本发明专利技术公开了一种结合稳定性与安全性的边界网关协议改进方法及装置,其中,方法包括:将标记BGP路由更新起源的安全根本原因信息添加至每一条通告路由;根据所述安全根本原因信息结合路由AS_PATH信息计算路由稳定性指标;以及将所述稳定性指标添加至BGP路由决策过程,以降低恶意协议攻击路径优先级。该方法权衡了BGP的稳定性和安全性,在抑制路由抖动的同时,提高了协议的安全性,防御协议操纵攻击,且原理简单、配置灵活易实现。
【技术实现步骤摘要】
结合稳定性与安全性的边界网关协议改进方法及装置
本专利技术涉及互联网
,特别涉及一种结合稳定性与安全性的边界网关协议改进方法及装置。
技术介绍
互联网被划分为数以万计的不同行政管理区域,称为AS(AutonomousSystem,自治系统)。每个自治系统通常遵循一套专属的路由策略,并且与其他一个或多个自治系统相连。自治系统内部可以使用ISIS或者OSPF等IGP(InternalGatewayProtocol,内部网关协议)进行通信,而自治系统之间的通信则是依靠BGP(BorderGatewayProtocol,边界网关协议)完成的。表1为按照优先级从高到低的顺序列出了路由决策过程的步骤,如表1所示,BGP是基于属性向量的路由协议,BGP路由器根据这些属性来选出最佳路由。表1BGP是一种去中心化的协议,的收敛和更新过程是通过网络中的路由器之间彼此交换路由信息,各自独立选择路径而逐步增量完成的,由于各节点的计算处理能力和优先级设置及出入口过滤策略都或多或少有所不同,节点间的具体交互顺序和选择结果并不是完全可控的。这样一来,一些会降低网路正常性能的异常路由更新行为就有可能出现,比如过快过多的通告撤回路由消息,或是所选路径周而复始永不休止得交换更迭等等,这些异常的路由更新行为,可以统称为“路由抖动”。研究人员提出了可以抑制路由抖动的相关机制——路由RFD(RoutingFlapDamping,抖动阻尼技术)和MRAI(MinimalRouteAdvertisementInterval,最小路由通告间隔技术)等,并在互联网中得到了广泛的部署使用,减少了许多无谓的网络资源消耗。由于BGP设计之初是基于网络中的实体均可以彼此信任的前提,所以并没有添加任何安全机制,一旦网络中存在恶意的AS,就可以轻易地发起各种攻击,包括控制平面的前缀劫持、欺骗、篡改或伪造路由信息,或是未经授权的前缀聚合或者解聚合等,还有数据平面的丢弃、重路由或者延迟数据包等。研究人员提出了各种各样的安全措施来限制BGP中的非法行为,包括使用加密机制来保护控制平面的安全,授权和验证收到路由的完整性和隐含前缀所有权的真实性,即加入了源认证和路径认证机制;此外,还提出了用于加强数据平面安全性能的方案,例如检查控制平面选定的路由是否真正在数据平面中被用于数据包转发的验证方案等。然而,在现有技术中,即使BGP使用了上述对控制平面的加密和对数据平面的验证机制,攻击者无法进行劫持和欺骗类的恶意行为,单从BGP本身协议设计的角度出发,还是存在着严重的安全漏洞,这类利用协议复杂性发起的攻击称为协议操纵攻击。上述为降低网络中BGP路由更新频率而使用的RFD机制和MRAI机制,本意是提高稳定性能,降低通信开销,却在无意间引入了安全漏洞。即使在加入了加密机制的“安全”网络环境中,依然有可能发起协议操纵攻击,使得BGP中一些基本的属性得不到保证,如网络可达性和策略一致性,造成严重的危害。
技术实现思路
本专利技术旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本专利技术的一个目的在于提出一种结合稳定性与安全性的边界网关协议改进方法,该方法具有在抑制路由抖动的同时,提高了协议的安全性,防御协议操纵攻击的优点。本专利技术的另一个目的在于提出一种结合稳定性与安全性的边界网关协议改进装置。为达到上述目的,本专利技术一方面实施例提出了一种结合稳定性与安全性的边界网关协议改进方法,包括:将标记BGP路由更新起源的安全根本原因信息添加至每一条通告路由;根据所述安全根本原因信息结合路由AS_PATH信息计算路由稳定性指标;以及将所述稳定性指标添加至BGP路由决策过程,以降低恶意协议攻击路径优先级。本专利技术实施例的结合稳定性与安全性的边界网关协议改进方法,通过根据安全根本原因信息通过路由AS_PATH信息获取标识路由稳定性指标,并将其添加至BGP路由决策过程,以降低恶意协议攻击路径优先级,具有权衡BGP的稳定性和安全性,在抑制路由抖动的同时,提高了协议的安全性,防御协议操纵攻击,且原理简单、配置灵活易实现。另外,根据本专利技术上述实施例的结合稳定性与安全性的边界网关协议改进方法还可以具有以下附加的技术特征:进一步地,在本专利技术的一个实施例中,将标记BGP路由更新起源的安全根本原因信息添加至每一条通告路由,还包括:在BGP路由器接收到相邻单位的更新消息时,将接收到的所述更新信息发布至其他相邻单位。