（计算机科学与技术专业论文）bgp安全机制的研究与设计.pdf

国防科学技术大学研究生院学位论文 摘要 边界网关协议( b g p ) 是i n t e r n e t 的关键组成部件，但其缺少必要的安全机制，因 而安全能力非常脆弱。目前，b g p 安全增强机制的研究正是路由系统安全研究领域的熟 点课题。 在众多的8 g p 安全增强方案中，s e c u r eb g p ( s b g p ) 是最为全面和具体的，但同时 也是最为复杂的，该方案涉及到公钥密码技术、p k i 、i p s e c 、s s l 、协议属性修改等方面， 有极高的技术含量，本课题的研究是以s b g p 为参考进行，对s b g p 进行了全面深入的 研究和实现，并设计了新的安全增强方案s s b g p 。 本文全面深入地研究了b g p 协议的脆弱性，从各卜层面、规模来分析b g p 面临的 安全威胁和可能受到的攻击方式，并构建了相应的安全威胁模型；研究了多种安全增强 机制，并分析了各种方案的优缺点；对s b g p 实现的安全增强机制进行了深入全面细致 的研究，s b g p 的体系结构极其复杂，涉及众多安全要素，本工作阅读了大量的文档和 s b g p 的实现代码；通过调试大量的代码，在l i n u x 上实现了s b g p 平台的各个模块， 并实现了可进行穿透性实验的平台；在实验平台上进行穿透性实验，以验证s b g p 的安 全增强机制的效果；根据获得的数据，评估s b g p 给存储、计算以及通信带宽带来的开 销。 s b g p 虽然能提供强大的安全能力，但其安全体系结构极其复杂，需要严格的分等 级的公钥基础设施的支持，难于在i n t e r n e t 上实际部署开来。本文在s b g p 的基础上， 提出了一种简化的s b g p 安全方案s s b g p ( s i m p l f i e ds b g p ) ，其主要特点是采用一个 简化的呈两级层次结构的p k i 安全认证体系，以求在安全能力和实用性之间取得折中， 以方便在实际环境中部署。分析证明本方案切实可行，能有效提高b g p 安全能力和实用 性。 关键词：s b g pp s s b g p 域问路由安全 安全增强机制 国防科学技术大学研究生院学位论文 a b s t r a c t a sac t i c a l c o m i m n e n to ft h el n i e 丌 e tr o u t i n gi n t 豳佃l c t i l r e ，t h eb o r d 盯o a t e w a y p r d t o c o l g p ) i sh i 曲l yv 山n e m b l et oav a r i e 母o fa t k s c 附e n uy ，t h er e s e a r c h e s 曲o u i s e c u r i t ym e c h a i l i & mo f b g p h a v e9 0 t 掣e 砒a n e n t i o n s ，锄da f cb e i l l gh o tr e s e a r c hp o i n t s s - b g pi so n eo fm ee a r e s ts e c t yp m p o s a l s ，a n dp r o b a b i yt h em o s tc o n c r e t ea i l d c o m p l i c 咖do n e i tp r o v i d e ss o m es e c u r i t ye x t e n s i o nt ob g p ，a 1 1 dr e f h st op u b l i ck e y c 掣p t o l o g y ，p k i ，i p s e c ，s s la 1 1 dp r o t o c o la n 曲u t em o d 访c 鲥o n ，叩ds oo n i i lt h i sp a p e lw e d oa no v e f a l la r l dp r o f o u n dr c s e a r c ho ns - b g p ，a f l dd e s i g nan e ws e c u r h ye 1 1 1 1 柚c e m e n t s c b e m e s s b g p a 矗e ra c o m p r e h e n s i v es t u d yo f t h es e c u n t ym e n a c e ，s e c u r i t yc 印a b i l i t y a n d 曲n g i b i l i t yo f b g p w eb u i l das c c u r i t ym e c em o d e l a n dt 1 1 e r i ，、v es t u d ys e v e r a is c c