前言:尋找寫作靈感?中文期刊網(wǎng)用心挑選的可信互聯(lián)網(wǎng)IP管理現(xiàn)狀,希望能為您的閱讀和創(chuàng)作帶來靈感,歡迎大家閱讀并分享。
1IP地址分配與域間路由安全傳統(tǒng)的域間路由協(xié)議BGP[4](bordergatewayprotocol,邊界網(wǎng)關(guān)協(xié)議)存在很多安全隱患[5],對路由通告內(nèi)容不加以驗證,錯誤甚至蓄意偽造的路由可達信息可以隨意在互聯(lián)網(wǎng)上傳播。具體表現(xiàn)為兩種形式:IP地址前綴劫持和自治域路徑信息竄改。前者是指某個自治域發(fā)出一個非本自治域內(nèi)的IP地址前綴路由可達通告,導(dǎo)致網(wǎng)絡(luò)中以該IP地址前綴為路由目的的全部或者部分流量被路由至該自治域;后者是指蓄意修改BGP報文的自治域路徑信息以傳播虛假的網(wǎng)絡(luò)拓撲信息,為后續(xù)網(wǎng)絡(luò)攻擊行為作鋪墊。 有眾多研究針對BGP的安全缺陷提出了解決方案:a)以S-BGP[6]、SoBGP[7]等為代表,旨在協(xié)議層面彌補BGP的安全缺陷,以抵御IP地址前綴劫持和自治域路徑信息竄改兩種形式的攻擊;b)以DoAV[8]、IPa+[9]以及RPKI[10]為代表,從完善IP地址分配機制的角度來避免IP地址前綴劫持。前者涉及BGP的協(xié)議改進,與IP地址管理無直接聯(lián)系,本文不作討論;后者從IP地址管理的角度出發(fā)來保障互聯(lián)網(wǎng)域間路由安全,是本文要探研討的重點。 IP地址前綴和路由源的自治域號(AS號)的正確映射關(guān)系是抵御IP地址前綴劫持的關(guān)鍵。互聯(lián)網(wǎng)注冊機構(gòu)(如亞太互聯(lián)網(wǎng)絡(luò)信息中心)天然地擁有AS號和IP地址的分配信息以及兩者的映射關(guān)系,但這些信息缺乏統(tǒng)一的數(shù)據(jù)格式,數(shù)據(jù)的完整性和一致性也缺乏保障。此外,提供這些信息的查詢工具WHOIS[11]協(xié)議沒有驗證機制,很容易遭受各種類型的攻擊。因此,有效地組織IP地址分配信息并構(gòu)建授權(quán)信息的驗證體系,成為在IP地址管理層面抵御IP地址前綴劫持的技術(shù)路線。 1.1基于DNS資源記錄的路由源信息 基于DNS的公共目錄服務(wù)性質(zhì)和DNSSEC[12]安全擴展機制,以DoAV和IPa+為代表的技術(shù)方案通過對DNS相關(guān)資源記錄進行修改,實現(xiàn)了IP地址前綴和其路由源映射關(guān)系的。使用DNS反向解析樹來反映IP地址分配以及授權(quán)信息,是這類技術(shù)方案的核心思想。DoAV建議在DNS反向解析樹中新增一條子樹bgp.in-ad-dr.a(chǎn)rp來實現(xiàn)特定IP地址前綴到其路由源AS號的映射。 DoAV設(shè)計了一種新的DNS資源記錄類型“AS記錄”來完成信息的。假定IP地址前綴205.1.1/24授權(quán)AS號為2914的自治域為其通告路由可達信息,那么該IP地址前綴信息的持有機構(gòu),在其維護的DNS區(qū)文件中添加的資源記錄為1.1.205.bgp.in-addr.a(chǎn)rpa.AS291424。基于DoAV的設(shè)計,邊界路由器在使用BGP交換路由可達信息時,在DNS反向解析樹中查詢相關(guān)IP地址前綴的AS記錄,以驗證BGP消息中IP地址前綴的路由可達信息是否屬實。而DNS查詢數(shù)據(jù)本身的可信問題交由DNSSEC去解決。考慮到新設(shè)計的AS記錄在短期內(nèi)無法部署,DoAV建議將相關(guān)的路由源信息數(shù)據(jù)放在TXT記錄中,但并未給出詳細的TXT文本表示語法。 作為域間路由安全領(lǐng)域的典型解決方案,S-BGP盡管設(shè)計周密,但需要重新構(gòu)建一個全球范圍的PKI[13]是其部署的最大障礙。2009年底,ICANN(theInternetCorporationforAs-signedNamesandNumbers,互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu))對DNSSEC實施“根簽”,構(gòu)建了一個基于DNS樹的全球信任體系。為解決S-BGP在部署方面的困難,ipa+將DNSSEC資源記錄作為一種輕量級的證書,以完成IP地址前綴與其持有實體公鑰的關(guān)聯(lián)。與DoAV類似,IPa+也利用了DNS中的IP地址反向解析樹來完成資源的,并通過DNSSEC中新增的DS記錄來證明IP地址的授權(quán)分配關(guān)系。