12月19日消息，由中国移动通信集团公司携手中国教育和科研计算机网CERNET网络中心承办的“第二届CNGI工程技术论坛暨移动互联网国际研讨会”在北京举行。这是继第一届CNGI工程技术论坛成功举办以来移动互联网领域的又一次盛会！清华大学毕军教授围绕“IPv6源地址验证”做主题演讲。

　　清华大学 毕军

　　全文如下：
　　毕军：很高兴有机会跟大家交流。刚才各位专家讲都很好，通过大家的介绍大家可能感到非常紧迫IPv6过渡的需求。那么从IPv6本身有很多优点，刚才很多专家也说了，但是还有一些值得技术上改进的地方，比如说我要谈到这个源地址验证。应该说现在这个时候进行IPv6本身一些提高还是很好时机，因为大规模网络还没有部署，如果在IPv4上做，影响面就非常大，要考虑很多因素。像这些问题对各国厂商大学都是同样的问题，所以我们国家在这方面做一些可能对促进我们网络技术发展还是有很多好处。

　　首先介绍一下背景，第二是介绍一下昨天上午的工作。我们介绍一下SAVA的一些工作，大家知道工作得到重视，也成立了SAVA工作组。那么大家如果看IPv6的基本的结构应该说IPv4还是类似的，至少在路由选址上是基于目的地址转化，大多数情况对于源地址不进行验证，有一些进行做，但是没有彻底解决这些问题。所以我用的是在大多数情况下，造成还是很容易假冒的，包括Linux的一些工具可以使你任意设定源的地址，有什么危害我们知道在安全方面，假冒你代地址发出一些请求，回复就是一个假冒者。

　　还有一个方面是管理方面，有些攻击原来不依赖与假冒源地址，大多数攻击是不依赖。如果是使用假冒地址让管理者非常头疼，我们经常遇到这些问题。同时还有一些网络安全事件，使用假冒地址很难找到根源。同时从测量看，我们需要很多数据，如果源地址是可以假冒的，这个数据结果也不是很精确。

　　第三是从计费上，我们非常希望像互联网传统电信运营商基于原来进行收费，那么也遇到一些问题，比如说我刚才说的很多攻击你使用地址，我按照这个源地址收费是引起很多争议，需要解决源地址需要解决的问题，这里看到目前统计数据是2007年做的全世界的ARBOR的一个报告，基本上是我说的这两种，那么在IPv4上有在做一些事情，主要就是大家可以看到部署比例是比较小。谈谈在IPv4已经做的一些工作，一个就是应该说目前做最好是RELATEDBCP，但是还是有一些问题的。如果在非完全部署比如说有假阴性问题，同一路径来的报文是不能区分，更严重有假阳性问题。如果非路由下，按照他想定做，包括分组丢弃，在非路由下可以过来把正常报文丢弃这是非常严重。因为有这些问题所以现在部署也不是很广泛，还有MIT有SPOOFERPROJNCT找了一些者做了一些体验，他的采用不是很全面，与实验方式有关，但是可以说问题一个下线。从刚才看到报告是不同网络不一样，从20%到50%都有，到一个运营商部署一个节点可能算部署，但是问题也没有解决，所以还是存在问题。在学术界有很多机密有很多论论文，但是由于可行性基本上没有，第三类是基于TRACEBACK不能发生。

　　下面下面介绍一下我们的一些工作，这个是我们目前希望做的一个叫可信任下一代互联网，也就说是我们希望做下一代互联网是一个安全可信的。大家可以看到有三个层次结构，最底层是可信任IPv6基础设施，重点介绍SAVA是这个层次，IP地址是保证你的安全可信，如果有这样一个基础设施可以在上层建立一个很信任ID提供相应服务，类似中间件一个概念，这个ID可以对应人或者其他东西。一个人可以由多个地址，有计算机，手机，汽车什么，家庭网络，那么同时一个计算机可能有多个用户用，这个ID和ID地址是一对一的关系，但是需要相对安全的机制。这些服务实际上最终是为可信任的网络应用提供服务，现在我们有电子邮件地址，BBS有帐号，不同的都有不同的ID，是不是以后可以用统一安全的ID，同时也提供了基于真实地址的安全服务，可能就不需要IPTV做一套安全，可以共用一个服务。目前是做比较多就是SAVA但是我们启动100个学校的，新一代网络也要支持在源地址真实地址基础上做这些认证，做这样事情是需要做标准的，所以也是为什么我们ITF做一些工作。

　　下面就是谈一谈源地址验证，我们是觉得对这样一个复杂问题还是采用一个分层解决的思想，一个多重防御思路。另外我们技术上考虑IPv6，是因为比较得到真正的使用，基本原理IPv4如果用也可以做，但是先考虑IPv6，另外我们需要事先保护。

　　第四就是要支持增量部署这是非常重要，刚才李星讲了很多，理想目标还是需要分布实施，部署一部分就可以受益，对互联网很大系统不可能一夜之间全变。另外要提供一些激励机制，部署的人多少要受益，如果你部署是给别人受益，这个推广受到影响。另外是很多网络层做的事情，这个效能效率是非常重要的因素。这个图基本上就是源地址验证结构，是三个层次基本符合目前网络路由结构，一个是英特尔SAVS，如果你从出来分组使用了其他的AS前缀在这个层次定义为假冒，类似是子网一级，接入网是后层的，所以也是分层解决这个问题。

