實現RSF機制的分布式域間源地址驗證

文/李杰 張建軍 鄭志延

互聯網是當今世界最具規模和影響力的巨型信息系統，是人類社會不可或缺的信息基礎設施，全球80%以上的信息都是通過以IP（Internet Protocol）為基礎的互聯網來傳輸，自2007年以來互聯網對全球經濟增長的貢獻更是達到了20%。近年來，體系結構上的不斷革新，創新應用不斷涌現，越來越多的線下活動不斷向網上遷移，無處不在的網際互連將人類社會更加緊密地聯系起來，都加快了互聯網發展壯大的步伐，以深遠的影響力輻射到人類社會包括經濟、政治、軍事、日常生活工作的諸多方面，逐漸改變著人類生產和生活方式。然而，目前的網絡尋址服務只是停留在盡力而為的向目的端轉發的層次，而達不到確保源端可信任的高度。這種結構性缺陷可被惡意攻擊者加以利用，通過偽造分組IP源地址假冒源端用戶來實施不法攻擊（IP Spoofing），而接收方卻不能判別分組攜帶的IP源地址（以下簡稱源地址）的真實性，也無法相應地判定分組是否來自真實發送方，致使互聯網無法向使用者提供可信任的網絡服務及應用，尤其是無法保障對可信任要求較高的電子商務、私密通信、技術合作、遠程醫療等網絡服務和應用。

基于路由信息的源地址驗證技術

自治域（AS）間IPv4/IPv6真實源地址驗證，其目標是確保自治域間往來分組的源IP地址可信可靠，由于自治域是封閉獨立的管理域，管理者通常會綜合考慮其自身的經濟、政治、軍事等多維利益，更多是不透明的、非對稱的獨立決策，因此這一層次的源地址驗證也更加棘手，也是整個可信任的互聯網體系結構中最為復雜的。基于路由信息的源地址驗證是一種主動防御的驗證策略，旨在將偽造分組過濾在到達目的端之前的中間網絡中，該類方法通常檢查攜帶某一IP源地址的分組到來的路由路徑（或入射接口）與擁有該IP源地址的網絡實體發出的真實分組實際到來路由路徑（或入射接口）是否匹配來完成真實IP源地址的檢查。該類方法的實現中，驗證實體的控制層面通常設計有獲取真實分組實際到來路由路徑（或入射接口）的機制，進而生成檢查分組IP源地址真實性的驗證規則，并將驗證規則裝載和配置在驗證實體的數據層面，當分組到來時完成分組的IP源地址真實性驗證。從技術層面上講，獲取真實分組實際到來路由路徑（或入射接口）信息是機制核心機制，適應路由動態變化觸發分組轉發路徑信息的自適應更新是關鍵技術。獲取真實分組實際到來路由路徑（或入射接口）信息可由參與部署該類方法的網絡實體的管理者靜態配置，也可借助現有路由協議學習獲得，還可研發新型的專用網絡協議交互協作來完成真實分組實際到來路由路徑（或入射接口）信息的學習過程。近年來，基于路由信息的域間真實源地址驗證方法研究取得了一些有益的進展，典型的有Ingress Filtering、DPF和SAVE等。Ingress Filtering機制的實現思想是在網絡邊界路由設備上配置合法IP源地址前綴空間作為對接收到分組是否準許放行的判定規則（驗證規則）。DPF依賴的是接收到的入站分組攜帶的IP源地址與入站接口的映射來判定分組攜帶的IP源地址的真實性，其中如何借助路由系統獲取這樣的映射關系是難點問題，然而，DPF的研究并未闡述運用何種方法和技術建立這種映射關系，研究是建立在驗證規則已經形成的假設上展開的。SAVE設計了全新協議，在繼承了傳統域內/域間路由協議控制平面和數據平面的功能的基礎上，通過新協議功能的支持在網絡中傳遞用于生成源地址驗證規則的路由路徑信息，部署SAVE的路由設備向其RIB/FIB中每條表項記錄的網絡層可達地址前綴發送通告本地網絡所轄的源地址空間的SAVE Update報文。然而上述方法由于缺乏域間合作機制，導致收集的分組轉發路由路徑信息不完整，相應地生成的驗證規則準確性也不高，影響驗證方法的實用價值。

RSF機制的分布式域間源地址驗證

主要原理

在基于路由路徑的域間源地址驗證方法中，控制平面是驗證系統生成、存儲和維護驗證規則的核心載體，當部署節點規模增大后，驗證方法需要保護的合法用戶地址空間隨之增大，網絡和用戶對控制平面生成的真實性判定依據即驗證規則的準確性和效率要求也隨之升高，為了提高驗證方法的準確性和執行效率，基于路由路徑的驗證機制設計上須施加增強確保合法分組能夠最終被目的端接收的機制。對于基于路由路徑驗證的研究方向上，驗證規則的生成主要有兩種途徑：一是本地獨立預測；二是開展域間合作。其中，相對于本地獨立預測，由自治域相互輔助共享選路策略信息，完成對于分組實際轉發路徑的學習獲取、協同生成驗證規則的方式，能夠確保每個部署自治域的控制平面獲取較為全面的驗證規則信息，數據平面可以依據較為完善的驗證規則執行真實性判定，是有效提升驗證機制真實性評定的正確性、減小合法分組被錯誤過濾的假陽性事件的重要技術手段。

