甄龍飛,吳振強,馬 克

1(青海師范大學(xué) 計算機學(xué)院,西寧 810008)

2(陜西師范大學(xué) 計算機科學(xué)學(xué)院,西安 710119)

3(青海師范大學(xué) 網(wǎng)絡(luò)中心,西寧 810008)

由于Internet 數(shù)據(jù)傳輸采用無連接的逐跳轉(zhuǎn)發(fā)模式,使網(wǎng)絡(luò)節(jié)點之間的數(shù)據(jù)包在網(wǎng)絡(luò)層傳輸時僅以目的IP 進(jìn)行尋址轉(zhuǎn)發(fā),由此可能導(dǎo)致網(wǎng)絡(luò)中的惡意節(jié)點偽造數(shù)據(jù)包中源端的IP 地址以欺騙目的節(jié)點進(jìn)行非法通信竊取目的端用戶的相關(guān)信息,導(dǎo)致了基于源地址欺騙類型的網(wǎng)絡(luò)攻擊行為的出現(xiàn),如MITM、洪泛攻擊、反射式攻擊、DoS/DDoS 攻擊等.由此本段主要介紹源地址驗證研究的目的、意義、方法、范圍和背景等.為了預(yù)防上述的惡意攻擊行為,在網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)過程中有必要進(jìn)行源地址驗證,它有助于保護(hù)網(wǎng)絡(luò)層數(shù)據(jù)傳輸?shù)恼w安全.源地址驗證又稱數(shù)據(jù)源真實性鑒別,是指網(wǎng)絡(luò)數(shù)據(jù)在轉(zhuǎn)發(fā)的過程中利用數(shù)據(jù)包中的源IP 地址在網(wǎng)路中的傳輸節(jié)點上進(jìn)行源地址真實性鑒別再進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),以保障目的端能接收到真實源端的數(shù)據(jù)報文進(jìn)一步保障傳輸數(shù)據(jù)的安全.為此我國在國家“973”項目計劃“新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)理論研究”項目之課題四進(jìn)行真實IPv6 源地址尋址體系結(jié)構(gòu)的研究[1],以此拉開了源地址驗證研究的序幕,使其在國家重點科研項目的支持下進(jìn)行了深入探索,研究成果頗豐,掌握了一定核心的關(guān)鍵技術(shù),使該研究領(lǐng)域走在了世界前列.

在源地址驗證研究漫長的歲月中,經(jīng)統(tǒng)計分析得知:文獻(xiàn)[2-6]分別從源地址驗證研究的基礎(chǔ)理論、體系架構(gòu)、實現(xiàn)及實驗情況和關(guān)鍵防護(hù)技術(shù)的4 個大方面進(jìn)行了重要的系統(tǒng)闡述,表明源地址驗證的研究對于新一代互聯(lián)網(wǎng)(IPv6)安全起著重要的作用;而基于源地址驗證研究的綜述僅有文獻(xiàn)[7]一篇且僅闡述了互聯(lián)網(wǎng)AS 域間的源地址驗證研究的現(xiàn)狀和相關(guān)技術(shù),并沒有一篇綜合性的綜述對該領(lǐng)域的研究現(xiàn)狀、研究主題、研究熱點和發(fā)展演化趨勢進(jìn)行詳細(xì)闡述,因此本文通過文獻(xiàn)計量學(xué)的方法統(tǒng)計了近25年來對源地址驗證研究的文獻(xiàn)并采用可視化手段,對源地址驗證研究的文獻(xiàn)年際變化、重要作者、科研機構(gòu)、高索引文獻(xiàn)等方面進(jìn)行了科學(xué)性分析,同時應(yīng)用CiteSpace 可視化工具繪制出源地址驗證研究的相關(guān)科學(xué)知識圖譜,如基于關(guān)鍵詞共現(xiàn)、聚類、突現(xiàn)、時間線等知識圖譜,呈現(xiàn)出學(xué)界對源地址驗證研究的研究主題、熱點、發(fā)展現(xiàn)狀及演化趨勢,以把握研究熱點領(lǐng)域并進(jìn)一步了解整體發(fā)展趨勢,從而為源地址驗證的深入研究與實踐提供參考借鑒.

1 數(shù)據(jù)來源與研究方法

1.1 數(shù)據(jù)來源與獲取

為使科學(xué)研究的數(shù)據(jù)具有一定的代表性、關(guān)鍵性和權(quán)威性,本文采用中國知網(wǎng)數(shù)據(jù)庫(CNKI)收錄的研究論文作為研究樣本的數(shù)據(jù)來源,主要通過高級檢索來獲取研究樣本,使得到的研究結(jié)果具有一定的有效性、準(zhǔn)確性和真實性.檢索表達(dá)式為“主題&全文=源地址驗證or 源地址認(rèn)證or 源地址鑒別”,需要注意的是源地址驗證、源地址鑒別、源地址認(rèn)證均為數(shù)據(jù)來源真實性鑒別研究課題的術(shù)語名詞,其研究內(nèi)容、意義相同,所以在以下研究分析中僅以源地址驗證一詞進(jìn)行統(tǒng)稱.因此經(jīng)檢索后發(fā)現(xiàn)源地址驗證一詞最早出現(xiàn)于1997年,便將檢索時間設(shè)為1997-2021年,共檢索出988 篇文獻(xiàn)數(shù)據(jù),其中期刊論文459 篇、博碩論文366 篇、會議論文15 篇、特色期刊(中國教育網(wǎng)絡(luò))126 篇、其他文獻(xiàn)22 篇(含專題報道、簡訊、圖書、專利成果等).然后對檢索出的文獻(xiàn)數(shù)據(jù)進(jìn)行篩選,剔除無效無用的文獻(xiàn)(含專題報道、簡訊、圖書、專利成果等),最終共篩選出817 篇有效數(shù)據(jù)作為研究樣本.

1.2 研究內(nèi)容

本文主要通過科學(xué)的分析方法對基于源地址驗證及其相關(guān)研究領(lǐng)域的論文文獻(xiàn)進(jìn)行統(tǒng)計分析和可視化分析,以可視化為主、計量為輔,定性定量分析其在國內(nèi)的發(fā)文情況、科研機構(gòu)及作者的合作情況、主題和關(guān)鍵詞的研究情況等,探尋其內(nèi)在的發(fā)展規(guī)律,以進(jìn)一步研判國內(nèi)研究的發(fā)展趨勢,并總結(jié)出國內(nèi)的研究現(xiàn)狀和聚焦的研究熱點.

1.3 研究方法與分析工具

本研究主要使用科學(xué)知識圖譜和文獻(xiàn)計量學(xué)兩種研究方法對源地址驗證的研究領(lǐng)域進(jìn)行學(xué)科性分析,并以科學(xué)知識圖譜為主、文獻(xiàn)計量學(xué)為輔來探尋源地址驗證研究的內(nèi)、外在發(fā)展規(guī)律.科學(xué)知識圖譜[8]以知識域為研究對象,并根據(jù)研究對象間的強弱聯(lián)系來構(gòu)建圖網(wǎng)絡(luò)結(jié)構(gòu),通過基于作者、研究機構(gòu)為主體和基于關(guān)鍵詞、參考文獻(xiàn)等為主題進(jìn)行共現(xiàn)聚類的提取,采用可視化工具呈現(xiàn)并分析該圖網(wǎng)絡(luò)結(jié)構(gòu),以進(jìn)一步分析某一學(xué)科領(lǐng)域的知識結(jié)構(gòu)及其科研發(fā)展規(guī)律.文獻(xiàn)計量學(xué)[9]是以文獻(xiàn)為研究對象,將研究對象整體進(jìn)行量化分析,采用數(shù)學(xué)與統(tǒng)計學(xué)的計量方法,研究文獻(xiàn)信息的分布、結(jié)構(gòu)、數(shù)量關(guān)系及規(guī)律,進(jìn)而表征重要文獻(xiàn)作者分布的洛特卡定律、文獻(xiàn)中詞頻分布的齊普夫定律和文獻(xiàn)信息離散分布的布拉德福定律等.

