientAER_IPv6_ADDRESS ssl-client-policy POLICY_NAME address-domain-level AD_LEVEL使用下述命令分別配置本地址域號和 0 級地址域號，以確定 AER 所處于層級地址域信任聯盟中的位置。1H3C sma-anti-spoof ipv6 address-domain ADID2H3C sma-anti-spoof ipv6 sub-all

92、iance ADID_OF_LEVEL_0進入要配置路由器的接口的接口視圖，使用下述命令配置接口類型。如果是 ingress類型，則無需指明其層級；如果是 egress 類型，則需要指明當前接口所在層級，以用于層級標簽驗證替換。1H3C interface INTF_TYPE INTF_NUMBER2H3C-INTF_TYPE_NUMBER sma-anti-spoof ipv6 port-type ingress|egress level LEVEL_VALUE 在默認情況下，AER 對于 ACS 的通信報文是全放行狀態，以用于 ACS 或者 AER宕機后 SAVA-X 功能的重建工作，稱之

93、為“綠色通道”。使用下述命令可以關閉“綠色通道”功能。1H3C sma-anti-spoof ipv6 filter enable5.1系統實現29在 AER 接收到 ACS 下發的地址域信息、標簽信息后，可使用以下命令分別查看。通過指定特定級別的 ACS，可以只查看當前級別的 ACS 下發下來的地址域前綴信息和標簽信息。1H3C display sma-anti-spoof ipv6 address-prefix acs address-domain-level AD_LEVEL 2H3C display sma-anti-spoof ipv6 packet-tag acs address-

94、domain-level AD_LEVEL 華為路由器配置華為路由器命令配置和華三路由器略有不同。華為路由器命令執行完畢后，并不會立刻生效，需要執行“commit”后才會生效。本文為求簡略，只在最后進行統一提交配置使之生效。開啟 SAVA-X 功能需要進入系統視圖，然后再進入 SMA 視圖，才能使能 SAVA-X功能。執行“sma”命令進入 SMA 視圖后，通過配置“sma enable”命令使能 AER 設備的 SAVA-X 功能。使能后，后續命令若沒有明確指明，皆在 SMA 視圖下進行配置。1 system-view2HUAWEI sma3*HUAWEI-sma sma enable使能

95、SAVA-X 功能后，使用下述命令為 AER 設備配置 ACS 控制服務器的地址。在成功使能 SAVA-X 功能后，使用下述命令，配置 AER 地址、ACS 地址以及地址域級別，以和 ACS 之間建立 TCP 連接用于接收 ACS 下發信息?？梢耘渲枚鄠€ ACS 地址，這取決于 AER 所處位置和層級。1*HUAWEI-sma server ipv6 address ACS_IPv6_ADDRESS進入要配置路由器的接口的接口視圖，使用下述命令配置接口類型，以用于層級標簽驗證替換。不同于新華三路由器，ingress 和 egress 接口皆需指明層級值。1*HUAWEI interface I

96、NTF_TYPE INTF_NUMBER2*HUAWEI-INTF_TYPE_NUMBER sma role ingress|egress levelLEVEL_VALUE默認情況下，SAVA-X 工作在“綠色通道”狀態下，使能過濾模式則會關閉“綠色通道”。下述命令用于配置過濾模式，該命令是可選的。1*HUAWEI-sma filter enable30第五章系統實現與典型應用在配置完成后，需要提交配置使得配置生效。1*HUAWEI-sma commit在 AER 端可使用下述命令分別查看 ACS 連接狀態、前綴攜帶的地址域列表信息、前綴信息、ingress 或 egress 接口信息、標簽信

97、息、統計信息。其中統計信息可以是前綴信息、標簽信息、KeepAlive 報文信息或者未知類型信息。以下命令在所有視圖皆可使用。1 display sma acs peer2 display sma adidlist3 display sma prefix inactive|active 4 display sma interface5 display sma tag6 display sma statistics prefix|tag|alive|unknown acs ACS_IPv6_ADDRESS5.2典型應用本節將以教育網為例，介紹部署 SAVA-X 實現域間源地址驗證，建立真實可信網

