网易首页 > 网易科技 > 2009 全球移动互联网暨IPv6新一代互联网高峰会议 > 正文

清华毕军教授:CNGI-CERNET2中的IPv6源地址认证

0
分享至

网易科技讯 4月16日消息,2009移动互联网论坛今天在北京继续举行,网易科技做为战略合作媒体在现场做了直播报道。


华大学的毕军教授做了题为“CNGI-CERNET2 中的IPv6源地址认证”的演讲:

主持人:下一位演讲的嘉宾是来自清华大学的毕军教授,大家欢迎。

毕军:各位嘉宾,我今天演讲的题目是“CNGI-CERNET2 中的IPv6源地址认证”。

首先,介绍一下背景,前面几位演讲者都介绍了一下IETF的安全问题,我这里主要是从源地址假冒的角度再简单谈谈。第二,我们在CNGI、CERNET2里面就源地址验证做了一些工作,所以这里需要介绍一下。刚才,在思科演讲者我也听了一下,最后谈到了SAVA工作组中国人做了很多工作,我们也介绍一下清华CERNET里面做的一些工作。

IETF的确有很多的优点,从体系结构上不管是在IPv4、IETF在转化的过程当中,基本上是不做源地址认证的。作为一个攻击者,他实际上很容易的用这些攻击替换你的源地址,所以攻击者发起假冒的源地址是很容易的。

如果源地址假冒有什么问题?第一是安全的问题,我们知道有很多的攻击反射式攻击,攻击者源地址可能是受害者,会建很大的网络请求到一个反射者,这反射者不只是一个,所有的回复都会回到受害者。好比一个聚焦的凹透镜,所以的攻击都聚集了。原来的攻击原理上并不依赖于假冒者,我建立很多的僵尸网络。我们从管理上很难找到攻击者的源,很难找到地域,所以有很大的安全的问题。

另外,从流量我们需要做网络测量,如果源地址是可以假冒的话,我们很难做这样的事情,测量也不准确,我很多管理也是需要通过测量的结果。

最后是计费,互联网是采用的固定的计费。用源地址是比较合理的,但是源地址是假冒的,有可能是造成问题的。

这些图是2007年的报告,前一段我看2008年发布的基本上和这样的结果差不多,也变成了42,大概是这样的比例。也就是说这些类的网络攻击,大家可以看到一些反射式的,基本上是我刚才说的两位或者是反射式的,或者是原理上不依赖,但是一旦采用我们很难追溯,造成了很大的危害。

ICT做了很多的工作,目前部署的情况是小于50%,2008年也包括了大概的数字。为什么BCP CERNET没有得到很大量的应用,相关的工作。BCP主要的工作是包括了扩展的工作,原理是把我的转发表进行目的地地址进行转发,我看你的是不是和我的转化表,特别是复杂的情况,会造成很多的问题,会造成很多的假阳性和假阴性。你出去的报文是这条路,回来的时候可能是这样的一条路,大家都尽量地占用这条带宽,反向使用的话,会造成政策的没有假报文的给丢弃,后面很严重,这是假阳性。有可能增加很多的假阴性,放过了很多假冒者。另外,如果攻击者和被攻击者在一个路上没有办法区分,仍然是增加了假阴性。如果全部署的话,可以解决这样复杂的问题,我们知道互联网是复杂的技术,一天在一个技术上全部部署是不可能的,一般都需要增量部署。所以,我们说这个技术要考虑增量部署,这是为什么会有问题的。这也造成了不论是从安全报告来看还是存在着很多的问题。

第二类,采用一些安全加密,可能作为学校写报告还得做,但是真正在互联网上有很多的问题,设备厂商会说我的路由器、交换机负担已经很重了,再给我更重的任务,这很难了,不是很可信。

第三,需要采集报文来重做攻击的路径,有这样的技术会好一些,但是不会解决得很彻底。我们攻击之后,我们希望有事先保护的方案。下面我们提出了一个结构,叫SAVA,我们希望通过SAVA来解决这个问题。

在谈SAVA之前,我先谈一个更大的体系结构,我们叫可信任下一代互联网,这也是我国十一五科技计划的项目,清华大学牵头在承担。我们希望能有这样三层的体系结构来解决互联网安全可信的问题,基础是IPv6的主要设施。有了这样的技术,我可以保证你报文发送的源是真实性的,这是很重要的,有利于我们管理追溯计费等等。在这之上我们有可信任的网络服务层,这里我们需要一个IP地址的语义。这是多重的,在一部分做了你主机应用程序的东西,当然说地址加端口共同做的,总之有语义。特别是在一些移动应用等等方面,有一些问题,如果你用地址来做但是它是可以移动的,移动的话就会变换造成了一些问题。当然有一些解决,但是没有从体系结构上把这两个区分。我们把它区分出来,这当然有相应的机制,这可以是人,也可以是一个计算机应用的进程。一个人可能有多个终端,你有手机在跟着你移动,你有家里的电脑,或者是其它的汽车上网等各种,可能是一对多的关系。一个像服务器可能有多个人在用,这也是一对多的关系,如何保证安全。

