可信任的下一代互聯(lián)網(wǎng)及其發(fā)展

摘要：目前下一代互聯(lián)網(wǎng)技術中解決互聯(lián)網(wǎng)的安全可信問題的研究還不充分。中國在可信任下一代互聯(lián)網(wǎng)方面已有一些研究進展。清華大學等單位完成的國家高技術研究發(fā)展計劃資助項目(“863”計劃)“可信任下一代互聯(lián)網(wǎng)關鍵技術及應用示范研究”針對當前互聯(lián)網(wǎng)存在的安全可信問題，在重點解決互聯(lián)網(wǎng)真實地址訪問技術難題的基礎上，設計和實現(xiàn)了可信任的互聯(lián)網(wǎng)基礎設施、安全服務和典型應用的原型系統(tǒng)。可信任下一代互聯(lián)網(wǎng)有望為構造可信任計算機網(wǎng)應用、可信任電信網(wǎng)應用、可信任廣電網(wǎng)應用提供支持。

關鍵詞：可信任互聯(lián)網(wǎng)；下一代互聯(lián)網(wǎng)；源地址驗證

Abstract: Currently， the research on the security and credibility issues of the Next Generation Internet (NGI) is still insufficient. China has made some progress in the trustworthy NGI area. Institutes including Tsinghua University completed the National 863 High-tech Project， “Research on key technologies of trustworthy next generation Internet and application demonstration”， which focuses on the security and credibility issues of the current Internet. On this basis of source address validation technology， the project designed and implemented prototype systems of trustworthy Internet infrastructures， security services， and typical applications. The trustworthy NGI is expected to provide support for building of trustworthy computer network applications， trustworthy telecom network applications， and trustworthy IPTV network applications.

Key words: trustworthy Internet; next generation Internet; source address validation

互聯(lián)網(wǎng)已經(jīng)對人類生產生活乃至社會的進步產生了深刻的影響。但是，由于互聯(lián)網(wǎng)體系結構所存在的固有缺陷，互聯(lián)網(wǎng)在安全可信方面正面臨前所未有的嚴峻挑戰(zhàn)，已成為互聯(lián)網(wǎng)應用發(fā)展的主要“瓶頸”問題之一。

未來5至10年內，互聯(lián)網(wǎng)技術將進入更新?lián)Q代的歷史時期，以IPv6為基礎的下一代互聯(lián)網(wǎng)已經(jīng)成為國際、國內的研究熱點。可信任的下一代互聯(lián)網(wǎng)將重點解決下一代互聯(lián)網(wǎng)的更安全更可信問題，應當具有如下主要特征：

(1)確保網(wǎng)絡地址及其位置的真實可信

●真實性：網(wǎng)絡基于真實IPv6地址訪問。

●追查性：根據(jù)真實IPv6源地址可追查網(wǎng)絡地址的真實位置。

●監(jiān)控性: 根據(jù)網(wǎng)絡用戶實體的真實位置可監(jiān)測和控制網(wǎng)絡用戶實體的行為。

(2)增強網(wǎng)絡應用實體的真實可信

●身份可信性：真實IPv6源地址可增強網(wǎng)絡用戶實體身份的可信度。

●應用安全性：可支持安全可信的網(wǎng)絡應用。

真實IPv6源地址尋址結構在可信任的下一代互聯(lián)網(wǎng)的體系結構中，屬于可信任網(wǎng)絡基礎設施層面，也是可信任網(wǎng)絡其他層次的基礎。從可信任的角度出發(fā)，真實IP地址訪問的問題實際上是地址的從屬關系問題，也就是說：實體發(fā)出的報文應該只攜帶它擁有的地址，報文只應該被擁有其源地址的實體發(fā)出。在原來的互聯(lián)網(wǎng)設計中，假設網(wǎng)絡的所有設備(包括主機和路由器)都是可信的。而在目前復雜的網(wǎng)絡環(huán)境下，對主機的信任已經(jīng)不存在，所以必須依靠網(wǎng)絡的基礎設施來保證源地址的從屬關系被實現(xiàn)。基于網(wǎng)絡本身的分層結構，真實地址的訪問體系結構被分為域間真實地址訪問、域內真實地址訪問和子網(wǎng)內真實地址訪問3部分，他們有機地組合在一起，共同形成一個真實地址訪問的框架。

