域間路由協(xié)議安全研究

孔令晶,張平安,黃國偉,劉星明,張海平

（深圳信息職業(yè)技術(shù)學(xué)院計算機(jī)學(xué)院，深圳 518172）

【信息技術(shù)應(yīng)用研究】

域間路由協(xié)議安全研究

孔令晶,張平安,黃國偉,劉星明,張海平

（深圳信息職業(yè)技術(shù)學(xué)院計算機(jī)學(xué)院，深圳 518172）

作為目前整個互聯(lián)網(wǎng)唯一使用的外部網(wǎng)關(guān)協(xié)議，BGP（Border Gateway Protocol）承擔(dān)了網(wǎng)絡(luò)信息傳遞的重要作用。但由于BGP本身的設(shè)計缺陷，使其很容易遭受攻擊者的攻擊，從而直接導(dǎo)致網(wǎng)絡(luò)的不可訪問或部分癱瘓。本文分析了BGP設(shè)計的不足之處，討論了BGP所存在的安全漏洞，并對BGP所面臨的主要安全威脅——前綴劫持和路徑篡改進(jìn)行了深入透析。其次分類探討了現(xiàn)有BGP的安全防護(hù)機(jī)制，并對不同的防護(hù)機(jī)制進(jìn)行了對比分析。最后，對未來BGP安全的研究趨勢進(jìn)行了展望。

BGP；安全漏洞；防護(hù)機(jī)制

幾十年來，互聯(lián)網(wǎng)技術(shù)已經(jīng)深入到人類社會的各個方面，成為當(dāng)今社會信息交換的基礎(chǔ)。事實(shí)上，信息的交換是通過多個路由器的相互轉(zhuǎn)發(fā)而實(shí)現(xiàn)的，而信息是否能夠順利轉(zhuǎn)發(fā)到正確目的地（即數(shù)據(jù)層面的傳輸）的前提和基礎(chǔ)則取決于控制層面的路由協(xié)議。

追溯到上世紀(jì)80年代，為了解決Internet的可擴(kuò)展性問題，Internet被劃分為多個自主管理的AS（Autonomous System）[1]進(jìn)行分布式管理。每個AS內(nèi)部的路由器之間可以使用同種或多種內(nèi)部網(wǎng)關(guān)協(xié)議 IGP（Interior Gateway Protocol）轉(zhuǎn)發(fā)路由信息，諸如RIP（Routing Information Protocol）[2]，OSPF（Open Shortest Path First）[3]，IS-IS（Intermediate System-to-Intermediate System）[4]。與其他兩種路由協(xié)議相比，OSPF則更適宜于較大規(guī)模的網(wǎng)絡(luò)。而在AS之間，使用了唯一的域間路由協(xié)議BGP（Border Gateway Protocol）[5]來實(shí)現(xiàn)路由信息的交換。早在1989年，互聯(lián)網(wǎng)工程任務(wù)組（Internet Engineering Task Force,IETF）提出了BGP的第一個版本，歷經(jīng)幾個版本的修訂之后，1994提出的BGP-4一直沿用至今，成為目前互聯(lián)網(wǎng)中唯一使用的BGP版本。

BGP作為AS與AS之間信息的傳輸橋梁，是全世界互聯(lián)通信得以實(shí)現(xiàn)和網(wǎng)絡(luò)正常運(yùn)行的關(guān)鍵路由協(xié)議，一直以來都處于非常重要的地位。但由于BGP是在默認(rèn)為可信的網(wǎng)絡(luò)環(huán)境下設(shè)計的，所以BGP本身并沒有設(shè)計任何安全機(jī)制，使得它極易受到攻擊，引發(fā)網(wǎng)絡(luò)安全事故，導(dǎo)致網(wǎng)絡(luò)無法正常運(yùn)行。最著名的BGP安全事件當(dāng)屬發(fā)生在巴基斯坦的劫持Youtube事件[6]，其結(jié)果使得著名的視頻網(wǎng)站Youtbe癱瘓近一個小時。而近些年來，BGP的安全事件依舊不斷發(fā)生，譬如，發(fā)生在印度尼西亞的路由泄露時間[7]，發(fā)生在美國的Srpint劫持事件[8]?？梢?，BGP本身的脆弱性給網(wǎng)絡(luò)所帶來的威脅不可小覷。

正因?yàn)槿绱?，一直以來，BGP的安全問題都備受研究人員的關(guān)注。從最早的S-BGP（Secure BGP）[9]、Cisco的soBGP（Secure Origin BGP）[10]，歷經(jīng)十多年的發(fā)展，BGP安全的研究在不斷地深入，解決方法在不斷地改進(jìn)。但是由于BGP安全問題所涉及的范圍過為廣泛，加之問題復(fù)雜，時至今日，它仍然是亟待解決的問題。