例如,ARIN(北美互聯(lián)網(wǎng)注冊機構(gòu))持有IP地址塊165.0.0.0/8,將其子空間165.72.0.0/16分配給AT&T(美國電話電報公司)。按照IPa+的設(shè)計,ARIN通過DNSSEC的DS資源記錄72.165.in-addr.a(chǎn)rpaDSHash(KEYAT&T)來證明AT&T公鑰的真實性,以支撐S-BGP所設(shè)計的路由可達信息簽名機制。考慮到IP地址前綴的路由源信息不會太過頻繁,為提高驗證效率,IPa+采用了周期查詢并將查詢結(jié)果進行緩存的驗證機制。 1.2基于RPKI的路由源聲明正如IPa+提到的那樣,構(gòu)建一個覆蓋全球范圍的PKI是S-BGP的最大部署障礙。然而,RPKI(resourcePKI)[10]的出現(xiàn),不僅為S-BGP提供了實施基礎(chǔ),更為IP地址資源管理提供了一個可信的基礎(chǔ)平臺。 以X.509證書基本格式為基礎(chǔ),RPKI通過使用資源證書擴展[14]延伸了PKI的功能。資源證書擴展添加了新的X.509值域,用于攜帶證書持有者所擁有的IP地址資源或AS號。參照現(xiàn)有的IP地址分配體系,上游節(jié)點既是其鄰接下游節(jié)點的資源分配者,也是其鄰接下游節(jié)點所持有資源證書的頒發(fā)者。 由于層次化的IP地址分配體系,RPKI為樹型信任結(jié)構(gòu),并采用分布式的RPKI資料庫存儲IP地址分配信息。每當有IP地址分配信息更新時,RPKI中的IP地址分配者就將新簽發(fā)的資源證書到其管理的RPKI資料庫中。 基于RPKI,IP地址前綴的路由源信息經(jīng)由一種稱為路由源聲明的簽名項,用于說明某個IP地址前綴授權(quán)給某個AS號進行路由可達通告。當需要授權(quán)某個AS號為特定的IP地址前綴通告路由可達信息時,該IP地址前綴的持有者使用其資源證書對應(yīng)的私鑰簽發(fā)一個EE(endpointentity)證書,然后再用EE證書對應(yīng)的私鑰產(chǎn)生路由源聲明簽名項。EE證書中的IP地址前綴與路由源聲明所表征的IP地址前綴一致。 完成授權(quán)后,IP地址前綴持有者將相應(yīng)的路由源聲明連同產(chǎn)生該簽名項的EE證書到其管理的RPKI資料庫中。 依托RPKI所提供的可信IP地址分配信息以及授權(quán)信息,驗證者和RPKI服務(wù)器負責(zé)將這些信息推送給邊界路由器,供其驗證BGP消息所攜帶的IP地址前綴路由源信息。驗證者(relyingparty)在全球范圍內(nèi)周期性地下載各個RPKI資料庫的數(shù)據(jù),并通過構(gòu)造證書路徑完成對路由源聲明的驗證。驗證通過后,路由源聲明中攜帶的授權(quán)信息被推送到全球各個角落的本地緩存中。一旦收到關(guān)于某個IP地址前綴的路由可達通告,邊界路由器通過RPKI/router協(xié)議[15]向RPKI服務(wù)器發(fā)起查詢,獲得本地緩存的關(guān)于該IP地址前綴的授權(quán)信息,同路由可達通告中攜帶的路由源信息比較是否一致,并結(jié)合本地策略選擇是否信任該路由可達通告。#p#分頁標題#e# 目前,RPKI在全球范圍內(nèi)引起了廣泛關(guān)注。全球五大地址注冊機構(gòu)都已提供RPKI證書業(yè)務(wù),而在技術(shù)實現(xiàn)層面,互聯(lián)網(wǎng)工程任務(wù)組(InternetEngineeringTaskForce,IETF)的SIDR(SecureInter-DomainRouting)工作組正在積極推進其標準化工作。 1.3小結(jié) 圍繞IP地址前綴和路由源AS號的正確映射關(guān)系,或借助DNSSEC服務(wù),或在IP地址分配體系中構(gòu)建PKI,以上技術(shù)方案都實現(xiàn)了IP地址分配關(guān)系和授權(quán)信息的真實可信,有效地抵御了IP地址前綴劫持。但DoAV、IPa+和RPKI三者在部署機制、效率以及在域間路由安全的可擴展性方面有所差異,而比較這些差異則是構(gòu)建可信互聯(lián)網(wǎng)的重要考量元素。表1給出了DoAV、IPa+以及RPKI三者的比較。 借助DNSSEC所構(gòu)建的信任鏈,使用DNS反向解析子樹來反映IP地址分配信息以及授權(quán)信息的方法得以實現(xiàn)。這種方法的優(yōu)勢在于充分利用了現(xiàn)有DNS基礎(chǔ)設(shè)施和DNS反向解析子樹呈現(xiàn)的IP地址分配關(guān)系,DoAV和IPa+免去了構(gòu)建額外認證體系的開銷,相比RPKI,部署代價較小。在IP地址分配信息以及授權(quán)信息獲取方面,DoAV和IPa+使用DNS的遞歸解析服務(wù)器,RPKI使用專門的驗證實體,后者需要額外部署驗證業(yè)務(wù)。