清华大学《SAVA-X 域间源地址验证技术白皮书》正式发布

前言

       缺乏对源地址真实性的验证机制是当前互联网体系结构存在的一个重大安全设计缺陷。当前互联网面临的主要安全威胁中，以伪造源地址为基础的攻击手段（如身份哄骗、中间人攻击、分布式拒绝服务攻击、路由劫持、域名系统缓存投毒等）占据了重要地位，对互联网的安全性和可用性造成极大的破坏，使得网络的安全可信面临极大的挑战，真实源地址验证成为亟需突破的互联网核心技术之一。

       源地址验证体系结构将源地址验证技术分为了三个层次：接入网层、地址域内层、地址域间层。其中地址域间层处于多个不同网络运营商的管理范围，网络连接复杂多变，网络用户缺乏信任，同时域间网络往往是网络的核心所在，承担的流量极其庞大，需要平衡效率和安全，因此需要一套简单、轻量、高效的机制，以抵御域间源地址伪造攻击。

       《白皮书》系统阐述了域间源地址验证（SAVA-X）方案的体系结构、核心模块和关键技术，核心机制包括地址域的管理、数字资源的联盟链维护、状态机维护、标签处理。SAVA-X方案通过标签的正确性，保证源地址的真实性，实现域间源地址验证。

互联网源地址安全现状

       《白皮书》对当前互联网源地址安全现状进行了简要介绍。从IP地址协议和互联网数据包转发设计机制出发，介绍IP地址存在的内在安全问题，阐明源地址可伪造带来的安全问题，并利用CAIDA的数据集对现在互联网源地址可伪造现状进行量化说明。

<<左右滑动查看图片>>  

项目背景

       源地址伪造给运营商带来的主要问题有两个方面：一是难以追溯攻击者身份和位置，二是难以防御基于伪造源地址的网络攻击。目前工业界和学术界提出的域间源地址验证方案可以根据其技术原理分为两类：基于域间路由信息的方案和基于加密标签签名的方案。《白皮书》对各类方案进行了简要的原理描述和优劣分析，指出各个方案的优点和不足。

源地址验证体系结构

      在介绍域间源地址验证技术SAVA-X方案之前，《白皮书》首先介绍了源地址验证体系结构SAVA。SAVA包含了接入网、地址域内、地址域间三层源地址验证，是一种分而治之、端网协同的真实源地址验证体系结构，用于在网络层提供一种透明传输服务，确保互联网每个分组都使用“真实源IP地址”。

<<左右滑动查看图片>>  

层次化域间源地址验证技术

      SAVA-X技术将网络划分为可自嵌套的层次化地址域。控制平面主体是控制服务器和边界路由器，负责地址域管理、成员管理、标签生成、状态机管理、边界路由器配置。数据平面主体是边界路由器，负责标签处理和数据包签名。

<<左右滑动查看图片>>

系统实现与典型应用

       根据《白皮书》的设计，清华大学联合华为和新华三，共同攻关真实源地址验证关键技术，目前已经完成了体系结构的总体设计和支撑平台的研发，华为的NE8000系列核心路由器，新华三的CR16000和CR19000系列核心路由器均已经支持域间源地址验证能力，可以开展现网实验并支持实际商业化部署。

<<左右滑动查看图片>>

标准化进展

      SAVA-X 域间源地址验证技术已经成熟，方案已经完备，已经在工业和信息化部信息通信发展司进行了标准化，目前处于发布实施阶段，并在积极推进在IETF的标准化工作。