一種IPv4/IPv6過(guò)渡場(chǎng)景下IP源地址驗(yàn)證及追溯通用性框架方案

胡光武，張平安

（深圳信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)學(xué)院， 廣東 深圳 518172）

?

一種IPv4/IPv6過(guò)渡場(chǎng)景下IP源地址驗(yàn)證及追溯通用性框架方案

胡光武，張平安

（深圳信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)學(xué)院， 廣東 深圳 518172）

摘 要：IP源地址欺騙是互聯(lián)網(wǎng)安全問(wèn)題的主要根源之一，目前已有方案僅關(guān)注IPv4或IPv6單協(xié)議棧等簡(jiǎn)單的網(wǎng)絡(luò)場(chǎng)景，鮮有文獻(xiàn)對(duì)IPv4向IPv6過(guò)渡場(chǎng)景下的源地址驗(yàn)證及追溯問(wèn)題予以研究。鑒于IPv4/IPv6過(guò)渡階段的長(zhǎng)期性和必然性，本文提出一種基于SAVI（Source Address Validation Improvement）技術(shù)的IPv4/IPv6過(guò)渡場(chǎng)景下IP源地址驗(yàn)證及追溯的通用性框架方案。該方案通過(guò)提取現(xiàn)有IPv4/IPv6過(guò)渡方案中共有而本質(zhì)的特征屬性，并利用SAVI技術(shù)的擴(kuò)展，達(dá)到了對(duì)不同屬性組合過(guò)渡場(chǎng)景下IP源地址驗(yàn)證及追溯的目的。通過(guò)對(duì)主要IPv4/IPv6過(guò)渡方案的驗(yàn)證證明了本框架方案的合理性，同時(shí)因本方案能夠支持IPv4/IPv6過(guò)渡所需的所有機(jī)制要素，故對(duì)未來(lái)可能出現(xiàn)的過(guò)渡場(chǎng)景也具有適應(yīng)性。

關(guān)鍵詞：IPv4/IPv6過(guò)渡；源地址驗(yàn)證；源地址追溯；SAVI

源地址欺騙問(wèn)題是當(dāng)今互聯(lián)網(wǎng)安全問(wèn)題的主要根源之一，IP源地址假冒現(xiàn)象在近年來(lái)也顯得尤為突出。據(jù)麻省理工大學(xué)IP Spoofer項(xiàng)目組的統(tǒng)計(jì)數(shù)據(jù)表明，截止到2016年1月10號(hào)，全球可被假冒的網(wǎng)段、IP地址以及自治域比例數(shù)分別達(dá)到13.7%，25.2%和26.7%［1］。同時(shí)，互聯(lián)網(wǎng)權(quán)威統(tǒng)計(jì)組織CAIDA發(fā)布的數(shù)據(jù)也表明，中國(guó)和美國(guó)已成為源地址欺騙攻擊的兩大主要受害國(guó)［2］。許多網(wǎng)絡(luò)攻擊行為（如DDoS［3］，SYN flood［4］）等均與假冒源地址攻擊手段所相關(guān)連。例如，2015年5月11日，網(wǎng)易公司的骨干網(wǎng)絡(luò)即遭受到新型的DDoS（Distributed Deny of Service）鏈路洪泛攻擊 （Link Flooding Attack，LFA），致使網(wǎng)易公司數(shù)據(jù)網(wǎng)絡(luò)的骨干鏈路擁塞，蒙受經(jīng)濟(jì)損失而無(wú)法追查攻擊源［5］。