此外,RPKI引入了新的查詢協(xié)議,需要邊界路由器升級軟件。 作為一種全新的IP地址資源管理機制,RPKI的部署代價盡管較高,但其通過構(gòu)建IP地址分配以及授權(quán)信息的認證體系,為互聯(lián)網(wǎng)域間路由安全的各種技術(shù)方案提供了實施平臺。 DoAV和IPa+僅僅面向IP地址前綴劫持,而RPKI通過BG-PSEC[16]的擴展還可以抵御自治域路徑信息竄改。然而,RPKI未能將IP地址分配以及授權(quán)領(lǐng)域的所有問題考慮周全,比如在當前IPv4地址即將耗盡的背景下,IP地址交易認證(re-sourcetransferintheglobalRPKI)會對RPKI的運行產(chǎn)生影響,需今后作進一步研究。 2IP地址配置與接入網(wǎng)安全在當前的互聯(lián)網(wǎng)體系結(jié)構(gòu)下,IP地址是主機在互聯(lián)網(wǎng)上的身份標志,因此IP地址的配置安全直接影響到網(wǎng)絡(luò)運營商訪問控制、計費、溯源等管理技術(shù)的實施,是構(gòu)建可信互聯(lián)網(wǎng)在接入網(wǎng)層面的主要內(nèi)容之一。根據(jù)不同的配置策略,IP地址配置主要有靜態(tài)配置、動態(tài)配置以及無狀態(tài)自動配置[17]三類。 其中,無狀態(tài)自動配置是IPv6內(nèi)置的新協(xié)議,靜態(tài)和動態(tài)配置可以經(jīng)由主機配置領(lǐng)域的標準化協(xié)議DHCP[18,19](dynamichostconfigurationprotocol,動態(tài)主機配置協(xié)議)完成。根據(jù)配置對象不同的網(wǎng)絡(luò)層協(xié)議,DHCP分為DHCPv4[18]和DHCPv6[19]兩個版本。在IPv4時代,由于IP地址稀缺,按需動態(tài)的集中式IP地址配置方法DHCPv4被廣泛應(yīng)用;伴隨IPv6的到來,IP地址盡管豐富,但由于集中式的IP地址配置機制便于網(wǎng)絡(luò)管理實體對終端施加控制,DHCPv6的功能擴展和標準化工作仍然是IETF的重點工作之一。考慮到DHCP在IP地址配置領(lǐng)域的重要地位,本章通過梳理DHCP安全領(lǐng)域的技術(shù)方案來研討IP地址配置和接入網(wǎng)安全之間的關(guān)系。 服務(wù)器和客戶端是DHCP范疇內(nèi)最基本的兩個角色,DH-CP的安全問題主要來自未授權(quán)的DHCP服務(wù)器和未授權(quán)的DHCP客戶端。前者指的是惡意主機偽裝成DHCP服務(wù)器,向用戶主機提供錯誤的IP地址等網(wǎng)絡(luò)參數(shù),導(dǎo)致用戶主機無法正常接入互聯(lián)網(wǎng);后者是指惡意主機偽造成某個接入網(wǎng)的合法DHCP客戶端,盜用該網(wǎng)絡(luò)的IP地址、接入帶寬等資源。因此,授權(quán)和身份驗證是DHCP安全的核心內(nèi)容。 2.1DHCP帶外安全技術(shù) 由于早期的DHCP技術(shù)規(guī)范中缺乏安全機制,一類以DH-CPsnooping[20]和UA-DHCP[21]為代表的技術(shù)方案將IP地址配置管理和接入控制結(jié)合起來,在DHCP機制以外尋求IP地址配置安全問題的對策。 DHCPsnooping是目前廣泛應(yīng)用的一種基于鏈路層的安全技術(shù)系列,可以用于控制DHCP服務(wù)器應(yīng)答報文的來源,以防止網(wǎng)絡(luò)中偽裝或非法的DHCP服務(wù)器為主機配置IP地址及其他網(wǎng)絡(luò)參數(shù)。DHCPsnooping對交換機端口進行區(qū)分,將與合法的DHCP服務(wù)器直接或間接連接的端口設(shè)定為信任端口,而將其余端口設(shè)置為非信任端口。DHCPsnooping交換機僅轉(zhuǎn)發(fā)來自其信任端口的DHCP應(yīng)答消息,保證DHCP客戶端獲取正確的IP地址。對于來自非信任端口的DHCP服務(wù)器應(yīng)答消息,DHCPsnooping交換機將其丟棄,防止DHCP客戶端獲得錯誤的IP地址。由于DHCP服務(wù)器一般靜態(tài)地接入網(wǎng)絡(luò),DHCPsnooping能夠有效地消除未授權(quán)的DHCP服務(wù)器帶來的安全隱患,但DHCPsnooping缺乏認證機制,未授權(quán)的DHCP客戶端盜用IP地址資源的問題無法解決。此外,DHCPsnooping依賴物理端口信息,僅適用于交換式局域網(wǎng),無法在介質(zhì)共享式以太網(wǎng)中保障DHCP的安全。 