域間安全路由機制對路由劫持的防御能力研究

王海洋 楊 言 王 維

1(中關村網(wǎng)絡安全與信息化產(chǎn)業(yè)聯(lián)盟 北京 100190) 2(北京國融工發(fā)投資管理有限公司 北京 100033)

(2567479016@qq.com)

1 背 景

互聯(lián)網(wǎng)(Internet)由數(shù)量眾多的名為自治系統(tǒng)(autonomous system, AS)的子網(wǎng)相互連接形成.截至2020年7月，全球已經(jīng)有超過17萬個自治系統(tǒng)被申請使用，其中與其他網(wǎng)絡交互頻繁、能被大量互聯(lián)網(wǎng)使用者觀測到的自治系統(tǒng)也超過6萬個.自治系統(tǒng)的管理者可以根據(jù)自身組織的需求調(diào)整內(nèi)部的網(wǎng)絡配置或路由協(xié)議，實現(xiàn)自治化網(wǎng)絡管理.邊界網(wǎng)關協(xié)議(border gateway protocol, BGP)是目前自治系統(tǒng)間路由通信唯一被認可的協(xié)議.BGP協(xié)議要求各個自治系統(tǒng)宣告自身擁有的IP前綴以生成整個互聯(lián)網(wǎng)的轉(zhuǎn)發(fā)路徑：每個自治系統(tǒng)收到來自其他AS的BGP路由更新時，會將自身的自治系統(tǒng)號(ASN)添加到名為AS路徑的路由屬性中，再進一步將該BGP更新傳遞給其他相鄰網(wǎng)絡.最終，各個AS會根據(jù)自身的路由選擇策略維護前往不同前綴的最優(yōu)路由，實現(xiàn)跨域通信.

然而BGP協(xié)議設計之時，主要關注于將阿帕網(wǎng)外部網(wǎng)關協(xié)議的集中路由機制轉(zhuǎn)變到一個分布式的網(wǎng)絡結(jié)構(gòu)中，假想的應用環(huán)境為僅具有較少自治系統(tǒng)且均值得信賴的小型網(wǎng)絡，故并未將安全性納入考慮范圍，因此BGP協(xié)議缺乏對BGP路由更新報文的安全驗證，使得任意自治系統(tǒng)都可以篡改其宣告或轉(zhuǎn)發(fā)的路由控制信息，從而影響域間路由過程.

隨著網(wǎng)絡規(guī)模的不斷擴大，如今的互聯(lián)網(wǎng)存在著許多不安全的因素，部分自治系統(tǒng)可以通過篡改BGP更新中的路由信息，達到對域間路由過程的定向攻擊，其中最具代表性的是路由劫持(route hijacking).

路由劫持是指劫持者由于誤配置或蓄意攻擊，修改了正確的BGP路由信息，并通過BGP更新傳播到其他自治系統(tǒng)，導致部分自治系統(tǒng)被偽造路由影響，訪問此前綴的路由被吸引到劫持者的現(xiàn)象.路由劫持亦可被稱作BGP劫持，它可以吸引被感染自治系統(tǒng)的路由經(jīng)過劫持者，是互聯(lián)網(wǎng)中常見的前綴劫持現(xiàn)象.當劫持者具有惡意目的時，它可以對吸引到的流量進行數(shù)據(jù)平面非法操作，影響被感染AS與正確源AS的通信質(zhì)量及安全.如果劫持者將吸引到的流量進行丟棄就會產(chǎn)生路由黑洞，從而引發(fā)目標網(wǎng)絡無法訪問的網(wǎng)絡中斷事件；如果劫持者將吸引到的流量傳回給正確目的地，它可以隱蔽地作為中間人(man-in-the-middle)對關鍵信息進行竊聽或篡改.2008年2月，巴基斯坦電信發(fā)生了一起路由劫持事件[1]，造成互聯(lián)網(wǎng)中大量AS數(shù)小時無法訪問YouTube，對世界各地的用戶造成了明顯的影響.而2011年的Link Telecom劫持[2]、2014年的Indosat劫持[3]和2017年的Rostelcom劫持等路由劫持事件均對部分地區(qū)的互聯(lián)網(wǎng)接入產(chǎn)生了較大的干擾.

