结合稳定性与安全性的边界网关协议改进方法及装置

摘要

本发明公开了一种结合稳定性与安全性的边界网关协议改进方法及装置，其中，方法包括：将标记BGP路由更新起源的安全根本原因信息添加至每一条通告路由；根据所述安全根本原因信息结合路由AS_PATH信息计算路由稳定性指标；以及将所述稳定性指标添加至BGP路由决策过程，以降低恶意协议攻击路径优先级。该方法权衡了BGP的稳定性和安全性，在抑制路由抖动的同时，提高了协议的安全性，防御协议操纵攻击，且原理简单、配置灵活易实现。

说明书

技术领域

本发明涉及互联网技术领域，特别涉及一种结合稳定性与安全性的边界网关协议改进方法及装置。

背景技术

互联网被划分为数以万计的不同行政管理区域，称为AS(AutonomousSystem，自治系统)。每个自治系统通常遵循一套专属的路由策略，并且与其他一个或多个自治系统相连。自治系统内部可以使用ISIS或者OSPF等IGP(Internal Gateway Protocol，内部网关协议)进行通信，而自治系统之间的通信则是依靠BGP(Border Gateway Protocol，边界网关协议)完成的。表1为按照优先级从高到低的顺序列出了路由决策过程的步骤，如表1所示，BGP是基于属性向量的路由协议，BGP路由器根据这些属性来选出最佳路由。

表1

BGP是一种去中心化的协议，的收敛和更新过程是通过网络中的路由器之间彼此交换路由信息，各自独立选择路径而逐步增量完成的，由于各节点的计算处理能力和优先级设置及出入口过滤策略都或多或少有所不同，节点间的具体交互顺序和选择结果并不是完全可控的。这样一来，一些会降低网路正常性能的异常路由更新行为就有可能出现，比如过快过多的通告撤回路由消息，或是所选路径周而复始永不休止得交换更迭等等，这些异常的路由更新行为，可以统称为“路由抖动”。研究人员提出了可以抑制路由抖动的相关机制——路由RFD(Routing Flap Damping，抖动阻尼技术)和MRAI(Minimal RouteAdvertisement Interval，最小路由通告间隔技术)等，并在互联网中得到了广泛的部署使用，减少了许多无谓的网络资源消耗。

由于BGP设计之初是基于网络中的实体均可以彼此信任的前提，所以并没有添加任何安全机制，一旦网络中存在恶意的AS，就可以轻易地发起各种攻击，包括控制平面的前缀劫持、欺骗、篡改或伪造路由信息，或是未经授权的前缀聚合或者解聚合等，还有数据平面的丢弃、重路由或者延迟数据包等。研究人员提出了各种各样的安全措施来限制BGP中的非法行为，包括使用加密机制来保护控制平面的安全，授权和验证收到路由的完整性和隐含前缀所有权的真实性，即加入了源认证和路径认证机制；此外，还提出了用于加强数据平面安全性能的方案，例如检查控制平面选定的路由是否真正在数据平面中被用于数据包转发的验证方案等。

然而，在现有技术中，即使BGP使用了上述对控制平面的加密和对数据平面的验证机制，攻击者无法进行劫持和欺骗类的恶意行为，单从BGP本身协议设计的角度出发，还是存在着严重的安全漏洞，这类利用协议复杂性发起的攻击称为协议操纵攻击。上述为降低网络中BGP路由更新频率而使用的RFD机制和MRAI机制，本意是提高稳定性能，降低通信开销，却在无意间引入了安全漏洞。即使在加入了加密机制的“安全”网络环境中，依然有可能发起协议操纵攻击，使得BGP中一些基本的属性得不到保证，如网络可达性和策略一致性，造成严重的危害。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本发明的一个目的在于提出一种结合稳定性与安全性的边界网关协议改进方法，该方法具有在抑制路由抖动的同时，提高了协议的安全性，防御协议操纵攻击的优点。