通過實現(xiàn)真實地址的訪問，能夠帶來如下的好處：

●可以直接解決一些偽造源地址的分布式拒絕服務攻擊(DDoS)，比如Reflection攻擊等。

●真實地址訪問，使得互聯(lián)網(wǎng)中的流量更加容易追蹤，使得設計安全機制和網(wǎng)絡管理更加容易。

●可以實現(xiàn)基于源地址的計費、管理和測量。

●可以為安全服務和安全應用的設計提供支持

統(tǒng)一的用戶標識和安全服務在可信任下一代互聯(lián)網(wǎng)的體系結構中，屬于真實地址訪問之上的安全服務層。該安全服務層作為基礎設施為應用層提供的一種公共的安全服務層，利用并封裝底層基礎設施提供的可信任功能，為可信任下一代互聯(lián)網(wǎng)的典型應用提供統(tǒng)一的標識和認證服務。基于真實地址的實體身份標識、身份認證、可信域名服務、密鑰管理服務是實現(xiàn)可信任安全服務的基本安全服務。

從體系結構功能分層的角度出發(fā)，可以把安全服務層作為基礎設施為應用層提供的一種公共的安全服務層，利用并封裝底層基礎設施提供的可信任功能，為可信任下一代互聯(lián)網(wǎng)的典型應用提供統(tǒng)一的標識和認證服務。

可信任下一代互聯(lián)網(wǎng)能夠解決傳統(tǒng)應用中的安全問題，實現(xiàn)可信任的應用，例如可信任電子郵件、可信任BBS和可信任的SIP通信系統(tǒng)等。這些可信任應用可以解決傳統(tǒng)電子郵件系統(tǒng)中郵件地址的真實性問題；解決垃圾郵件的追查機制，杜絕垃圾郵件和郵件病毒；解決傳統(tǒng)BBS系統(tǒng)中用戶行為責任追溯和用戶隱私保護之間的矛盾問題；解決SIP通信系統(tǒng)在可信網(wǎng)絡的環(huán)境中的安全問題等。

1 國際相關研究

在網(wǎng)絡安全服務體系結構領域，早在1988年，國際標準化組織ISO/IEC JTC1就對開放式系統(tǒng)參考模型增加了關于安全體系結構的描述，提出了5種安全服務(認證服務、保密性服務、完整性服務、訪問控制服務、抗抵賴服務)和實現(xiàn)這些安全服務的安全機制，以及這些安全服務和安全機制在開放系統(tǒng)互連(OSI)不同協(xié)議層的功能分配。目前在互聯(lián)網(wǎng)的研究組織IRTF和技術標準組織IETF中也對這個問題展開了工作。雖然RFC1287[1]中就已經(jīng)指出了互聯(lián)網(wǎng)安全參考模型的重要性，但至今仍然沒有一個完整的安全體系結構模型。RFC2401只是IP層的安全框架，其他相關的RFC主要針對各個具體問題提出具體的解決方法，這些安全技術相對獨立，無法從整個體系上滿足系統(tǒng)的安全性需求。目前一些技術研究仍然在進行當中，例如在研究網(wǎng)絡中用戶、主機的認證方面，主機身份協(xié)議(HIP)是其中的一個代表；在網(wǎng)絡路由協(xié)議安全性方面，安全域間路由(SIDR)是其中的一個代表。

美國政府于1996年10月宣布啟動下一代互聯(lián)網(wǎng)(NGI)研究計劃。作為NGI計劃的一個補充部分，美國100多所大學于1996年底聯(lián)合發(fā)起Internet2研究計劃[2]，其目的是利用現(xiàn)有的網(wǎng)絡技術來探索高速信息網(wǎng)絡環(huán)境下的新一代網(wǎng)絡應用，同時力圖發(fā)現(xiàn)現(xiàn)有網(wǎng)絡體系結構理論的缺陷部分，為新的信息網(wǎng)絡理論研究提供需求依據(jù)。在Internet2所提出的下一代網(wǎng)絡的體系結構中，中間件是在網(wǎng)絡和應用之間為各種應用系統(tǒng)提供的一組公共的服務。Internet2中間件計劃(I2-MI) 正開始在Internet2上研究和部署網(wǎng)絡中間件，向上層提供識別、驗證、授權、目錄和安全等方面的服務，其中主要是安全服務。