u j j 毋e n h a i i c 锄e n t m e c h a n i s m ，i np a r t i c u l 鸭e 唧p r o p o s a l sa d v a m a g ea n dd i s a d v a l l t a g eb e c a u s em ea r c d t c c l u r e o f s - b g pi se x t r e m e l yc o m p l e x ，w er e a dm a n yd o c 砌e n t sa n ds o u r c ec o d er o ra n a l y z i n gt h e d e t a i l e ds e c 戚f ym e c h a i l i s mo f s - b g p a f l e rd e b u g g i n 9 1 a r g e n 啪b e ro f c o d e ，w e i m p l e m e n t e v e r ym o d e lo fs b o p ，a n db l i i l dae x p e r i i l l e n tp l a t f o 邢，d v et h ep e r f b 硼彻c ec o s tb a s e d0 n 血e c u 1 ts c a l eo f i n t e m c t ，a n d v e r i 母s - b g p ss e c t ，r i t y a b i l 畸v i a r 。u t ce x p e r i m e n t s s b g p 嘲u i r i “gs t t i c tk e 眦h i c a lp m a d e i td i f n c u h t od e p l o ya 啪s sn 忙i n t e m 武n d s p a p e rp r o p o s c do l l rs e c u r i t ) ，e x t e n s i o ns u g g e s t i o n s i l p l i 6 e ds b g p ( s s b g p ) o nt h eb a s i so f s - b g p ，a st op r o v i d e8b e n e r b a i a l l c eb c t w e e ns e c l 】r i t ya l 】dp r a c t i c a l i t y 廿1 a ns - b g p ，m a k i n gi t m o r cd c p l o y a b l e k e y 们r d s ：s b o pp s s b g p s e c 埘t yo f i n t e r _ d o m a i nr o l n i n gs e c 删t ym e c h a n i s m 国防科学技术大学研究生院学位论文 图目录 图2 1b g p 对等体之间的攻击图6 图2 2b g p 安全威胁模型1 0 图2 3s o b o p 信任网1 4 图2 4 授权证书例示1 4 图2 5 连接拓扑图1 5 图2 6 部署选项1 6 图2 7p s b g p 证书结构l7 图3 1 i p 、r 4 地址管理2 1 图3 2 地址前缀所有权证书分配p k i 的层次结构2 2 图3 3a s 号码和b g p 路由器证书分配p 的层次结构2 3 图3 4 路由确认的格式2 5 图3 5 确认路径属性的编码2 6 图3 6 b g p 路由器的路由传播和验证过程2 7 图3 7 路由验证与p k i 的交互一2 8 图3 8s b g p 各元素的交互图2 9 图4 2m r t d 编译指南3 7 图4 3m r t d 配置文件3 8 图4 4s b g p 证书配置指南3 9 图4 5 启动安全增强机制的m r t d 画面4 0 图4 6c m s 的编译指南一41 图4 7c m s 主程序界面4 1 图4 8s b g p n o c 管理工具的主程序晃面一4 3 图5 1 证书关系图4 5 图5 2 a a 的内容4 5 图5 3p u b l i c k c y s s i g 的内容和格式4 6 图5 4 前缀起源所有权认证实验的拓扑图4 7 图5 5b g p 平台r a 和r b 的配置4 7 图5 6r b 的b g p 表4 8 图5 7 启动r a 和r b 的s b g p 认证功能一4 8 图5 8i 出的s b g p 表4 9 图5 9 路由注入实验拓扑图4 9 图5 1 0 路由注入后i 也的b g p 表5 0 图5 1 lb g p 路由改写实验网络拓扑图5 0 图6 1 证书发布层次结构5 4 国防科学技术大学研究生院学位论文 国防科学技术大学研究生院学位论文 配置的恶意攻击。而且这种由于错误配置引起的安全问题仍然是影响互联网效率的主要 源头。