首页 | 本学科首页   官方微博 | 高级检索  
相似文献
 共查询到18条相似文献,搜索用时 234 毫秒
1.
防范前缀劫持的互联网注册机制   总被引:2,自引:2,他引:0  
刘欣  朱培栋  彭宇行 《软件学报》2009,20(3):620-629
借鉴IRR(Internet routing registry)机制中注册路由策略的思想,提出了前缀策略(prefix policy)的概念,并由此设计了一种防范前缀劫持的方法—— E-IRR 机制.在E-IRR 中,参与者发布自己的前缀策略,同时利用其他自治系统已注册的前缀策略验证BGP路由,从而防范前缀劫持.提出了维护前缀策略有效性措施,评估了E-IRR机制的安全能力与性能.方法的主要优势是,其在前缀劫持的防范能力与安全机制的实际部署需求之间达到了一个较好平衡,可增量式地部署,并不需要对BGP协议进行任何安全扩展.现有方案都不同时具备这些特性,它们使得E-IRR有望实际可行地解决前缀劫持问题.  相似文献   

2.
由于BGP协议的脆弱性,BGP前缀劫持长期以来一直对互联网产生着严重的安全威胁。检测和分析大规模的前缀劫持事件是一件十分必要但又充满挑战的工作。以2019年发生的大规模的欧洲路由泄露导致路由劫持事件为案例,提出了一种基于公共BGP数据的有效的检测和分析方法。分析结果包括如下几条:(1)这次劫持的“攻击者”为AS21217,AS4134是劫持路由传播过程中的关键点; (2)此次劫持事件导致了严重的多源AS冲突和AS-PATH路径膨胀问题;(3)此次事件的劫持类型包括劫持前缀并篡改AS路径,以及劫持子前缀并篡改AS路径2种类型;(4)检测到311个AS被感染,长度为4的感染链数量最多,且分属于3 895个AS的28 118个前缀IP段成为受害者,同时实现了一个可视化系统来展示劫持发生时的全球网络态势。这些研究结果一方面与Oracle等公司公布的结果相互印证,另一方面又对此次网络事件进行了更加详尽的补充和深入挖掘。  相似文献   

3.
自治系统间的IP前缀劫持是互联网安全的重大威胁.目前基于非对称密码学的前缀劫持防范机制都无可避免地面临复杂的公钥证书存储管理问题或者密钥托管问题,并且在前缀源自治系统在线验证时计算量太大,难以在实际中布署实施.本文提出的这种防范机制,采用公钥自证明签名方案进行前缀源自治系统的验证,无需公钥证书和密钥托管,可从多方面提高防范机制的性能,有望促进IP前缀劫持防范机制的实际布署实施.  相似文献   

4.
刘欣  刘华富 《微机发展》2015,(2):131-134,139
前缀劫持攻击是互联网BGP域间路由系统中的首要安全威胁,至今还无有效解决该问题的方案。以前缀劫持攻击为研究对象,分析了前缀劫持攻击产生的具体原因,展现了该攻击在自治系统内部以及在自治系统之间的表现形式与影响;从前缀劫持攻击的危害程度,分析并划分了前缀劫持攻击的基本形态,讨论了各种前缀劫持攻击的基本特性。分析结果表明,子前缀劫持的危害最严重,确切前缀劫持的影响最复杂,而父前缀劫持最易被发现且危害相对较小。  相似文献   

5.
前缀劫持攻击是互联网BGP域间路由系统中的首要安全威胁,至今还无有效解决该问题的方案。以前缀劫持攻击为研究对象,分析了前缀劫持攻击产生的具体原因,展现了该攻击在自治系统内部以及在自治系统之间的表现形式与影响;从前缀劫持攻击的危害程度,分析并划分了前缀劫持攻击的基本形态,讨论了各种前缀劫持攻击的基本特性。分析结果表明,子前缀劫持的危害最严重,确切前缀劫持的影响最复杂,而父前缀劫持最易被发现且危害相对较小。  相似文献   