美國國防部國防先進研究計劃局(DARPA)項目資助了由美國南加州大學信息科學研究所、麻省理工學院計算機科學實驗室和伯克利加州大學國際計算機科學研究所共同參加的新一代Internet體系結構研究項目——NewArch [3]，開展新一代Internet的體系結構研究。該項目組最近的研究成果對目前的Internet進行了反思，提出了下一代互聯(lián)網(wǎng)設計中的幾條原則，例如面向變化的設計、可控制的透明性等。

在防止源地址假冒方面，目前國外的主要研究包括：

(1)IP層的安全通信協(xié)議(IPSec)，它由認證頭(AH)、封裝安全凈荷(ESP)和密鑰管理框架(ISAKMP/IKE)組成，IPSec實現(xiàn)數(shù)據(jù)源發(fā)認證、保密和數(shù)據(jù)完整性。IETF規(guī)定在IPv6 的實現(xiàn)中，IPSec是必須支持的。但是IPSec在性能方面也存在嚴重的問題，即使丟棄了假冒分組，對系統(tǒng)帶來的開銷仍然很大，使DDoS等攻擊仍然可以達到目的。另外核心網(wǎng)絡中的路由器之間的流量很大，如果使用這種技術作為驗證手段，對路由器的負擔過大。

(2)假冒IP地址過濾技術代表性方案有入口過濾 [4]、單播反向路徑轉發(fā)(uRPF)[5]、分布式分組過濾(DPF)[6]、源地址驗證增強機制(SAVE[7]、iSAVE[8])等。入口過濾要求設備制造商的支持和各個ISP間的合作以及全局部署；uRPF無法解決非對稱路由的問題；DPF需要擴展BGP協(xié)議，當網(wǎng)絡中的路由動態(tài)變化時可能導致丟棄正常的分組；SAVE要求全局部署；iSAVE的實現(xiàn)相對復雜。

(3)源地址追蹤技術代表性的方案有SPIE[9]、iTrace[10]和概率分組標記[11]等，主要缺陷是回溯算法比較復雜，事后追溯而無法實時發(fā)現(xiàn)偽造源IP地址。其中概率分組標記類的算法無法應對單一分組地址欺騙的情況。

(4)網(wǎng)絡接入控制技術，例如802.1x[12]等。但這些技術還不能完整地實現(xiàn)網(wǎng)絡層的源地址假冒控制。

2 可信任下一代互聯(lián)網(wǎng)

在清華大學等單位承擔的國家高技術研究發(fā)展計劃資助項目(863計劃)“可信任下一代互聯(lián)網(wǎng)關鍵技術及應用示范研究”中，針對目前互聯(lián)網(wǎng)存在的安全性弱、可信度低、移動性和流媒體業(yè)務承載能力差等主要問題，在重點解決互聯(lián)網(wǎng)真實地址訪問技術難題的基礎上，設計和實現(xiàn)了可信任的互聯(lián)網(wǎng)基礎設施、安全服務和典型應用。目前其中一些關鍵技術已經(jīng)制訂了IETF RFC草案。

2.1 可信任下一代互聯(lián)網(wǎng)體系結構

可信任的下一代互聯(lián)網(wǎng)體系結構是一個層次模型，可以分為可信任的網(wǎng)絡基礎設施層、可信任的安全服務層和可信任的互聯(lián)網(wǎng)應用3個層次，利用基于真實IP地址的網(wǎng)絡基礎設施，構建基于全局用戶標識的可信任的安全服務，實現(xiàn)可信任的下一代互聯(lián)網(wǎng)應用，如圖1所示。

2.2 基于真實IPv6地址的互聯(lián)網(wǎng)基礎設施

當前互聯(lián)網(wǎng)面臨著各種由于缺少信任而帶來的問題。路由轉發(fā)基于目的地址，對于源地址不做檢查，使得偽造源地址攻擊輕易而頻繁。在互聯(lián)網(wǎng)中地址是主機的標識，而缺乏源地址的驗證，使得無法在網(wǎng)絡層建立起信任關系。通過實現(xiàn)真實地址尋址結構，能夠帶來如下的收益：

