CN102158469A - 一种边界网关协议前缀劫持攻击防范方法 - Google Patents
一种边界网关协议前缀劫持攻击防范方法 Download PDFInfo
- Publication number
- CN102158469A CN102158469A CN2011100294675A CN201110029467A CN102158469A CN 102158469 A CN102158469 A CN 102158469A CN 2011100294675 A CN2011100294675 A CN 2011100294675A CN 201110029467 A CN201110029467 A CN 201110029467A CN 102158469 A CN102158469 A CN 102158469A
- Authority
- CN
- China
- Prior art keywords
- isp
- prefix
- pki
- distribution
- relations
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种边界网关协议前缀劫持攻击防范方法,首先建立按照IP前缀和AS号码的分层分配系统来分配PKI,分配基于IP前缀和基于AS号码的两种PKI,两种PKI中分别包含IP前缀分配证明和AS号码分配证明,PKI根据IP前缀和AS号码的分配和撤销来进行更新,PKI的分发则是采用在ISP建立分发库的方式,当IP前缀和AS的通告消息到达路由器时则进行验证,首先验证公钥,再验证分配证书和连通性,证实通告的IP前缀或AS号码的授权。该方法可保护域间路由系统免受前缀劫持、IP子网前缀劫持、特别是上层ISP前缀劫持的攻击,同时能够有效防止IP前缀AS路径劫持、IP子网前缀AS路径劫持。
Description
技术领域
本发明涉及计算机网络完全技术领域,具体涉及一种基于IP(InternetProtocol)前缀和自治系统(Autonomous System)编号分配关系的公钥基础设施(PKI-Public Key Infrastructure),能够有效的防范BGP前缀劫持攻击。
背景技术
BGP(Border Gateway Protocol-边界网关协议)作为全球互联网上普遍应用的域间路由协议,在提供和维护因特网的连通性方面起着至关重要的作用。但BGP路由协议安全能力有限,BGP对等实体之间的通信缺少基本的认证和授权机制,无法对实体之间所传递的路由信息进行保护,在许多恶意攻击面前显得非常脆弱。特别是前缀劫持攻击,其危害特别严重,会导致全球互联网的动荡,造成巨大损失。例如:2008年2月24日发生的Pakistan Telecom劫持YouTube事件,其造成YouTube中断服务近2个小时,影响了全球2/3的互联网用户,这是一个典型的前缀劫持事件。前缀劫持攻击的主要危害是劫持者能够控制网络流量流向预定的方向,其攻击手段主要包括以下5种类型:
1)劫持IP前缀:攻击者利用受害AS直接通告不属于自己的IP前缀,劫持网络流量。
2)劫持IP前缀和AS路径:攻击者通告不属于自己的IP前缀和非法AS路径,劫持网络流量。
3)劫持IP子网前缀:IP子网前缀是一个相对的概念,是指更详细的、长度更长的前缀,如10.0.128.0/20就是10.0.0.0/16的一个子前缀。由于BGP协议的IP前缀选用是基于最大长度匹配的策略,攻击者通告更详细、更大长度的前缀,促使BGP路由器选择恶意IP前缀,劫持网络流量。
4)劫持IP子网前缀和AS路径:攻击者不但通告更大长度的前缀,还通告非法AS路径,劫持网络流量。
5)上层ISP前缀劫持攻击:由于在PKI系统中,PKI证书是分层发放,而且为了限制证书数量,上层ISP拥有下层ISP的PKI认证证书。一旦上层ISP通告了下层ISP的IP前缀,就会劫持下层ISP的网络流量。目前还没有较好的方案来防范此种前缀劫持攻击。由于前缀劫持攻击手段多、危害大,所以如何预防前缀劫持攻击一直是一个热点问题。
针对1-4所述的IP前缀劫持攻击,目前主要有以下2类安全解决方案:
1)攻击检测机制:典型的有Real-time Monitoring、WhisPer等,其基本思想是根据异常的路由来检测攻击源和攻击对象,然后根据检测结果进行恢复。攻击检测机制要求当前缀劫持攻击发生时,能够尽快地检测出攻击,并且进行恢复。攻击检测机制是一种被动的解决方案,只有当攻击发生时,才能够检测出攻击,并且它需要快速响应机制的配合,这样才能够达到快速有效阻断攻击,降低攻击影响的目的。攻击检测机制不但部署的难度大,而且即使成功的部署,BGP安全性也得不到完全的保护。
2)攻击预防机制,如S-BGP、SO-BGP、OA等。基本思想是在BGP中增加必要的安全机制,采用密码技术主动地为IP前缀和自治系统编号提供授权和认证,以达到防止前缀劫持攻击发生的目的。
在现存的攻击预防机制中,基于PKI的安全机制被认为是保护最完全、最有可能实现的机制。基于PKI系统的S-BGP已经在实际互联网上小规模部署实验,而且IETF工作组也正在完善该协议。现在提出的前缀劫持攻击预防方案常需要为IP地址前缀和自治系统编号建立一种基于IP前缀和自治系统编号的PKI认证系统。该PKI认证系统是一种基于加密机制的安全系统:各实体间可共享一个可传播的公钥,而各实体则拥有自己的私钥。在认证时,如果公钥认证通过则认为通告是合法通告。
基于IP前缀和自治系统编号的PKI系统主要分为以下4部分:
1证书系统:PKI的证书系统基于X.509(v3)的扩展证书,证书格式为:<公钥,证书主体(某组织,如ARIN),需要验证的信息(如:IP前缀或者AS编号)>。
