前言：尋找寫作靈感？中文期刊網(wǎng)用心挑選的可信互聯(lián)網(wǎng)IP管理現(xiàn)狀，希望能為您的閱讀和創(chuàng)作帶來(lái)靈感，歡迎大家閱讀并分享。

1IP地址分配與域間路由安全傳統(tǒng)的域間路由協(xié)議BGP［4］(bordergatewayprotocol，邊界網(wǎng)關(guān)協(xié)議)存在很多安全隱患［5］，對(duì)路由通告內(nèi)容不加以驗(yàn)證，錯(cuò)誤甚至蓄意偽造的路由可達(dá)信息可以隨意在互聯(lián)網(wǎng)上傳播。具體表現(xiàn)為兩種形式:IP地址前綴劫持和自治域路徑信息竄改。前者是指某個(gè)自治域發(fā)出一個(gè)非本自治域內(nèi)的IP地址前綴路由可達(dá)通告，導(dǎo)致網(wǎng)絡(luò)中以該IP地址前綴為路由目的的全部或者部分流量被路由至該自治域;后者是指蓄意修改BGP報(bào)文的自治域路徑信息以傳播虛假的網(wǎng)絡(luò)拓?fù)湫畔?，為后續(xù)網(wǎng)絡(luò)攻擊行為作鋪墊。   有眾多研究針對(duì)BGP的安全缺陷提出了解決方案:a)以S-BGP［6］、SoBGP［7］等為代表，旨在協(xié)議層面彌補(bǔ)BGP的安全缺陷，以抵御IP地址前綴劫持和自治域路徑信息竄改兩種形式的攻擊;b)以DoAV［8］、IPa+［9］以及RPKI［10］為代表，從完善IP地址分配機(jī)制的角度來(lái)避免IP地址前綴劫持。前者涉及BGP的協(xié)議改進(jìn)，與IP地址管理無(wú)直接聯(lián)系，本文不作討論;后者從IP地址管理的角度出發(fā)來(lái)保障互聯(lián)網(wǎng)域間路由安全，是本文要探研討的重點(diǎn)。   IP地址前綴和路由源的自治域號(hào)(AS號(hào))的正確映射關(guān)系是抵御IP地址前綴劫持的關(guān)鍵。互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)(如亞太互聯(lián)網(wǎng)絡(luò)信息中心)天然地?fù)碛蠥S號(hào)和IP地址的分配信息以及兩者的映射關(guān)系，但這些信息缺乏統(tǒng)一的數(shù)據(jù)格式，數(shù)據(jù)的完整性和一致性也缺乏保障。此外，提供這些信息的查詢工具WHOIS［11］協(xié)議沒(méi)有驗(yàn)證機(jī)制，很容易遭受各種類型的攻擊。因此，有效地組織IP地址分配信息并構(gòu)建授權(quán)信息的驗(yàn)證體系，成為在IP地址管理層面抵御IP地址前綴劫持的技術(shù)路線。   1.1基于DNS資源記錄的路由源信息   基于DNS的公共目錄服務(wù)性質(zhì)和DNSSEC［12］安全擴(kuò)展機(jī)制，以DoAV和IPa+為代表的技術(shù)方案通過(guò)對(duì)DNS相關(guān)資源記錄進(jìn)行修改，實(shí)現(xiàn)了IP地址前綴和其路由源映射關(guān)系的。使用DNS反向解析樹來(lái)反映IP地址分配以及授權(quán)信息，是這類技術(shù)方案的核心思想。DoAV建議在DNS反向解析樹中新增一條子樹bgp．in-ad-dr．a(chǎn)rp來(lái)實(shí)現(xiàn)特定IP地址前綴到其路由源AS號(hào)的映射。   DoAV設(shè)計(jì)了一種新的DNS資源記錄類型“AS記錄”來(lái)完成信息的。假定IP地址前綴205．1．1/24授權(quán)AS號(hào)為2914的自治域?yàn)槠渫ǜ媛酚煽蛇_(dá)信息，那么該IP地址前綴信息的持有機(jī)構(gòu)，在其維護(hù)的DNS區(qū)文件中添加的資源記錄為1．1．205．bgp．in-addr．a(chǎn)rpa．AS291424。基于DoAV的設(shè)計(jì)，邊界路由器在使用BGP交換路由可達(dá)信息時(shí)，在DNS反向解析樹中查詢相關(guān)IP地址前綴的AS記錄，以驗(yàn)證BGP消息中IP地址前綴的路由可達(dá)信息是否屬實(shí)。而DNS查詢數(shù)據(jù)本身的可信問(wèn)題交由DNSSEC去解決?？紤]到新設(shè)計(jì)的AS記錄在短期內(nèi)無(wú)法部署，DoAV建議將相關(guān)的路由源信息數(shù)據(jù)放在TXT記錄中，但并未給出詳細(xì)的TXT文本表示語(yǔ)法。   作為域間路由安全領(lǐng)域的典型解決方案，S-BGP盡管設(shè)計(jì)周密，但需要重新構(gòu)建一個(gè)全球范圍的PKI［13］是其部署的最大障礙。2009年底，ICANN(theInternetCorporationforAs-signedNamesandNumbers，互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu))對(duì)DNSSEC實(shí)施“根簽”，構(gòu)建了一個(gè)基于DNS樹的全球信任體系。為解決S-BGP在部署方面的困難，ipa+將DNSSEC資源記錄作為一種輕量級(jí)的證書，以完成IP地址前綴與其持有實(shí)體公鑰的關(guān)聯(lián)。與DoAV類似，IPa+也利用了DNS中的IP地址反向解析樹來(lái)完成資源的，并通過(guò)DNSSEC中新增的DS記錄來(lái)證明IP地址的授權(quán)分配關(guān)系。例如，ARIN(北美互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu))持有IP地址塊165．0．0．0/8，將其子空間165．72．0．0/16分配給AT＆T(美國(guó)電話電報(bào)公司)。按照IPa+的設(shè)計(jì)，ARIN通過(guò)DNSSEC的DS資源記錄72．