本文通過分析BGP所存在的安全問題，以BGP安全防護(hù)機(jī)制作為主要研究對象，作出了以下幾個主要貢獻(xiàn)：

（1）深入分析BGP所存在的安全性問題。

（2）研究并透析現(xiàn)存典型的BGP安全增強(qiáng)方案。

（3）對比BGP安全增強(qiáng)方案，分析其優(yōu)勢和劣勢。

（4）對BGP安全的研究趨勢進(jìn)行展望。

1　域間路由協(xié)議BGP安全問題

1.1BGP簡介

BGP是基于TCP可靠連接的距離矢量協(xié)議，旨在交換AS之間的網(wǎng)絡(luò)可達(dá)信息（Network Reachable Information,NLRI），為信息的交換和轉(zhuǎn)發(fā)選擇最佳傳輸路徑。BGP[5]的四種消息類型中只有UPDATE消息是路由信息轉(zhuǎn)發(fā)的真正載體，也是BGP安全所關(guān)注的消息類型。UPDATE消息主要包括NLRI和路徑屬性（Path Attributes,PA）兩個重要可變字段。NLRI包括IP地址前綴，即無類別域間路由（Classless Inter-Domain Routing,CIDR）地址塊，其作用是向其他AS宣告它是某IP地址前綴的所有者。而PA中的AS_PATH則是7個屬性中最為重要的一個屬性，指明了路由信息在傳遞過程中途徑的AS信息，并成為路由表建立、更新以及路徑選擇的重要依據(jù)。從某種意義上講，BGP發(fā)言者之間實(shí)際上是在傳遞NLRI和AS_PATH兩種信息。而從安全角度來講，NLRI和AS_PATH自然成為了最容易受到攻擊的部分。

1.2BGP安全漏洞分析

基于以上BGP協(xié)議的基本介紹，可以進(jìn)一步得知它的安全問題主要源于BGP本身的三個缺陷[11]：

（1）基于TCP傳輸路由信息的BGP無法彌補(bǔ)TCP協(xié)議本身的缺陷。

（2）BGP本身沒有設(shè)計相應(yīng)的機(jī)制驗(yàn)證某個AS已被授予宣告NLRI信息的權(quán)利。

（3）BGP本身沒有設(shè)計相應(yīng)的機(jī)制保證某個AS所宣告的路徑屬性的真實(shí)性。

針對第一種安全漏洞，較常用的方法是在TCP尾部形成相應(yīng)的摘要或使用IPsec（Internet Protocol Security）[12]來保障消息在傳遞過程的安全性，它主要源于TCP協(xié)議的不足。而（2）和（3）是由于BGP協(xié)議本身的設(shè)計缺陷而引起的安全漏洞，是BGP安全研究領(lǐng)域最為關(guān)注的部分，也是本文所要研究的重點(diǎn)內(nèi)容。接下來將進(jìn)一步分析這兩部分缺陷所引起的BGP安全問題：

（1）前綴劫持（Prefix Hijacking）[13]

通常情況下，這種類型的攻擊主要包括前綴劫持和子前綴劫持兩個類型。此處的前綴是指IP地址空間塊，前綴劫持是指某個惡意或配置錯誤的AS假冒為某個本不屬于它的IP地址空間的所有者，而子前綴劫持是指某個惡意AS或配置錯誤的AS宣告了比源IP地址更為詳盡的IP地址前綴。兩種攻擊都將使得網(wǎng)絡(luò)數(shù)據(jù)流向了錯誤的目的地址，導(dǎo)致惡意AS對網(wǎng)絡(luò)實(shí)施非法行為，譬如破壞性地篡改數(shù)據(jù)，獲取大量的敏感信息等等。

（2）路徑信息篡改

針對UPDATE消息的AS_PATH，攻擊者可以實(shí)施以下攻擊：

1）添加AS元素：如果攻擊者在AS_PATH添加了1個或多個AS，會導(dǎo)致信息傳輸?shù)穆窂皆黾?，造成延遲等網(wǎng)絡(luò)性能問題。如果攻擊者在AS_PATH添加了某個惡意AS，那么此惡意AS可以從流經(jīng)它本身的網(wǎng)絡(luò)流中獲取敏感信息（諸如密碼）。如果攻擊者在AS_PATH添加某個已存在的AS元素，會由于回路檢測的原因，丟棄此UPDATE消息。如果攻擊者在AS_PATH尾部添加某AS元素，也就是修改了宣告者的AS標(biāo)識，那么就會轉(zhuǎn)化成前綴劫持的安全問題，使得網(wǎng)絡(luò)信息流向被添加的AS。

