BGP路由协议在不同域间的安全研究

边界网关协议(BGP路由)在路由表中存放的路由数据可以反映互联网规模、运行的状态、及路由体系结构的演化,是互联网基础研究的重要组成部分,域间网络路由通过BGP路由信息交换来完成,但是,BGP协议设计存在一些重要的安全漏洞,容易导致前缀劫持、路由泄漏、以及各类针对互联网的拒绝服务攻击,本文主要分析BGP在不同域间路由传播的主要特性,研究探讨BGP在域间传播面临的主要安全威胁,进而对各种增强BGP域间安全传播的技术和方案进行合理分类和详尽研究,最终对BGP的未来安全研究进行相关分析与展望.     

互联网域间路由系统安全态势评估

基于边界网关协议BGP的互联网域间路由系统缺乏必要的安全机制,面临严重的安全威胁.尽管人们对BGP路由系统的安全问题进行了详尽研究,但是很少量化该系统的安全态势,并且网络管理员也确实需要有用的安全态势信息来感知自治系统(AS)的路由安全状况.为了解决这个问题,分析了互联网域间路由系统的层次特性,提出了一个基于BGP异常路由的安全评估模型.该方法的基本思想是基于BGP路由系统的层次特性构造路由状态树,准确地刻画BGP路由系统中各路由实体之间的层次关系、存储和表达每个实体的路由安全状态;并根据所检测的异常路由计算每个实体的路由安全状态.实验测试表明,该模型能同时评估BGP路由器、自治系统和互联网域间路由系统的安全威胁态势,可为网络管理员提供直观的安全态势曲线.     

一种改进的BGP路由源认证机制

资源公钥基础设施(Resource Public Key Infrastructure,RPKI)是当前用于保护互联网码号资源分配真实性的技术.作为一种支撑域间路由安全的体系,它解决了边界网关协议(Border Gateway Protocol,BGP)缺乏路由源认证的问题.然而当前RPKI体系中的依赖方(Relying Party,RP)与路由器数据同步机制可能会导致路由源授权(Route Originate Authorization,ROA)信息缺乏真实性和有效性,并且不断查询缓存列表会带给路由器很大的性能负载.据此,本文提出一种改进的BGP路由源认证方案,发送端路由器实时申请存储在RP中的ROA证书,将其附加到BGP update报文中进行传输,以待对等端路由器申请证书公钥对证书进行验证并完成路由源认证功能.该方案将原来周期性更新路由器缓存列表机制改为路由器实时申请认证机制,有效解决了RP与路由器数据同步可能导致的ROA存在错误的问题,降低路由器查询缓存列表造成的路由器运行负载.此外,本文通过Quagga仿真实验表明该方案具有可行性,并对该方案的适用情形进行了具体分析.     

防范前缀劫持的互联网注册机制

借鉴IRR(Internet routing registry)机制中注册路由策略的思想,提出了前缀策略(prefix policy)的概念,并由此设计了一种防范前缀劫持的方法—— E-IRR 机制.在E-IRR 中,参与者发布自己的前缀策略,同时利用其他自治系统已注册的前缀策略验证BGP路由,从而防范前缀劫持.提出了维护前缀策略有效性措施,评估了E-IRR机制的安全能力与性能.方法的主要优势是,其在前缀劫持的防范能力与安全机制的实际部署需求之间达到了一个较好平衡,可增量式地部署,并不需要对BGP协议进行任何安全扩展.现有方案都不同时具备这些特性,它们使得E-IRR有望实际可行地解决前缀劫持问题.     

防范路由劫持的协同监测方法

路由劫持是当前Internet域间路由系统（BGP）所面临的最严重的安全威胁之一,但目前仍缺乏有效的防护手段.将自治系统（autonomous system,简称AS）基于BGP路由信息自我发现路由劫持的概率定义为对路由劫持的免疫能力,对该免疫能力进行了建模,并给出了AS自我免疫的充分条件和必要条件以及该免疫能力的上界.实验结果发现,80%以上的AS对路由劫持完全没有免疫能力,仅不超过0.26%的AS具有大于85%的免疫能力.对AS免疫过程的进一步分析,揭示了造成AS免疫能力低下的提供商栅栏现象——提供商优先选择客户路由,从而阻止了劫持路由向被劫持者的传播.为了克服提供商栅栏,提高AS的免疫能力,设计了协同监测机制,并提出了一种计算复杂度较低的启发式协同邻居选取策略.该机制无需修改BGP协议,可增量部署.实验结果表明,仅与25个自治系统进行协同,就可以将对路由劫持的免疫能力提高到高于95%的水平.     