所謂“工欲善其事,必先利其器”,本文采用陳超美教授研發(fā)的可視化分析軟件CiteSpace[10]作為研究樣本的主體研究工具,它是科學(xué)知識圖譜和文獻(xiàn)計量學(xué)的通用分析工具之一,是利用網(wǎng)絡(luò)尋徑算法與共引分析進(jìn)行計量,通過動態(tài)網(wǎng)絡(luò)圖譜的形式對某一知識領(lǐng)域的研究進(jìn)展與宏觀結(jié)構(gòu)進(jìn)行了可視化呈現(xiàn)[11].基于此,利用CiteSpace 的這一可視化特性,對研究樣本進(jìn)行基于作者、研究機構(gòu)的共現(xiàn)以及基于關(guān)鍵詞的聚類、共現(xiàn)等方法,通過可視化科學(xué)知識圖譜,勾勒出當(dāng)前源地址驗證研究領(lǐng)域的基本研究情況、發(fā)展趨勢和聚焦的研究熱點.

2 研究現(xiàn)狀分析

本章通過采用文獻(xiàn)計量學(xué)的方法,應(yīng)用數(shù)學(xué)和統(tǒng)計學(xué)對研究樣本進(jìn)行統(tǒng)計,計算文獻(xiàn)發(fā)文量以表現(xiàn)其研究發(fā)展的年際變化、計量研究機構(gòu)發(fā)文情況以表現(xiàn)重視該研究領(lǐng)域的科研機構(gòu);并以科學(xué)知識圖譜的方式用CiteSpace 對作者共現(xiàn)、機構(gòu)共現(xiàn)、重要文獻(xiàn)引用等情況進(jìn)行可視化做最終分析,最后總結(jié)出源地址驗證研究的國內(nèi)研究現(xiàn)狀.

2.1 發(fā)文量統(tǒng)計分析

通過CNKI 數(shù)據(jù)庫檢索出來的論文數(shù)據(jù)經(jīng)篩選無效數(shù)據(jù)后共有817 篇論文以源地址驗證為主題或與其相關(guān)的研究為內(nèi)容的論文進(jìn)行過公開發(fā)表,相關(guān)統(tǒng)計結(jié)果見圖1所示.根據(jù)圖1 中顯示的基于源地址驗證研究的總發(fā)文量、主題發(fā)文量、關(guān)鍵詞發(fā)文量和相關(guān)研究發(fā)文量的統(tǒng)計,可分析得出以下內(nèi)容.

圖1 基于源地址驗證研究的發(fā)文量統(tǒng)計時序變化

(1)按總發(fā)文量分析,可以看出從2000-2009年發(fā)文總量有增有降,在2009年發(fā)文總量更是達(dá)到了巔峰,以此可判定2009年源地址驗證研究領(lǐng)域引發(fā)了學(xué)界的關(guān)注導(dǎo)致發(fā)文量激增;2009-2016年雖多數(shù)年份的總發(fā)文量呈下降趨勢,但年發(fā)文總量仍高于年均總發(fā)文量,在此期間出現(xiàn)了如物聯(lián)網(wǎng)、互聯(lián)網(wǎng)+、大數(shù)據(jù)、云計算等新興研究熱點,據(jù)此可推斷此期間因熱點研究的增加減緩了源地址驗證領(lǐng)域的研究,但其作為IPv6 網(wǎng)絡(luò)安全的基礎(chǔ)難題依然備受關(guān)注,發(fā)文總量雖有減少但依然可觀;2017-2019年源地址驗證研究又出現(xiàn)第二次研究高潮,這段時期IPv6 網(wǎng)絡(luò)建設(shè)如火如荼,可推斷已步入基于IPv6 網(wǎng)絡(luò)的源地址驗證的新一輪研究中;至于2020年因新冠疫情爆發(fā)各學(xué)科研究領(lǐng)域論文發(fā)表均受到不同程度的影響,因此總發(fā)文量減少是必然出現(xiàn)的情況;從總體來看源地址驗證研究趨勢向好,雖然該研究方向難度大,但依然有大批學(xué)者跟蹤研究.依照上述源地址驗證研究的發(fā)展趨勢,可預(yù)測2021年總發(fā)文量雖受新冠疫情波及,但其發(fā)展趨勢依然平穩(wěn)向好.

(2)從主題、關(guān)鍵詞發(fā)文數(shù)來看,相繼從2000年和2007年開始分別進(jìn)行相關(guān)理論應(yīng)用和專題研究,其總發(fā)展趨勢大體相同,均呈波形曲線動態(tài)平穩(wěn)發(fā)展,有增有降.值得注意的是在檢索過程中發(fā)現(xiàn)源地址驗證和源地址鑒別一詞分別首次出現(xiàn)于文獻(xiàn)[12]和文獻(xiàn)[13]中,其在文中僅作為一種網(wǎng)絡(luò)安全防范技術(shù)進(jìn)行引用并沒有過多的詳述,據(jù)此可推測源地址驗證研究在1997年以前的中國暫時沒有進(jìn)行該領(lǐng)域的專題研究,而只是停留在引用國外的研究成果作為技術(shù)手段來參考使用,因此國內(nèi)在數(shù)據(jù)源真實性鑒別這一網(wǎng)絡(luò)安全的基礎(chǔ)研究領(lǐng)域上還沒有引起重視.并且以源地址驗證為主題和關(guān)鍵詞的論文分別在2001年和2007年發(fā)表.在2001年文獻(xiàn)[14]是以源地址驗證的基礎(chǔ)原理進(jìn)行應(yīng)用設(shè)計,而由時任清華大學(xué)網(wǎng)絡(luò)中心主任、CERNET專家委員會主任吳建平教授在2007年發(fā)表的文獻(xiàn)[15]則是從源地址驗證技術(shù)理論的本身進(jìn)行深入研究,開啟了我國從事網(wǎng)絡(luò)數(shù)據(jù)源真實性鑒別領(lǐng)域的研究.據(jù)此可進(jìn)一步推測在1997-2002年間我國還停留在源地址驗證技術(shù)的基礎(chǔ)原理和應(yīng)用層面上進(jìn)行研究,而從2007年開始我國網(wǎng)絡(luò)工程專家學(xué)者逐漸進(jìn)入網(wǎng)絡(luò)數(shù)據(jù)源地址驗證的深層次理論研究中,激起了一股基于網(wǎng)絡(luò)數(shù)據(jù)源驗證安全理論的研究浪潮.

(3)從相關(guān)研究發(fā)文量可以分析得出在2007、2009、2010、2013、2019 這5 個時間節(jié)點對基于源地址驗證相關(guān)研究的發(fā)文量均呈大幅度增長模式,而究其背后原因是在國家倡導(dǎo)IPv6 網(wǎng)絡(luò)大規(guī)模部署的背景下導(dǎo)致其網(wǎng)絡(luò)安全備受業(yè)界高度關(guān)注,因此作為網(wǎng)絡(luò)安全基礎(chǔ)研究課題之一的源地址驗證專題研究在這幾個重要的時間節(jié)點內(nèi)得到了一定的深入探索,成果頗豐.值得一提的是清華大學(xué)2005年在國際上首次提出真實源地址驗證技術(shù)、2008年在IETF 發(fā)布了RFC5210 作為第一個源地址驗證體系架構(gòu)的國際協(xié)議標(biāo)準(zhǔn)(source address validation architecture,SAVA)[16],隨后又在2013年發(fā)布了RFC7039 源地址驗證改進(jìn)框架協(xié)議(source address validation improvement,SAVI)[17],填補了國內(nèi)在這一專題研究領(lǐng)域的空白,為IPv6 網(wǎng)絡(luò)安全研究奠定了一定基礎(chǔ).