　　简单介绍目前在我们使用的方法，在自主系统之间，过渡早期，可能只有自动的几个系统，不是很多，中间可能个不部署，可能采取端到端的方式，共享一些轻量级的签名。随着过渡的演进很多AS愿意采用加入，大家会逐渐连接起来，这个时候不一定用签名效率有一些问题的方式，可以用一些高效率。那么在自主系统内我们现在借鉴URPS优点，但是针对它容易造成假阴性的问题，在接入网层次因为正好是SAVA工作组的范围，所以我们会重点介绍。

　　简单给大家看一下就是我们这个测试的情况，比如说我们部署了很多BOX，这个阶段我们是用Linux实现，配合网络设备来工作。大家可以看到这个如果我们有一个多媒体服务器，有一个客户在浏览我们设一些监控点。正常情况下大家看到是流媒体的流量，这个红色是攻击者可以假冒我们联盟里另一个自主系统前缀，发了一攻击，本来以为我不可追诉，正常流量被攻击阻止，我们在这些BOX用了我们系统之后可以识别出来了，你系统可以正常恢复了。这就是一个例子，我们在做的一个清华大学意义实验室网，黑色的BOX是我们用Linux原形系统，类似这样系统我们部署了12个自治系统这是我们目前的做的工作。下一步我们希望很多厂商跟进。这样在INTF得到大家的支持，这是我们在IETF做的工作，开始推动这个事情。在今年5月我们有一个表述刚才我介绍一个总体情况，RFC5210已经通过，在IEFT提供了一个SAVA组，主要内容是在接入网方面。

　　为什么在接入网要做，这是一个例子，如果你只有出口做一些简单检查。比如说我有一个人控制一个僵尸这个是会受到攻击的，所以做非常细力度，主机力度的。现在SAVA地基是作源地址假冒，做一个可信任低层的一个方案对多的场景可能复杂一些，或者不同场景用不同的方案，场景还是很多的。有哪些方案可以使用，如果我们主机直接接入交换机，这个交换机可以升级这个是可以使用。如果你不能升级，如果你使用一个安全的标准，比如有线网，无线网络这个地址是安全，其他还有其他的场景。对大多数场景只有这三种情况，一个就是我说Port可以信任，这是我说端口独占的情况。还有一个端口不是独占，如何解决这个问题，这种情况如果你有一个支持像802.1AE，交换机也支持这种底层协议。如果都不行，我没有可以信任的，我只能信任一个轻量级的签名。什么算复杂，都要针对这种方式什么是假冒？什么不是假冒？那么在不同地址分布下建立初始绑定作为过滤基础，这两种办法一个是通过SAVI的办法，还有一个通过FIRCLCOMN的变化。另外场景还有一些Special  Cases，实际上还有一个Cases就是换了端口，或者从AP到另一个AP，还不是三层的，还是SAVA范畴。这种情况怎么处理？在静态地址下要求支持原来支持，那么也就是说我们出现特殊情况的时候怎样办，情况是很多的。当细看并不是没有特殊情况都需要考虑的，最后实际上是结合了几种不同地址分配方式，和不同特例，不同的情况下考虑特例，会有一个表格，一种是一个方案全做，或者根据效率不同方案做不同的事情。实际上就可以对某一个方案给予一个简单介绍。FCFS是非常好，但是有一个问题，对DHCP地址，可能无状态不错，可能有状态可安全一些。但是如何处理，另外就是手工配置你的移动，你从一个办公室到会议室，这都是很常见的情况。怎么处理？我们不能出项假阳性。

　　还有一个就是我们提出叫Switch，我们通过SAVI的方式我们可以推动IPv6下，是多余一个IP地址，处理这个，这种情况独占端口是可以解决。如果是无线以太网你建立初始可以记录用户身份处理这些情况，有些以太网用802.11来做。还有一些主机可能支持像SUA，XIP更先进一些的协议，但不是都支持。如果支持的话可以利用本身的安全机制处理一些特殊情况，它支持场景会更多。当然如果是你这两个都不可以信任，即不是独占端口，你也不是安全网卡就必须依赖加密的方式。根据目前情况我们第一步先不要做，所以现在主要是推其他方案，但是我们自己的实验和推广在做。

　　最后总结一下就是经过我的介绍，大家可能认识到就是源地址验证对市面一个互联网提供了一个接触，但是并不是源地址验证解决所有事情，对网络管理这可以很方便管理追随。第二就是大家看到我们清华大学在这方面做了一些工作，昨天我们吴院长早报告里也给予了认可，我们现在在积极参加SAVA工作组，这个新的项目支持1003校园网，我们要把这个事情做进去。我相信对我们SAVA工作组推广是一个很大的推动，目前很多厂商非常感兴趣，这是我们非常看到的情况，非常希望在IPv6里面我们早日把源地址实现验证，谢谢大家。