域间多路径路由协议

边界网关协议(border gateway protocol,简称BGP)是当前互联网的核心协议,但是由于BGP是一种单路径路由协议,所以仍存在可靠性差、无法有效使用次优路径以及负载均衡支持较弱等问题.域间多路径路由可以通过发挥底层网络的AS级路径多样性,提高域间路由的可靠性、报文分组转发的总体性能和整个网络资源的利用率.因此,域间多路径路由是解决上述BGP问题的一种有效手段,符合互联网应用不断深入、促进路由技术发展的需求.主要综述域间多路径协议,并将其分为3类:单径通告多路转发协议、多径通告多路转发协议和新型域间多路径路由体系结构提出路径多样性、控制平面和数据平面开销、无环路特性等8项主要路由系统性能指标,并比较、分析了域间多路径路由协议.最后,指出域间多路径路由协议面临的主要挑战和未来的研究方向.     

互联网大规模前缀劫持事件检测与分析的案例研究

由于BGP协议的脆弱性,BGP前缀劫持长期以来一直对互联网产生着严重的安全威胁。检测和分析大规模的前缀劫持事件是一件十分必要但又充满挑战的工作。以2019年发生的大规模的欧洲路由泄露导致路由劫持事件为案例,提出了一种基于公共BGP数据的有效的检测和分析方法。分析结果包括如下几条：（1）这次劫持的“攻击者”为AS21217,AS4134是劫持路由传播过程中的关键点; （2）此次劫持事件导致了严重的多源AS冲突和AS-PATH路径膨胀问题;（3）此次事件的劫持类型包括劫持前缀并篡改AS路径,以及劫持子前缀并篡改AS路径2种类型;（4）检测到311个AS被感染,长度为4的感染链数量最多,且分属于3 895个AS的28 118个前缀IP段成为受害者,同时实现了一个可视化系统来展示劫持发生时的全球网络态势。这些研究结果一方面与Oracle等公司公布的结果相互印证,另一方面又对此次网络事件进行了更加详尽的补充和深入挖掘。     

域间路由协议BGP安全性研究

BGP协议安全是域间路由安全的核心问题之一，其关键问题就是如何确保每个AS发布BGP路由信息的正确性和完效的部署。本文建立了完整的BGP威胁模型，对当前提出的BGP安全机制进行了系统的分析，针对域间路由安全中的关键问题提出了一些新的研究思路。     

域间路由系统的安全威胁及其对策

BGP是用于在自治系统之间转发路由信息的协议,它是Internet路由系统中一个非常重要的组成部分.虽然它已被证明是一种非常稳定和有效的协议,但是随着Internet的快速发展与商业化,BGP的一个主要的局限性是它不能处理安全问题,因此经常遭到恶意攻击和人为错误的影响.加之BGP协议自身的脆弱性,使得域间路由系统正面临着非常严峻的安全问题.文中详述了域间路由系统所面临的安全威胁,全面地探讨了协议增强和安全防范机制,并对现有安全方案进行了分析.     

Internet路由关联分析与监测系统设计

Internet已经从一个学术性网络演化成为具有商业意义的公共信息基础设施的重要组成部分,路由系统是其基础和关键部分,对Internet路由层面的监测与分析有着重要的理论和现实意义.Internet路由结构被划分成为域内路由和域间路由,两者紧密联系并相互作用,但是目前路由监测和分析的工作主要基于单一协议进行,无法给出包含多种路由协议的全面监测视图,也不能很好地解决由于协议交互带来的问题.针对这个不足,探索了域内和域问路由的关联分析技术,并在此基础上成功设计实现了Internet路由监测系统IRMS(Internet routing monitoring system).IRMS在对主流路由协议OSPF,BGP的监测基础上,可以提供包括全局路由拓扑构造、协议交互分析在内的路由关联分析能力.实际网络路由监测实验表明,IRMS使网络管理人员可以更加深入和全面地进行路由监测分析.     

域间路由协议前缀劫持行为模拟与分析

基于BGP的域间路由系统是Internet的核心设施,是保证整个网络互联及正常运行的关键。然而,由于BGP协议本身缺乏必要的安全机制而极易受到攻击。例如,前缀劫持就是针对BGP缺陷而实施的一种较难防范的攻击。近年来,已发生多起BGP前缀劫持事件,造成了严重危害。本文基于GT-NetS软件构建了一个大规模域间路由系统模拟环境,并在该模拟环境中进行了多次BGP前缀劫持测试,结合测试结果分析对影响BGP前缀劫持攻击范围的有关因素进行了研究。测试表明,BGP前缀劫持造成的受害范围与攻击发起路由器所属AS的层次和度数有着直接的关系。     