本发明的另一个目的在于提出一种结合稳定性与安全性的边界网关协议改进装置。

为达到上述目的，本发明一方面实施例提出了一种结合稳定性与安全性的边界网关协议改进方法，包括：将标记BGP路由更新起源的安全根本原因信息添加至每一条通告路由；根据所述安全根本原因信息结合路由AS_PATH信息计算路由稳定性指标；以及将所述稳定性指标添加至BGP路由决策过程，以降低恶意协议攻击路径优先级。

本发明实施例的结合稳定性与安全性的边界网关协议改进方法，通过根据安全根本原因信息通过路由AS_PATH信息获取标识路由稳定性指标，并将其添加至BGP路由决策过程，以降低恶意协议攻击路径优先级，具有权衡BGP的稳定性和安全性，在抑制路由抖动的同时，提高了协议的安全性，防御协议操纵攻击，且原理简单、配置灵活易实现。

另外，根据本发明上述实施例的结合稳定性与安全性的边界网关协议改进方法还可以具有以下附加的技术特征：

进一步地，在本发明的一个实施例中，将标记BGP路由更新起源的安全根本原因信息添加至每一条通告路由，还包括：在BGP路由器接收到相邻单位的更新消息时，将接收到的所述更新信息发布至其他相邻单位。

进一步地，在本发明的一个实施例中，所述根据所述安全根本原因信息通过路由AS_PATH信息获取标识路由稳定性指标，包括：当任意一条路由被撤销且对应的路由AS_PATH信息包括更新信息时，对所述稳定性指标进行修改，增加一个固定值；当路由保持稳定时，所述稳定性指标随时间呈指数衰减。

进一步地，在本发明的一个实施例中，根据稳定效果确定优先级，所述添加所述稳定性指标至BGP路由决策过程的添加优先级根据实际需求自行选择以实现稳定效果。

进一步地，在本发明的一个实施例中，所述稳定性指标的优先级包括第一至第三模型，其中，在所述第一模型中，将所述稳定性指标置于所述BGP路由决策过程的首位，且使得路由本地优先级和路径长短在次位；在所述第二模型中，将反映路由策略的本地优先级置于首位，路径的稳定性和路径长短在次位；在所述第三模型中，将所述路由本地优先级和路径的长短置于首位，并加入所述路由稳定性指标。

为达到上述目的，本发明另一方面实施例提出了一种结合稳定性与安全性的边界网关协议改进装置，包括：第一添加模块，用于将标记BGP路由更新起源的安全根本原因信息添加至每一条通告路由；计算模块，用于根据所述安全根本原因信息结合路由AS_PATH信息计算标识路由稳定性指标；以及第二添加模块，用于将所述稳定性指标添加至BGP路由决策过程，以降低恶意协议攻击路径优先级。

本发明实施例的结合稳定性与安全性的边界网关协议改进装置，通过根据安全根本原因信息通过路由AS_PATH信息获取标识路由稳定性指标，并将其添加至BGP路由决策过程，以降低恶意协议攻击路径优先级，具有权衡BGP的稳定性和安全性，在抑制路由抖动的同时，提高了协议的安全性，防御协议操纵攻击，且原理简单、配置灵活易实现。

另外，根据本发明上述实施例的结合稳定性与安全性的边界网关协议改进装置还可以具有以下附加的技术特征：

进一步地，在本发明的一个实施例中，所述第一添加模块还用于在BGP路由器接收到相邻单位的更新消息时，将接收到的所述更新信息发布至其他相邻单位。

进一步地，在本发明的一个实施例中，所述计算模块用于当任意一条路由被撤销且对应的路由AS_PATH信息包括更新信息时，对所述稳定性指标进行修改，增加一个固定值；当路由保持稳定时，所述稳定性指标随时间呈指数衰减。

进一步地，在本发明的一个实施例中，根据稳定效果确定优先级，所述添加所述稳定性指标至BGP路由决策过程的添加优先级根据实际需求自行选择以实现稳定效果。

进一步地，在本发明的一个实施例中，所述稳定性指标的优先级包括第一至第三模型，其中，在所述第一模型中，将所述稳定性指标置于所述BGP路由决策过程的首位，且使得路由本地优先级和路径长短在次位；在所述第二模型中，将反映路由策略的本地优先级置于首位，路径的稳定性和路径长短在次位；在所述第三模型中，将所述路由本地优先级和路径的长短置于首位，并加入所述路由稳定性指标。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为根据本发明实施例的结合稳定性与安全性的边界网关协议改进方法的流程图；