基于RSF機制的分布式域間源地址驗證的基本思路是：通過在部署自治域間引入具有協商交互域間選路策略的合作機制（RSF），通過傳播路由選擇信息反饋報文，將決策到達某一自治域所轄的目的地址前綴空間的路由選擇信息在部署自治域間驗證路由分發相反的方向逐漸反饋和傳播。在路由選擇決策信息反饋的過程中，分組在網絡中轉發實際路由路徑上的每個部署自治域依據路由選擇反饋報文中攜帶的路由選擇決策信息和源地址空間信息，在本地控制平面計算生成驗證規則，以此指導數據平面的過濾機制執行，在分組到來時對其源地址真實性進行檢查，濾除偽造分組放行合法分組。

基于RSF機制的分布式域間源地址驗證方法的主要技術特點是：1.著眼主動防御型、事前預防性應對偽造分組的侵害和攻擊；2.分組在到達目的端的中間網絡中被驗證；3.能夠較早及較為逼近偽造源過濾和抑制假冒數據流，DPF研究證明，此類方案的部署點選取，只需部分部署在樞紐型自治域中，就可較為顯著地過濾大部分 IP 偽造分組，還可運用Vertex Cover集合覆蓋理論指導優化選擇部署點。

圖1 基于RSF機制的分布式域間源地址驗證

技術實現

基于RSF機制的分布式域間源地址驗證借助自治域間運行的路由協議來輔助驗證機制的實現，決策部署驗證方法的自治域間以事先建立的信任關系為信任基礎，通過特殊的自治域間路由選擇信息的交互和共享機制（RSF），達成多個部署自治域協同工作相互通告從源端自治域到目的端自治域間數據分組的實際轉發路徑，通過域間協作的信息共享，每個部署自治域在掌握較為全面的域間選路信息的基礎上，重構了一棵邏輯分組轉發路由路徑樹存儲在本地，輔助本地生成用于驗證分組真實性的驗證規則，將從建立信任關系的其他部署自治域處得到的實際轉發路徑信息處理生成源前綴空間，入射接口形式的驗證規則，該規則中每一條規則項都表明“隸屬某一源自治域的源前綴空間與攜帶屬于該源地址空間源地址的分組的入射接口的映射關系”。基于RSF機制的分布式域間源地址驗證方法的實現原理如圖1所示。

基于RSF機制的分布式域間源地址驗證方法主要有兩個關鍵設計：

1．建立選路信息通告反饋的跨域安全信道。利用現有BGP路由協議的協商能力和捎帶功能，幫助部署自治域間建立選路信息通告反饋的跨域安全信道，路徑屬性設置為可選傳遞的BGP Update報文捎帶安全信道的接口信息（AI）確保向后兼容，實現了安全信道的接口信息能夠穿越未部署自治域不間斷轉發的功能，部署AS通過獲取邏輯鄰居的AI可以迅速建立TCP會話，與該AI所屬部署AS搭建用于傳遞RING報文的域間合作的安全信道。具體實現時利用現有BGP協議的協商能力：（1）引入AI作為部署節點間的信息交互連接入口，部署節點間依此建立TCP會話；（2）BGP Update報文的路徑屬性（path attribute）設置為可選傳遞模式（向后兼容性），捎帶無間斷傳遞AI信息；（3）下游部署節點用自己的AI替換上游部署節點嵌入的AI并記錄下來。

2．選路信息和源地址空間反饋。引入了路由選擇信息反饋機制（RSF），部署自治域間通過交互路由選擇信息報文（RING），實現跨域合作的學習機制，獲取分組在網絡中實際轉發的路由路徑信息，計算生成分組到達接口和其下對應的合法源地址空間的映射表作為驗證規則。機制實際工作中，（1）RING報文沿著訪問網絡中某一可達前綴地址的分組在網絡中實際轉發的路由路徑傳播，將下游自治域的選擇信息和源地址空間信息反饋給沿途的所有上游部署自治域；（2）所有沿途接收到RING的上游部署自治域計算生成本地過濾規則。

基于域間選路信息反饋的分布式源地址驗證方法立足現有互聯網實際，依托真實源地址驗證體系結構（SAVA），提出了一種新型的自治域間真實源地址驗證方法，該方法在信任聯盟成員自治域間協商跨域路由路徑信息的基礎上，實現了主動型偽造防御機制，構建出一種支持跨域合作的、具有自主過濾偽造分組功能和抵御源地址假冒攻擊能力的可信任網絡體系結構，能夠確保向所屬用戶提供可信的互聯網尋址訪問服務。