165．in-addr．a(chǎn)rpaDSHash(KEYAT＆T)來(lái)證明AT＆T公鑰的真實(shí)性，以支撐S-BGP所設(shè)計(jì)的路由可達(dá)信息簽名機(jī)制。考慮到IP地址前綴的路由源信息不會(huì)太過(guò)頻繁，為提高驗(yàn)證效率，IPa+采用了周期查詢并將查詢結(jié)果進(jìn)行緩存的驗(yàn)證機(jī)制。   1.2基于RPKI的路由源聲明正如IPa+提到的那樣，構(gòu)建一個(gè)覆蓋全球范圍的PKI是S-BGP的最大部署障礙。然而，RPKI(resourcePKI)［10］的出現(xiàn)，不僅為S-BGP提供了實(shí)施基礎(chǔ)，更為IP地址資源管理提供了一個(gè)可信的基礎(chǔ)平臺(tái)。   以X．509證書基本格式為基礎(chǔ)，RPKI通過(guò)使用資源證書擴(kuò)展［14］延伸了PKI的功能。資源證書擴(kuò)展添加了新的X．509值域，用于攜帶證書持有者所擁有的IP地址資源或AS號(hào)。參照現(xiàn)有的IP地址分配體系，上游節(jié)點(diǎn)既是其鄰接下游節(jié)點(diǎn)的資源分配者，也是其鄰接下游節(jié)點(diǎn)所持有資源證書的頒發(fā)者。   由于層次化的IP地址分配體系，RPKI為樹型信任結(jié)構(gòu)，并采用分布式的RPKI資料庫(kù)存儲(chǔ)IP地址分配信息。每當(dāng)有IP地址分配信息更新時(shí)，RPKI中的IP地址分配者就將新簽發(fā)的資源證書到其管理的RPKI資料庫(kù)中。   基于RPKI，IP地址前綴的路由源信息經(jīng)由一種稱為路由源聲明的簽名項(xiàng)，用于說(shuō)明某個(gè)IP地址前綴授權(quán)給某個(gè)AS號(hào)進(jìn)行路由可達(dá)通告。當(dāng)需要授權(quán)某個(gè)AS號(hào)為特定的IP地址前綴通告路由可達(dá)信息時(shí)，該IP地址前綴的持有者使用其資源證書對(duì)應(yīng)的私鑰簽發(fā)一個(gè)EE(endpointentity)證書，然后再用EE證書對(duì)應(yīng)的私鑰產(chǎn)生路由源聲明簽名項(xiàng)。EE證書中的IP地址前綴與路由源聲明所表征的IP地址前綴一致。   完成授權(quán)后，IP地址前綴持有者將相應(yīng)的路由源聲明連同產(chǎn)生該簽名項(xiàng)的EE證書到其管理的RPKI資料庫(kù)中。   依托RPKI所提供的可信IP地址分配信息以及授權(quán)信息，驗(yàn)證者和RPKI服務(wù)器負(fù)責(zé)將這些信息推送給邊界路由器，供其驗(yàn)證BGP消息所攜帶的IP地址前綴路由源信息。驗(yàn)證者(relyingparty)在全球范圍內(nèi)周期性地下載各個(gè)RPKI資料庫(kù)的數(shù)據(jù)，并通過(guò)構(gòu)造證書路徑完成對(duì)路由源聲明的驗(yàn)證。驗(yàn)證通過(guò)后，路由源聲明中攜帶的授權(quán)信息被推送到全球各個(gè)角落的本地緩存中。一旦收到關(guān)于某個(gè)IP地址前綴的路由可達(dá)通告，邊界路由器通過(guò)RPKI/router協(xié)議［15］向RPKI服務(wù)器發(fā)起查詢，獲得本地緩存的關(guān)于該IP地址前綴的授權(quán)信息，同路由可達(dá)通告中攜帶的路由源信息比較是否一致，并結(jié)合本地策略選擇是否信任該路由可達(dá)通告。#p#分頁(yè)標(biāo)題#e#   目前，RPKI在全球范圍內(nèi)引起了廣泛關(guān)注。全球五大地址注冊(cè)機(jī)構(gòu)都已提供RPKI證書業(yè)務(wù)，而在技術(shù)實(shí)現(xiàn)層面，互聯(lián)網(wǎng)工程任務(wù)組(InternetEngineeringTaskForce，IETF)的SIDR(SecureInter-DomainRouting)工作組正在積極推進(jìn)其標(biāo)準(zhǔn)化工作。   1.3小結(jié)   圍繞IP地址前綴和路由源AS號(hào)的正確映射關(guān)系，或借助DNSSEC服務(wù)，或在IP地址分配體系中構(gòu)建PKI，以上技術(shù)方案都實(shí)現(xiàn)了IP地址分配關(guān)系和授權(quán)信息的真實(shí)可信，有效地抵御了IP地址前綴劫持。但DoAV、IPa+和RPKI三者在部署機(jī)制、效率以及在域間路由安全的可擴(kuò)展性方面有所差異，而比較這些差異則是構(gòu)建可信互聯(lián)網(wǎng)的重要考量元素。表1給出了DoAV、IPa+以及RPKI三者的比較。   借助DNSSEC所構(gòu)建的信任鏈，使用DNS反向解析子樹來(lái)反映IP地址分配信息以及授權(quán)信息的方法得以實(shí)現(xiàn)。這種方法的優(yōu)勢(shì)在于充分利用了現(xiàn)有DNS基礎(chǔ)設(shè)施和DNS反向解析子樹呈現(xiàn)的IP地址分配關(guān)系，DoAV和IPa+免去了構(gòu)建額外認(rèn)證體系的開銷，相比RPKI，部署代價(jià)較小。在IP地址分配信息以及授權(quán)信息獲取方面，DoAV和IPa+使用DNS的遞歸解析服務(wù)器，RPKI使用專門的驗(yàn)證實(shí)體，后者需要額外部署驗(yàn)證業(yè)務(wù)。此外，RPKI引入了新的查詢協(xié)議，需要邊界路由器升級(jí)軟件。   作為一種全新的IP地址資源管理機(jī)制，RPKI的部署代價(jià)盡管較高，但其通過(guò)構(gòu)建IP地址分配以及授權(quán)信息的認(rèn)證體系，為互聯(lián)網(wǎng)域間路由安全的各種技術(shù)方案提供了實(shí)施平臺(tái)。   