图2为根据本发明一个实施例的结合稳定性与安全性的边界网关协议改进方法的协议操纵攻击的拓扑示意图；

图3为根据本发明一个实施例的结合稳定性与安全性的边界网关协议改进方法的攻击者AS2发布路由时的根本原因信息示意图；

图4为根据本发明一个实施例的结合稳定性与安全性的边界网关协议改进方法的攻击逐步失效的过程示意图；

图5为根据本发明一个实施例的结合稳定性与安全性的边界网关协议改进方法的方案示意图；

图6为根据本发明实施例的结合稳定性与安全性的边界网关协议改进装置的结构示意图。

具体实施方式

下面详细描述本发明的实施例，实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

下面参照附图描述根据本发明实施例提出的结合稳定性与安全性的边界网关协议改进方法及装置，首先将参照附图描述根据本发明实施例提出的结合稳定性与安全性的边界网关协议改进方法。

图1为根据本发明实施例的结合稳定性与安全性的边界网关协议改进方法的流程图。

如图1所示，该结合稳定性与安全性的边界网关协议改进方法包括以下步骤：

在步骤S101中，将标记BGP路由更新起源的安全根本原因信息添加至每一条通告路由。

如图2所示，具体来说，当BGP路由器在由于本地变化而发布路由更新消息时，需要在通告的路由信息中加入SRCI(Secure Root Cause Information，安全根本原因信息)，指明本次路由更新最初是由哪里引起；当BGP路由器由于收到了邻居的更新消息需要继续传播更新时，只需将收到的SRCI信息原封不动地继续发布即可。

在本发明的一个实施例中，安全根本原因信息，由根本原因信息、时间戳和目标前缀三部分构成。其中，根本原因信息本质上就是一个或一组AS号，定义如表2：

表2

路由更新原因对应根本原因信息路由器失效/AS内部链路失效发生该事件的ASAS间链路失效链路两端AS发布新的前缀信息前缀起源AS本身路由器本地策略改变路由器所属AS

如果路由器i由于本地故障或者策略变化需要发布更新，同时产生SRCI信息一起发布；如果路由器是因为收到了邻居的更新信息而需要发布更新，就将收到的SRCI信息原封不动继续发布。SRCI信息是可验证的，在产生该信息时，即利用BGPsec机制所提供的公私钥对进行签名，这样，在其他路由器收到路由更新时，路由器按照以下规则：

(1)用路由器i的公钥校验签名；

(2)验证时间戳大于等于之前所有路由器i发布的更新；

(3)验证更新中目的前缀是否和SRCI中一致，其中任意一个校验失败，路由器都会丢弃该更新。

图3为攻击者AS2在发布路径r1和r2时候的SRCI内容，如图3所示其中根本原因信息都是AS2，由于整个SRCI需要用私钥签名，在BGPsec环境下攻击者无法进行伪造或者欺骗。

在步骤S102中，根据安全根本原因信息结合路由AS_PATH信息计算标识路由稳定性指标。

具体来说，当BGP路由器收到路由撤销消息时，根据被撤销路由的AS_PATH属性和SRCI的包含关系，计算该路由的稳定性指标；当某条路由被撤销并且其AS_PATH中包括SRCI时，稳定性指标的值增加一个固定值，否则稳定性指标的值随时间呈指数衰减。

可以理解的是，想要精准预测网络中路由的稳定性是不可能的，只能将该路由过去一段时间内的稳定性表现作为预测其未来稳定性的基础。在路由属性中增加一种标识稳定性的指标，称为StabilityPenalty，用P表示，应该具备以下的特点：