2）修改AS元素：此種攻擊方式除了1）中的情況不會發(fā)生，其他3中情況都會發(fā)生，即，攻擊者可以通過將AS_PATH中的某個AS元素修改為某惡意AS，或修改AS_PATH中的某個AS元素為已存在的AS元素，亦或?qū)S_PATH尾部的元素修改為另一個AS元素，都會發(fā)生與1）相同的結(jié)果。

3）刪減AS元素：如果攻擊者刪減AS_PATH中的某個AS元素，使得路由長度縮短，將有可能導(dǎo)致此路由成為最有路由，使得惡意AS可以獲取經(jīng)過此路由的大量信息。如果攻擊者刪減AS_PATH的尾部，也就是改變了IP地址前綴的宣告者，從而引發(fā)前綴劫持安全事件。

2　BGP 安全增強(qiáng)方案

針對BGP的安全問題，常用的安全防御方法較為簡單，主要有路由注冊（Routing Registries）[14]、路由抑制[15]、GSTM（The Generalized TTL Security Mechanism）[16]、路由過濾（Routing Filtering）[17]，但它們的安全防護(hù)能力非常有限，無法從根本上解決BGP的安全問題，也就是說BGP依舊面臨著嚴(yán)重的安全威脅。所以當(dāng)前的研究工作更集中于對BGP安全增強(qiáng)方案的研究，試圖根本性地保障BGP的安全性?？傮w來說，BGP的安全增強(qiáng)方案可以分為以下幾個類別：

（1）借助密碼學(xué)技術(shù)的BGP安全增強(qiáng)方案。

（2）借助異常檢測的BGP安全增強(qiáng)方案。

（3）上述兩種技術(shù)的混合方案。

下面將分別介紹每種類別中的最具代表性的BGP安全增強(qiáng)方案。

2.1借助密碼學(xué)技術(shù)的BGP安全增強(qiáng)方案

此方案大多是采用公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure,PKI）[18]、加解密相關(guān)技術(shù)，保證路由信息的安全性。其中最為經(jīng)典的解決方案便是S-BGP。

（1）S-BGP

S-BGP[9]是Kent等人在2000年左右提出最早的完整的BGP安全解決方案，也是BGP安全研究歷史中的先祖。

S-BGP使用兩個PKI負(fù)責(zé)IP地址空間的所有者、AS號的所有者、AS身份以及BGP發(fā)言者的身份認(rèn)證工作。上述認(rèn)證信息通過三種X.509 v3[19]證書所指定,不同的證書具有不同的功能。第一種證書將公鑰、機(jī)構(gòu)與IP地址空間綁定在一起，證明某個AS是此IP地址空間的所有者，或某個AS已被授予宣告此IP地址空間的權(quán)利。第二種證書將公鑰、機(jī)構(gòu)和AS號綁定在一起，第三種證書將公鑰、AS號和BGP路由器ID綁在了一起。后兩種證書聯(lián)合在一起能夠使某個BGP 發(fā)言者驗(yàn)證另外一個BGP發(fā)言者身份的真實(shí)性，也能夠證明BGP發(fā)言者是某個AS的代表路由器。

安全驗(yàn)證工作是由S-BGP的核心部分“確認(rèn)（Attestation）”所實(shí)現(xiàn)的。所謂的“確認(rèn)”是指由來自PKI的私鑰和公鑰對路由信息進(jìn)行簽名，證明路由信息起源的真實(shí)性以及簽名者身份的可信性。S-BGP定義了兩種“確認(rèn)”：地址前綴確認(rèn)（Address Attestation,AA）和路由確認(rèn)（Route Attestation,RA）。AA能夠證明某個AS已被授予宣告某個IP地址空間的權(quán)利，RA則能夠AS路徑中的每一個AS都已前一個AS授予宣告此路由信息的權(quán)利。AA和RA保證了路由信息起源的真實(shí)性，同時也確保了在傳輸過程中未遭受惡意篡改和攻擊事件的發(fā)生。

從整個安全角度來說，S-BGP是非常嚴(yán)格的，但是至今S-BGP并未被真正部署，也是由于受到可行性的限制。首先集中式的PKI認(rèn)證模式，使得S-BGP不利于擴(kuò)展；其次“洋蔥模式”的“確認(rèn)”也給驗(yàn)證工作帶來了繁重的負(fù)擔(dān)；再次，若要將全球使用的BGP轉(zhuǎn)化為S-BGP安全協(xié)議，也是較為困難的工作。