DoAV和IPa+僅僅面向IP地址前綴劫持，而RPKI通過(guò)BG-PSEC［16］的擴(kuò)展還可以抵御自治域路徑信息竄改。然而，RPKI未能將IP地址分配以及授權(quán)領(lǐng)域的所有問(wèn)題考慮周全，比如在當(dāng)前IPv4地址即將耗盡的背景下，IP地址交易認(rèn)證(re-sourcetransferintheglobalRPKI)會(huì)對(duì)RPKI的運(yùn)行產(chǎn)生影響，需今后作進(jìn)一步研究。   2IP地址配置與接入網(wǎng)安全在當(dāng)前的互聯(lián)網(wǎng)體系結(jié)構(gòu)下，IP地址是主機(jī)在互聯(lián)網(wǎng)上的身份標(biāo)志，因此IP地址的配置安全直接影響到網(wǎng)絡(luò)運(yùn)營(yíng)商訪問(wèn)控制、計(jì)費(fèi)、溯源等管理技術(shù)的實(shí)施，是構(gòu)建可信互聯(lián)網(wǎng)在接入網(wǎng)層面的主要內(nèi)容之一。根據(jù)不同的配置策略，IP地址配置主要有靜態(tài)配置、動(dòng)態(tài)配置以及無(wú)狀態(tài)自動(dòng)配置［17］三類。   其中，無(wú)狀態(tài)自動(dòng)配置是IPv6內(nèi)置的新協(xié)議，靜態(tài)和動(dòng)態(tài)配置可以經(jīng)由主機(jī)配置領(lǐng)域的標(biāo)準(zhǔn)化協(xié)議DHCP［18，19］(dynamichostconfigurationprotocol，動(dòng)態(tài)主機(jī)配置協(xié)議)完成。根據(jù)配置對(duì)象不同的網(wǎng)絡(luò)層協(xié)議，DHCP分為DHCPv4［18］和DHCPv6［19］兩個(gè)版本。在IPv4時(shí)代，由于IP地址稀缺，按需動(dòng)態(tài)的集中式IP地址配置方法DHCPv4被廣泛應(yīng)用;伴隨IPv6的到來(lái)，IP地址盡管豐富，但由于集中式的IP地址配置機(jī)制便于網(wǎng)絡(luò)管理實(shí)體對(duì)終端施加控制，DHCPv6的功能擴(kuò)展和標(biāo)準(zhǔn)化工作仍然是IETF的重點(diǎn)工作之一?？紤]到DHCP在IP地址配置領(lǐng)域的重要地位，本章通過(guò)梳理DHCP安全領(lǐng)域的技術(shù)方案來(lái)研討IP地址配置和接入網(wǎng)安全之間的關(guān)系。   服務(wù)器和客戶端是DHCP范疇內(nèi)最基本的兩個(gè)角色，DH-CP的安全問(wèn)題主要來(lái)自未授權(quán)的DHCP服務(wù)器和未授權(quán)的DHCP客戶端。前者指的是惡意主機(jī)偽裝成DHCP服務(wù)器，向用戶主機(jī)提供錯(cuò)誤的IP地址等網(wǎng)絡(luò)參數(shù)，導(dǎo)致用戶主機(jī)無(wú)法正常接入互聯(lián)網(wǎng);后者是指惡意主機(jī)偽造成某個(gè)接入網(wǎng)的合法DHCP客戶端，盜用該網(wǎng)絡(luò)的IP地址、接入帶寬等資源。因此，授權(quán)和身份驗(yàn)證是DHCP安全的核心內(nèi)容。   2.1DHCP帶外安全技術(shù)   由于早期的DHCP技術(shù)規(guī)范中缺乏安全機(jī)制，一類以DH-CPsnooping［20］和UA-DHCP［21］為代表的技術(shù)方案將IP地址配置管理和接入控制結(jié)合起來(lái)，在DHCP機(jī)制以外尋求IP地址配置安全問(wèn)題的對(duì)策。   DHCPsnooping是目前廣泛應(yīng)用的一種基于鏈路層的安全技術(shù)系列，可以用于控制DHCP服務(wù)器應(yīng)答報(bào)文的來(lái)源，以防止網(wǎng)絡(luò)中偽裝或非法的DHCP服務(wù)器為主機(jī)配置IP地址及其他網(wǎng)絡(luò)參數(shù)。DHCPsnooping對(duì)交換機(jī)端口進(jìn)行區(qū)分，將與合法的DHCP服務(wù)器直接或間接連接的端口設(shè)定為信任端口，而將其余端口設(shè)置為非信任端口。DHCPsnooping交換機(jī)僅轉(zhuǎn)發(fā)來(lái)自其信任端口的DHCP應(yīng)答消息，保證DHCP客戶端獲取正確的IP地址。對(duì)于來(lái)自非信任端口的DHCP服務(wù)器應(yīng)答消息，DHCPsnooping交換機(jī)將其丟棄，防止DHCP客戶端獲得錯(cuò)誤的IP地址。由于DHCP服務(wù)器一般靜態(tài)地接入網(wǎng)絡(luò)，DHCPsnooping能夠有效地消除未授權(quán)的DHCP服務(wù)器帶來(lái)的安全隱患，但DHCPsnooping缺乏認(rèn)證機(jī)制，未授權(quán)的DHCP客戶端盜用IP地址資源的問(wèn)題無(wú)法解決。此外，DHCPsnooping依賴物理端口信息，僅適用于交換式局域網(wǎng)，無(wú)法在介質(zhì)共享式以太網(wǎng)中保障DHCP的安全。   UA-DHCP提出了一種基于“用戶名/密碼”的DHCP客戶端認(rèn)證機(jī)制。UA-DHCP沒(méi)有改變DHCP的核心協(xié)議，而是在DHCP之外增加了新的認(rèn)證機(jī)制。按照UA-DHCP的設(shè)計(jì)，用戶主機(jī)首先通過(guò)DHCP獲得IP地址，該IP地址不能立即使用，僅用于與認(rèn)證服務(wù)器交互完成用戶名和密碼的驗(yàn)證。