可信互聯網IP管理現狀

前言：尋找寫作靈感？中文期刊網用心挑選的可信互聯網IP管理現狀，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

1IP地址分配與域間路由安全傳統的域間路由協議BGP［4］(bordergatewayprotocol，邊界網關協議)存在很多安全隱患［5］，對路由通告內容不加以驗證，錯誤甚至蓄意偽造的路由可達信息可以隨意在互聯網上傳播。具體表現為兩種形式:IP地址前綴劫持和自治域路徑信息竄改。前者是指某個自治域發出一個非本自治域內的IP地址前綴路由可達通告，導致網絡中以該IP地址前綴為路由目的的全部或者部分流量被路由至該自治域;后者是指蓄意修改BGP報文的自治域路徑信息以傳播虛假的網絡拓撲信息，為后續網絡攻擊行為作鋪墊。   有眾多研究針對BGP的安全缺陷提出了解決方案:a)以S-BGP［6］、SoBGP［7］等為代表，旨在協議層面彌補BGP的安全缺陷，以抵御IP地址前綴劫持和自治域路徑信息竄改兩種形式的攻擊;b)以DoAV［8］、IPa+［9］以及RPKI［10］為代表，從完善IP地址分配機制的角度來避免IP地址前綴劫持。前者涉及BGP的協議改進，與IP地址管理無直接聯系，本文不作討論;后者從IP地址管理的角度出發來保障互聯網域間路由安全，是本文要探研討的重點。   IP地址前綴和路由源的自治域號(AS號)的正確映射關系是抵御IP地址前綴劫持的關鍵?；ヂ摼W注冊機構(如亞太互聯網絡信息中心)天然地擁有AS號和IP地址的分配信息以及兩者的映射關系，但這些信息缺乏統一的數據格式，數據的完整性和一致性也缺乏保障。此外，提供這些信息的查詢工具WHOIS［11］協議沒有驗證機制，很容易遭受各種類型的攻擊。因此，有效地組織IP地址分配信息并構建授權信息的驗證體系，成為在IP地址管理層面抵御IP地址前綴劫持的技術路線。   1.1基于DNS資源記錄的路由源信息   基于DNS的公共目錄服務性質和DNSSEC［12］安全擴展機制，以DoAV和IPa+為代表的技術方案通過對DNS相關資源記錄進行修改，實現了IP地址前綴和其路由源映射關系的。使用DNS反向解析樹來反映IP地址分配以及授權信息，是這類技術方案的核心思想。DoAV建議在DNS反向解析樹中新增一條子樹bgp．in-ad-dr．arp來實現特定IP地址前綴到其路由源AS號的映射。   DoAV設計了一種新的DNS資源記錄類型“AS記錄”來完成信息的。假定IP地址前綴205．1．1/24授權AS號為2914的自治域為其通告路由可達信息，那么該IP地址前綴信息的持有機構，在其維護的DNS區文件中添加的資源記錄為1．1．205．bgp．in-addr．arpa．AS291424?；贒oAV的設計，邊界路由器在使用BGP交換路由可達信息時，在DNS反向解析樹中查詢相關IP地址前綴的AS記錄，以驗證BGP消息中IP地址前綴的路由可達信息是否屬實。而DNS查詢數據本身的可信問題交由DNSSEC去解決。考慮到新設計的AS記錄在短期內無法部署，DoAV建議將相關的路由源信息數據放在TXT記錄中，但并未給出詳細的TXT文本表示語法。   作為域間路由安全領域的典型解決方案，S-BGP盡管設計周密，但需要重新構建一個全球范圍的PKI［13］是其部署的最大障礙。2009年底，ICANN(theInternetCorporationforAs-signedNamesandNumbers，互聯網名稱與數字地址分配機構)對DNSSEC實施“根簽”，構建了一個基于DNS樹的全球信任體系。為解決S-BGP在部署方面的困難，ipa+將DNSSEC資源記錄作為一種輕量級的證書，以完成IP地址前綴與其持有實體公鑰的關聯。