这些需依赖于i s p 正确操作的安全方法显然违反了“最低特权原则”，由于存在脆 弱环节，整个路由系统都将很脆弱。 虽然下一代互联网采用内嵌i p s e c 功能的i p v 6 作为核心协议，域问路由信息的传输 可得到一定程度的保护，但是b g p 没有涉及新的协议机制或和安全相关的路由属性，其 安全能力并没有得到实质性的提高，仍然存在较多的安全问题。这些都为域问路由安全 问题的解决带来困难和挑战。 1 2 相关研究工作 b g p 安全方面的脆弱性约1 9 8 9 年就已有人提出，经过这么多年的发展。研究主要 是围绕着两个方面在进行，一方面有人尝试开发出新的域问路由协议，以期完全取代现 有的存在诸多安全漏洞的b g p 协议，但这样的方案至少在短期内难以实现和应用，因为 不可能在一朝之间将现有的协议更换为新的协议；另一方面，也是b g p 安全研究领域最 为热门的课题：研究b g p 安全增强机制，在保持与现有协议完全兼容的基础上，对b g p 提供安全增强机制，提高b g p 的安全防范能力。在这个研究方面，国外已有相当的成果， 也有成型的产品，如b b n 公司的提出s b o p ，但是还没有真正的安全产品真正应用到 实际的域问路由系统中去。 对于已有的研究成果中，很大一部分的研究都是围绕着基于公钥密码技术进行，即 都是基于p 融的数字签名、验证等。如b b n 公司的s - b g p 、c i s c 0 公司的s o b g p 、p s b g p 等。这些安全增强机制都试图通过数字签名等公钥技术，来阻止非法的数据进入通信流 中。 在这些安全增强方案中，最为典型最为全面的是b 鼢q 公司开发的s b g p 。s - b g p 安全机制的核心思想是采用集中式认证的p l ( i 模型，对地址前缀起源和a s p a l t h 路由 信息进行认证和保护，以达到保护域间安全通信的目的。该p k i 的建立平行于现有的 a s 号码和地址分配代理系统，这样可以省去许多不必要的“信任”麻烦。 c i s c o 公司提出的s o b g p ，其主要思想是建立一个分布式的“信任网”模型来认证 a s 公钥，以及建立一个集中式的层级模型来认证i p 前缀所有权。而对于a s p a t h 信息 的认证，s o b g p 采取的方法是建立一个关于全球a s 的拓扑图，如果a s p 棚中所携 路由能与a s 拓扑图中的相应路径相吻合，则认为a s n 玎h 信息为合法的。每个a s 都 发放一个包含它所有邻居对等体的证书，通过这种证书来建立关于全球a s 的拓扑图。 对于这种认证方式，由于确实存在很多安全漏洞，因此受到了业界的质疑。 p s b g p 对于前缀起源认证有个很值得借鉴的思想：当没有一个权威的认证机构来证明 某地址前缀的持有者( 如某a s ) 是否合法时，则通过该a s 的邻居的声明来判断，若它 的多个邻居都说它是合法的，则认为该地址前缀的所有权宣告合法。p s b g p 对a s n 虹h 的认证方式承袭于s b g p ，但为认证方式增加了一个向量，以完善认证过程。 第2 页 国防科学技术大学研究生院学位论文 值得一提的是，目前国内对域间路由及其安全性也比较重视。例如，清华大学研究 了b g p 协议的安全扩展【10 1 ，提出分布式密钥生成算法实现对等体之间的身份认证，通 过加密机制和b g p 路由更新序号来增强对路由信息的保护。 1 3 本文的工作 鉴于b g p 在i n t e m e t 中的关键性地位，b g p 安全增强机制的研究是路由安全研究领 域的热点课题。在各种解决方案中，s b g p 是最为具体、最为全面的方案。该方案的安 全能力十分强大，b g p 安全威胁最关键的两个因素：无法判断地址前缀起源和路径信息 的合法性，这两点在s b g p 中都得到了很好的解决。但同时s b g p 的体系结构又极为 复杂，如其认证方式是建立在极为复杂的公钥基础设施之上，短期内难于在实际环境中 部署。s ，b g p 本身的技术含量很高，有着很重要的研究价值，本课题的主要工作就是围 绕s b g p 进行。本文将对s b g p 实现的安全机制进行深入的研究，并对其进行验证， 以确认这些安全机制的效果，评估其性能开销，最后在承袭s b g p 安全思想的基础上， 提出自己的解决方案。主要工作体现在以下几个方面： 1 对b g p 面临的安全威胁进行了全面深入的研究，并建立了相应的安全威胁模型。 从各个层面、规模来分析b g p 面临的安全威胁，研究可能受到的攻击方式，分 析核心网络路由设旌支持能力和潜在的域问路由安全威胁，建立起相应的安全 威胁模型，为后面的s b g p 路由安全实验提供参考模型。 2 研究目前比较典型的b g p 安全增强机制。b g p 协议安全的研究是目前安全研究 领域里的热门课题。比较典型的有b b n 公司的s b g p 、c i s c 0 公司的s o b g p 、 以及某些个人或研究机构提出的安全方案，如p s b g p 、l i s t e n c ra n dw h i s p e r 等。 