驗(yàn)證通過(guò)后，網(wǎng)關(guān)打開該IP地址接入權(quán)限，UA-DHCP周期性檢查用戶主機(jī)的IP地址是否處在租約期內(nèi)，如果過(guò)期，則立即要求該IP地址對(duì)應(yīng)的用戶輸入密碼加以重新驗(yàn)證;如果驗(yàn)證不能通過(guò)，則收回IP地址，關(guān)閉網(wǎng)關(guān)中該IP地址的接入權(quán)限。本質(zhì)上，UA-DHCP先通過(guò)DHCP配置主機(jī)的IP地址，然后對(duì)用戶加以認(rèn)證來(lái)判定是否開放該IP地址的接入權(quán)限，是抵御未授權(quán)的DHCP客戶端盜用IP地址資源的安全技術(shù)。然而，UA-DHCP中基于用戶名和密碼一致性檢查的方法，只能用于一個(gè)管理域內(nèi)，無(wú)法適用于漫游主機(jī)上的DHCP客戶端認(rèn)證。2.2DHCP安全擴(kuò)展技術(shù)帶外機(jī)制的DHCP安全保護(hù)機(jī)制或依賴接入環(huán)境特征，或依賴接入控制策略，沒(méi)有從根本上改變DHCP缺乏身份驗(yàn)證機(jī)制的現(xiàn)實(shí)，因此在DHCP的協(xié)議范疇內(nèi)尋求安全問(wèn)題的對(duì)策，成為學(xué)術(shù)界和工業(yè)界一直以來(lái)的熱點(diǎn)技術(shù)路線，并形成了以DelayedAuth［22］、DHCP++［23］、KerbAuth［24］、SigZero［25］以及E-DHCP［26］等為代表的DHCP安全擴(kuò)展研究領(lǐng)域，以解決DHCP安全范疇中身份驗(yàn)證的問(wèn)題。 #p#分頁(yè)標(biāo)題#e#   作為DHCP安全擴(kuò)展技術(shù)領(lǐng)域中唯一的IETF標(biāo)準(zhǔn)，De-layedAuth通過(guò)在DHCP服務(wù)器和DHCP客戶端之間配置預(yù)共享密鑰完成雙向的身份驗(yàn)證，但密鑰的預(yù)共享機(jī)制使得De-layedAuth難以靈活且高效地應(yīng)對(duì)站點(diǎn)級(jí)網(wǎng)絡(luò)中大量的配置工作。此外，DelayedAuth不支持主機(jī)的跨域管理，一旦主機(jī)變更了接入點(diǎn)，DHCP服務(wù)器和DHCP客戶端之間的預(yù)共享密鑰就不再有效。隨著海量的移動(dòng)主機(jī)接入互聯(lián)網(wǎng)，支持跨域身份驗(yàn)證的DHCP安全擴(kuò)展成為后續(xù)方案所秉持的基本目標(biāo)。與DelayedAuth類似，DHCP++同樣在DHCP服務(wù)器和DHCP客戶端之間實(shí)現(xiàn)了基于共享密鑰的消息認(rèn)證碼的身份驗(yàn)證機(jī)制。較之DelayedAuth中密鑰的預(yù)共享模式，DHCP++通過(guò)將密鑰協(xié)商過(guò)程嵌入到DHCP的基本消息交互中，實(shí)現(xiàn)了驗(yàn)證密鑰的自動(dòng)化管理，支持漫游主機(jī)的跨域認(rèn)證，但DHCP++的密鑰協(xié)商機(jī)制需要依賴可信第三方為DHCP服務(wù)器和DHCP客戶端簽發(fā)證書。   KerbAuth是一種基于Kerberos在線認(rèn)證機(jī)制［27］的DHCP實(shí)體身份驗(yàn)證方法。在Kerberos服務(wù)器的配合下，KerbAuth通過(guò)DHCP的基本消息交互完成密鑰在DHCP服務(wù)器和DHCP客戶端之間的共享。在DHCP服務(wù)發(fā)現(xiàn)階段，DHCP服務(wù)器向DHCP客戶端的家鄉(xiāng)KDC(keydistributioncenter，密鑰分發(fā)中心)請(qǐng)求與該DHCP客戶端的共享密鑰;在DHCP服務(wù)確認(rèn)階段，DHCP服務(wù)器和DHCP客戶端使用該密鑰認(rèn)證彼此的身份。KerbAuth具體的認(rèn)證運(yùn)算方法與DHCP++類似，區(qū)別僅在于DHCP服務(wù)器和DHCP客戶端之間共享密鑰的協(xié)商機(jī)制。   KerbAuth的實(shí)現(xiàn)需要在DHCP交互中穿插Kerberos協(xié)議，在保持DHCP狀態(tài)機(jī)一致的要求下，引入了復(fù)雜的容錯(cuò)處理開銷和管理負(fù)擔(dān)。   由于DNSSEC支持在DNS的KEY記錄中存放域名對(duì)應(yīng)的公鑰信息，SigZero以此為基礎(chǔ)設(shè)計(jì)了一種面向主機(jī)名的DHCP客戶端身份驗(yàn)證機(jī)制。按照SigZero的設(shè)計(jì)，DHCP客戶端使用DNS主機(jī)名來(lái)標(biāo)志自己的身份，并使用私鑰對(duì)發(fā)出的DHCP消息進(jìn)行簽名，對(duì)應(yīng)的公鑰則存放在DNS的KEY記錄中。通過(guò)DNS查詢，DHCP服務(wù)器可以對(duì)獲取DHCP客戶端主機(jī)名所對(duì)應(yīng)的公鑰，進(jìn)而驗(yàn)證簽名。由于驗(yàn)證信息基于DNS查詢，因此SigZero很容易實(shí)現(xiàn)。此外，基于DNS主機(jī)名的身份標(biāo)志機(jī)制可以支持DHCP客戶端的全互聯(lián)網(wǎng)漫游身份驗(yàn)證。然而，SigZero只能用于驗(yàn)證DHCP客戶端的身份，DHCP服務(wù)器的身份驗(yàn)證仍需要借助其他方法。   基于公鑰證書簽名機(jī)制，E-DHCP提供了面向雙向身份驗(yàn)證的DHCP安全擴(kuò)展方法。E-DHCP設(shè)計(jì)中的DHCP客戶端和DHCP服務(wù)器均需要經(jīng)由帶外機(jī)制獲得公鑰證書。