(1)可以解決一些偽造源地址的DDoS攻擊，比如Reflection攻擊等。

(2)真實地址訪問，使得互聯(lián)網(wǎng)中的流量更加容易追蹤，使得設計安全機制和網(wǎng)絡管理更加容易。

(3)可以實現(xiàn)基于源地址的計費、管理和測量。

(4)可以為安全服務和安全應用的設計提供支持。

基于網(wǎng)絡本身的分層結構，真實地址的訪問體系結構被分為域間真實地址訪問、域內真實地址訪問和子網(wǎng)內真實地址訪問的3部分，他們有機地組合在一起，共同形成一個真實地址訪問的框架，如圖2所示。

域間真實地址方法實現(xiàn)AS(自治系統(tǒng))粒度的真實地址驗證功能。根據(jù)驗證規(guī)則的生成方式，設計實現(xiàn)了兩類方法：基于路徑信息方法和基于端到端輕量級簽名的方法。前一種方法適合于鄰接部署，后一種方法適合于非鄰接部署。

域內真實地址方法實現(xiàn)地址前綴級的真實地址驗證功能。設計了基于路徑和距離的反向地址查找機制和源地址驗證模塊，可以部署在邊緣路由器或域內路由器上。

子網(wǎng)內真實地址方法保證在網(wǎng)絡中的報文應該來自擁有該報文源地址所有權的某子網(wǎng)內的主機。針對不同的部署能力，設計了兩類方法：IPv6真實地址分配和接入交換機的準入控制機制；主機與安全網(wǎng)關之間端到端的認證機制。

與國際上各種源地址假冒防御機制相比，上述這些機制和協(xié)議具有簡單高效、松耦合、多重防御、支持增量部署和激勵機制等優(yōu)點，形成了一個完整的系統(tǒng)解決方案。

2.3 可信任下一代互聯(lián)網(wǎng)安全服務

從體系結構功能分層的角度出發(fā)，把安全服務層作為基礎設施為應用層提供的一種公共的安全服務層，利用并封裝底層基礎設施提供的可信任功能，為下一代互聯(lián)網(wǎng)的典型應用提供統(tǒng)一的標識和認證服務。

選擇域名系統(tǒng)作為統(tǒng)一的用戶標識，選擇遠程撥號用戶認證(RADIUS)和Diameter協(xié)議作為管理域內的認證標準，選擇DNS安全擴展(DNSSec)結合傳統(tǒng)公鑰基礎設施(PKI)作為密鑰管理的基礎設施。

基于真實地址的實體身份標識、身份認證、可信域名服務、密鑰管理服務是實現(xiàn)可信任安全服務的基本安全服務。

在真實地址和標識的互聯(lián)網(wǎng)環(huán)境下，應用系統(tǒng)的體系結構、認證和密鑰管理的方式都可以得到簡化，主要體現(xiàn)在以下幾個方面：

(1)利用域名系統(tǒng)實現(xiàn)統(tǒng)一的實體標識，實現(xiàn)跨管理域的分布式應用。由于域名系統(tǒng)是可擴展的、比較成熟的標識體系，借助域名系統(tǒng)實現(xiàn)的統(tǒng)一實體標識體系也具有良好的可擴展性，而且用戶容易接受、容易記憶。

(2)利用安全服務提供統(tǒng)一標識和跨域的身份認證，而不需要每個應用系統(tǒng)分別實現(xiàn)各自的認證系統(tǒng)。

(3)通過域名服務提供的密鑰管理機制，可以實現(xiàn)靈活的、可擴展的密鑰管理和協(xié)商方式。

2.4 可信任下一代互聯(lián)網(wǎng)典型應用

在可信任下一代互聯(lián)網(wǎng)典型應用中設計和實現(xiàn)了基于真實地址的可信任電子郵件、可信任BBS和可信任SIP通信系統(tǒng)等領域的研究與系統(tǒng)開發(fā)工作。以真實地址基礎設施和安全服務為基礎，解決了一些在傳統(tǒng)應用系統(tǒng)中無法解決的關鍵問題：

