BGP安全扩展方案ssBGP

边界网关协议(BGP)是Internet的关键组成部件，但其缺少必要的安全机制，因而安全能力非常脆弱。目前针对BGP的安全缺陷，涌现了多种安全扩展方案，其中S-BGP最为有名。然而，S-BGP过于复杂且需要严格的分级PKI，因而在Internet上部署困难。该文在S-BGP的基础上，提出了一种简化的S-BGP安全方案ssBGP(Simplfied S-BGP)，其主要特点是采用一个简化的两级层次的PKI安全认证体系，以求在安全能力和实用性之间折中，方便实际部署。分析证明该方案切实可行，能有效提高BGP安全能力。     

一个基于身份的安全域间路由协议

提出了一个采用基于身份密码体制的安全域间路由协议——基于身份域间路由协议(identity-based inter-domain routing,简称id²r).id²r协议包括密钥管理机制、源AS验证机制LAP(the longest assignment path)和AS_PATH真实性验证机制IDAPV(identity-based aggregate path verification).密钥管理机制采用一个分布式层次密钥分发协议(distributed and hierarchical key issuing,简称DHKI),以解决基于身份密码系统固有的密钥托管问题.LAP的基本思想是,任一发出前缀可达路由通告的自治系统都必须提供该前缀的分配路径及证明,只有提供前缀最长有效分配路径的自治系统才是该前缀的合法源AS.IDAPV采用基于身份的聚合签名体制,生成保证AS_PATH路径属性真实性的路由聚合证明.性能评估结果显示,基于2007年12月7日的RouteViews数据,id2r路由器仅额外消耗1.71Mbytes内存,是S-BGP的38%;更新报文长度明显短于S-BGP;当硬件实现密码算法时,收敛时间几乎接近于BGP.     

BGP安全机制的研究

边界网关协议(BGP)是目前域间路由事实上的标准,但是该协议缺少必要的安全机制,存在很多漏洞,面临许多安全威胁,如某个被误配置或控制的BGP路由器可能会导致大规模网络中断。BBN公司提出的S-BGP协议在原有BGP的基础上扩展了一套安全机制,能有效地防范绝大部分安全威胁。论文详细分析了S-BGP协议的安全机制及其实现,对S-BGP的性能开销进行了分析,并通过路由实验进一步验证了S-BGP的安全能力;分析了S-BGP在实际应用中实现集中式证书认证PKI的复杂性,并提出了一种分布式前缀起源认证模型,最后对这两种PKI认证模型进行了比较。     

边界网关协议BGP安全性的分析与加强

边界网关协议BGP是INTERNET路由组织中的重要组成,文章分析了BGP的安全弱点,从报文设计的角度,通过添加PKI和数字签名等安全技术来确认BGP系统内IP地址和AS号的所有权与合法性,并对UPDATE报文的接受者和发送者授权认证,避免了报文的冒充发送和接受,增强了BGP对等体之间的信任程度,在更深的层次上加强了BGP协议的安全性.     

域间路由安全实时监测系统的设计与实现

域间路由系统是Internet的基础设施和网络的关键支撑，然而由于其自身的脆弱性而存在许多安全方面的问题。从域间路由监测的角度出发，基于路由异常行为规则库和流量模式设计并实现了一个域间路由安全实时监测系统。系统可以实时检测网络流量异常以及非法路由，并向用户提供告警信息，同时根据BGP更新报文生成并维护BGP路由表，为基于路由表分析的监测方法做好了准备。给出了系统试验，并对系统性能进行了评价。     

Fixing BGP might be difficult - or not so tough

The predominant worry about BGP (Border Gateway Protocol) is that attackers could figure out a way to take advantage of the implicit trust relationship between peer routers by mounting a man-in-the-middle attack and injecting false information into routing updates. As of yet, that has not happened; however, an accidentally misconfigured BGP router incident in 1997 illustrated that a falsely advertised route could pull immense amounts of traffic from other routes into paths for which it was never intended and cause severe slowdowns or shutdowns. The networking community has stepped up its effort to address BGP security. In the longer term, the most mature method to address BGP security is Secure BGP (S-BGP), developed by researchers at BBN Technologies under a DARPA. However, adopting a BGP security standard is still in its infancy.     

DRRS-BC: Decentralized Routing Registration System Based on Blockchain

The border gateway protocol (BGP) has become the indispensible infrastructure of the Internet as a typical inter-domain routing protocol. However, it is vulnerable to misconfigurations and malicious attacks since BGP does not provide enough authentication mechanism to the route advertisement. As a result, it has brought about many security incidents with huge economic losses. Exiting solutions to the routing security problem such as S-BGP, So-BGP, Ps-BGP, and RPKI, are based on the Public Key Infrastructure and face a high security risk from the centralized structure. In this paper, we propose the decentralized blockchain-based route registration framework-decentralized route registration system based on blockchain (DRRS-BC). In DRRS-BC, we produce a global transaction ledge by the information of address prefixes and autonomous system numbers between multiple organizations and ASs, which is maintained by all blockchain nodes and further used for authentication. By applying blockchain, DRRS-BC perfectly solves the problems of identity authentication, behavior authentication as well as the promotion and deployment problem rather than depending on the authentication center. Moreover, it resists to prefix and subprefix hijacking attacks and meets the performance and security requirements of route registration.      

域间路由系统的安全威胁及其对策

BGP是用于在自治系统之间转发路由信息的协议,它是Internet路由系统中一个非常重要的组成部分.虽然它已被证明是一种非常稳定和有效的协议,但是随着Internet的快速发展与商业化,BGP的一个主要的局限性是它不能处理安全问题,因此经常遭到恶意攻击和人为错误的影响.加之BGP协议自身的脆弱性,使得域间路由系统正面临着非常严峻的安全问题.文中详述了域间路由系统所面临的安全威胁,全面地探讨了协议增强和安全防范机制,并对现有安全方案进行了分析.     

多层次域间路由安全监测系统的设计与实现

基于边界网关协议(BGP)的域间路由系统已经成为Internet的核心路由设施,但由于BGP本身缺乏安全机制,很容易受到各种人为配置错误或者恶意攻击的影响。我们开发的域间路由监测系统可以从4个层次实现对域间路由的安全监测,分别是Internet、国家网络、特定ISP和特定路由。本文详细介绍了多层次域间路由安全监测系统的组成结构、软件结构、设计思想、实现技术和测试结果。     

基于攻击树的边界网关协议安全测试

基于BGP协议构造的域间路由系统是因特网的基础设施。域间路由系统面临多种恶意攻击的成胁且易受人为错误的影响。本文提出BGP攻击树（Attack-Tree）模型，并应用该模型构造域间路由系统的安全性测试套件，不但能够全面地对BGP进行安全性测试，而且便于测试案例的生成和系统实现。测试过程就是对树的标记过程，本文为此提出了着
色算法。利用生成的测试案例，对BGP目标系统进行安全测试实验。结果表明，这种方法能有效地发现BGP潜在的安全漏洞，为ISP运营商增强路由系统安全提供依据。