目前源地址驗(yàn)證相關(guān)研究主要從非法數(shù)據(jù)包過(guò)濾、源地址加密、體系架構(gòu)重設(shè)計(jì)等方面展開(kāi)。非法數(shù)據(jù)包過(guò)濾機(jī)制是在數(shù)據(jù)包的轉(zhuǎn)發(fā)路徑設(shè)備上（如二層交換機(jī)、路由器、防火墻等）通過(guò)預(yù)先設(shè)定規(guī)則從而達(dá)到過(guò)濾非法數(shù)據(jù)包的目的，但其在過(guò)濾精度上存在著假陽(yáng)性（誤判）或假陰性（漏判）的可能；而源地址加密機(jī)制則是對(duì)數(shù)據(jù)包的源地址采用對(duì)稱(chēng)或非對(duì)稱(chēng)的加密算法予以加密，而從實(shí)現(xiàn)在接收端驗(yàn)證數(shù)據(jù)包源地址合法性的目的，但這種機(jī)制不但會(huì)影響源地址作為判斷條件的應(yīng)用（如流分類(lèi)），同時(shí)密鑰協(xié)商及分發(fā)機(jī)制在某種程度上加大了系統(tǒng)開(kāi)銷(xiāo)；而體系架構(gòu)重設(shè)計(jì)一般通過(guò)修改主機(jī)TCP/IP協(xié)議?；蛐薷穆酚善鞑僮飨到y(tǒng)達(dá)到以上目的，這使得該機(jī)制的部署及實(shí)施代價(jià)較大。因此，以上研究均存在著欠完善之處，無(wú)法滿(mǎn)足用戶(hù)對(duì)互聯(lián)網(wǎng)的可信需求。

另一方面，受制于傳統(tǒng)IPv4互聯(lián)網(wǎng)的不足，如地址短缺、移動(dòng)接入及安全機(jī)制欠完善等問(wèn)題，人們逐漸將目光轉(zhuǎn)向于以IPv6協(xié)議為基礎(chǔ)的新一代互聯(lián)網(wǎng)，這使得IPv6互聯(lián)網(wǎng)目前正呈現(xiàn)蓬勃發(fā)展的趨勢(shì)。然而，由于投資的漸進(jìn)性以及部署的困難性等原因，造成了當(dāng)前IPv6互聯(lián)網(wǎng)流量?jī)H占互聯(lián)網(wǎng)流量的1%［6］。事實(shí)及數(shù)據(jù)表明，IPv6互聯(lián)網(wǎng)并不能在短時(shí)間內(nèi)取代傳統(tǒng)的IPv4互聯(lián)網(wǎng)，相反，IPv4和IPv6互聯(lián)網(wǎng)將會(huì)長(zhǎng)期并存。鑒于以上事實(shí)，許多促進(jìn)兩種網(wǎng)絡(luò)相互通訊及協(xié)議轉(zhuǎn)換的IPv4/IPv6過(guò)渡機(jī)制被提出?；诠ぷ髂Ｊ?，IPv4/IPv6過(guò)渡機(jī)制可以分為三種：雙棧、隧道和翻譯。雙棧機(jī)制是指用戶(hù)主機(jī)同時(shí)使用兩種協(xié)議，互不干擾，訪問(wèn)主機(jī)根據(jù)目標(biāo)地址的類(lèi)型而使用同一地址形式進(jìn)行訪問(wèn)，因此其源地址驗(yàn)證機(jī)制只需將單棧場(chǎng)景下的成熟方案分別或同時(shí)部署即可。而翻譯技術(shù)是指在兩種網(wǎng)絡(luò)的邊緣，利用翻譯網(wǎng)關(guān)對(duì)兩種協(xié)議機(jī)制的數(shù)據(jù)包格式進(jìn)行相互轉(zhuǎn)換，因此其源地址防假冒方案只需在各自單棧網(wǎng)絡(luò)內(nèi)部署方案即可。至于隧道技術(shù)也被稱(chēng)為“軟線”［7］，是指在兩種網(wǎng)絡(luò)的邊緣，利用網(wǎng)關(guān)設(shè)備對(duì)非同種協(xié)議根據(jù)目標(biāo)協(xié)議進(jìn)行封裝和解封裝包頭的操作，從而提供“隧道”穿越服務(wù)，具體又有4over6和6over4兩種場(chǎng)景。4over6是指核心網(wǎng)絡(luò)為IPv6互聯(lián)網(wǎng)，而訪問(wèn)發(fā)起者及目標(biāo)受訪者均處在其邊緣的IPv4子網(wǎng)，而6over4則與此場(chǎng)景恰好相反。由于隧道方案場(chǎng)景復(fù)雜及需求多樣，故過(guò)渡方案也較多。成熟的方案有6RD［8］、DS-Lite［9］、4RD［10］、A+P［11］以及Public 4over6［12］等。本文將以隧道方案主，同時(shí)兼顧其他兩種方案進(jìn)行闡述。

