資源描述:
《基于協同的域間路由路徑真實性驗證機制》由會員上傳分享�����,免費在線閱讀���,更多相關內容在教育資源-天天文庫。
1���、基于協同的域間路由路徑真實性驗證機制基于BGP的域間路由系統(tǒng)是互聯網的關鍵基礎設施�����?;ヂ摼W不僅在數據轉發(fā)性能方面���,而且在拓撲結構��、健壯性��、安全性等方面也都高度依賴于域間路由系統(tǒng)�����。BGP:BorderGatewayProtocol��,邊界網關協議域間路由系統(tǒng):inter-domainroutingsystem自治系統(tǒng):AutonomousSystem,AS背景介紹◇對互聯網健康穩(wěn)定具有直接且重要影響域間路由系統(tǒng)是不同自治域之間實現互連互通的紐帶��。一旦域間路由系統(tǒng)遭到破壞�����,整個互聯網將陷入癱瘓�����。背景介紹◇對互聯網健康穩(wěn)定具有直接且重要影響◇攻擊的手段越來越復雜
2�、��,危害也越來越大近年來��,域間路由系統(tǒng)安全技術的研究取得了一定進展��,但是相關安全事件仍時有發(fā)生��,且攻擊手段越來越復雜�,造成的損失也越來越嚴重。背景介紹背景介紹域間路由路徑真實性驗證基于協同的域間路由路徑真實性驗證機制DAIR域間路由系統(tǒng)協同監(jiān)測激勵基于博弈的域間路由協同監(jiān)測激勵策略GTISBGP沒有提供任何驗證路徑(AS_PATH)真實性的機制,發(fā)起路徑偽造攻擊較為容易���,且只要網絡連接性沒有被破壞��,就難以發(fā)現受到此類攻擊���。已有的BGP安全方案不能有效解決偽造路徑類型攻擊的問題?!弧栴}描述基于協同的域間路由路徑真實性驗證機制驗證路徑真實性���,即是驗證路徑所
3�����、含鄰接的真實性��,而驗證鄰接真實性的途徑主要有兩種:查詢本地路由信息數據庫和詢問對等節(jié)點�����?�!?�、相關研究不足:由于本地路由信息庫存在更新不及時���、信息不全面等局限性�,若僅利用其來驗證路徑真實性��,誤報率較高�����。①通過查詢本地路由信息庫驗證鄰接真實性的過程:AS直接查詢本地路由信息庫��,驗證鄰接的真實性基于協同的域間路由路徑真實性驗證機制→二����、相關研究yz不足:若路徑中的每條鄰接都通過查詢對等節(jié)點來判斷其真實性����,驗證的效率將很低。問:鄰接linkyz是否存在����?答:鄰接linkyz存在查找(鄰居關系表)②通過詢問對等節(jié)點驗證某鄰接真實性的過程:基于協同的域間路由路徑真
4、實性驗證機制基本思想:參與節(jié)點首先通過查詢位于本地的全局鄰接數據庫驗證鄰接的真實性���,若有鄰接不存在����,則向關聯對等節(jié)點發(fā)起詢問請求,查詢鄰接的存在性��,從而驗證更新報文AS_PATH屬性的真實性����。→三���、DAIR基本思想借鑒分布式安全驗證的思想�,提出一種基于協同查詢的域間路由路徑真實性驗證機制DAIR��?��;趨f同的域間路由路徑真實性驗證機制DAIR組成結構→四����、DAIR組成結構AS自身的鄰接信息由AS自行維護并定期通過DAIRServer向EBGPdatabase提交����,EBGPdatabase利用這些信息生成全局EBGP信息��,并保存于數據庫���。DAIRServer
5、也需要定期從EBGP數據庫下載最新的全局EBGP信息���,以為BGP路由器驗證AS_PATH的真實性提供可靠的鄰接信息���。DAIRServer:存儲兩類信息,AS自身的鄰接信息和從全局數據庫下載得到的EBGP信息���;EBGPdatabase:集中式保存域間路由系統(tǒng)的所有連接信息����;基于協同的域間路由路徑真實性驗證機制針對DAIR節(jié)點間���、DAIR節(jié)點與全局數據庫的信息交互效率和安全問題���,提出三個具體策略:鄰接注冊策略ARP�、鄰接真實性驗證策略ATVP和查詢限制策略QRP。鄰接注冊策略ARP�,用于驗證各DAIR節(jié)點上傳的鄰接信息是否有效的策略����。鄰接真實性驗證策略ATV
6���、P:DAIR節(jié)點驗證更新報文AS_PATH屬性某一鄰接真實性的策略����。查詢限制策略QRP:節(jié)點接受或拒絕其它對等節(jié)點發(fā)起查詢請求的策略��?��;趨f同的域間路由路徑真實性驗證機制→四�、DAIR組成結構mNode為存儲一個鄰接節(jié)點信息所需空間����,mLink(mLink>mNode)為存儲一條鄰接邊信息所需空間,dmax為最大節(jié)點度�,nLink為系統(tǒng)總鄰接數1.性能分析--存儲開銷任意參與節(jié)點i的存儲開銷M(i)滿足以下條件→五、分析與評估對于域間路由系統(tǒng)的3萬多個節(jié)點�����,約90%的節(jié)點的鄰接數量小于4�,且最大的節(jié)點度也僅為2631����,總鄰接數約為75000�����,即任意DAI
7�����、R節(jié)點所需存儲空間M(i)≤(2631*mNode+75001*mLink)<(77631*mLink)����,屬于合理范圍。下面分析DAIR機制的性能以及DAIR機制的安全性:基于協同的域間路由路徑真實性驗證機制tNode為查詢一次鄰接表的平均時間開銷�����,tLink為查詢一次全局EBGP表的平均時間開銷1.性能分析--時間開銷驗證包含k條鄰接的AS_PATHj的真實性所需時間開銷T(j)為查找節(jié)點j是否為節(jié)點i的鄰接節(jié)點的查找長度ASL1≤Num(i)�,驗證linkij真實性的查詢長度ASL2≤1+m,其中m=max(Num(i),Num(j))���。對于域間路由
8����、系統(tǒng)����,節(jié)點度最大為2631,即ASL1≤2631���,ASL2≤2632�?���?梢姡炞C
