AS关系与路由策略描述

路由策略描述语言（Routing Policies Specification Language简称RPSL）提供了描述不同层次路由策略信息的方法。然而，RPSL对具有不同关系的自治系统（Autonomous简称AS）路由策略未加区分，而在现实的Internet中AS关系是普遍存在的。对AS之间的关系按服务类型进行分类，定义了4种AS关系；在此基础上给出基于AS关系的路由策略描述原则；用RPSL给出各种AS关系下的路由策略描述。     

自治系统间的安全路由协议GesBGP

域间路由协议BGP的安全性直接影响着互联网路由的可用性.虽然现有很多改进的BGP安全方案可以解决这些安全问题,但这类方案存在很多设计缺陷(例如,路由资源消耗问题).在文中,作者充分考虑了安全BGP的目标并提出了一个Good-Enough-Security BGP(GesBGP)协议.GesBGP在可信计算技术的基础上使用基于身份的密钥(IBS)算法确保BGP协议中身份的真实性.IBS算法的引入有效地消除了传统安全BGP协议中部署集中公钥基础设施(PKI)以及公钥证书的分发和储存问题.此外,GesBGP不单纯依赖于安全密钥算法,基于可信计算技术的BGP可信服务从路由器系统本身防止了系统配置的非法篡改,消除了路由消息的多重累积签名.在提出的优化GesBGP协议中,通过部署BGP的安全规则建立AS之间强制信任关系,进一步消除了BGP通告消息中的累积签名.安全分析和性能评价表明,优化的GesBGP在确保BGP安全性的同时有效地改进了GesBGP的性能.     

分布式控制平面: 并行BGP路由计算自适应负载均衡算法

下一代互联网高度可扩展支持服务动态部署.越来越多延时和抖动敏感服务(如IPTV、VoIP等)的应用对BGP路由计算的性能提出了更高的需求.路由器采用分布式控制平面和实现并行BGP路由计算克服集中控制平面的性能瓶颈是解决这个问题的有效途径.但现有并行BGP路由计算方案因负载均衡性能差影响了系统的并行性能.文中基于Hashing技术提出了并行BGP路由计算自适应负载均衡模型.通过在线统计路由更新设计了自适应负载均衡算法P-AP(Prediction-based Adaptive Partition),自适应地动态调整路由更新在处理节点间的分配.最后设计和实现了原型系统,并利用Route Views 收集的BGP Update数据进行实验.实验结果表明,P-AP算法具有负载均衡性能好、负载调整频率小和路由计算加速性能好等特点,能够有效地提高并行BGP路由计算性能.     

一个基于身份的安全域间路由协议

提出了一个采用基于身份密码体制的安全域间路由协议——基于身份域间路由协议(identity-based inter-domain routing,简称id²r).id²r协议包括密钥管理机制、源AS验证机制LAP(the longest assignment path)和AS_PATH真实性验证机制IDAPV(identity-based aggregate path verification).密钥管理机制采用一个分布式层次密钥分发协议(distributed and hierarchical key issuing,简称DHKI),以解决基于身份密码系统固有的密钥托管问题.LAP的基本思想是,任一发出前缀可达路由通告的自治系统都必须提供该前缀的分配路径及证明,只有提供前缀最长有效分配路径的自治系统才是该前缀的合法源AS.IDAPV采用基于身份的聚合签名体制,生成保证AS_PATH路径属性真实性的路由聚合证明.性能评估结果显示,基于2007年12月7日的RouteViews数据,id2r路由器仅额外消耗1.71Mbytes内存,是S-BGP的38%;更新报文长度明显短于S-BGP;当硬件实现密码算法时,收敛时间几乎接近于BGP.     

