基于稳定度的可信AS-IP宣告关系构建方法

互联网自治系统(AS)以在路由系统中宣告网络前缀的方式宣告IP地址块的所有权。当一个自治系统宣告了不属于它的网络前缀时,就会导致前缀劫持的发生。由于边界网关协议(BGP)本身无法验证AS和IP前缀之间的宣告关系是否真实,导致对前缀劫持的检测和判定异常困难。本文提出并实现一种基于稳定度的,构建可信AS-IP宣告关系的方法,并用于检测和判定前缀劫持。通过构建AS和IP前缀宣告关系的时间序列,计算该宣告关系在时间序列上的稳定度数值,并用于评估AS和IP前缀宣告关系的可信度。本文运用该方法对历史上发生过的大规模异常事件进行检测,实验表明,该方法能构造准确的AS和IP前缀宣告关系,并可有效地检测和判定前缀劫持事件。     

域间路由协议前缀劫持行为模拟与分析

基于BGP的域间路由系统是Internet的核心设施,是保证整个网络互联及正常运行的关键。然而,由于BGP协议本身缺乏必要的安全机制而极易受到攻击。例如,前缀劫持就是针对BGP缺陷而实施的一种较难防范的攻击。近年来,已发生多起BGP前缀劫持事件,造成了严重危害。本文基于GT-NetS软件构建了一个大规模域间路由系统模拟环境,并在该模拟环境中进行了多次BGP前缀劫持测试,结合测试结果分析对影响BGP前缀劫持攻击范围的有关因素进行了研究。测试表明,BGP前缀劫持造成的受害范围与攻击发起路由器所属AS的层次和度数有着直接的关系。     

BGP前缀劫持下的通信研究与实现

针对当前互联网上发生的BGP前缀劫持事件,分析BGP前缀劫持检测系统的通信方式,为解决BGP前缀劫持发生后产生的通信困局提供方法支撑,从而为分布式的BGP前缀劫持检测系统消息通告设计与实现提供参考.文章以当前BGP前缀劫持检测系统为背景,基于前缀劫持中受害者AS、感染者AS和未受感染者AS的通信关系,提出几种旨在打破通信困局的启发式消息宣告机制并对其各种机制的特点进行了分析.     

基于RPKI-ASPA改进的BGP路径保护机制

BGP协议明文传输,攻击者易对前缀与路径信息进行伪造,进而引发危害巨大的前缀劫持攻击.其中,AS路径信息保护问题主要涉及两个方面:路径防篡改与非法内容验证.RPKI作为解决路由劫持的重要安全体系,目前其体系下的路径验证解决方案主要包括BGPSec、ASPA与Path-End,其中BGPSec主要解决的是路径篡改问题,A...     

BGP路由泄露研究

随着互联网规模的急剧扩大,边界网关协议（BGP,border gateway protocol）在域间路由系统中的作用愈加重要。BGP本身存在很大的安全隐患,导致前缀劫持、AS_PATH劫持及路由泄露攻击事件频频发生,给互联网造成了严峻的安全威胁。目前,国内外针对路由泄露的介绍及安全研究机制相对较少。对 BGP 路由泄露进行了详细研究,介绍了 BGP 内容、路由策略及制定规则,分析了重大路由泄露安全事件及发生路由泄露的6种类型,并比较了当前针对路由泄露的安全机制和检测方法,最后对路由泄露安全防范机制提出了新的展望。     

基于前缀劫持及路由更改对BGP产生的影响

在网络中，由于配置错误或恶意路由宣告而导致的BGP前缀劫持事件，给当今的互联网带来了极大的麻烦。外包缓解措施是最近提出的一种前缀劫持缓解修复的方法。它通过将把数据同步出来传送给路由器，再提取ROA当中的信息，更新证书后，替换Update报文中的内容再进行传递的机制方法，来缓解源AS号劫持事件，使机制重定向位置以此吸引大量网络流量。吸引和重定向行为的AS号对于提高修复能力非常有效。因此，如何衡量不同AS号的缓解效果并有效选择缓解因子是外包缓解措施的关键问题。为了从网络整体来均衡能耗，延长网络生存时间，采取了Cluster路由算法改进的方法，对不同的簇树中节点关系的选择，由不同节点的能量来避免路由发生回路和绕路等现象，从而更改Cluster-list id进行严格的路由选择，实现最优路由产生。     

基于协作的互联网前缀劫持检测方案研究

自治系统的网络管理员要想及时地发现前缀劫持非常困难。本文分析了现有方案的不足,讨论了前缀劫持问题困难的根源。考虑到互联网的自治特性,本文提出了一个基于协作的前缀劫持检测方案。该方案支持多个自治系统协作地监测BGP路由,这不仅可分摊系统的监测开销、防止泄露私有的BGP路由信息,而且还可极大地扩展单个自治系统的可监测范围,能有效地帮助网络管理员检测关于自身前缀的劫持事件。     

防范路由劫持的协同监测方法

路由劫持是当前Internet域间路由系统（BGP）所面临的最严重的安全威胁之一,但目前仍缺乏有效的防护手段.将自治系统（autonomous system,简称AS）基于BGP路由信息自我发现路由劫持的概率定义为对路由劫持的免疫能力,对该免疫能力进行了建模,并给出了AS自我免疫的充分条件和必要条件以及该免疫能力的上界.实验结果发现,80%以上的AS对路由劫持完全没有免疫能力,仅不超过0.26%的AS具有大于85%的免疫能力.对AS免疫过程的进一步分析,揭示了造成AS免疫能力低下的提供商栅栏现象——提供商优先选择客户路由,从而阻止了劫持路由向被劫持者的传播.为了克服提供商栅栏,提高AS的免疫能力,设计了协同监测机制,并提出了一种计算复杂度较低的启发式协同邻居选取策略.该机制无需修改BGP协议,可增量部署.实验结果表明,仅与25个自治系统进行协同,就可以将对路由劫持的免疫能力提高到高于95%的水平.     