與DoAV類似，IPa+也利用了DNS中的IP地址反向解析樹來完成資源的，并通過DNSSEC中新增的DS記錄來證明IP地址的授權分配關系。例如，ARIN(北美互聯網注冊機構)持有IP地址塊165．0．0．0/8，將其子空間165．72．0．0/16分配給AT＆T(美國電話電報公司)。按照IPa+的設計，ARIN通過DNSSEC的DS資源記錄72．165．in-addr．arpaDSHash(KEYAT＆T)來證明AT＆T公鑰的真實性，以支撐S-BGP所設計的路由可達信息簽名機制?？紤]到IP地址前綴的路由源信息不會太過頻繁，為提高驗證效率，IPa+采用了周期查詢并將查詢結果進行緩存的驗證機制。   1.2基于RPKI的路由源聲明正如IPa+提到的那樣，構建一個覆蓋全球范圍的PKI是S-BGP的最大部署障礙。然而，RPKI(resourcePKI)［10］的出現，不僅為S-BGP提供了實施基礎，更為IP地址資源管理提供了一個可信的基礎平臺。   以X．509證書基本格式為基礎，RPKI通過使用資源證書擴展［14］延伸了PKI的功能。資源證書擴展添加了新的X．509值域，用于攜帶證書持有者所擁有的IP地址資源或AS號。參照現有的IP地址分配體系，上游節點既是其鄰接下游節點的資源分配者，也是其鄰接下游節點所持有資源證書的頒發者。   由于層次化的IP地址分配體系，RPKI為樹型信任結構，并采用分布式的RPKI資料庫存儲IP地址分配信息。每當有IP地址分配信息更新時，RPKI中的IP地址分配者就將新簽發的資源證書到其管理的RPKI資料庫中。   基于RPKI，IP地址前綴的路由源信息經由一種稱為路由源聲明的簽名項，用于說明某個IP地址前綴授權給某個AS號進行路由可達通告。當需要授權某個AS號為特定的IP地址前綴通告路由可達信息時，該IP地址前綴的持有者使用其資源證書對應的私鑰簽發一個EE(endpointentity)證書，然后再用EE證書對應的私鑰產生路由源聲明簽名項。EE證書中的IP地址前綴與路由源聲明所表征的IP地址前綴一致。   完成授權后，IP地址前綴持有者將相應的路由源聲明連同產生該簽名項的EE證書到其管理的RPKI資料庫中。   依托RPKI所提供的可信IP地址分配信息以及授權信息，驗證者和RPKI服務器負責將這些信息推送給邊界路由器，供其驗證BGP消息所攜帶的IP地址前綴路由源信息。驗證者(relyingparty)在全球范圍內周期性地下載各個RPKI資料庫的數據，并通過構造證書路徑完成對路由源聲明的驗證。驗證通過后，路由源聲明中攜帶的授權信息被推送到全球各個角落的本地緩存中。一旦收到關于某個IP地址前綴的路由可達通告，邊界路由器通過RPKI/router協議［15］向RPKI服務器發起查詢，獲得本地緩存的關于該IP地址前綴的授權信息，同路由可達通告中攜帶的路由源信息比較是否一致，并結合本地策略選擇是否信任該路由可達通告。#p#分頁標題#e#   目前，RPKI在全球范圍內引起了廣泛關注。全球五大地址注冊機構都已提供RPKI證書業務，而在技術實現層面，互聯網工程任務組(InternetEngineeringTaskForce，IETF)的SIDR(SecureInter-DomainRouting)工作組正在積極推進其標準化工作。   1.3小結   圍繞IP地址前綴和路由源AS號的正確映射關系，或借助DNSSEC服務，或在IP地址分配體系中構建PKI，以上技術方案都實現了IP地址分配關系和授權信息的真實可信，有效地抵御了IP地址前綴劫持。