1、SAVA-X 域间源地址验证技术白皮书White Paper for Source Address ValidationArchitecture-eXternal(SAVA-X)清华大学华为技术有限公司新华三技术有限公司2023 年 11 月前 言缺乏对源地址真实性的验证机制是当前互联网体系结构存在的一个重大安全设计缺陷。当前互联网面临的主要安全威胁中，以伪造源地址为基础的攻击手段（如身份哄骗、中间人攻击、分布式拒绝服务攻击、路由劫持、域名系统缓存投毒等）占据了重要地位，对互联网的安全性和可用性造成极大的破坏，使得网络的安全可信面临极大的挑战，真实源地址验证成为亟需突破的互联网核心技术之一。源

2、地址验证体系结构将源地址验证技术分为了三个层次：接入网层、地址域内层、地址域间层。其中地址域间层处于多个不同网络运营商的管理范围，网络连接复杂多变，网络用户缺乏信任，同时域间网络往往是网络的核心所在，承担的流量极其庞大，需要平衡效率和安全，因此需要一套简单、轻量、高效的机制，以抵御域间源地址伪造攻击。域间源地址验证（SAVA-X）方案构建了层次化信任联盟机制，将现有网络按照一定的标准，划分为层次化可自嵌套的地址域层级联盟；通过联盟链维护地址域数字资源信息，保证地址域信息真实可靠不可篡改；地址域之间两两维护一对时间同步状态机，通过时间触发状态机的状态迁移同时生成加密标签，实现无通信开销的标签轮换

3、机制。在数据面通信时，地址域的边界路由器处理数据包中携带的标签，源端地址域添加标签、中间地址域验证替换标签、目的端地址域验证移除标签，通过标签的正确性，保证源地址的真实性，实现域间源地址验证。清华大学联合华为和新华三，共同攻关真实源地址验证关键技术，目前已经完成了体系结构的总体设计和支撑平台的研发，华为的 NE8000 系列核心路由器，新华三的CR16000 和 CR19000 系列核心路由器均已经支持域间源地址验证能力，可以开展现网实验并支持实际商业化部署。ii目 录前 言ii第一章互联网源地址安全现状1第二章项目背景52.1源地址伪造问题.52.2域间源地址验证方案.62.2.1基于域间路

4、由信息的方案.62.2.2基于加密标签签名的方案.8第三章源地址验证体系结构12第四章层次化域间源地址验证技术154.1总体机制.154.2地址域管理.164.3控制平面.184.4数据平面.224.5数据包签名机制.23第五章系统实现与典型应用265.1系统实现.265.1.1控制服务器端实现.265.1.2核心路由器端实现.275.2典型应用.305.2.1真实可信网络.30iiiiv目 录5.2.2高价值网络防御.31第六章标准化进展33附录 A 缩略语列表34附录 B 编写组成员名单35第一章互联网源地址安全现状自 1967 年美国实施 ARPANET 计划以来，互联网从最初的 4 个

5、主机节点发展到了今天的全球自治互联。互联网成功渗入了政治外交、经济金融、军事战争、社会生活、文化娱乐等各个方面，互联网的持续发展极大的便利了人们的生产生活，促进了社会的长足进步和经济的持续发展，已成为最重要的人类社会信息基础设施和国家战略资源。互联网的成功是天时地利人和共同作用的结果，但最为重要的是构建了 TCP/IP（Transmission Control Protocol/Internet Protocol）体系结构，如图1.1所示，TCP/IP 体系结构是互联网发展成功的关键所在。图 1.1 互联网窄腰模型互联网协议（Internet Protocol，IP）作为最为重要的两个互联网的

6、标准协议之一，“IP on everything”和“everything over IP”，使得 IP 起着承上启下的作用，保证了全网通达。IP 是异构网络互联的基础，也是体系结构的核心，更是互联网能够快速迭代发展的基石。作为互联网早期设计者的 Vinton Cerf 指出 IP 在设计上：与通信技术无关：仅转发数据包，可运行于任何通信技术之上；与边缘创新无关：增加边缘创新应用/服务，网络无需做任何改变；支持大规模扩展：支持十亿级规模扩展；完全开放：对所有新协议、新技术、新应用提供开放服务。12第一章互联网源地址安全现状在 20 世纪 80 年代设计运行之初，互联网节点稀疏，节点之间彼此信任