在安全机制层面，本方法着重考虑了以下4点关键设计：（1）基于PIV架构的多级防御机制，在源端确保了数据报文的真实性和源发性，有效实现了防止假冒他人的“自律机制”和抵御他人假冒的“律他机制”，在目的端的验证最终实现了信任联盟范围内的真实地址访问；（2）SID信息的加密和隔离机制，SID信息由源域私密生成，他域无法仿冒，终端用户在收到数据报文前其中的SID 信息就已经处理和去除了，故抑制了恶意终端的攻击行为，而且当网络安全状况恶化时，信任联盟成员自治域还可周期性更新SID信息，重新生成验证规则（如图4所示）；（3）时间同步防御窃听攻击，一方面，在主干网络上攻击者很难实施窃听攻击，另一方面，本方法同时利用时间戳和网络授时协议（NTP）启动信任联盟范围内的时间同步，防御窃听攻击；（4）安全信道机制，SID信息在联盟范围内的分发采用的是内嵌在BGP路由宣告报文中捎带发布机制，因为路由系统的封闭性和多重安全机制确保了SID 信息宣告始终处在路由宣告安全信道中，同时当需要更新SID信息时，本方法还采用TCP拦截防御和Diffie-Hellman协议来构建SID信息交互的安全信道，如图4所示。

图4 基于SID信息交互的验证规则建立和更新SID信息在安全信道中的更互

　　实验部署

　　目前，真实IPv6源地址验证体系结构（SAVA ）的实现系统已经在CNGI -CERNET2网络上试验性部署、运行和测试，并且吸引了多家国内外机构、运营商和设备制造商参与实现，这些机构都拥有多个全局独立的自治域编号，为域间真实源地址验证方案提供了一个多自治域的实验环境。依据CNGI-CERNET2实际网络环境和运营状况，在域间源地址验证方案实验性部署时，我们选取了北京边界、上海边界、合肥边界和厦门边界4个独立自治域作为实验部署点和实验数据监测点，实验目的是在在不影响原有设备功能、性能和正常运行的前提下，通过增加板卡或系统固件升级的方式，增加源地址验证功能，在4个自治域间搭建跨域扩展MPLS网络，组建CNGI-CERNET2信任联盟，分别在4个自治域节点增设高性能测试服务器，构建了3种跨自治域通信场景，对本方法进行了系统测试。部署可行方案示意图如图5所示，实验结果表明本方法可以有效实现自治域粒度的真实地址访问功能。

图5 方法在CNGI-CERNET2上实验性部署

　　本文依托真实源地址验证体系结构（SAVA），提出了一种新型的自治域间真实源地址验证方法，该方法在信任联盟成员自治域间协商组建跨域扩展MPLS网络并引入了具有认证源地址真实性和源发性的自治域源标识SID，实现了源端级过滤、源端真实性和源发性标记以及目的端验证的三维PIV验证架构，构建出一种具有自主过滤伪造报文功能和抵御源地址假冒攻击能力的信任联盟体系结构。

　　（作者单位：1为清华大学计算机科学与技术系；2为国防信息学院）