6.
针对当前互联网上发生的BGP前缀劫持事件,分析BGP前缀劫持检测系统的通信方式,为解决BGP前缀劫持发生后产生的通信困局提供方法支撑,从而为分布式的BGP前缀劫持检测系统消息通告设计与实现提供参考.文章以当前BGP前缀劫持检测系统为背景,基于前缀劫持中受害者AS、感染者AS和未受感染者AS的通信关系,提出几种旨在打破通信困局的启发式消息宣告机制并对其各种机制的特点进行了分析.  相似文献   

7.
Co-Monitor:检测前缀劫持的协作监测机制   总被引:1,自引:0,他引:1  
刘欣  朱培栋  彭宇行 《软件学报》2010,21(10):2584-2598
在如今的互联网中,网络管理员要想及时地发现前缀劫持事件非常困难.考虑到互联网域间路由系统中存在的自治特性,提出了在多个自治系统之间协作监测前缀的思想,并由此设计了一个实时检测前缀劫持的新方法——Co-Monitor机制.在Co-Monitor中,每个参与者与其他参与者交换自定义的前缀-源自治系统映射信息,同时,利用所学到的前缀-源自治系统映射信息实时地监测本地BGP(border gateway protocol)路由更新.一旦某个参与者发现了不一致就立刻通知相关的参与者,从而可帮助参与者及时、有效地发现前缀劫持.给出了Co-Monitor机制的详细设计,评估了该机制的检测能力,并讨论了几个相关的问题.实验结果表明,只需精心选择60个参与者,就可确保Co-Monitor系统检测前缀劫持的漏检率和误检率都为0%.  相似文献   

8.
自治系统的网络管理员要想及时地发现前缀劫持非常困难。本文分析了现有方案的不足,讨论了前缀劫持问题困难的根源。考虑到互联网的自治特性,本文提出了一个基于协作的前缀劫持检测方案。该方案支持多个自治系统协作地监测BGP路由,这不仅可分摊系统的监测开销、防止泄露私有的BGP路由信息,而且还可极大地扩展单个自治系统的可监测范围,能有效地帮助网络管理员检测关于自身前缀的劫持事件。  相似文献   

9.
为加强IP地址、自治域号等国际互联网码号资源的管理和控制,国际互联网工程任务组提出了互联网码号资源公钥基础设施,近年来有效解决路由劫持、路径篡改等问题,为保证域间路由稳定运行发挥了巨大作用.然而,它在互联网码号资源管理模式中存在的安全问题也逐渐突显,如单点故障、资源分配异常、证书撤销数据同步不及时造成验证失效等.本文针...  相似文献   

10.
统计模型检测是一种高效的验证技术,常用于复杂的随机系统验证,如分布式算法等。而在超长路径上对性质进行验证时,其验证效率会急剧降低。为解决这个问题,这里提出一种启发式的统计模型检测算法。在对路径进行验证时,我们会查找帮助剪枝的最短前缀。并在后续抽样时,利用前缀信息直接判定路径是否满足给定性质,避免进入费时的路径验证阶段。在与PRISM的比较中,它的路径验证次数相对更少且平均抽样路径长度更短。因此使统计模型检测技术可应用于超长路径上的性质验证。  相似文献   

11.
随着RPKI覆盖的域间网络的范围不断扩大,RPKI在实际部署中的数据同步一致性的问题,运维失误和权威机构权力滥用的风险已成为影响RPKI全面部署的主要障碍.本文提出了一种基于事实所有权的RPKI缓存更新冲突检测机制.该机制利用反向RTR协议与RPKI数据层级分发架构进行事实路由起源信息的采集与同步,并通过比较事实路由起...  相似文献   

