CNGI-CERNET2在国际上首次提出了“基于真实IPv6源地址的网络寻址体系结构”,从体系结构上解决下一代互联网的安全隐患。设计并实现了一种包括接入、域内、域间三个层次的真实IPv6源地址网络寻址的解决方案,该方案具有简单、松耦合、多重防御、支持增量和激励部署等特点,已在 CNGI-CERNET2主干网上大规模部署。国际互联网组织IETF已批准成立工作组SAVA,专门制定相关国际标准。
体系结构
以TCP/IP协议为核心的互联网虽然取得了巨大的成功,但是仍然存在着许多重大的问题,其中安全性最为突出,特别是虚假地址和虚假标识问题导致了大量安全问题。对源地址不做检查,使现在的互联网缺乏可信任的技术基础,导致互联网安全事件频繁发生,可信任度大大降低,限制了互联网的进一步发展和应用。然而,由于地址空间限制等多种原因,在IPv4的互联网上实现真实地址寻址已经没有可能。
CNGI-CERNET2这个世界上最大规模的纯IPv6试验网为真实地址寻址技术的实现提供了一个得天独厚的试验平台,使我们有可能重新设计互联网的体系结构,从基础设施层面解决互联网的重大安全隐患,改变IPv6互联网中“穿新鞋、走老路”的现象。
在这一背景下,在CNGI-CERNET2上开展真实地址寻址技术的研究和试验,加大可信任新一代互联网的研究和技术攻关力度,有望使我国在互联网研究、开发与应用方面进入国际先导行列,这对提升我国信息技术领域的整体实力、促进相关产业的进步、推动社会信息化发展和保障国家信息安全都具有重大而深远的意义。
在这一背景下,本课题首次提出了基于真实IPv6源地址网络寻址体系结构。所谓基于真实IPv6地址寻址技术,是指互联网上传输的IPv6分组的源地址是真实的,即来自于该地址授权的使用方,假冒源地址的IPv6分组不能在互联网上传输。
基于真实IPv6源地址网络寻址体系结构设计必须遵循结构简单、松耦合、多重防御、支持增量部署、激励部署等原则,同时需要为上层可信任应用提供支持。
基于真实IPv6源地址网络寻址体系结构的实现将对互联网产生重大影响,大大提高互联网的可信任性。首先,它将大大提高互联网的安全性,改善DDoS攻击、垃圾邮件泛滥的现象;其次可以实现网络行为的可追踪,威慑网络犯罪行为;另外,这一体系将简化当前互联网应用的体系结构,促进互联网应用的发展。
解决方案
本课题设计并实现了一种包括接入、域内、域间三个层次的真实IPv6源地址网络寻址的解决方案。
互联网由很多自治系统(AS)组成,它们自己决定自己的路由策略和管理机制,每个AS都有自己的地址前缀范围,负责管理该地址前缀范围的管理和使用。真实IP地址访问的问题实际上是地址的从属关系问题,也就是实体发出的报文应该只携带它拥有的地址,报文只应该被拥有其源地址的实体发出。在最初的互联网设计中,假设网络的所有设备(包括主机和路由器)都是可信的,而在目前复杂的网络环境下,对主机的信任已经不存在了,所以必须依靠网络的基础设施来保证源地址的从属关系被实现。
基于网络本身的分层结构,真实地址寻址体系结构分为域间真实地址访问、域内真实地址访问、子网内真实地址访问的三部分。他们有机的组合在一起,共同形成一个真实地址寻址体系结构。
部署情况
目前,基于真实地址寻址技术所研发的原型系统已经部署在CNGI-CERNET2的五个主干节点:北京、上海、南京、广州、武汉。
经过CNGI-CERNET2部署实验测试证明,课题所实现的原型系统具有很好的抵抗攻击效果。同时真实地址为构建可信任用户身份和可信任的电子邮件、BBS和VOIP系统提供了安全的基础设施。
创新点
1.在国际上首次提出基于真实IPv6源地址的网络寻址体系结构,该体系结构对于从根本上改善下一代互联网安全问题、简化下一代互联网应用有重要意义。
2.设计并实现了一种包括接入、域内、域间三个层次的真实IPv6源地址网络寻址的解决方案,该方案具有简单、松耦合、多重防御、支持增量部署、激励部署等特点。
3.在CNGI-CERNET2主干网上大规模部署了真实IPv6源地址的试验系统,验证了真实地址寻址方案的可行性,同时为CNGI上其他的研究课题提供了试验平台。