内生安全机制查看源代码讨论查看历史

来自 搜狐网 的图片

内生安全机制基于可验证ID的Anti-DDoS内生安全机制，华为创立于 1987 年，是全球领先的 ICT（信息与通信）基础设施和智能终端提供商。目前华为约有 19.7 万员工，业务遍及170多个国家和地区，服务全球30多亿人口。

华为致力于把数字世界带入每个人、每个家庭、每个组织，构建万物互联的智能世界：让无处不在的联接，成为人人平等的权利，成为智能世界的前提和基础；为世界提供最强算力，让云无处不在，让智能无所不及；所有的行业和组织，因强大的数字平台而变得敏捷、高效、生机勃勃；通过 AI^[1] 重新定义体验，让消费者在家居、出行、办公、影音娱乐、运动健康等全场景获得极致的个性化智慧体验。

成果概述

本成果旨在针对当前 IP 协议的数据包头部缺乏有语义、可验证信息的特征，无法使能网络设备在转发高效识别合法流量的挑战，在无需跨域协作以及修改客户端的情况下，将 ID 与 Locator 进行分离，通过在 IP 地址中嵌入可验证的 ID，使得网络设备能够在转发面随路、高效地识别合法和非法流量，主动高效地丢弃非法流量，正常转发合法流量，有效防御网络中的 DDoS 攻击。

该研究的成果可以确保常用用户或注册用户的流量优先通过，提高频繁遭受 DDoS 攻击的金融、游戏等服务的安全防护能力，保障企业的业务安全，具备创新性与研究前瞻性。

成果突破性

DDoS 是目前公认的世界难题，是 Internet 面临的最严重安全威胁之一，频繁出现的 DDoS 攻击事件给全社会带来了重大经济损失，其根本原因在于当前互联网^[2]缺乏内生的防御设计。本成果通过在 IP 地址中创造性地内嵌合法流量的可验证信息，使得转发面可以高效地识别合法和非法流量，并对非法流量高效过滤。既不需要应用层的昂贵清洗，也不必把所有合法、非法流量都引入黑洞，从根本上解决了 IP 地址不具备真实可验证特性的问题，在不影响系统能力的前提下，实现高效的 DDoS 攻击防御。

本研究由随路的网络设备根据网络层的可验证 ID 进行流量过滤，可以兼容现有的 IP 协议，具备较好的可实施性和可推广性，为电商、直播、金融、游戏等长期遭受 DDoS 攻击的场景提供了可行的anti-DDoS 技术。

成果详细描述：

（1）技术驱动

DDoS 攻击是网络难以根治的顽固安全威胁，数量不断增加的物联网设备将加剧 DDoS 攻击的威力。出于经济利益或恶性商业竞争驱动，当下存在专业有组织运作的黑客产业链，以游戏、金融、电商以及 O2O 行业作为 DDoS 攻击的主要目标。DDoS 攻击不仅影响被攻击者，同时也会对服务商网络的稳定性造成影响，从而对处于同一网络下的其他用户业务也会造成损失。随着 DDoS 攻击工具化的发展，无论是简单野蛮的流量型攻击，还是复杂精巧的应用型攻击，黑客发起 DDoS 攻击变得越来越简单和自动化，给受害服务带来了较大的经济和名誉双重损失。此外，由于安全机制的缺失，IoT 终端成为僵尸网络发展壮大的温床，海量 IoT 僵尸网络能发起每秒 T 级的攻击流量。

现有的 DDoS 攻击防御手段主要存在以下几个方面的不足：

⚫ 非受害域的服务提供方没有动力去部署地址过滤、攻击流量识别等 DDoS 协同防御技术；

⚫ 终端移动性带来的IP动态变化使网络层基于黑白IP名单过滤的解决方案难以奏效；

⚫ 常用的 BGP 黑洞方案不区分非法和合法流量，包括合法流量在内的所有流量都会被丢弃，且数小时内难以正常响应合法用户，影响用户体验；

⚫ 容易部署的主流 DDoS 防御方案依赖昂贵的硬件设备进行应用层清洗，此类清洗设备通常旁挂在客户网络边上，难以随路部署，合法流量需要绕路到清洗设备，低效有延迟；

⚫ 现有防御方案通常需要先检测后过滤，属于被动式防御的后

响应模式，对攻击流量无法做到实时在线清洗。

网络的 Anti-DDoS 能力无法得到有效提升，最根本的原因在于网络不具备内生安全机制。DDoS 攻击通过大量的用户连接来消耗攻击对象的资源，使攻击对象无法进行正常服务。而当前路由器转发面无法高效过滤非法流量的根因，是IP地址不具备真实可验证特性。

（2）技术方案

针对当前IP协议的数据包头部缺乏有语义、可验证信息的特征，无法使能网络设备在转发面高效识别合法流量的挑战，将可验证 ID与 Locator 进行分离，通过在 IP 地址非 Locator 信息中嵌入可验证的合法标记，使得目的网络能够在转发面随路、高效地识别合法和非法流量，确保合法用户请求及时得到响应，实现高效的 DDoS 攻击防御。

参考文献