文/李杰 张建军 郑志延

互联网是当今世界最具规模和影响力的巨型信息系统，是人类社会不可或缺的信息基础设施，全球80%以上的信息都是通过以IP（Internet Protocol）为基础的互联网来传输，自2007年以来互联网对全球经济增长的贡献更是达到了20%。近年来，体系结构上的不断革新，创新应用不断涌现，越来越多的线下活动不断向网上迁移，无处不在的网际互连将人类社会更加紧密地联系起来，都加快了互联网发展壮大的步伐，以深远的影响力辐射到人类社会包括经济、政治、军事、日常生活工作的诸多方面，逐渐改变着人类生产和生活方式。然而，目前的网络寻址服务只是停留在尽力而为的向目的端转发的层次，而达不到确保源端可信任的高度。这种结构性缺陷可被恶意攻击者加以利用，通过伪造分组IP源地址假冒源端用户来实施不法攻击（IP Spoofing），而接收方却不能判别分组携带的IP源地址（以下简称源地址）的真实性，也无法相应地判定分组是否来自真实发送方，致使互联网无法向使用者提供可信任的网络服务及应用，尤其是无法保障对可信任要求较高的电子商务、私密通信、技术合作、远程医疗等网络服务和应用。

基于路由信息的源地址验证技术

自治域（AS）间IPv4/IPv6真实源地址验证，其目标是确保自治域间往来分组的源IP地址可信可靠，由于自治域是封闭独立的管理域，管理者通常会综合考虑其自身的经济、政治、军事等多维利益，更多是不透明的、非对称的独立决策，因此这一层次的源地址验证也更加棘手，也是整个可信任的互联网体系结构中最为复杂的。基于路由信息的源地址验证是一种主动防御的验证策略，旨在将伪造分组过滤在到达目的端之前的中间网络中，该类方法通常检查携带某一IP源地址的分组到来的路由路径（或入射接口）与拥有该IP源地址的网络实体发出的真实分组实际到来路由路径（或入射接口）是否匹配来完成真实IP源地址的检查。该类方法的实现中，验证实体的控制层面通常设计有获取真实分组实际到来路由路径（或入射接口）的机制，进而生成检查分组IP源地址真实性的验证规则，并将验证规则装载和配置在验证实体的数据层面，当分组到来时完成分组的IP源地址真实性验证。从技术层面上讲，获取真实分组实际到来路由路径（或入射接口）信息是机制核心机制，适应路由动态变化触发分组转发路径信息的自适应更新是关键技术。获取真实分组实际到来路由路径（或入射接口）信息可由参与部署该类方法的网络实体的管理者静态配置，也可借助现有路由协议学习获得，还可研发新型的专用网络协议交互协作来完成真实分组实际到来路由路径（或入射接口）信息的学习过程。近年来，基于路由信息的域间真实源地址验证方法研究取得了一些有益的进展，典型的有Ingress Filtering、DPF和SAVE等。Ingress Filtering机制的实现思想是在网络边界路由设备上配置合法IP源地址前缀空间作为对接收到分组是否准许放行的判定规则（验证规则）。DPF依赖的是接收到的入站分组携带的IP源地址与入站接口的映射来判定分组携带的IP源地址的真实性，其中如何借助路由系统获取这样的映射关系是难点问题，然而，DPF的研究并未阐述运用何种方法和技术建立这种映射关系，研究是建立在验证规则已经形成的假设上展开的。SAVE设计了全新协议，在继承了传统域内/域间路由协议控制平面和数据平面的功能的基础上，通过新协议功能的支持在网络中传递用于生成源地址验证规则的路由路径信息，部署SAVE的路由设备向其RIB/FIB中每条表项记录的网络层可达地址前缀发送通告本地网络所辖的源地址空间的SAVE Update报文。然而上述方法由于缺乏域间合作机制，导致收集的分组转发路由路径信息不完整，相应地生成的验证规则准确性也不高，影响验证方法的实用价值。

RSF机制的分布式域间源地址验证

主要原理

在基于路由路径的域间源地址验证方法中，控制平面是验证系统生成、存储和维护验证规则的核心载体，当部署节点规模增大后，验证方法需要保护的合法用户地址空间随之增大，网络和用户对控制平面生成的真实性判定依据即验证规则的准确性和效率要求也随之升高，为了提高验证方法的准确性和执行效率，基于路由路径的验证机制设计上须施加增强确保合法分组能够最终被目的端接收的机制。对于基于路由路径验证的研究方向上，验证规则的生成主要有两种途径：一是本地独立预测；二是开展域间合作。其中，相对于本地独立预测，由自治域相互辅助共享选路策略信息，完成对于分组实际转发路径的学习获取、协同生成验证规则的方式，能够确保每个部署自治域的控制平面获取较为全面的验证规则信息，数据平面可以依据较为完善的验证规则执行真实性判定，是有效提升验证机制真实性评定的正确性、减小合法分组被错误过滤的假阳性事件的重要技术手段。