2.分发系统:PKI证书的分发系统分为基于IP前缀的分发系统和基于AS编号的分发系统,按IP前缀和AS编号的分发层次分发。
3.更新系统:在IP前缀和AS编号增加或撤销时更新相应的PKI。
4.验证系统:在通告到达路由器时,验证证书的合法性。
长远来看,建立这种体系是非常有必要的,因为它可以完全保证IP地址前缀和自治系统的合法使用。
根据文献:KevinButler;ToniR.Farley;PatrickMcDaniel;A Survey of BGPSecurity Issues and Solutions,Proceedings of the IEEE|Vol.98,No.1,January2010所述,现在得到部署的BGP安全方案只有路由注册和路由过滤两种,安全保护能力很低,还没有一种保护比较完全的安全机制得到部署。这一方面是由于ISP的利益、网络规模等问题。但更重要的一个方面是:现有的安全方案,如攻击检测机制,不能预防IP前缀劫持的发生。而攻击预防机制往往只能预防一种或几种IP前缀劫持,存在安全保护不完全缺点,特别是在目前按IP前缀和AS编号的分发层次分发PKI的系统中,上层ISP包含下层ISP的PKI认证证书,而导致的上层ISP前缀劫持,和由于现存PKI不能认证连通性而导致的路径劫持,这两者不能够得到很好的防范。
发明内容
本发明所要解决的问题是:如何提供一种BGP(边界网关协议)前缀劫持攻击防范方法,该方法可保护域间路由系统免受前缀劫持、IP子网前缀劫持、特别是上层ISP前缀劫持的攻击,同时能够有效防止IP前缀AS路径劫持、IP子网前缀AS路径劫持。
本发明所提出的技术问题是这样解决的:提供一种BGP前缀劫持攻击防范方法,其特征在于,包括以下步骤:
①建立基于IP前缀和AS(Autonomous System,自治系统)号码的PKI的分层分配系统,该系统基于现有的IP地址和AS号码分配代理系统,并使用如下两种PKI来解决IP前缀和AS号码的证书分配:一是用于分配表征IP前缀所有权的证书;二是负责分配表征AS号码所有权及AS号码和路由器之间绑定关系的证书;
②按照上述分层分配系统来分配基于IP前缀和AS号码的两种PKI:PKIIP和PKIAS;
③将PKI根据IP前缀和AS号码的分配和撤销来进行更新;
④采用在ISP建立分发库的方式分发PKI;
⑤当IP前缀和AS号的通告消息到达BGP(Border Gateway Protocol-边界网关协议)路由器时则进行验证,首先验证公钥,然后验证相应的分配证明,以证实通告此IP前缀或者AS号的组织获得了授权,并对此IP前缀或者AS号进行通告。
按照本发明所提供的BGP前缀劫持攻击防范方法,其特征在于,在步骤②中,两种PKI以及对应分配关系证明如下:
a、IP前缀分配关系证明以及PKIIP
设ISPi为ISPj分配的IP前缀,简单记为Prefixj,则它的前缀分配关系证明定义为:[分配前缀的实体,拥有前缀实体,前缀,分配序列号],具体形式为:[ISPi,ISPj,Prefixj,DNj],其中分配序列号:DNIP-j是ISPj与ISPi相关的前缀分配关系证明序列号,初始为零,如果ISPi第k次分配了Prefixk,则DNk为k,表示已分配了第k个前缀,以后Prefix每分配一次,则DN依次增加,路由更新中包含IP前缀的分配关系证明,证明上层ISP分配了哪些前缀;假设前缀Prefixi是由最顶层的ISPt分配给ISPt-1再分配给ISPt-2,依次分配,最后分配给ISPk,则定义前缀Prefixi的分配层次是(ISPt,ISPt-1,…,ISP2,ISPk),它的PKIIP的一般形式为:公钥‖实体(如:某组织)‖实体拥有的前缀‖分配层次‖已分配出去的前缀的分配关系证明,具体的PKIIP格式为:Public Key‖ISPi‖Prefixi‖(ISPt,ISPt-1,……,ISP2,ISP1)‖[ISPt,ISPt-1,Prefixt-1,DNt-1]‖……‖[ISP2,ISP1,Prefix1,DN1];
b、AS号码分配关系证明及其PKIAS
设上层ISPi拥有的AS号码为ASi,当其分配ASj到ISPj,定义ASj的分配关系为:[分配AS号的实体,分配AS号的实体所拥有的AS,拥有分配的AS号的实体,分配的AS号,AS号分配序列号],具体的形式为:[ISPi,ASi,ISPj,ASj,DNj],其中AS号分配序列号:DNAS-j是ISPj与ISPi相关的AS分配关系证明序列号,初始为零;如果ISPi第k次分配了ASk,则DNk为k,表示已分配了第k个AS号,以后AS号每分配一次,则DN依次增加;路由更新中包含AS号的分配关系证明,证明上层ISP分配了哪些AS号;假设ASi是由最顶层的ISP分配给ISPt-1再分配给ISPt-2,依次分配,最后分配给ISP1,则定义ASi的分配层次是(ISPt,ISPt-1,…,ISP2,ISP1),它的PKIAS的一般形式为:公钥‖实体(如:某组织)‖实体拥有的AS号‖绑定的路由器ID‖分配层次‖已分配出去的AS号的分配关系证明,具体的PKIAS形式为Public Key‖ISPi‖ASi‖Router-ID‖(ISPt,ISPt-1,……,ISP2,ISP1)‖[ISPt,ASt,ISPt-1,ASt-1,DNt-1]‖……‖[ISP2,AS2,ISP1,AS1,DN1]。
按照本发明所提供的BGP前缀劫持攻击防范方法,其特征在于,步骤③具体包括:
①PKIIP更新:
分配前缀:上层ISP分配一个新前缀
a、新增更新:当一个新前缀分配给一个新的ISP,这个ISP获得一个新的分配关系证明和PKIIP。
b、替换更新:当一个新前缀分配给一个已拥有前缀的ISP,则使用新的分配关系证明和PKIIP分别替换旧的分配关系证明和PKIIP;
撤销前缀:ISP撤销一个前缀