（2）soBGP

soBGP是基于S-BGP，主要由Cisco設(shè)計并提出的更易于部署的安全解決方案[10][20]。雖然soBGP的路徑信息驗(yàn)證屬于異常檢測部分，但是本文將其歸于第一類的主要原因是此方案的核心依舊是以密碼學(xué)技術(shù)為主的方法。

與S-BGP不同，soBGP定義了一種新的消息——安全消息（Security Message）來傳遞三種不同的證書，實(shí)現(xiàn)路由信息的驗(yàn)證。三種證書分別是：實(shí)體證書（Entity Certificate,EC），授權(quán)證書（Authorization Certificate,AC）和策略證書（Policy Certificate,PC）。

EC通過一種信任模型（Web of Trust）驗(yàn)證每個AS身份的真實(shí)性。路由系統(tǒng)內(nèi)的每個實(shí)體都將產(chǎn)生一對公/私鑰，公鑰與某個實(shí)體（AS）綁定在一起，并被第三方（AS）簽名，形成一個信任網(wǎng)，如圖1所示：

圖1　EC證書Fig.1 EC certificates

AC證書則用來證明某AS已被授權(quán)宣告某個特定IP地址空間。AC證書將一個AS和一個IP地址空間綁定在一起，見圖2所示。而PC證書不僅僅包含了AC證書（封裝了AC證書），同時還提供了宣告此IP地址空間所對應(yīng)的策略。策略中主要包括到達(dá)目的地址的AS列表信息，這個列表也將成為路徑信息驗(yàn)證的重要依據(jù)。

圖2　AC證書Fig.2 AC certificates

soBGP利用PC證書中的AS列表信息，建立整個網(wǎng)絡(luò)互連的路徑拓?fù)鋱D。通過將所接收到消息中的路徑信息與拓?fù)鋱D的對比，確認(rèn)路徑信息是否合法。

顯然，soBGP避免了S-BGP使用等級式的PKI認(rèn)證信息，很大程度改善了部署難的問題，而路徑信息驗(yàn)證采用了較為寬松的匹配方法，減少了S-BGP繁重的驗(yàn)證任務(wù)。但是從安全角度來看，soBGP由“信任網(wǎng)”取代集中式PKI的方式并未確定“信任錨”的問題，且路徑信息的驗(yàn)證方法也存在著不容忽視的安全隱患。

（3）psBGP（Pretty Secure BGP）

另一個基于S-BGP的著名BGP安全解決方案psBGP[21]于2005年誕生，其主旨為試圖解決S-BGP所存在的部署困難以及驗(yàn)證開銷過大的問題。

psBGP采用一種集中式的可信模型負(fù)責(zé)AS身份的認(rèn)證工作，即每個AS將從權(quán)威機(jī)構(gòu)分配一個公鑰證書，證明AS本身是否真實(shí)可靠。而IP地址前綴的歸屬問題則采用分布式的可信模型來實(shí)現(xiàn)驗(yàn)證。不同于S-BGP，在psBGP中，每個AS都會建立一個前綴聲明列表（Prefix Assertion List,PAL），記錄著AS號和與其相對應(yīng)的IP地址空間，通過與PAL記錄的一致性檢測，判斷AS所宣告的IP地址空間是否真實(shí)可信。

psBGP在路徑驗(yàn)證方面與S-BGP的簽名方式類似，只是在S-BGP的基礎(chǔ)上做了一些較小的改動，即根據(jù)PAL的記錄添加評估值，從而讓接收到信息的AS決定是否進(jìn)行部分驗(yàn)證。

psBGP本身認(rèn)為建立集中式的PKI驗(yàn)證IP地址空間是不可行的，但在方案中依舊采用PKI實(shí)現(xiàn)AS的認(rèn)證，與自己的主張略顯矛盾。psBGP所引入的PAL地址前綴驗(yàn)證和局部路徑信息的方式，都使得方案更加易于部署，但是較S-BGP，從安全性方面考慮，還是略微遜色了一些。

