题名 SE-BGP:一种BGP安全机制
被引量:20
1
作者
胡湘江 朱培栋 龚正虎
机构
国防科学技术大学计算机学院
出处
《软件学报》
EI
CSCD
北大核心
2008年第1期167-176,共10页
基金
Supported by the National Natural Science Foundation of China under Grant No.60673169 (国家自然科学基金) the National Basic Research Program of China under Grant No.2003CB314802 (国家重点基础研究发展计划(973)) the National High-Tech Research and Development Plan of China under Grant No.2006AA01Z213 (国家高技术研究发展计划(863))
文摘
BGP(bordergatewayprotocol)协议的安全是Internet路由系统安全的关键.目前已提出多种BGP安全机制,但都未能得到部署.对BGP安全机制的部署问题进行深入分析,利用AS(autonomous system)结构的Rich-Club特性,提出AS联盟的概念,设计了一种BGP安全机制:SE-BGP(security enhanced BGP).SE-BGP采用基于AS联盟的安全体系结构,使用一种具有分布式认证中心的新的信任模型——TTM(translato rtrust model).设计了基于TTM模型的认证算法,给出了基于现有BGP协议的扩充实现方法.与已有的安全机制相比,SE-BGP在保证安全能力的同时,所需的证书规模大约为原有机制的1%,具有良好的可扩展性.
关键词
bgp 安全 SEbgp AS 联盟 信任模型 TTM
Keywords
bgp (border gateway protocol) security SE-bgp (security enhanced bgp ) AS (autonomous system) alliance trust model TTM (translator trust model)
分类号
TP393
[自动化与计算机技术—计算机应用技术]
题名 标准模型下可证明安全的BGP路由属性保护机制
被引量:8
2
作者
李道丰 王高才 王志伟 钟诚 李陶深
机构
广西大学计算机与电子信息学院 广西高校并行分布式计算技术重点实验室 南京邮电大学计算机学院
出处
《计算机学报》
EI
CSCD
北大核心
2015年第4期859-871,共13页
基金
国家自然科学基金(61262003 61373006 +4 种基金 61362010) 广西自然科学(2011GXNSFA018152) 广西教育厅基金(YB2014008 2013YB007) 广西大学自然科学基金(XBZ110905)资助~~
文摘
BGP路由协议是目前大多数网络基础设施所采用的重要协议之一.随着网络攻击技术的发展,如何构造安全且容易部署的BGP协议保护机制,仍然是安全路由协议研究中的热点问题.文中提出标准模型下可证明安全的BGP协议的路由属性保护机制——Identity-based Sanitizable Signature Path Verification(简称IDSPV).IDSPV机制采用基于身份的密码学思想以及可净化签名方案的优点.并结合BGP路由协议特征,在无需证书的条件下,仅需将自己的更新报文签名后再添加到AS_PATH路径中,为BGP路由属性完整性和真实性提供保护.避免证书存储和管理开销.另外,文中给出保护AS_PATH路由属性的安全模型,利用规约技术,在标准模型下给出IDSPV机制的安全证明.通过安全性和性能方面的分析可知,与现有方案相比,IDSPV机制更易于在实际网络中部署.
关键词
标准模型 边界网关协议 可证明安全 路由属性保护 可净化签名
Keywords
standard model border gateway protocol (bgp ) provable secur e path attribute protection sanitizable signature
分类号
TP393
[自动化与计算机技术—计算机应用技术]
题名 基于前缀分配路径长度的BGP源自治系统验证机制
被引量:7
3
作者
王娜 张建辉 马海龙 汪斌强
机构
解放军信息工程大学电子技术学院 解放军信息工程大学信息工程学院
出处
《电子学报》
EI
CAS
CSCD
北大核心
2009年第10期2220-2227,共8页
基金
国家973重点基础研究发展规划(No.2007CB307100 No.2007CB307102) 国家863高技术研究发展计划(No.2007AA01Z2A1)
文摘
发现目前安全性得到广泛认可的BGP源自治系统验证机制(如S-BGP)会受到一种上层ISP(Internet Service Provider,Internet服务提供商)前缀劫持攻击.这些机制基于前缀的分配路径,仅能保证前缀被分配路径上的ISP授权自治系统发起,不能保证被分配路径上最后一个ISP(即前缀的拥有ISP)授权自治系统发起.只有获得前缀拥有ISP授权的自治系统才是该前缀的合法源自治系统.本文提出了一种基于前缀分配路径长度的源自治系统验证机制---LAP(the Length of Assignment Path,分配路径长度).基本思想是任一发出前缀可达路由通告的自治系统都必须提供该前缀的分配路径及证明,只有提供前缀最长有效分配路径的自治系统才是该前缀的合法源自治系统.LAP可保护域间路由系统免受有效前缀劫持、子前缀劫持、未使用前缀劫持,特别是上层ISP前缀劫持攻击,可无缝应用于BGP安全方案和一些下一代域间路由协议中.