2.2 研究力量及其合作分析

本節(jié)從作者、研究機構(gòu)兩方面來分析源地址驗證研究力量的分布和合作關(guān)系情況,因此在可視化工具CiteSpace 中將知識圖譜的節(jié)點類型分別設(shè)置為author、institution、author&institution,時間劃分為1997年至2021年,每1年設(shè)為一個時間切片,每個時間切片選取前50 個,得到作者共現(xiàn)圖譜、重要作者及合作關(guān)系圖譜、重要科研機構(gòu)共現(xiàn)圖譜和作者及科研機構(gòu)合作共現(xiàn)圖譜,分別如圖2-圖6所示.從2 個維度、4 個圖譜對源地址驗證研究的研究力量和合作關(guān)系進(jìn)行科學(xué)性分析.

圖2 基于源地址驗證研究的科研作者共現(xiàn)圖譜

科研作者共現(xiàn)可視化知識圖譜可以清晰地辨別出源地址驗證研究領(lǐng)域作者發(fā)文量的多少以及兩個或多個發(fā)文作者之間的合作關(guān)系強弱,在圖2 中,圓形節(jié)點表示作者的發(fā)文強度,作者姓名的突出顯示表示重要發(fā)文作者,節(jié)點連線表示作者之間的合作關(guān)系,連線的粗細(xì)代表著合作關(guān)系的強弱.據(jù)此可分析出吳建平、畢軍、徐恪、劉瑩、任罡、李星等人是該領(lǐng)域的重要發(fā)文作者,其中吳建平、畢軍、徐恪3 人的中心性較大為該領(lǐng)域重要的研究專家,相互之間形成較強的合作關(guān)系且與其周圍的作者聯(lián)系密切;還有一些重要的發(fā)文作者如徐啟建、譚鵬許、史文博、涂睿等人為該領(lǐng)域重要的研究學(xué)者,其每個人與其他作者也有或強或弱的合作關(guān)系.

為了進(jìn)一步分析作者間合作強弱關(guān)系,通過PageRank算法進(jìn)行了重要作者關(guān)系的提取.PageRank 算法是Google 的網(wǎng)頁排序算法對每個目標(biāo)網(wǎng)頁附上權(quán)值[18],權(quán)值大的就靠前顯示而權(quán)值小的就靠后顯示,因此抽象的應(yīng)用到了CiteSpace 軟件中用來提取出重要作者之間的合作關(guān)系圖譜,如圖3所示.在圖3 中可以清晰看出作者之間的抱團(tuán)關(guān)系和合作強弱關(guān)系,其中吳建平與其它重要作者均有直接或間接的合作關(guān)系,合作關(guān)系廣泛;其發(fā)文作者節(jié)點連線的強弱和顏色的深淺表明徐恪、李琳、姚蘇、劉昕、李琦、凌思通、張智超、吳波、沈蒙的抱團(tuán)最緊、合作關(guān)系最強.

圖3 重要作者及合作關(guān)系共現(xiàn)圖譜

綜上所述,吳建平、徐恪、畢軍為源地址驗證研究領(lǐng)域的重要研究專家,廣泛帶動了其他計算機網(wǎng)絡(luò)的專家、學(xué)者和科研人員從事源地址驗證研究,如劉瑩、任罡、李星、徐啟建、譚鵬許、史文博、涂睿等.

又通過CNKI 數(shù)據(jù)庫所獲取到的研究樣本統(tǒng)計得知共有329 所科研院所參與過源地址驗證研究,并通過CiteSpace 可視化出重要科研機構(gòu)共現(xiàn)圖譜,見圖4.根據(jù)圖4 可以看出清華大學(xué)、中國科學(xué)院大學(xué)、北京郵電大學(xué)、解放軍信息工程大學(xué)、解放軍理工大學(xué)、國防科技大學(xué)、北京交通大學(xué)、工信部研究院等科研機構(gòu)為重要的研究機構(gòu),并且通過節(jié)點間的連線粗細(xì)、顏色深淺可知它們與其他科研機構(gòu)合作關(guān)系有強有弱.

圖4 源地址驗證研究的重要科研機構(gòu)共現(xiàn)圖譜

再通過圖5 對重要科研機構(gòu)的發(fā)文量統(tǒng)計分析可進(jìn)一步得知:清華大學(xué)、解放軍信息工程大學(xué)、國防科技大學(xué)對源地址驗證研究領(lǐng)域的獨立發(fā)文量高,表明其獨立研究能力強,其中清華大學(xué)獨立發(fā)文量最高,可以推測清華大學(xué)在這一研究領(lǐng)域領(lǐng)先全國各科研院所,推動了我國在這一研究領(lǐng)域的發(fā)展;北京郵電大學(xué)雖獨立發(fā)文量不突出但與其他科研院所的合作發(fā)文量最多,據(jù)此可推測北京郵電大學(xué)與其他科研院所合作聯(lián)系強、交流最多,如東北大學(xué)、西安電子科技大學(xué)、解放軍信息工程大學(xué)等;可以看出大多數(shù)研究源地址驗證的科研院所為我國雙一流、一流院?；蚪逃蒲芯W(wǎng)(CERNET)的重要成員院校,進(jìn)一步表明源地址驗證專題研究的關(guān)鍵性和重要性.

圖5 重要科研機構(gòu)發(fā)文量及合作量統(tǒng)計圖

而根據(jù)圖6所示的知識圖譜可以形象的看出作者與科研機構(gòu)的合作程度,其中清華大學(xué)的節(jié)點最大、節(jié)點年輪最多、顏色最深、連線也最多表明其對源地址驗證研究時間最長、研究能力最強、與研究作者聯(lián)系最廣泛和關(guān)系最密切;畢軍的作者節(jié)點半徑最大,表明在源地址驗證研究領(lǐng)域其影響力最廣泛;北京信息科學(xué)與技術(shù)國家研究中心、東北大學(xué)等的研究作者抱團(tuán)最緊,表明合作關(guān)系最密集.

圖6 基于源地址驗證研究的作者及機構(gòu)合作共現(xiàn)圖譜

2.3 重要文獻(xiàn)索引分析

本節(jié)著重從源地址驗證研究的重要文獻(xiàn)引用情況進(jìn)行統(tǒng)計分析,在研究樣本中統(tǒng)計到10 篇比較重要且引用數(shù)較高的研究論文,具體文獻(xiàn)情況見表1.

在表1 中顯示由吳建平等發(fā)表的文獻(xiàn)[2]引用數(shù)最高,在文中“從互聯(lián)網(wǎng)體系結(jié)構(gòu)上找出其安全問題的根源,確保下一代互聯(lián)網(wǎng)地址及其位置的真實可信,增強下一代互聯(lián)網(wǎng)應(yīng)用實體的真實可信,從下一代互聯(lián)網(wǎng)體系結(jié)構(gòu)上系統(tǒng)地解決互聯(lián)網(wǎng)安全問題,是下一代互聯(lián)網(wǎng)研究的另一個重要技術(shù)挑戰(zhàn)”[2]表明了源地址驗證研究是下一代網(wǎng)絡(luò)安全的基礎(chǔ)挑戰(zhàn)之一,在文中又有對其做進(jìn)一步描述“真實地址訪問.現(xiàn)有互聯(lián)網(wǎng)存在的大量安全問題均是由于互聯(lián)網(wǎng)對用戶的源地址不加驗證而帶來的,我們認(rèn)為在新一代互聯(lián)網(wǎng)中必須解決用戶的真實地址訪問的問題,這將有助于解決安全可擴(kuò)展和服務(wù)可擴(kuò)展問題”[19].通過上述兩段話的描述可以總結(jié)出源地址驗證研究是下一代互聯(lián)網(wǎng)安全基礎(chǔ)的重中之重,也是國家“973”項目的基礎(chǔ)研究課題之一.再從表1 中高索引文獻(xiàn)又可知源地址驗證研究大部分都是以網(wǎng)絡(luò)安全為主題,這說明源地址驗證與網(wǎng)絡(luò)安全息息相關(guān),其中10 篇高索引文獻(xiàn)中共現(xiàn)作者吳建平、徐恪兩人次數(shù)最多,是該領(lǐng)域的重要研究專家,進(jìn)一步印證了前節(jié)的預(yù)測.