但DoAV、IPa+和RPKI三者在部署機制、效率以及在域間路由安全的可擴展性方面有所差異，而比較這些差異則是構建可信互聯網的重要考量元素。表1給出了DoAV、IPa+以及RPKI三者的比較。   借助DNSSEC所構建的信任鏈，使用DNS反向解析子樹來反映IP地址分配信息以及授權信息的方法得以實現。這種方法的優勢在于充分利用了現有DNS基礎設施和DNS反向解析子樹呈現的IP地址分配關系，DoAV和IPa+免去了構建額外認證體系的開銷，相比RPKI，部署代價較小。在IP地址分配信息以及授權信息獲取方面，DoAV和IPa+使用DNS的遞歸解析服務器，RPKI使用專門的驗證實體，后者需要額外部署驗證業務。此外，RPKI引入了新的查詢協議，需要邊界路由器升級軟件。   作為一種全新的IP地址資源管理機制，RPKI的部署代價盡管較高，但其通過構建IP地址分配以及授權信息的認證體系，為互聯網域間路由安全的各種技術方案提供了實施平臺。   DoAV和IPa+僅僅面向IP地址前綴劫持，而RPKI通過BG-PSEC［16］的擴展還可以抵御自治域路徑信息竄改。然而，RPKI未能將IP地址分配以及授權領域的所有問題考慮周全，比如在當前IPv4地址即將耗盡的背景下，IP地址交易認證(re-sourcetransferintheglobalRPKI)會對RPKI的運行產生影響，需今后作進一步研究。   2IP地址配置與接入網安全在當前的互聯網體系結構下，IP地址是主機在互聯網上的身份標志，因此IP地址的配置安全直接影響到網絡運營商訪問控制、計費、溯源等管理技術的實施，是構建可信互聯網在接入網層面的主要內容之一。根據不同的配置策略，IP地址配置主要有靜態配置、動態配置以及無狀態自動配置［17］三類。   其中，無狀態自動配置是IPv6內置的新協議，靜態和動態配置可以經由主機配置領域的標準化協議DHCP［18，19］(dynamichostconfigurationprotocol，動態主機配置協議)完成。根據配置對象不同的網絡層協議，DHCP分為DHCPv4［18］和DHCPv6［19］兩個版本。在IPv4時代，由于IP地址稀缺，按需動態的集中式IP地址配置方法DHCPv4被廣泛應用;伴隨IPv6的到來，IP地址盡管豐富，但由于集中式的IP地址配置機制便于網絡管理實體對終端施加控制，DHCPv6的功能擴展和標準化工作仍然是IETF的重點工作之一。考慮到DHCP在IP地址配置領域的重要地位，本章通過梳理DHCP安全領域的技術方案來研討IP地址配置和接入網安全之間的關系。   服務器和客戶端是DHCP范疇內最基本的兩個角色，DH-CP的安全問題主要來自未授權的DHCP服務器和未授權的DHCP客戶端。前者指的是惡意主機偽裝成DHCP服務器，向用戶主機提供錯誤的IP地址等網絡參數，導致用戶主機無法正常接入互聯網;后者是指惡意主機偽造成某個接入網的合法DHCP客戶端，盜用該網絡的IP地址、接入帶寬等資源。因此，授權和身份驗證是DHCP安全的核心內容。   2.1DHCP帶外安全技術   由于早期的DHCP技術規范中缺乏安全機制，一類以DH-CPsnooping［20］和UA-DHCP［21］為代表的技術方案將IP地址配置管理和接入控制結合起來，在DHCP機制以外尋求IP地址配置安全問題的對策。   DHCPsnooping是目前廣泛應用的一種基于鏈路層的安全技術系列，可以用于控制DHCP服務器應答報文的來源，以防止網絡中偽裝或非法的DHCP服務器為主機配置IP地址及其他網絡參數。DHCPsnooping對交換機端口進行區分，將與合法的DHCP服務器直接或間接連接的端口設定為信任端口，而將其余端口設置為非信任端口。