关键词
bgp 安全 前缀劫持
Keywords
bgp (the border gateway protocol) security prefix hijacking
分类号
TP393
[自动化与计算机技术—计算机应用技术]
题名 一种防范BGP地址前缀劫持的源认证方案
被引量:5
4
作者
刘志辉 孙斌 谷利泽 杨义先
机构
北京邮电大学信息安全中心
出处
《软件学报》
EI
CSCD
北大核心
2012年第7期1908-1923,共16页
基金
国家自然科学基金(61003285) 国家重点基础研究发展计划(973)(2007CB310704) 教育部科学技术研究重点项目
文摘
提出了一种基于线索平衡二叉排序哈希树认证委分字典的安全高效的源认证(origin authentication,简称OA)方案,用于防范BGP地址前缀劫持攻击.基于Aiello和McDaniel等人提出的OA服务,通过数值区间对AS号和IP地址前缀这两种BGP前缀宣告资源进行了统一的形式化定义,采用一种方案同时解决了两种前缀宣告资源的源可信问题.该方案不仅解决了原OA服务中存在的"无效分配关系的证据量是有效分配关系证据量的两倍"的问题,而且与原OA服务相比,该方案建树所需要的总节点数降低约一半.同时,委分证据集合的平均长度更小.因此,该源认证方案效率更高.
关键词
源认证 前缀劫持 bgp (border gateway protocol )AS号 IP地址前缀
Keywords
origin authentication prefix hijacking bgp (border gateway protocol) AS number IP address prefix
分类号
TP309
[自动化与计算机技术—计算机系统结构]
题名 域间IP欺骗防御服务增强机制
被引量:4
5
作者
吕高锋 孙志刚 卢锡城
机构
国防科学技术大学计算机学院
出处
《软件学报》
EI
CSCD
北大核心
2010年第7期1704-1716,共13页
基金
国家重点基础研究发展计划(973)Nos.2005CB321801 2009CB320503~~
文摘
IP地址真实性验证成为构建可信网络的基础,基于源-目的标识(密钥)的自治域级IP欺骗过滤和基于源标识(公钥)的端系统级IP认证均采用了端-端方式试图解决IP欺骗.端-端认证方式实现简单,但却忽略了IP欺骗报文对中间网络的泛洪攻击,防御效果差.提出面向IP欺骗防御联盟成员的域间IP欺骗防御服务增强机制——ESP(enhanced spoofing prevention).ESP引入开放的路由器协同机制,提供了源-目的路径中ESP节点信息通告和协同标记的框架.基于源标识IP欺骗防御,ESP融入了路径标识,不仅减小了源标识冲突概率,而且混合型标识支持了ESP节点根据报文标识提前过滤IP欺骗报文.基于BGP(border gateway protocol),提出前缀p-安全节点的概念和检测理论,有效控制了源标识传播范围,减小了ESP节点的标记和过滤开销.ESP继承了基于标识的防御机制的可部分部署性,能够很好地支持动态路由和非对称路由.应用Routeview提供的RIB(routing information base)进行评估,ESP增强了IP欺骗防御服务的能力,而且能够提前过滤IP欺骗报文.