a、不完全撤销:当只撤销某个ISP的某些前缀时,其获得一个新的且不合有已撤销前缀的PKIIP,并用新的PKI替换相关的旧的PKI,并同时撤销这个前缀的分配关系证明。
b、完全撤销更新:当一个ISP的前缀被撤销且该ISP与上层撤销机构相关的PKI含有前缀为空时,直接撤销前缀的PKI和分配关系证明;
②PKIAS更新:AS号码的分配和前缀的分配基本一致,所以AS号码更新遵循和前缀更新同样的原则。
按照本发明所提供的BGP前缀劫持攻击防范方法,其特征在于,步骤④中具体分发方式如下:
①初始化时,ISP对PKIIP和PKIAS分别签名,然后生成(ISP,PKIIP)对和(AS,PKIAS)对;
②拥有分发库的ISP直接上传到分发库中,没有分发库的ISP上传到最近的有分发库的ISP,然后上传到分发库,分发库之间交互,形成全网的(IS P,PKI)对和(AS,PKI)对,然后ISP从分发库中下载所有的(ISP,PKI)对和(AS,PKI)对;
③当ISP更新自己的PKI时,直接向分发库上传PKI更新报文,收到PKI更新报文后,除了向其它分发库洪泛此报文外,分发库将根据报文的类型,执行相应的操作:a、增加更新:根据报文更新数据内容,分发库增加(ISP,PKI)对和(AS,PKI)对;b、替换更新:根据报文更新数据内容,分发库替换(ISP,PKI)对和(AS,PKI)对;c、删除更新:根据报文跟新数据内容,分发库删除(ISP,PKI)对和(AS,PKI)对,最后,分发库通告ISP下载新更新的(ISP,PKI)对和(AS,PKI)对。
按照本发明所提供的BGP前缀劫持攻击防范方法,其特征在于,步骤⑤具体包括以下步骤:
IP前缀通告合法性验证:
当IP前缀的更新包到达BGP路由器时,验证步骤如下:
①验证(ISP,PKI)中PKI的正确性即验证公钥,验证前缀Prefix和ISP,保证ISP是Prefix的源前缀;
②如果PKI正确,获得分配关系证明;
③验证分配关系证明,分为两种情况:如果前缀是合法ISP所通告,那么在验证分配证明时验证成功,采用此更新;如果前缀是不合法ISP通告,验证失败,此时则丢弃此更新。
AS号码通告合法性验证:
当AS号码的更新包到达BGP路由器时,验证步骤如下:
①验证(AS,PKI)中PKI的正确性即验证公钥和绑定的路由器ID,验证AS号码的所有权和路由器的绑定关系;
②如果PKI验证正确,获得AS分配关系证明;
③由获得的分配关系证明,即可按如下原则确定AS之间的连通性:如果两个ISP有分配关系则确定为连通;验证时验证更新包中所给的下一跳是否可达和是否是伪造,若为非法路径则丢弃,如果验证通过则为合法通告,采用此更新。
本发明为了防止前缀劫持攻击,需要对于每个分配的IP前缀和自治系统编号(简称:AS号)进行授权,让各机构或实体能够合法通告自己拥有IP前缀和AS号,而没有得到授权的机构或实体则不能通告。即使它们非法通告,该通告也会被拒绝使用。在上层ISP前缀劫持攻击中,被劫持的IP前缀实际上是由上层ISP分配。鉴于此,在前缀分配时,增加IP前缀分配关系证明。而对于路径劫持攻击,则提供AS关系分配证明。
本方案首先建立PKI分配系统,分配时按照IP前缀和AS号的分层分配系统来分配,分配基于IP前缀和基于AS号的两种PKI,PKI根据IP前缀和AS号码的分配和撤销来进行更新,PKI的分发则是采用在ISP建立分发库的方式,这样可以更准确的分发PKI,当IP前缀和AS号的通告消息到达BGP路由器时则进行验证,首先验证公钥,然后验证相应的分配证明,以证实通告此IP前缀或者AS号的组织获得了授权,可以对此IP前缀或者AS号进行通告。该方法可保护域间路由系统免受前缀劫持、IP子网前缀劫持、特别是上层ISP前缀劫持的攻击,同时能够有效防止IP前缀AS路径劫持、IP子网前缀AS路径劫持。
附图说明
图1是基于IP前缀的PKI分配系统图;
图2是IP前缀分配PKI证书样式;
图3是基于AS的PKI分配系统图;
图4是AS号码和BGP路由器证书样式;
图5是IP前缀和AS的PKI分发更新流程;
图6是PKI更新报文格式;
图7是验证流程图。
具体实施方式
下面结合附图对本发明作进一步描述:
1.基于IP前缀和AS号码的PKI的分层分配系统
基于IP前缀和AS号码的PKI的分层分配系统的建立基于现有的IP地址和AS号码分配代理系统,这样可不考虑PKI新建之初遇到的“信任”问题,使创建过程省去许多麻烦。本方法需使用如下两种PKI来解决IP前缀和AS号的证书分配,即:一是用于分配表征IP前缀所有权的证书;二是负责分配表征AS号所有权及AS号和路由器之间绑定关系的证书。
IP前缀所有权证书分配PKI层次结构和证书样式分别如图1和图2所示。在IP前缀所有权证书分配PKI中,证书所起的作用是将公钥、证书的主体(某组织如ARIN或AT&T)以及它拥有的IP地址前缀绑定在一起,以此来声明证书的主体对地址前缀的所有权和它的公钥。如图1所示:这些证书的发放如同Internet地址分配方式一样,从最顶层机构ICANN开始,ICANN给自己发放自签名的证书,并给它的下属机构-地区Internet注册中心(RIR)如ARIN、RIPE和APNIC发放证书,这些证书是在X.509(v3)的基础上进行了扩展,用来包含ICANN分配给这些机构的IP地址块。这些地区Internet注册中心继续将它所持有的地址块以证书发放的形式分配给它的下属组织,整个证书发放方式如图1所示,呈层级结构。如果某个机构或组织拥有多个IP地址前缀,也只为其分配单一的证书,证书中包含它拥有的所有的IP地址前缀,这样可以减少证书的数量。
