防范前綴劫持的BGP安全機(jī)制研究和實(shí)現(xiàn).pdf

1、BGP前綴劫持攻擊(prefix hijacking)能夠劫持自治系統(tǒng)間的網(wǎng)絡(luò)流量，造成大規(guī)模的網(wǎng)絡(luò)震蕩，具有巨大的危害性，是現(xiàn)今BGP網(wǎng)絡(luò)安全的研究熱點(diǎn)。
　　本文對(duì)BGP前綴劫持攻擊防范機(jī)制進(jìn)行了深入的分析和研究，針對(duì)BGP前綴劫持攻擊防范機(jī)制中存在的可部署性與安全性的矛盾問題以及安全漏洞，提出了一種綜合性前綴劫持攻擊防范系統(tǒng)。系統(tǒng)的主要思想是根據(jù)自治系統(tǒng)（AS）的聚集系數(shù)對(duì)網(wǎng)絡(luò)進(jìn)行劃分，對(duì)于聚集系數(shù)小的AS，部署基于AS小組

2、的聯(lián)合式前綴劫持檢測機(jī)制，對(duì)于聚集系數(shù)大的AS，則部署基于IP前綴和AS號(hào)碼分配證明的防范前綴劫持的方法。系統(tǒng)的主要安全技術(shù)為以下兩個(gè)方面：
　　1.基于AS小組的聯(lián)合式前綴劫持檢測機(jī)制。本文在深入研究BGP前綴劫持攻擊檢測機(jī)制的基礎(chǔ)上，根據(jù)其不能有效檢測路徑劫持的前綴劫持攻擊的不足，提出了基于AS小組的聯(lián)合式前綴劫持檢測機(jī)制，此機(jī)制通過AS小組之間的網(wǎng)絡(luò)拓?fù)溥B接交互探測，能夠有效的檢測路徑劫持的前綴劫持攻擊。通過仿真可以看出，基

3、于AS小組的聯(lián)合式前綴劫持監(jiān)測機(jī)制能夠有效的檢測出路徑劫持的前綴劫持攻擊和其他前綴劫持攻擊。
　　2.基于IP前綴和AS號(hào)碼分配證明的防范前綴劫持的方法。本文在深入研究BGP前綴劫持攻擊防御機(jī)制的基礎(chǔ)上，根據(jù)其不能抵御上層 ISP前綴劫持攻擊的安全漏洞，提出了基于IP前綴和AS號(hào)碼分配證明的防范前綴劫持的方法，此方法能夠有效抵御上層 ISP前綴劫持攻擊以及其他前綴劫持攻擊。通過從正確性、性能和安全性對(duì)此方法進(jìn)行的評(píng)估，證明其完全可

4、以滿足域間網(wǎng)絡(luò)安全性需求，而且性能可以接受。
　　本文首先介紹了論文的研究背景、問題由來和研究意義，并對(duì)本文的相關(guān)研究現(xiàn)狀和主要研究內(nèi)容進(jìn)行了說明。
　　然后，本文簡要介紹域間路由和BGP協(xié)議及其屬性，從而引出BGP前綴劫持攻擊。本文對(duì)現(xiàn)有防范BGP前綴劫持攻擊的攻擊防御機(jī)制和攻擊檢測機(jī)制進(jìn)行了深入研究，詳細(xì)分析了現(xiàn)存機(jī)制中的安全漏洞，發(fā)現(xiàn)攻擊防御機(jī)制不能夠抵御一種叫做上層 ISP前綴劫持的攻擊，而攻擊檢測機(jī)制對(duì)于路徑劫持的

5、前綴劫持攻擊不能夠有效檢測，還發(fā)現(xiàn)現(xiàn)存安全防范機(jī)制的主要矛盾是可部署性與安全性的平衡性問題。針對(duì)上述安全性和平衡性問題，提出了一種綜合性前綴劫持攻擊防范系統(tǒng)。
　　本文的貢獻(xiàn)和創(chuàng)新主要包含三個(gè)方面：
　　1.研究了現(xiàn)存防范BGP前綴劫持攻擊的安全機(jī)制的主要矛盾，即安全性和可部署性之間的平衡問題，通過計(jì)算AS的聚集系數(shù)對(duì)域間網(wǎng)絡(luò)進(jìn)行劃分來部署不同的安全機(jī)制，有效的解決了安全性和可部署性之間的平衡性問題。
　　2.研究了B