DHCPsnooping交換機僅轉發來自其信任端口的DHCP應答消息，保證DHCP客戶端獲取正確的IP地址。對于來自非信任端口的DHCP服務器應答消息，DHCPsnooping交換機將其丟棄，防止DHCP客戶端獲得錯誤的IP地址。由于DHCP服務器一般靜態地接入網絡，DHCPsnooping能夠有效地消除未授權的DHCP服務器帶來的安全隱患，但DHCPsnooping缺乏認證機制，未授權的DHCP客戶端盜用IP地址資源的問題無法解決。此外，DHCPsnooping依賴物理端口信息，僅適用于交換式局域網，無法在介質共享式以太網中保障DHCP的安全。   UA-DHCP提出了一種基于“用戶名/密碼”的DHCP客戶端認證機制。UA-DHCP沒有改變DHCP的核心協議，而是在DHCP之外增加了新的認證機制。按照UA-DHCP的設計，用戶主機首先通過DHCP獲得IP地址，該IP地址不能立即使用，僅用于與認證服務器交互完成用戶名和密碼的驗證。驗證通過后，網關打開該IP地址接入權限，UA-DHCP周期性檢查用戶主機的IP地址是否處在租約期內，如果過期，則立即要求該IP地址對應的用戶輸入密碼加以重新驗證;如果驗證不能通過，則收回IP地址，關閉網關中該IP地址的接入權限。本質上，UA-DHCP先通過DHCP配置主機的IP地址，然后對用戶加以認證來判定是否開放該IP地址的接入權限，是抵御未授權的DHCP客戶端盜用IP地址資源的安全技術。然而，UA-DHCP中基于用戶名和密碼一致性檢查的方法，只能用于一個管理域內，無法適用于漫游主機上的DHCP客戶端認證。2.2DHCP安全擴展技術帶外機制的DHCP安全保護機制或依賴接入環境特征，或依賴接入控制策略，沒有從根本上改變DHCP缺乏身份驗證機制的現實，因此在DHCP的協議范疇內尋求安全問題的對策，成為學術界和工業界一直以來的熱點技術路線，并形成了以DelayedAuth［22］、DHCP++［23］、KerbAuth［24］、SigZero［25］以及E-DHCP［26］等為代表的DHCP安全擴展研究領域，以解決DHCP安全范疇中身份驗證的問題。 #p#分頁標題#e#   作為DHCP安全擴展技術領域中唯一的IETF標準，De-layedAuth通過在DHCP服務器和DHCP客戶端之間配置預共享密鑰完成雙向的身份驗證，但密鑰的預共享機制使得De-layedAuth難以靈活且高效地應對站點級網絡中大量的配置工作。此外，DelayedAuth不支持主機的跨域管理，一旦主機變更了接入點，DHCP服務器和DHCP客戶端之間的預共享密鑰就不再有效。隨著海量的移動主機接入互聯網，支持跨域身份驗證的DHCP安全擴展成為后續方案所秉持的基本目標。與DelayedAuth類似，DHCP++同樣在DHCP服務器和DHCP客戶端之間實現了基于共享密鑰的消息認證碼的身份驗證機制。較之DelayedAuth中密鑰的預共享模式，DHCP++通過將密鑰協商過程嵌入到DHCP的基本消息交互中，實現了驗證密鑰的自動化管理，支持漫游主機的跨域認證，但DHCP++的密鑰協商機制需要依賴可信第三方為DHCP服務器和DHCP客戶端簽發證書。   KerbAuth是一種基于Kerberos在線認證機制［27］的DHCP實體身份驗證方法。在Kerberos服務器的配合下，KerbAuth通過DHCP的基本消息交互完成密鑰在DHCP服務器和DHCP客戶端之間的共享。在DHCP服務發現階段，DHCP服務器向DHCP客戶端的家鄉KDC(keydistributioncenter，密鑰分發中心)請求與該DHCP客戶端的共享密鑰;在DHCP服務確認階段，DHCP服務器和DHCP客戶端使用該密鑰認證彼此的身份。