本文对这些安全机制都进行了研究，以参考其中的某些安全思想。 3 对s b g p 实现的安全增强机制进行了深入细致全面的研究。s b g p 的组成结构 主要包含四个要素：公钥基础设施p 、i p s e c 和确认路径属性、策略数据的分 发。每个组成要素都比较复杂，需要深入理解这几个方面的知识，研究它们是 如何相互协作以达到安全域问路由的目的。这包括阅读大量的文档，阅读s b g p 的实现代码。 4 在l m l l ) ( 上实现s b g p 实验平台。在l i n u x 上实现s b g p 平台非常复杂，完整 的平台由四个模块组成，包括s b g p 路由软件( 实现s b g p 扩展的m r t ) 、s b g p n o c 工具、证书管理系统( o p e n s o u r c e c m s ) 、s b g p 仓库。这四个模块的实 现需要用到很多第三方的库，如m r t 、a p a c h e 、m o d s s l 、o p e n s s l 、j d k 、 m y s q l 、p o s t g r c s q l 、g p k c s - 1 1 、d i g i t a l n n 、b b n a s n 编译器等。需要参考 p 平台的运行原理等很多相关知识，同时这一步骤也非常重要，后续的安全 攻击实验要基于这一平台。本工作主要实现了可用于实验的路由平台，部分操 作平台未包括在内。 第3 页 国防科学技术大学研究生院学位论文 5 对s b g p 平台进行穿透性测试，评估s b g p 的性能开销。搭建s b g p 实验平 台，利用课题组开发的b g p 。a t t k 套件，在前面建立的威胁模型的基础上，对 s b g p 和b g p 进行相应的穿透性测试，并验证了s b g p 安全增强机制的效果。 对该安全机制给网络性能带来的影响加以分析和研究，如对存储开销、计算开 销以及通信带宽的影响。 6 ，设计b g p 安全增强机制。通过对s b g p 的深入研究，提出自己的安全增强方 案s s b g p 。s s b g p 简化了s b g p 的p 实现，尤其是减少了其证书数量，降低 了s b g p 的性能开销。 7 对b g p 协议安全研究提出一点建议。 1 4 数据来源 s e c u r c b g p ( s b g p ) 软件系统由四个模块组成，包括s b g p 路由软件( 实现s b g p 扩展的m r t ) 、s b g pn o c 工具、证书管理系统( o d e n s o u r c e c m s ) 、s b g p 仓库。这 四个模块的实现需要用到很多第三方的库，如m r t 、a p a c h e 、m o d s s l 、o p e n s s l 、j d k 、 m y s q l 、p o s t g r e s q l 、g p k c s l l 、d i 百t a l n e t 、b b na s n 编译器。各个模块的相关来源 如下； s b g p1 o 源自b b n 公司的网站w m v b b n c o m ，其中包含了m e r i tm u h i m 鹏a d c d r ( n l t i n gt 0 0 1 垃( m r t ) ：a p a c h e 源自开源项目，可从网站婴盟雄鲢：q 瑶获得；m o d s s l 可从网站幽盟堡q 亟! ：q 鳝获得：o p e n s s l 可从h 堑卫；丛塑盟业塾s ! ：鱼型墨q ! ；! 获得；j a v a 可 从h 鲤；纽g 堕：些：q 鲤获得；m y s q l 可从哑；丛坠塑盟堑y g l ：型获得：p o s t g r e s q l 可从 嫩p ；妞艘煎臣g ! ：q 型获得；g p k c s 一1 1 可从获得；b b na s n 编译器可从 h 鲤；丛坠婴堕坠地：! 鲤啦画盟! 型= 垒g 世s ! g 业n 旦丛：3 ：! 塾! 然g ；获得；d i g i t a l n e t 可从 ! 地卫；巡焦i g i ! a ! ! ! 丛：q b 型差得。 1 5 本文的组织 第一章绪论。主要对当前b g p 安全增强机制的研究领域做了总体概述，介绍了国内外 在b g p 协议安全增强机制方面所做的工作。介绍了本文的相关研究工作、研究 数据来源和本文工作的意义、目标。 第二章b g p 安全威胁模型和安全增强机制。通过深入地分析当前域问路由系统所面临的 潜在威胁，建立起b g p 面临的安全威胁模型，研究了目前几种典型的安全增强 机制，并探讨了各种机制存在的问题。 第三章s b g p 的体系结构。深入详尽地研究了s b g p 的体系机构，对s b g p 三个安全 实施模块：p k i 、确认属性、i p s e c 做了详尽的研究，为后面的安全机制设计工作 提供相应的参考。 