由于DHCP客戶端在獲得IP地址資源之前無(wú)法經(jīng)由互聯(lián)網(wǎng)構(gòu)造證書的驗(yàn)證路徑，因此，DHCP客戶端必須將DHCP服務(wù)器的公鑰證書添加在本地的信任列表中。利用DHCP消息中攜帶的簽名以及帶外配置的公鑰證書，DHCP實(shí)體的身份驗(yàn)證得以實(shí)現(xiàn)。但帶外配置信任證書的方式使得E-DHCP的DHCP服務(wù)器身份驗(yàn)證機(jī)制只能部署在一個(gè)管理域內(nèi)。   2.3小結(jié)   面向IP地址配置的安全問(wèn)題，本章圍繞DHCP對(duì)相關(guān)問(wèn)題的來(lái)源和技術(shù)方案進(jìn)行了梳理和分析。這些方案在目標(biāo)、技術(shù)基礎(chǔ)、部署難易度以及可擴(kuò)展性等方面不盡相同，表2從不同維度給出了對(duì)比。   在安全目標(biāo)方面，DHCPsnooping和UA-DHCP沒(méi)有觸及DHCP本身，使用帶外機(jī)制分別保障了DHCP服務(wù)器的授權(quán)和DHCP客戶端的授權(quán)。而DelayedAuth、DHCP++、KerbAuth、SigZero以及E-DHCP等DHCP安全擴(kuò)展機(jī)制主要面向DHCP本身的安全性，保障DHCP實(shí)體身份的可驗(yàn)證，沒(méi)有考慮授權(quán)問(wèn)題。判斷DHCP服務(wù)器和DHCP客戶端是否是合法的授權(quán)實(shí)體，需要帶外授權(quán)信息的輔助。   由于移動(dòng)接入需求越來(lái)越大，跨域管理是DHCP安全擴(kuò)展需要正視的重要問(wèn)題。DHCP++、KerbAuth以及E-DHCP可以對(duì)移動(dòng)DHCP客戶端的身份加以驗(yàn)證，但目前沒(méi)有一個(gè)基于全球信任根的PKI，這些技術(shù)受到其依賴PKI有效范圍的限制。由于DNSSEC已經(jīng)部署，使用DNSSEC作為信任源的Sig-Zero對(duì)主機(jī)移動(dòng)性的支持是全互聯(lián)網(wǎng)級(jí)的。   在部署層面，DHCPsnooping和UA-DHCP僅僅取決于接入網(wǎng)的管理策略，不需要對(duì)DHCP設(shè)備進(jìn)行改造。而2．2節(jié)提到的DHCP安全擴(kuò)展技術(shù)都需要在協(xié)議層面對(duì)DHCP進(jìn)行調(diào)整。特別是DHCP++和KerAuth，兩者均在DHCP交互流程中嵌入了密鑰協(xié)商機(jī)制，對(duì)協(xié)議改動(dòng)較大，是部署的最大障礙。   由于DHCP服務(wù)器由接入網(wǎng)管理實(shí)體部署，管理實(shí)體可以利用DHCPsnooping實(shí)現(xiàn)DHCP服務(wù)側(cè)的可信，思科、華為等設(shè)備制造商均支持這項(xiàng)功能。但在DHCP客戶端認(rèn)證領(lǐng)域，唯一形成IETF技術(shù)標(biāo)準(zhǔn)的DelayedAuth不支持跨域認(rèn)證，其余的技術(shù)或?qū)崿F(xiàn)復(fù)雜，或僅能支持有限的主機(jī)漫游。基于DNSSEC的SigZero是其中較好的實(shí)現(xiàn)方案，但都沒(méi)有形成相關(guān)的技術(shù)標(biāo)準(zhǔn)。究其原因，IP地址配置還同接入網(wǎng)的管理策略密切相關(guān)。本章圍繞DHCP研討的IP地址配置安全機(jī)制均未考慮具體的接入認(rèn)證和計(jì)費(fèi)機(jī)制對(duì)DHCP安全擴(kuò)展的制約。因此，結(jié)合運(yùn)營(yíng)商的接入網(wǎng)管理技術(shù)以研究面向具體接入環(huán)境的安全I(xiàn)P地址配置技術(shù)是該領(lǐng)域最好的演進(jìn)方向。此外，隨著家庭網(wǎng)絡(luò)和物聯(lián)網(wǎng)絡(luò)的興起，以及DHCPv6開始支持IP地址前綴［28］，IP地址前綴自動(dòng)化配置的協(xié)議安全將是構(gòu)建可信互聯(lián)網(wǎng)范疇內(nèi)重要的研究?jī)?nèi)容之一。   3源地址驗(yàn)證   僅僅依賴安全的IP地址分配以及配置技術(shù)，仍不能完全支撐面向可信互聯(lián)網(wǎng)的IP地址管理工作。由于互聯(lián)網(wǎng)協(xié)議棧的網(wǎng)絡(luò)層沒(méi)有實(shí)現(xiàn)對(duì)數(shù)據(jù)包源IP地址的驗(yàn)證，源IP地址可以被隨意偽造，作為實(shí)施網(wǎng)絡(luò)攻擊的前奏。為了彌補(bǔ)網(wǎng)絡(luò)層協(xié)議設(shè)計(jì)的缺陷，源地址驗(yàn)證技術(shù)應(yīng)運(yùn)而生。根據(jù)驗(yàn)證機(jī)制部署的位置不同，源地址驗(yàn)證技術(shù)分為接入網(wǎng)驗(yàn)證、自治域間驗(yàn)證以及端到端驗(yàn)證。   3.1接入網(wǎng)源地址驗(yàn)證   接入網(wǎng)源地址驗(yàn)證技術(shù)利用數(shù)據(jù)包源地址和其轉(zhuǎn)發(fā)路徑的特定物理信息以及邏輯信息的綁定關(guān)系進(jìn)行過(guò)濾。Ingressfiltering［29］是一個(gè)基于路由器中存儲(chǔ)數(shù)據(jù)結(jié)構(gòu)的輕量級(jí)過(guò)濾方案，路由器或者防火墻負(fù)責(zé)檢查來(lái)自這個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的源IP地址是否屬于這個(gè)網(wǎng)絡(luò)，它可以使偽造源IP地址的數(shù)據(jù)包不能離開攻擊者所屬的子網(wǎng)，但無(wú)法抵御子網(wǎng)內(nèi)的源地址偽造。