SE-BGP:一种BGP安全机制

BGP(bordergatewayprotocol)协议的安全是Internet路由系统安全的关键.目前已提出多种BGP安全机制,但都未能得到部署.对BGP安全机制的部署问题进行深入分析,利用AS(autonomous system)结构的Rich-Club特性,提出AS联盟的概念,设计了一种BGP安全机制:SE-BGP(security enhanced BGP).SE-BGP采用基于AS联盟的安全体系结构,使用一种具有分布式认证中心的新的信任模型——TTM(translato rtrust model).设计了基于TTM模型的认证算法,给出了基于现有BGP协议的扩充实现方法.与已有的安全机制相比,SE-BGP在保证安全能力的同时,所需的证书规模大约为原有机制的1%,具有良好的可扩展性.

基于前缀分配路径长度的BGP源自治系统验证机制

发现目前安全性得到广泛认可的BGP源自治系统验证机制(如S-BGP)会受到一种上层ISP(Internet Service Provider,Internet服务提供商)前缀劫持攻击.这些机制基于前缀的分配路径,仅能保证前缀被分配路径上的ISP授权自治系统发起,不能保证被分配路径上最后一个ISP(即前缀的拥有ISP)授权自治系统发起.只有获得前缀拥有ISP授权的自治系统才是该前缀的合法源自治系统.本文提出了一种基于前缀分配路径长度的源自治系统验证机制---LAP(the Length of Assignment Path,分配路径长度).基本思想是任一发出前缀可达路由通告的自治系统都必须提供该前缀的分配路径及证明,只有提供前缀最长有效分配路径的自治系统才是该前缀的合法源自治系统.LAP可保护域间路由系统免受有效前缀劫持、子前缀劫持、未使用前缀劫持,特别是上层ISP前缀劫持攻击,可无缝应用于BGP安全方案和一些下一代域间路由协议中.

标准模型下可证明安全的BGP路由属性保护机制

BGP路由协议是目前大多数网络基础设施所采用的重要协议之一.随着网络攻击技术的发展,如何构造安全且容易部署的BGP协议保护机制,仍然是安全路由协议研究中的热点问题.文中提出标准模型下可证明安全的BGP协议的路由属性保护机制——Identity-based Sanitizable Signature Path Verification(简称IDSPV).IDSPV机制采用基于身份的密码学思想以及可净化签名方案的优点.并结合BGP路由协议特征,在无需证书的条件下,仅需将自己的更新报文签名后再添加到AS_PATH路径中,为BGP路由属性完整性和真实性提供保护.避免证书存储和管理开销.另外,文中给出保护AS_PATH路由属性的安全模型,利用规约技术,在标准模型下给出IDSPV机制的安全证明.通过安全性和性能方面的分析可知,与现有方案相比,IDSPV机制更易于在实际网络中部署.

跨域BGP/MPLS VPN在高性能路由器中的实现

提出在高性能路由器中跨域边界网关协议(BGP)/多协议标签交换(MPLS)虚拟专用网(VPN)的高效实现方法。结合协议规范,将转发与控制分离,主控负责对标记的分发与管理,转发引擎实现对MPLS分组的封装与转发。通过在控制层面对标记信息进行预处理,避免VPN业务分组在转发过程中的递归查找问题,使硬件转发数据包仅需一次查表,实现数据包的线速转发。

基于事件驱动的边界网关协议BGP-4的设计与实现

边界网关协议 BGP( border gateway protocol)是 Internet上用于自治系统之间交换路由信息的动态路由协议 .介绍了在清华大学研制的国产高性能路由器中分布式路由协议 BGP- 4的具体实现 .为了实现这一复杂的动态协议 ,提出基于事件驱动的设计和实现方法 .事件驱动机制能够精确地反映网络报文交换行为的实现机制 ,因而很适合 Internet高层协议的实现 .该方法也可以用于实现其他的 Internet高层协议 .