然而，以上源地址驗(yàn)證方案卻僅關(guān)注于單棧及簡(jiǎn)單的網(wǎng)絡(luò)場(chǎng)景，鮮有文獻(xiàn)對(duì)IPv4/IPv6過(guò)渡場(chǎng)景下的源地址驗(yàn)證機(jī)制予以考慮。更為棘手的是，由于過(guò)渡場(chǎng)景及方案機(jī)制眾多，若針對(duì)每一種過(guò)渡方案設(shè)計(jì)相應(yīng)的源地址驗(yàn)證及追溯方案，既不現(xiàn)實(shí)也不具有靈活性。因此，本文設(shè)計(jì)目標(biāo)及學(xué)術(shù)貢獻(xiàn)在于：針對(duì)IPv4/IPv6過(guò)渡場(chǎng)景，設(shè)計(jì)了一種通用性好、可行性強(qiáng)的源地址驗(yàn)證及追溯框架方案，既滿(mǎn)足現(xiàn)有所有過(guò)渡方案的需求，同時(shí)對(duì)未來(lái)可能出現(xiàn)的過(guò)渡場(chǎng)景也具有適應(yīng)性。

1　方案設(shè)計(jì)

1.1方案概述

在充分調(diào)研和分析了以上過(guò)渡方案后，我們發(fā)現(xiàn)其存在著共同而本質(zhì)的屬性，如隧道發(fā)起主機(jī)所擁有的IPv4地址與IPv6地址之間的關(guān)系，網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translator，NAT）設(shè)備所在的位置等。據(jù)此，我們的設(shè)計(jì)思路是：解析出存在于這些方案中本質(zhì)而通用的屬性，進(jìn)而對(duì)每一種屬性提出相應(yīng)的源地址驗(yàn)證及追溯子方案。當(dāng)某一種過(guò)渡方案由某些屬性組合而成時(shí)，該方案的源地址驗(yàn)證及追溯方案即由這些屬性相對(duì)應(yīng)的子方案組合而形成。

事實(shí)上，由于屬性解析的結(jié)果已涵蓋現(xiàn)有過(guò)渡方案的所有基本特征，因此基于以上屬性的組合均能夠還原出這些方案寫(xiě)定義的過(guò)渡場(chǎng)景，因此，基于以上屬性相應(yīng)的源地址及追溯子方案的組合亦能夠適應(yīng)對(duì)應(yīng)的過(guò)渡方案。而同時(shí)，由于以上屬性可以靈活組合，因此對(duì)于多樣而異構(gòu)的過(guò)渡場(chǎng)景具有較好的兼容性。從1.2節(jié)的屬性解析結(jié)果分析可以看出，其可以描述的過(guò)渡場(chǎng)景可以多達(dá)72種，不僅涵蓋了現(xiàn)在有所有過(guò)渡方案場(chǎng)景，并且對(duì)未來(lái)可能出來(lái)的過(guò)渡場(chǎng)景也具有適應(yīng)性。

同時(shí)，本方案所適用的威脅模型為：攻擊者可以對(duì)數(shù)據(jù)分組中的源地址字段及其他字段進(jìn)行修改，從而達(dá)到假冒他人和攻擊特定目標(biāo)的目的，但攻擊者不能對(duì)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備（如NAT、路由器、防火墻、網(wǎng)關(guān)設(shè)備等）進(jìn)行操縱。本方案將對(duì)這些源地址假冒行為進(jìn)行阻止并追溯假冒數(shù)據(jù)包至第一跳SAVI交換機(jī)或接入路由器。