UA-DHCP提出了一種基于“用戶名/密碼”的DHCP客戶端認證機制。UA-DHCP沒有改變DHCP的核心協(xié)議,而是在DHCP之外增加了新的認證機制。按照UA-DHCP的設(shè)計,用戶主機首先通過DHCP獲得IP地址,該IP地址不能立即使用,僅用于與認證服務(wù)器交互完成用戶名和密碼的驗證。驗證通過后,網(wǎng)關(guān)打開該IP地址接入權(quán)限,UA-DHCP周期性檢查用戶主機的IP地址是否處在租約期內(nèi),如果過期,則立即要求該IP地址對應(yīng)的用戶輸入密碼加以重新驗證;如果驗證不能通過,則收回IP地址,關(guān)閉網(wǎng)關(guān)中該IP地址的接入權(quán)限。本質(zhì)上,UA-DHCP先通過DHCP配置主機的IP地址,然后對用戶加以認證來判定是否開放該IP地址的接入權(quán)限,是抵御未授權(quán)的DHCP客戶端盜用IP地址資源的安全技術(shù)。然而,UA-DHCP中基于用戶名和密碼一致性檢查的方法,只能用于一個管理域內(nèi),無法適用于漫游主機上的DHCP客戶端認證。2.2DHCP安全擴展技術(shù)帶外機制的DHCP安全保護機制或依賴接入環(huán)境特征,或依賴接入控制策略,沒有從根本上改變DHCP缺乏身份驗證機制的現(xiàn)實,因此在DHCP的協(xié)議范疇內(nèi)尋求安全問題的對策,成為學(xué)術(shù)界和工業(yè)界一直以來的熱點技術(shù)路線,并形成了以DelayedAuth[22]、DHCP++[23]、KerbAuth[24]、SigZero[25]以及E-DHCP[26]等為代表的DHCP安全擴展研究領(lǐng)域,以解決DHCP安全范疇中身份驗證的問題。 #p#分頁標題#e# 作為DHCP安全擴展技術(shù)領(lǐng)域中唯一的IETF標準,De-layedAuth通過在DHCP服務(wù)器和DHCP客戶端之間配置預(yù)共享密鑰完成雙向的身份驗證,但密鑰的預(yù)共享機制使得De-layedAuth難以靈活且高效地應(yīng)對站點級網(wǎng)絡(luò)中大量的配置工作。此外,DelayedAuth不支持主機的跨域管理,一旦主機變更了接入點,DHCP服務(wù)器和DHCP客戶端之間的預(yù)共享密鑰就不再有效。隨著海量的移動主機接入互聯(lián)網(wǎng),支持跨域身份驗證的DHCP安全擴展成為后續(xù)方案所秉持的基本目標。與DelayedAuth類似,DHCP++同樣在DHCP服務(wù)器和DHCP客戶端之間實現(xiàn)了基于共享密鑰的消息認證碼的身份驗證機制。較之DelayedAuth中密鑰的預(yù)共享模式,DHCP++通過將密鑰協(xié)商過程嵌入到DHCP的基本消息交互中,實現(xiàn)了驗證密鑰的自動化管理,支持漫游主機的跨域認證,但DHCP++的密鑰協(xié)商機制需要依賴可信第三方為DHCP服務(wù)器和DHCP客戶端簽發(fā)證書。 KerbAuth是一種基于Kerberos在線認證機制[27]的DHCP實體身份驗證方法。在Kerberos服務(wù)器的配合下,KerbAuth通過DHCP的基本消息交互完成密鑰在DHCP服務(wù)器和DHCP客戶端之間的共享。在DHCP服務(wù)發(fā)現(xiàn)階段,DHCP服務(wù)器向DHCP客戶端的家鄉(xiāng)KDC(keydistributioncenter,密鑰分發(fā)中心)請求與該DHCP客戶端的共享密鑰;在DHCP服務(wù)確認階段,DHCP服務(wù)器和DHCP客戶端使用該密鑰認證彼此的身份。KerbAuth具體的認證運算方法與DHCP++類似,區(qū)別僅在于DHCP服務(wù)器和DHCP客戶端之間共享密鑰的協(xié)商機制。 KerbAuth的實現(xiàn)需要在DHCP交互中穿插Kerberos協(xié)議,在保持DHCP狀態(tài)機一致的要求下,引入了復(fù)雜的容錯處理開銷和管理負擔(dān)。 由于DNSSEC支持在DNS的KEY記錄中存放域名對應(yīng)的公鑰信息,SigZero以此為基礎(chǔ)設(shè)計了一種面向主機名的DHCP客戶端身份驗證機制。按照SigZero的設(shè)計,DHCP客戶端使用DNS主機名來標志自己的身份,并使用私鑰對發(fā)出的DHCP消息進行簽名,對應(yīng)的公鑰則存放在DNS的KEY記錄中。通過DNS查詢,DHCP服務(wù)器可以對獲取DHCP客戶端主機名所對應(yīng)的公鑰,進而驗證簽名。由于驗證信息基于DNS查詢,因此SigZero很容易實現(xiàn)。此外,基于DNS主機名的身份標志機制可以支持DHCP客戶端的全互聯(lián)網(wǎng)漫游身份驗證。然而,SigZero只能用于驗證DHCP客戶端的身份,DHCP服務(wù)器的身份驗證仍需要借助其他方法。 