RPKI部署测量与权力滥用研究

摘要

随着互联网的发展，互联网中用户数量的不断增加，网络攻击事件也变得越来越频发。BGP(边界网关协议)作为AS(自治域)之间的域间路由协议，同样是网络攻击的重点目标。由于BGP设计之初是基于互信原则，即AS之间消息的互信，一个AS对从其他AS接收到的信息完全信任，而缺少验证的过程，这一安全隐患导致了BGP前缀劫持攻击的产生。为了防止BGP前缀劫持，IETF提出了RPKI(资源公钥基础设施)来解决BGP中所缺少的路由源认证问题。但由于RPKI沿用PKI(公钥基础设施)的层级结构，导致权威权力过大，可能发生权威权力滥用现象，产生新的安全隐患。本文将对RPKI及其安全问题进行深入研究，利用BGP和RPKI的数据采集技术收集BGP和RPKI的历史路由源信息，记录RPKI的部署情况，验证BGP路由源信息的有效性并监控有效性变化，进一步发现有效性变化的异常情况并分析权力滥用现象。
　　本研究设计并实现了BGP和RPKI检测系统。该系统分为数据采集模块、数据处理模块、路由源比较模块和RPKI监控列表共4个模块。数据采集模块从目前网络中的BGP数据源和RPKI资源库中收集了BGP和RPKI的原始数据，并建立了历史数据库。数据处理模块将采集的原始数据处理为用户可读的 IP地址前缀与AS对应情况的路由源数据。路由源比较模块使用RPKI路由源数据验证BGP路由源数据，并用验证结果表示路由源数据的有效性，建立路由源有效性历史数据库。RPKI监控模块按照RPKI路由源数据的变化情况建立了3种RPKI监控列表来监控RPKI路由源数据发生变化的时间点。使用实现的检测系统收集和处理了2017年1月1日至2017年4月30日期间的BGP和RPKI的数据，使用RPKI验证BGP路由源数据的有效性，分析了RPKI的部署情况和发展趋势。本文发现目前RPKI层级机构的深度最小为2，最大为5，平均深度为3，并且资源库中的证书数量随时间而增加。RPKI的路由源数据覆盖了互联网中7.80%的有效IP地址和5.86%的有效AS号，并且覆盖率随时间而增加。但是，BGP路由源有效性的使用占比没有明显的变化趋势，而是在6.5%-7.5%的范围内波动。分析了3种RPKI权威权力滥用现象，并设计实验模拟被滥用的 RPKI权威，对资源库中的数据进行篡改，并分析篡改的数据对路由源有效性的影响，发现不同RPKI滥用现象造成了路由源变化情况是不同的且有明显的特点，通过这一特点能够辨别发生的权力滥用现象。实现了BGP和RPKI检测系统，获得了BGP和RPKI的历史数据库、路由源历史数据库和路由源有效性历史数据库，并使用监控列表对RPKI路由源变化情况进行监控。同时，本文使用了系统运行得到的数据分析了RPKI的部署情况和部署变化趋势，并通过实验模拟RPKI滥用现象分析了每种现象造成的影响，为RPKI滥用现象的辨别提供了一种方法。

目录

第1章 绪 论

1.1课题背景

1.2国内外研究现状

1.3课题的主要工作

1.4论文的内容安排

第2章 BGP和RPKI介绍

2.1 BGP介绍

2.2 RPKI介绍

2.3本章小结

第3章 BGP和RPKI检测系统的设计和实现

3.1系统需求分析及设计目标

3.2系统总体设计

3.3数据采集模块

3.4数据处理模块

3.5路由源比较模块

3.6 RPKI监控列表模块

3.7本章小结

第4章 RPKI部署实验结果与分析

4.1系统运行情况

4.2 RPKI部署情况分析

4.3本章小结

第5章 RPKI滥用实验结果与分析

5.1 RPKI滥用分析的目的

5.2 RPKI滥用分析实验设计

5.3本章小结

结论

参考文献

声明

致谢