安全域间路由协议及多域安全可信互联技术体系

团队针对互联网域间路由系统的高复杂度和内在安全验证机制的缺乏，设计了一种新型的路由授权码传递和验证方式FC-BGP，它可以实现一种分布式、可增量部署的域间路由路径验证能力，改进当前以BGPsec为主的路径验证方案对于部署率的过高要求，同时保障随互联网中自治系统的部署率提升，域间路由系统获得明确且线性的安全收益，显著提升路由路径验证机制的可部署性和实用价值。
针对源地址伪造泛滥的问题，提出了一种基于数据包密码学标识的源地址验证机制SAVA-X，通过层次化的信任联盟管理，在保证机制可扩展性的同时，有效保护参与地址域之间的源地址真实有效。
针对当前互联网传输机制无法保证数据分组沿用户预期路径传输，存在流量窃听、劫持等安全隐患的问题，提出基于随机标识的路径验证机制MASK，通过源用户在数据包中嵌入动态标识，实现对转发路径上验证节点的随机指定并进一步降低开销，提高检查效率。

SAVA-X

MASK

SAVA-X

提出了一种低开销的端到端数据包级源地址验证方法，可以在扁平信任联盟结构的域间实现源地址验证SAVA-X。SAVA-X立足实际网络拓扑结构和域间路由机制，通过合理的分层标准，SAVA-X将部署了验证机制的所有网络划分成多层级地址域信任联盟，每一级地址域联盟可以作为成员（抽象为一个系统整体）自下而上的参加更高级别的地址域信任联盟，形成一种多级并存的、层次化的信任联盟体系结构。
SAVA-X机制以基于密码学的数据包标签为源地址信任与验证基础，能够以极低的开销，精细粒度地防止源IP地址伪造，削减DoS/DDoS攻击，并且支持增量部署。方案的最大特点是设计了一种在源与目的之间自动同步、更新标签的技术，做到降低运行与管理开销，对DoS/DDoS以及其他基于源地址伪造的攻击拥有很强的鲁棒性。

SAVA-X方案已完成与新华三、华为两个主流网络设备厂商的合作和技术转化，其中新华三在其核心路由器CR16000/19000系列、华为在其核心路由器NE8000上分别进行了技术实现，并完成了产品测试，已发布商用版本。该技术的产品化实现，可以增强相应产品在自治域间的可疑流量过滤能力，提升安全防护水平，为跨域可信访问奠定基础。
针对域间源地址验证机制，完成了5项行业标准（ YD/T 4432.1-2023等），另有两项标准已完成立项。
成果有力支撑“下一代互联网真实源地址验证体系结构、关键技术与规模化应用”项目荣获2020年电子学会科学技术奖特等奖。2020年8月，在中国电子学会组织的科技成果鉴定中，以怀进鹏院士为主任委员、邬贺铨院士、赵沁平院士、张军院士为副主任委员的鉴定委员会一致认为：“项目成果技术复杂度高，系统研制和形成国际标准难度大，创造性、创新性强，SAVA 体系结构属于国际首创，在体系结构、SAVA-A、SAVA-P 和 SAVA-X 等技术方面达到国际领先水平。”

团队已经将SAVA-X机制部署在中国未来网络试验设施国家重大科技基础设施 FITI 主干网（如图 8所示），目前正在逐步进行调试开通。团队致力于在未来，利用这项技术支持全国 31 个省区市以及不少于 4096 个大规模试验网络实现真实源地址验证能力。

SAVA-X层次化体系结构

团队对真实可信体系结构进行了规模化验证，并搭建了基于 CERNET2 的实验验证平台。以清华、北大、北航、北邮四所高校组成的北京地区为现阶段部署区域，在四所高校间建立了域间源地址信任联盟，保证其它互联网流量无法伪造四所高校间的可信交互。通过搭建实验验证平台和开放实验平台，可以更好地研究和验证网络安全技术，提高网络的安全性和可靠性。

Sava-X
管理平台

MASK（Multi-AS-Key）

针对数据篡改、流量窃听泛滥的问题，团队提出一种基于数据包随机标识的高效真实性路径验证机制MASK，通过在多个AS路由节点对之间建立标签、源用户在数据包中嵌入动态标识、转发路径上路由节点随机执行验证和添加标识、目的节点根据标识验证数据包真实转发路径是否与预期一致，确保传输流量的安全性。
MASK克服了传统方法逐跳逐包验证方式的缺陷，仅需一跳路由节点对接收到的数据包进行随机标识，克服了现有路径验证工作通信开销和计算开销高、缺乏可部署性、可靠性不足等问题，较好地平衡了安全性和高效性之间的矛盾。
MASK具有较强的安全验证能力，能够识别攻击者对数据分组的损坏，路径不一致攻击和重放攻击。

发表论文：Songtao Fu, Qi Li, Min Zhu, Xiaoliang Wang, Su Yao, Guo Yangfei, Xinle Du, Ke Xu. MASK: Practical Source and Path Verification Based on Multi-AS-Key. IEEE/ACM ToN, vol. 31, no. 4, pp.1478-1493, 2023.