题名 支持域间分布式分组过滤的BGP扩展
被引量:3
1
作者
王立军 吴建平 徐恪
机构
清华大学计算机科学与技术系
出处
《软件学报》
EI
CSCD
北大核心
2007年第12期3048-3059,共12页
基金
Supported by the National Natural Science Foundation of China under Grant No.60473082(国家自然科学基金) the National Basic Research Program of China under Grant No.2003CB314801(国家重点基础研究发展计划(973))
文摘
可信任是下一代互联网的重要特征.目前,互联网的路由系统只按照分组的目的IP地址转发分组,携带虚假源IP地址的伪造分组也会被传输到目的地,这会在威胁接收方安全的同时,隐藏发送方的真实身份.可信任互联网的路由系统不仅需要能够正确地转发分组,而且能够验证分组来自正确的发送方.基于路由的域间分布式分组过滤是过滤伪造分组的有效方法.提出了BGP的路由选择通知功能扩展,为域间分组过滤提供过滤标准.在扩展的支持下,边界路由器能够鉴别进入本自治系统的分组的真实性,过滤掉伪造其他自治系统地址的分组.模拟结果表明,路由选择通知不会对BGP正常的路由功能产生负面影响,选择合理的路由选择时钟参数,可以在同时取得较小带宽开销和较快收敛速度的情况下,为域间分布式分组过滤提供支持.
关键词
可信任互联网 边界网关协议 域间路由 分布式分组过滤
Keywords
trustworthy Internet border gateway protocol (BGP) inter-domain routing distributed packets filtering
分类号
TP393
[自动化与计算机技术—计算机应用技术]
题名 基于域间路由的分布式分组过滤有效性研究
被引量:1
2
作者
王立军
机构
清华大学信息网络工程研究中心
出处
《软件学报》
EI
CSCD
北大核心
2012年第8期2130-2137,共8页
文摘
消除伪造源地址分组是互联网安全可信的内在要求.基于路由的分布式分组过滤具有良好的效果,但是目前对其有效性缺乏严密的理论分析.基于域间路由传播和互联网拓扑的分层特征,建立路由传播教模型和理想AS图模型,以此为工具分析了基于域间路由的最大过滤和半最大过滤有效性.结论印证并从理论上解释了前人研究中的实验结果.最大过滤能够消除绝大多数的伪造分组,虽然无法达到100%,但可以将伪造成功的自治系统数量限制为互联网AS路径的平均长度.在理想AS图上,半最大过滤与最大过滤的有效性相同,但是存储和计算开销要小很多,为实际中部署半最大过滤提供了理论依据.理论模型分析揭示了基于域间路由的分布式分组过滤的内在优缺点,有助于设计辅助措施和在整个互联网全面而合理地部署.
关键词
域间路由 伪造分组 分布式分组过滤
Keywords
inter-domain routing spoofed packet distributed packet filtering
分类号
TP393
[自动化与计算机技术—计算机应用技术]