#p#分頁(yè)標(biāo)題#e#   為防止子網(wǎng)內(nèi)的源地址偽造，SPINACH［30，31］將IP地址和MAC地址的綁定關(guān)系注冊(cè)到轉(zhuǎn)發(fā)設(shè)備上，但MAC地址可以被用戶修改，這種方法的脆弱性顯而易見。SPINACH的作者進(jìn)一步提出了一種面向交換式局域網(wǎng)的解決方案，以利用端口信息進(jìn)行源地址驗(yàn)證。使用IP地址和交換機(jī)端口綁定關(guān)系完成源地址驗(yàn)證的做法很快就體現(xiàn)在了后續(xù)的解決方案中。歷經(jīng)發(fā)展，Ethane［32］是目前較為成熟的方案，但Ethane這種基于交換式局域網(wǎng)的設(shè)計(jì)仍舊沒(méi)有徹底解決共享式以太網(wǎng)的源地址驗(yàn)證問(wèn)題。   IPv6的出現(xiàn)為接入網(wǎng)源地址驗(yàn)證提供了新的技術(shù)基礎(chǔ)。   清華大學(xué)的研究人員提出了一種使用IPv6擴(kuò)展包頭攜帶驗(yàn)證信息的源地址驗(yàn)證方法［33］。在該方法中，接入主機(jī)和接入網(wǎng)關(guān)之間共享密鑰。主機(jī)在發(fā)送數(shù)據(jù)包之前，使用其與接入網(wǎng)關(guān)之間共享的密鑰對(duì)數(shù)據(jù)包載荷進(jìn)行哈希運(yùn)算，并將運(yùn)算結(jié)果攜帶在新設(shè)計(jì)的IPv6驗(yàn)證包頭中供接入網(wǎng)關(guān)驗(yàn)證。然而，該方法并未對(duì)如何在接入主機(jī)和驗(yàn)證網(wǎng)關(guān)之間共享密鑰進(jìn)行細(xì)致的設(shè)計(jì)。CSAA［34］利用CGA［35］的自驗(yàn)證特性提出了一種具體的共享密鑰分發(fā)機(jī)制。   使用共享密鑰進(jìn)行載荷哈希運(yùn)算的驗(yàn)證機(jī)制可以實(shí)現(xiàn)高粒度的源IP地址驗(yàn)證，且不依賴于具體的接入環(huán)境特征，但密鑰共享仍然受制于不同的接入控制協(xié)議。如何在不同的接入控制協(xié)議中捎帶完成共享密鑰在接入主機(jī)和驗(yàn)證網(wǎng)關(guān)之間的高效配置，尚有很多值得研究的內(nèi)容。   3.2自治域間源地址驗(yàn)證   依托本文第1章研討的域間路由安全技術(shù)，以SAVE［36］、SPM［37］和Passport［38，39］等為代表的域間源地址驗(yàn)證技術(shù)流派實(shí)現(xiàn)了IP地址前綴粒度的源地址驗(yàn)證。   在自治域的邊界路由器上，SAVE對(duì)IP地址前綴與接收到該前綴的路由通告消息的接口建立關(guān)聯(lián)。SAVE的實(shí)現(xiàn)依賴邊界路由器之間相互交換域間路由信息，使得邊界路由器涉及到大量的、可認(rèn)證的數(shù)據(jù)交換。SAVE的復(fù)雜性比較高，可能成為DoS攻擊的潛在對(duì)象。   與SAVE利用路由信息不同，SPM引入了一種輕量級(jí)簽名機(jī)制在自治域?qū)χg實(shí)現(xiàn)源地址驗(yàn)證。根據(jù)SPM的設(shè)計(jì)，當(dāng)數(shù)據(jù)包離開源自治域時(shí)，自治域的邊界路由器將為其添加一個(gè)基于源—目的自治域?qū)Φ暮灻?，以供目的自治域的邊界路由器?yàn)證。SPM中所謂的簽名沒(méi)有采用任何加密技術(shù)，而是在數(shù)據(jù)包中攜帶源—目的地址對(duì)、源—目的IP地址前綴對(duì)或者源—目的AS號(hào)對(duì)的共享秘密，該秘密為一個(gè)常數(shù)。SPM的安全性基于骨干網(wǎng)報(bào)文難以被竊聽的前提，但由于共享秘密以明文形式攜帶在數(shù)據(jù)包中，數(shù)據(jù)包在穿越自治域時(shí)，很可能被中間人竊聽。   針對(duì)SPM中共享秘密容易被竊聽的缺陷，Passport提出了一種基于數(shù)字簽名的源地址驗(yàn)證方法。源地址所在自治域需要與數(shù)據(jù)包轉(zhuǎn)發(fā)路徑上的各個(gè)自治域分別共享密鑰，并使用這些共享密鑰分別產(chǎn)生簽名供數(shù)據(jù)包沿途的各個(gè)自治域邊界路由器驗(yàn)證。在數(shù)據(jù)包被路由至目的主機(jī)之前，一旦出現(xiàn)簽名驗(yàn)證不正確或不存在的情況，該數(shù)據(jù)包就將被丟棄。較之SAVE和SPM，Passport最鮮明的特點(diǎn)是引入了密碼學(xué)的簽名技術(shù)，此舉使得域間路由的數(shù)據(jù)包負(fù)荷增大，一旦數(shù)據(jù)包需要途徑多個(gè)自治域，源自治域?yàn)閿?shù)據(jù)包添加的簽名將會(huì)很長(zhǎng)，對(duì)骨干網(wǎng)的帶寬消耗明顯。   3.3端到端的主機(jī)級(jí)源地址驗(yàn)證   以上提到的若干源地址驗(yàn)證技術(shù)均在數(shù)據(jù)包的傳輸路徑部署實(shí)施，對(duì)終端主機(jī)透明。盡管這些方案免去了數(shù)據(jù)包接收者的驗(yàn)證負(fù)擔(dān)，但某些高安全要求的應(yīng)用需要數(shù)據(jù)包的接收者親自驗(yàn)證源地址。從源IP地址缺乏認(rèn)證的根本出發(fā)，IP-Sec［40～42］設(shè)計(jì)了新的IP數(shù)據(jù)包擴(kuò)展頭，使其攜帶目的主機(jī)和源主機(jī)之間基于共享密鑰的哈希簽名。