（4）RPKI &BGPsec

RPKI &BGPsec是近些年IETF組織研究的BGP安全標(biāo)準(zhǔn)協(xié)議，也可以說是S-BGP的衍生協(xié)議。RPKI（Resource Public Key Infrastructure）[22][23]合并了S-BGP中兩個PKI的功能，即分配IP地址空間的PKI與分配AS標(biāo)識的PKI，定義了IP地址空間與AS標(biāo)識的分配信息以及信息的分布式存儲。RPKI能夠證明某AS是某個IP地址空間的真正所有者以及這個所有者已被授予宣告此IP地址空間的權(quán)利。利用RPKI，ROA（Route Origin Authorization）[24]實(shí)現(xiàn)了對IP地址空間的安全認(rèn)證，這一點(diǎn)正好對應(yīng)了S-BGP中的“地址確認(rèn)”。與S-BGP相比，ROA更簡單化，可部署性也有了提升。BGPsec[25][26]則是IETF組織針對于AS路徑驗(yàn)證的方法。BGPsec依然依賴于RPKI，使用了RPKI中定義的與AS號所對應(yīng)的密鑰對UPDATE消息中的信息進(jìn)行簽名確認(rèn)，使路由信息所途徑的上游AS對下游AS授權(quán)，保證路由信息在AS傳輸過程中不被蓄意篡改。BGPsec不包括BGP原有的AS_PATH屬性，而是使用了包含有Secure_Path的BGPSEC_path屬性來取代，這一點(diǎn)其實(shí)對應(yīng)了S-BGP中的“路由確認(rèn)”。但由S-BGP演化而來的RPKI&BGPsec還需進(jìn)一步驗(yàn)證其安全性。

2.2基于異常路由檢測的主要方法

不同于密碼學(xué)技術(shù)的方法，基于異常路由檢測的方法大多都會以犧牲部分安全為代價，達(dá)到減低復(fù)雜性，提高方案可行性和可部署性的目的。

（1）MOAS（Multiple Origin Autonomous System）沖突檢測

所謂MOAS沖突[27]是指多個AS（大于1個AS）宣告同一條IP地址前綴信息。MOAS沖突的發(fā)生除了支持多宿（Multi-homing）的原因，更多的是由于一些非法的原因，諸如配置、操作錯誤或遭遇到惡意攻擊。由此zhao等提出了基于MOAS沖突的非法路由檢測方法[28]。該方法首先創(chuàng)建了MOAS列表，即記錄了有權(quán)利宣告某特定IP地址前綴的多個AS信息，這些AS其實(shí)就是IP地址前綴的所有者（Prefix Owner）。如果接收到的路由宣告信息發(fā)生了MOAS沖突，通過與MOAS對比的方法，能夠判斷所出現(xiàn)的MOAS沖突是否合法。所創(chuàng)建的MOAS列表通過BGP的團(tuán)體屬性在網(wǎng)絡(luò)中傳遞給其他AS，但是此屬性為可選屬性，有可能被蓄意或無意丟棄，且MOAS列表沒有采用安全保護(hù)方式，也很有可能被惡意攻擊者篡改或偽造。

（2）PHAS（Prefix Hijack Alert System）

基于上述MOAS沖突檢測所定義的Prefix owner，Lad等在2006年設(shè)計了PHAS[29]預(yù)警系統(tǒng)。PHAS服務(wù)器已經(jīng)注冊了Prefix owner，一旦發(fā)生異?；蛘呖赡墚惓５那闆r，PHAS會以實(shí)時報警的方式，及時通知Prefix owner盡快檢測是否發(fā)生前綴劫持事件，并做出相應(yīng)的防御措施。然而PHAS系統(tǒng)也存在一定的安全隱患，可能會存在較多的誤判現(xiàn)象，影響網(wǎng)絡(luò)的正常運(yùn)行。安全隱患發(fā)生的原因有兩個方面：1）PHAS服務(wù)器本身的安全性，如果它遭受攻擊，一定會導(dǎo)致整個預(yù)警系統(tǒng)的故障；2）參加注冊的成員所提供的信息是否真實(shí)，如果是虛假的信息，也很容易引發(fā)錯誤的判斷。

（3）PGP（Pretty Good BGP）

2006年，Karlin等提出了另一個基于異常檢測的BGP增強(qiáng)方案PGP[30]。不同于上述兩個檢測方案，PGP是以延遲UPDATE消息傳送的方式，來觀察并判斷是否有異常發(fā)生。當(dāng)AS接收到新的UPDATE消息后，PGP會查詢已經(jīng)記錄了可信的歷史數(shù)表格，如果發(fā)現(xiàn)同一條宣告來源于不同的宣告者，則暫時認(rèn)為該信息為可疑信息，在隔離了24小時（24小時被認(rèn)為是分析和確定路由安全問題的合理時間段）后，再最終判定該消息的合法性。