為了減輕路由劫持對域間路由的影響，近年來研究者們提出了許多不同類型的劫持防御機制，大體上可以分為2類：域間安全路由機制和路由劫持檢測系統(tǒng).域間安全路由機制是通過在路由過程中對BGP協(xié)議進行安全性增強，使BGP路由信息得到保護或校驗，讓劫持者難以任意更改其宣告或轉(zhuǎn)發(fā)的BGP更新，并對異常的路由控制報文進行過濾或限制，達到阻止路由劫持產(chǎn)生或大范圍傳播的效果，代表方案有RPKI[4],BGPsec[5]等.而路由劫持檢測系統(tǒng)則是一種后處理機制，是對互聯(lián)網(wǎng)中已經(jīng)形成的路由劫持事件進行快速觀測、辨別及確認，以便及時地通知相關AS進行前綴管理或中止服務，減小路由劫持造成的損失.這類系統(tǒng)的代表工作有Argus[6],Artemis[7]等.其中，域間安全路由機制得到了更多的關注和研究.

然而，域間安全路由機制在實際部署時面臨挑戰(zhàn)：一方面，它們本質(zhì)上是對BGP的安全擴展，需要在一定程度上更改BGP協(xié)議實現(xiàn)或者改變路由過程，對自治系統(tǒng)的邊界服務器有更高的存儲或計算需求，因此部署這些機制需要自治系統(tǒng)更新相關網(wǎng)絡設備或提高路由維護成本，在經(jīng)濟層面存在阻礙；另一方面，這類安全路由機制如RPKI,Path-end[8]需要自治系統(tǒng)半公開自身的網(wǎng)絡信息(持有前綴、鄰居AS等)，然而這些信息可能涉及該組織的商業(yè)競爭關系、政治安全考慮等，因此很多自治系統(tǒng)本能地排斥選擇這一類域間安全路由機制.綜上，域間安全路由機制雖然得到了學術界和互聯(lián)網(wǎng)相關組織的倡導，但仍將在較長時期處于部分部署的狀態(tài).而在部分部署時期，對劫持的安全機制并不能達到其預期的效果：想要保護IP前綴對應的BGP更新不被篡改，常依賴于源AS、整條路徑的AS或者被牽涉的路徑片段對該機制的部署.但不同安全機制在部分部署時期的效果并不一致，了解在這一過渡時期各類安全機制對路由劫持的防御能力，可以更好地評估分析它的當下效用、預測其被接受的難易程度并幫助AS管理者根據(jù)自身需求進行選擇，進而縮短部分部署狀態(tài)的持續(xù)時間.

本文首先描述了互聯(lián)網(wǎng)中較常見的幾類路由劫持，并分析其修改路由信息的具體手段，對幾種具有代表性的域間安全路由機制的原理進行了介紹，比較它們之間的差異及針對的劫持類型，總結(jié)其各自的優(yōu)缺點，最后通過路由仿真，對不同類型的機制在不同部署率的場景下能夠?qū)β酚山俪诌_到的防御能力進行了實驗，從安全增強的角度歸納了過渡時期和理想時期選擇安全機制的較優(yōu)策略.

