近日,中国电信研究院携手中关村实验室及新华三集团,成功完成了下一代互联网域内/域间网络源地址验证SAVNET示范,标志着业界在广域IP网成功实现了完整的源地址验证应用。
下一代互联网是关键的数字基础设施,然而其只基于目的地址进行转发,使伪造源地址的攻击成为核心安全问题之一。当前,全球约34%网络的地址可被伪造,给攻击识别、溯源、防护带来极大的挑战。SAVNET是中国创新的安全技术,旨在防范伪造IPv6源地址网络攻击,目前在IETF推进标准。
本次示范应用依托电信大科创装置广域网开展工作,通过穗、京、沪等核心节点,以电信运营的互联网业务、路由模型及组网场景设计方案,构建下一代互联网SAVNET域内、域间示范环境开展试验。
经过各单位近一年的紧密合作,成功完成了SAVNET技术的IP广域网示范验证,域内、域间SAVNET关键功能及性能指标均达到了预期。在源地址前缀通告SPA方面,成功完成单/多归属接入场景下SPA学习、动态表项与更新、路由注入等,源地址伪造拦截率达100%;在源-目的前缀探测SPD方面,成功实现SPD通告学习与动态更新、SAVNET与策略路由融合运行;在SAVNET容量方面,实现SAVNET表项达50万、满足主要组网场景需求。
此外,兼容SAVNET/非SAVNET融合组网场景应用,有利于现网实现平滑迁移演进。后续各单位将在SAVNET表项扩展能力、路由收敛优化及管理监测等方面,进一步研究技术解决方案。
通过跨广域网完成下一代互联网源地址验证SAVNET仿真试验,验证了技术的可用性和有效性。本次试验是业界首次系统地在广域网上成功完成的示范案例,成果与优化建议得到各方认同,指导设备迭代研发与优化,为标准化和应用部署提供了有力的支撑,为打造更安全的下一代互联网络夯实基础。