一种基于责任域的安全路由体系

为了解决前缀劫持、路由伪造和源地址欺骗问题,设计了一种路由体系——基于责任域的安全路由体系(accountability realm based secure routing architecture,简称Arbra)。首先,提出了自治系统到责任域的映射方法和基于责任域的两级路由结构,责任域是具有独立管理主体的网络,也是 Arbra 网络拓扑的基本元素,因为它为内部用户的网络行为负责,所以称做责任域;其次,建立了基于责任域的路由体系设计框架,主要包括混合寻址方案、核心路由协议、标签映射协议、分组转发流程和公钥管理机制等研究内容;最后,比较了 Arbra 和其他著名路由结构(IPv4/v6,LISP,AIP)的异同,分析了Arbra的安全性、可扩展性、通信性能和部署代价。研究结果表明：(1) Arbra具有的分布式信任模型,不仅有利于抵御前缀劫持、路由伪造和源地址欺骗攻击,而且还给许多其他网络安全问题的解决奠定了基础;(2) Arbra具有优良的可扩展性,路由表的规模较小;(3) Arbra具有合理的通信性能和部署代价。该研究成果可以看做是以网络安全为视角对未来信息网络体系结构的有益探索。     

Sign what you really care about – Secure BGP AS-paths efficiently

The de facto inter-domain routing protocol, Border Gateway Protocol (BGP), plays a critical role in the reliability of the Internet routing system. However, the system may also be devastated by forged BGP routes that are generated by malicious attacks or mis-configurations. This security problem has attracted considerable attention, and although several solutions has been proposed, none of them have been widely deployed due to weaknesses such as high computational cost or potential security vulnerability. This paper proposes Fast Secure BGP (FS-BGP), an efficient mechanism that can secure AS-paths and prevent prefix hijacking by signing critical AS-path segments. We prove that FS-BGP achieves a similar level of security as S-BGP, but with much higher efficiency. Compared with S-BGP, the cost of signing and verification in FS-BGP can be reduced by orders of magnitude, as demonstrated in our experiments using BGP UPDATE data collected from real backbone routers. Indeed, the signing and verification can be accomplished as fast as the most bursty BGP UPDATE arrivals, which implies that FS-BGP will hardly delay the propagation of routing information.     

一个基于身份的安全域间路由协议

提出了一个采用基于身份密码体制的安全域间路由协议——基于身份域间路由协议(identity-based inter-domain routing,简称id²r).id²r协议包括密钥管理机制、源AS验证机制LAP(the longest assignment path)和AS_PATH真实性验证机制IDAPV(identity-based aggregate path verification).密钥管理机制采用一个分布式层次密钥分发协议(distributed and hierarchical key issuing,简称DHKI),以解决基于身份密码系统固有的密钥托管问题.LAP的基本思想是,任一发出前缀可达路由通告的自治系统都必须提供该前缀的分配路径及证明,只有提供前缀最长有效分配路径的自治系统才是该前缀的合法源AS.IDAPV采用基于身份的聚合签名体制,生成保证AS_PATH路径属性真实性的路由聚合证明.性能评估结果显示,基于2007年12月7日的RouteViews数据,id2r路由器仅额外消耗1.71Mbytes内存,是S-BGP的38%;更新报文长度明显短于S-BGP;当硬件实现密码算法时,收敛时间几乎接近于BGP.     

边界网关协议BGP4路由收敛问题研究进展

边界网关协议BGP4是目前Internet最主要的域问路由协议，其路由正确性和稳定性直接关系到Internet能否正常运行．作为一个域问路由协议，BGP协议必须支持策略路由，允许各个自治系统独立的制定他们的路由策略，而且允许这些策略优先于路径尺度．由于各个自治系统制定策略的角度不同，这些路由策略之间可能存在冲突，从而导致BGP协议发散及路由振荡．此外，BGP协议本身也存在一些内在机制的不完善，并可能导致在某些情况下路由不收敛或收敛速度缓慢．随着网络规模越来越大，拓扑越来越复杂，BGP路由收敛问题日趋严重，目前国内外对此展开了大量的研究，并提出了多种分析模型和解决方案．本文首先全面总结了BGP协议面临的主要的收敛问题，主要包括策略冲突和协议机制造成的不收敛问题和收敛缓慢问题，然后全面介绍了针对这些问题的现有的解决方案，分析比较了这些方案的优点和缺点，最后提出了进一步的研究设想．     

基于集群路由器体系结构的BGP分布并行实现技术研究

本文分析了BGP协议在因特网环境中面临的巨大路由表容量、消耗大量控制平面计算资源、支持邻居会话数量有限等难以解决的问题;基于集群路由器体系结构的特点,提出并讨论了BGP协议的四种分布式实现技术;最后对这几种实现技术进行了比较,指出了分布式实现技术相对于传统集中控制方式的优势及特点。     

多层次域间路由安全监测系统的设计与实现

基于边界网关协议(BGP)的域间路由系统已经成为Internet的核心路由设施,但由于BGP本身缺乏安全机制,很容易受到各种人为配置错误或者恶意攻击的影响。我们开发的域间路由监测系统可以从4个层次实现对域间路由的安全监测,分别是Internet、国家网络、特定ISP和特定路由。本文详细介绍了多层次域间路由安全监测系统的组成结构、软件结构、设计思想、实现技术和测试结果。