很顯然PGP會延遲消息的傳送，影響網(wǎng)絡(luò)的性能，同時，PGP也僅僅是以被動的形式檢測消息的合法性，但卻無法做到較為精確的確認(rèn)。

2.3密碼學(xué)技術(shù)和異常檢測技術(shù)的混合方法

除了以上兩種類型的BGP安全增強(qiáng)方案，另一種便是兩種相結(jié)合的混合方法。

（1）IRV（Interndomain Route Validation）

之所以將IRV[31]歸于一種混合方法，是因?yàn)镮RV延續(xù)了S-BGP的IP地址空間的“確認(rèn)”思想，同時又結(jié)合查詢檢測信息的方法。IRV方案中，每個AS內(nèi)部都設(shè)有IRV（Interdomain Route Validator）服務(wù)器，通過查詢IRV服務(wù)器的方式，驗(yàn)證信息的真實(shí)性或獲取更多所需的信息。如圖3所示：

圖3　IRV詢問Fig.3 IRV Queries

不難看出，IRV將S-BGP的驗(yàn)證方式轉(zhuǎn)化為一種分布式的查詢系統(tǒng)。而這一點(diǎn)正是能夠解決S-BGP驗(yàn)證開銷大，不易部署的問題。但是從安全性來講，IRV服務(wù)器本身的安全性及其本身所提供信息的真實(shí)性仍是待繼續(xù)考慮的問題。

（2）Listen and Whisper

Listen and Whisper[32]也屬于第三種BGP安全解決方法，提出于2004年。它與先前所述的方法均不同的是，Listen and Whisper不僅僅涉及了控制層面，也涉及了數(shù)據(jù)層面，并結(jié)合了加密技術(shù)和檢測技術(shù)綜合考慮了路由安全問題。

Listen所聚焦的是數(shù)據(jù)層面，利用TCP流的完整性，判斷數(shù)據(jù)包是否可達(dá)，從而判斷某IP地址空間是否可達(dá)。Whisper所聚焦的依舊是控制層面，它并沒有使用非對稱密碼學(xué)技術(shù)，而是利用了對稱密碼學(xué)技術(shù)，對路由信息進(jìn)行哈希運(yùn)算，每經(jīng)過一個AS，都會進(jìn)行一次哈希運(yùn)算。最后通過對比到達(dá)目的地的兩條路由信息的哈希運(yùn)算結(jié)果，判斷是否出現(xiàn)了非法路由。雖然這種方法易于實(shí)現(xiàn)，但僅僅只能夠起到告警的作用，并不能夠?qū)GP的安全威脅達(dá)到根本性地抵御。所以此方法的安全性較差。

2.4方案對比分析

根據(jù)以上三類方法BGP主要解決方案的討論，下面將通過表格的形式從安全性和部署難度三個方面進(jìn)行對比：

可以看出，基于異常檢測方式和混合方式的BGP安全解決方案更易于部署，而基于密碼學(xué)的BGP安全解決方案的部署難度較大，事實(shí)上，就目前為止，除了先前提到的路由注冊、路由過濾等方法在現(xiàn)實(shí)網(wǎng)絡(luò)中被使用外，以上BGP安全增強(qiáng)方案都未能在網(wǎng)絡(luò)中得以部署[33]，但是BGP安全增強(qiáng)方法的部署問題已經(jīng)取得了一定的進(jìn)展，這也是未來研究的主要趨勢之一。

表1　BGP安全解決方案對比Tab.1 The Comparison of BGP Security Solutions

3　BGP安全研究發(fā)展趨勢

在未來的研究中，BGP安全研究發(fā)展趨勢主要有以下幾個方面：

（1）BGP向BGP安全增強(qiáng)方案的轉(zhuǎn)化

安全性較高的BGP安全增強(qiáng)方法都需要改變BGP協(xié)議本身的結(jié)構(gòu)，才能夠?qū)崿F(xiàn)安全的防護(hù)。而BGP是整個互聯(lián)網(wǎng)正在使用的唯一的域間路由協(xié)議，如果對其進(jìn)行修改，網(wǎng)絡(luò)的運(yùn)行會受到很大的影響。針對此問題，一些學(xué)者已經(jīng)開始研究BGP向BGP安全增強(qiáng)方案的轉(zhuǎn)化問題[34][35]。而如果BGP安全想要取得突破，就一定需要解決這種轉(zhuǎn)化問題。