2 相關工作

路由劫持是互聯(lián)網(wǎng)自治系統(tǒng)級最常見的路由攻擊現(xiàn)象之一，自其被觀測到以來，對其可能造成的異常和具體作用范圍已有不少研究分析和測量[9-11].為了減弱這些互聯(lián)網(wǎng)的路由異常，研究者提出了域間安全路由機制和路由劫持檢測系統(tǒng)對劫持進行防范.路由劫持檢測系統(tǒng)是在劫持發(fā)生后進行的后處理措施，能夠及時發(fā)現(xiàn)劫持的產(chǎn)生，并盡早通知相關AS檢查路由狀況，其代表工作包括Argus[6]，Artemis[7]，iSPY[12]和HEAP[13]等.但路由劫持檢測系統(tǒng)只能夠減弱路由劫持造成的負面影響，卻不能阻止或限制偽造報文的產(chǎn)生和傳播.因此，一系列域間安全路由機制被研究者陸續(xù)提出，包括RPKI[4]，S-BGP[14]，BGPsec[5]，ASPA[15]，Path-end[8]，F(xiàn)SBGP[16]，ROVER[17]，soBGP[18]和QBGP[19]等.除了提出具體的安全路由機制，對它們進行的深度分析也是域間安全研究的熱點，涉及它們可能引入的附加安全威脅[20]、部署的經(jīng)濟驅(qū)動力[21]、路由穩(wěn)定性影響[22]等.而與防御能力相關，Goldberg等人[23]在2010年對當時較典型的安全機制RPKI，soBGP和S-BGP，從復雜度分析的角度比較了它們的防御性能.Lychev等人[22]在2013年的研究中提出，安全選路模型的變化可以對部分安全機制的防御效果產(chǎn)生明顯的影響.

3 常見的路由劫持類型

路由劫持可以根據(jù)不同的標準進行分類，其中較系統(tǒng)且最常用的分類方法是通過劫持手段進行區(qū)分.根據(jù)劫持者修改路由信息的具體方式不同，路由劫持可以被分類為錯誤源劫持(false origin hijacking)、錯誤鏈路劫持(false link hijacking)和錯誤策略劫持(false policy hijacking).錯誤源劫持是指劫持者直接宣告了1條不屬于它的IP前綴，使該前綴的BGP更新報文中源AS發(fā)生了錯誤.錯誤鏈路劫持是指雖然源AS一致，但劫持者在AS路徑中引入了1條實際不存在或尚未被觀測到的域間鏈路.而錯誤策略劫持則指雖然源AS和路徑中的鏈路均未出現(xiàn)異常，但這條AS路徑違背了某些AS的出入轉(zhuǎn)發(fā)策略.不論何種劫持手段，我們均可以使用AS路徑和IP前綴的二元組表示路由劫持：對劫持者A來說，若其想要對屬于受害者V的1條IP前綴f進行路由劫持，它會向鄰居AS宣告前綴f的1條BGP更新報文，此時報文對應的路徑屬性為P，該劫持手段記為(P,f).當P與A路由表中通往前綴f的真實路徑不一致時，A對V發(fā)起了針對前綴f的路由劫持.

在互聯(lián)網(wǎng)中最常見的路由劫持即前綴劫持[9,24]，它是指某個ASA宣告了一條屬于其他ASV的IP前綴f，對吸納到自身的流量進行丟棄或直接偽造V的身份與感染AS進行通信.如通過劫持手段劃分它屬于錯誤源劫持，即源AS與前綴的匹配關系發(fā)生錯誤，可以記為(〈A〉,f).錯誤鏈路劫持由于保證了源信息的正確性，因此劫持者宣告的AS路徑至少包含自身的ASN和受害者V的ASN.根據(jù)劫持者在偽造路徑中離受害者的AS跳數(shù)不同，可以再分為N跳錯誤鏈路劫持[8].最簡單的錯誤鏈路劫持即1跳錯誤鏈路劫持，其二元組表示為(〈A,V〉,f).考慮到發(fā)生此類路由劫持后，受害者可以很容易地從偽造路由信息中追溯到劫持者，因此多跳錯誤鏈路劫持也被應用于一些情形中，例如(〈A,X,V〉,f)則是2跳錯誤鏈路劫持的表示，其中:A～X之間本不存在物理鏈路.具體地，如果X是受害者V的一個合法鄰居N，我們稱(〈A,X,V〉,f)是理智的2跳錯誤鏈路劫持；否則我們稱(〈A,X,V〉,f)是盲目的2跳錯誤鏈路劫持.錯誤源劫持、1跳錯誤鏈路劫持、盲目的2跳錯誤鏈路劫持和理智的2跳錯誤鏈路劫持是互聯(lián)網(wǎng)中較常見且具有一定吸引路由能力的路由劫持子類.