1.2屬性解析

針對(duì)不同的過(guò)渡場(chǎng)景方案，我們對(duì)于其共同屬性解析原則是：（1）僅解析方案中本質(zhì)而重要的屬性，對(duì)無(wú)關(guān)屬性不予考慮；（2）解析出的屬性應(yīng)具有“原子性”，即屬性不能再被進(jìn)一步再解析成更小的屬性；（3）過(guò)渡方案能夠從這些解析的元素通過(guò)組合而還原。以圖1的Public 4over6方案的單棧無(wú)狀態(tài)場(chǎng)景為例，屬性解析結(jié)果分為4類(lèi)12項(xiàng)，如表1所示。其中4over6 source host表示發(fā)起訪問(wèn)的主機(jī)，4over6 Initiator或4over6 Start-Point表示隧道的發(fā)起點(diǎn)，4over6 Concentrator或4over6 End-Point表示隧道的終點(diǎn)。

圖1　以Public 4over6方案為例說(shuō)明過(guò)渡方案屬性的解析結(jié)果Fig.1The property extraction illustration with the public 4over6 transition scheme

在以上解析結(jié)果中，屬性組A表明了源主機(jī)實(shí)際所使用的協(xié)議棧（并非是該主機(jī)接入網(wǎng)支持的議棧環(huán)境，例如，源主機(jī)可能同時(shí)使用IPv4和IPv6協(xié)議棧，但其接入網(wǎng)僅支持IPv6協(xié)議）；屬性組B表示源主機(jī)所使用的IPv4和IPv6兩種地址的關(guān)系：“無(wú)狀態(tài)（Stateless）”表明兩種地址具有自動(dòng)映射關(guān)系，可以相互推導(dǎo)。而“有狀態(tài)（Stateful）”表明兩種地址沒(méi)有任何關(guān)系，無(wú)法進(jìn)行推導(dǎo)，映射關(guān)系需要由隧道網(wǎng)關(guān)等設(shè)備維持；屬性組C表明源主機(jī)（發(fā)送數(shù)據(jù)請(qǐng)求的主機(jī)）所使用的IPv4地址的形式，如公有地址或私有地址等。同時(shí)由于兩種網(wǎng)絡(luò)互通時(shí)，無(wú)法滿(mǎn)足兩種地址1：1的映射關(guān)系，這就造成多臺(tái)主機(jī)共享同一個(gè)IPv4地址，此時(shí)需要通過(guò)分割I(lǐng)Pv4地址的上層應(yīng)用端口范圍進(jìn)行區(qū)分；屬性組D則表明了地址轉(zhuǎn)換（NAT）設(shè)備所處的位置。

表1　隧道過(guò)渡場(chǎng)景下共有屬性解析列表Tab.1 The list of common properties in tunnel transition schemes

1.3源地址驗(yàn)證方案

SAVI （Source Address Validation Improvement）［13］方案作為數(shù)據(jù)包過(guò)濾方案的一種，由清華大學(xué)提出并被互聯(lián)網(wǎng)標(biāo)準(zhǔn)化組織IETF接受成為互聯(lián)網(wǎng)標(biāo)準(zhǔn)RFC 7039。SAVI的主要機(jī)制是通過(guò)嗅探接入主機(jī)的地址分配過(guò)程（如DHCPv6，SLAAC等），從而在用戶(hù)接入二層交換機(jī)上建立起主機(jī)的IP地址、MAC地址以及主機(jī)接入端口這三元組的唯一綁定關(guān)系，從而達(dá)到在數(shù)據(jù)包的第一跳位置過(guò)濾假冒數(shù)據(jù)包、防止同一子網(wǎng)內(nèi)主機(jī)互相欺騙的目的。全網(wǎng)部署SAVI交換機(jī)可以保證自治域內(nèi)部無(wú)假冒分組流入互聯(lián)網(wǎng)，因此，SAVI方案要比思科公司所提出的uRPF［14］方案更加精確而有效。原因在于SAVI部署的位置是用戶(hù)第一跳接入交換機(jī)而非稍遠(yuǎn)的路由器。但目前，SAVI方案僅關(guān)注IPv6協(xié)議棧以及以太網(wǎng)等簡(jiǎn)單的接入場(chǎng)景。我們將通過(guò)擴(kuò)展SAVI技術(shù)，研究了基于SAVI過(guò)渡場(chǎng)景下單屬性的源地址驗(yàn)證子解決方案，如表2所示。