KerbAuth具體的認證運算方法與DHCP++類似，區別僅在于DHCP服務器和DHCP客戶端之間共享密鑰的協商機制。   KerbAuth的實現需要在DHCP交互中穿插Kerberos協議，在保持DHCP狀態機一致的要求下，引入了復雜的容錯處理開銷和管理負擔。   由于DNSSEC支持在DNS的KEY記錄中存放域名對應的公鑰信息，SigZero以此為基礎設計了一種面向主機名的DHCP客戶端身份驗證機制。按照SigZero的設計，DHCP客戶端使用DNS主機名來標志自己的身份，并使用私鑰對發出的DHCP消息進行簽名，對應的公鑰則存放在DNS的KEY記錄中。通過DNS查詢，DHCP服務器可以對獲取DHCP客戶端主機名所對應的公鑰，進而驗證簽名。由于驗證信息基于DNS查詢，因此SigZero很容易實現。此外，基于DNS主機名的身份標志機制可以支持DHCP客戶端的全互聯網漫游身份驗證。然而，SigZero只能用于驗證DHCP客戶端的身份，DHCP服務器的身份驗證仍需要借助其他方法。   基于公鑰證書簽名機制，E-DHCP提供了面向雙向身份驗證的DHCP安全擴展方法。E-DHCP設計中的DHCP客戶端和DHCP服務器均需要經由帶外機制獲得公鑰證書。由于DHCP客戶端在獲得IP地址資源之前無法經由互聯網構造證書的驗證路徑，因此，DHCP客戶端必須將DHCP服務器的公鑰證書添加在本地的信任列表中。利用DHCP消息中攜帶的簽名以及帶外配置的公鑰證書，DHCP實體的身份驗證得以實現。但帶外配置信任證書的方式使得E-DHCP的DHCP服務器身份驗證機制只能部署在一個管理域內。   2.3小結   面向IP地址配置的安全問題，本章圍繞DHCP對相關問題的來源和技術方案進行了梳理和分析。這些方案在目標、技術基礎、部署難易度以及可擴展性等方面不盡相同，表2從不同維度給出了對比。   在安全目標方面，DHCPsnooping和UA-DHCP沒有觸及DHCP本身，使用帶外機制分別保障了DHCP服務器的授權和DHCP客戶端的授權。而DelayedAuth、DHCP++、KerbAuth、SigZero以及E-DHCP等DHCP安全擴展機制主要面向DHCP本身的安全性，保障DHCP實體身份的可驗證，沒有考慮授權問題。判斷DHCP服務器和DHCP客戶端是否是合法的授權實體，需要帶外授權信息的輔助。   由于移動接入需求越來越大，跨域管理是DHCP安全擴展需要正視的重要問題。DHCP++、KerbAuth以及E-DHCP可以對移動DHCP客戶端的身份加以驗證，但目前沒有一個基于全球信任根的PKI，這些技術受到其依賴PKI有效范圍的限制。由于DNSSEC已經部署，使用DNSSEC作為信任源的Sig-Zero對主機移動性的支持是全互聯網級的。   在部署層面，DHCPsnooping和UA-DHCP僅僅取決于接入網的管理策略，不需要對DHCP設備進行改造。而2．2節提到的DHCP安全擴展技術都需要在協議層面對DHCP進行調整。特別是DHCP++和KerAuth，兩者均在DHCP交互流程中嵌入了密鑰協商機制，對協議改動較大，是部署的最大障礙。   由于DHCP服務器由接入網管理實體部署，管理實體可以利用DHCPsnooping實現DHCP服務側的可信，思科、華為等設備制造商均支持這項功能。但在DHCP客戶端認證領域，唯一形成IETF技術標準的DelayedAuth不支持跨域認證，其余的技術或實現復雜，或僅能支持有限的主機漫游?；贒NSSEC的SigZero是其中較好的實現方案，但都沒有形成相關的技術標準。究其原因，IP地址配置還同接入網的管理策略密切相關。