基于公鑰證書簽名機制,E-DHCP提供了面向雙向身份驗證的DHCP安全擴展方法。E-DHCP設(shè)計中的DHCP客戶端和DHCP服務(wù)器均需要經(jīng)由帶外機制獲得公鑰證書。由于DHCP客戶端在獲得IP地址資源之前無法經(jīng)由互聯(lián)網(wǎng)構(gòu)造證書的驗證路徑,因此,DHCP客戶端必須將DHCP服務(wù)器的公鑰證書添加在本地的信任列表中。利用DHCP消息中攜帶的簽名以及帶外配置的公鑰證書,DHCP實體的身份驗證得以實現(xiàn)。但帶外配置信任證書的方式使得E-DHCP的DHCP服務(wù)器身份驗證機制只能部署在一個管理域內(nèi)。 2.3小結(jié) 面向IP地址配置的安全問題,本章圍繞DHCP對相關(guān)問題的來源和技術(shù)方案進行了梳理和分析。這些方案在目標、技術(shù)基礎(chǔ)、部署難易度以及可擴展性等方面不盡相同,表2從不同維度給出了對比。 在安全目標方面,DHCPsnooping和UA-DHCP沒有觸及DHCP本身,使用帶外機制分別保障了DHCP服務(wù)器的授權(quán)和DHCP客戶端的授權(quán)。而DelayedAuth、DHCP++、KerbAuth、SigZero以及E-DHCP等DHCP安全擴展機制主要面向DHCP本身的安全性,保障DHCP實體身份的可驗證,沒有考慮授權(quán)問題。判斷DHCP服務(wù)器和DHCP客戶端是否是合法的授權(quán)實體,需要帶外授權(quán)信息的輔助。 由于移動接入需求越來越大,跨域管理是DHCP安全擴展需要正視的重要問題。DHCP++、KerbAuth以及E-DHCP可以對移動DHCP客戶端的身份加以驗證,但目前沒有一個基于全球信任根的PKI,這些技術(shù)受到其依賴PKI有效范圍的限制。由于DNSSEC已經(jīng)部署,使用DNSSEC作為信任源的Sig-Zero對主機移動性的支持是全互聯(lián)網(wǎng)級的。 在部署層面,DHCPsnooping和UA-DHCP僅僅取決于接入網(wǎng)的管理策略,不需要對DHCP設(shè)備進行改造。而2.2節(jié)提到的DHCP安全擴展技術(shù)都需要在協(xié)議層面對DHCP進行調(diào)整。特別是DHCP++和KerAuth,兩者均在DHCP交互流程中嵌入了密鑰協(xié)商機制,對協(xié)議改動較大,是部署的最大障礙。 由于DHCP服務(wù)器由接入網(wǎng)管理實體部署,管理實體可以利用DHCPsnooping實現(xiàn)DHCP服務(wù)側(cè)的可信,思科、華為等設(shè)備制造商均支持這項功能。但在DHCP客戶端認證領(lǐng)域,唯一形成IETF技術(shù)標準的DelayedAuth不支持跨域認證,其余的技術(shù)或?qū)崿F(xiàn)復(fù)雜,或僅能支持有限的主機漫游。基于DNSSEC的SigZero是其中較好的實現(xiàn)方案,但都沒有形成相關(guān)的技術(shù)標準。究其原因,IP地址配置還同接入網(wǎng)的管理策略密切相關(guān)。本章圍繞DHCP研討的IP地址配置安全機制均未考慮具體的接入認證和計費機制對DHCP安全擴展的制約。因此,結(jié)合運營商的接入網(wǎng)管理技術(shù)以研究面向具體接入環(huán)境的安全IP地址配置技術(shù)是該領(lǐng)域最好的演進方向。此外,隨著家庭網(wǎng)絡(luò)和物聯(lián)網(wǎng)絡(luò)的興起,以及DHCPv6開始支持IP地址前綴[28],IP地址前綴自動化配置的協(xié)議安全將是構(gòu)建可信互聯(lián)網(wǎng)范疇內(nèi)重要的研究內(nèi)容之一。 3源地址驗證 僅僅依賴安全的IP地址分配以及配置技術(shù),仍不能完全支撐面向可信互聯(lián)網(wǎng)的IP地址管理工作。由于互聯(lián)網(wǎng)協(xié)議棧的網(wǎng)絡(luò)層沒有實現(xiàn)對數(shù)據(jù)包源IP地址的驗證,源IP地址可以被隨意偽造,作為實施網(wǎng)絡(luò)攻擊的前奏。為了彌補網(wǎng)絡(luò)層協(xié)議設(shè)計的缺陷,源地址驗證技術(shù)應(yīng)運而生。根據(jù)驗證機制部署的位置不同,源地址驗證技術(shù)分為接入網(wǎng)驗證、自治域間驗證以及端到端驗證。 3.1接入網(wǎng)源地址驗證 接入網(wǎng)源地址驗證技術(shù)利用數(shù)據(jù)包源地址和其轉(zhuǎn)發(fā)路徑的特定物理信息以及邏輯信息的綁定關(guān)系進行過濾。