當然，除此之外還存在著一些其他類型的路由劫持，例如3跳及以上的錯誤鏈路劫持、錯誤策略劫持等.但多跳數(shù)的錯誤鏈路劫持由于宣告的AS路徑較長，不具有較強的路由吸引能力，因而在互聯(lián)網(wǎng)中較少被劫持者使用.而錯誤策略劫持由于需要對其他AS的入口或出口策略進行分析預測，因此常常要求劫持者具有較高的拓撲層級和路由收集能力，同時也需要宣告1條經(jīng)拼湊得到的較長AS路徑，因此也較少被研究者觀測到.為了了解宣告的AS路徑長度與路由劫持能力間的關系，我們通過改良后的路由樹算法(routing tree algorithm)[25]模擬了正常的BGP選路及路由劫持發(fā)生后各個AS的路由收斂情況，以判斷發(fā)生不同類型的路由劫持時劫持事件平均能影響到的AS比率.在模擬過程中，我們使用了CAIDA組織發(fā)布于2019年11月1日的互聯(lián)網(wǎng)拓撲結(jié)構(gòu)，同時遵循Gao-Rexford域間路由模型.通過更改二元組表示中宣告路徑P的實際長度，對P值為1,2,3,4的情形分別隨機選擇了1 000組劫持者與受害者，計算該情形下路由劫持平均感染的AS比例，實驗結(jié)果如表1所示.可以看出，當發(fā)起3跳及以上的錯誤鏈路劫持時(P=4)，劫持平均影響到的AS范圍不足15，因此惡意劫持者常采用更高效的劫持手段.

表1 路由劫持宣告路徑長度與平均劫持率的關系

圖1 RPKI的證書結(jié)構(gòu)示例

4 有代表性的安全機制及其原理

域間安全路由機制利用安全證書、非對稱加密等安全手段增強了BGP協(xié)議層面的安全性，使AS宣告或轉(zhuǎn)發(fā)的BGP更新報文不能任意修改，以阻止路由劫持的產(chǎn)生和擴散.自路由劫持在20多年前被觀測到并展開相關研究之后，安全路由機制的提出和改良就不斷進行，迄今為止已經(jīng)出現(xiàn)了幾種具有代表性的安全機制.它們或者使用較簡單的方法對典型的路由劫持進行抵御，或者能夠保障一個非常安全的域間路由環(huán)境，或者能夠在部分部署時取得明顯的效用，因而頻繁地被眾多與劫持抵御相關的研究提及.這些安全機制主要包括RPKI[4]，BGPsec[5]，Path-end[8]，ASPA[15]和FSBGP[16].

RPKI[4]是一種利用安全證書對域間路由進行的源驗證機制，它能較好地針對錯誤源劫持進行防御.它使用了資源證書(RC) 和路由源授權證書(ROA)分別進行AS源信息的管理和公示：只有具有RC的自治系統(tǒng)能管理其對應IP前綴的源信息，每條源信息由ROA進行記錄，同時這些AS還可以將部分子前綴分配給其他AS進行更精細的管理.圖1給出了一個RPKI部分證書結(jié)構(gòu)的例子.而當一個部署RPKI的AS收到路由更新時，其可以向上層具有RC的直屬管理節(jié)點發(fā)起源驗證，該管理節(jié)點逐步追溯，確定該前綴對應的最精確的ROA，根據(jù)其記錄的源信息反饋給該AS以下3種路由驗證狀態(tài)之一：合法(valid)、未知(unknown)和不合法(invalid).對不合法的路由更新該自治系統(tǒng)應予以丟棄，而對未知的路由更新則應根據(jù)自身策略謹慎選擇.

圖2 BGPsec核心原理

BGPsec[5]是一種利用簽名驗證機制保障BGP更新中AS路徑屬性完整性的安全機制，它基本上繼承了較早期的S-BGP主要技術原理，通過對AS路徑進行嵌套簽名保障其不會被惡意修改.如圖2所示，1條BGP更新報文從A0形成，依次傳向An+1.當ASAi收到該報文后，會先利用先前路徑上各個AS的公鑰進行簽名驗證，通過后再使用自己的私鑰對上一個數(shù)字簽名Si-1、自身的ASN以及下一跳ASN組成的三元組進行簽名，并將簽名結(jié)果增加到簽名串的末端.由于簽名結(jié)果是彼此嵌套的，因此任何一個數(shù)字簽名的缺失或修改都會影響到BGPsec對報文的驗證.另外，首個數(shù)字簽名S0包括了IP前綴信息f，故BGPsec可以阻止劫持者進行源、鏈路以及策略的偽造，具有很高的安全性.