另外,这个层次还包含了安全的管理、密钥的管理。基于这样的事情,我们希望构建可安全的网络应用,我们要使用安全的ID,这是体系结构上定的ID。

如果要实现这样的结构,我们的体系标准也需要一个跨层的管控,具体要通过研究和试验网来实现。

下面进入到最重要的环节是可信任网络的基础设施,我们通过SAVA来解决。我们设计原则,SAVA本身也是需要分层的结构,因为互联网非常复杂,最终是用一个解决,最后是失败。我们已经看到了像从一个技术解决失败的例子。我们要分层次,我们现在SAVA是基于IETF设计的,原理上也用IPv4,但是IPv4已经是一个很复杂的网络,一些新的变革在上面不太容易实现,原理上容易实现。IPv6是一个新兴的,我们要向IETF过渡,任何一个有远见或者是有实力的设备厂商或者是软件厂商,今天来看必然是要支持IPv6,至少是双协议栈。所以,我们容易被产业界所接受。

第三,我们是事先防御,不止是事后的追溯,当然部分的部署仍然有收益,不可能在一天替换整个互联网。我们对部署者有一定的收益,除了他不能假冒别人,他自己的地址也得别人假冒,至少在部署的期间内有一定的收益。

最后,我们得考虑性能等各方面。

这是抽象化的SAVA的体系结构,我们知道互联网是由多个自治系统组成,有自己独立决定,有的不愿意部署,有的愿意部署。这个时候我们在自治系统边界服务器上比较好,愿意部署的部署,不愿意部署的经过一段时间也愿意采用。这里是部署之后,分组出来之后,地址的空间一定是SAVA的前缀范围。如果是跟其他的部署者来看,也应该是这样的,应该是一个发起者的源地的空间。

再下一层是IPv6的源地址,一个系统有若干的网络,分组往子网里面发出来或者是接入的,前缀要符合源地址的空间,不能是假冒范围内的。

最底层是接入网,这主要是做的主机级甚至是接口级的,源地址不能假冒。这部分的工作主要是现在SAVA工作组目前第一步在这里做这样的工作。

简单说说Solutions,早期不可能部署了,但是中间有一些部署了,在动。他们之间建立了可信任的关系,中间采用了轻量级的与源地址关联的牵连的技术。接着发展更多的是需要加入,大家可能连成一片,性能会更佳一点。通过他们协议的交互,可以建立一个规则,这个规则跟互联互通的协议是匹配的。如果按照这样的关系,有一些报文绝对不可能从这样的路径出现,主要是这样的思路。

在自治系统内,我们是采用距离加向量的采用,很难把你的方向和距离都进行假冒。最后,我们在SAVA介绍的时候会提到我们的一些报告。

围绕这些技术的设计,我们实现了一些原形的系统在CNGI和CERNET2和一些大学进行了部署试验,这里简单介绍一下。我们有若干个自治系统,我们有客户在浏览自治系统多媒体的服务器,这是正常的流量,我们有很多的监控点。当一个攻击者,他发起一个攻击,比如说假冒他的源地址的空间。如果我们是现在的互联网的体系结构,大家可以看到这攻击的流量。我们正常的服务是被拒绝了,拒绝服务攻击。正常的多媒体浏览的量都已经下降了。我们有了技术之后,可以看到这个包被丢失,从监控的结果来看攻击的流量到这里就没有了,正常的流量会恢复。

这是我们试验床的一个照片,我们在CERNET2里面,现在部署了大概从12个自治系统。在明年,按照科技部十一五计划的要求,我们在CERNET在100个大学要部署这样的技术。所以,为了使这样的技术得到应用,我们要团队厂商来做事情,所以要在IETF标准化。从2006年我们拿到IETF不断地调整,直到去年5月我们的标准出来,这已经是试验标准了。同时,去年实际是5月SAVA工作组也得到了批准,最近我们开始进行具体的讨论,希望在这个工作组我们能做出标准类的成果,如果能成功也是国家科技部的成果。