Ingressfiltering[29]是一個基于路由器中存儲數(shù)據(jù)結(jié)構(gòu)的輕量級過濾方案,路由器或者防火墻負責(zé)檢查來自這個網(wǎng)絡(luò)數(shù)據(jù)包的源IP地址是否屬于這個網(wǎng)絡(luò),它可以使偽造源IP地址的數(shù)據(jù)包不能離開攻擊者所屬的子網(wǎng),但無法抵御子網(wǎng)內(nèi)的源地址偽造。#p#分頁標題#e# 為防止子網(wǎng)內(nèi)的源地址偽造,SPINACH[30,31]將IP地址和MAC地址的綁定關(guān)系注冊到轉(zhuǎn)發(fā)設(shè)備上,但MAC地址可以被用戶修改,這種方法的脆弱性顯而易見。SPINACH的作者進一步提出了一種面向交換式局域網(wǎng)的解決方案,以利用端口信息進行源地址驗證。使用IP地址和交換機端口綁定關(guān)系完成源地址驗證的做法很快就體現(xiàn)在了后續(xù)的解決方案中。歷經(jīng)發(fā)展,Ethane[32]是目前較為成熟的方案,但Ethane這種基于交換式局域網(wǎng)的設(shè)計仍舊沒有徹底解決共享式以太網(wǎng)的源地址驗證問題。 IPv6的出現(xiàn)為接入網(wǎng)源地址驗證提供了新的技術(shù)基礎(chǔ)。 清華大學(xué)的研究人員提出了一種使用IPv6擴展包頭攜帶驗證信息的源地址驗證方法[33]。在該方法中,接入主機和接入網(wǎng)關(guān)之間共享密鑰。主機在發(fā)送數(shù)據(jù)包之前,使用其與接入網(wǎng)關(guān)之間共享的密鑰對數(shù)據(jù)包載荷進行哈希運算,并將運算結(jié)果攜帶在新設(shè)計的IPv6驗證包頭中供接入網(wǎng)關(guān)驗證。然而,該方法并未對如何在接入主機和驗證網(wǎng)關(guān)之間共享密鑰進行細致的設(shè)計。CSAA[34]利用CGA[35]的自驗證特性提出了一種具體的共享密鑰分發(fā)機制。 使用共享密鑰進行載荷哈希運算的驗證機制可以實現(xiàn)高粒度的源IP地址驗證,且不依賴于具體的接入環(huán)境特征,但密鑰共享仍然受制于不同的接入控制協(xié)議。如何在不同的接入控制協(xié)議中捎帶完成共享密鑰在接入主機和驗證網(wǎng)關(guān)之間的高效配置,尚有很多值得研究的內(nèi)容。 3.2自治域間源地址驗證 依托本文第1章研討的域間路由安全技術(shù),以SAVE[36]、SPM[37]和Passport[38,39]等為代表的域間源地址驗證技術(shù)流派實現(xiàn)了IP地址前綴粒度的源地址驗證。 在自治域的邊界路由器上,SAVE對IP地址前綴與接收到該前綴的路由通告消息的接口建立關(guān)聯(lián)。SAVE的實現(xiàn)依賴邊界路由器之間相互交換域間路由信息,使得邊界路由器涉及到大量的、可認證的數(shù)據(jù)交換。SAVE的復(fù)雜性比較高,可能成為DoS攻擊的潛在對象。 與SAVE利用路由信息不同,SPM引入了一種輕量級簽名機制在自治域?qū)χg實現(xiàn)源地址驗證。根據(jù)SPM的設(shè)計,當數(shù)據(jù)包離開源自治域時,自治域的邊界路由器將為其添加一個基于源—目的自治域?qū)Φ暮灻怨┠康淖灾斡虻倪吔缏酚善黩炞C。SPM中所謂的簽名沒有采用任何加密技術(shù),而是在數(shù)據(jù)包中攜帶源—目的地址對、源—目的IP地址前綴對或者源—目的AS號對的共享秘密,該秘密為一個常數(shù)。SPM的安全性基于骨干網(wǎng)報文難以被竊聽的前提,但由于共享秘密以明文形式攜帶在數(shù)據(jù)包中,數(shù)據(jù)包在穿越自治域時,很可能被中間人竊聽。 針對SPM中共享秘密容易被竊聽的缺陷,Passport提出了一種基于數(shù)字簽名的源地址驗證方法。源地址所在自治域需要與數(shù)據(jù)包轉(zhuǎn)發(fā)路徑上的各個自治域分別共享密鑰,并使用這些共享密鑰分別產(chǎn)生簽名供數(shù)據(jù)包沿途的各個自治域邊界路由器驗證。在數(shù)據(jù)包被路由至目的主機之前,一旦出現(xiàn)簽名驗證不正確或不存在的情況,該數(shù)據(jù)包就將被丟棄。較之SAVE和SPM,Passport最鮮明的特點是引入了密碼學(xué)的簽名技術(shù),此舉使得域間路由的數(shù)據(jù)包負荷增大,一旦數(shù)據(jù)包需要途徑多個自治域,源自治域為數(shù)據(jù)包添加的簽名將會很長,對骨干網(wǎng)的帶寬消耗明顯。 3.3端到端的主機級源地址驗證 以上提到的若干源地址驗證技術(shù)均在數(shù)據(jù)包的傳輸路徑部署實施,對終端主機透明。盡管這些方案免去了數(shù)據(jù)包接收者的驗證負擔(dān),但某些高安全要求的應(yīng)用需要數(shù)據(jù)包的接收者親自驗證源地址。