下一代互联网域间路由安全：威胁与对策

基于BGP的域间路由系统是下一代互联网的关键基础设施.本文系统地分析了下一代互联网域间路由系统的脆弱性,建立了下一代互联网域间路由的攻击模型对各种攻击目标和攻击方式进行描述,并从多个层次对BGP-4和BGP4＋的安全能力进行分析与比较.此外,我们给出了路由攻击检测系统方案,该方法可有效实现域间路由系统的安全控制     

域间路由协议BGP安全性研究

BGP协议安全是域间路由安全的核心问题之一,其关键问题就是如何确保每个AS发布BGP路由信息的正确性和完效的部署。本文建立了完整的BGP威胁模型,对当前提出的BGP安全机制进行了系统的分析,针对域间路由安全中的关键问题提出了一些新的研究思路。     

BGP安全研究

BGP是互联网的核心路由协议,互联网的域间选路通过BGP路由信息交换来完成.BGP协议设计存在重大的安全漏洞,容易导致前缀劫持、路由泄漏以及针对互联网的拒绝服务攻击.分析BGP路由传播及路由策略等主要特性,揭示BGP协议的设计缺陷;探讨BGP面临的主要安全威胁,并对路由泄漏进行建模分析和界定特征;概括现有的BGP安全防御机制并指出其不足,进而对各种增强BGP安全的技术和方案进行合理分类和详尽研究,比较其利弊、剖析其优劣;最后,对BGP安全的未来研究趋势进行展望.     

BGP路由策略对路由稳定性的影响分析

在Internet中,域间的路由是由域间路由协议控制的。边界网关协议（BGP）是广泛使用的用于在各个自治系统之间交换网络可达信息的域间路由协议。BGP允许每个自治系统实施各种本地路由策略。用以进行路由的选择和传播。然而,不同的自治系统所制定的本地路由策略可能存在潜在的冲突,从而导致路由的振荡。该文给出了一个BGP的抽象模型,并通过实例分析BGP路由策略对路由稳定性的影响。     

BGP路由协议在不同域间的安全研究

边界网关协议(BGP路由)在路由表中存放的路由数据可以反映互联网规模、运行的状态、及路由体系结构的演化,是互联网基础研究的重要组成部分,域间网络路由通过BGP路由信息交换来完成,但是,BGP协议设计存在一些重要的安全漏洞,容易导致前缀劫持、路由泄漏、以及各类针对互联网的拒绝服务攻击,本文主要分析BGP在不同域间路由传播的主要特性,研究探讨BGP在域间传播面临的主要安全威胁,进而对各种增强BGP域间安全传播的技术和方案进行合理分类和详尽研究,最终对BGP的未来安全研究进行相关分析与展望.     

域间路由系统的安全威胁及其对策

BGP是用于在自治系统之间转发路由信息的协议,它是Internet路由系统中一个非常重要的组成部分.虽然它已被证明是一种非常稳定和有效的协议,但是随着Internet的快速发展与商业化,BGP的一个主要的局限性是它不能处理安全问题,因此经常遭到恶意攻击和人为错误的影响.加之BGP协议自身的脆弱性,使得域间路由系统正面临着非常严峻的安全问题.文中详述了域间路由系统所面临的安全威胁,全面地探讨了协议增强和安全防范机制,并对现有安全方案进行了分析.     

域间路由系统的安全威胁及其对策

BGP是用于在自治系统之间转发路由信息的协议,它是Internet路由系统中一个非常重要的组成部分.虽然它已被证明是一种非常稳定和有效的协议,但是随着Internet的快速发展与商业化,BGP的一个主要的局限性是它不能处理安全问题,因此经常遭到恶意攻击和人为错误的影响.加之BGP协议自身的脆弱性,使得域间路由系统正面临着非常严峻的安全问题.文中详述了域间路由系统所面临的安全威胁,全面地探讨了协议增强和安全防范机制,并对现有安全方案进行了分析.     

