基于云计算的IP溯源认证框架FACT：一种新型网络安全解决方案

作者及发表信息

本研究报告基于IEEE Transactions on Information Forensics and Security期刊2017年3月第12卷第3期发表的论文《FACT: A Framework for Authentication in Cloud-Based IP Traceback》。主要作者包括Long Cheng（新加坡科技研究局信息通信研究院）、Dinil Mon Divakaran（同机构）、Aloysius Wooi Kiak Ang（新加坡国立大学）、Wee Yong Lim和Vrizlynn L. L. Thing（均来自新加坡科技研究局信息通信研究院）。该研究得到了新加坡国家研究基金会的支持。

研究背景与意义

IP溯源（IP traceback）技术是网络安全领域的关键技术，用于识别数据包的来源及其传输路径。该技术在网络取证、安全审计、网络故障诊断和性能测试等方面具有广泛应用。然而，尽管已有大量研究，IP溯源技术仍未在互联网上大规模实际部署。主要障碍包括：互联网服务提供商（ISP）担心内部网络拓扑信息泄露、增量部署困难以及缺乏经济激励。

随着云计算服务的兴起，研究者提出将传统IP溯源方案迁移到云计算环境。云计算为IP溯源提供了新的可能性：云存储可长期保存流量摘要（traffic digests）用于取证分析；按使用付费（pay-per-use）模式为ISP部署溯源服务提供了经济激励；云服务的集中管理特性有助于解决增量部署问题。然而，基于云的溯源架构也带来了新的挑战，特别是如何控制对溯源服务的访问权限，防止恶意用户获取敏感信息。

研究方法与流程

本研究分为两个主要部分：新型云基础IP溯源架构设计和FACT认证框架开发。

1. 云基础IP溯源架构设计

研究团队提出了一种三层分级架构： 1) 中心协调层：作为系统访问门户，主要功能是查询枢纽，不存储任何溯源数据 2) AS级溯源服务器层：每个部署溯源的自治系统（AS）内部署溯源服务器，管理内部云存储 3) 路由器层：底层网络设备，负责流量采集和标记

关键技术实现包括： - AS边界路由器流标记：在AS边界路由器上实施流级别标记（flow-level marking），记录上游溯源部署AS信息。标记使用IP头部可用空间（IPv4约25位，IPv6更多），每个流仅标记前几个数据包。 - 隐私保护机制：下游AS会覆盖上游AS的标记信息，防止终端主机重建完整路径。 - 溯源处理流程：采用非泛洪式查询，沿标记路径递归查询上游AS，最后整合各AS提供的局部攻击图。

2. FACT认证框架开发

FACT（Framework for Authentication in Cloud-based IP Traceback）是一种基于时间令牌（temporal token）的认证系统，主要包含以下创新组件：

令牌分发机制

• 匹配属性选择：研究比较了IP头部多个字段（校验和、标识字段等）和数据负载的适用性，最终选择数据负载第8个字符作为主要匹配属性（match attribute）。
• 令牌分片匹配算法：将64位访问令牌分成8位片段，路由器检查数据包属性是否匹配任何令牌片段。匹配时设置标记位通知终端主机。
• 简洁标记方案（concise marking）：路由器跟踪已传送的令牌位，仅当数据包能传送新信息时才进行标记，显著减少冗余标记。

算法实现细节

研究团队开发了两个核心算法： 1) 算法1：简洁标记的令牌分发算法。路由器维护每个令牌片段的剩余设置位（remaining set bits），仅当匹配能提供新信息时才标记数据包。 2) 算法2：简洁令牌片段匹配函数。使用位运算高效判断匹配，并更新剩余设置位状态。

研究结果与发现

通过MAWILab和CAIDA真实互联网流量数据集的测试评估，研究获得了以下重要结果：

1. 标记性能与令牌模式的关系：

• 令牌中设置位（set bits）比例从25%增加到75%时，所需标记数据包数量从8个增加到14个，但75%设置位的案例因更高匹配率反而需要更少标记包。
• 令牌交付延迟随设置位比例增加而降低，25%设置位时平均延迟显著高于其他情况。

1. 标记方案比较：

• 简洁标记方案在25%设置位情况下，比盲目标记（blind marking）减少46-338倍的标记包数量。
• 通过引入概率冗余标记，可在保持高效率的同时增强抗丢包能力。

1. 不同匹配属性比较：

• 使用数据负载哈希值作为匹配属性时，平均令牌交付延迟低于使用IP头部字段。
• IP头部字段（如校验和）在某些数据集表现良好，但受NAT影响较大。

1. 计算开销：

• 在标准配置服务器上，处理10,000个数据包的标记延迟仅约2.5毫秒，计算开销可忽略。

研究结论与价值

本研究的主要贡献包括： 1. 提出首个完整的云基础IP溯源架构，解决了传统方案面临的隐私保护、增量部署和经济激励等关键问题。 2. 开发了创新的FACT认证框架，通过高效令牌分发机制确保只有合法用户能访问溯源服务。 3. 设计了简洁标记算法，在有限IP头部空间条件下实现了高效的令牌传递。

该研究的科学价值体现在： - 为IP溯源领域提供了新的系统架构思路 - 开发的新型认证机制可应用于其他网络安全系统 - 提出的标记算法对网络协议设计具有启发意义

实际应用价值包括： - 为ISP部署IP溯源服务提供了技术可行性和经济可行性 - 增强了网络取证能力，有助于打击网络犯罪 - 为未来软件定义网络（SDN）环境中的安全方案奠定基础

研究亮点

1. 架构创新：首次将云计算优势系统性地应用于IP溯源领域，提出完整的三层架构方案。
2. 算法创新：开发的简洁标记算法在有限标记空间条件下实现了高效令牌传递，性能优于直接标记方案。
3. 实用性强：所有方案都基于真实网络环境约束设计，并通过大规模真实流量数据集验证。
4. 多目标优化：同时解决了技术可行性、隐私保护、经济激励等多个维度的挑战。

其他有价值内容

研究还探讨了未来工作方向： 1. 优化令牌分片策略，进一步提高标记效率 2. 在云基础IP溯源测试平台上实现FACT框架 3. 研究SDN环境下的适应性改进方案

该研究为IP溯源技术的实际部署提供了重要技术基础，其创新思路对网络安全领域其他研究方向也具有借鉴意义。特别是将云计算与传统网络安全技术结合的思路，展现了跨领域研究的重要价值。