●解決了傳統(tǒng)電子郵件系統(tǒng)中郵件地址的真實性問題；

●解決了垃圾郵件的追查機制，杜絕了垃圾郵件和郵件病毒；

●解決了傳統(tǒng)BBS系統(tǒng)中用戶行為責任追溯和用戶隱私保護之間的矛盾問題；

●解決了SIP通信系統(tǒng)在可信網(wǎng)絡的環(huán)境的安全問題，如假冒服務、拆卸會話等；

●基于真實域名服務器(DNS)的服務，解決了SIP通信系統(tǒng)體系結構和信令過程的優(yōu)化問題。

2.5 可信任下一代互聯(lián)網(wǎng)試驗床

目前基于CNGI-CERNET2已經(jīng)部署了包含12個真實地址實驗自治系統(tǒng)的可信任下一代互聯(lián)網(wǎng)試驗床。其中部署了真實地址網(wǎng)絡設備原型系統(tǒng)，流量監(jiān)控系統(tǒng)，可信任安全服務系統(tǒng)，可信任電子郵件、BBS和VOIP等應用，如圖3所示。

3 可信任下一代互聯(lián)網(wǎng)的發(fā)展趨勢

近一兩年來，國際上陸續(xù)開展了一些新的研究計劃。其中比較著名的是美國自然科學基金會(NSF)啟動的GENI[13]和FIND[14]研究計劃。GENI試圖發(fā)現(xiàn)和評估可以作為21世紀互聯(lián)網(wǎng)基礎的新的革命性概念、示范和技術，建立一個支持新網(wǎng)絡體系結構探索和評估的大規(guī)模試驗環(huán)境，他們期望未來的互聯(lián)網(wǎng)具有以下特點：值得社會信任，激發(fā)科學和工程革命，支持新技術融合，支持普適計算，成為物理世界和虛擬世界的橋梁，支持革命性服務和應用。FIND是美國NSF另外一個研究計劃。美國的科學家已經(jīng)在考慮從現(xiàn)在開始的15年內全球互聯(lián)網(wǎng)是什么樣子，以面向端到端的體系結構為基礎，研究傳感器系統(tǒng)網(wǎng)絡(NOSS)、可編程的無線通信、廣義聯(lián)網(wǎng)。美國試圖通過這些前瞻性的研究計劃保持其在信息技術和互聯(lián)網(wǎng)領域的領導地位。雖然目前這些計劃還沒有取得實質性成果，但從其研究計劃中可以看到可信任互聯(lián)網(wǎng)是其中的重要課題。例如其中一些研究者提出了Passport結構[15]。

可以預見，未來可信任互聯(lián)網(wǎng)的研究，主要涉及以下幾個方面的技術研究：

●可信任下一代互聯(lián)網(wǎng)體系結構和標準體系，以可信任互聯(lián)網(wǎng)為基礎支持“三網(wǎng)合一”；

●可信任下一代互聯(lián)網(wǎng)真實地址關鍵技術，以及支持真實地址的路由器、交換機和專用網(wǎng)絡設備；

●基于可信任下一代互聯(lián)網(wǎng)的全局標識的安全服務；

●可信任下一代互聯(lián)網(wǎng)應用，包括P2P應用，IPTV和互動電視，無線和移動應用；

●從當前互聯(lián)網(wǎng)向可信任下一代互聯(lián)網(wǎng)過渡的技術；

●大規(guī)模的可信任下一代互聯(lián)網(wǎng)試驗網(wǎng)。

4 結束語

以IPv6為基礎的下一代互聯(lián)網(wǎng)已經(jīng)成為國際國內的研究熱點之一，但是目前下一代互聯(lián)網(wǎng)技術中解決互聯(lián)網(wǎng)的安全可信問題的研究還不充分。針對這個問題，中國在過去幾年里已經(jīng)取得了一些初步研究成果，正在繼續(xù)深入開展。中國發(fā)展可信任下一代互聯(lián)網(wǎng)是保證國家信息基礎設施和網(wǎng)絡應用的安全可信的需要，符合國家的創(chuàng)新發(fā)展戰(zhàn)略，可以帶動中國科技和產業(yè)化的發(fā)展。

隨著互聯(lián)網(wǎng)特別是下一代互聯(lián)網(wǎng)的發(fā)展，IPv6協(xié)議將成為三網(wǎng)融合的基礎。以可信任下一代互聯(lián)網(wǎng)為基礎，可有望為構造可信任計算機網(wǎng)應用、可信任電信網(wǎng)應用、可信任廣電網(wǎng)應用提供支持。

可信任網(wǎng)絡的研究還存在許多值得進一步深入研究的地方，希望有更多的研究者可以加入到可信任網(wǎng)絡的研究和建設中來。

5 參考文獻

[1] KENT S， ATKINSON R. Security architecture for the Internet protocol [R]. RFC2401， 1998.