互联网域间路由安全研究

围绕基于BGP的域间路由安全,考察已发生的域问路由安全事件,介绍当前域间路由保护机制,分析核心网络路由设施支持能力和潜在的域间路由安全威胁,最后着重指出域问路由安全的研究方向并提出一些新的见解。     

ISPView：一种域间路由可视化监测系统

基于BGP协议构造的域间路由系统是因特网的基础设施,面临多种恶意攻击的威胁且易受人为错误的影响,安全监测是增强域间路由健康和安全的重要手段。本文介绍了域间路由监测的可视化系统ISPView的设计与实现,采用改进的磁场-弹簧的力学模型实现网络拓扑图的动态展示。将算法应用于ISPView中,可以展示不同粒度下的网络拓扑结构,动态显示路由系统的安全状态,实现对域间路由的异常行为的安全监测。     

互联网AS拓扑的结构与连通性研究

基于BGP协议的域间路由系统是Internet的核心基础设施。研究域间路由系统在自治系统AS级的拓扑结构,深入理解并揭示AS拓扑的结构及连通性方面的特性,对于提高互联网路由系统的安全性、健壮性以及性能都具有重要的指导意义。AS之间的商业关系模型是互联网域间路由系统的基本模型之一,是AS拓扑研究的基础。受商业关系的约束,AS拓扑的结构与连通性呈现出了与普通无向图或有向图所不具备的特性:层次结构特性与AS路径的无谷底约束。本文提出了针对AS拓扑的层次划分算法,对AS拓扑的连通性做了深入研究,分析并验证了顶级AS的全互联结构,并进一步阐述了从宏观上对单个AS的连通性的评估方法。     

多层次域间路由安全监测系统的设计与实现

基于边界网关协议(BGP)的域间路由系统已经成为Internet的核心路由设施,但由于BGP本身缺乏安全机制,很容易受到各种人为配置错误或者恶意攻击的影响。我们开发的域间路由监测系统可以从4个层次实现对域间路由的安全监测,分别是Internet、国家网络、特定ISP和特定路由。本文详细介绍了多层次域间路由安全监测系统的组成结构、软件结构、设计思想、实现技术和测试结果。     

BGP路由泄露研究

随着互联网规模的急剧扩大,边界网关协议（BGP,border gateway protocol）在域间路由系统中的作用愈加重要。BGP本身存在很大的安全隐患,导致前缀劫持、AS_PATH劫持及路由泄露攻击事件频频发生,给互联网造成了严峻的安全威胁。目前,国内外针对路由泄露的介绍及安全研究机制相对较少。对 BGP 路由泄露进行了详细研究,介绍了 BGP 内容、路由策略及制定规则,分析了重大路由泄露安全事件及发生路由泄露的6种类型,并比较了当前针对路由泄露的安全机制和检测方法,最后对路由泄露安全防范机制提出了新的展望。     

Avoiding BGP Security Holes by MPLS

1 Introduction A router running BGP can communicate with its neighbors, essentially telling them to which networks the router can efficiently send data.However, a misconfig- ured router, or one that has been compromised by an on- line intruder, can cause chaos by advertising itself as the best path to an unrelated network. That' s because routers using BGP implicitly trust their neighbors on the Internet- - they don' t ask for any sort of digital identi- fication. Using such digital forgery…     

SE-BGP:一种BGP安全机制

BGP(bordergatewayprotocol)协议的安全是Internet路由系统安全的关键.目前已提出多种BGP安全机制,但都未能得到部署.对BGP安全机制的部署问题进行深入分析,利用AS(autonomous system)结构的Rich-Club特性,提出AS联盟的概念,设计了一种BGP安全机制:SE-BGP(security enhanced BGP).SE-BGP采用基于AS联盟的安全体系结构,使用一种具有分布式认证中心的新的信任模型——TTM(translato rtrust model).设计了基于TTM模型的认证算法,给出了基于现有BGP协议的扩充实现方法.与已有的安全机制相比,SE-BGP在保证安全能力的同时,所需的证书规模大约为原有机制的1%,具有良好的可扩展性.     

用MPLS避免BGP路由黑洞

BGP是唯一一个用来处理像因特网大小的网络的协议,也是唯一能够妥善处理好多路连接的协议。但由于该技术存在普遍的安全漏洞,研发和使用更安全的BGP又需要极高的代价,所以本文探讨了一种用MPLS协议避免BGP路由黑洞的方法。     

基于攻击树的边界网关协议安全测试

基于BGP协议构造的域间路由系统是因特网的基础设施。域间路由系统面临多种恶意攻击的成胁且易受人为错误的影响。本文提出BGP攻击树（Attack-Tree）模型,并应用该模型构造域间路由系统的安全性测试套件,不但能够全面地对BGP进行安全性测试,而且便于测试案例的生成和系统实现。测试过程就是对树的标记过程,本文为此提出了着
色算法。利用生成的测试案例,对BGP目标系统进行安全测试实验。结果表明,这种方法能有效地发现BGP潜在的安全漏洞,为ISP运营商增强路由系统安全提供依据。