RPKI和BGPsec作為域間路由源驗證問題和路徑驗證問題的解決方案被IETF組織標準化并積極地推動部署.不過由于經(jīng)濟成本、政治隱私等限制，它們的部署都受到了一定的限制，尤其是BGPsec更難被大多數(shù)AS在短期內(nèi)接納.為了維護域間路由在BGPsec未得到廣泛部署時期的安全性，一些路徑驗證的過渡機制也被研究者提出，它們通過放松對BGP路徑完整驗證的目標，為互聯(lián)網(wǎng)提供了一個相對安全的路由環(huán)境，能夠在短期內(nèi)取得較明顯的安全回饋.

Path-end[8]擴展了RPKI的源驗證機制，提出了源端驗證的概念，即對前綴的源AS和1跳鄰居AS進行校驗.與RPKI使用ROA不同，Path-end使用名為公共倉庫的分布式數(shù)據(jù)庫存儲驗證所需的信息，盡量在不改變當前BGP路由設施的基礎上提供源端驗證，實現(xiàn)輕易部署.當前互聯(lián)網(wǎng)的源端信息可以存儲在大多數(shù)路由器的硬盤中，避免了設備的更替.Path-end驗證機制是針對錯誤源劫持和1跳錯誤鏈路劫持涉及的安全機制，而當前頻繁出現(xiàn)的具有較大吸引能力的劫持恰恰是這2種類型，因此具有較高的反饋收益.

ASPA[15]是一種利用自治系統(tǒng)間的商業(yè)關系和BGP無谷策略(valley-free policy)的授權格式標識符，用于對AS路徑的上行部分(即客戶-供應商鏈路)進行安全驗證.與Path-end相似，它也是基于RPKI的源驗證機制并進行了路徑上的擴展.ASPA標識符中包含了AS對由自身ASN以及合法轉(zhuǎn)發(fā)的供應商ASN組成的二元組的數(shù)字簽名，它表示了客戶對供應商的選擇.與其他安全路由機制不同，ASPA僅會對來自客戶或同伴的BGP更新進行驗證，而忽視來自供應商的路由.并且，它不僅會驗證源AS的供應商是否合法，同時還會檢驗經(jīng)過其他AS的供應商關系，因此是一種針對AS完整路徑的驗證.在BGPsec尚未大規(guī)模部署時ASPA是一種能保證較高路徑安全性的過渡機制.

FSBGP[16]利用對AS路徑三元組進行簽名驗證來保證AS路徑的完整性.與BGPsec不同，F(xiàn)SBGP沒有采用嵌套簽名的機制，而是對上1跳AS、當前AS和下一跳AS進行簽名，原理如圖3所示.這樣，對具有重復路徑的不同IP前綴的BGP更新而言，重復部分的數(shù)字簽名是等同的，可以利用緩存減少驗證計算的總次數(shù)，提高驗證效率.不過，劫持者可以通過搜集并拼湊經(jīng)過自身的BGP報文中的簽名信息，構(gòu)造1條完整的路徑用于路由劫持，但這會提高劫持者發(fā)起劫持的成本及必要的路徑長度，減少劫持的頻率和影響范圍.

表2將上述有代表性的5類域間安全路由機制的核心原理及主要優(yōu)缺點進行了整理和比較.

圖3 FSBGP核心原理

表2 典型域間安全路由機制的比較

5 安全機制的防御能力分析

已介紹的5種域間安全路由機制通過對AS路徑中某些信息的真實性驗證過濾或限制偽造路由在互聯(lián)網(wǎng)中的傳播.但根據(jù)驗證的AS路徑中的具體信息不同，這5種安全機制部署后能夠抵御的路由劫持類型也不相同.我們首先關注在理想場景下，即域間安全路由機制在互聯(lián)網(wǎng)中被完全部署時各種安全機制能夠防御的劫持種類.