第4 页 国防科学技术大学研究生院学位论文 第四章s b g p 在l i n u x 下的实现。s b g p 在l i n u x 下的安装非常复杂，涉及很多第三方 的开源软件或库。本文作了大量的代码调试工作，并在l m u x 下实现了用予实验 的s b g p 平台。 第五章s b g p 的安全能力评估和性能开销评测。利用课题组开发的b g p a t t a c k 套件， 在前面建立的威胁模型的基础上，对s b g p 和b g p 做了相应的穿透性测试，并 验证了s b g p 安全增强机制的效果。同时，利用获得的实验数据，对s b g p 的 性能开销进行了评估。 第六章b g p 安全增强机制的设计。在对s b g p 深入研究的基础上，承袭其基本安全思 想的基础上，提出了在安全能力和实用性之间比较折中的方案s s b g p ，并对该方 案与目前几种典型的安全增强机制进行了对比，分柝了该方案的可行性。 第七章总结和对未来工作的展望。总结了本文的工作，并对b g p 协议安全的研究工作 提出了相应的展望。 第5 页 园防科学技术大学研究生院学位论文 第二章b g p 安全威胁模型和安全增强机制 2 1 引言 域间路由协议b g p 是在i n t e m e t 环境还处于高可靠状态下产生的，b g p 协议设计之 初并没有设计某些机制来保护有意无意的错误的发生。然而，由于商业利益的驱动，不 断的新用户团体的加入，一方面使i n t e l c t 高速增长，另一方面却改变了i n t e m e t 的本性， 使得它不再是安全可靠的。很显然，目前的i i l t e m c t 是脆弱的，容易受到来自对路由协 议的攻击，b g p 也不例外。 对域问路由系统的攻击可能发生在路由过程的各个阶段，如对邻居关系的破坏和路 由更新阶段的攻击。一是对b g p 邻居关系的破坏。进行邻居关系欺骗。成功的邻居关系 欺骗需要源地址、源端口、t c p 序列号同时满足要求，需要进行链路窃听。一般的域问 b g p 连接通过专用线路，窃听比较困难，但如果b g p 邻居间建立的是多宿点连接，则 存在较多的安全隐患。二是更新阶段的攻击。这主要是通过b g p 向互联网注入不良路由 信息：不良路由信息包括未分配的路由、未授权路由、未聚合路由，以期对数据流量进 行截获或重定向：利用路由抖动抑制算法使关键路由不可达也是一种潜在的路由信息攻 击方式【1 1 】【1 2 【1 3 l 【1 4 1 。本章将对这些安全威胁进行归纳总结，并建立相应的安全威胁模型。 b g p 安全脆弱性最重要的两个原因：地址前缀起源合法性无法判断和无法提供对 a s p 棚路径信息的保护。为了解决这两个问题，国岁卜涌现出多种安全增强方案，如 s b g p 、s o b g p 、p s b g p 等。为了后面b g p 安全机制的设计，本章将研究这些典型的安 全增强机制是如何解决b g p 安全脆弱性的。 2 2b g p 的安全威胁模型 2 2 1b g p 对等体之间的攻击 图2 1b g p 对等体之间的攻击图 为了对b g p 的脆弱性有个全貌性的了解，在本节将建立一个威胁模型。该模型将提 供需要进行阻止的各种攻击，并刻画出攻击者攻击协议的能力。该模型将建立在b g p 操作的最小情形：两个b g p 路由器之间通信的基础之上。通信的双方分别定义为r a 和 r b ，攻击者定义为c ，如图2 1 所示。 第6 页 。 r 照 国防科学技术大学研究生院学位论文 在这个案例中，存在三个潜在的恶意实体，攻击者c 、r a 和r b 都有可能是恶意 的。攻击者c 的卷入，可以使r a 和r b 的通信信道变得不安全。如果r a 和i 出同时 成为恶意实体，b g p 通信必定是失败的，因为路由通信必须至少有部分实体是正常的 才能进行。在该模型中，使r a 和r b 成为恶意的有两种方式：有意或无意的。如下案 例就是基于这个有限的场景。 1 、对机密性的攻击 首先假设认为在同一链路上的两个路由器之间的通信必须保密，路由器之间发送的 报文不希望被第三方看到。假设通信的链路被第三方攻击者c 所颠覆，则c 就可以偷听 r a 和r b 之间的通信报文，并从中尝试学习r a 和r b 的策略和路由信息，而且往往从中 可以学习到比较重要的信息，例如可以推断出某些服务提供商和大型组织之间的商业关 系( 例如不能透露的对等体布置) ，这些商业关系往往被认为是机密的商业秘密，如果被 偷听者侦听到，尤其是那些具有间谍目地的，这是非常不希望看到的。当然，这种消极 的攻击并不只是对b g p ，那些基于t c p 传输的，并未加任何安全措施的协议都面临这个 威胁【1 5 】1 1 6 】。 2 、对报文完整性的攻击 这种攻击与前面提到的攻击不同的是，攻击者c 不仅仅只是消极的侦听u p d a t e 报文，而是积极地成为通信链路上隐藏的一部分。