为了保存签名，我们使用了现有的IPv6协议中的逐跳扩展报头，并且设计一种新的逐跳扩展报头的选项头来存放签名。新选项的选项类型号是十六进制的0C，对应二进制的000001100。最高位的两个00说明如果路由器不认识该选项，就会跳过该选项继续处理其余部分，而不会丢弃该报文。第三高位0说明选项内的数据在报文达到目的地的中间可能会被路由器改变，这是因为目的域的边界路由器会去除该选项，这样任何加密验证的计算都不会包括该选项中的数据。而最后5位的01100表示选项类型号。而选项数据长度为16进制的08,表示有8个字节长度的签名。

　　在数据层面，发送端在一个IPv6分组到达发送端的时候进行如下的处理：使用该分组的源地址为索引，查找本域的地址空间表，判定源地址是否属于本域。如果查找失败，或者查找出来标志位为0，则认为源地址不属于本域，直接转发。查找成功则使用该分组的目的地址为索引，查找联盟各个域的地址空间表得到该分组的目的域的自治系统号。如果查找失败，说明目的地址不是联盟成员，直接转发。否则，根据该分组的目的域的自治系统号查找发送方签名表，得到应该添加的签名值。给该分组添加一个IPv6扩展签名报头，然后转发。接收端在一个IPv6分组到达接收端的时候进行如下的处理：使用该分组的源地址为索引，查找联盟各域的地址空间表得到该分组的源域的自治系统号。判断该分组的源域的自治系统号是否就是接收端的自治系统号，如果是，说明是伪造分组直接丢弃。否则使用该分组的目的地址为索引，查找本域的地址空间表，如果查找失败，则认为目的地址不属于本域，直接转发，否则根据该分组的源域的自治系统号查找接收方签名表，得到分组应该携带的签名。检查扩展报头是否存在，不存在则直接抛弃；如果存在，取出其中的签名值，判断是否合法，如果不合法则直接抛弃，否则移除签名并且转发。

　　在签名的生成算法上，我们采用了一种基于随机序列的签名自动更新算法。参与通信的双方在经过一次初始协商获得“种子序列”之后，可以通过该序列自动的生成用于更新的签名，从而避免了更新过程中的通信开销，同时也可以大大加快密码更新的频率和速度，从而进一步提高安全性能。

　　在真实源地址验证技术的具体实施过程中，非邻接部署的域间真实源地址验证技术更加适合部署早期的网络环境。在这一时期的网络中，部署真实源地址验证技术的自治域相对数量较少，分布较为稀疏，采用非邻接部署的域间真实源地址验证技术，可以保证所有部署这一技术的自治域之间相互通信。非邻接部署的域间真实源地址验证技术的优点在于：以自治域为单位部署，部署了这一技术的自治域可以立即享受到真实源地址验证技术带来的效果，在所有成员之间既可以保证自己的地址不被伪造，又可以验证其他来源的地址真实性，因此，该技术具有很好的增量部署特点和激励机制。签名的自动更新降低了用于控制服务器之间的通信开销，在性能方面也可以收到十分不错的效果。

　　真实源地址验证试验网

　　真实源地址验证技术是当前互联网尚不具备的功能。因此，如何设计实验和验证的网络环境，具有十分重要的意义。在真实源地址验证技术的研究过程中，我们采用了“搭建真实实验网络，连接真实运营网络，运行真实互联网应用，模拟大规模恶意攻击进行综合实验和验证”的设计方法，基于CNGI-CERNET2建立了真实源地址验证试验网，对上述的各种技术进行了实验和验证。

　　整个试验网分为接入网、域内和域间三个层次，可以充分仿真现有的互联网结构。在商用的IPv6路由器和交换机基础上，在接入网、域内和域间三个层次进一步实现了真实源地址验证技术，使各种技术可以在真实网络的环境中得到实验和验证。实验和验证面向真实的互联网应用，除了典型的WWW页面访问，流媒体播放等应用外，实验环境中还支持基于真实地址的BBS，基于真实地址的电子邮件、基于真实地址的SIP通信等典型应用。

　　(本文由清华大学信息网络工程研究中心提供)

　　来源：《中国教育网络》2009年10月刊