共享密鑰以及驗(yàn)證策略等IPSec安全參數(shù)，可由管理員分別在通信雙方的主機(jī)上手工配置，還可以使用專門的密鑰交換協(xié)議［43］來(lái)完成端到端的協(xié)商。   IPSec在互聯(lián)網(wǎng)的完整部署依賴于是否存在一個(gè)可信的并且能夠處理海量用戶證書的PKI。IPSec的管理也較為復(fù)雜，容易出現(xiàn)相關(guān)參數(shù)配置的錯(cuò)誤配置?？傊?，證書管理和操作管理是IPSec實(shí)踐和推廣中最大的難題。   3.4小結(jié)   由于互聯(lián)網(wǎng)體系結(jié)構(gòu)設(shè)計(jì)上的缺陷，源地址驗(yàn)證是一個(gè)復(fù)雜的系統(tǒng)工程。為了有效地部署源地址驗(yàn)證機(jī)制，清華大學(xué)的研究人員設(shè)計(jì)了互聯(lián)網(wǎng)源地址驗(yàn)證的整體框架［44］，對(duì)各種源地址驗(yàn)證技術(shù)進(jìn)行了整合，并在IETF發(fā)起成立了SAVI(sourceaddressvalidationimprovements)工作組，以推進(jìn)相關(guān)技術(shù)細(xì)節(jié)的標(biāo)準(zhǔn)化。由于互聯(lián)網(wǎng)邊緣網(wǎng)絡(luò)在物理特征、接入控制技術(shù)、資源分配機(jī)制以及管理策略上的巨大差異，源地址驗(yàn)證技術(shù)必須同具體接入環(huán)境結(jié)合，隨著互聯(lián)網(wǎng)由IPv4向IPv6演進(jìn)，研究面向IPv6特征，特別是其地址結(jié)構(gòu)特征的源地址驗(yàn)證技術(shù)，如之前提到的CSAA，將是今后該領(lǐng)域的演進(jìn)方向之一。   縱覽源地址驗(yàn)證技術(shù)的發(fā)展，驗(yàn)證機(jī)制都是對(duì)目前互聯(lián)網(wǎng)體系結(jié)構(gòu)下網(wǎng)絡(luò)層工作機(jī)制的補(bǔ)充，依賴部署政策和網(wǎng)絡(luò)運(yùn)營(yíng)策略，沒(méi)有在根本上實(shí)現(xiàn)數(shù)據(jù)包源IP地址的真實(shí)可信。對(duì)于這一技術(shù)發(fā)展瓶頸，本文下一章提到的互聯(lián)網(wǎng)審計(jì)研究領(lǐng)域給予了足夠的關(guān)注和解決手段。   4面向IP地址的互聯(lián)網(wǎng)審計(jì)   圍繞IP地址管理的不同環(huán)節(jié)，上文對(duì)相關(guān)的技術(shù)進(jìn)行了梳理和分析。這些技術(shù)盡管在基礎(chǔ)資源層面為構(gòu)建從可用到可信的互聯(lián)網(wǎng)提供了有力的支撐，但這些技術(shù)或是已有技術(shù)的改進(jìn)，或是對(duì)互聯(lián)網(wǎng)體系結(jié)構(gòu)的修補(bǔ)，沒(méi)有觸及當(dāng)前互聯(lián)網(wǎng)體系結(jié)構(gòu)的內(nèi)核，致使互聯(lián)網(wǎng)的基礎(chǔ)資源管理和協(xié)議簇越來(lái)越復(fù)雜。鑒于網(wǎng)絡(luò)層在互聯(lián)網(wǎng)協(xié)議棧中的重要地位以及上文在綜述IP地址管理技術(shù)問(wèn)題時(shí)提到的困難乃至瓶頸，工業(yè)界和學(xué)術(shù)界越來(lái)越來(lái)深刻地認(rèn)識(shí)到互聯(lián)網(wǎng)體系結(jié)構(gòu)研究對(duì)于可信互聯(lián)網(wǎng)的重要性。IP地址分配、配置以及驗(yàn)證等環(huán)節(jié)的安全技術(shù)研究直接推動(dòng)了面向IP地址的互聯(lián)網(wǎng)審計(jì)的問(wèn)世。  #p#分頁(yè)標(biāo)題#e# 由于缺乏內(nèi)在的審計(jì)機(jī)制，互聯(lián)網(wǎng)并非一個(gè)足夠安全的基礎(chǔ)通信平臺(tái)。審計(jì)(accountability)是指準(zhǔn)確地將特定的行為同產(chǎn)生該行為的實(shí)體身份關(guān)聯(lián)起來(lái)，并實(shí)施有效的問(wèn)責(zé)。由于IP地址獨(dú)立于互聯(lián)網(wǎng)上層應(yīng)用的特點(diǎn)，面向IP地址的互聯(lián)網(wǎng)審計(jì)成為近年來(lái)一個(gè)新興的研究領(lǐng)域。AIP［45］和BAFI［46］是該領(lǐng)域最具代表性的技術(shù)方案。   在源地址偽造之外，很多互聯(lián)網(wǎng)的合法運(yùn)行機(jī)制導(dǎo)致IP地址溯源困難，IP地址審計(jì)難以實(shí)現(xiàn)。例如，DHCP的使用導(dǎo)致同一IP地址先后被分配給不同主機(jī)使用，漫游主機(jī)的IP地址隨著接入點(diǎn)的變更而變化。因此，在協(xié)議上實(shí)現(xiàn)IP地址可驗(yàn)證以及在資源管理上實(shí)現(xiàn)IP地址易溯源，成為面向IP地址的互聯(lián)網(wǎng)審計(jì)領(lǐng)域的基本出發(fā)點(diǎn)。   通過(guò)對(duì)網(wǎng)絡(luò)層協(xié)議進(jìn)行重構(gòu)，AIP使用扁平化結(jié)構(gòu)的自驗(yàn)證IP地址取代了層次化結(jié)構(gòu)的聚合式IP地址。AIP假設(shè)互聯(lián)網(wǎng)由若干管理上獨(dú)立但彼此互連的網(wǎng)絡(luò)組成，每個(gè)網(wǎng)絡(luò)又由若干個(gè)審計(jì)域組成。