缺乏对源地址真实性的验证机制是当前互联网体系结构存在的一个重大安全设计缺陷。当前互联网面临的主要安全威胁中,以伪造源地址为基础的攻击手段(如身份哄骗、中间人攻击、分布式拒绝服务攻击、路由劫持、域名系统缓存投毒等)占据了重要地位,对互联网的安全性和可用性造成极大的破坏,使得网络的安全可信面临极大的挑战,真实源地址验证成为亟需突破的互联网核心技术之一。
源地址验证体系结构将源地址验证技术分为了三个层次:接入网层、地址域内层、地址域间层。其中地址域间层处于多个不同网络运营商的管理范围,网络连接复杂多变,网络用户缺乏信任,同时域间网络往往是网络的核心所在,承担的流量极其庞大,需要平衡效率和安全,因此需要一套简单、轻量、高效的机制,以抵御域间源地址伪造攻击。
域间源地址验证(SAVA-X)方案构建了层次化信任联盟机制,将现有网络按照一定的标准,划分为层次化可自嵌套的地址域层级联盟;通过联盟链维护地址域数字资源信息,保证地址域信息真实可靠不可篡改;地址域之间两两维护一对时间同步状态机,通过时间触发状态机的状态迁移同时生成加密标签,实现无通信开销的标签轮换机制。在数据面通信时,地址域的边界路由器处理数据包中携带的标签,源端地址域添加标签、中间地址域验证替换标签、目的端地址域验证移除标签,通过标签的正确性,保证源地址的真实性,实现域间源地址验证。
清华大学联合华为和新华三,共同攻关真实源地址验证关键技术,目前已经完成了体系结构的总体设计和支撑平台的研发,华为的NE8000系列核心路由器,新华三的CR16000和CR19000系列核心路由器均已经支持域间源地址验证能力,可以开展现网实验并支持实际商业化部署。
自1967年美国实施ARPANET计划以来,互联网从最初的4个主机节点发展到了今天的全球自治互联。互联网成功渗入了政治外交、经济金融、军事战争、社会生活、文化娱乐等各个方面,互联网的持续发展极大的便利了人们的生产生活,促进了社会的长足进步和经济的持续发展,已成为最重要的人类社会信息基础设施和国家战略资源。
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入查阅下载3万+精选资料,年享1万+精选更新
(星球内含更多未发布精选报告.其它事宜可联系zzxz_88@163.com)