表2　單屬性的源地址驗(yàn)證方案Tab.2 The IP source address validation sub-solutions for individual property

進(jìn)一步的，我們考慮了屬性組合場(chǎng)景下的源地址驗(yàn)證方案，如表3所示。其中，符號(hào)“-”表示連接關(guān)系，斜線“/”表示任選其一操作，而括號(hào)表示可選關(guān)系。以表3中的第一行屬性組合“A1-B1-C1/ C2-（D1/D2/D3）”為例，它表示屬性A1先與屬性B1組合，然后與C1與C2中的任一個(gè)屬性再組合，進(jìn)一步可選地與屬性D1、 D2或D3中的任意一個(gè)進(jìn)行組合。另外，表中“過(guò)渡場(chǎng)景”列表示了屬性組合情況下所對(duì)應(yīng)的過(guò)渡方案所描述的場(chǎng)景，而“驗(yàn)證方案”列則表示了對(duì)應(yīng)的源地址驗(yàn)證解決方案。

表3　不同屬性組合場(chǎng)景下的源地址驗(yàn)證方案Tab.3 The IP source address validation solutions for differentproperty combinations

1.4源地址追溯方案

我們還針對(duì)單個(gè)屬性的源地址追溯子方案進(jìn)行了考慮，如表4所示，其中“→”表示遞進(jìn)的追溯操作。在此基礎(chǔ)上，我們還進(jìn)一步研究了以上屬性組合場(chǎng)景下的源地址追溯方案，如表5所示。需要說(shuō)明的是，這一功能的實(shí)現(xiàn)還要依賴(lài)于SAVI交換機(jī)在綁定主機(jī)信息后，SAVI管理數(shù)據(jù)庫(kù)（SAVI Management Database，SMD）通過(guò)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol，SNMP）協(xié)議獲取管理域內(nèi)所有主機(jī)的綁定信息。因此一旦主機(jī)在接入網(wǎng)IP地址確定，即可通過(guò)查詢(xún)SMD數(shù)據(jù)庫(kù)就能獲得主機(jī)所在的SAVI交換機(jī)及接入端口號(hào)，從而定位源主機(jī)。

表4　單個(gè)屬性的源地址追溯方案Tab.4 The IP source address traceback sub-solutions for individual property

表5　不同屬性組合場(chǎng)景下的源地址追溯方案Tab.5 The IP traceback solutions for different property combinations

最后，針對(duì)雙棧及翻譯場(chǎng)景，我們也進(jìn)行了考慮。即對(duì)于IPv4/IPv6雙棧場(chǎng)景，用戶(hù)的接入SAVI交換機(jī)應(yīng)綁定接入主機(jī)的屬性，而其追溯機(jī)制可以直接根據(jù)數(shù)據(jù)包IPv4或IPv6源地址進(jìn)行逐級(jí)定位查找；而對(duì)于翻譯場(chǎng)景，用戶(hù)的接入SAVI交換機(jī)只需綁定相應(yīng)的屬性，即在IPv4網(wǎng)絡(luò)中的主機(jī)應(yīng)綁定屬性，而在IPv6網(wǎng)絡(luò)中的主機(jī)綁定屬性，同時(shí)在翻譯網(wǎng)關(guān)處驗(yàn)證二者之間的映射關(guān)系。對(duì)于該場(chǎng)景下的追溯機(jī)制，則應(yīng)根據(jù)數(shù)據(jù)包的IP源地址在翻譯網(wǎng)關(guān)處查找其映射地址，并通過(guò)逐級(jí)映射查找（如雙重翻譯就有兩次翻譯網(wǎng)關(guān)）進(jìn)行定位。