在AS号码和BGP路由器证书分配PKI的层级结构图中(图3),用发放证书的形式来分配AS号码,同时这些证书又是各个组织、AS号码和BGP路由器的身份证名。在该PKI中,证书的发放方式同IP前缀分配证书类似,从ICANN开始,ICANN给自己发放自签名的证书,并且给下属机构发放证书,再由下属机构分配给各自的下属机构,这样呈层级结构分发证书。证书用来证明证书的主体(某组织如某ISP)和它所持有的AS号之间的所有权关系,最底层的证书(证书类型为BGP路由器)将路由器名与AS号码和路由器ID绑定到一起,以证明该BGP路由器属于相应的AS,证书样式如图4所示。
2.基于IP前缀和AS编号分配关系的PKI系统
2.1.IP前缀分配关系证明及其PKIIP
假设ISPi为ISPj分配的IP前缀简单记为Prefixj,则它的前缀分配关系证明可定义为:[分配前缀的实体,拥有前缀实体,前缀,分配序列号],具体形式为:[ISPi,ISPj,Prefixj,DNj],其中分配序列号:DNIP-j是ISPj与ISPi相关的前缀分配关系证明序列号,初始为零。如果ISPi第k次分配了Prefixk,则DNk为k,表示已分配了第k个前缀,以后Prefix每分配一次,则DN依次增加。路由更新中包含IP前缀的分配关系证明,证明上层ISP分配了哪些前缀。假设前缀Prefixi是由最顶层的ISPt分配给ISPt-1再分配给ISPt-2,依次分配,最后分配给ISPk,则定义前缀Prefixi的分配层次是(ISPt,ISPt-1,…,ISP2,ISPk),它的PKIIP的一般形式为(公钥‖实体(如:某个ISP)‖实体拥有的前缀‖分配层次‖已分配出去的前缀的分配关系证明),具体的PKIIP格式为:(Public Key‖ISPi‖Prefixi‖(ISPt,ISPt-1,……,ISP2,ISP1)‖[ISPt,ISPt-1,Prefixt-1,DNt-1]‖……‖[ISP2,ISP1,Prefix1,DN1])。
例如:ISPi分配了Prefix1则Prefix1的PKI为(PublicKey‖ISP1‖Prefix1‖ISPi‖[ISPi,ISP1,Prefix1,DN1]‖[ISPk,ISPi,Prefixi,DNi]),其中[ISPk,ISPi,Prefixi,DNi]为ISPi的分配关系证明,当又分配了前缀Prefix2,Prefix2的PKI为(Public Key‖ISP2‖Prefix2‖[ISPi,ISP2,Prefix2,DN2]‖[ISPk,ISPi,Prefixi,DNi]‖[ISPi,ISP1,Prefix1,DN1])。
当路由更新包到达在BGP路由器时,BGP路由器验证的第一步:。公钥验证能够防范IP前缀劫持,IP子网前缀劫持,第二步:验证IP前缀分配证明。如果路由更新是上层ISP通告的非法IP前缀,由于上层ISP包含它分配出去的下层ISP前缀的公钥,所以在第一步时可以验证通过,但是上层ISP不包含它分配出去的下层ISP前缀的分配证明,第二步时验证失败。这样就能够防范上层ISP前缀劫持攻击。所以PKIIP可完全防范IP前缀劫持、IP子网前缀劫持、上层ISP前缀劫持。
2.2AS分配关系证明及其PKIAS
在AS号码分配系统中,假设上层ISPi拥有的AS号码为ASi,当其分配ASj到ISPj,定义ASj的分配关系为:[分配AS号的实体,分配AS号的实体所拥有的AS,拥有分配的AS号的实体,分配的AS号,AS号分配序列号],具体的形式为:[ISPi,ASi,ISPj,ASj,DNj],其中AS号分配序列号:DNAS-j是ISPj与ISPi相关的AS分配关系证明序列号,初始为零。如果ISPi第k次分配了ASk,则DNk为k,表示已分配了第k个AS号,以后AS号每分配一次,则DN依次增加。路由更新中包含AS号的分配关系证明,证明上层ISP分配了哪些AS号。假设ASi是由最顶层的ISPt分配给ISPt-1再分配给ISPt-2,依次分配,最后分配给ISP1,则定义ASi的分配层次是(ISPt,ISPt-1,…,ISP2,ISP1),它的PKIAS的一般形式为:(公钥‖实体(如:某个ISP)‖实体拥有的AS号‖绑定的路由器ID‖分配层次‖已分配出去的AS号的分配关系证明),具体的PKIAS形式为(PublicKey‖ISPi‖ASi‖Router-ID‖(ISPt,ISPt-1,……,ISP2,ISP1)‖[ISPt,ASt,ISPt-1,ASt-1,DNt-1]‖……‖[ISP2,AS2,ISP1,AS1,DN1]),例如:ISPi分配了AS1则AS1的PKI为(Public Key‖ISP1‖AS1‖Router-ID‖ISPi‖[ISPi,ASi,ISP1,AS1,DN1]‖[ISPk,ASk,ISPi,ASi,DNi]),其中[ISPk,ASk,ISPi,ASi,DNi]为ISPi的AS分配关系证明,当又分配了AS2,AS2的PKI为(PublicKey‖ISP2‖AS2‖Router-ID‖[ISPi,ASi,ISP2,AS2,DN2]‖[ISPi,ASi,ISP1,AS1,DN1]‖[ISPk,ASk,ISPi,ASi,DNi])。
当路由更新包到达在BGP路由器时,BGP路由器验证的第一步:验证公钥和绑定的路由器ID。这样能够保证通告AS的所有权和路由器的绑定关系。第二步:验证AS分配证明,获得AS之间的连通性。如果路由更新是非法通告的AS路径,即:伪造路径或者不可达路径,那么在验证连通性时验证失败。所以PKIAS可防范IP前缀AS路径劫持、IP子网前缀AS路径劫持。
3.PKiIIP和PKIAS更新
3.1PKIIP更新
分配前缀:上层ISP分配一个新前缀(即:未分配的前缀)
新增更新:当一个新前缀分配给一个新的ISP,这个ISP获得一个新的分配关系证明和PKIIP。
替换更新:当一个新前缀分配给一个已拥有前缀的ISP,则使用新的分配关系证明和PKIIP分别替换旧的分配关系证明和PKIIP。