进一步地,在本专利技术的一个实施例中,所述根据所述安全根本原因信息通过路由AS_PATH信息获取标识路由稳定性指标,包括:当任意一条路由被撤销且对应的路由AS_PATH信息包括更新信息时,对所述稳定性指标进行修改,增加一个固定值;当路由保持稳定时,所述稳定性指标随时间呈指数衰减。进一步地,在本专利技术的一个实施例中,根据稳定效果确定优先级,所述添加所述稳定性指标至BGP路由决策过程的添加优先级根据实际需求自行选择以实现稳定效果。进一步地,在本专利技术的一个实施例中,所述稳定性指标的优先级包括第一至第三模型,其中,在所述第一模型中,将所述稳定性指标置于所述BGP路由决策过程的首位,且使得路由本地优先级和路径长短在次位;在所述第二模型中,将反映路由策略的本地优先级置于首位,路径的稳定性和路径长短在次位;在所述第三模型中,将所述路由本地优先级和路径的长短置于首位,并加入所述路由稳定性指标。为达到上述目的,本专利技术另一方面实施例提出了一种结合稳定性与安全性的边界网关协议改进装置,包括:第一添加模块,用于将标记BGP路由更新起源的安全根本原因信息添加至每一条通告路由;计算模块,用于根据所述安全根本原因信息结合路由AS_PATH信息计算标识路由稳定性指标;以及第二添加模块,用于将所述稳定性指标添加至BGP路由决策过程,以降低恶意协议攻击路径优先级。本专利技术实施例的结合稳定性与安全性的边界网关协议改进装置,通过根据安全根本原因信息通过路由AS_PATH信息获取标识路由稳定性指标,并将其添加至BGP路由决策过程,以降低恶意协议攻击路径优先级,具有权衡BGP的稳定性和安全性,在抑制路由抖动的同时,提高了协议的安全性,防御协议操纵攻击,且原理简单、配置灵活易实现。另外,根据本专利技术上述实施例的结合稳定性与安全性的边界网关协议改进装置还可以具有以下附加的技术特征:进一步地,在本专利技术的一个实施例中,所述第一添加模块还用于在BGP路由器接收到相邻单位的更新消息时,将接收到的所述更新信息发布至其他相邻单位。进一步地,在本专利技术的一个实施例中,所述计算模块用于当任意一条路由被撤销且对应的路由AS_PATH信息包括更新信息时,对所述稳定性指标进行修改,增加一个固定值;当路由保持稳定时,所述稳定性指标随时间呈指数衰减。进一步地,在本专利技术的一个实施例中,根据稳定效果确定优先级,所述添加所述稳定性指标至BGP路由决策过程的添加优先级根据实际需求自行选择以实现稳定效果。进一步地,在本专利技术的一个实施例中,所述稳定性指标的优先级包括第一至第三模型,其中,在所述第一模型中,将所述稳定性指标置于所述BGP路由决策过程的首位,且使得路由本地优先级和路径长短在次位;在所述第二模型中,将反映路由策略的本地优先级置于首位,路径的稳定性和路径长短在次位;在所述第三模型中,将所述路本文档来自技高网...
【技术保护点】
1.一种结合稳定性与安全性的边界网关协议改进方法,其特征在于,包括以下步骤:将标记BGP路由更新起源的安全根本原因信息添加至每一条通告路由;根据所述安全根本原因信息结合路由AS_PATH信息计算标识路由稳定性指标;以及将所述稳定性指标添加至BGP路由决策过程,以降低恶意协议攻击路径优先级。
【技术特征摘要】
1.一种结合稳定性与安全性的边界网关协议改进方法,其特征在于,包括以下步骤:将标记BGP路由更新起源的安全根本原因信息添加至每一条通告路由;根据所述安全根本原因信息结合路由AS_PATH信息计算标识路由稳定性指标;以及将所述稳定性指标添加至BGP路由决策过程,以降低恶意协议攻击路径优先级。2.根据权利要求1所述的结合稳定性与安全性的边界网关协议改进方法,其特征在于,将标记BGP路由更新起源的安全根本原因信息添加至每一条通告路由,还包括:在BGP路由器接收到相邻单位的更新消息时,将接收到的所述安全根本原因信息发布至其他相邻单位。3.根据权利要求2所述的结合稳定性与安全性的边界网关协议改进方法,其特征在于,所述根据所述安全根本原因信息通过路由AS_PATH信息获取标识路由稳定性指标,包括:当任意一条路由被撤销且对应的路由AS_PATH信息包括根本原因信息时,对所述稳定性指标进行修改,增加一个固定值;当路由保持稳定时,所述稳定性指标随时间呈指数衰减。4.根据权利要求1所述的结合稳定性与安全性的边界网关协议改进方法,其特征在于,其中,根据稳定效果确定优先级,所述添加所述稳定性指标至BGP路由决策过程的添加优先级根据实际需求自行选择以实现稳定效果。5.根据权利要求4所述的结合稳定性与安全性的边界网关协议改进方法,其特征在于,所述稳定性指标的优先级包括第一至第三模型,其中,在所述第一模型中,将所述稳定性指标置于所述BGP路由决策过程的首位,且使得路由本地优先级和路径长短在次位;在所述第二模型中,将反映路由策略的本地优先级置于首位,路径的稳定性和路径长短在次位;在所述第三模型中,将所述路由本地优先级和路径的...
【专利技术属性】
技术研发人员:徐明伟,孙晓梅,李琦,杨芫,
申请(专利权)人:清华大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。