2　方案驗(yàn)證

為進(jìn)一步闡述本方案在不同過(guò)渡場(chǎng)景下對(duì)數(shù)據(jù)包源地址驗(yàn)證及追溯的機(jī)理，本節(jié)將對(duì)表3及表5中所涉及的主要場(chǎng)景予以驗(yàn)證說(shuō)明。

2.1A1-B1/B2-C1/C2-（D1/D2/D3）屬性組合

如圖2所示，DS-Lite是一種雙棧場(chǎng)景下、通過(guò)家庭網(wǎng)關(guān)設(shè)備B4/CPE（Customer Premise Equipment）作為隧道發(fā)起者同時(shí)訪問(wèn)IPv4和IPv6兩種網(wǎng)絡(luò)的過(guò)渡方案，其中CPE為純IPv6接入，在訪問(wèn)IPv4互聯(lián)網(wǎng)時(shí)，通過(guò)隧道封裝使IPv4數(shù)據(jù)包穿越IPv6骨干網(wǎng)，其中CPE是隧道的發(fā)起點(diǎn)，而運(yùn)營(yíng)商的地址翻譯路由器AFTR（Address Family Transition Router）為隧道的匯聚點(diǎn)。因源主機(jī)的IPv4與隧道發(fā)起者CPE的IPv6地址是有狀態(tài)的，需要AFTR記錄其映射關(guān)系。據(jù)表3第1行所知，需在CPE的接入位置部署SAVI交換機(jī)并綁定屬性，同時(shí)在隧道匯聚點(diǎn)需要對(duì)IPv6與IPv4兩者地址的關(guān)系進(jìn)行驗(yàn)證。同時(shí)在追溯方面，據(jù)表5第1行可知，追溯路徑應(yīng)從查詢(xún)的IPv4地址查找出NAT地址轉(zhuǎn)換前的私有IPv4地址，然后通過(guò)映射表找出CPE的IPv6地址，通過(guò)查詢(xún)運(yùn)營(yíng)商的SAVI管理數(shù)據(jù)庫(kù)（SMD）即可定位CPE，也即定位了源主機(jī)的位置。

圖2　運(yùn)用本方案對(duì)DS-Lite過(guò)渡方案進(jìn)行驗(yàn)證示例（虛線箭頭表示追溯路徑）Fig.2The verification illustration for our scheme with DS-Lite transition scenario

2.2A2-B1/B2-C3/C4-（D1/D2/D3）屬性組合

如圖3所示，A+P是源主機(jī)為私有IPv4地址、并通過(guò)限定上層應(yīng)用端口范圍進(jìn)行IP地址復(fù)用的4over6過(guò)渡方案，即單棧私有IPv4、有狀態(tài)、帶端口共享（A2-B2-C4）屬性組合。其中CPE是隧道的發(fā)起點(diǎn)，而PRR（Port Range Router）是隧道的匯聚點(diǎn)。源主機(jī)的IPv4與其IPv6地址是有狀態(tài)的，需要PRR記錄其映射關(guān)系。根據(jù)本方案，源主機(jī)的接入SAVI交換機(jī)應(yīng)綁定，同時(shí)隧道匯聚點(diǎn)PRR需要對(duì)IPv6 與IPv4及端口范圍的映射關(guān)系進(jìn)行驗(yàn)證。在追溯方面，追溯路徑應(yīng)根據(jù)數(shù)據(jù)包的IPv4地址，在PRR上找出對(duì)應(yīng)的IPv6地址以及CPE的IPv6地址，在定位CPE后再查詢(xún)SAVI管理數(shù)據(jù)庫(kù)即可定位源主機(jī)。