时空尺度下域间路由事件的定位方法

针对现有的定位方法无法在时间演化尺度下对域间路由事件进行有效定位的问题,提出了一种时空尺度下的域间路由事件定位方法。从BGP路由表中提取事件在不同时刻下AS级网络的可达性特征和连通性特征,在此基础上计算相邻时刻的时序距离,并将距离最大者推断为事件触发源所在的时间窗口;对该窗口内的AS级网络进行遍历,将具有最高召回率和精度的网络元素识别为事件的触发源。分别以网络瘫痪事件和前缀劫持事件进行实验验证,结果表明,该方法能够准确推断不同类型域间路由事件的起始时间和触发源。     

互联网自治系统的前缀信誉模型

BGP面临的前缀劫持攻击会严重破坏互联网网络的可靠性。引入信任技术,构建自治系统的前缀信誉模型(Autonomous System Prefix Reputation Model,简写为"AS-PRM")来评估自治系统发起真实前缀可达路由通告行为的信任度。从而,自治系统可选择相对前缀信誉好的自治系统发起的前缀可达路由通告,来抑制前缀劫持攻击的发生。AS-PRM模型根据多个前缀劫持攻击检测系统的检测结果(考虑了误报、漏报率),基于beta信誉系统,计算自治系统的前缀信誉,并遵循"慢升快降"原则,更新前缀信誉。最后,仿真实验验证了模型的有效性。     

BGP安全研究

BGP是互联网的核心路由协议,互联网的域间选路通过BGP路由信息交换来完成.BGP协议设计存在重大的安全漏洞,容易导致前缀劫持、路由泄漏以及针对互联网的拒绝服务攻击.分析BGP路由传播及路由策略等主要特性,揭示BGP协议的设计缺陷;探讨BGP面临的主要安全威胁,并对路由泄漏进行建模分析和界定特征;概括现有的BGP安全防御机制并指出其不足,进而对各种增强BGP安全的技术和方案进行合理分类和详尽研究,比较其利弊、剖析其优劣;最后,对BGP安全的未来研究趋势进行展望.     

一个基于身份的安全域间路由协议

提出了一个采用基于身份密码体制的安全域间路由协议——基于身份域间路由协议(identity-based inter-domain routing,简称id²r).id²r协议包括密钥管理机制、源AS验证机制LAP(the longest assignment path)和AS_PATH真实性验证机制IDAPV(identity-based aggregate path verification).密钥管理机制采用一个分布式层次密钥分发协议(distributed and hierarchical key issuing,简称DHKI),以解决基于身份密码系统固有的密钥托管问题.LAP的基本思想是,任一发出前缀可达路由通告的自治系统都必须提供该前缀的分配路径及证明,只有提供前缀最长有效分配路径的自治系统才是该前缀的合法源AS.IDAPV采用基于身份的聚合签名体制,生成保证AS_PATH路径属性真实性的路由聚合证明.性能评估结果显示,基于2007年12月7日的RouteViews数据,id2r路由器仅额外消耗1.71Mbytes内存,是S-BGP的38%;更新报文长度明显短于S-BGP;当硬件实现密码算法时,收敛时间几乎接近于BGP.     

DRRS-BC: Decentralized Routing Registration System Based on Blockchain

The border gateway protocol (BGP) has become the indispensible infrastructure of the Internet as a typical inter-domain routing protocol. However, it is vulnerable to misconfigurations and malicious attacks since BGP does not provide enough authentication mechanism to the route advertisement. As a result, it has brought about many security incidents with huge economic losses. Exiting solutions to the routing security problem such as S-BGP, So-BGP, Ps-BGP, and RPKI, are based on the Public Key Infrastructure and face a high security risk from the centralized structure. In this paper, we propose the decentralized blockchain-based route registration framework-decentralized route registration system based on blockchain (DRRS-BC). In DRRS-BC, we produce a global transaction ledge by the information of address prefixes and autonomous system numbers between multiple organizations and ASs, which is maintained by all blockchain nodes and further used for authentication. By applying blockchain, DRRS-BC perfectly solves the problems of identity authentication, behavior authentication as well as the promotion and deployment problem rather than depending on the authentication center. Moreover, it resists to prefix and subprefix hijacking attacks and meets the performance and security requirements of route registration.      

基于IPv6的BGP4+路由策略的研究与实现

边界网关协议(border gateway protocol,BGP)用于在自治系统之间交换路由信息,其目的是在自治系统之间选择最好的路由,BGP为了控制路由的传播为路由附带了大量的属性信息,这些属性信息和路由策略结合起来,在自治系统之间选取更好的路由.介绍了边界网关协议的基础上,重点分析了IPv6下BGP4 路由策略的实现.