一种改进的BGP路由源认证机制

资源公钥基础设施(Resource Public Key Infrastructure,RPKI)是当前用于保护互联网码号资源分配真实性的技术.作为一种支撑域间路由安全的体系,它解决了边界网关协议(Border Gateway Protocol,BGP)缺乏路由源认证的问题.然而当前RPKI体系中的依赖方(Relying Party,RP)与路由器数据同步机制可能会导致路由源授权(Route Originate Authorization,ROA)信息缺乏真实性和有效性,并且不断查询缓存列表会带给路由器很大的性能负载.据此,本文提出一种改进的BGP路由源认证方案,发送端路由器实时申请存储在RP中的ROA证书,将其附加到BGP update报文中进行传输,以待对等端路由器申请证书公钥对证书进行验证并完成路由源认证功能.该方案将原来周期性更新路由器缓存列表机制改为路由器实时申请认证机制,有效解决了RP与路由器数据同步可能导致的ROA存在错误的问题,降低路由器查询缓存列表造成的路由器运行负载.此外,本文通过Quagga仿真实验表明该方案具有可行性,并对该方案的适用情形进行了具体分析.     

边界网关协议BGP4路由收敛问题研究进展

边界网关协议BGP4是目前Internet最主要的域问路由协议，其路由正确性和稳定性直接关系到Internet能否正常运行．作为一个域问路由协议，BGP协议必须支持策略路由，允许各个自治系统独立的制定他们的路由策略，而且允许这些策略优先于路径尺度．由于各个自治系统制定策略的角度不同，这些路由策略之间可能存在冲突，从而导致BGP协议发散及路由振荡．此外，BGP协议本身也存在一些内在机制的不完善，并可能导致在某些情况下路由不收敛或收敛速度缓慢．随着网络规模越来越大，拓扑越来越复杂，BGP路由收敛问题日趋严重，目前国内外对此展开了大量的研究，并提出了多种分析模型和解决方案．本文首先全面总结了BGP协议面临的主要的收敛问题，主要包括策略冲突和协议机制造成的不收敛问题和收敛缓慢问题，然后全面介绍了针对这些问题的现有的解决方案，分析比较了这些方案的优点和缺点，最后提出了进一步的研究设想．     

边界路由器BGP协议的脆弱性

深入地研究了骨干路由器上BGP协议的脆弱性,重点分析了CXPST算法的攻击原理,并提出了改进型的震荡路径选取策略,从理论上证明了改进型震荡路径选取策略的更优性.实验测试表明,利用本文设计的BGP协议攻击算法比CXPST算法攻击效果更明显,能够在更短时间内导致运行BGP协议的骨干路由器陷入瘫痪.     

受BGP策略影响的路由稳定性仿真数据分析

BGP是一个基于策略的路由协议，目前，由于BGP策略所引发的路由振荡在Internet中非常普遍，给网络稳定性健壮性都带来了很多负面的影响。网络仿真在路由稳定性研究中充当着相当重要的角色。用网络仿真的方法来研究和分析影响BGP路由稳定性的因素，是一个非常科学实用的研究方法和途径。     

自治系统间的安全路由协议GesBGP

域间路由协议BGP的安全性直接影响着互联网路由的可用性.虽然现有很多改进的BGP安全方案可以解决这些安全问题,但这类方案存在很多设计缺陷(例如,路由资源消耗问题).在文中,作者充分考虑了安全BGP的目标并提出了一个Good-Enough-Security BGP(GesBGP)协议.GesBGP在可信计算技术的基础上使用基于身份的密钥(IBS)算法确保BGP协议中身份的真实性.IBS算法的引入有效地消除了传统安全BGP协议中部署集中公钥基础设施(PKI)以及公钥证书的分发和储存问题.此外,GesBGP不单纯依赖于安全密钥算法,基于可信计算技术的BGP可信服务从路由器系统本身防止了系统配置的非法篡改,消除了路由消息的多重累积签名.在提出的优化GesBGP协议中,通过部署BGP的安全规则建立AS之间强制信任关系,进一步消除了BGP通告消息中的累积签名.安全分析和性能评价表明,优化的GesBGP在确保BGP安全性的同时有效地改进了GesBGP的性能.     

一种带有路由反射的BGP路由预测算法

由于路由反射器的影响,路由器可能只知道非常有限的到达外部目的地的路由的子集,BGP路径选择过程并不会形成一个确定的路径等级顺序,使得路径预测变得非常困难.给出了一种算法,该算法不需要对路由协议动态进行复杂的模拟,只需要静态的路由数据就可以计算出带有路由反射的路由选择结果,并在一个模拟的大型ISP上验证了预测算法的正确性.结果显示配置的改变可以引起路由表的变化.     