圖3　運(yùn)用本方案對(duì)A+P方案進(jìn)行驗(yàn)證示例（虛線箭頭表示追溯路徑）Fig.3The verification illustration for our scheme with A+P transition scenario

2.3A3-B1/B2屬性組合

如圖4所示，6RD是一種6over4的過(guò)渡方案，即IPv6源主機(jī)通過(guò)IPv6 over IPv4的隧道封裝訪問(wèn)IPv6互聯(lián)網(wǎng)。源主機(jī)的接入SAVI交換機(jī)應(yīng)綁定<主機(jī)IPv6地址，MAC地址，交換機(jī)端口>屬性，隧道匯聚點(diǎn)需要對(duì)IPv6與IPv4兩者地址的映射關(guān)系進(jìn)行驗(yàn)證。在追溯方面，追溯路徑應(yīng)從在隧道匯聚點(diǎn)上查詢(xún)的IPv6地址所對(duì)應(yīng)的IPv4地址，在定位隧道發(fā)起點(diǎn)后，查詢(xún)?cè)揑Pv4地址所對(duì)應(yīng)的主機(jī)信息，即可定位源主機(jī)。

圖4　運(yùn)用本方案對(duì)6RD方案進(jìn)行驗(yàn)證示例（虛線箭頭表示追溯路徑）Fig.4The verification illustration for our scheme with 6RD transition scenario

3　結(jié)論

本文提出了一種基于SAVI機(jī)制過(guò)渡場(chǎng)景下通用性的IP源地址驗(yàn)證及追溯框架，該框架通過(guò)解析過(guò)渡場(chǎng)景中的本質(zhì)而共同的屬性并形成其子解決方案，又根據(jù)過(guò)渡方案屬性的組合進(jìn)而形成子解決方案的組合，并形成不同過(guò)渡場(chǎng)景下的源地址驗(yàn)證及追溯解決方案。通過(guò)對(duì)典型過(guò)渡場(chǎng)景的驗(yàn)證示例證明了本方案的合理性、良好的適應(yīng)性以及靈活性。我們已向IETF互聯(lián)網(wǎng)標(biāo)準(zhǔn)化組織提交標(biāo)準(zhǔn)化草案8稿［15］，受到SAVI工作組專(zhuān)家一致認(rèn)可，同時(shí)我們也向國(guó)內(nèi)標(biāo)準(zhǔn)化組織CCSA（China Communications Standards Association）提交正式立項(xiàng)一項(xiàng)。在未來(lái)，我們將致力與產(chǎn)業(yè)界一道，將本方案早日變成實(shí)際產(chǎn)品，為解決過(guò)渡場(chǎng)景下的源地址驗(yàn)證及追溯問(wèn)題作出積極貢獻(xiàn)。

參考文獻(xiàn)（References）:

［1］ MIT. Spoofer project ［EB/OL］. ［2016-01-10］.http://spoofer. csail.mit.edu/summary.php

［2］ CAIDA.UCSD Network Telescope Global Attack Traffic. ［2016-04-07］.［EB/OL］. http://www.caida.org/data/realtime/ telescope

［3］ John Elliott. Distributed denial of service attack and the zombie ant effect［J］. IT Professional， 2000: 55-57.

［4］ Eddy W. Defenses against TCP SYN flooding attacks［J］. The Internet Protocol Journal， 2006: 2-16.

