运营商网络源地址验证能力增强方案

互联网架构设计之初未考虑对IP数据包中源地址进行可信验证,这在后续网络发展中逐渐凸显为安全风险。源地址验证技术不断推陈出新,近年来业界提出了基于路由协议扩展通告消息并生成独立源地址验证表的分布式源地址验证机制,但仍受限于非对称路由、设备异构及局部升级等问题,同时缺乏可视化与能力开放。文章结合运营商网络实际情况,提出一种基于网络控制器的源地址验证能力增强方案,旨在自适应地提升自治域内和自治域间的源地址验证准确性,强化网络的感知、检测与分析能力。文章首先概述源地址验证的技术体系与发展历程,其次分析运营商网络源地址验证技术的部署情况与能力要求,再次阐述所提方案的系统架构与关键技术,最后对未来源地址验证技术发展给予展望,为构建更安全、高效的下一代网络架构提供方向建议。

一种基于IPv6的物联网分布式源地址验证方案

作者在融合物联网的新一代互联网网络环境下,提出了基于IPv6的源地址验证整体架构.基于该架构,考虑物联网节点资源受限特点,并结合物联网末梢网络的拓扑形态及其路由方式上的特征,设计了基于IPv6的物联网末梢网络分布式源地址验证方案.分别讨论了静态指定、SLAAC(Stateless Address AutoConfiguration)、DHCPv6(Dynamic Host Configuration Protocol Version 6)以及DHCPv6与SLAAC混合情况下的物联网节点IP地址分配及其验证机制.模拟实验表明,该方案仅以微小的代价实现了物联网节点IP地址的分配,同时还保证了物联网节点之间、物联网节点与互联网端系统之间端到端通信时双方IP地址的真实可靠性,从而整体上增强了物联网的安全性.

基于SAVI的IPv6校园网源地址验证方案及其实现

接入网源地址验证技术SAVI是实现网络端系统IP地址一级的细粒度的源地址验证技术。基于SAVI技术,研究并实现了IPv6校园网的源地址验证方案。在校园网IPv6试验网的测试应用中,该方案有效实现了真实源地址验证,可从源头上保证接入网络的安全性。

IPv6网络自治系统间源地址验证技术研究

现有互联网的寻址体系结构对接收和转发的IP分组的源地址并不进行严格的检查,很容易伪造IP分组的源地址。本文提出了在IPv6网络下在自治系统间实现源地址验证的方法,其对IPv6网络的安全,计费,管理和应用都会有所帮助。针对进行源地址验证的两个自治系统直接互联的情况,提出了基于自治系统互联关系的验证方法,针对进行源地址验证的两个自治系统非直接互联的情况,提出了基于签名的验证方法。本文阐述了其设计,实现,以及在CNGI-CERNEF2,一个大规模纯IPv6主干网上部署的情况。

基于流认证的IPv6接入子网主机源地址验证

提出了一种以密码学方法实现的IPv6接入子网主机高速源地址验证方案。把主机MAC地址作为身份同主机公钥相绑定,利用密码生成地址算法从主机公钥衍生出IPv6接入子网地址,通过数字签名提供主机真实性的验证,以消息认证码和流认证技术实现接入网关对数据分组流IPv6地址的快速安全的验证。原型系统实验表明,该方案能够以低开销实现数据分组源地址验证,是一种安全、可行的方案。

基于边界路由动态同步的互联网地址域内真实源地址验证方法

互联网架构设计之初,假设所有网络成员都是可信的,并没有充分考虑不可信网络成员带来的安全威胁。在很长一段时间内,路由器只根据报文的目的IP地址转发消息,不对报文的源IP地址的真实性进行验证。数据分组真实性验证的缺乏会导致报文头部信息被恶意篡改。提出了基于边界路由动态同步的互联网地址域内真实源地址验证方法。该机制基于前缀拓扑信息同步的方法构建过滤表,解决了路由不对称导致过滤表和实际路由状态不一致的问题,避免了验证过程中的假阳性和假阴性,实现了低开销、低时延的地址域内IP地址前缀级粒度的真实源地址验证。

IPv6源地址和网络业务验证体系结构

针对网络中存在的伪造源地址攻击和一些垃圾流量所造成的网络拥塞问题,提出了一种IPv6源地址和网络业务验证体系结构。该体系结构设置了一个管理服务器来安全管理密钥和处理用户请求,合法用户通过从管理服务器处获得的主机密钥来生成一个消息认证码,并将其嵌入数据包扩展首部中,关键路由器通过验证该消息认证码,来验证源地址和业务的合法性。该体系结构对真实IPv6源地址验证体系结构进行了扩展,实现了对主机源地址及网络业务合法性的同时验证,有效地减少了网络中的垃圾流量。