基于树结构的分布式BGP路由计算迭代算法

随着互联网规模的迅速增长,下一代核心路由器的研究重点正在向可扩展体系结构的方向发展.分布式路由协议计算是可扩展路由器需要解决的关键问题之一.作为已经在骨干网上广泛部署的重要路由协议,BGP协议的分布式模型及其相关算法的研究是可扩展路由器体系结构中的重要研究课题.本文基于BGP路由计算模型,对“路径选优”这一BGP基本操作的特性进行了深入分析,提出了一种按照树状结构来组织路由计算过程的模型,基于此模型可以分布式计算BGP路由.针对两类典型的可扩展路由器体系结构,本文分别提出了相应的迭代树算法,对算法给出了性能改进的理论分析.通过模拟实验,验证了本文所述模型的实际性能.     

基于RPKI-ASPA改进的BGP路径保护机制

BGP协议明文传输,攻击者易对前缀与路径信息进行伪造,进而引发危害巨大的前缀劫持攻击.其中,AS路径信息保护问题主要涉及两个方面:路径防篡改与非法内容验证.RPKI作为解决路由劫持的重要安全体系,目前其体系下的路径验证解决方案主要包括BGPSec、ASPA与Path-End,其中BGPSec主要解决的是路径篡改问题,A...     

支持域间分布式分组过滤的BGP扩展

可信任是下一代互联网的重要特征.目前,互联网的路由系统只按照分组的目的IP地址转发分组,携带虚假源IP地址的伪造分组也会被传输到目的地,这会在威胁接收方安全的同时,隐藏发送方的真实身份.可信任互联网的路由系统不仅需要能够正确地转发分组,而且能够验证分组来自正确的发送方.基于路由的域间分布式分组过滤是过滤伪造分组的有效方法.提出了BGP的路由选择通知功能扩展,为域间分组过滤提供过滤标准.在扩展的支持下,边界路由器能够鉴别进入本自治系统的分组的真实性,过滤掉伪造其他自治系统地址的分组.模拟结果表明,路由选择通知不会对BGP正常的路由功能产生负面影响,选择合理的路由选择时钟参数,可以在同时取得较小带宽开销和较快收敛速度的情况下,为域间分布式分组过滤提供支持.     

基于身份的BGP路径验证机制

边界网关协议(BGP)因设计缺陷易受到各种类型的攻击。然而,当前BGP路径验证机制中繁重复杂的公钥基础设施(PKI)密钥管理和过量的存储空间开销严重阻碍了BGP安全方案在实际中部署实现。基于此,该文将基于身份的签名算法引入路径验证,提出了一个基于身份的路径验证机制(IDPV)。与当前基于证书的路径验证机制相比,IDPV有效地简化了PKI密钥管理,减少了路由器存储开销,提高了路径验证的性能,促进了BGP安全方案在实际中的应用。     

Sign what you really care about – Secure BGP AS-paths efficiently

The de facto inter-domain routing protocol, Border Gateway Protocol (BGP), plays a critical role in the reliability of the Internet routing system. However, the system may also be devastated by forged BGP routes that are generated by malicious attacks or mis-configurations. This security problem has attracted considerable attention, and although several solutions has been proposed, none of them have been widely deployed due to weaknesses such as high computational cost or potential security vulnerability. This paper proposes Fast Secure BGP (FS-BGP), an efficient mechanism that can secure AS-paths and prevent prefix hijacking by signing critical AS-path segments. We prove that FS-BGP achieves a similar level of security as S-BGP, but with much higher efficiency. Compared with S-BGP, the cost of signing and verification in FS-BGP can be reduced by orders of magnitude, as demonstrated in our experiments using BGP UPDATE data collected from real backbone routers. Indeed, the signing and verification can be accomplished as fast as the most bursty BGP UPDATE arrivals, which implies that FS-BGP will hardly delay the propagation of routing information.     

面向ForCES路由器结构的BGP Graceful Restart技术研究

本文在介绍转发控制分离体系结构和网络高可用性相关技术的基础上,系统地介绍了BGP Graceful Restart扩展技术.在Graceful Restart技术的支持下,路由器能够在控制系统故障重启后,在重新建立网络邻接关系的过程中保持转发平台继续转发数据,从而避免了暂时性的路由振荡.最后,文章重点描述了基于转发控制分离结构IPv6路由器平台环境的BGP Graceful Restart实现方案.     

域间路由协议BGP安全性研究

BGP协议安全是域间路由安全的核心问题之一,其关键问题就是如何确保每个AS发布BGP路由信息的正确性和完效的部署。本文建立了完整的BGP威胁模型,对当前提出的BGP安全机制进行了系统的分析,针对域间路由安全中的关键问题提出了一些新的研究思路。     

Internet域间路由振荡问题分析与研究

边界网关协议(BGP)是Internet域间路由的事实标准,它允许各自治系统独立配置路由选择和播发策略,但这种局部配置可能导致全局策略配置冲突和低效,从而引起路由振荡的问题。文章分析了域间路由振荡问题,并综述了其相应的各种解决方案。     

