CNGI-CERNET2在國際上首次提出了“基于真實(shí)IPv6源地址的網(wǎng)絡(luò)尋址體系結(jié)構(gòu)”,從體系結(jié)構(gòu)上解決下一代互聯(lián)網(wǎng)的安全隱患��。設(shè)計(jì)并實(shí)現(xiàn)了一種包括接入��、域內(nèi)��、域間三個(gè)層次的真實(shí)IPv6源地址網(wǎng)絡(luò)尋址的解決方案��,該方案具有簡單�、松耦合、多重防御�����、支持增量和激勵(lì)部署等特點(diǎn)���,已在 CNGI-CERNET2主干網(wǎng)上大規(guī)模部署�����。國際互聯(lián)網(wǎng)組織IETF已批準(zhǔn)成立工作組SAVA����,專門制定相關(guān)國際標(biāo)準(zhǔn)��。
體系結(jié)構(gòu)
以TCP/IP協(xié)議為核心的互聯(lián)網(wǎng)雖然取得了巨大的成功����,但是仍然存在著許多重大的問題,其中安全性最為突出����,特別是虛假地址和虛假標(biāo)識(shí)問題導(dǎo)致了大量安全問題。對(duì)源地址不做檢查����,使現(xiàn)在的互聯(lián)網(wǎng)缺乏可信任的技術(shù)基礎(chǔ)�,導(dǎo)致互聯(lián)網(wǎng)安全事件頻繁發(fā)生���,可信任度大大降低,限制了互聯(lián)網(wǎng)的進(jìn)一步發(fā)展和應(yīng)用��。然而���,由于地址空間限制等多種原因��,在IPv4的互聯(lián)網(wǎng)上實(shí)現(xiàn)真實(shí)地址尋址已經(jīng)沒有可能���。
CNGI-CERNET2這個(gè)世界上最大規(guī)模的純IPv6試驗(yàn)網(wǎng)為真實(shí)地址尋址技術(shù)的實(shí)現(xiàn)提供了一個(gè)得天獨(dú)厚的試驗(yàn)平臺(tái),使我們有可能重新設(shè)計(jì)互聯(lián)網(wǎng)的體系結(jié)構(gòu)�����,從基礎(chǔ)設(shè)施層面解決互聯(lián)網(wǎng)的重大安全隱患����,改變IPv6互聯(lián)網(wǎng)中“穿新鞋、走老路”的現(xiàn)象���。
在這一背景下��,在CNGI-CERNET2上開展真實(shí)地址尋址技術(shù)的研究和試驗(yàn)�����,加大可信任新一代互聯(lián)網(wǎng)的研究和技術(shù)攻關(guān)力度�����,有望使我國在互聯(lián)網(wǎng)研究����、開發(fā)與應(yīng)用方面進(jìn)入國際先導(dǎo)行列,這對(duì)提升我國信息技術(shù)領(lǐng)域的整體實(shí)力��、促進(jìn)相關(guān)產(chǎn)業(yè)的進(jìn)步�����、推動(dòng)社會(huì)信息化發(fā)展和保障國家信息安全都具有重大而深遠(yuǎn)的意義�。
在這一背景下,本課題首次提出了基于真實(shí)IPv6源地址網(wǎng)絡(luò)尋址體系結(jié)構(gòu)���。所謂基于真實(shí)IPv6地址尋址技術(shù)��,是指互聯(lián)網(wǎng)上傳輸?shù)腎Pv6分組的源地址是真實(shí)的����,即來自于該地址授權(quán)的使用方,假冒源地址的IPv6分組不能在互聯(lián)網(wǎng)上傳輸����。
基于真實(shí)IPv6源地址網(wǎng)絡(luò)尋址體系結(jié)構(gòu)設(shè)計(jì)必須遵循結(jié)構(gòu)簡單、松耦合���、多重防御、支持增量部署���、激勵(lì)部署等原則����,同時(shí)需要為上層可信任應(yīng)用提供支持����。