12.
数字签名在应对车联网中数据窜改威胁时扮演着重要作用,然而现有的签名方案面临着灵活性、效率、隐私保护、用户密钥管理等诸多问题,难以在车联网中释放潜力。针对这些问题,提出了一个面向车联网的直接可撤销外包属性签名方案。该方案使用了基于线性秘密分享的签名策略机制,赋予车联网用户在签名生成和验证方面的灵活性和隐私保护。此外,设计了一种高效的用户密钥直接撤销机制,以提供对用户的实时撤权。所提方案还构造了一种外包验证方法,从而显著降低了验证者的计算和存储开销。安全性分析结果表明,所提方案在选择消息攻击下具有不可伪造性,并且能够抵抗合谋攻击。实验结果表明了该方案相较于其他方案的优势及其在车联网中的实用性。  相似文献   

13.
Previous research in interdomain routing security has often focused on prefix hijacking. However, several prefix interception events have happened lately, which poses a new security challenge to the interdomain routing system. Compared to prefix hijacking, prefix interception is much harder to detect, as it avoids black hole by forwarding the hijacked traffic back to the victim. In this paper, we present a novel method to detect prefix interception. Our approach exploits a key observation about prefix interception: during a prefix interception event, the attacker detours the intercepted traffic through its network, which turns it into a new important “transit point” for access to the victim. By collecting data plane information to detect the emerging “transit point” and using control plane information to verify it, our scheme can identify prefix interception in real time. The results of Internet experiments and Internet-scale simulations show that our method is accurate with low false alarm rate (0.28%) and false negative rate (2.26%).  相似文献   

14.
RPKI作为解决路由劫持等网络安全问题的重要网络架构,其传输结构主要有两方面构成:供给侧和依赖方的数据同步,以及依赖方和需求侧的数据传输.目前国内外研究内容主要集中在供给侧和依赖方的数据同步环节.依赖方和需求侧的数据传输仍处于初步探究状态.本文针对当前RPKI理论架构难以适应实际部署需求的缺陷,设计并利用JSON化的RPKI缓存数据,实现了一种基于HTTPS的RPKI缓存更新架构.实验结果表明,该分发架构传输稳定.与当前RPKI理论架构相比能够适应多层传输和大量数据传输的需要.  相似文献   

15.
The border gateway protocol (BGP) has become the indispensible infrastructure of the Internet as a typical inter-domain routing protocol. However, it is vulnerable to misconfigurations and malicious attacks since BGP does not provide enough authentication mechanism to the route advertisement. As a result, it has brought about many security incidents with huge economic losses. Exiting solutions to the routing security problem such as S-BGP, So-BGP, Ps-BGP, and RPKI, are based on the Public Key Infrastructure and face a high security risk from the centralized structure. In this paper, we propose the decentralized blockchain-based route registration framework-decentralized route registration system based on blockchain (DRRS-BC). In DRRS-BC, we produce a global transaction ledge by the information of address prefixes and autonomous system numbers between multiple organizations and ASs, which is maintained by all blockchain nodes and further used for authentication. By applying blockchain, DRRS-BC perfectly solves the problems of identity authentication, behavior authentication as well as the promotion and deployment problem rather than depending on the authentication center. Moreover, it resists to prefix and subprefix hijacking attacks and meets the performance and security requirements of route registration.   相似文献   

16.
资源公钥基础设施(Resource Public Key Infrastructure,RPKI)是当前用于保护互联网码号资源分配真实性的技术.作为一种支撑域间路由安全的体系,它解决了边界网关协议(Border Gateway Protocol,BGP)缺乏路由源认证的问题.然而当前RPKI体系中的依赖方(Relying Party,RP)与路由器数据同步机制可能会导致路由源授权(Route Originate Authorization,ROA)信息缺乏真实性和有效性,并且不断查询缓存列表会带给路由器很大的性能负载.据此,本文提出一种改进的BGP路由源认证方案,发送端路由器实时申请存储在RP中的ROA证书,将其附加到BGP update报文中进行传输,以待对等端路由器申请证书公钥对证书进行验证并完成路由源认证功能.该方案将原来周期性更新路由器缓存列表机制改为路由器实时申请认证机制,有效解决了RP与路由器数据同步可能导致的ROA存在错误的问题,降低路由器查询缓存列表造成的路由器运行负载.此外,本文通过Quagga仿真实验表明该方案具有可行性,并对该方案的适用情形进行了具体分析.  相似文献   