從源IP地址缺乏認證的根本出發(fā),IP-Sec[40~42]設(shè)計了新的IP數(shù)據(jù)包擴展頭,使其攜帶目的主機和源主機之間基于共享密鑰的哈希簽名。共享密鑰以及驗證策略等IPSec安全參數(shù),可由管理員分別在通信雙方的主機上手工配置,還可以使用專門的密鑰交換協(xié)議[43]來完成端到端的協(xié)商。 IPSec在互聯(lián)網(wǎng)的完整部署依賴于是否存在一個可信的并且能夠處理海量用戶證書的PKI。IPSec的管理也較為復(fù)雜,容易出現(xiàn)相關(guān)參數(shù)配置的錯誤配置。總之,證書管理和操作管理是IPSec實踐和推廣中最大的難題。 3.4小結(jié) 由于互聯(lián)網(wǎng)體系結(jié)構(gòu)設(shè)計上的缺陷,源地址驗證是一個復(fù)雜的系統(tǒng)工程。為了有效地部署源地址驗證機制,清華大學(xué)的研究人員設(shè)計了互聯(lián)網(wǎng)源地址驗證的整體框架[44],對各種源地址驗證技術(shù)進行了整合,并在IETF發(fā)起成立了SAVI(sourceaddressvalidationimprovements)工作組,以推進相關(guān)技術(shù)細節(jié)的標準化。由于互聯(lián)網(wǎng)邊緣網(wǎng)絡(luò)在物理特征、接入控制技術(shù)、資源分配機制以及管理策略上的巨大差異,源地址驗證技術(shù)必須同具體接入環(huán)境結(jié)合,隨著互聯(lián)網(wǎng)由IPv4向IPv6演進,研究面向IPv6特征,特別是其地址結(jié)構(gòu)特征的源地址驗證技術(shù),如之前提到的CSAA,將是今后該領(lǐng)域的演進方向之一。 縱覽源地址驗證技術(shù)的發(fā)展,驗證機制都是對目前互聯(lián)網(wǎng)體系結(jié)構(gòu)下網(wǎng)絡(luò)層工作機制的補充,依賴部署政策和網(wǎng)絡(luò)運營策略,沒有在根本上實現(xiàn)數(shù)據(jù)包源IP地址的真實可信。對于這一技術(shù)發(fā)展瓶頸,本文下一章提到的互聯(lián)網(wǎng)審計研究領(lǐng)域給予了足夠的關(guān)注和解決手段。 4面向IP地址的互聯(lián)網(wǎng)審計 圍繞IP地址管理的不同環(huán)節(jié),上文對相關(guān)的技術(shù)進行了梳理和分析。這些技術(shù)盡管在基礎(chǔ)資源層面為構(gòu)建從可用到可信的互聯(lián)網(wǎng)提供了有力的支撐,但這些技術(shù)或是已有技術(shù)的改進,或是對互聯(lián)網(wǎng)體系結(jié)構(gòu)的修補,沒有觸及當前互聯(lián)網(wǎng)體系結(jié)構(gòu)的內(nèi)核,致使互聯(lián)網(wǎng)的基礎(chǔ)資源管理和協(xié)議簇越來越復(fù)雜。鑒于網(wǎng)絡(luò)層在互聯(lián)網(wǎng)協(xié)議棧中的重要地位以及上文在綜述IP地址管理技術(shù)問題時提到的困難乃至瓶頸,工業(yè)界和學(xué)術(shù)界越來越來深刻地認識到互聯(lián)網(wǎng)體系結(jié)構(gòu)研究對于可信互聯(lián)網(wǎng)的重要性。IP地址分配、配置以及驗證等環(huán)節(jié)的安全技術(shù)研究直接推動了面向IP地址的互聯(lián)網(wǎng)審計的問世。 #p#分頁標題#e# 由于缺乏內(nèi)在的審計機制,互聯(lián)網(wǎng)并非一個足夠安全的基礎(chǔ)通信平臺。審計(accountability)是指準確地將特定的行為同產(chǎn)生該行為的實體身份關(guān)聯(lián)起來,并實施有效的問責(zé)。由于IP地址獨立于互聯(lián)網(wǎng)上層應(yīng)用的特點,面向IP地址的互聯(lián)網(wǎng)審計成為近年來一個新興的研究領(lǐng)域。AIP[45]和BAFI[46]是該領(lǐng)域最具代表性的技術(shù)方案。 在源地址偽造之外,很多互聯(lián)網(wǎng)的合法運行機制導(dǎo)致IP地址溯源困難,IP地址審計難以實現(xiàn)。例如,DHCP的使用導(dǎo)致同一IP地址先后被分配給不同主機使用,漫游主機的IP地址隨著接入點的變更而變化。因此,在協(xié)議上實現(xiàn)IP地址可驗證以及在資源管理上實現(xiàn)IP地址易溯源,成為面向IP地址的互聯(lián)網(wǎng)審計領(lǐng)域的基本出發(fā)點。 通過對網(wǎng)絡(luò)層協(xié)議進行重構(gòu),AIP使用扁平化結(jié)構(gòu)的自驗證IP地址取代了層次化結(jié)構(gòu)的聚合式IP地址。