基于真實(shí)IPv6源地址網(wǎng)絡(luò)尋址體系結(jié)構(gòu)的實(shí)現(xiàn)將對(duì)互聯(lián)網(wǎng)產(chǎn)生重大影響,大大提高互聯(lián)網(wǎng)的可信任性�����。首先,它將大大提高互聯(lián)網(wǎng)的安全性����,改善DDoS攻擊、垃圾郵件泛濫的現(xiàn)象��;其次可以實(shí)現(xiàn)網(wǎng)絡(luò)行為的可追蹤����,威懾網(wǎng)絡(luò)犯罪行為;另外�,這一體系將簡化當(dāng)前互聯(lián)網(wǎng)應(yīng)用的體系結(jié)構(gòu),促進(jìn)互聯(lián)網(wǎng)應(yīng)用的發(fā)展���。
解決方案
本課題設(shè)計(jì)并實(shí)現(xiàn)了一種包括接入�、域內(nèi)�����、域間三個(gè)層次的真實(shí)IPv6源地址網(wǎng)絡(luò)尋址的解決方案�����。
互聯(lián)網(wǎng)由很多自治系統(tǒng)(AS)組成,它們自己決定自己的路由策略和管理機(jī)制����,每個(gè)AS都有自己的地址前綴范圍,負(fù)責(zé)管理該地址前綴范圍的管理和使用����。真實(shí)IP地址訪問的問題實(shí)際上是地址的從屬關(guān)系問題,也就是實(shí)體發(fā)出的報(bào)文應(yīng)該只攜帶它擁有的地址�,報(bào)文只應(yīng)該被擁有其源地址的實(shí)體發(fā)出。在最初的互聯(lián)網(wǎng)設(shè)計(jì)中���,假設(shè)網(wǎng)絡(luò)的所有設(shè)備(包括主機(jī)和路由器)都是可信的����,而在目前復(fù)雜的網(wǎng)絡(luò)環(huán)境下�����,對(duì)主機(jī)的信任已經(jīng)不存在了��,所以必須依靠網(wǎng)絡(luò)的基礎(chǔ)設(shè)施來保證源地址的從屬關(guān)系被實(shí)現(xiàn)��。
基于網(wǎng)絡(luò)本身的分層結(jié)構(gòu)����,真實(shí)地址尋址體系結(jié)構(gòu)分為域間真實(shí)地址訪問、域內(nèi)真實(shí)地址訪問���、子網(wǎng)內(nèi)真實(shí)地址訪問的三部分��。他們有機(jī)的組合在一起�,共同形成一個(gè)真實(shí)地址尋址體系結(jié)構(gòu)���。
部署情況
目前�,基于真實(shí)地址尋址技術(shù)所研發(fā)的原型系統(tǒng)已經(jīng)部署在CNGI-CERNET2的五個(gè)主干節(jié)點(diǎn):北京��、上海��、南京��、廣州�����、武漢��。
經(jīng)過CNGI-CERNET2部署實(shí)驗(yàn)測(cè)試證明��,課題所實(shí)現(xiàn)的原型系統(tǒng)具有很好的抵抗攻擊效果。同時(shí)真實(shí)地址為構(gòu)建可信任用戶身份和可信任的電子郵件�����、BBS和VOIP系統(tǒng)提供了安全的基礎(chǔ)設(shè)施�。
創(chuàng)新點(diǎn)
1.在國際上首次提出基于真實(shí)IPv6源地址的網(wǎng)絡(luò)尋址體系結(jié)構(gòu),該體系結(jié)構(gòu)對(duì)于從根本上改善下一代互聯(lián)網(wǎng)安全問題����、簡化下一代互聯(lián)網(wǎng)應(yīng)用有重要意義。
2.設(shè)計(jì)并實(shí)現(xiàn)了一種包括接入���、域內(nèi)����、域間三個(gè)層次的真實(shí)IPv6源地址網(wǎng)絡(luò)尋址的解決方案����,該方案具有簡單��、松耦合�����、多重防御、支持增量部署���、激勵(lì)部署等特點(diǎn)���。
3.在CNGI-CERNET2主干網(wǎng)上大規(guī)模部署了真實(shí)IPv6源地址的試驗(yàn)系統(tǒng),驗(yàn)證了真實(shí)地址尋址方案的可行性���,同時(shí)為CNGI上其他的研究課題提供了試驗(yàn)平臺(tái)��。