98、絡，同時依托于 SAVA-X 構建高價值網絡防御系統。5.2.1真實可信網絡如圖5.2所示，按照 SAVA-X 的層次化信任聯盟設計，教育網 CERNET 可以建立 4級的信任聯盟：頂級信任聯盟為 CERNET，可以和移動、聯通、電信等國內主流運營商網絡構成0 級地址域信任聯盟；CERNET 內部依據地理位置，將 CERNET 劃分為不同地區的子網，各個子網構成 1 級地址域信任聯盟；同一個子網下將不同的大學劃分為 2 級地址域信任聯盟；同一大學下不同學院可以劃分為 3 級地址域信任聯盟。通過在 CERNET 部署層次化的 SAVA-X 域間源地址驗證技術，即可保證在教育網內各個大學的地址前綴

99、都是真實可信的，各部署者大學相互之間無法發送偽造源地址的報文。前期建議優先在骨干節點間進行部署，可以有效縮減網絡中偽造源地址流量，為部署者提供最大化的收益。5.2典型應用31子信任聯盟A(CERNET)子信任聯盟B子信任聯盟C(運營商網絡)清華北大精儀系計算機系天津北京江蘇南大0級地址域1級地址域2級地址域3級地址域圖 5.2 教育網部署 SAVA-X 層級結構示例5.2.2高價值網絡防御對于一些高價值的網絡，本身凝聚了大量有價值的設備、數據、連接，比如各個大學購買的數據庫服務、各個院系的實驗數據等。而這些網絡在接入公共網絡，方便內部人員在外部訪問的同時，也容易成為攻擊者的攻擊目標，面臨諸如惡

100、意攻擊、木馬、蠕蟲病毒等混合威脅。在未部署 SAVA-X 方案時，在網絡外部訪問這類網絡的人員，大多是通過 VPN（Virtual Private Network，虛擬專用網絡）的方式進行接入。VPN 通過創建隧道、加密訪問內容、進行身份驗證等多重方式保證訪問的安全性。但是過度信賴 VPN 的問題主要有：VPN 是不安全的。連接到 VPN 之后，網絡本身就對連接者放開了。如果攻擊者獲取了 VPN 賬號和密碼，就能任意訪問網絡中的任何數據；VPN 需要通信雙方事先搭好隧道才能訪問網絡。隧道隱藏了訪問者的信息，無法對訪問者的真實 IP 進行定位，也難以實現對訪問者進行動態的權限設置；VPN 的提供

101、商本身資質存在良莠不齊的可能性。因此單獨使用 VPN，并不能保證安全可信可靠地訪問內部網絡。聯合使用 SAVA-X，則可以依據網絡的重要程度，將高價值網絡劃分為層次化的地址域，只有符合特定規則（例如前綴內容和前綴長度）的地址，才被允許訪問特定網絡，進而實現動態的權限控制管理。32第五章系統實現與典型應用我們正在 IETF 推動聯合使用 RPKI（Resource Public Key Infrastructure，資源公鑰基礎設施）以及 IPsec（IP Security，IP 安全）來實現自治域間源地址驗證。RPKI 用于綁定自治域編號和分配給自治域的地址前綴信息，通過簡單擴展 RPKI，使

102、之能夠存儲自治域的編號以及自治域聯系服務器的 IP 地址，使得 RPKI 為域間源地址驗證提供廣播本自治域支持 SAVA-X 技術以及廣播聯系服務器 IP 地址的服務。自治域聯系服務器的 IP 地址即自治域控制服務器的 IP 地址，用于代表自治域同其它地址域建立連接關系。IPsec 存在兩種模式：傳輸模式和隧道模式。傳輸模式是以輕量化的方式，賦予IPsec AH（Authentication Header，認證頭）報文新的保護自治域間源地址真實性的能力。隧道模式則使用 IPsec ESP（Encapsulating Security Payload，封裝安全載荷），通過對通信流量進行加密保證報

103、文的隱私安全。協商密鑰的方式仍是使用互聯網密鑰交換協議（Internet Key Exchange，IKE）。我們提出的擴展使用 static-static ECDH（EllipticCurve DiffieHellman，橢圓曲線迪菲-赫爾曼秘鑰交換）協商以及基于時間同步狀態機的密鑰輪換，則可以將 IKE 協商的 4 次消息傳遞過程縮減為 0 次，不過為了和現有協議兼容，暫時將這一部分作為了可選項內容提供。聯合使用 RPKI 和 IPsec，需要兩個自治域各自在 RPKI 中宣告本自治域支持SAVA-X 技術，同時獲取對端聯系服務器的 IP 地址，聯系服務器之間通過 IKE 協商SA（Sec