c 可以通过技术手段成为r a 和r b 的中间人( m a n i n t l l e m i d d l e ) ，并篡改b g p 报文。其一为“报文注入”或“路由注入”， 即c 将伪造的b g p 报文插入到报文流中，使得产生不正确的路由信息。同时，它也可 以强行关闭r a 和r b 之间的连接，因为错误的b g p 报文可终止会话。c 也可通过有选 择性的“删除报文”来影响消息流。因为b g p 是通过周期性地发送k e e p a l e 报文来 维持连接的，如果在规定的时间内没有收到：e p a l i v e 报文，则连接将会被关闭。另 有一个篡改方法是“报文修改”，c 截取r a 和i 也之间报文，修改其内容并转发出去。 虽后一种攻击方法是“重传攻击”，通过记录r a 和r b 之间的报文并重传它们至源接收 者。这个方法可以通过不停地重新宣告已撤销或正在撤销的路由来扰乱路由协议。特别 是如果以大规模的方式发送，则这些报文可以使路由器崩溃。 3 、终止会话攻击 修改报文的另一个后果是可以终止b g p 会话。下面的例子将示例一个攻击者是如何 利用协议状态机模型进行攻击。b g p 路由器根据收到的事件来使状态机的固有状态发生 改变，使它们期待特定的报文并以不同的方式回应。例如，如果r a 和r b 之间建立了 b g p 会话，r a 给r b 发送一个0 p e n 报文并将状态转为o p e n s e n t 。当r b 收到这个报 文，它也以一个o p e n 报文回应。r a 收到这个回应消息后，r a 将转入o p e n c o i l f i 肌状 态。当会话完全建立起来后，r a 和r b 均将处于e s t a b l i s h i e d 状态。如果攻击者c 在此 点插入一个o p e n 报文，则r a 和r b 的会话将会被关闭，因为它违反了预期的输入。 另一种关闭会话的方式是伪造n o t i f i c a t i o n 报文，该报文表示有错误发生了。当r a 或r b 收到这个报文，则它们会终止b g p 会话。由此可见，b g p 状态机会引入若干脆弱 第7 页 国防科学技术大学研究生院学位论文 性。例如，任何错误的发生都会导致协议重新设置。这样的特征将会导致大大降低i n t e m e t 的稳定性或实用性。 2 2 2 影响规模巨大的攻击 由于b g p 运行于全球不计其数的路由器上，这使得恶意攻击者有很多可以展开攻击 的攻击点，尤其是每个自治系统并不是和其他每个a s 都直接互连的。攻击者可以利用 这个连接特性来展开更大规模的攻击。这些攻击的形式和结果在下面将详细介绍。 l 、源地址起源欺骗攻击 自治系统可以通过b g p u p 蟠e 报文将不正确的路由信息传递给相邻a s 中的路由 器。a s 可以宣告并不属于它的地址前缀，恶意a s 可以利用这一点将自己伪装成为地址 前缀的发起者，这种攻击方式被称为“前缀劫持”。邻居a s 收到这种通告后，将会毫不 犹豫地相信恶意的a s 即为前缀的拥有者，并将报文转发给它，而前缀的真正拥有者将 会收不到本应属于它的数据。如果恶意a s 将所有通往被劫持地址的数据包丢弃掉，这 种后果称为“路由黑洞”。这种攻击将使得被劫持的地址变得无用。而且，这种攻击是很 难察觉的。如果自治系统使用其控制域内的所有主机或设备来伪造某个地址块中的所有 地址，危害后果将是非常严重的。更为严重的是，恶意的a s 分析流入它的流量，从中 可能推断出某些重要的信息，如密码等。 另一种传播有害信息的致命方法是通过前缀分化( p r e f i xd e a g g r e g a t i o n ) 。这种情形 发生在当被通告的大前缀被分片或稍小的前缀通告被复制时。选择路由时，b g p 执行的 是最长前缀匹配，即与前缀相关的最长掩码的路由将会被选择。例如，如果前缀1 2 o 0 o 8 和1 2 o o o 1 6 被通告，由于后者与地址块匹配得更精确，则选择后者。前缀分化将影响 b g p 的性能并间接地增加b g p 表的尺寸，并给网络带来大量的冗余，有时还会导致不 正确的u p d a t e 报文。 如果某个a s 错误地声称自己为某个前缀的起源，并且其u p d a t e 报文中前缀长度 比相应的在全球路由表中的其他前缀更长，则该a s 将完全劫持该地址前缀。而且，不 光是是邻居路由器会相信该报文，它们还会将此报文泛洪给其他相邻的对等体。此泛洪 最终将通过i n t e m e t 传播这种攻击1 1 7 j 。 2 、路径信息的篡改 恶意的a s 能使用的另一个方法是通过篡改u p d a t e 报文的路径属性来传播错误的 信息。b g p 是一个路径向量协议，通向目的地的路由是通过u p d a t e 报文中a s 一心r h 中指定的a s 来传播。