电信科学 ›› 2020, Vol. 36 ›› Issue (10): 21-28.doi: 10.11959/j.issn.1000-0801.2020289

• 专题:智能通信技术 • 上一篇    下一篇

基于边界路由动态同步的互联网地址域内真实源地址验证方法

李丹1,秦澜城1,吴建平1,苏莹莹1,徐明伟1,施新钢1,顾钰楠2,林涛3   

  1. 1 清华大学,北京 100084
    2 华为技术有限公司,北京 100095
    3 新华三技术有限公司,北京 100102
  • 修回日期:2020-10-10 出版日期:2020-10-20 发布日期:2020-11-07
  • 作者简介:李丹(1981- ),男,博士,清华大学教授、博士生导师,主要研究方向为数据中心网络、网络智能和可信任互联网。入选教育部“青年长江学者”奖励计划,获得国家优秀青年基金项目资助,国家“973”项目首席科学家,国家重点研发计划项目负责人。IEEE Transactions on Computers、IEEETransactions on Wireless Communications等国际学术期刊编委,ACM SIGCOMM、IEEE INFOCOM等国际学术会议程序委员会委员|秦澜城(1997- ),男,清华大学博士生,主要研究方向为可信任互联网和 BGP 路由安全|吴建平(1953- ),男,清华大学教授、网络科学与网络空间研究院长、下一代互联国家工程实验室主任,中国工程院院士,英国皇家工程院外籍院士,国务院学位委员会第七届学科评议组成员和召集人,2018—2022年教育部计算机类教学指导委员会主任,中央互联网信息办公室专家咨询委员会委员,国家电子政务专家委员会成员,中国互联网协会副理事长,中国教育和科研计算机网CERNET专家委员会主任和网络中心主任,IEEE Fellow|苏莹莹(1997- ),女,清华大学博士生,主要研究方向为可信任互联网和数据中心网络|徐明伟(1971- ),男,清华大学教授,国家杰出青年基金获得者,教育部新世纪优秀人才,中国通信标准化协会技术管理委员会专家,中国计算机学会互联网专委会副主任。主要研究方向为计算机网络体系结构、互联网路由和高性能路由器。获得国家科学技术进步奖二等奖3项,国家技术发明奖二等奖1项|施新钢(1980- ),男,博士,清华大学网络科学与网络空间研究院副研究员,主要研究方向为网络体系结构、路由协议和网络测量|顾钰楠(1989- ),女,华为技术有限公司IP网络设计部IP标准代表,主要研究方向为BGP、控制平面遥测、路由安全和流量优化等|林涛(1976- ),男,新华三技术有限公司2029研究院应用研究部经理、高级工程师,主要研究方向为数据通信网络、云计算、大数据等
  • 基金资助:
    国家重点研发计划项目(2018YFB1800600);国家自然科学基金项目(61772305);广东省重点研发计划项目(2018B010113001)

Internet source address verification method based on synchronization and dynamic filtering in address domain

Dan LI1,Lancheng QIN1,Jianping WU1,Yingying SU1,Mingwei XU1,Xingang SHI1,Yunan GU2,Tao LIN3   

  1. 1 Tsinghua University,Beijing 100084,China
    2 Huawei Technologies Co.,Ltd.,Beijing 100095,China
    3 New H3C Technologies Co.,Ltd.,Beijing 100102,China
  • Revised:2020-10-10 Online:2020-10-20 Published:2020-11-07
  • Supported by:
    The National Key Research and Development Program of China(2018YFB1800600);The National Natural Science Foundation of China(61772305);The Research and Development Program in Key Areas of Guangdong Province of China(2018B010113001)

摘要:

互联网架构设计之初,假设所有网络成员都是可信的,并没有充分考虑不可信网络成员带来的安全威胁。在很长一段时间内,路由器只根据报文的目的IP地址转发消息,不对报文的源IP地址的真实性进行验证。数据分组真实性验证的缺乏会导致报文头部信息被恶意篡改。提出了基于边界路由动态同步的互联网地址域内真实源地址验证方法。该机制基于前缀拓扑信息同步的方法构建过滤表,解决了路由不对称导致过滤表和实际路由状态不一致的问题,避免了验证过程中的假阳性和假阴性,实现了低开销、低时延的地址域内IP地址前缀级粒度的真实源地址验证。

关键词: 源地址验证, IP源地址伪造, 路由同步, 动态过滤

Abstract:

At the beginning of the design of the Internet architecture,it assumed that all network members were trusted,and did not fully consider the security threat brought by the untrusted network members.For a long time,routers only forward packets based on the destination IP address of the packet,and do not carry out any verification on the source IP address of the packet.The lack of packet level authenticity on the Internet results in the header being maliciously altered.A real source address verification mechanism with routing synchronization and dynamic filtering were proposed.This mechanism constructs the filter table based on the prefix-topology mapping synchronization,the problem of inconsistent state between the filter table and the route caused by routing asymmetry were solved,false positives and false negatives was avoided,and a low-overhead and low-latency source address verification of the IP address prefix level granularity in the address domain were realized.

Key words: source address verification, IP source address forgery, routing synchronization, dynamic filtering

中图分类号: 

No Suggested Reading articles found!