［5］ Freebuf. 新型DDoS攻擊LFA［EB/OL］.［2016-04-07］.http:// www.freebuf.com/articles/network/67107.html Freebuf. New type of DDoS attack: LFA ［EB/OL］. ［2016-04-07］. http://www.freebuf.com/articles/network/67107.html （in Chinese）

［6］ Computerworld. IPv6trafficrisesinus， butremains sliverofoverallinternet［EB/OL］.［2016-04-07］. http:// computerworld.co.nz/news.nsf/news/ipv6-traffic-rises-inus-but-remains-sliver-of-overall-internet

［7］ IETF RFC 5565. Softwire Mesh Framework ［S］. Tsinghua University， Cisco system， Ins. 2009.

［8］ IETF RFC 5569. IPv6 Rapid Deployment on IPv4 Infrastructures （6rd） ［S］. IP-Tech， 2010

［9］ IETF RFC 6333. Dual-Stack Lite Broadband Deployments Following IPv4 Exhaustion ［S］. Cisco， Comcast， 2011

［10］ R.Despres， Ed.，S.Matsushima， T.Murakami etl. IPv4 Residual Deployment across IPv6-Service networks （4rd）ISP-NAT's made optional［EB/OL］. ［2016-04-07］. http:// tools.ietf.org/html/draft-despres-intarea-4rd-01

［11］ IETF RFC 6346， The Address plus Port （A+P） Approach to the IPv4 Address Shortage［S］. Japan: Internet Inititutive，2011

［12］ IETF RFC 7040， Public IPv4 over IPv6 Access Network［S］. Tsinghua University， Juniper Networks， Comcast， 2013

［13］ IETF RFC 7039， Source Address Validation Improvement Framework （SAVI）［S］. Tsinghua University， UC3m， Cisco，2013

［14］ Cisco.Unicast reverse path forwarding［EB/OL］.［2016-04-07］. http://www.cisco.com

［15］ K.Xu，G.Hu and et.al. General Framework of Source Address Validation and Traceback forIPv4/IPv6 Transition Scenarios［EB/OL］. （2015-11-11）. https://datatracker.ietf. org/doc/draft-xu-savi-transition/

【責(zé)任編輯：楊立衡】

【信息技術(shù)理論研究】

A General Framework of Source address validation and traceback for IPv4/IPv6 transition scenarios

HU Guangwu，ZHANG Pingan
（School of Computer， Shenzhen Institute of Information Technology， Shenzhen 518172， China）

Abstract:IP source address spoofing is one ofthe main threats to Internet security. Existing IP anti-spoofing proposals focused on simple network scenarios that only involve IPv4 or IPv6 single-stack. To the best of our knowledge， none of them has paid attention to the IPv4/IPv6 transition scenarios. Given to the fact that the phrase of IPv4 transit to IPv6 islong-term andunavoidable， in this paper， we present a SAVI（Source Address Validation Improvement）-based general framework for IP source address validation and traceback in the IPv4/IPv6 transition scenarios.To realize this purpose， our schemefirst extracts out the essential and mutual properties from current IPv4/IPv6 transition schemes， and then it extends the SAVI technology so as to formrelated solutions for different transition property combined scenarios.By verifying this framework in major mature transition schemes， we proved our framework has excellent adaptability and flexibility.Finally， since this framework can support all of essential factors that transition schemes required， which makes itcan satisfythe demands in future possible transition scenarios as well.

Keywords:IPv4/IPv6 transition； IP source address validation； IP source address traceback； SAVI

中圖分類(lèi)號(hào)：TP393.08

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1672-6332（2016）01-0011-06

［收稿日期］2016-03-15

［基金項(xiàng)目］廣東省自然科學(xué)基金博士啟動(dòng)課題（2015A030310492），廣東省高等學(xué)校優(yōu)秀青年教師項(xiàng)目（yq2014122），深圳市知識(shí)創(chuàng)新計(jì)劃基金研究項(xiàng)目（20160228172531429）

［作者簡(jiǎn)介］胡光武（1980-），男（漢），湖南常德人，博士，講師，主要研究方向：新一代網(wǎng)絡(luò)體系結(jié)構(gòu)，軟件定義網(wǎng)絡(luò)等。E-mail:hugw@sziit.com.cn