关键词
IP欺骗防御 bgp (border gateway protocol )可信网络
Keywords
IP spoofing prevention bgp (border gateway protocol) trustworthy network
分类号
TP393
[自动化与计算机技术—计算机应用技术]
题名 一种轻量化的边界网关协议路径验证机制
被引量:4
6
作者
赵宸 孙斌 杨义先 杨焱
机构
北京邮电大学信息安全中心 北京邮电大学灾备技术国家工程实验室 北京交通大学轨道交通控制与安全国家重点实验室
出处
《电子与信息学报》
EI
CSCD
北大核心
2012年第9期2167-2173,共7页
基金
国家自然科学基金(61121061) 国家重大科技专项(2011ZX03002-005-01) 轨道交通控制与安全国家重点实验室(北京交通大学)开放课题基金(2010K010)资助课题
文摘
由于边界网关协议(Border Gateway Protocol,BGP)存在安全问题,路径信息(AS_PATH属性)易遭受各种攻击。已有的路径验证方案中,过程复杂和开销巨大严重阻碍了方案的实际部署。基于对AS_PATH属性的分析,该文提出一种轻量化的BGP路径验证机制—FTAPV(First-Two-AS based Path Verification)。FTAPV中,更新报文只需要携带AS_PATH中前两个AS的签名信息就可以有效地为路径信息提供保护。安全分析和性能评估表明,与已有方案相比,该机制在保证安全能力的同时,有效地减少了路由资源的消耗和所需证书的规模,具有良好的可扩展性。
关键词
信息安全 边界网关协议(bgp ) 路径验证 First-Two-AS
Keywords
Information security border gateway protocol (bgp ) Path verification First-Two-AS
分类号
TP393
[自动化与计算机技术—计算机应用技术]
题名 边界网关协议的攻击分析与安全防范
被引量:2
7
作者
蔡昭权
机构
惠州学院网络中心
出处
《计算机工程》
CAS
CSCD
北大核心
2008年第5期145-147,共3页
基金
惠州市科技计划基金资助项目(2006P42) 惠州学院科研基金资助项目(C_206.0205)
文摘
分析边界网关协议(BGP)当前版本中存在的漏洞和脆弱性,指出可能遭受的基于TCP及自身漏洞的攻击。提出BGP的安全威胁模型和防范策略,以及如何对协议功能进行扩展的措施。以CISCO路由器为例,给出典型的安全防范配置。实践证明,通过访问控制列表、数字签名、路由过滤、源地址检测和协议扩展方案,可以有效提高网络的安全性和稳定性。
关键词
路由协议 漏洞 攻击 防范 安全 边界网关协议
Keywords
routing protocol loopholes attack precaution security border gateway protocol (bgp )
分类号
TP303
[自动化与计算机技术—计算机系统结构]
题名 一种基于故障时间的可调域间出口选择算法
8
作者
刘亚萍 龚正虎
机构
国防科学技术大学计算机学院
出处
《软件学报》
EI
CSCD
北大核心
2007年第12期3080-3091,共12页
基金
Supported by the National Basic Research Program of China under Grant No.2003CB3148020(国家重点基础研究发展计划(973)) the National Natural Science Foundation of China under Grant No.90204005(国家自然科学基金)
文摘
在大型Internet服务提供商中,BGP(border gateway protocol)出口路径选择常常采用"热土豆"机制.然而研究表明,该机制具有相当大的局限性以及出口调节的间接性,它容易影响域间路由的健壮性.针对"热土豆"机制的缺点,出现了一些新的BGP出口路径选择机制和算法.然而,这些方法在解决问题时往往忽略网络运行过程中经常出现的IP链路故障或故障持续时间的影响,提出了一种基于故障时间的可调域间出口路径选择算法,该算法能够根据流量工程的目标、路由稳定性等要求进行动态的调整,同时满足路由变化的实时性.模拟实验结果表明。
关键词
bgp (border gateway protocol )流量工程 路由项 转发路径 路由稳定性
Keywords
bgp (border gateway protocol) traffic engineering route prefix forwarding path routing stability
分类号
TP393
[自动化与计算机技术—计算机应用技术]