BGP联盟引起的路由持久振荡的分析

边界路由协议（BGP）是在当今Internet中广泛使用的一种域间路由协议。它的主要功能是在各个自治系统之间交换网络可达信息。然而，作为BGP的扩展机制之一的BGP联盟，在某些特定的配置情况下，会导致永久性的BGP路由振荡。文章通过实例分析了路由反射引起振荡的条件，并给出一些网络设计准则以避免振荡的发生。     

Performance Analysis and Route Optimization: Redistribution between EIGRP,OSPF & BGP Routing Protocols

Routing is the process of data path selection of IP networks. Routers perform path selection on the basis of routing tables stored in their memory. Routing table contains IP routes for route transformation via the best path in the networks. Service providers use different routing protocols in their enterprise networks. These routing-protocols have the limitation of non-convergence in the networks. Route redistribution is the technique which overcomes this limitation. Due to this technique, service providers can get optimized communication with IP networks where multiple routing protocols are being used. This research article focuses on the performance and redistribution of different routing protocols in medium or enterprise IP networks. A simulated network model is established in GNS3 simulator. Five Cisco-7200 series routers and a switch is used in this simulated topology. All these routers are directly connected with each other via serial links. Routing protocols EIGRP, OSPF and BGP are used in this topology and then configured route redistribution on these routers. Different types of data traffic are generated and passed through the network in order to analyze network convergence, throughput and packet delay by the use of software wire shark network analyzer and debug command. EIGRP is better in convergence and through put whereas OSPF is better in packet delay.     

Inter-domain collaborative routing (IDCR): Server selection for optimal client performance

Communication between institutions, or domains, residing in the Internet requires a route to be created between the routing domains. Each of these domains is controlled by a single administrative authority, and is referred to as an autonomous system (AS). Control of routes that move the data in the Internet between ASes is problematic. If an AS requires certain route characteristics beyond the selection of the first hop, the AS must pay for some type of special service from its Internet service provider (ISP). The ISP can provide integrity of the data using end-to-end encryption, but the customer AS still does not have control over the route. In other words, an organization is unable to prevent its data from passing through certain parts of the Internet.We believe that a service allowing an AS to select from alternate routes, on behalf of an organization, could meet this need for route customization. The alternate routes could be created to meet the requirements of the source AS, such as the avoidance of another AS. The service must minimize the incremental cost (in hops) of the alternate routes and maximize the probability that an alternate route will be found.We measure the effectiveness of several algorithms as they are used to select ASes to deploy a solution, called inter-domain collaborative routing (IDCR), that allows “friend” routers to collaboratively determine a route. Key to the performance of IDCR is the placement of “friend” routers in the Internet. We explore the trade-off between placing “friend” routers in various levels of the hierarchy of routers in the Internet.In order to measure the effectiveness of IDCR as the set of ASes deploying the service is varied, we track the probability of routing success and monitor the incremental cost in hops as the service creates alternate routes in several small but representative network models. We evaluate three algorithms used to determine which routers should support the IDCR service. The first, called the degree algorithm, categorizes the routers into a hierarchy, based only on the nodal degree of the router [1]. The second, called the factor algorithm, calculates an IDCR factor for each router and uses that to rank select routers to provide the service. Finally, the greedy algorithm, serving as the baseline, iterates across all candidate routers, selecting routers one at a time based on the performance of the service.     

基于IPV6的BGP协议实现技术

BGP是一个在自治系统间运行的动态路由协议，其功能是在自治系统间交换网络层可达信息。它是骨干路由器必须支持的协议。现在随着IPv6的进一步发展壮大，如何在IPv6下实现BGP协议就成为了急需解决的问题。文中着重于IPv6下BGP的具体实现，主要介绍了其体系结构、模块划分及在实现中的若干关键问题。在系统设计完成以后．利用Sprient的协议测试系统对核心路由器上运行的BGP协议软件进行了一致性和性能测试，其测试结果表明已经很好地完成了设计目标。     

一种基于故障时间的可调域间出口选择算法

在大型Internet服务提供商中,BGP (border gateway protocol)出口路径选择常常采用"热土豆"机制.然而研究表明,该机制具有相当大的局限性以及出口调节的间接性,它容易影响域间路由的健壮性.针对"热土豆"机制的缺点,出现了一些新的BGP出口路径选择机制和算法.然而,这些方法在解决问题时往往忽略网络运行过程中经常出现的IP链路故障或故障持续时间的影响.提出了一种基于故障时间的可调域间出口路径选择算法,该算法能够根据流量工程的目标、路由稳定性等要求进行动态的调整,同时满足路由变化的实时性.模拟实验结果表明,该算法能够有效地在多个目标之间达到平衡.     

一种面向集群路由器环境的分布式BGP协议研究

针对目前互联网核心路由器所遇到的计算能力和存储压力过大等问题,本文设计了一种分布式BGP协议的实现框架。通过使用该技术,符合C-BGP内部通信规范的多个BGP实体将构成一个集合。该集合对外表现成一台单独的完整的BGP路由器,在内部则把邻居会话分别分配到不同的BGP实体上,从而充分利用集群的分布式计算资源和存储资源,以提高协议的性能。