（2）與軟件定義網(wǎng)絡(luò)（Software Defined Network,SDN）的結(jié)合

近些年，新的網(wǎng)絡(luò)架構(gòu)SDN誕生，能夠分離控制層面與數(shù)據(jù)層面，對于網(wǎng)絡(luò)性能的提高，網(wǎng)絡(luò)操作的有效性都產(chǎn)生了很大的影響[36-38]。SDN有助于BGP安全解決方案中成本過大，網(wǎng)絡(luò)性能較差的問題。而SDN目前只應(yīng)用在AS域內(nèi)的路由協(xié)議中，鑒于BGP協(xié)議的復(fù)雜性和廣泛性，在BGP中的應(yīng)用還需要更多的時間。所以SDN與BGP安全增強(qiáng)方案的結(jié)合也將是未來的主要研究趨勢。

（3）與數(shù)據(jù)層面流量分析的結(jié)合

本文所介紹的BGP安全增強(qiáng)方案，除了Listen & Whisper涉及了數(shù)據(jù)層面的問題，其他都僅僅涉及了控制層面。但是僅僅考慮控制層面的信息傳遞，而完全忽略數(shù)據(jù)層面的數(shù)據(jù)流量[39]，會導(dǎo)致路由安全策略的不合理性或網(wǎng)絡(luò)流量瓶頸現(xiàn)象等，由此引發(fā)相關(guān)安全性問題。所以與數(shù)據(jù)層面流量分析的結(jié)合也應(yīng)當(dāng)投入更多的研究精力。

4　總結(jié)

本文通過分析BGP的安全缺陷，深入研究了現(xiàn)存BGP的安全解決方案，進(jìn)行了對比分析，并對BGP安全的未來研究趨勢進(jìn)行了展望。

[1]Rosen E C.Exterior gateway protocol(EGP)[S].RFC 827.1982.

[2]Malkin G S.RIP version 2[S].RFC 2453,1998.

[3]Moy J.OSPF version 2[S].RFC 2328,1998.

[4]Oran D.OSI IS-IS Intra-domain Routing Protocol[S].RFC 1142.1990.

[5]Rekhter Y,LiT,Hares S.A Border Gateway Protocol 4(BGP-4) [S].RFC4271.2006.

[6]Dyn Research.Pakistan hijacks YouTube[EB/OL].http:// research.dyn.com/2008/02/pakistan-hijacks-youtube-1/,2016-03-02.

[7]Dyn Research.Indonesia Hijacks the World [EB/OL].http:// research.dyn.com/2014/04/Indonesia-hijacks-world/,2016-03-02.

[8]Dyn Research.Sprint,Windstream:Latest ISPs to hijack foreign networks[EB/OL].http://research.dyn.com/2014/09/latest-isps-to-hijack/,2016-03-02.

[9]Kent S,Lynn C,Seo K.Secure border gateway protocol(S-BGP)[J].IEEE Journal on Selected Areas in Communications,2000,18(4):582-592.

[10]White R.Securing BGP Through secure origin BGP(soBGP)[J].The Internet Protocol Journal,2003,6(3).

[11]Murphy S.BGP security vulnerabilities analysis[S].RFC 4272,2006.

[12]Kent S,Seo K.Security Architecture for the Internet Protocol[S].RFC 4301.2005.

[13]Butler K,Farley T R,McDaniel P,et al.A survey of BGP security issues and solutions[J].Proceedings of the IEEE,2010,98(1):100-122.

[14]IRR [EB/OL].http://www.irr.net/index.html,2016-03-02.

[15]Villamizar C,Govindan R,Chandra R.BGP route flap damping[S].RFC 2439,1998.

[16]Gill V,Heasley J,Meyer D,et al.The generalized TTL security mechanism(GTSM)[S].RFC 5082,2007.

[17]Caesar M,Rexford J.BGP routing policies in ISP networks[J].Network,IEEE,2005,19(6):5-11.

[18]Farrell S,Adams C,Kause T,et al.Internet X.509 public key infrastructure certificate management protocol(CMP) [S].2005.

[19]Lynn C,Kent S,Seo K.X.509 extensions for IP Addresses and AS identifiers[S].RFC 3779,2004.

[20]Ng J.Extensions to BGP to support secure origin BGP(soBGP)[J].IETF ID draft-ng-sobgp-bgp-extensions-02.txt. 2004.

[21]Oorschot P C,Wan T,Kranakis E.On inter-domain routing security and pretty secure BGP(psBGP)[J].ACM Transactions on Information and System Security(TISSEC),2007,10(3):11.

[22]Lepinski M,Kent S.An infrastructure to support secure internet routing[S].RFC 6480,2012.

[23]Bush R,Austein R.The Resource Public Key Infrastructure(RPKI) to Router Protocol[S].RFC 6810.2013.