[2] Building Tomorrow's Internet [EB/OL]. http://www.internet2.org/.

[3] NewArch Project: Future-Generation Internet Architecture [EB/OL]. http://www.isi.edu/newarch/.

[4] FERGUSON P， SENIE D. Network ingress filtering: Defeating denial of service attacks which employ IP source address spoofing [R]. RFC2827， 2000.

[5] BAKER F， SAVOLA P. Ingress filtering for multihomed networks [R]. RFC3704， 2004.

[6] PARK K， LEE H. On the effectiveness of route-based packet filtering for distributed DoS attack prevention in power-law Internets [C]// Proceedings of Conference on Applications， Technologies， Architectures， and Protocols for Computer Communication (SIGCOMM 2001)， Aug 27-31， 2001， San Diego， CA， USA. New York， NY，USA:ACM， 2001:15-26.

[7] LI J， MIRKOVIC J， WANG M P， et al. SAVE: source address validity enforcement protocol [C]// Proceedings of IEEE Annual Joint Conference of the IEEE Computer and Communications Societies (INFOCOM 2002): Vol3， Jun 23-27， 2002， New York， NY， USA. Piscataway， NJ，USA: IEEE，2002:1557-1566.

[8] MIRKOVIC J， XU ZHIGUO， LI JUN， et al. iSAVE: incrementally deployable source address validation [R]. CSD-TR-020030. Los Angeles， CA， USA: University of California， 2002.

[9] SNOEREN A C， PARTRIDGE C， LUIS A， et al. Hash-based IP traceback [C]// Proceedings of Conference on Applications， Technologies， Architectures， and Protocols for Computer Communication (SIGCOMM 2001)， Aug 27-31，2001， San Diego， CA， USA. New York.NY，USA:ACM，2001:3-14．

[10] BELLOVIN S， LEECH M， TAYLOR T. ICMP traceback messages [R]. RFC2026， 2003.

[11] SAVAGE S， WETHERALL D， KARLIN A， et al. Practical network support for IP traceback[C]// Proceedings of Conference on Applications， Technologies， Architectures， and Protocols for Computer Communication (SIGCOMM 2000)， Aug 28-Sep 1， 2000， Stockholm， Sweden. New York， NY，USA: ACM， 2000: 295-306.

[12] CONGDON P， ABOBA B， SMITH A， et al. IEEE 802.1X Remote authentication dial in user， service (RADIUS) usage guidelines. RFC3580， 2003.

[13] GENI net Global Environment for Network Innovations [EB/OL]. http://www.geni.net/.

[14] NSF NeTS FIND Initiative [EB/OL]. http://www.nets-find.net/.

[15] LIU XIN， YANG XIAOWEI. Efficient and secure source authentication with packet passports [C]//Proceedings of the 2nd conference on Steps to Reducing Unwanted Traffic on the Internet (SRUTI 2006): Vol2， Jul 6-7， 2006， San Jose， CA，USA. 2006: 7-13.

收稿日期：2007-12-09

作者簡介

吳建平，中國教育和科研計算機網(wǎng)專家委員會主任，中國教育和科研計算機網(wǎng)網(wǎng)絡中心主任，清華大學信息網(wǎng)絡工程研究中心主任、教授、博士生導師。目前主要研究領域為互聯(lián)網(wǎng)、高性能網(wǎng)絡、網(wǎng)絡協(xié)議工程學等。

畢軍，清華大學信息網(wǎng)絡工程研究中心網(wǎng)絡體系結構和IPv6研究室主任、教授、博士生導師。美國貝爾實驗室博士后。主要研究領域為互聯(lián)網(wǎng)體系結構和協(xié)議、下一代互聯(lián)網(wǎng)和IPv6、高性能網(wǎng)絡互聯(lián)系統(tǒng)等。