BGP联盟引起的路由持久振荡的分析

边界路由协议(BGP)是在当今Internet中广泛使用的一种域间路由协议。它的主要功能是在各个自治系统之间交换网络可达信息。然而,作为BGP的扩展机制之一的BGP联盟,在某些特定的配置情况下,会导致永久性的BGP路由振荡。文章通过实例分析了路由反射引起振荡的条件,并给出一些网络设计准则以避免振荡的发生。

解决策略冲突导致BGP路由发散的自适应机制

BGP(border gateway protocol)作为一种基于策略的协议,允许每个自治系统独立地选择本地路由策略.自治系统之间可能存在的路由策略冲突会引起BGP路由持续不稳定.当前提出的解决办法要么需要增加额外的通信开销,要么限制自治系统自由的选择路由策略.提出了一种解决策略冲突引起BGP路由不收敛的自适应方法,既不损害自治系统选择路由策略的灵活性,也不需要在BGP消息中增加额外信息.路由的稳定性被加入到BGP的判决过程中,不稳定路由的优先级被降低,使更加稳定的路由得以被选为最优路由,终止路由策略冲突引起的争执.在网络拓扑发生改变的情况下,这种新方法能够自适应地调整路由选择,重新收敛到新的稳定状态.

BGP/MPLSVPN在NS-2中的实现

研究了BGP/MPLSVPN的原理,分析了边界网关协议(BGP)和多协议标签交换(MPLS)在NS中的实现,进而针对NS2环境提出了一套符合RFC标准的BGP/MPLSVPN的具体实现方案。最后给出了该实现对BGP/MPLSVPN的模拟方法和实验结果,证明了该方案的可行性。

一种BGP路由配置错误动态检测方法

针对BGP路由源配置错误和路由输出配置错误,提出了一种BGP路由配置错误动态检查方法。该方法通过对入境和出境路由的地址前缀进行所属关系检测来确定所声明前缀的合法性,发现路由源配置错误。依据自治系统之间的商业关系,通过分析出入境路由的AS路径属性来发现违反路由输出原则的路由输出配置错误。通过仿真实验证明了所给方法的正确性和可行性。

支持域间分布式分组过滤的BGP扩展

可信任是下一代互联网的重要特征.目前,互联网的路由系统只按照分组的目的IP地址转发分组,携带虚假源IP地址的伪造分组也会被传输到目的地,这会在威胁接收方安全的同时,隐藏发送方的真实身份.可信任互联网的路由系统不仅需要能够正确地转发分组,而且能够验证分组来自正确的发送方.基于路由的域间分布式分组过滤是过滤伪造分组的有效方法.提出了BGP的路由选择通知功能扩展,为域间分组过滤提供过滤标准.在扩展的支持下,边界路由器能够鉴别进入本自治系统的分组的真实性,过滤掉伪造其他自治系统地址的分组.模拟结果表明,路由选择通知不会对BGP正常的路由功能产生负面影响,选择合理的路由选择时钟参数,可以在同时取得较小带宽开销和较快收敛速度的情况下,为域间分布式分组过滤提供支持.

BGP路由查表算法的分析与改进

Default-Free Zone内的路由器拥有巨大的路由表项,为了方便实现,大多数开发者在实现过程中均采用路径压缩树的数据结构对边界网关协议路由进行存储。计算机仿真分析发现,采用路径压缩树算法会引起路由搜索时间抖动严重、存储空间利用率低,路径压缩树性能受BGP路由前缀的分布特性影响。引入AVL算法解决存在的问题,可以较好地提高路由查表的性能。

基于过滤机制的抑制BGP路由表增长的方法

经过对BGP路由表进行分析,发现在BGP路由表中包含大量前缀长度大于地址分配策略所规定值的路由·给出了一种减缓路由表增长的方法,该方法基于前缀长度对路由进行过滤·对前缀长度大于地址分配策略所规定值的路由,只允许其在指定的距离范围内被通告,一旦该路由穿越了指定数目的AS,它就将被过滤掉,不再被通告·通过修改BGP协议,为其增加一个新的属性来记录被过滤路由的最大通告距离,实现对路由过滤·通过模拟实验证明所给方法可行,对抑制路由表增长效果明显·