采用源地址验证选项的IPv6源地址验证研究

针对加密认证的源地址验证方法只能在目的主机或者目的自治系统之间进行的问题,提出一种IPv6源地址验证方案。设计逐跳选项扩展首部的新选项,用以存储源地址验证信息。利用Hash运算,将源IP地址生成验证信息,并添加到所设计的源地址验证选项中,从而使得数据包传输途径的每一跳路由器都可以对源地址进行检验。该方案将基于加密认证的源地址验证方法扩展到数据传输的全过程,并针对网络层次性结构,提出进一步的改进考虑。

一种IPv4/IPv6过渡场景下IP源地址验证及追溯通用性框架方案

IP源地址欺骗是互联网安全问题的主要根源之一,目前已有方案仅关注IPv4或IPv6单协议栈等简单的网络场景,鲜有文献对IPv4向IPv6过渡场景下的源地址验证及追溯问题予以研究。鉴于IPv4/IPv6过渡阶段的长期性和必然性,本文提出一种基于SAVI(Source Address Validation Improvement)技术的IPv4/IPv6过渡场景下IP源地址验证及追溯的通用性框架方案。该方案通过提取现有IPv4/IPv6过渡方案中共有而本质的特征属性,并利用SAVI技术的扩展,达到了对不同属性组合过渡场景下IP源地址验证及追溯的目的。通过对主要IPv4/IPv6过渡方案的验证证明了本框架方案的合理性,同时因本方案能够支持IPv4/IPv6过渡所需的所有机制要素,故对未来可能出现的过渡场景也具有适应性。

基于OpenFlow架构的域内源地址验证方法

源地址验证对网络安全、管理和计量都有重要意义.清华大学提出包括接入子网、域内和域间三个层次的源地址验证体系结构.其中域内用到一种基于集中计算路径的方法,但在传统网络环境限制下,其实现遇到很多问题.本文将利用软件定义网络对网络革新的便捷支持,基于OpenFlow网络对域内源地址验证方法进行重新设计与实现,并提出两种方案.一种是在已有路由表的基础上计算出域内任意两个子前缀间的路径并生成源地址前缀、目的地址前缀和入接口三元组作为过滤规则;另一种方案是重新设计新的路由算法,生成同时具有路由功能和验证源地址功能的四元组(源地址前缀、目的地址前缀、入接口和出接口)流表.并分别对两种方案做出对比,给出实验结果.

互联网自治域间IP源地址验证技术综述

当前,互联网是基于目的地址转发,对源地址不作验证.而互联网很多安全问题的根源在于源地址的不可信.另一方面,随着互联网规模和复杂度的增大以及对政治、经济利益影响的加深,域间路由系统对互联网的稳定运行起着愈发关键的作用.美国国土安全部将域间路由安全问题列入了美国信息安全的国家战略.近年来,以IP源地址伪造为主要方式的分布式拒绝服务攻击不断地对互联网的安全性和可用性造成极大的破坏,这其中,以跨越多个管理域和国家的攻击最为频繁.因此,建立以自治域为单位的源地址验证防御体系,对互联网的安全意义重大.尽管在相关的标准和研究领域已经提出了多种域间源地址验证技术,但是目前仍未有适用于大规模部署的技术方案.对域间源地址验证的已有研究和标准进展进行了细致的梳理.首先,分析了源地址安全性缺失的原因及后果,结合国际标准化领域的研究现状,指出了域间源地址验证的重要意义;其次,从域间源地址验证技术的特征类别入手,对已有各类研究成果的技术原理和优缺点进行了深入的总结,对研究的演进脉络进行了详细的分析,并在此基础上提出了目前域间源地址验证技术面临的困境及原因;最后,提出了域间源地址验证技术未来可能的研究发展方向及设计原则建议,为后续相关研究工作的开展提供了参考.

SAVI DHCPv6数据报文源地址验证方法研究

由于现今的网络缺乏源地址验证机制,导致多种依靠IP欺骗的恶意攻击时有发生。在DHCPv6场景中防止IP欺骗的源地址验证改进(SAVI)工作,目前正由互联网工程任务组(IETF)驱动,但尚未给出确切的源地址验证方法。为此,提出两个验证方法:改进的多比特Trie树算法和改进的哈希查找算法,实现了SAVI DHCPv6的仿真系统,并使用该系统进行不同验证方法的对比实验。结果表明,提出的两种改进方法比顺序查找方法具有更优的时间性能。

互联网域间源地址验证的可部署性评价模型

近年来,IP源地址伪造被频繁应用于网络攻击中,对互联网安全造成极大威胁.域间源地址验证方法通过对IP报文进行自治域级别的验证来防御这类网络攻击.学术界提出了这类方法的评价指标,并依照该指标设计出很多新的方法.然而,这些方法尽管指标值优秀,却无一能在实际中得到互联网服务提供商的广泛部署.究其原因,是现有评价指标主要关注互联网整体的安全性,而没有考虑到互联网服务提供商的个体利益.文中首次从互联网服务提供商的经济诉求出发,研究域间源地址验证方法的可部署性评价模型.作者提出将部署收益、部署开销和运维风险作为可部署性评价的3项基本指标,并给出其形式化定义;从理论上证明了该指标体系的合理性;建立了评价模型,为每个指标设计了完善的量化评价方法;以现有著名域间源地址方法的部署收益评价为例,展示了将理论模型应用于方法评价的具体流程,并对评价结果进行深入分析;最后,作者讨论了方法可部署性与互联网整体安全性的关系、方法设计的优化目标以及如何应用模型指导方法的设计.该评价模型的提出,对于设计更易于部署的方法具有指导意义,并有利于促进域间源地址验证方法在互联网的部署.