下面我们谈谈在SAVA工作组中做的工作。第一,我们为什么要需要主机级的东西。如果是攻击者发生了攻击,如果是源地址发生了请求类的报文,回复类会回到攻击者,你在出口是不够的,这些攻击仍然可以使它的邻居受害。我们希望这些假冒的报文,这是SAVI在做事情。我们还会做更高层次的,系统间和系统内的工作。

为了实现SAVI有这样的几件事情要解决,一个是要选择正确的源地址,源地址不可假冒,但是网内我们有没有可以相信的东西,把源地址和他绑在一起,这样就渐渐地实现了对源地址的信任。然后是如何建立初始的绑定,有了绑定之后,使用的假冒地址就可以丢失了。另外有一些特殊情况可能需要重新绑定。通过判断这些特殊情况。在所有的场景这个方法很复杂,但是对不同的剧本有不同的场景有不同的方案。

看看我们有什么可信任的可以绑定,如果我们是交换式的以太网,交换机的端口是可以信任的,或者我们有一些安全的像有很多安全的,有线或者是无线以太网的一些安全的第二层的标识,我们如果和他建立一个安全、可信的IP地址绑定,也是可以的。如果没有正确的底层的,我们可能把一个逻辑上的现成的信息和地址绑定,是这三种情况,都比较简单了。这就是交换机出口端栈,我们可以把地址弄一下,如果这个MAC地址可以信任,我们可以把MAC地址进行绑定。如果我们没有可信的MAC地址,我们需要有一个签证的信息,我插入之后可以验证地址的匹配。

Special Cases,我们可能是一对多的形式。一个SAVI的网络是这样的,或者是我独占端口的,或者是共享的,我的MAC可信任,还有无线的经过、WVLAN的情况。当然,这样的令可能只有一两个交换机是新换的,可能要考虑部署的问题。

Bindin Anchors,在一个没有可用的底层Anchors的情况下,我们后面有的来做这样的事情。如何建立初始的绑定,我们要在多种的地址下工作。IPv4是手工设置的,IPv6是6种了。在地址分配的过程,我们主要是通过监听地址分配的过程来实现初始的绑定,方法叫CPS。监听哪些协议?包括DHCP。管理源是配置的,可以使用一些现有的认证技术,主要表达处理的是动态地址的分配。动态地址的分配,交换机要收到报文的区分,是IPv4的还是IPv6的,还是无状态的方式。然后,你可以根据不同的状态进行处理。分配了合法的机制,建立绑定之后,再做一下冲突地址检测,主要的思想是这样的。

特殊情况,有一些特殊情况我可能多加一些单定的表象可以解决,有一些是特殊的情况,像多个IP地址,这个可以解决。难以表达的是底层的情况,进行处理。进行地址的划分,当你有独立的可以做,另外是通过地址测试来做。

另外,我不可能把一个网一天全换,可能一台交换机到了一定的时期再换。要考虑内存的问题,我们新的交换机需要三种接口。对不同的接口它的操作过程有不同的定义。

目前我们的工作得到了很多厂商的支持。最近国家发改委有2008年试商用的计划,有一个叫IPv6源地址标准规范,这由我们的清华大学牵头,由中国电信、中国移动、赛尔网络参加,另外这也是国家项目,我们要求在明年结束的时候能推出一系列的产品,能推动我国IPv6的产业。同时,国际的厂商思科也非常感兴趣,在IETF的工作当中也在跟我们合作。

最后是总结,基本上介绍了源地址的用处,我们的观点是可以比较大地提高IPv6互联网的安全可信。另外,CERNET清华大学也做了这方面的工作,也得到了国家科研项目的支持。现在我们也非常积极地在IETF进行工作,主要是SAVI工作组,这也得到了各个厂商的支持。在此表示感谢,谢谢大家。

相关推荐
热点推荐
去了内科才知道,2种维生素,连吃30天,炎症清零,肺里干干净净

去了内科才知道,2种维生素,连吃30天,炎症清零,肺里干干净净

王云飞噢噢
2024-03-28 17:11:54
24岁小伙约45岁大妈开房,偷拍整个过程,大妈:一辈子都会有阴影

24岁小伙约45岁大妈开房,偷拍整个过程,大妈:一辈子都会有阴影

青史录
2023-09-19 19:03:40
颜值天花板类型美女(109)

颜值天花板类型美女(109)

