IPv6是下一代互联网的基础,同时也是国内外科研人员的研究热点。IPv6真实源地址认证能够针对目前互联网体系结构中的一些固有缺陷进行解决,进行了技术的设计实现和创新。
源地址认证可以直接解决一些伪造源地址的分布式拒绝服务攻击(DDoS),比如Reflection攻击等;真实地址访问,使得互联网中的流量更加容易追踪,使得设计安全机制和网络管理更加容易;可以实现基于源地址的计费、管理和测量;可以为安全服务和安全应用的设计提供支持。
IPv6真实源地址认证技术是当前互联网尚不具备的功能。因此,如何设计实验和验证的网络环境,具有十分重要的意义。在真实源地址认证技术的研究过程中,我们采用了“搭建真实实验网络,连接真实运营网络,运行真实互联网应用,模拟大规模恶意攻击进行综合实验和验证”的设计方法,基于CNGI-CERNET2建立了IPv6真实源地址认证试验网,对上述的各种技术进行了实验和验证。
整个试验网分为接入网、域内和域间三个层次,可以充分仿真现有的互联网结构。在商用的IPv6路由器和交换机基础上,在接入网、域内和域间三个层次进一步实现了真实源地址认证技术,使各种技术可以在真实网络的环境中得到实验和验证。实验和验证面向真实的互联网应用,除了典型的WWW页面访问,流媒体播放等应用外,实验环境中还支持基于真实地址的BBS,基于真实地址的电子邮件、基于真实地址的SIP通信等典型应用。
为了更好地仿真真实的运营网络,我们通过专线将实验环境和下一代IPv6主干网CNGI-CERNET2进行了连接。为了验证真实源地址认证技术对恶意分组的防御能力,我们通过测试仪生成大流量的恶意分组对应用程序进行攻击测试,测试结果表明IPv6真实源地址认证技术可以解决互联网中伪造源地址造成的多种安全问题。
