基于無狀態(tài)核心網(wǎng)絡方法的Internet源地址認證架構設計.pdf

1、當前的Internet尋址轉發(fā)體系唯一地根據(jù)目的IP地址轉發(fā)數(shù)據(jù)包，大多數(shù)情況下轉發(fā)過程并不檢查源IP地址。這使得惡意主機很容易偽造源IP地址。因此，阻止偽造的源地址并追溯發(fā)送惡意流量的源主機成為了Internet上一個重要的挑戰(zhàn)。在當前和下一代互聯(lián)網(wǎng)的設計與研究中，源地址的真實性檢驗成為互聯(lián)網(wǎng)體系結構中亟需解決的重要議題之一。
　　 實施源 IP地址驗證能夠幫助我們實現(xiàn)以下目標：（1）由于那些帶有偽造源地址的包將不會被轉發(fā)，因

2、此利用源地址欺騙的攻擊將無法實施；（2）假設所有的包的源地址是真實有效的，因此能夠允許精確地實施追蹤，有利于網(wǎng)絡的診斷，管理，計費以及應用。本論文提出了一種簡單精巧的協(xié)議/體系設計方法，該方法通過對接入網(wǎng)絡入口處的源地址真實性以及每個域邊界處的分組路徑的可信性進行檢驗來提高網(wǎng)絡的安全性。這種方法通過異或操作實現(xiàn)累積式的路徑確認；同時，異或操作的可逆性使得源地址回溯功能得以方便的實現(xiàn)，最大化地簡化了網(wǎng)絡的復雜性，降低了源地址認證功能所引入