內生安全機制檢視原始碼討論檢視歷史

來自 搜狐網 的圖片

內生安全機制基於可驗證ID的Anti-DDoS內生安全機制，華為創立於 1987 年，是全球領先的 ICT（信息與通信）基礎設施和智能終端提供商。目前華為約有 19.7 萬員工，業務遍及170多個國家和地區，服務全球30多億人口。

華為致力於把數字世界帶入每個人、每個家庭、每個組織，構建萬物互聯的智能世界：讓無處不在的聯接，成為人人平等的權利，成為智能世界的前提和基礎；為世界提供最強算力，讓雲無處不在，讓智能無所不及；所有的行業和組織，因強大的數字平台而變得敏捷、高效、生機勃勃；通過 AI^[1] 重新定義體驗，讓消費者在家居、出行、辦公、影音娛樂、運動健康等全場景獲得極致的個性化智慧體驗。

成果概述

本成果旨在針對當前 IP 協議的數據包頭部缺乏有語義、可驗證信息的特徵，無法使能網絡設備在轉發高效識別合法流量的挑戰，在無需跨域協作以及修改客戶端的情況下，將 ID 與 Locator 進行分離，通過在 IP 地址中嵌入可驗證的 ID，使得網絡設備能夠在轉發麵隨路、高效地識別合法和非法流量，主動高效地丟棄非法流量，正常轉發合法流量，有效防禦網絡中的 DDoS 攻擊。

該研究的成果可以確保常用用戶或註冊用戶的流量優先通過，提高頻繁遭受 DDoS 攻擊的金融、遊戲等服務的安全防護能力，保障企業的業務安全，具備創新性與研究前瞻性。

成果突破性

DDoS 是目前公認的世界難題，是 Internet 面臨的最嚴重安全威脅之一，頻繁出現的 DDoS 攻擊事件給全社會帶來了重大經濟損失，其根本原因在於當前互聯網^[2]缺乏內生的防禦設計。本成果通過在 IP 地址中創造性地內嵌合法流量的可驗證信息，使得轉發麵可以高效地識別合法和非法流量，並對非法流量高效過濾。既不需要應用層的昂貴清洗，也不必把所有合法、非法流量都引入黑洞，從根本上解決了 IP 地址不具備真實可驗證特性的問題，在不影響系統能力的前提下，實現高效的 DDoS 攻擊防禦。

本研究由隨路的網絡設備根據網絡層的可驗證 ID 進行流量過濾，可以兼容現有的 IP 協議，具備較好的可實施性和可推廣性，為電商、直播、金融、遊戲等長期遭受 DDoS 攻擊的場景提供了可行的anti-DDoS 技術。

成果詳細描述：

（1）技術驅動

DDoS 攻擊是網絡難以根治的頑固安全威脅，數量不斷增加的物聯網設備將加劇 DDoS 攻擊的威力。出於經濟利益或惡性商業競爭驅動，當下存在專業有組織運作的黑客產業鏈，以遊戲、金融、電商以及 O2O 行業作為 DDoS 攻擊的主要目標。DDoS 攻擊不僅影響被攻擊者，同時也會對服務商網絡的穩定性造成影響，從而對處於同一網絡下的其他用戶業務也會造成損失。隨着 DDoS 攻擊工具化的發展，無論是簡單野蠻的流量型攻擊，還是複雜精巧的應用型攻擊，黑客發起 DDoS 攻擊變得越來越簡單和自動化，給受害服務帶來了較大的經濟和名譽雙重損失。此外，由於安全機制的缺失，IoT 終端成為殭屍網絡發展壯大的溫床，海量 IoT 殭屍網絡能發起每秒 T 級的攻擊流量。

現有的 DDoS 攻擊防禦手段主要存在以下幾個方面的不足：

⚫ 非受害域的服務提供方沒有動力去部署地址過濾、攻擊流量識別等 DDoS 協同防禦技術；

⚫ 終端移動性帶來的IP動態變化使網絡層基於黑白IP名單過濾的解決方案難以奏效；

⚫ 常用的 BGP 黑洞方案不區分非法和合法流量，包括合法流量在內的所有流量都會被丟棄，且數小時內難以正常響應合法用戶，影響用戶體驗；

⚫ 容易部署的主流 DDoS 防禦方案依賴昂貴的硬件設備進行應用層清洗，此類清洗設備通常旁掛在客戶網絡邊上，難以隨路部署，合法流量需要繞路到清洗設備，低效有延遲；

⚫ 現有防禦方案通常需要先檢測後過濾，屬於被動式防禦的後

響應模式，對攻擊流量無法做到實時在線清洗。

網絡的 Anti-DDoS 能力無法得到有效提升，最根本的原因在於網絡不具備內生安全機制。DDoS 攻擊通過大量的用戶連接來消耗攻擊對象的資源，使攻擊對象無法進行正常服務。而當前路由器轉發麵無法高效過濾非法流量的根因，是IP地址不具備真實可驗證特性。

（2）技術方案

針對當前IP協議的數據包頭部缺乏有語義、可驗證信息的特徵，無法使能網絡設備在轉發麵高效識別合法流量的挑戰，將可驗證 ID與 Locator 進行分離，通過在 IP 地址非 Locator 信息中嵌入可驗證的合法標記，使得目的網絡能夠在轉發麵隨路、高效地識別合法和非法流量，確保合法用戶請求及時得到響應，實現高效的 DDoS 攻擊防禦。

參考文獻