最新
推荐
全国教育工作会议在京举行 07-15 CERNET第十七届学术年会征文延... 05-05
特别策划:桌面虚拟化正迎来发... 04-14 中国电信联合清华组建下一代互... 03-11
|
IETF批准通过的RFC5210(Source Address Validation Architecture (SAVA) Testbed and Deployment Experience),是我国在国际上首次提出的“基于真实IPv6源地址的网络寻址体系结构”,是我国第一个非信息类(informational)的RFC, 也是在非中文相关的互联网核心技术领域以我国学者为主体署名的第一个互联网RFC。 互联网面临着各种由于缺少信任而带来的问题。当前互联网体系结构里,网络中的分组转发只基于目的地址,对于源地址基本不做检查,使得伪造源地址攻击轻易而频繁。在互联网中地址是主机的标识,而缺乏源地址的验证,使得无法在网络层建立起信任关系。 通过实现一种真实源地址验证体系结构,能够带来如下的收益: 基于网络本身的分层结构,真实源地址验证体系结构被分为接入网真实源地址验证,域内真实源地址验证,和域间真实源地址验证三部分。它们有机地组合在一起,共同形成一个真实源地址验证系统的框架。 真实源地址验证解决方案 在具体的解决方案设计中,按照接入网真实源地址验证,域内真实源地址验证和域间真实源地址验证。针对的网络环境,在不同的层次中部署对应的技术,从而形成多层次的验证体系。 接入网真实源地址验证技术 在该技术的具体实施过程中:用户在客户端通过用户名与密码提交联网申请,客户端根据用户名来构造可扩展身份验证协议请求,发送给交换机内的代理模块。代理模块收到请求以后,将该请求、交换机IPv6地址、客户端连接准入交换机的端口号封装在远程拨入用户服务协议接入请求分组中,发送给验证服务器。验证服务器首先运行身份验证模块,通过用户名及密码对用户的身份进行验证,若失败,便向该代理模块发送拒绝分组,不允许访问网络;若成功,则根据用户身份信息分配IPv6地址区间,把该地址区间附加在远程验证拨入用户服务协议接入接受分组中,并发送给对应的准入交换机。交换机从中取出分配的IPv6地址区间,交给真实IPv6地址过滤模块形成对应关系并写入绑定关系表,并将分配的IPv6地址区间附加在可扩展身份验证协议成功分组中,发送给客户端。客户端把其中的IPv6地址区间解析出来,配置到IPv6分组发送模块,IPv6分组模块发送以该IPv6地址为源地址的IPv6分组。真实IPv6地址过滤模块收到发送的IPv6分组以后,对分组进行过滤。 接入网真实源地址验证技术适用于用户通过以太网,经交换机直接接入互联网的条件。在实施端口绑定的方法上,该技术可以与包括802.1x在内的现有其他方案很好的结合起来,方便部署。交换机的每个端口绑定一个IP地址,为网络管理和流量计费等措施也可以提供保证。过滤算法直接将数据包的源地址作为过滤依据,开销较小,可以获得不错的系统性能。 |
版权所有:中国教育和科研计算机网网络中心 CERNIC,CERNET,京ICP备05078770,文网文[2008]228号
关于假冒中国教育网的声明 | 有任何问题与建议请联络:Webmaster@staff.cernet.com