表1 基于源地址驗證研究的重要論文統(tǒng)計照

2.4 研究現(xiàn)狀總結(jié)

(1)研究發(fā)展趨勢.在研究發(fā)展趨勢上,成波形曲線型動態(tài)平穩(wěn)發(fā)展,有增有降,總體發(fā)展趨勢平穩(wěn)向好.基于此,基于源地址驗證研究分為了5 個階段:

第1 個階段研究混沌期(1997年以前):學(xué)習(xí)和建設(shè)使用互聯(lián)網(wǎng)階段,單純學(xué)習(xí)借鑒國外網(wǎng)絡(luò)安全技術(shù),對源地址驗證技術(shù)沒進(jìn)行過研究;

第2 階段研究初始期(1998-2002年):開始攻克互聯(lián)網(wǎng)的關(guān)鍵技術(shù),逐漸意識到源地址驗證的重要性,開啟源地址驗證的研究階段,進(jìn)行初級理論和技術(shù)研究;

第3 階段研究發(fā)展期(2003-2007年):下一代互聯(lián)網(wǎng)創(chuàng)新探索期,源地址驗證作為其網(wǎng)絡(luò)安全的基礎(chǔ)技術(shù)進(jìn)行共同探索,初步掌握相關(guān)技術(shù)原理及應(yīng)用,形成初步研究體系;

第4 階段研究成熟期(2008-2013年):下一代互聯(lián)網(wǎng)部署規(guī)劃期,同時源地址驗證研究取得新進(jìn)展,初步取得階段性成果,構(gòu)筑源地址驗證體系架構(gòu),成為國際IETF 組織認(rèn)證的現(xiàn)行協(xié)議標(biāo)準(zhǔn),使該研究領(lǐng)域在國際上爭得主動權(quán);

第5 階段研究深入期(2014年至今):下一代互聯(lián)網(wǎng)建設(shè)應(yīng)用期,為使其網(wǎng)絡(luò)安全進(jìn)一步得到保障,因此源地址驗證研究步入深水期,逐漸掌握關(guān)鍵技術(shù),在國際網(wǎng)絡(luò)安全領(lǐng)域中逐漸取得主動權(quán).

值得關(guān)注的是源地址驗證研究的發(fā)展與我國下一代互聯(lián)網(wǎng)建設(shè)的發(fā)展勢頭趨于同向,是因為源地址驗證作為下一代網(wǎng)絡(luò)安全的基礎(chǔ)技術(shù)應(yīng)隨互聯(lián)網(wǎng)建設(shè)一同發(fā)展,因此國內(nèi)互聯(lián)網(wǎng)高速發(fā)展的各時期源地址驗證研究也得到了關(guān)注,并與之同向發(fā)展,為下一代互聯(lián)網(wǎng)安全保駕護(hù)航.

(2)研究力量分布與研究地位.基于源地址驗證研究的不斷深入,涌現(xiàn)出大批科研人員及科研院所,比如在源地址驗證研究領(lǐng)域中吳建平、畢軍、徐恪等人為具有影響力的重要研究專家,劉瑩、任罡、李星、徐啟建、譚鵬許、史文博、涂睿等人為該領(lǐng)域的重要研究學(xué)者;清華大學(xué)、中國科學(xué)院大學(xué)、北京郵電大學(xué)、解放軍信息工程大學(xué)、解放軍理工大學(xué)、國防科技大學(xué)、北京交通大學(xué)、工信部研究院等科研機構(gòu)為該領(lǐng)域重要的研究機構(gòu).通過源地址驗證研究的文獻(xiàn)的高索引統(tǒng)計分析得知,源地址驗證為我國“973”國家重點計劃項目的研究課題之一,其重要性不言而喻.在計算機網(wǎng)絡(luò)的基礎(chǔ)數(shù)據(jù)安全中起著舉足輕重的作用,因此國內(nèi)大批雙一流、一流院校和教育科研網(wǎng)重要成員院校對此進(jìn)行跟蹤研究,并從未懈怠,就可看出源地址驗證研究在網(wǎng)絡(luò)安全中的重要地位.

(3)研究的作用與意義.計算機網(wǎng)絡(luò)在發(fā)送數(shù)據(jù)時僅以目的IP 地址進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),而不對轉(zhuǎn)發(fā)數(shù)據(jù)包的源IP 地址進(jìn)行校驗,由此可能導(dǎo)致源地址欺騙攻擊的出現(xiàn),進(jìn)而發(fā)生諸如洪泛攻擊、中間人攻擊等的網(wǎng)絡(luò)攻擊行為.為防止此類攻擊在計算機網(wǎng)絡(luò)中蔓延,在當(dāng)時源地址驗證沒有一個固定的定義標(biāo)準(zhǔn),因此出現(xiàn)了五花八門的源地址驗證技術(shù),如基于加密驗證方式的有網(wǎng)絡(luò)安全協(xié)議(Internet protocol security,IPsec)[25]和防欺騙方案(spoofing prevention method,SPM)[26];基于過濾方法的有入口/出口過濾(IEF)[27,28]、源地址有效性實施協(xié)議(SAVE)[29]、基于跳數(shù)過濾(hop count filtering,HCF)[30]、基于置信度的過濾(CBF)[31]、基于路由的分布式包過濾(router-based distributed packet fliter,DPF)[32]以及調(diào)整跳數(shù)過濾(MHCF)[33];基于追溯方法的有基于哈希的IP 追溯(SPIE)[34]、基于概率分組標(biāo)記(PPM)[35]、基于確定性分組標(biāo)記(deterministic packet marking,DPM)[36]、靈活確定性包標(biāo)記(FDPM)[37]和基于確定性流標(biāo)記(DFM)[38]等,導(dǎo)致上述的源地址驗證技術(shù)無法做到兼容,且檢驗效果防御能力不盡如人意,無法大規(guī)模有效部署和預(yù)防源地址欺騙類型的攻擊.為此我國清華大學(xué)2008年在IETF 上發(fā)表了首個源地址驗證體系架構(gòu)標(biāo)準(zhǔn)(SAVA),采用網(wǎng)絡(luò)分層結(jié)構(gòu)協(xié)同預(yù)防源地址欺騙以達(dá)到可信網(wǎng)絡(luò)的程度,分為接入網(wǎng)、AS 域內(nèi)、AS 域間(含相鄰AS 和不相鄰AS 兩種情況)三部分[16],可以針對網(wǎng)絡(luò)的不同場景分層治理、協(xié)同治理,提升了預(yù)防源地址欺騙攻擊的綜合防御能力.隨著互聯(lián)網(wǎng)技術(shù)的不斷更新,其SAVA 體系標(biāo)準(zhǔn)也進(jìn)一步的精煉和補充,添充了一些新的源地址驗證防御思路,由此出現(xiàn)了源地址驗證改進(jìn)框架協(xié)議標(biāo)準(zhǔn)(SAVI)[17].SAVI 彌補了原有協(xié)議標(biāo)準(zhǔn)上的一些不足,并進(jìn)行了改進(jìn),使源地址驗證技術(shù)體系更加充滿了活力,奠定了我國下一代網(wǎng)絡(luò)建設(shè)的安全基石,保障了IPv6 網(wǎng)絡(luò)的安全,對我國新一代互聯(lián)網(wǎng)的部署建設(shè)起到一定的安全指導(dǎo)意義.