對任意的一個路由劫持(〈Nk,Nk-1, …N1,N0〉,f)而言，RPKI作為源驗證機制會檢查前綴f和源ASN0的綁定關系，因此在完全部署后可以消除域間錯誤源劫持；BGPsec由于會對整條路徑每一步都作驗證，保證該ASN是自治系統(tǒng)親自加入的，因此在完全部署后可以避免路徑毒化[26]和偽造，故能防御所有錯誤源劫持、錯誤鏈路劫持和錯誤策略劫持；Path-end進行了源端驗證，不僅檢查了f和N0的綁定關系，還驗證了源端鏈路N0-N1的轉(zhuǎn)發(fā)合理性，因此最終可以完全防御錯誤源劫持和1跳錯誤鏈路劫持；ASPA以RPKI為基礎，可以杜絕錯誤源劫持的發(fā)生，同時在完全部署后每個AS都會檢測來自同伴和客戶的路由，保證每一跳暗示的商業(yè)關系客觀存在，可以發(fā)現(xiàn)并過濾掉部分錯誤鏈路劫持和錯誤策略劫持，但它不能防御來自供應商的偽造路由，同時由于僅檢查了商業(yè)關系，因此可能忽視拼湊商業(yè)關系形成的特殊偽造路徑；而FSBGP完全部署后能夠通過三元組的簽名驗證保證源的真實性，但是劫持者可以收集一段時間的路由信息，利用三元組拼湊出1條實際存在但違背入口或出口策略的路徑，因此完全部署后能防御錯誤源劫持、錯誤鏈路劫持和部分錯誤策略劫持.我們將該分析結(jié)果匯總到表3中：

表3 典型域間安全路由機制完全部署后適用的劫持類型

以上分析結(jié)果顯示，基于數(shù)字簽名技術的BGPsec完全部署后具有最強的劫持防御能力.但正如前文所說，域間安全路由機制在部署上面臨一些挑戰(zhàn)，其中尤以BGPsec為甚.BGPsec和FSBGP需要對大量的BGP更新報文進行加密和驗證，要求更高的存儲和運算能力，改變了傳播域間路由的選路流程，因此需要對邊界路由器等網(wǎng)絡設備進行更新，提高了路由的成本和維護開銷，這對許多以盈利為目的的AS是不友好的.而RPKI,Path-end和ASPA都要求自治系統(tǒng)公開自身的部分網(wǎng)絡信息，如IP前綴、BGP鄰居關系、網(wǎng)絡接入商等，這些信息可能涉及商業(yè)機密、政治合作關系、網(wǎng)絡配置等敏感內(nèi)容，因此難以保證內(nèi)容的真實性，在接納相應機制時也會受到排斥.因此，域間路由將在較長時期處于一個安全機制部分部署的過渡階段.對這些機制防御能力的研究，我們更關注部分部署時的效果.

我們使用部署率來描述安全機制的部分部署程度，其含義為使用該安全機制的AS數(shù)目占互聯(lián)網(wǎng)拓撲中AS總數(shù)的比例.實驗仍然采用CAIDA在2019年11月1日發(fā)布的網(wǎng)絡拓撲關系，遵循Gao-Rexford路由模型，模擬不同安全機制在不同部署率下對常見類型的路由劫持產(chǎn)生的防御作用.在每個實驗場景下(即確定的安全機制、確定的部署率和確定的路由劫持類型)，我們均模擬了20次隨機發(fā)生在2個AS間的路由劫持過程，計算此時劫持能夠感染的AS數(shù)目，并用未部署安全機制時的感染AS數(shù)目作為基準進行歸一化，得到歸一化劫持率.接著我們對這20組劫持率求得平均值，用來表達該部署率下安全機制對此類路由劫持的防御效果，平均劫持率越低安全機制部署后取得的收益越明顯.圖4展示了該實驗的具體結(jié)果：