国内互联网真实源地址验证研究进展

为了分析我国源地址验证研究领域的研究现状、发展趋势和研究热点,梳理源地址验证研究的发展趋势,以推进国家网络数据可信化传输研究的进一步深入.以中国知网数据库收录的基于源地址验证研究的论文文献为研究的数据来源,应用文献计量学和科学知识图谱两种方法,采用可视化工具CiteSpace对研究样本进行信息统计、共引统计和聚类分析,绘制出该研究领域的文献年际变化图和共现聚类、时序分布的知识图谱,从而进行科学性分析.研究表明国内的源地址验证研究趋于动态发展,趋势平稳向好;核心研究力量:以吴建平教授为首,毕军、徐恪等为重要研究专家和以清华大学为首,解放军信息工程大学、中国科学院大学等为重要的研究机构;下一代互联网、软件定义网络等为重要的新兴研究热点,体现了源地址验证研究的未来研究方向及发展趋势.

真实IPv6源地址验证技术研究

真实IPv6源地址验证体系结构(SAVA)包括接入网真实IPv6源地址验证、域内真实IPv6源地址验证和域间真实IPv6源地址验证,通过在三个不同网络层级对IPv6分组源地址进行验证,丢弃伪造IPv6源地址的分组,保证了分组源地址的真实可靠性,对提升IPv6网络的安全性具有重要意义。

面向SDN的源地址验证方法研究

当前互联网上出现越来越多的基于源地址欺骗的网络攻击,这类攻击很难被追查,对网络安全造成巨大威胁。在传统网络条件的限制下,实现源地址验证会遇到很多困难。得益于软件定义网络(SDN)带来的网络革新,网络控制变得更加便捷。面向SDN架构,利用可编程控制器对源地址验证方法进行重新设计和实现,提出两种面向SDN的源地址验证方法:一种是将无状态的IP地址与底层不可变标记如MAC地址、端口号绑定起来,在交换机中形成(MAC地址,端口号,源IP地址)三元组流表的过滤规则;另一种是利用最短路径算法计算路由路径,向路径上交换机下发(源IP地址,目的 IP地址,入端口,出端口)四元组流表作为过滤准则。最后进行仿真实验,比较两种方案的实验结果。

软件定义网络中源地址验证绑定表安全

为了提高软件定义网络(SDN)中IPv6源地址验证(SAVI)绑定表的安全性,从地址分配机制(AAM)消息验证、绑定项更新和拒绝服务(DoS)攻击防御三方面对绑定表进行保护.基于SDN控制器构建AAM消息验证表,记录交换机端口、MAC地址、主机IP地址等信息;建立DHCPv6和SLAAC这2种地址配置报文的验证模型,下发流表监听路由器通告(RA)消息,获取DHCPv6 request/reply报文和NS/NA报文,基于AAM消息验证表验证报文中的地址信息;针对网络的动态变化建立绑定信息监听和更新机制,监听主机离线或者主机IP失效事件,及时更新绑定信息,保证绑定表和实际网络信息的一致性;基于OpenFlow多级流表建立交换机端口限速表,防止拒绝服务攻击.实验结果表明,本方案能够有效防御多种针对绑定表的伪造AAM报文攻击,及时更新绑定表信息,提高AAM消息的处理效率.

IPv6下基于源地址验证的DRDoS攻击防御方案研究

在网络攻击日益泛滥的今天,分布式拒绝服务攻击带来的危害持续上升,其中最为典型的就是DRDoS攻击(分布式反射拒绝服务攻击),IPv6网络也面临这样的危险。为了应对DRDoS攻击带来的严峻安全形势,保障下一代互联网通信的健康安全,在IPv4接入网源地址验证的基础上进行了改进。结合IPv6网络特点实现动态过滤,引入域内攻击测试服务器对数据包源地址进行验证。实验结果表明,该方案能有效识别伪造源地址的数据包,进而实现对DDRoS攻击的有效防御。

基于SAVI的IPv6源地址验证研究

本文介绍了一种基于SAVI的IPv6接入网源地址验证的体系、原理、相关协议及具体实现,以解决现有的互联网寻址体系对IP数据包的源地址不做检查,很容易出现伪造源地址的安全问题。

真实IPv6源地址验证体系结构

本文介绍了真实IPv6源地址验证体系结构的原理、研究方向和具体实现。