由于没有任何保护措施，恶意的a s 可以修改u p d a t e 报文中的 路径信息，如在a s 灯h 属性中插入或删除a s ，或改变a s 的序列，这将产生路由延 迟或允许恶意的a s 改变网络的流量模式。a s 也可改变u p d a t e 报文中的属性，如m e d ( 用来建议通往外部a s 的更佳路由) 或团体属性( 将路由成组并施以共同的路由策略) ， 这将破坏流量工程和路由策略u ”。 另一个有力的攻击方式是将路径改为通过某个恶意的a s 。该恶意的a s 除了可以正 第8 页 国防科学技术大学研究生院学位论文 自己也允许在任何时候来断开对等体之间的连接。然而，b g p 对等体能够通过发送伪造 的u p d a t e 消息来破坏路由。特别是，在u p d a t e 消息中伪造的原予聚合、下一跳、 a s 路径属性和网络层可达信息都能达到破坏路由的目的。 2 4b g p 安全增强机制 从前面的威胁模型以及b g p 协议的脆弱性分析可以得出，要从根本上解决b g p 的 安全通信，关键是要解决三点【2 1 】：第一是通信点到点通信链路的安全；第二是地址起源 认证：第三是a s 蹦r h 信息完整性和真实性认证。为解决这几点，有许多研究机构、 公司或个人都作出了相当的努力，比较典型、全面和著名的有b b n 公司的s b g p 、c j s c o 公司的s o b g p ，以及个人提出的p s b g p 等，本小结将研究这几种安全增强机制。 2 4 1s e c u r eb g p ( s b g p ) s e c u r e b g p ( s b g p ) 是目前最为著名也最为综合的路由安全解决方案。目前i e t f ( 提供i n t e m e t 标准) 也在考虑将s b g p 协议及其相关的体系结构进行标准化。由于 s - b g p 建立在复杂的公钥基础设施之上，具体部署起来还存在很大的问题，目前其开发 人员正在可操作的网络环境中积极地进行试验。 对s b g p 的研究是本文的重点，在后面的章节还将详细地介绍s - b g p 的安全体系 结构，在本小节先简要地介绍一下它的概貌【2 2 j 。 s b g p 的安全机制主要建立在三个安全实施模央之上：p k i 、确认路径属性和i p s e c ： p l ( i 模块：s b g p 使用的p 基于x 5 0 9 ( v 3 ) 的扩展证书，以此来验证a s 号码和i p 地址前缀持有者的身份和授权。 确认( a n e s t a t i o n ) 模块：“确认”是一种经数字化签名的授权，在s ，b g p 系统中的 具体实现是指一种新增的路径属性，分为“地址确认”和“路由确认”，i p 地址前缀的 持有者( r j r 或i s p ) 使用“地址确认”来授权它管辖范围内的a s 可以发起到该地址前 缀的路由，否则，没有经过“地址确认”进行授权的路由则认为是非法路由。而“路由 确认”是创建该“确认”的a s 用来授权其邻居可以通告发布给它的地址前缀。 i p s e c 模块：确保路由器之间点到点传输的b g p 流量的安全。 1 、p k i s b g p 系统中的p 基于x 5 0 9 ( v 3 ) 【”l 的扩展证书。该p k i 的建立基于现有的i p 地 址和a s 号码分配代理系统，这样可不考虑p 新建之初遇到的“信任”问题，使创建 过程相对简单。s b g p 需使用两个这样的p k i 来解决两类不同的证书分配，一个是用于 分配表征地址前缀所有权的证书，另一个是负责分配表征a s 号所有权及a s 号码和路 由器之间绑定关系的证书。 在地址前缀所有权证书分配p k i 中，证书所起的作用是将公钥、证书的主体( 某组织 如a r x 国防科学技术大学研究生院学位论文 址前缀的所有权和它的公钥。证书的发放如同i n t e m e t 地址分配方式一样，从最顶层机 构i c a n n 开始，i c a n n 给自己发放自签名的证书，并给它的下属机构地区i n t e m e t 注册中心( r l r ) 如a r i n 、砒p e 和a p n i c 发放证书，这些证书是在x 5 0 9 ( v 3 ) 的基础 上进行了扩展，用来包含1 c a j 州分配给这些机构的i p 地址块。这些地区h n e m c t 注册 中心继续将它所持有的地址块以证书发放的形式分配给它的下属组织，整个证书发放方 式呈层级结构。如果某个机构或组织拥有多个i p 地址前缀，也只为其分配单一的证书， 证书中包含它拥有的所有的i p 地址前缀，这样可以减少证书的数量。 在a s 号码和b g p 路由器证书分配p 的层级结构中，用发放证书的形式来分配 a s 号码，同时这些证书又是各个组织、a s 号码和b g p 路由器的身份证名。在该p k i 中，证书的发放方式同前面所述的地址分配证书p k i 类似，在最顶层，i c a n n 以证书 的形式分配a s 号码给各个地区i n t e m e t 注册中心，而地区i n t c m e t 注册中心继续将它所 持有的a s 号码分配给它的下属机构，呈层级结构往下分发证书。