AIP假設(shè)互聯(lián)網(wǎng)由若干管理上獨立但彼此互連的網(wǎng)絡(luò)組成,每個網(wǎng)絡(luò)又由若干個審計域組成。每個審計域?qū)⑵涔€的哈希作為自己的標志符,審計域之中的終端同樣使用自己的公鑰哈希值作為身份標志符。審計域標志符和終端標志符共同組成了一個完整的IP地址,這種設(shè)計成功地實現(xiàn)了“身份”和“位置”兩個語義在IP地址結(jié)構(gòu)內(nèi)的區(qū)分。基于新的IP地址結(jié)構(gòu),AIP進一步設(shè)計了網(wǎng)絡(luò)層內(nèi)置的源地址驗證協(xié)議、域間路由安全機制并討論了新的網(wǎng)絡(luò)層協(xié)議下的可擴展路由問題。源地址驗證和IP流量控制構(gòu)成了AIP互聯(lián)網(wǎng)審計機制的基本內(nèi)涵。 在AIP之后,BAFI[46]也提出了一種互聯(lián)網(wǎng)審計方法。 BAFI首先抽象出了一種可以區(qū)分“身份”和“位置”兩個語義的IP地址。在此前提下,BAFI基于陷門哈希函數(shù)簽名方法實現(xiàn)了一種輕量級的網(wǎng)絡(luò)層消息簽名機制[47],用以驗證數(shù)據(jù)包發(fā)送源的非否認性和數(shù)據(jù)包載荷的完整性。在源地址驗證的基礎(chǔ)上,BAFI進一步提出了客戶端票據(jù)的概念。客戶端票據(jù)包含了客戶端和服務(wù)器雙方的身份信息、服務(wù)端主機所在的自治域號碼以及有效時間等信息,可以協(xié)助服務(wù)器端主機方便地進行流量控制。基于陷門哈希函數(shù)的簽名機制還使得BAFI方便地建立起了面向IP地址的互聯(lián)網(wǎng)信譽評價系統(tǒng)。按照BAFI的觀點,源地址驗證、流量控制和信譽評價系統(tǒng)構(gòu)成了互聯(lián)網(wǎng)審計最基本的三個要素。BAFI的審計僅僅面向客戶端,強調(diào)對通信發(fā)起實體的審計,沒有討論互聯(lián)網(wǎng)控制實體如數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備的審計問題。正如AIP在論述互聯(lián)網(wǎng)審計概念時提到的那樣,完整的互聯(lián)網(wǎng)審計應(yīng)當包含源實體審計(sourceac-countability)和控制實體審計(control-planeaccountability)。 互聯(lián)網(wǎng)審計的概念興起不久,相關(guān)研究也較少,但互聯(lián)網(wǎng)審計是構(gòu)建從可用到可信的互聯(lián)網(wǎng)的關(guān)鍵,是可信互聯(lián)網(wǎng)研究在IP地址資源管理領(lǐng)域的自然延伸。當前的研究反映出這樣一個事實:在網(wǎng)絡(luò)層實現(xiàn)互聯(lián)網(wǎng)接入實體身份標志和位置標志的解耦,是實現(xiàn)互聯(lián)網(wǎng)審計的必要條件,但在當前的互聯(lián)網(wǎng)體系結(jié)構(gòu)下難以實現(xiàn)。無論AIP還是BAFI,都是對下一代互聯(lián)網(wǎng)互連互通層次標志設(shè)計的前瞻性研究,提出的解決方案無法與現(xiàn)有互聯(lián)網(wǎng)IP地址結(jié)構(gòu)或使用方式兼容,但IPv6地址的廣泛使用在即,AIP和BAFI所折射的研究思想將有助于挖掘IPv6互聯(lián)網(wǎng)提供審計的潛力。 5結(jié)束語 目前,全球互聯(lián)網(wǎng)數(shù)字分配機構(gòu)(IANA)正式宣布已經(jīng)將IPv4地址庫剩余的五個A地址,平均分配給包括亞太區(qū)互聯(lián)網(wǎng)絡(luò)信息中心在內(nèi)的五個地區(qū)性互聯(lián)網(wǎng)注冊管理機構(gòu),標志全球現(xiàn)有的IPv4地址資源已經(jīng)分配完畢,IPv6地址規(guī)劃時代正式到來。IPv6的興起不僅源于IPv4地址空間的局限,盡可能地彌補IPv4時代互聯(lián)網(wǎng)安全上暴露的缺陷,也是IETF設(shè)計IPv6地址時的重要考量。 IPv6是網(wǎng)絡(luò)技術(shù)史上的一次重要升級,IPv6在協(xié)議以及IP地址結(jié)構(gòu)層面的特征為面向可信互聯(lián)網(wǎng)的IP地址管理技術(shù)研究帶來了機遇。如何解決IPv6地址管理中的諸多問題,在IPv4到IPv6的演進過程中構(gòu)建從可用到可信的互聯(lián)網(wǎng),將是互聯(lián)網(wǎng)社區(qū)重要的研究內(nèi)容之一。