撤销前缀:ISP撤销一个前缀
不完全撤销:当只撤销某个ISP的某些前缀时,其获得一个新的且不含有已撤销前缀的PKIIP,并用新的PKI替换相关的旧的PKI,并同时撤销这个前缀的分配关系证明。
完全撤销更新:当一个ISP的前缀被撤销且该ISP与上层撤销机构相关的PKI含有前缀为空时,直接撤销前缀的PKI和分配关系证明。
3.2PKIAS更新
由于AS号码的分配和前缀的分配基本一致,所以AS号码更新遵循和前缀更新同样的原则。
4.PKIIP和PKIAS的分发
在骨干ISP建立分发库,存储并且分发PKIIP和PKIAS,分发库是一些可进行简单运算的存储设备。对于没有建立分发库的ISP,则依赖那些建立了分发库的ISP,优先选择地理位置最接近的建立了分发库的ISP进行交互,通过的它们的分发库分发PKIIP和PKIAS,这样做的好处是能够节约成本,增加效率。分发过程如图5所示:(1)初始化时,ISP对PKIIP和PKIAS分别签名,然后生成(ISP,PKIIP)对和(AS,PKIAS)对;(2)拥有分发库的ISP直接上传到分发库中,没有分发库的ISP上传到最近的有分发库的ISP,然后上传到分发库,分发库之间交互,形成全网的(ISP,PKI)对和(AS,PKI)对,然后ISP从分发库中下载所有的(ISP,PKI)对和(AS,PKI)对;(3)当ISP更新自己的PKI时,直接向分发库上传PKI更新报文,收到PKI更新报文后,除了向其它分发库洪泛此报文外,分发库将根据报文的类型,执行相应的操作:1.增加更新:根据报文更新数据内容,分发库增加(ISP,PKI)对和(AS,PKI)对;2.替换更新:根据报文更新数据内容,分发库替换(ISP,PKI)对和(AS,PKI)对;3.删除更新:根据报文跟新数据内容,分发库删除(ISP,PKI)对和(AS,PKI)对,最后,分发库通告ISP下载新更新的(ISP,PKI)对和(AS,PKI)对。更新报文格式如图6所示。
5.IP前缀通告和AS编号通告合法性验证
5.1IP前缀通告合法性验证
当IP前缀的更新包到达BGP路由器时,验证步骤如下:
(1)验证(ISP,PKI)中PKI的正确性(即验证公钥),验证前缀Prefix和ISP,保证ISP是Prefix的源前缀;
(2)如果PKI正确,获得分配关系证明;
(3)验证分配关系证明,分为两种情况:
如果前缀是合法ISP所通告,那么在验证分配证明时验证成功,采用此更新。
如果前缀是不合法ISP通告,验证失败,此时则丢弃此更新。
5.2AS编号通告合法性验证
当AS号码的更新包到达BGP路由器时,验证步骤如下:
(1)验证(AS,PKI)中PKI的正确性(即验证公钥和绑定的路由器ID),验证AS号码的所有权和路由器的绑定关系;
(2)如果PKI验证正确,获得AS分配关系证明;
(3)由获得的分配关系证明,即可按如下原则确定AS之间的连通性:如果两个ISP有分配关系则确定为连通。验证时验证更新包中所给的下一跳是否可达和是否是伪造,若为非法路径则丢弃,如果验证通过则为合法通告,采用此更新。
Claims (5)
1.一种边界网关协议前缀劫持攻击防范方法,其特征在于,包括以下步骤:
①建立基于IP前缀和AS(Autonomous System,自治系统)号码的PKI的分层分配系统,该系统基于现有的IP地址和AS号码分配代理系统,增加使用如下两种PKI来解决IP前缀和AS号码的证书分配:一是用于分配表征IP前缀所有权的证书;二是负责分配表征AS号码所有权及AS号码和路由器之间绑定关系的证书;
②按照上述分层分配系统来分配基于IP前缀和AS号码的两种PKI:PKIIP和PKIAS;
③将PKI根据IP前缀和AS号码的分配和撤销来进行更新;
④采用在ISP建立分发库的方式分发PKI;
⑤当IP前缀和AS号码的通告消息到达BGP(Border Gateway Protocol-边界网关协议)路由器时则进行验证,首先验证公钥,然后验证相应的分配证明,以证实通告此IP前缀或者AS号码的组织获得了授权,并对此IP前缀或者AS号码进行通告。
2.根据权利要求1所述的边界网关协议前缀劫持攻击防范方法,其特征在于,在步骤②中,两种PKI以及对应分配关系证明如下:
a、IP前缀分配关系证明以及PKIIP
设ISPi为ISPj分配的IP前缀,简单记为Prefixj,则它的前缀分配关系证明定义为:[分配前缀的实体,拥有前缀实体,前缀,分配序列号],具体形式为:[ISPi,ISPj,Prefixj,DNj],其中分配序列号:DNIP-j是ISPj与ISPi相关的前缀分配关系证明序列号,初始为零,如果ISPi第k次分配了Prefixk,则DNk为k,表示已分配了第k个前缀,以后Prefix每分配一次,则DN依次增加,路由更新中包含IP前缀的分配关系证明,证明上层ISP分配了哪些前缀;假设前缀Prefixi是由最顶层的ISPt分配给ISPt-1再分配给ISPt-2,依次分配,最后分配给ISPk,则定义前缀Prefixi的分配层次是(ISPt,ISPt-1,…,ISP2,ISPk),它的PKIIP的一般形式为:公钥‖实体‖实体拥有的前缀‖分配层次‖已分配出去的前缀的分配关系证明,具体的PKIIP格式为:Public Key‖ISPi‖Prefixi‖(ISPt,ISPt-1,……,ISP2,ISP1)‖[SPt,ISPt-1,Prefixt-1,DNt-1]‖……‖[ISP2,ISP1,Prefix1,DN1];
b、AS号码分配关系证明及其PKIAS
