运营商专栏

              图2 SRv6信任域防护





































                如图3所示，SRv6信任域1地址空间为A::/64，向客户端发                  域防护技术基础上对SRv6报文头进行保护，包括报文源认证、
            布 Binding SID地址为A::100。在SRv6信任域1边界路由器R1部             报文头防篡改和报文头加密等。  网络安全保护常用的  IPv6
            署 Binding SID边界过滤策略，如果报文目的地址在A::/64 范                IPSec技术无法在SRv6转发的同时加密校验SRv6报文头，需要采
            围，仅允许目的  地址是A::100的报文进入SRv6信任域1。SRv6                 用其它技术  实现在SRv6源路由转发的同时对SRv6报文头进行
            信任域2地址空间为B::1/64，向SRv6信任域1发布Binding  SID             加密校验，防护SRv6源路由威胁。
            地址为B::100。在SRv6信任域2边界路由器R4部署Binding  SID                 SRv6支持密钥相关的哈希运算消息认证码（HMAC）技术。
            过滤策略，如果报文目的地址在B::/64范围，仅允许目的地址                       认证的范围包括IPv6报文头中的源地址、SRv6扩展头中的段列
            是B::100的报文进入SRv6信任域2。                                表、HMAC关键标识（标识共享秘钥和HMAC算法）等。如图4所
                1.2.3 SRv6 域内设备防攻击                               示，在SRv6头节点封装SRv6报文时，根据上述SRv6报文头字段
                SRv6信任域技术的前提是确保信任域内安全，信任域内网                      和共享秘钥计算HMAC校验码，将HMAC关键标识和  HMAC校验码封
            络设备和控制器不被攻陷，不成为构造源路由攻击的跳板。在                          装到SRv6 HMAC TLV字段。SRv6报文转发过程中，可按需在网络
            现有网络安全防护技术基础上，应增强网络设备和控制器抗攻                          设备的网络接口上开启SRv6  HMAC校验。网络设备根据  HMAC关
            击能力，增强网络设备和控制器 对外部攻击的感知能力。                           键标识解析出共  享秘钥和  HMAC算法，对报文的IPv6报文头和
                网络设备和控制器增加对外部攻击的主动发现能力，包                         SRv6扩展头进行HMAC校验。验证计算出来的校验码是否与报文
            括异常行为日志分析、运维用户登录和操作分析、进程越权分                          携带的HMAC校验码一致，识别仿冒和篡改报文并丢弃，实现对
            析、关键文件异常访问分析等，实现对外部  恶意攻击或操作的                        SRv6源路由威胁的增强防护。
            主动检测和发现。                                                 在一些网络安全要求更高的环境中，需要能够在SRv6源路
                网络设备和控制器提升自身抗攻击能力，如采用内核完                         由转发过程中隐藏每一跳的SRv6地址和校  验转发路径，防止攻
            整性保护（HKIP）技术、开启内核代码只读保护、基于硬件实                        击者获取流量路径和基于流量路径  分析用户行为。SRv6段列
            现系统完整性实时保护、防止攻击者修改内  核代码和在内核                         表加密和校验技术目前正处于探索阶段，一般采用加密技术将
            中注入恶意代码等。采用内存地址随机化（ASLR）技术防御                         SRv6  地址加密后存储到SRv6段列表，在SRv6报文转发过程中逐
            Return2libc攻击，通过开启自身抗攻击保护，有效防止攻击者                    跳校验  解密获取SRv6地址并进行处理转发，实现隐藏SRv6地址
            利用代码漏洞控制网络设备和控制器，避免信任域内的网络设                          信息和校验SRv6转发路径的目的。
            备和控制器被用 来篡改SRv6路径。                                       SRv6路径加密和校验技术目前尚未落地，安全防护效果和
                1.2.4 SRv6域内路径校验                                 对报文处理性能的影响还有待研究验证。随着SRv6技术的应用
                在一些网络环境不可信、安全要求高的网络环境中，或                         场景不断推广，应加强对SRv6路径  校验的技术研究和产品投
            者SRv6信任域内设备安全能力不一致的场景，需要在SRv6信任                      入，实现对SRv6源路由威胁 的增强型安全防护。

            26                                         网络电信 二零二三年四月