本章圍繞DHCP研討的IP地址配置安全機制均未考慮具體的接入認證和計費機制對DHCP安全擴展的制約。因此，結合運營商的接入網管理技術以研究面向具體接入環境的安全IP地址配置技術是該領域最好的演進方向。此外，隨著家庭網絡和物聯網絡的興起，以及DHCPv6開始支持IP地址前綴［28］，IP地址前綴自動化配置的協議安全將是構建可信互聯網范疇內重要的研究內容之一。   3源地址驗證   僅僅依賴安全的IP地址分配以及配置技術，仍不能完全支撐面向可信互聯網的IP地址管理工作。由于互聯網協議棧的網絡層沒有實現對數據包源IP地址的驗證，源IP地址可以被隨意偽造，作為實施網絡攻擊的前奏。為了彌補網絡層協議設計的缺陷，源地址驗證技術應運而生。根據驗證機制部署的位置不同，源地址驗證技術分為接入網驗證、自治域間驗證以及端到端驗證。   3.1接入網源地址驗證   接入網源地址驗證技術利用數據包源地址和其轉發路徑的特定物理信息以及邏輯信息的綁定關系進行過濾。Ingressfiltering［29］是一個基于路由器中存儲數據結構的輕量級過濾方案，路由器或者防火墻負責檢查來自這個網絡數據包的源IP地址是否屬于這個網絡，它可以使偽造源IP地址的數據包不能離開攻擊者所屬的子網，但無法抵御子網內的源地址偽造。#p#分頁標題#e#   為防止子網內的源地址偽造，SPINACH［30，31］將IP地址和MAC地址的綁定關系注冊到轉發設備上，但MAC地址可以被用戶修改，這種方法的脆弱性顯而易見。SPINACH的作者進一步提出了一種面向交換式局域網的解決方案，以利用端口信息進行源地址驗證。使用IP地址和交換機端口綁定關系完成源地址驗證的做法很快就體現在了后續的解決方案中。歷經發展，Ethane［32］是目前較為成熟的方案，但Ethane這種基于交換式局域網的設計仍舊沒有徹底解決共享式以太網的源地址驗證問題。   IPv6的出現為接入網源地址驗證提供了新的技術基礎。   清華大學的研究人員提出了一種使用IPv6擴展包頭攜帶驗證信息的源地址驗證方法［33］。在該方法中，接入主機和接入網關之間共享密鑰。主機在發送數據包之前，使用其與接入網關之間共享的密鑰對數據包載荷進行哈希運算，并將運算結果攜帶在新設計的IPv6驗證包頭中供接入網關驗證。然而，該方法并未對如何在接入主機和驗證網關之間共享密鑰進行細致的設計。CSAA［34］利用CGA［35］的自驗證特性提出了一種具體的共享密鑰分發機制。   使用共享密鑰進行載荷哈希運算的驗證機制可以實現高粒度的源IP地址驗證，且不依賴于具體的接入環境特征，但密鑰共享仍然受制于不同的接入控制協議。如何在不同的接入控制協議中捎帶完成共享密鑰在接入主機和驗證網關之間的高效配置，尚有很多值得研究的內容。   3.2自治域間源地址驗證   依托本文第1章研討的域間路由安全技術，以SAVE［36］、SPM［37］和Passport［38，39］等為代表的域間源地址驗證技術流派實現了IP地址前綴粒度的源地址驗證。   在自治域的邊界路由器上，SAVE對IP地址前綴與接收到該前綴的路由通告消息的接口建立關聯。SAVE的實現依賴邊界路由器之間相互交換域間路由信息，使得邊界路由器涉及到大量的、可認證的數據交換。SAVE的復雜性比較高，可能成為DoS攻擊的潛在對象。   與SAVE利用路由信息不同，SPM引入了一種輕量級簽名機制在自治域對之間實現源地址驗證。根據SPM的設計，當數據包離開源自治域時，自治域的邊界路由器將為其添加一個基于源—目的自治域對的簽名，以供目的自治域的邊界路由器驗證。SPM中所謂的簽名沒有采用任何加密技術，而是在數據包中攜帶源—目的地址對、源—目的IP地址前綴對或者源—目的AS號對的共享秘密，該秘密為一個常數。