设上层ISPi拥有的AS号码为ASi,当其分配ASj到ISPj,定义ASj的分配关系为:[分配AS号的实体,分配AS号的实体所拥有的AS,拥有分配的AS号的实体,分配的AS号,AS号分配序列号],具体的形式为:[ISPi,ASi,ISPj,ASj,DNj],其中AS号分配序列号:DNAS-j是ISPj与ISPi相关的AS分配关系证明序列号,初始为零;如果ISPi第k次分配了ASk,则DNk为k,表示已分配了第k个AS号,以后AS号每分配一次,则DN依次增加;路由更新中包含AS号的分配关系证明,证明上层ISP分配了哪些AS号;假设ASi是由最顶层的ISPt分配给ISPt-1再分配给ISPt-2,依次分配,最后分配给ISP1,则定义ASi的分配层次是(ISPt,ISPt-1,…,ISP2,ISP1),它的PKIAS的一般形式为:公钥‖实体‖实体拥有的AS号‖绑定的路由器ID‖分配层次‖已分配出去的AS号的分配关系证明,具体的PKIAS形式为Public KeyISPi‖Si‖Router-ID‖ISPt,ISPt-1,……,ISP2,ISP1)‖[ISPt,ASt,ISPt-1,ASt-1,DNt-1]‖……‖[ISP2,AS2,ISP1,AS1,DN1]。
3.根据权利要求1所述的边界网关协议前缀劫持攻击防范方法,其特征在于,步骤③具体包括:
①PKIIP更新:
分配前缀:上层ISP分配一个新前缀
a、新增更新:当一个新前缀分配给一个新的ISP,这个ISP获得一个新的分配关系证明和PKIIP。
b、替换更新:当一个新前缀分配给一个已拥有前缀的ISP,则使用新的分配关系证明和PKIIP分别替换旧的分配关系证明和PKIIP;
撤销前缀:ISP撤销一个前缀
a、不完全撤销:当只撤销某个ISP的某些前缀时,其获得一个新的且不含有已撤销前缀的PKIIP,并用新的PKI替换相关的旧的PKI,并同时撤销这个前缀的分配关系证明。
b、完全撤销更新:当一个ISP的前缀被撤销且该ISP与上层撤销机构相关的PKI含有前缀为空时,直接撤销前缀的PKI和分配关系证明;
②PKIAS更新:AS号码的分配和前缀的分配基本一致,所以AS号码更新遵循和前缀更新同样的原则。
4.根据权利要求1所述的边界网关协议前缀劫持攻击防范方法,其特征在于,步骤④中具体分发方式如下:
①初始化时,ISP对PKIIP和PKIAS分别签名,然后生成(ISP,PKIIP)对和(AS,PKIAS)对;
②拥有分发库的ISP直接上传到分发库中,没有分发库的ISP上传到最近的有分发库的ISP,然后上传到分发库,分发库之间交互,形成全网的(ISP,PKI)对和(AS,PKI)对,然后ISP从分发库中下载所有的(ISP,PKI)对和(AS,PKI)对;
③当ISP更新自己的PKI时,直接向分发库上传PKI更新报文,收到PKI更新报文后,除了向其它分发库洪泛此报文外,分发库将根据报文的类型,执行相应的操作:a、增加更新:根据报文更新数据内容,分发库增加(ISP,PKI)对和(AS,PKI)对;b、替换更新:根据报文更新数据内容,分发库替换(ISP,PKI)对和(AS,PKI)对;c、删除更新:根据报文跟新数据内容,分发库删除(ISP,PKI)对和(AS,PKI)对,最后,分发库通告ISP下载新更新的(ISP,PKI)对和(AS,PKI)对。
5.根据权利要求1所述的边界网关协议前缀劫持攻击防范方法,其特征在于,步骤⑤具体包括以下步骤:
IP前缀通告合法性验证:
当IP前缀的更新包到达BGP路由器时,验证步骤如下:
①验证(ISP,PKI)中PKI的正确性即验证公钥,验证前缀Prefix和ISP,保证ISP是Prefix的源前缀;
②如果PKI正确,获得分配关系证明;
③验证分配关系证明,分为两种情况:如果前缀是合法ISP所通告,那么在验证分配证明时验证成功,采用此更新;如果前缀是不合法ISP通告,验证失败,此时则丢弃此更新。
AS号码通告合法性验证:
当AS号码的更新包到达BGP路由器时,验证步骤如下:
①验证(AS,PKI)中PKI的正确性即验证公钥,验证AS号码的所有权和路由器的绑定关系;
②如果PKI验证正确,获得AS分配关系证明;
③由获得的分配关系证明,即可按如下原则确定AS之间的连通性:如果两个ISP有分配关系则确定为连通;验证时验证更新包中所给的下一跳是否可达,若不能够则丢弃,如果可达则为合法通告,采用此更新。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100294675A CN102158469A (zh) | 2011-01-27 | 2011-01-27 | 一种边界网关协议前缀劫持攻击防范方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100294675A CN102158469A (zh) | 2011-01-27 | 2011-01-27 | 一种边界网关协议前缀劫持攻击防范方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102158469A true CN102158469A (zh) | 2011-08-17 |
Family
ID=44439654
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011100294675A Pending CN102158469A (zh) | 2011-01-27 | 2011-01-27 | 一种边界网关协议前缀劫持攻击防范方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102158469A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105072116A (zh) * | 2015-08-13 | 2015-11-18 | 中国人民解放军国防科学技术大学 | 基于标识即公钥的自信任路由资源标识及密钥分配方法 |