圖4 域間安全路由機制部分部署時對常見劫持的抵御效果

通過圖4我們可以歸納得出，之前介紹的幾種具有代表性的域間安全路由機制均已實現(xiàn)或在RPKI的基礎上進行了源AS的驗證，因此對錯誤源劫持(〈A〉,f)具有接近線性的防御能力.而對1跳錯誤鏈路劫持(〈A,V〉,f)來說，RPKI完全不能進行抵御，而BGPsec,Path-end,ASPA和FSBGP都具有一定的防御能力，但是由于BGPsec需要對整條AS路徑嵌套簽名，因此在部分部署時效果低于其他3種安全路由機制.當劫持者進行盲目的2跳錯誤鏈路劫持(〈A,X,V〉,f)時，由于X-V可能是真實存在的鏈路，因此Path-end仍具有比BGPsec更好的防御效果，但不如ASPA和FSBGP的安全性.若劫持者進行理智的2跳錯誤鏈路劫持(〈A,N,V〉,f)，此時的N是V的合法鄰居，鏈路N-V真實存在，因此它能夠完全繞過Path-end的源端檢驗，使其與RPKI一樣不產(chǎn)生防御效果.同時，ASPA對此類劫持的抵御能力也不如FSBGP，這主要因為ASPA僅對來自客戶和同伴的路由進行檢驗，而FSBGP的部署AS會對所有路由更新進行簽名驗證.

我們將以上分析和實驗得到的結(jié)果進行總結(jié)，可以得到關于域間安全路由機制在不同時期的性質(zhì)與選擇策略如下：

1) 完全部署時

以上信息在各個企業(yè)間形成有效數(shù)據(jù)鏈通過EDI為信息交互通道形成信息共享機制，具體表現(xiàn)在：供應商-原料物流公司-生產(chǎn)加工商，EDI在這三者通過采購單、物流運輸單、到貨入庫單形成有效數(shù)據(jù)集；生產(chǎn)商-物流公司-營銷體系，EDI通過物流運輸、銷售單、營銷合同作為信息互連互通的手段；社會公眾-追溯平臺，EDI作為查詢信息的接口提供追溯信息的查詢接口。

① BGPsec具有最強的防御能力，能夠抵御所有類型的域間路由劫持;

② RPKI是開銷相對較低的源驗證方法，能夠抵御最常見的路由劫持，即前綴劫持.

2) 部分部署時

① BGPsec在未廣泛部署時防御能力不明顯，不如其他類型的(部分)路徑驗證機制;

② Path-end可以對簡單但影響力較大的1跳錯誤鏈路劫持有很好的防御能力，但不適用于更復雜的劫持類型;

③ ASPA和FSBGP對錯誤鏈路劫持都具有較好的部分部署收益，其中FSBGP的防御效果更好，但是與ASPA相比也需要路由器增加對簽名驗證的計算和存儲能力;

④ RPKI是多種過渡時期安全機制的基礎.

6 結(jié)束語

為了降低路由劫持對互聯(lián)網(wǎng)帶來的危害，研究人員提出了多種域間安全路由機制，其中，諸如RPKI和BGPsec機制已成為IETF組織標準化并積極推動部署，ASPA機制也正在標準化的進程之中.雖然BGPsec可以為域間路由帶來最高安全等級的防御，基本杜絕路由劫持的產(chǎn)生，但由于部署成本和網(wǎng)絡隱私等問題難以短時間內(nèi)全面部署.要想縮短這一過渡時期需要對各類域間安全路由機制的防御能力有更深入的了解，以指導AS管理者認識各種機制的特點和能夠提供的安全收益，作出符合自身需求的安全選擇.

基于此，本文介紹了互聯(lián)網(wǎng)中最常見的4類路由劫持，即錯誤源劫持、1跳錯誤鏈路劫持、盲目的2跳錯誤鏈路劫持和理智的2跳錯誤鏈路劫持；比較了幾種典型的劫持防御機制的機理，包括RPKI,BGPsec,Path-end,ASPA和FSBGP；分析了完全部署時這些機制抵御的路由劫持類型，并模擬實驗了在部分部署時期它們對常見類型的劫持能產(chǎn)生的防御作用.