[24]Mohapatra P,Scudder J,Ward D,et al.BGP prefix origin validation.RFC 6811,2013.

[25]Lepinski M.Turner S.An overview of BGPsec.IETF ID draft-ietf-sidr-bgpsec-overview-06.2015.

[26]Lepinski M.BGPsec Protocol Specification.IETF ID draft-ietf-sidr-bgsec-protocol-14.2015.

[27]Zhao X,Pei D,Wang L,et al.Ananalysis of BGP multiple origin AS(MOAS) conflicts[C].In:Proceedings of the 1stACM SIGCOMM Workshop on Internet Measurement,2001:31-35.

[28]Zhao X,Pei D,Wang L,et al.Detectionof invalid routing announcement in the Internet[C].In:Proceedings of InternationalConference on Dependable Systems and Networks,2002:59-68.

[29]Lad,M,Massey,D,Pei,D,et al.PHAS:A Prefix Hijack Alert System[C].In:Proceedings of the 15th conference on USENIX Security Symposium,2006,15(11).

[30]Karlin,J,Forrest,S,Rexford,J.Pretty good BGP:Improving BGP by cautiouslyadopting routes[C].In:Proceedings of the 14th IEEE International Conference on NetworkProtocols,2006:290-299.

[31]Goodell G,Aiello W,Griffin T,et al.Working around BGP:An incremental Approach to Improving Security and Accuracy in Interdomain Routing [C].NDSS Symposium,2003.

[32]Subramanian,L,Roth,V,Stoica,I,et al.Listen and whisper:Security mechanisms for BGP [C].In:Proceedings of the 1st Symposium on NetworkedSystems Design and Implementation,2004:11.

[33]Goldberg S.Why is it taking so long to secure internet routing?[J].Communications of the ACM,2014,57(10):56-63.

[34]Gill P,Schapira M,Goldberg S.Let the market drive deployment:A strategy for transitioning to BGP security[C].ACM SIGCOMM Computer Communication Review.ACM,2011,41(4):14-25.

[35]Lychev R,Goldberg S,Schapira M.BGP Security in Partial Deployment[J].2013.

[36]Braun W,Menth M.Software-Defined Networking Using OpenFlow:Protocols,Applications and Architectural Design Choices[J].Future Internet,2014,6(2):302-336.

[37]Kotronis V,Dimitropoulos X,Ager B.Outsourcing the routing control logic:Better Internet routing based on SDN principles[C].Proceedings of the 11th ACM Workshop on Hot Topics in Networks.ACM,2012:55-60.

[38]Lin P,Bi J,Hu H.BTSDN:BGP-based Transition for the Existing Networks to SDN[C].The sixth Internation Conference on Ubiquitous and Future Networks(ICUFN),2014:419-424.

[39]Liu Y,Zhang H,Gong W,et al.On the interaction between overlay routing and underlay routing[C].INFOCOM 2005.24th Annual Joint Conference of the IEEE Computer and Communications Societies.Proceedings IEEE.IEEE,2005,4:2543-2553.

【責(zé)任編輯：高潮】

Research on interdomain routing security

KONG Lingjing, ZHANG Ping'an, HUANG Guowei, LIU Xingming, ZHANG Haiping
（Computer School,Shenzhen Institute of Information Technology,Shenzhen 518172,China）

As the unique border gateway protocol currently,BGP(Border Gateway Protocol) takes main responsibilities on information transit throughout the Internet.However,due to the flaws of BGP design,it exposures to be attacked easily,which leads to inaccessible to the network or part paralysis.Firstly,the paper analyzes the defaults of BGP.Secondly,the paper explains the vulnerabilities existed in BGP and then deeply explores the primary threats which BGP are facing with — prefix hijacking and path tampering.The security protection mechanisms of BGP are discussed and the comparisons on different mechanisms are also given.Besides,the future developments of BGP security research are finally concluded.

BGP; security vulnerabilities; protection mechanism

TP393.08

A

1672-6332（2016）03-0042-08

2016-05-03/2016-10-10

深圳市科技項(xiàng)目（JCYJ20160527101106061）；深圳市科技項(xiàng)目（JCYJ20150417094158019）；廣東省高等職業(yè)教育品牌專業(yè)建設(shè)計劃資助項(xiàng)目；廣東省自然科學(xué)基金項(xiàng)目（2015A030310511）

孔令晶（1983-），女（漢），博士，主要研究方向?yàn)榫W(wǎng)絡(luò)安全。E-mail:konglj@sziit.edu.cn