| CN105141597A (zh) * | 2015-08-13 | 2015-12-09 | 中国人民解放军国防科学技术大学 | 一种基于标识即公钥的自表示安全路由授权方法 |
| CN105376098A (zh) * | 2015-11-30 | 2016-03-02 | 中国互联网络信息中心 | 一种路由源和路径双重验证方法 |
| CN105681345A (zh) * | 2016-03-11 | 2016-06-15 | 中国互联网络信息中心 | 一种加强rpki中ca证书签发安全的事前控制方法 |
| CN105791244A (zh) * | 2014-12-26 | 2016-07-20 | 中国电信股份有限公司 | 用于控制域间路由变更的方法、边界路由器和系统 |
| CN108886521A (zh) * | 2016-02-22 | 2018-11-23 | 动态网络服务股份有限公司 | 用于找到全球路由劫持的方法和设备 |
| CN109076344A (zh) * | 2016-05-03 | 2018-12-21 | 诺基亚美国公司 | 利用区块链保护用于互联网资源分配的事务 |
| CN113612727A (zh) * | 2021-06-24 | 2021-11-05 | 北京华云安信息技术有限公司 | 攻击ip识别方法、装置、设备和计算机可读存储介质 |
| CN114124464A (zh) * | 2021-10-27 | 2022-03-01 | 中盈优创资讯科技有限公司 | 一种被劫持路由的自动解封方法及装置 |
| CN114172838A (zh) * | 2021-11-10 | 2022-03-11 | 中盈优创资讯科技有限公司 | 一种虚假ip路由实时监测方法及装置 |
| CN114389994A (zh) * | 2018-11-02 | 2022-04-22 | 华为技术有限公司 | 一种路由处理的方法和网络设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005012620A (ja) * | 2003-06-20 | 2005-01-13 | Fujitsu Ltd | ネットワークシステム及びアドレス作成方法 |
| CN101588240A (zh) * | 2008-05-20 | 2009-11-25 | 中国人民解放军信息工程大学 | 一种报文处理方法 |
| CN101662393A (zh) * | 2009-07-24 | 2010-03-03 | 中国科学院计算技术研究所 | 域间前缀劫持检测与定位方法 |
-
2011
- 2011-01-27 CN CN2011100294675A patent/CN102158469A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005012620A (ja) * | 2003-06-20 | 2005-01-13 | Fujitsu Ltd | ネットワークシステム及びアドレス作成方法 |
| CN101588240A (zh) * | 2008-05-20 | 2009-11-25 | 中国人民解放军信息工程大学 | 一种报文处理方法 |
| CN101662393A (zh) * | 2009-07-24 | 2010-03-03 | 中国科学院计算技术研究所 | 域间前缀劫持检测与定位方法 |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105791244A (zh) * | 2014-12-26 | 2016-07-20 | 中国电信股份有限公司 | 用于控制域间路由变更的方法、边界路由器和系统 |
| CN105791244B (zh) * | 2014-12-26 | 2019-02-12 | 中国电信股份有限公司 | 用于控制域间路由变更的方法、边界路由器和系统 |
| CN105141597A (zh) * | 2015-08-13 | 2015-12-09 | 中国人民解放军国防科学技术大学 | 一种基于标识即公钥的自表示安全路由授权方法 |
| CN105141597B (zh) * | 2015-08-13 | 2018-08-14 | 中国人民解放军国防科学技术大学 | 一种基于标识即公钥的自表示安全路由授权方法 |
| CN105072116B (zh) * | 2015-08-13 | 2018-09-18 | 中国人民解放军国防科学技术大学 | 基于标识即公钥的自信任路由资源标识及密钥分配方法 |
| CN105072116A (zh) * | 2015-08-13 | 2015-11-18 | 中国人民解放军国防科学技术大学 | 基于标识即公钥的自信任路由资源标识及密钥分配方法 |
| CN105376098B (zh) * | 2015-11-30 | 2019-06-14 | 中国互联网络信息中心 | 一种路由源和路径双重验证方法 |
| CN105376098A (zh) * | 2015-11-30 | 2016-03-02 | 中国互联网络信息中心 | 一种路由源和路径双重验证方法 |
| US11394745B2 (en) | 2016-02-22 | 2022-07-19 | Dynamic Network Services, Inc. | Methods and apparatus for finding global routing hijacks |
