一、 研究的背景、目的和意义
1、研究的背景
目前,互联网(Internet)由超过46万条IPv4/v6地址前缀和4.4万个自治域(AS:Autonomous System)组成,每个AS独立管理互联网基础架构的一部分区域,并使用域间路由协议和邻居AS交换路由信息。作为当前域间路由协议的事实标准,边界网关协议BGP(Border Gateway Protocol)控制着所有AS之间的流量转发路径,对整个互联网的稳定性和可靠性起着至关重要的作用。
随着互联网的商业化和爆炸式发展,急剧增加的复杂度以及商业利益的刺激,使得域间路由中由误配置和恶意攻击造成的虚假路由频频泛滥,导致重要的服务无法访问,造成经济损失,甚至经常能够影响全球路由表中所有前缀的正常路由。例如,2008年4月,著名的巴基斯坦电信劫持事件使得You Tube从互联网上消失了近两个小时。2010年4月,中国电信的一个下属AS将属于170多个国家的5万条前缀劫持了将近20分钟,受影响的前缀数量相当于当时全球路由表中前缀总数的15%。 2012年8月,误操作导致加拿大运营商Dery Telecom 将整个路由表中数十万条前缀泄露给了大型运营商Bell Canada,污染路由甚至波及了全球互联网。域间路由安全问题已经列入了信息安全的国家战略。
然而,由于设计之初,缺乏安全考虑,BGP存在着诸多安全缺陷,而且有相当一部分安全问题至今仍然没有较好的解决方案。其中最严重的一类安全问题在于,AS无法对接收到的BGP路由更新消息(Update)进行验证。BGP节点在交互路由信息的过程中,不对AS_PATH属性的真实性进行验证,致使恶意节点可以通过发布伪造路由对特定自治域施加恶意影响
2、研究的目的
BGP的Update报文中的AS_path属性,主要记录了路由信息在传递过程中途径的每一个AS,是路由表建立,路由选择的重要依据,由此AS_path属性是攻击者的主要目标之一。
BGP本身对其没有任何保护路径的机制,所以路径属性很容易遭受恶意攻击者的篡改,因此可能劫持互联网上的流量沿着完全错误的方向进行转发,从而严重扰乱了互联网的正常通信。
(1)通过研究能够对AS_path属性进行隐藏,使自治系统外看不到路径属性
(2)对AS_path属性进行MD5的哈希运算加密,使得自治系统外看到的AS_path属性路径是乱码
(3)通过对自制系统内的AS_path属性,通过一定的算法研究,使其混乱排序,可在一定时间内自动刷新,排序方式。使得自制系统外的攻击者看得到,可是无法进行攻击
3、研究的意义
本次课题研究的意义是,通过对BGP协议的中Update报文中的AS_Path路径进行隐藏、加密、和算法混淆的研究,使得攻击者无法直接对路径进行攻击,从而达到隐蔽路由的效果,提高BGP协议的安全性,降低联盟外的恶意流量分析,防止路由劫持和流量劫持发生,保证安全通信。
二、 国内外文献综述(可另附页)
BGP协议本身存在很大的安全问题,导致前缀劫持、AS_PATH 路径劫持及路由泄露等攻击形式层出不穷。目前,针对前缀劫持和 AS_PATH 路径劫持的防范攻击安全机制提出了很多方案,但路由泄露由于其危害程度不如前者,所以针对路由泄露的安全方案仍比较少。然而路由泄露攻击形式占 BGP 安全攻击的 22%左右,且每天都会发生或大或小的路由泄露事件,所以路由隐蔽的研究对于 BGP 安全具有重大意义。
已有的路径验证方案中,过程复杂和开销巨大验证阻碍了方案的实际部署,本次毕业设计研究的提出对AS_path路径隐蔽,加密,随机变化进行路由行为的隐蔽研究,来提高BGP协议的安全性。
三、研究的主要内容和拟采用的研究方法
1、研究的主要内容
通过研究能够对AS_path属性进行隐藏,使自治系统外看不到路径属性
对AS_path属性进行MD5的哈希运算加密,使得自治系统外看到的AS_path属性路径是乱码
通过对自制系统内的AS_path属性,通过一定的算法研究,使其混乱排序,可在一定时间内自动刷新,排序方式。使得自制系统外的攻击者看得到,可是无法进行攻击
2、拟采用的研究方法
通过ENSP模拟器,进行BGP环境搭建,进行仿真模拟。
四、研究进度安排
第三学期第18周: 与导师见面,领取《毕业设计任务书》。
第四学期第2周: 完成问题定义、可行性研究、需求分析,撰写《开题报告》。
第四学期第3至8周: 进行系统分析与方案设计,包括系统框架,工作流程,系统各功能模块等的设计,交《自查表》。
第四学期第9至11周: 对系统进行测试,总结方案进行,整理初步的《毕业设计(论文)》文档。
第四学期第12周: 交《毕业设计(论文)》正文初稿。
第四学期第13至14周: 详细整理《毕业设计(论文)》。
第四学期第15周: 上交完整的设计成果和《毕业设计(论文)》。
五、主要参考文献
[1]孔令晶,因特网通信子网典型路由协议的安全性研究[D].北京:清华大学,2015
[2]向阳,互联网遇见路由前缀劫持监测与防御研究[D].北京:清华大学,2013
[3]郭毅,遇见路由系统安全监测关键技术[D].郑州:中国人民解放军信息工程大学,2012
|