17.
卢宁宁  张宏科 《软件学报》2013,24(6):1274-1294
为了解决前缀劫持、路由伪造和源地址欺骗问题,设计了一种路由体系——基于责任域的安全路由体系(accountability realm based secure routing architecture,简称Arbra)。首先,提出了自治系统到责任域的映射方法和基于责任域的两级路由结构,责任域是具有独立管理主体的网络,也是 Arbra 网络拓扑的基本元素,因为它为内部用户的网络行为负责,所以称做责任域;其次,建立了基于责任域的路由体系设计框架,主要包括混合寻址方案、核心路由协议、标签映射协议、分组转发流程和公钥管理机制等研究内容;最后,比较了 Arbra 和其他著名路由结构(IPv4/v6,LISP,AIP)的异同,分析了Arbra的安全性、可扩展性、通信性能和部署代价。研究结果表明:(1) Arbra具有的分布式信任模型,不仅有利于抵御前缀劫持、路由伪造和源地址欺骗攻击,而且还给许多其他网络安全问题的解决奠定了基础;(2) Arbra具有优良的可扩展性,路由表的规模较小;(3) Arbra具有合理的通信性能和部署代价。该研究成果可以看做是以网络安全为视角对未来信息网络体系结构的有益探索。  相似文献   

18.
In recent years, there are substantial demands to reduce packet loss on the Internet. Among the proposed schemes, finding backup paths in advance is considered to be an effective method to reduce the reaction time. Very commonly, a backup path is chosen to be the most disjoint path from the primary path, or on the network level, a backup path is computed for each link (e.g., IPFRR). The validity of this straightforward choice is based on two things. The first thing is all the links may have the equal likelihood to fail; the second thing is, facing the high protection requirement today, it just looks weird to have links not protected or to share links between the primary and backup paths. Nevertheless, many studies have confirmed that the individual vulnerability of the links on the Internet is far from being equal. In addition, we have observed that full protection schemes (In this paper, full protection schemes means schemes (1) in which backup path is a most disjoint path from the primary path; or (2) which compute backup path for each link.) may introduce high cost (e.g., computation).In this paper, we argue that such approaches may not be cost-efficient and therefore propose a novel critical protection scheme based on link failure characteristics. Firstly, we analyze the link failure characteristics based on real world traces of CERNET2 (China Education and Research NETwork 2). The analysis results clearly show that the failure probabilities of the links in CERNET2 backbone are heavy-tailed, i.e., a small set of links causing most of the failures. Based on this observation, we find out two key parameters which strongly impact link criticality and propose a critical protection scheme for both single link failure situation and multi-link failure situation. We carefully analyze the implementation details and overhead for backup path schemes of the Internet today; the problem is formulated as an optimization problem to guarantee the routing performance and minimize the backup cost. This cost is special as it involves computational overhead. Based on this, we propose a novel Critical Protection Algorithm which is fast itself for both the single link failure and the multi-link failure versions. A comprehensive set of evaluations with randomly generated topologies, real world topologies and the real traces from CERNET2, shows that our scheme gains significant achievement over full protection in both single link failure situation and multi-link failure situation. It costs only about 30–60% of the full protection cost when the network relative availability increment is 90% of the full protection scheme.  相似文献   

设为首页 | 免责声明 | 关于勤云 | 加入收藏

Copyright©北京勤云科技发展有限公司  京ICP备09084417号