每個(gè)審計(jì)域?qū)⑵涔€的哈希作為自己的標(biāo)志符，審計(jì)域之中的終端同樣使用自己的公鑰哈希值作為身份標(biāo)志符。審計(jì)域標(biāo)志符和終端標(biāo)志符共同組成了一個(gè)完整的IP地址，這種設(shè)計(jì)成功地實(shí)現(xiàn)了“身份”和“位置”兩個(gè)語(yǔ)義在IP地址結(jié)構(gòu)內(nèi)的區(qū)分?；谛碌腎P地址結(jié)構(gòu)，AIP進(jìn)一步設(shè)計(jì)了網(wǎng)絡(luò)層內(nèi)置的源地址驗(yàn)證協(xié)議、域間路由安全機(jī)制并討論了新的網(wǎng)絡(luò)層協(xié)議下的可擴(kuò)展路由問(wèn)題。源地址驗(yàn)證和IP流量控制構(gòu)成了AIP互聯(lián)網(wǎng)審計(jì)機(jī)制的基本內(nèi)涵。   在AIP之后，BAFI［46］也提出了一種互聯(lián)網(wǎng)審計(jì)方法。   BAFI首先抽象出了一種可以區(qū)分“身份”和“位置”兩個(gè)語(yǔ)義的IP地址。在此前提下，BAFI基于陷門哈希函數(shù)簽名方法實(shí)現(xiàn)了一種輕量級(jí)的網(wǎng)絡(luò)層消息簽名機(jī)制［47］，用以驗(yàn)證數(shù)據(jù)包發(fā)送源的非否認(rèn)性和數(shù)據(jù)包載荷的完整性。在源地址驗(yàn)證的基礎(chǔ)上，BAFI進(jìn)一步提出了客戶端票據(jù)的概念?？蛻舳似睋?jù)包含了客戶端和服務(wù)器雙方的身份信息、服務(wù)端主機(jī)所在的自治域號(hào)碼以及有效時(shí)間等信息，可以協(xié)助服務(wù)器端主機(jī)方便地進(jìn)行流量控制。基于陷門哈希函數(shù)的簽名機(jī)制還使得BAFI方便地建立起了面向IP地址的互聯(lián)網(wǎng)信譽(yù)評(píng)價(jià)系統(tǒng)。按照BAFI的觀點(diǎn)，源地址驗(yàn)證、流量控制和信譽(yù)評(píng)價(jià)系統(tǒng)構(gòu)成了互聯(lián)網(wǎng)審計(jì)最基本的三個(gè)要素。BAFI的審計(jì)僅僅面向客戶端，強(qiáng)調(diào)對(duì)通信發(fā)起實(shí)體的審計(jì)，沒(méi)有討論互聯(lián)網(wǎng)控制實(shí)體如數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備的審計(jì)問(wèn)題。正如AIP在論述互聯(lián)網(wǎng)審計(jì)概念時(shí)提到的那樣，完整的互聯(lián)網(wǎng)審計(jì)應(yīng)當(dāng)包含源實(shí)體審計(jì)(sourceac-countability)和控制實(shí)體審計(jì)(control-planeaccountability)。   互聯(lián)網(wǎng)審計(jì)的概念興起不久，相關(guān)研究也較少，但互聯(lián)網(wǎng)審計(jì)是構(gòu)建從可用到可信的互聯(lián)網(wǎng)的關(guān)鍵，是可信互聯(lián)網(wǎng)研究在IP地址資源管理領(lǐng)域的自然延伸。當(dāng)前的研究反映出這樣一個(gè)事實(shí):在網(wǎng)絡(luò)層實(shí)現(xiàn)互聯(lián)網(wǎng)接入實(shí)體身份標(biāo)志和位置標(biāo)志的解耦，是實(shí)現(xiàn)互聯(lián)網(wǎng)審計(jì)的必要條件，但在當(dāng)前的互聯(lián)網(wǎng)體系結(jié)構(gòu)下難以實(shí)現(xiàn)。無(wú)論AIP還是BAFI，都是對(duì)下一代互聯(lián)網(wǎng)互連互通層次標(biāo)志設(shè)計(jì)的前瞻性研究，提出的解決方案無(wú)法與現(xiàn)有互聯(lián)網(wǎng)IP地址結(jié)構(gòu)或使用方式兼容，但I(xiàn)Pv6地址的廣泛使用在即，AIP和BAFI所折射的研究思想將有助于挖掘IPv6互聯(lián)網(wǎng)提供審計(jì)的潛力。   5結(jié)束語(yǔ)   目前，全球互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)(IANA)正式宣布已經(jīng)將IPv4地址庫(kù)剩余的五個(gè)A地址，平均分配給包括亞太區(qū)互聯(lián)網(wǎng)絡(luò)信息中心在內(nèi)的五個(gè)地區(qū)性互聯(lián)網(wǎng)注冊(cè)管理機(jī)構(gòu)，標(biāo)志全球現(xiàn)有的IPv4地址資源已經(jīng)分配完畢，IPv6地址規(guī)劃時(shí)代正式到來(lái)。IPv6的興起不僅源于IPv4地址空間的局限，盡可能地彌補(bǔ)IPv4時(shí)代互聯(lián)網(wǎng)安全上暴露的缺陷，也是IETF設(shè)計(jì)IPv6地址時(shí)的重要考量。   IPv6是網(wǎng)絡(luò)技術(shù)史上的一次重要升級(jí)，IPv6在協(xié)議以及IP地址結(jié)構(gòu)層面的特征為面向可信互聯(lián)網(wǎng)的IP地址管理技術(shù)研究帶來(lái)了機(jī)遇。如何解決IPv6地址管理中的諸多問(wèn)題，在IPv4到IPv6的演進(jìn)過(guò)程中構(gòu)建從可用到可信的互聯(lián)網(wǎng)，將是互聯(lián)網(wǎng)社區(qū)重要的研究?jī)?nèi)容之一。