基于AS关系的BGP无效路由检测

由于BGP(Border Gateway Protocol)路由配置错误和网络安全问题会导致无效的路由产生,影响Inter-net性能。为此,提出了一种BGP无效路由检测方法。该方法通过对入境和出境路由的地址前缀根据IP地址分配情况和所属关系检测来确定所发布前缀的合法性,发现无效的地址前缀。依据自治系统之间的商业关系,通过分析出入境路由的AS(Autonomous System)路径属性发现无效的AS路径。所给方法能有效地发现Inter-net上BGP配置错误所产生的无效路由,并限制这些无效路由在Internet上的扩散,提高了Internet整体性能。

基于AS关系的BGP路由策略验证方法

对AS间BGP路由策略进行了深入研究,给出了一种推断导出策略的方法。在此基础上,提出了一种基于AS关系的AS间BGP路由策略验证方法,通过该方法可以发现AS间异常的prefix宣告,从而可以实现对路由策略的验证。然后用该方法对AT&T的两个AS间的BGP路由策略进行了验证,取得了较好的效果。

利用RFD实现BGP路由摆动源检测的方法

提出一种发现BGP路由摆动源的方法,该方法通过分布在网络上的服务器和客户机(运行BGP协议的边界路由器)实现。客户机除具有BGP路由器的功能外,还记录路由变化事件,利用RFD发现BGP路由摆动,向服务器提出查找振荡源请求。服务器通过查询路由变化事件发现BGP路由摆动源,并向网络管理员通告检测结果。最后通过实验证明了所给方法的正确性和可行性。

边缘网关协议BGP及漏洞攻击防范

本文对边界网关协议(BGP)的基本操作、路由原理、消息类型、分组格式等基本理论作了科学的阐述。在此基础上指出了边界网关协议存在的缺陷,并对可能存在的漏洞攻击及其防范措施进行了分析。

基于BGP协议实现双多宿网络路由选择

为优化校园网络出口结构,在GNS3仿真环境下,设计了双多宿网络路由选择仿真实验。文章给出了在校园网出口处引入双多宿ISP线路以及部署BGP、EIGRP等多种动态路由协议的网络优化方案,详细阐述了EBGP多跳、IBGP、修改BGP下一跳属性、修改BGP本地优先级属性的配置方法。测试结果表明,优化后的校园网,不仅出口链路的可靠性有较大提高,而且可使校园网用户的数据流能够按照最佳路径访问互联网资源。

BGP-4性能研究综述

BGP协议是一种单路径距离向量协议,是互联网事实上的外部网关路由协议.BGP协议设计上的简洁性使得它起初运行较为有效,但是随着互联网的迅猛发展,用户对BGP协议在可扩展性、可靠性、安全性等方面的要求越来越高,若对一些性能问题不加以解决,则将会影响互联网的正常运行.为了更好地开展BGP协议的相关研究,我们较为详细地介绍了BGP协议在可扩展性、可靠性、安全性三个方面的研究进展,讨论了当前研究仍存在的一些不足,并预示了未来研究的方向.

地址检查BGP/MPLS VPN中MP-BGP配置错误的方法

在BGP/MPLS VPN中,用MP-BGP交换VPN路由信息。由于配置错误,AS可能有意地通告属于其它AS地址空间的地址前缀或输出违反自己路由策略的路由。检查MP-BGP配置错误的方法要求每个ASBR或PE路由器分别为它所信任的AS维持一个地址前缀集和AS关系集。仿真表明通过AS关系和地址前缀集结合使用的算法,能有效地检查起源配置错误和输出配置错误。

边界网关协议BGP-4的应用分析

边界网关协议(BGP)是自治系统间的路由协议,用于在自治系统间交换网络可达性信息。文章分析了BGP-4在大规模网络的应用中所遇到的几个问题,利用BGP-4丰富的路由策略,给出了相应的解决技术。