基于RSF机制的分布式域间源地址验证的基本思路是：通过在部署自治域间引入具有协商交互域间选路策略的合作机制（RSF），通过传播路由选择信息反馈报文，将决策到达某一自治域所辖的目的地址前缀空间的路由选择信息在部署自治域间验证路由分发相反的方向逐渐反馈和传播。在路由选择决策信息反馈的过程中，分组在网络中转发实际路由路径上的每个部署自治域依据路由选择反馈报文中携带的路由选择决策信息和源地址空间信息，在本地控制平面计算生成验证规则，以此指导数据平面的过滤机制执行，在分组到来时对其源地址真实性进行检查，滤除伪造分组放行合法分组。

基于RSF机制的分布式域间源地址验证方法的主要技术特点是：1.着眼主动防御型、事前预防性应对伪造分组的侵害和攻击；2.分组在到达目的端的中间网络中被验证；3.能够较早及较为逼近伪造源过滤和抑制假冒数据流，DPF研究证明，此类方案的部署点选取，只需部分部署在枢纽型自治域中，就可较为显著地过滤大部分 IP 伪造分组，还可运用Vertex Cover集合覆盖理论指导优化选择部署点。

图1 基于RSF机制的分布式域间源地址验证

技术实现

基于RSF机制的分布式域间源地址验证借助自治域间运行的路由协议来辅助验证机制的实现，决策部署验证方法的自治域间以事先建立的信任关系为信任基础，通过特殊的自治域间路由选择信息的交互和共享机制（RSF），达成多个部署自治域协同工作相互通告从源端自治域到目的端自治域间数据分组的实际转发路径，通过域间协作的信息共享，每个部署自治域在掌握较为全面的域间选路信息的基础上，重构了一棵逻辑分组转发路由路径树存储在本地，辅助本地生成用于验证分组真实性的验证规则，将从建立信任关系的其他部署自治域处得到的实际转发路径信息处理生成源前缀空间，入射接口形式的验证规则，该规则中每一条规则项都表明“隶属某一源自治域的源前缀空间与携带属于该源地址空间源地址的分组的入射接口的映射关系”。基于RSF机制的分布式域间源地址验证方法的实现原理如图1所示。

基于RSF机制的分布式域间源地址验证方法主要有两个关键设计：

1．建立选路信息通告反馈的跨域安全信道。利用现有BGP路由协议的协商能力和捎带功能，帮助部署自治域间建立选路信息通告反馈的跨域安全信道，路径属性设置为可选传递的BGP Update报文捎带安全信道的接口信息（AI）确保向后兼容，实现了安全信道的接口信息能够穿越未部署自治域不间断转发的功能，部署AS通过获取逻辑邻居的AI可以迅速建立TCP会话，与该AI所属部署AS搭建用于传递RING报文的域间合作的安全信道。具体实现时利用现有BGP协议的协商能力：（1）引入AI作为部署节点间的信息交互连接入口，部署节点间依此建立TCP会话；（2）BGP Update报文的路径属性（path attribute）设置为可选传递模式（向后兼容性），捎带无间断传递AI信息；（3）下游部署节点用自己的AI替换上游部署节点嵌入的AI并记录下来。

2．选路信息和源地址空间反馈。引入了路由选择信息反馈机制（RSF），部署自治域间通过交互路由选择信息报文（RING），实现跨域合作的学习机制，获取分组在网络中实际转发的路由路径信息，计算生成分组到达接口和其下对应的合法源地址空间的映射表作为验证规则。机制实际工作中，（1）RING报文沿着访问网络中某一可达前缀地址的分组在网络中实际转发的路由路径传播，将下游自治域的选择信息和源地址空间信息反馈给沿途的所有上游部署自治域；（2）所有沿途接收到RING的上游部署自治域计算生成本地过滤规则。

基于域间选路信息反馈的分布式源地址验证方法立足现有互联网实际，依托真实源地址验证体系结构（SAVA），提出了一种新型的自治域间真实源地址验证方法，该方法在信任联盟成员自治域间协商跨域路由路径信息的基础上，实现了主动型伪造防御机制，构建出一种支持跨域合作的、具有自主过滤伪造分组功能和抵御源地址假冒攻击能力的可信任网络体系结构，能够确保向所属用户提供可信的互联网寻址访问服务。