3 研究熱點分析

本章首先使用統(tǒng)計方法對關(guān)鍵詞做初步分析,再使用CiteSpace 對關(guān)鍵詞進(jìn)行可視化分析.通過關(guān)鍵詞、聚類、時區(qū)分布、時間線發(fā)展的可視化知識圖譜進(jìn)行綜合分析,進(jìn)而研判基于源地址驗證的研究熱點和相關(guān)研究主題的演化趨勢.

3.1 基于關(guān)鍵詞的研究熱點分析

關(guān)鍵詞分析能反映出源地址驗證研究領(lǐng)域的一般研究熱點,利用CiteSpace 對研究樣本進(jìn)行關(guān)鍵詞共現(xiàn)、詞頻統(tǒng)計、中心性、爆發(fā)度等分析,分辨出高詞頻、高中心性的研究熱點,并根據(jù)爆發(fā)度確定研究熱點的熱點程度,相關(guān)圖譜及數(shù)據(jù)見圖7、表2.

圖7 關(guān)鍵詞共現(xiàn)圖譜

根據(jù)中心性[39]可以判斷關(guān)鍵詞的中介程度或發(fā)散程度,通常表現(xiàn)為節(jié)點的中心化程度越高,表明該節(jié)點越重要.由此可根據(jù)表2 的中心性數(shù)據(jù)判斷出IPv6、網(wǎng)絡(luò)安全、源地址驗證、IPsec、分布式拒絕服務(wù)攻擊、防火墻、軟件定義網(wǎng)絡(luò)這7 個關(guān)鍵詞中心性較大,表明它們是源地址驗證研究的中心,是比較重要的研究熱點.但從中心性數(shù)據(jù)上來看與詞頻分布并不成正比,一般情況下,中心性越大詞頻出現(xiàn)的程度應(yīng)該更頻繁[40],但從數(shù)據(jù)來看分布式拒絕服務(wù)攻擊和防火墻的中心性較大但它們的詞頻分布并不高,這表明分布式拒絕服務(wù)攻擊和防火墻雖然是研究熱點但關(guān)注度不足,應(yīng)加強在這兩個領(lǐng)域的研究.再根據(jù)爆發(fā)度(又稱突現(xiàn)性)[41]可以判斷關(guān)鍵詞在某個時期突顯出來的研究熱點,通?？梢园l(fā)現(xiàn)關(guān)鍵詞在某一時間范圍內(nèi)興起的情況.

表2 關(guān)鍵詞共現(xiàn)分析統(tǒng)計表

進(jìn)一步根據(jù)表2 中的爆發(fā)度、初始和結(jié)束時間,可以看出軟件定義網(wǎng)絡(luò)、IPsec 的爆發(fā)度位列第一、第二,其強度分別達(dá)到16.23 和13.88 的高度,據(jù)此可推測IPsec 在2002-2007年、軟件定義網(wǎng)絡(luò)在2013-2021年分別是兩個時期的重要研究熱點和新興研究熱點.值得注意的是軟件定義網(wǎng)絡(luò)時至今日仍是源地址驗證研究的新興研究熱點,其熱點程度依然很強.最后根據(jù)PageRank 算法的權(quán)值排序得出IPv6、網(wǎng)絡(luò)安全、源地址驗證、IPsec、軟件定義網(wǎng)絡(luò)、分布式拒絕服務(wù)攻擊這6 大研究領(lǐng)域是現(xiàn)在重要的研究熱點.

綜上所述,下一代互聯(lián)網(wǎng)(IPv6)、網(wǎng)絡(luò)安全、源地址驗證、IPsec、軟件定義網(wǎng)絡(luò)、分布式拒絕服務(wù)攻擊是重要的研究熱點,其中IPsec、軟件定義網(wǎng)絡(luò)是新興的重要研究熱點,但根據(jù)爆發(fā)年份判斷只有軟件定義網(wǎng)絡(luò)到時至今日仍是新興的重要研究熱點,熱度依然很高.

3.2 基于關(guān)鍵詞聚類的熱點及主題分析

關(guān)鍵詞聚類知識圖譜[42]可以分析出研究的主題和熱點的研究領(lǐng)域.因此在第3.1 節(jié)的研究基礎(chǔ)上,繼續(xù)對研究樣本進(jìn)行尋找聚類操作,可以進(jìn)一步得到關(guān)鍵詞聚類的科學(xué)知識圖譜.為了在聚類分析中得到最好的可視化結(jié)果,引用了兩個重要的指標(biāo)來進(jìn)行評估,分別為模塊值(modularity)和平均輪廓值(mean sihouette):

(1)模塊值是用來評估聚類效果是否有效的重要指標(biāo)[43],以Q表示且Q∈[0,1].一般情況下在聚類過程中Q值越大表示圖譜的聚類效果越好,越有效.其中Q＞0.3,表示圖譜的聚類效果顯著;Q＜0.3,聚類效果不佳直接默認(rèn)屏蔽.

(2)平均輪廓值是用來衡量網(wǎng)絡(luò)同質(zhì)性的重要指標(biāo)[44],表示聚類內(nèi)部的同質(zhì)性,以S表示且S∈[0,1].一般的若聚類內(nèi)部成員數(shù)量少,則平均輪廓值降低;反之若聚類成員數(shù)量多則會使輪廓值增加.其中,若S＞0.5,則表明聚類合理;若S＞0.7,則表示聚類結(jié)果高度可信.

因此在完成聚類操作后,得到一個關(guān)鍵詞聚類知識圖譜,如圖8所示.在該聚類圖譜中,網(wǎng)絡(luò)節(jié)點N=614,邊E=996,網(wǎng)絡(luò)密度Density=0.0053,其中Q=0.7304,表明聚類的效果很好;S=0.916 2,表明聚類結(jié)果是高度可信的.通過關(guān)鍵詞聚類可視化知識圖譜,可知將關(guān)鍵詞共劃分為16 類,僅提取出前9 大聚類,分別為網(wǎng)絡(luò)安全、IPv6、源地址驗證、IPsec、分布式拒絕服務(wù)攻擊、入侵檢測、軟件定義網(wǎng)絡(luò)、物聯(lián)網(wǎng)和加密算法,其聚類強度隨聚類顏色越深而越強.這些類別中有涉及源地址驗證的專題理論研究,如源地址驗證、加密算法;又有涉及源地址驗證的關(guān)鍵技術(shù)研究,如網(wǎng)絡(luò)安全,下一代互聯(lián)網(wǎng)(IPv6)、分布式拒絕服務(wù)攻擊、軟件定義網(wǎng)絡(luò)和物聯(lián)網(wǎng)等;也有涉及源地址驗證的安全技術(shù)應(yīng)用,如IPsec、入侵檢測等;還有涉及源地址驗證的一些相關(guān)研究,如區(qū)塊鏈、多因素認(rèn)證等.為了能進(jìn)一步直觀看出各個聚類隱含的其他研究方向(或稱聚類的內(nèi)部成員),進(jìn)行了統(tǒng)計并制成表格形式以進(jìn)行展示,如表3.其中可以通過各聚類的輪廓值(silhouette)表明各聚類結(jié)果真實可信.