SPM的安全性基于骨干網報文難以被竊聽的前提，但由于共享秘密以明文形式攜帶在數據包中，數據包在穿越自治域時，很可能被中間人竊聽。   針對SPM中共享秘密容易被竊聽的缺陷，Passport提出了一種基于數字簽名的源地址驗證方法。源地址所在自治域需要與數據包轉發路徑上的各個自治域分別共享密鑰，并使用這些共享密鑰分別產生簽名供數據包沿途的各個自治域邊界路由器驗證。在數據包被路由至目的主機之前，一旦出現簽名驗證不正確或不存在的情況，該數據包就將被丟棄。較之SAVE和SPM，Passport最鮮明的特點是引入了密碼學的簽名技術，此舉使得域間路由的數據包負荷增大，一旦數據包需要途徑多個自治域，源自治域為數據包添加的簽名將會很長，對骨干網的帶寬消耗明顯。   3.3端到端的主機級源地址驗證   以上提到的若干源地址驗證技術均在數據包的傳輸路徑部署實施，對終端主機透明。盡管這些方案免去了數據包接收者的驗證負擔，但某些高安全要求的應用需要數據包的接收者親自驗證源地址。從源IP地址缺乏認證的根本出發，IP-Sec［40～42］設計了新的IP數據包擴展頭，使其攜帶目的主機和源主機之間基于共享密鑰的哈希簽名。共享密鑰以及驗證策略等IPSec安全參數，可由管理員分別在通信雙方的主機上手工配置，還可以使用專門的密鑰交換協議［43］來完成端到端的協商。   IPSec在互聯網的完整部署依賴于是否存在一個可信的并且能夠處理海量用戶證書的PKI。IPSec的管理也較為復雜，容易出現相關參數配置的錯誤配置?？傊?，證書管理和操作管理是IPSec實踐和推廣中最大的難題。   3.4小結   由于互聯網體系結構設計上的缺陷，源地址驗證是一個復雜的系統工程。為了有效地部署源地址驗證機制，清華大學的研究人員設計了互聯網源地址驗證的整體框架［44］，對各種源地址驗證技術進行了整合，并在IETF發起成立了SAVI(sourceaddressvalidationimprovements)工作組，以推進相關技術細節的標準化。由于互聯網邊緣網絡在物理特征、接入控制技術、資源分配機制以及管理策略上的巨大差異，源地址驗證技術必須同具體接入環境結合，隨著互聯網由IPv4向IPv6演進，研究面向IPv6特征，特別是其地址結構特征的源地址驗證技術，如之前提到的CSAA，將是今后該領域的演進方向之一。   縱覽源地址驗證技術的發展，驗證機制都是對目前互聯網體系結構下網絡層工作機制的補充，依賴部署政策和網絡運營策略，沒有在根本上實現數據包源IP地址的真實可信。對于這一技術發展瓶頸，本文下一章提到的互聯網審計研究領域給予了足夠的關注和解決手段。   4面向IP地址的互聯網審計   圍繞IP地址管理的不同環節，上文對相關的技術進行了梳理和分析。這些技術盡管在基礎資源層面為構建從可用到可信的互聯網提供了有力的支撐，但這些技術或是已有技術的改進，或是對互聯網體系結構的修補，沒有觸及當前互聯網體系結構的內核，致使互聯網的基礎資源管理和協議簇越來越復雜。鑒于網絡層在互聯網協議棧中的重要地位以及上文在綜述IP地址管理技術問題時提到的困難乃至瓶頸，工業界和學術界越來越來深刻地認識到互聯網體系結構研究對于可信互聯網的重要性。IP地址分配、配置以及驗證等環節的安全技術研究直接推動了面向IP地址的互聯網審計的問世。  #p#分頁標題#e# 由于缺乏內在的審計機制，互聯網并非一個足夠安全的基礎通信平臺。審計(accountability)是指準確地將特定的行為同產生該行為的實體身份關聯起來，并實施有效的問責。由于IP地址獨立于互聯網上層應用的特點，面向IP地址的互聯網審計成為近年來一個新興的研究領域。