城域网路由设计

该文以宝安信息网为例,根据层次性路由、路由冗余、路由对称性、负载平衡、路由稳定性等设计要素,对城域网路由设计的要点进行了论述。     

On the extent of correlation in BGP updates in the Internet and what it tells us about locality of BGP routing events

The Border Gateway Protocol (BGP) is the core routing protocol in the Internet. It maintains reachability information towards IP networks, called prefixes. The adoption of BGP has come at a price: a steady growth in the routing table size (Meng et al., 2005) [1] as well as BGP updates (Cittadini et al., 2010) [2].In this work, we take a different look at BGP updates, by quantifying the amount of prefix correlation in the BGP updates received by different routers in the Internet. We design a method to classify sets of BGP updates, called spikes, into either correlated or non-correlated, by comparing streams of BGP updates from multiple vantage points.Based on publicly available data, we show that a significant fraction of all BGP updates are correlated. Most of these correlated spikes contain updates for a few BGP prefixes only. When studying the topological scope of the correlated spikes, we find that they are relatively global given the limited AS hop distance between most ASs in the Internet, i.e., they propagate at least 2 or 3 AS hops away. Most BGP updates visible from publicly available vantage points are therefore related to small events that propagate across multiple AS hops in the Internet, while a limited fraction of the BGP updates appear in large bursts that stay mostly localised.Our results shed light on a fundamental while often misunderstood aspect of BGP, namely the correlation between BGP updates and how it impacts our beliefs about the share of local and global BGP events in the Internet. Our work differs from the literature in that we try as much as possible to explicitly account in our methodology for the visibility of BGP vantage points, and its implication on the actual claims that can be made from the data.     

Co-Monitor:检测前缀劫持的协作监测机制

在如今的互联网中,网络管理员要想及时地发现前缀劫持事件非常困难.考虑到互联网域间路由系统中存在的自治特性,提出了在多个自治系统之间协作监测前缀的思想,并由此设计了一个实时检测前缀劫持的新方法——Co-Monitor机制.在Co-Monitor中,每个参与者与其他参与者交换自定义的前缀-源自治系统映射信息,同时,利用所学到的前缀-源自治系统映射信息实时地监测本地BGP(border gateway protocol)路由更新.一旦某个参与者发现了不一致就立刻通知相关的参与者,从而可帮助参与者及时、有效地发现前缀劫持.给出了Co-Monitor机制的详细设计,评估了该机制的检测能力,并讨论了几个相关的问题.实验结果表明,只需精心选择60个参与者,就可确保Co-Monitor系统检测前缀劫持的漏检率和误检率都为0%.     

域间路由系统安全技术研究

基于BGP的域间路由系统是互联网的核心基础设施.互联网不仅在数据转发性能方面,而且在拓扑结构、健壮性、安全性等方面也都高度依赖于域间路由系统.然而域间路由系统存在诸多安全缺陷且易遭受攻击,给互联网带来巨大安全隐患.从协议安全缺陷、结构脆弱性和路由设备架构缺陷3个方面分析域间路由系统的安全问题,并对已有的典型域间路由系统安全解决方案的基本原理、特点及适用性进行重点分析.     

SOAST-1：一种综合优化的AS级拓扑推理算法

网络拓扑推理是网络管理系统的基本功能之一，AS级拓扑推理是其重点和难点。本文概括了目前已提出的，基于路径和基于Traceroute的两类AS级拓扑推理算法；针对它们的优缺点，提出了一种综合优化的AS级拓扑推理算法：SOAST-1。SOAST-1以BGP路由表作为路由信息的主要来源，以Traceroute探测作为辅助手段，综合了上述两类AS级拓扑推理算法的优点。算法分析和实际运行结果表明SOAST-1算法能够取得良好效果。     

BGP协议配置及其对路由器性能的影响

BGP协议作为一个域间选路协议,很大程度上影响着Internet路由在延迟时间,有效性上的表现。研究表明,很多网络路由的延迟并非由因特网骨干路由器的BGP的路由决策导致的,而大多由于不恰当的路由器协议参数引发。论文主要阐述了路由器的参数配置如何影响路由数据报的网络带宽占用率,以及为了提高路由器的响应速度,和路由的收敛速度,在路由器的参数配置,策略配置上应该注意的问题。