104、urity Association，安全關聯）包含安全參數。將依據安全參數生成的密鑰分發給邊界路由器，即可實現通信時使用支持真實源地址驗證的 IPsec。在只需要使用真實源地址服務時，則可以使用 IPsec 傳輸模式，實現域間源地址驗證，保證地址真實可信。需要聯合使用 VPN 以及 SAVA-X 的用戶，則需要使用 IPsec 隧道模式，實現高價值網絡的動態防御和流量控制。第六章標準化進展目前 SAVA-X 技術已經成熟，方案已經完備，正處于標準化階段。在中國通信標準化協會 CCSA 提出了 SAVA-X 系列標準，當前已經在工信部發布5 項，分別是：1.域間源地址驗證(SAVA-X)技術要求

105、第 1 部分：控制平面（YD/T 4432.1-2023）；2.域間源地址驗證(SAVA-X)技術要求第 2 部分：數據平面（YD/T 4432.2-2023）；3.域間源地址驗證(SAVA-X)技術要求第 3 部分：控制服務器和邊界路由器通信協議（YD/T 4432.3-2023）；4.域間源地址驗證(SAVA-X)技術要求第 4 部分：地址域的創建、選擇和注冊指南（YD/T 4432.4-2023）；5.域間源地址驗證(SAVA-X)技術要求第 5 部分：地址域部署（YD/T 4432.5-2023）。已經在 CCSA 協會立項 2 項，分別是：1.域間源地址驗證(SAVA-X)技術要求第

106、 6 部分：OAM；2.域間源地址驗證(SAVA-X)技術要求第 7 部分：基于 IPsec AH 報文。已經在 IETF 提交 draft 文稿 4 項，分別是：1.Control Plane of Inter-Domain Source Address Validation Architecture；2.Data Plane of Inter-Domain Source Address Validation Architecture；3.Communication Protocol Between the AD Control Server and the AD Edge Routerof

107、 Inter-Domain Source Address Validation Architecture；4.An RPKI and IPsec-based AS-to-AS Approach for Source Address Validation。33附錄 A縮略語列表縮略語解釋ACS控制服務器（AD Control Server）AD地址域（Address Domain）ADID地址域號（Address Domain Identity）AER地址域邊界路由器（AD Edge Router）AH認證頭（Authentication Header）AS自治域（Autonomous Syst

108、em）CSR證書請求文件（Certificate Signing Request）DDoS分布式拒絕服務攻擊（Distributed Denial of Service）DoS拒絕服務攻擊（Denial of Service）ECDH橢圓曲線迪菲-赫爾曼秘鑰交換（Elliptic Curve DiffieHellman）ESP封裝安全載荷（Encapsulating Security Payload）IETF互聯網工程任務組（Internet Engineering Task Force）IKE互聯網密鑰交換（Internet Key Exchange）IP互聯網協議（Internet Pro

109、tocol）IPsecIP 安全（IP Security）ISP互聯網服務提供商（Internet Service Provider）NAT網絡地址轉換（Network Address Translation）NTP網絡時間協議（Network Time Protocol）RPKI資源公鑰基礎設施（Resource Public Key Infrastructure）SAVA源地址驗證體系結構（Source Address Validation Architecture）SAVA-A接入層源地址驗證體系結構（SAVA-Access）SAVA-P域內層源地址驗證體系結構（SAVA-Prefix）SAVA-X域間層源地址驗證體系結構（SAVA-eXternal）SMA基于狀態機的域間源地址驗證技術（State Machine-based Anti-spoofing）TAE-AD聯盟邊界地址域（Trust Alliance Edge AD）V_AD虛擬地址域（Virtual AD）VPN虛擬專用網（Virtual Private Network）34附錄 B編寫組成員名單清華大學徐恪、吳建平、郭陽飛、王曉亮華為技術有限公司陳克虎、韓爽、劉立全新華三技術有限公司李昊、吳斌、常向青35