圖8 基于關(guān)鍵詞聚類共現(xiàn)圖譜

表3 關(guān)鍵詞聚類分析統(tǒng)計表

3.3 基于關(guān)鍵詞時區(qū)分布的熱點演化趨勢

關(guān)鍵詞時區(qū)分析采用關(guān)鍵詞時區(qū)分布圖譜[45](如圖9)和關(guān)鍵詞時間線分布圖譜[46](如圖10)進(jìn)行綜合性分析,推斷出研究熱點和研究主題的演化發(fā)展趨勢.兩大知識圖譜能夠反映出源地址驗證研究的熱點分布時期、主題與熱點的變遷和演化趨勢,并與表2 中關(guān)鍵詞突現(xiàn)爆發(fā)度一同分析可對每一個演變階段的研究熱點進(jìn)行剖析.圖譜中的節(jié)點越多表明文獻(xiàn)量越多,則該研究領(lǐng)域處于興盛期;反之則處于低谷期.同時各節(jié)點間的連線及連線粗細(xì)分別代表了該研究熱點的演化過程和傳承關(guān)系.

根據(jù)圖9 和圖10 可以分析得到以下內(nèi)容.

圖9 關(guān)鍵詞時區(qū)分布圖譜

圖10 關(guān)鍵詞時間線分布圖譜

1997-2000年出現(xiàn)了6 個研究熱點,按節(jié)點大小依次分別為網(wǎng)絡(luò)安全、IPsec、防火墻、互聯(lián)網(wǎng)、信息安全、封裝安全有效載荷(ESP)和認(rèn)證頭(AH),再根據(jù)節(jié)點年輪的顏色變化判斷該研究方向的熱點強度,又可看出網(wǎng)絡(luò)安全、IPsec 是這一時期的重要研究熱點,并且其他研究熱點均與網(wǎng)絡(luò)安全息息相關(guān),證明它既是當(dāng)時的時代主題也是現(xiàn)在的重要研究熱點,需要注意的是這一時期的學(xué)者只注重于源地址驗證技術(shù)的應(yīng)用而不懂其研究原理,無異于緣木求魚,此時期處于源地址驗證研究的混沌期;

2001-2010年出現(xiàn)了下一代互聯(lián)網(wǎng)(IPv6)、源地址驗證、分布式拒絕服務(wù)攻擊、虛擬專用網(wǎng)、入侵檢測共5 個主要的研究熱點,同理分析可知前3 個研究熱點到目前為止還是重要關(guān)注的研究熱點,其中下一代互聯(lián)網(wǎng)(IPv6)可能是時代的研究主題,值得一提的是隨著國家對于下一代互聯(lián)網(wǎng)研究的不斷深入,源地址驗證作為下一代互聯(lián)網(wǎng)安全難題之一的基本解決方案,也逐漸引起了學(xué)者的關(guān)注,與此同時開始了源地址驗證的專題研究,搭上了研究下一代互聯(lián)網(wǎng)的順風(fēng)車,由此進(jìn)入了源地址驗證研究的快速發(fā)展期;

2011-2021年出現(xiàn)了軟件定義網(wǎng)絡(luò)、物聯(lián)網(wǎng)、OpenFlow 為當(dāng)代的研究熱點,其中OpenFlow 是一種實現(xiàn)控制軟件定義網(wǎng)絡(luò)的網(wǎng)絡(luò)通信協(xié)議[47],再根據(jù)節(jié)點大小可知軟件定義網(wǎng)絡(luò)是重要的研究熱點,并根據(jù)熱點突現(xiàn)的爆發(fā)度分析又知軟件定義網(wǎng)絡(luò)將是源地址驗證未來重要研究方向,此時我國已掌握了部分源地址驗證的關(guān)鍵核心技術(shù),開始將其擴(kuò)展應(yīng)用到各個研究領(lǐng)域中,進(jìn)入到源地址驗證研究的深入創(chuàng)新應(yīng)用期.

綜上所述,網(wǎng)絡(luò)安全、IPsec、下一代互聯(lián)網(wǎng)(IPv6)、源地址驗證、分布式拒絕服務(wù)攻擊、軟件定義網(wǎng)絡(luò)是源地址驗證研究的重要研究熱點,其中網(wǎng)絡(luò)安全、下一代互聯(lián)網(wǎng)(IPv6)、軟件定義網(wǎng)絡(luò)為各個時期最重要的研究主題,軟件定義網(wǎng)絡(luò)將是未來的重要研究方向;其發(fā)展趨勢從研究混沌期到研究初始期又到研究發(fā)展期再到研究深入應(yīng)用創(chuàng)新期按時代漸變發(fā)展,符合科學(xué)研究的一般發(fā)展規(guī)律.因此上述研究熱點、研究主題、演化發(fā)展趨勢的總結(jié)與第3.1、3.2 節(jié)的分析相對吻合,所以分析結(jié)果具有一定的可信性.

4 源地址驗證研究進(jìn)展

大量源地址驗證技術(shù)的層出不窮導(dǎo)致了不同驗證方案各有千秋,出現(xiàn)這種情況的主要原因是:一方面說明沒有一種驗證方案優(yōu)于其余方案,不具有明顯優(yōu)勢,強調(diào)了該研究課題的困難性;另一方面表明在復(fù)雜的互聯(lián)網(wǎng)環(huán)境中,研究者需對源地址驗證研究的各種網(wǎng)絡(luò)場景具體分析以采取不同的研究策略和驗證方法,再借鑒早期源地址驗證方案原理來進(jìn)行革新,設(shè)計出可行的源地址驗證技術(shù),如Passport[48]、Base[49]是對SPM[26]驗證方案原理的改進(jìn);IDPF[50]、SAVE[29]的設(shè)計是基于DPF[51]框架思想;RPF[52]是網(wǎng)絡(luò)入口過濾(network ingress filtering,NIF)[27]的一種擴(kuò)展方案;SAVA 根據(jù)網(wǎng)絡(luò)層次結(jié)構(gòu)提出協(xié)作防御源地址驗證架構(gòu)等等.這些源地址驗證方案均借鑒了前人的設(shè)計思想,進(jìn)而研究出相應(yīng)的驗證方案,因此源地址驗證研究進(jìn)展分析對重要驗證方案的了解是必要的.

4.1 源地址驗證的定義及基本原理

Internet 網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包需經(jīng)過 TCP/IP 協(xié)議棧的處理,由于 TCP/IP 協(xié)議棧是“自頂向下、逐層封裝”的網(wǎng)絡(luò)傳輸協(xié)議,因此數(shù)據(jù)包經(jīng)每一層傳輸時都要對其進(jìn)行封裝和解封裝,以形成一個包含了源和目的信息的完整數(shù)據(jù)包,才能在網(wǎng)絡(luò)上進(jìn)行傳輸最后到達(dá)目的終端.然而,主機在傳輸數(shù)據(jù)包時存在缺陷,即接收數(shù)據(jù)的目的主機和在傳輸路徑上的各路由器均不對源 IP 地址進(jìn)行真實性校驗,僅依靠目標(biāo)IP 進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā).攻擊者很容易利用這一缺陷在傳輸?shù)臄?shù)據(jù)包中填入偽造的源 IP 地址,就可冒充他人將非法數(shù)據(jù)報文發(fā)送到目的主機處,進(jìn)而可以獲得目標(biāo)終端的控制權(quán),為下一步網(wǎng)絡(luò)攻擊的實施奠定基礎(chǔ).從技術(shù)上來講,源地址欺騙威脅來源于傳輸路徑上的路由器只依賴數(shù)據(jù)報文的目的 IP 進(jìn)行轉(zhuǎn)發(fā),而忽略了驗證發(fā)送方數(shù)據(jù)中源IP 地址的真實可信性,造成了源地址欺騙的網(wǎng)絡(luò)威脅,如惡意源端發(fā)動源地址欺騙、身份偽造等攻擊,嚴(yán)重影響網(wǎng)絡(luò)通信雙方的真實性;或數(shù)據(jù)包在轉(zhuǎn)發(fā)過程中易遭到源地址的惡意篡改、惡意劫持和重定向威脅等現(xiàn)象,嚴(yán)重影響網(wǎng)絡(luò)通信過程的可信性;再或者目的終端缺乏對非法數(shù)據(jù)的有效識別、過濾等防御能力,導(dǎo)致通信安全性降低等問題.