娱乐圈酸柠檬
2024-03-12 19:41:27
英国王室故事会:关于凯特行踪,大毛已经给了肯定答案

英国王室故事会:关于凯特行踪,大毛已经给了肯定答案

小虎新车推荐员
2024-03-20 12:51:19
老杜突然公布中菲君子协议,仁爱礁局势大反转了,马科斯求锤得锤

老杜突然公布中菲君子协议,仁爱礁局势大反转了,马科斯求锤得锤

说天说地说实事
2024-03-28 11:07:33
马琳为何放弃孙颖莎临场指挥?对阵平野美宇,看他在场边举动秒懂

马琳为何放弃孙颖莎临场指挥?对阵平野美宇,看他在场边举动秒懂

东球弟
2024-03-28 15:45:49
双方发生跨境交火,16人丧生

双方发生跨境交火,16人丧生

环球时报新闻
2024-03-28 19:24:04
无锡紧追南京,盐城遗憾垫底!江苏各地2023年财政自给率排行出炉

无锡紧追南京,盐城遗憾垫底!江苏各地2023年财政自给率排行出炉

水又木二
2024-03-28 12:14:13
丰田章男,胜利了

丰田章男,胜利了

辣椒车讯
2024-03-28 08:41:28
小米 SU7 车型拥有 32 个收纳位,自带 1/4 螺纹口支持手机支架

小米 SU7 车型拥有 32 个收纳位,自带 1/4 螺纹口支持手机支架

IT之家
2024-03-28 19:35:21
工商银行副行长王景武:已经累计向400多家中小金融机构提供风控技术支持

工商银行副行长王景武:已经累计向400多家中小金融机构提供风控技术支持

北京商报
2024-03-28 12:24:29
出兵帮助俄罗斯打败北约的言论,十分危险且是误国害民

出兵帮助俄罗斯打败北约的言论,十分危险且是误国害民

火星宏观
2024-03-26 07:20:02
印尼总统大选结束,强硬派防长胜出,第一时间就中美博弈做出表态

印尼总统大选结束,强硬派防长胜出,第一时间就中美博弈做出表态

成视Talk
2024-03-28 09:09:04
天津7名老师围殴初三女生,强迫她磕头道歉作伪证,家长曝光内情

天津7名老师围殴初三女生,强迫她磕头道歉作伪证,家长曝光内情

洛洛女巫
2024-03-27 13:07:24
马英九提出登陆,想见大陆最高层,蔡英文一反常态:给予必要协助

马英九提出登陆,想见大陆最高层,蔡英文一反常态:给予必要协助

美食阿鳕
2024-03-27 19:53:50
上海一楼盘开盘收金196.5亿元 刷新项目开盘新纪录

上海一楼盘开盘收金196.5亿元 刷新项目开盘新纪录

财联社
2024-03-28 18:44:02
“表演爱国艺术家”司马南的电影扑街了!院士何祚庥:只能说无语

“表演爱国艺术家”司马南的电影扑街了!院士何祚庥:只能说无语

瑜说还休
2024-03-28 18:02:05
3个男人共用一个女人,彼此之间争风吃醋,月黑风高闹出人命

3个男人共用一个女人,彼此之间争风吃醋,月黑风高闹出人命

胖胖侃咖
2024-03-28 08:00:05
于文文演唱会现场私处清晰可见?真相远比想象的还要恶心

于文文演唱会现场私处清晰可见?真相远比想象的还要恶心

莫问先生
2024-03-26 22:56:49
73岁大爷娶50岁娇妻,2个睾丸却被切了,大爷:还能过性生活吗

73岁大爷娶50岁娇妻,2个睾丸却被切了,大爷:还能过性生活吗

胖胖侃咖
2024-03-28 08:00:05
2024-03-29 05:36:49

科技要闻

李斌李想何小鹏喊你买小米汽车

头条要闻

小米汽车7分钟大定破2万 网友:这价格真可以杀穿同行

头条要闻

小米汽车7分钟大定破2万 网友:这价格真可以杀穿同行

体育要闻

邮报:加入争夺战,曼联也想要奥尔莫

娱乐要闻

莱昂纳多与25岁新女友互相投喂超恩爱

财经要闻

中国版QE要来?国内外机构观点罕见一致

汽车要闻

混动增程双模式 长安UNI-Z售11.79万起

态度原创

数码
教育
亲子
时尚
手机

数码要闻

联想:AMD MI300加速卡卖爆了!

教育要闻

丰台首批拔尖创新人才培养基地校名单出炉!一文盘点北京7区基地校!

亲子要闻

网友:小孩姐让我坐一会儿吧

2024的流行色,一定离不开安可拉红

手机要闻

4299元,努比亚Z60 Ultra摄影师版开售丨超凡AI,大师影像

无障碍浏览 进入关怀版
×