| CN108886521A (zh) * | 2016-02-22 | 2018-11-23 | 动态网络服务股份有限公司 | 用于找到全球路由劫持的方法和设备 |
| CN108886521B (zh) * | 2016-02-22 | 2021-09-10 | 动态网络服务股份有限公司 | 用于找到全球路由劫持的方法和设备 |
| CN105681345B (zh) * | 2016-03-11 | 2019-06-11 | 中国互联网络信息中心 | 一种加强rpki中ca证书签发安全的事前控制方法 |
| CN105681345A (zh) * | 2016-03-11 | 2016-06-15 | 中国互联网络信息中心 | 一种加强rpki中ca证书签发安全的事前控制方法 |
| CN109076344A (zh) * | 2016-05-03 | 2018-12-21 | 诺基亚美国公司 | 利用区块链保护用于互联网资源分配的事务 |
| CN114389994A (zh) * | 2018-11-02 | 2022-04-22 | 华为技术有限公司 | 一种路由处理的方法和网络设备 |
| CN114389994B (zh) * | 2018-11-02 | 2022-12-27 | 华为技术有限公司 | 一种路由处理的方法和网络设备 |
| US11863447B2 (en) | 2018-11-02 | 2024-01-02 | Huawei Technologies Co., Ltd. | Route processing method and network device |
| CN113612727A (zh) * | 2021-06-24 | 2021-11-05 | 北京华云安信息技术有限公司 | 攻击ip识别方法、装置、设备和计算机可读存储介质 |
| CN113612727B (zh) * | 2021-06-24 | 2023-04-18 | 北京华云安信息技术有限公司 | 攻击ip识别方法、装置、设备和计算机可读存储介质 |
| CN114124464A (zh) * | 2021-10-27 | 2022-03-01 | 中盈优创资讯科技有限公司 | 一种被劫持路由的自动解封方法及装置 |
| CN114124464B (zh) * | 2021-10-27 | 2023-08-08 | 中盈优创资讯科技有限公司 | 一种被劫持路由的自动解封方法及装置 |
| CN114172838A (zh) * | 2021-11-10 | 2022-03-11 | 中盈优创资讯科技有限公司 | 一种虚假ip路由实时监测方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102158469A (zh) | 一种边界网关协议前缀劫持攻击防范方法 | |
| CN109918878B (zh) | 一种基于区块链的工业物联网设备身份认证及安全交互方法 | |
| CN111372248B (zh) | 一种车联网环境下高效匿名身份认证方法 | |
| CN112311530B (zh) | 一种基于区块链的联盟信任分布式身份凭证管理认证方法 | |
| CN113923044B (zh) | 一种基于可信执行环境的跨链系统及方法 | |
| CN114186248B (zh) | 基于区块链智能合约的零知识证明可验证凭证数字身份管理系统及方法 | |
| CN109076344A (zh) | 利用区块链保护用于互联网资源分配的事务 | |
| CN105704245B (zh) | 基于车联网的海量数据处理方法 | |
| CN108881169A (zh) | 基于区块链的时间分发和同步方法及系统、数据处理系统 | |
| CN102647394B (zh) | 路由设备身份认证方法及装置 | |
| CN106060014A (zh) | 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法 | |
| CN103460736A (zh) | 在无线网络中管理数字证书的灵活系统和方法 | |
| CN103098414B (zh) | 用于基于证书进行认证的方法 | |
| JP2013513256A (ja) | 限られた数のインフラ・サーバを有する自動車ネットワーク向け公開鍵インフラに関する方法 | |
| CN110012119B (zh) | 一种ip地址前缀授权与管理方法 | |
| CN109327562A (zh) | 一种基于区块链的域名存储系统及方法 | |
| CN101796796A (zh) | 网络和用于建立安全网络的方法 | |
| CN114244527B (zh) | 基于区块链的电力物联网设备身份认证方法及系统 | |
| CN105376098A (zh) | 一种路由源和路径双重验证方法 | |
| CN101145908A (zh) | 保障业务网络安全的系统、装置及方法 | |
| CN109327309A (zh) | 一种基于ibc与pki混合体系的跨域密钥管理方法 | |
| Li et al. | Bootstrapping accountability in the internet we have | |
| CN106453651A (zh) | 一种rpki资料库及数据同步方法 | |
| CN105704160B (zh) | 车载数据实时计算方法 | |
| KR20190120559A (ko) | 블록체인 기반의 보안 자격증명 배포를 위한 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110817 |