IPv6上的真实源地址认证

当前，以IPv6为基础的下一代互联网已经成为国际、国内的研究热点，真实源地址认证解决目前互联网体系结构中的一些固有缺陷，针对安全性弱、可信度低、移动性和流媒体业务承载能力差等主要问题，进行了技术的设计实现和创新。源地址认证可以直接解决一些伪造源地址的分布式拒绝服务攻击(DDoS)，比如Reflection攻击等；真实地址访问，使得互联网中的流量更加容易追踪，使得设计安全机制和网络管理更加容易；可以实现基于源地址的计费、管理和测量；可以为安全服务和安全应用的设计提供支持。

真实源地址验证技术是当前互联网尚不具备的功能。因此，如何设计实验和验证的网络环境，具有十分重要的意义。在真实源地址验证技术的研究过程中，我们采用了"搭建真实实验网络，连接真实运营网络，运行真实互联网应用，模拟大规模恶意攻击进行综合实验和验证"的设计方法，基于CNGI-CERNET2建立了真实源地址验证试验网，对上述的各种技术进行了实验和验证。

整个试验网分为接入网、域内和域间三个层次，可以充分仿真现有的互联网结构。在商用的IPv6路由器和交换机基础上，在接入网、域内和域间三个层次进一步实现了真实源地址验证技术，使各种技术可以在真实网络的环境中得到实验和验证。实验和验证面向真实的互联网应用，除了典型的WWW页面访问，流媒体播放等应用外，实验环境中还支持基于真实地址的BBS，基于真实地址的电子邮件、基于真实地址的SIP通信等典型应用。

为了更好地仿真真实的运营网络，我们通过专线将实验环境和下一代IPv6主干网CNGI-CERNET2进行了连接。为了验证真实源地址验证技术对恶意分组的防御能力，我们通过测试仪生成大流量的恶意分组对应用程序进行攻击测试，测试结果表明真实源地址验证技术可以解决互联网中伪造源地址造成的多种安全问题。

真实源地址验证试验网的部署方案如图1所示，共在清华大学、北京大学、北京邮电大学、上海交通大学、东南大学、华中理工大学、华南理工大学、东北大学、西安交通大学、电子科技大学、重庆大学、山东大学等全国10个城市的12个自治域进行了部署。

其中，清华大学的实验环境相对完整，部署了域间、域内和接入网三个层次的真实源地址验证方案，以及各种基于真实源地址验证技术的网络应用。实验环境的网络连接拓扑如图2所示。

图1 真实源地址试验网在CNGI-CERNET2上的部署

图2 清华大学真实源地址验证试验网

实验环境中包括三个自治域，AS100，AS200和AS300，之间通过BGP4+协议联通，并接入CNGI-CERNET2主干网。各种真实源地址验证技术的功能测试都在试验网中进行，SPM方案性能测试在图1的CNGI-CERNET2大环境中完成，ARBIF和接入网络性能测试在图2的实验环境中完成。AS100，AS200和AS300的详细网络连接如图2所示。