現(xiàn)有的源地址驗證的工作原理主要有源端加密、路徑傳輸驗證和目的端校驗的方式來提升網(wǎng)絡(luò)通信雙方的真實性、可信性.當(dāng)數(shù)據(jù)包的源地址遭到發(fā)送源端的惡意偽造或中間路由節(jié)點的非法篡改時,下游網(wǎng)絡(luò)節(jié)點、目的端能夠及時對數(shù)據(jù)進(jìn)行源地址驗證,識別并丟棄或過濾非法的數(shù)據(jù),保證網(wǎng)絡(luò)通信雙方的真實性、可信性和安全性.

4.2 源地址驗證經(jīng)典技術(shù)介紹

為了區(qū)分各類驗證方案的差異,考查方案的可行性、有效性,早期的研究者根據(jù)方案的設(shè)計原理一般將之分為加密認(rèn)證、報文過濾和事后追蹤3 類,這3 類驗證方案為后人學(xué)者提供了參考借鑒[25-65].因此本節(jié)將圍繞這3 類驗證方案來介紹部分重要的驗證方案和基于3 類驗證原理方案的革新技術(shù).由于這些技術(shù)原理的敘述過于繁雜特以圖表形式進(jìn)行概要介紹,可以簡潔明了的展示出各種源地址驗證方案的技術(shù)原理及優(yōu)缺點,分別見表4、表5 和表6.

表4 早期重要源地址驗證方案

表5 基于3 類驗證原理方案的革新技術(shù)

表5（續(xù)） 基于3 類驗證原理方案的革新技術(shù)

表6 SAVI 接入域源地址驗證技術(shù)

4.3 源地址驗證技術(shù)新進(jìn)展

近些年來由于對源地址驗證研究的不斷深入,開始逐漸對不同的網(wǎng)絡(luò)環(huán)境、多元的網(wǎng)絡(luò)應(yīng)用和多樣的網(wǎng)絡(luò)威脅進(jìn)行具有針對性、細(xì)致性的研究,彌補傳統(tǒng)驗證技術(shù)的缺陷,以使源地址驗證的防御效果更加突出,更能抵御復(fù)雜多變網(wǎng)絡(luò)環(huán)境上的各類攻擊威脅.基于此,產(chǎn)生了眾多新型的源地址驗證技術(shù),使數(shù)據(jù)源可信性研究取得新一步進(jìn)展.針對傳統(tǒng)驗證技術(shù)的存儲開銷問題,Vijayalakshmi 等人[66]提出了一種新穎的增強分組標(biāo)記算法,該算法可直接部署在受害端,以提供對單個數(shù)據(jù)包的回溯,由于該機制不需遍歷整個計算機網(wǎng)絡(luò)或利用帶外消息來識別攻擊源,使該標(biāo)記算法易于應(yīng)用且不具有存儲開銷的問題;Suresh 等人[67]解決了DPM 驗證機制存在的可伸縮性難題,設(shè)計出一種基于確定性多分組標(biāo)記(DMPM)的回溯方案,利用全局標(biāo)記分發(fā)服務(wù)器(MOD 按需標(biāo)記[68])來標(biāo)記不信任的數(shù)據(jù)包,防御了DDoS 攻擊的威脅;魯寧等人[69]提出一種基于出口過濾的層次化反匿名聯(lián)盟構(gòu)建方法(EAGLE),克服了出口過濾(egress filtering)和基于對等過濾的域間源地址驗證方法(MEF)的可擴(kuò)展性差、難以適應(yīng)增量部署等難題;而吳波[70]針對分組轉(zhuǎn)發(fā)中源地址與路徑驗證所面臨的開銷花費大、轉(zhuǎn)發(fā)效率低等問題,提出了基于數(shù)據(jù)包隨機標(biāo)記的源地址與路徑高效驗證機制PPV,依據(jù)數(shù)據(jù)流驗證的角度設(shè)計了PPV 驗證機制,通過利用數(shù)據(jù)包隨機標(biāo)識的安全驗證,避免了傳統(tǒng)方案的逐跳逐包驗證,降低了分組轉(zhuǎn)發(fā)驗證的額外通信和驗證時延的開銷,提高了分組轉(zhuǎn)發(fā)安全驗證的效率.

由于軟件定義網(wǎng)絡(luò)具有數(shù)據(jù)流和控制流分開的特性,研究者一般采用其作為理想網(wǎng)絡(luò)和驗證方案的研究對象,如陳國龍等人[71]提出了基于SDN 混合網(wǎng)絡(luò)的驗證方案(SAVSH),該方案利用SDN 中央控制器和全局的網(wǎng)絡(luò)拓?fù)?尋找需替換SDN 交換機的節(jié)點并部署相應(yīng)的過濾規(guī)則,動態(tài)校驗數(shù)據(jù)以實現(xiàn)地址前綴級的來源驗證;劉冰洋等人[72]設(shè)計出基于SDN 的OpenFlow協(xié)議研究設(shè)計出了SDN-SAVI 的應(yīng)用程序,進(jìn)而對數(shù)據(jù)平面中的數(shù)據(jù)包實施SAVI 以防御源地址欺騙的攻擊行為;張超勤等人[73]提出基于SDN 的集成IP 源地址驗證架構(gòu)(ISAVA),依賴SDN 的增量部署,在自治域中的每個AS 邊界內(nèi)部署SDN 控制器,通過同步數(shù)據(jù)包簽名驗證協(xié)議為聯(lián)盟AS 控制器間的出站數(shù)據(jù)建立憑證機制,以實現(xiàn)AS 級驗證粒度,具有低部署性高過濾性的優(yōu)勢;為了克服SDN 網(wǎng)絡(luò)源地址驗證綁定表易被偽造AAM 破壞、缺少綁定表更新機制等安全問題,魯喻[74]設(shè)計并實現(xiàn)了基于綁定表安全的保障方案,利用根據(jù)主機信息構(gòu)建的 AAM 驗證表,通過AAM 驗證表和路由通告對 AAM 報文進(jìn)行驗證,并應(yīng)用先到先服務(wù)策略(first come first serve,FCFS)對報文進(jìn)行處理.

為了適應(yīng)網(wǎng)絡(luò)發(fā)展的需要,對于云計算受到DDOS的安全威脅,提出了基于源地址驗證的防護(hù)技術(shù),如Opeyemi[75]提出了基于主機的主動和被動OS 指紋識別的驗證方法,依據(jù)欺騙性IP 源的OS 與真實IP 源的OS 進(jìn)行匹配,實現(xiàn)云計算環(huán)境中OS 指紋識別驗證傳入數(shù)據(jù)包的真實來源性;由于很難追蹤單個數(shù)據(jù)包的真實來源,陳永紅等人[76]依據(jù)群集匹配追蹤相似數(shù)據(jù)包群集的思想提出了基于盲目的檢測方法來驗證云計算的數(shù)據(jù)包真實來源,進(jìn)而設(shè)計出一種基于K-調(diào)和均值聚類方法和改進(jìn)輪廓值的新型群集匹配檢測算法,來跟蹤數(shù)據(jù)包簇的真實來源.

綜上所述,源地址驗證研究隨網(wǎng)絡(luò)的不斷發(fā)展而進(jìn)一步深入,逐漸從傳統(tǒng)網(wǎng)絡(luò)環(huán)境轉(zhuǎn)變到現(xiàn)有網(wǎng)絡(luò)環(huán)境中,產(chǎn)生了基于軟件定義網(wǎng)、云計算等新型驗證防御技術(shù).

