基于协同的域间路由路径真实性验证机制.ppt

信息工程大学信息工程学院 报告 内容 基于协同的域间路由路径 真实性验证机制 信息工程大学信息工程学院 报告 内容 基于 BGP 的域间路由系统是互联网的关键基 础设施。互联网不仅在数据转发性能方面，而 且在拓扑结构、健壮性、安全性等方面也都高 度依赖于域间路由系统。 BGP: Border Gateway Protocol ，边界网关协议 域间路由系统： inter-domain routing system 自治系统： Autonomous System, AS 背景介绍 信息工程大学信息工程学院 报告 内容 ◇对互联网健康稳定具有直接且重要影响 域间路由系统是不同自治域之间实现互连互通 的纽带。一旦域间路由系统遭到破坏，整个互联网 将陷入瘫痪。 背景介绍 信息工程大学信息工程学院 报告 内容 ◇对互联网健康稳定具有直接且重要影响 ◇攻击的手段越来越复杂，危害也越来越大 近年来，域间路由系统安全技术的研究取得了 一定进展，但是相关安全事件仍时有发生，且攻击 手段越来越复杂，造成的损失也越来越严重。 背景介绍 信息工程大学信息工程学院 报告 内容 背景介绍 域间路由路径真实性验证 基于协同的域间路由路径真实性验证机制 DAIR 域间路由系统协同监测激励 基于博弈的域间路由协同监测激励策略 GTIS 信息工程大学信息工程学院 报告 内容 BGP 没有提供任何验证路径 (AS_PATH) 真实性的机 制，发起路径伪造攻击较为容易，且只要网络连接性 没有被破坏，就难以发现受到此类攻击。 已有的 BGP 安全方案不能有效解决伪造路径类型攻 击的问题。 →一、问题描述 基于协同的域间路由路径真实性验证机制 验证路径真实性，即是验证路径所含邻接的真实性， 而验证邻接真实性的途径主要有两种： 查询本地路由 信息数据库 和 询问对等节点 。 信息工程大学信息工程学院 报告 内容 UPDATE Packets 路径验证 P F AS →二、相关研究 不足： 由于本地路由信息库存在更新不及时、信息 不全面等局限性，若仅利用其来验证路径真实性，误 报率较高。 ①通过查询本地路由信息库验证邻接真实性的过程： AS 直接查询本地路由信 息库，验证邻接的真实性 基于协同的域间路由路径真实性验证机制 信息工程大学信息工程学院 报告 内容 →二、相关研究 x y z 不足： 若路径中的每条邻接都通过查询对等节点来 判断其真实性，验证的效率将很低。 问：邻接 link yz 是否存在？ 答：邻接 link yz 存在 查找（邻居关系表） ②通过询问对等节点验证某邻接真实性的过程： 基于协同的域间路由路径真实性验证机制 信息工程大学信息工程学院 报告 内容 基本思想： 参与节点首先通过查询位于本地的全局 邻接数据库验证邻接的真实性，若有邻接不存在，则 向关联对等节点发起询问请求，查询邻接的存在性， 从而验证更新报文 AS_PATH 属性的真实性。 →三、 DAIR 基本思想 借鉴分布式安全验证的思想，提出一种 基于协同查 询的域间路由路径真实性验证机制 DAIR 。 基于协同的域间路由路径真实性验证机制 信息工程大学信息工程学院 报告 内容 R R R R R R R AS 1 AS 2 AS 3 DAIR(query) R R E BGP database U p l o a d / D o w n l o a d l i n k s i n f o r m a t i o n DAIR Server BGP speaker DAIR 组成结构 →四、 DAIR 组成结构 AS 自身的邻接信息由 AS 自行维护并定期通过 DAIR Server 向 E BGP database 提交， E BGP database 利用这些信息生成全局 E BGP 信息，并保存于数据库。 DAIR Server 也需要定期从 E BGP 数 据 库 下 载 最 新 的 全 局 E BGP 信 息 ， 以 为 BGP 路 由 器 验 证 AS_PATH 的真实性提供可靠的邻接信息。 DAIR Server ：存储两类信息， AS 自身的邻接信息和从全 局数据库下载得到的 E BGP 信息； E BGP database ：集中式保存域间路由系统的所有连接信息； 基于协同的域间路由路径真实性验证机制 信息工程大学信息工程学院 报告 内容 针对 DAIR 节点间、 DAIR 节点与全局数据库的 信息 交互效率和安全 问题，提出三个具体策略： 邻接注册 策略 ARP 、 邻接真实性验证策略 ATVP 和 查询限制策略 QRP 。 邻接注册策略 ARP ，用于验证各 DAIR 节点上传的 邻接信息是否有效的策略。 邻接真实性验证策略 ATVP ： DAIR 节点验证