证书用来证明证书的 主体( 某组织如某i s p ) 和它所持有的a s 号之间的所有权关系，最底层的证书( 证书类 型为b g p 路由器) 将路由器名与a s 号码和路由器i d 绑定到一起，以证明该b g p 路由 器属于相应的a s 。 2 、地址确认和路由确认 在s b g p 中，“确认”是一种经数字化签名的数据项，用来确定“确认”的主体( 某 个a s ) 被“确认”的签名者( 某个组织如i s p ) 授权可以通告路由到指定的地址块。“确 认”分为两类：地址确认和路由确认。路由确认是作为一种新定义的可选的b g p 路径属 性包含在u p d a t e 消息中。 a 地址确认：其发放者是拥有该地址空间的组织，其主体是某个a s ，并且该a s 经 地址确认的发放者授权可以发起路由到该地址确认中所包含的地址前缀。地址 确认的发放者需对它进行签名，使用相对于该发放者公钥证书中的公钥的私钥。 b 路由确认：确认主体是路由通告过程中的a s ，其签名者是传输过程中的b g p 路 由器。签名者将该b g p 路由器绑定到其所属a s 的公钥证书中的公钥对应的私 钥。 3 、路由验证 对u p d a t e 报文中宣告的路由进行验证，需使用前面介绍的“确认”和证书。验证 路由的有效性需验证路由中的第一个a s 是否被路由前缀的所有者授权通告到该前缀的 路由，并且后面的a s 是否被它前面的a s 授权通告路由。为验证从a s n 接收到的路由， a s n + 1 需： u p d a t e 报文中n l r j ( 网络层可达信息) 包含的所有地址前缀的持有者( 即某些组 织如i s p ) 所签名的地址确认： 上面提到的持有者的公钥证书： 路径( 从a s l 到a s n ) 所经过的每个s b g p 路由器所签名的路由确认； 用以验证路由确认上的签名的s b g p 路由器公钥证书通过结合这几种证书和确认， 第1 2 页 国防科学技术大学研究生院学位论文 可以对路由的有效性进行验证。 4 、i p s e c i p s e c f 2 5 1 提供的安全服务包括：接收方b g p 路由器可以验证消息的完整性和发送方 的身份，同时还可以验证每一个消息的接收者是否是目的接收者。尽管u p d r e 消息中 的“确认”可以保护很大范围的搭线窃听攻击，而使用e s p 还可以保护所有的b g p 流 量，并保护t c p 不受各种形式的攻击，如s y n 泛洪和r s t 欺骗等。 2 4 2s e c u r eo r i g i nb g p ( s o b g p ) s o b g p 是c i s c o 公司提出的b g p 安全解决方案【2 “。与s b g p 相类似，s o b g p 也采 用了p k i 进行认证。其p k i 管理3 类证书，第一类证书用于认证每个参与会话的路由器， 第二类证书用于认证路由策略，第三类证书用于认证路由器的源地址。s o b g p 的出发点 是欲解决源起源认证和路径认证。主要是欲达到如下三个安全目标： 验证通告的地址前缀的源a s 确为该地址前缀的源a s ，即为地址前缀的拥有者。 换句话说，如果说某个路由器收到通告1 0 1 1 0 2 4 网络的源a s 为a s 6 5 5 0 0 ，通 过s o b g p 的安全措旌应该能够验证出来。 验证通告到目的地址的a s 是否确实有路径通往目的地。换句话说，如果某路由 器收到a s 6 5 0 0 1 中的b g p 对等体的路由通告表示可以到达1 0 。1 1 o 2 4 。是否确 实可达需要能够验证出来。 验证代表a s 通告路由的b g p 路由器是否已被目的地址的起源、或拥有者授权， 以合法通告地址。 l 、身份的合法代表：证书 在安全范畴里第一个重要的步骤就是认证，平台中的每个参与者必须通过某种方法 来确认其他参与者的真实身份，以及他们用以进行签名或加密数据而使用的信息【2 “。这 在密码学中也属于经典问题1 2 ”，称之为“密钥发布”。必须通过某种手段来接收进行签 名或加密数据的密钥，并对密钥的合法性进行验证，以确定密钥确实属于其拥有者。 这个问题在s o b g p 中使用e n t i t y c e r t 来解决，该证书将a s 号码和其公钥绑定到一 起，a s 将使用与该公钥对应的私钥签名其他各种不同的证书。s o b g p 中定义的e n t i t v c e n 为x 5 0 9 ( v 3 ) 证书，与t l s 与i p s e c 中使用的证书类似。当接收e n t i t y c e n 证书时面临 的主要问题是证书中所携密钥是否确为所通告的a s 所有【2 钔。 为解决这个问题，s o b g p 通过第三方对e n t 媪 的主要问题是证书中所携密钥是否确为所通告的a s所有【2 钔。为解