4.4 源地址驗證方案演進(jìn)趨勢

根據(jù)第4.2、4.3 節(jié)對源地址驗證技術(shù)的介紹,通過對各類驗證技術(shù)的匯總,介紹相關(guān)驗證方案的最新進(jìn)展有益于勾勒出源地址驗證技術(shù)的發(fā)展脈絡(luò),并繪制出驗證方案的演進(jìn)知識圖譜,見圖11.在圖中可清晰看出在源地址驗證研究的發(fā)展過程中,驗證方案的三類設(shè)計理念一直貫穿于該領(lǐng)域的研究中.基于此,大批專家學(xué)者致力于這些驗證技術(shù)的深入研究,希望探尋出更為合理的驗證方案,經(jīng)過不懈努力SAVA、SAVI 協(xié)議相繼出現(xiàn),使該研究領(lǐng)域邁入了新時代,能更科學(xué)、更微觀、更系統(tǒng)的進(jìn)行研究,設(shè)計出更先進(jìn)的源地址驗證技術(shù),為下一代網(wǎng)絡(luò)的安全發(fā)展保駕護(hù)航.

圖11 源地址驗證技術(shù)進(jìn)化導(dǎo)向圖

4.5 研究挑戰(zhàn)與機會

現(xiàn)有源地址驗證為代表的網(wǎng)絡(luò)安全防御技術(shù)能夠識別和過濾非法數(shù)據(jù)包、溯源追蹤惡意節(jié)點,在一定程度上確保了數(shù)據(jù)傳輸過程的安全性,但在高效性、魯棒性和部署激勵等方面具有些許挑戰(zhàn):

(1)基于加密驗證的源地址驗證方案不可避免地引入了身份驗證標(biāo)識,這毫無疑問會造成極大的網(wǎng)絡(luò)開銷,占用一定的帶寬資源,隨之會影響數(shù)據(jù)包的傳輸效率,并且加密驗證方案多數(shù)采用端驗證方式,缺少在數(shù)據(jù)傳輸路徑上的驗證機制.即使采用了全路徑傳輸?shù)尿炞C機制也勢必會產(chǎn)生極大的計算開銷和驗證開銷.因此對于源地址路徑傳輸?shù)尿炞C機制開始逐漸著眼于在網(wǎng)絡(luò)數(shù)據(jù)傳輸路徑上的關(guān)鍵節(jié)點處進(jìn)行源地址驗證,其中網(wǎng)絡(luò)數(shù)據(jù)傳輸關(guān)鍵節(jié)點的識別與關(guān)鍵節(jié)點上的源地址驗證機制的配合是現(xiàn)在較為棘手的難題.

(2)基于報文過濾的驗證方案現(xiàn)在多采用不同的過濾準(zhǔn)則作為訪問控制列表的準(zhǔn)入策略,利用路由器對數(shù)據(jù)包進(jìn)行過濾驗證.由于該驗證方案非常依賴于數(shù)據(jù)傳輸過程中的所有全局的網(wǎng)絡(luò)拓?fù)湫畔?因此在網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時會過濾掉部分合法數(shù)據(jù)包,導(dǎo)致誤判增多.同時部分驗證技術(shù)僅具有單向防御能力,而無法及時阻止來自網(wǎng)絡(luò)內(nèi)部的非法數(shù)據(jù),導(dǎo)致防御能力大大降低,只能做到地址前綴級別的安全防護(hù).

(3)基于事后追蹤的驗證方案一般使用邊界路由器對傳輸數(shù)據(jù)包按照概率進(jìn)行標(biāo)記,在端系統(tǒng)受到攻擊后,利用標(biāo)記的數(shù)據(jù)報文和路由器記載的數(shù)據(jù)傳輸日志,對攻擊端進(jìn)行溯源定位,以追擊攻擊者實施攻擊的真實位置.但由于溯源定位所需標(biāo)記數(shù)據(jù)量極多和溯源追蹤算法復(fù)雜,容易大量占用網(wǎng)絡(luò)資源.并且該驗證方案易受到中間路由節(jié)點的惡意干擾,可能造成溯源定位精度降低、驗證機制的可用性變差等,進(jìn)而無法實現(xiàn)對發(fā)動源地址欺騙與路徑篡改等網(wǎng)絡(luò)威脅的攻擊位置準(zhǔn)確定位,其安全防御能力有待進(jìn)一步提升.

(4)面臨的其他挑戰(zhàn),如源地址驗證方案部署的擴(kuò)展性問題、集中式激勵機制的單點故障威脅問題、難以適應(yīng)拓?fù)鋭討B(tài)變化的靈活性問題、驗證方案的實現(xiàn)困難問題等.面對上述的種種問題,在前期部署時應(yīng)采取“誰部署誰受益”的激勵機制和循序漸進(jìn)的部署原則.在部署驗證方案的前期應(yīng)該采用最少的部署工作量,獲得了最大的收益時,而后在進(jìn)行增量部署,以達(dá)到接近百分百的驗證防御效果.

為了解決上述難題和挑戰(zhàn),科研人員開始逐漸應(yīng)用SDN 網(wǎng)絡(luò)來設(shè)計實現(xiàn)源地址驗證方案.因為SDN 網(wǎng)絡(luò)將數(shù)據(jù)流和控制流分開形成了SDN 網(wǎng)絡(luò)的數(shù)據(jù)平面和控制平面,打破了常規(guī)網(wǎng)絡(luò)的體系架構(gòu),且實現(xiàn)源地址驗證的方案可以基于SDN 的控制器和OpenFlow協(xié)議來設(shè)計,同時開源了南向和北向的API 接口,為源地址驗證方案的實現(xiàn)提供了便利條件.在近5年的源地址驗證研究中,大多數(shù)科研院所多采用SDN 來設(shè)計和實現(xiàn)了源地址驗證方案,并對各驗證方案進(jìn)行了對比分析.雖然利用SDN 網(wǎng)絡(luò)為源地址驗證提供便利條件,但也產(chǎn)生了些許難題,如在規(guī)模較大的網(wǎng)絡(luò)拓?fù)渲锌刂破髦鲃犹綔y發(fā)現(xiàn)異常主機時,會對相應(yīng)的主機端口持續(xù)進(jìn)行源地址驗證,導(dǎo)致驗證延時過大,致使網(wǎng)絡(luò)的安全性有所降低;控制器對所有傳輸設(shè)備進(jìn)行數(shù)據(jù)采集時,進(jìn)而對大量數(shù)據(jù)進(jìn)行異常檢測可能加重控制器的處理負(fù)擔(dān);通過設(shè)定丟包率和流量閾值來判定異常主機時,閾值的設(shè)定不好控制等.綜上所述,利用SDN 網(wǎng)絡(luò)對于網(wǎng)絡(luò)數(shù)據(jù)地址真實可信性研究起著重要的啟程轉(zhuǎn)折作用,為使用傳統(tǒng)網(wǎng)絡(luò)架構(gòu)進(jìn)行源地址驗證研究提供了一條新的、可行的研究途徑.

5 結(jié)束語

本文通過對中國知網(wǎng)數(shù)據(jù)庫CNKI 近20年來發(fā)表的基于源地址驗證研究的論文進(jìn)行文獻(xiàn)統(tǒng)計、可視化分析和歸納整理,旨在幫助科研人員了解源地址驗證研究領(lǐng)域目前在國內(nèi)的研究現(xiàn)狀、研究主題及研究熱點,并通過文獻(xiàn)計量學(xué)和科學(xué)知識圖譜的方法,采用CiteSpace 可視化工具進(jìn)行科學(xué)性分析,挖掘出源地址驗證研究的核心力量,包括核心作者及重要科研機構(gòu),并勾勒出源地址驗證研究熱點的熱度軌跡,以進(jìn)一步總結(jié)該研究領(lǐng)域的發(fā)展演化趨勢.為科研人員把握源地址驗證研究的未來科研方向提供科學(xué)的借鑒依據(jù),進(jìn)而不斷深入探索,為將來網(wǎng)絡(luò)數(shù)據(jù)的安全性傳輸保駕護(hù)航.