AIP［45］和BAFI［46］是該領域最具代表性的技術方案。   在源地址偽造之外，很多互聯網的合法運行機制導致IP地址溯源困難，IP地址審計難以實現。例如，DHCP的使用導致同一IP地址先后被分配給不同主機使用，漫游主機的IP地址隨著接入點的變更而變化。因此，在協議上實現IP地址可驗證以及在資源管理上實現IP地址易溯源，成為面向IP地址的互聯網審計領域的基本出發點。   通過對網絡層協議進行重構，AIP使用扁平化結構的自驗證IP地址取代了層次化結構的聚合式IP地址。AIP假設互聯網由若干管理上獨立但彼此互連的網絡組成，每個網絡又由若干個審計域組成。每個審計域將其公鑰的哈希作為自己的標志符，審計域之中的終端同樣使用自己的公鑰哈希值作為身份標志符。審計域標志符和終端標志符共同組成了一個完整的IP地址，這種設計成功地實現了“身份”和“位置”兩個語義在IP地址結構內的區分?；谛碌腎P地址結構，AIP進一步設計了網絡層內置的源地址驗證協議、域間路由安全機制并討論了新的網絡層協議下的可擴展路由問題。源地址驗證和IP流量控制構成了AIP互聯網審計機制的基本內涵。   在AIP之后，BAFI［46］也提出了一種互聯網審計方法。   BAFI首先抽象出了一種可以區分“身份”和“位置”兩個語義的IP地址。在此前提下，BAFI基于陷門哈希函數簽名方法實現了一種輕量級的網絡層消息簽名機制［47］，用以驗證數據包發送源的非否認性和數據包載荷的完整性。在源地址驗證的基礎上，BAFI進一步提出了客戶端票據的概念?？蛻舳似睋丝蛻舳撕头掌麟p方的身份信息、服務端主機所在的自治域號碼以及有效時間等信息，可以協助服務器端主機方便地進行流量控制?；谙蓍T哈希函數的簽名機制還使得BAFI方便地建立起了面向IP地址的互聯網信譽評價系統。按照BAFI的觀點，源地址驗證、流量控制和信譽評價系統構成了互聯網審計最基本的三個要素。BAFI的審計僅僅面向客戶端，強調對通信發起實體的審計，沒有討論互聯網控制實體如數據轉發設備的審計問題。正如AIP在論述互聯網審計概念時提到的那樣，完整的互聯網審計應當包含源實體審計(sourceac-countability)和控制實體審計(control-planeaccountability)。   互聯網審計的概念興起不久，相關研究也較少，但互聯網審計是構建從可用到可信的互聯網的關鍵，是可信互聯網研究在IP地址資源管理領域的自然延伸。當前的研究反映出這樣一個事實:在網絡層實現互聯網接入實體身份標志和位置標志的解耦，是實現互聯網審計的必要條件，但在當前的互聯網體系結構下難以實現。無論AIP還是BAFI，都是對下一代互聯網互連互通層次標志設計的前瞻性研究，提出的解決方案無法與現有互聯網IP地址結構或使用方式兼容，但IPv6地址的廣泛使用在即，AIP和BAFI所折射的研究思想將有助于挖掘IPv6互聯網提供審計的潛力。   5結束語   目前，全球互聯網數字分配機構(IANA)正式宣布已經將IPv4地址庫剩余的五個A地址，平均分配給包括亞太區互聯網絡信息中心在內的五個地區性互聯網注冊管理機構，標志全球現有的IPv4地址資源已經分配完畢，IPv6地址規劃時代正式到來。IPv6的興起不僅源于IPv4地址空間的局限，盡可能地彌補IPv4時代互聯網安全上暴露的缺陷，也是IETF設計IPv6地址時的重要考量。   IPv6是網絡技術史上的一次重要升級，IPv6在協議以及IP地址結構層面的特征為面向可信互聯網的IP地址管理技術研究帶來了機遇。如何解決IPv6地址管理中的諸多問題，在IPv4到IPv6的演進過程中構建從可用到可信的互聯網，將是互聯網社區重要的研究內容之一。