(1)路由AS路径中包含此次不稳定事件的SRCI时，不稳定程度增加；

(2)路由越不稳定，P值就越大；

(3)是一个累积的值，而不是只记录最近一次路由事件；

(4)不稳定性事件发生的越早，对当期P值的影响越小；

(5)在路由持续稳定的情况下，路由的P值应该随时间衰减。

下面给出路由稳定性指标的计算公式：

上述公式中(1)表示当路由被撤回一次时，其StabilityPenalty值增加一个固定值Δ，这个值需要提前设定，原则上只要是正数即可；(2)表示在没有发生路由撤回的稳定期间，路由的P值随时间衰减，P(r₀)和P(r_t)分别表示路由在t₀时刻和t时刻的状态。

如图4所示，纵坐标表示的P(r₁)、P(r₂)和P(r₃)即为三条路径r₁、r₂和r₃的稳定性指标值，正常路径r₃的AS-PATH属性为<AS4，AS5，AS1>，并不包含SRCI，因此按照本发明中的方案规定，r3的稳定性指标并不增加。

在步骤S103中，将稳定性指标添加至BGP路由决策过程，以降低恶意协议攻击路径优先级。

具体来说，BGP路由器在路由决策过程中，自主地选择将上述稳定性指标加入到现有决策模型的不同步骤；以把稳定性指标作为决策过程的第一个步骤为例，协议操纵攻击在第一个回合就会失效，原因是攻击成立的前提——攻击者掌握的路由优于正常路由不再成立；将稳定性指标放在决策模型的其他位置时，虽然不能完全防御协议操纵攻击，但是在不同程度上提高了攻击的成本。

该新型BGP路由决策机制，将上述提出的稳定性指标StabilityPenalty作为一个属性加入到决策过程中，插入的优先级可以根据需求不同自行选择，从而实现不同的稳定性效果，同时增强对协议操纵攻击的防御能力。

稳定性指标优先级位置不同，协议的稳定性以及对协议操纵攻击的防御能力就不同，可能的适用场景也就相应改变。本文中主要将稳定性指标与路径本地优先级Local_preference和路径长度AS-Path两个属性进行比较，根据稳定性指标的优先级建立了三种模型：

1)Stability 1^st:将稳定性指标放在决策过程的首位，路由本地优先级和路径长短其次；

2)Stability 2^nd:将反映路由策略的本地优先级值设置放在首位，其次再考虑路径的稳定性和路径长短；

3)Stability 3^rd:与原始BGP决策过程相同，将路由本地优先级和路径的长短放在比较的最前面，之后才加入上述路由稳定性指标，这种情况下，稳定性对于路径选择的影响其实就很弱了。

如图5所示，AS1和ASx中使用的是Stability 1^st模型，在路由决策过程中将稳定性指标作为首要考虑因素，结合图4，在攻击者AS2重复一次攻击行为之后，所控制的两条路径r₁和r₂的优先级相应就降低到次于r₃，这样攻击的基本前提不再成立，攻击失效。

本发明实施例的结合稳定性与安全性的边界网关协议改进方法，通过根据安全根本原因信息通过路由AS_PATH信息获取标识路由稳定性指标，并将其添加至BGP路由决策过程，以降低恶意协议攻击路径优先级，具有权衡BGP的稳定性和安全性，在抑制路由抖动的同时，提高了协议的安全性，防御协议操纵攻击，且原理简单、配置灵活易实现。

其次参照附图描述根据本发明实施例提出的结合稳定性与安全性的边界网关协议改进装置。

图6是本发明一个实施例的结合稳定性与安全性的边界网关协议改进装置的结构示意图。

如图6所示，该结合稳定性与安全性的边界网关协议改进装置10包括：第一添加模块100、计算模块200和第二添加模块300。

其中，第一添加模块100用于将标记BGP路由更新起源的安全根本原因信息添加至每一条通告路由。计算模块200用于根据安全根本原因信息结合路由AS_PATH信息计算标识路由稳定性指标。第二添加模块300用于将稳定性指标添加至BGP路由决策过程，以降低恶意协议攻击路径优先级。该结合稳定性与安全性的边界网关协议改进装置10具有在抑制路由抖动的同时，提高了协议的安全性，防御协议操纵攻击的优点。

进一步地，在本发明的一个实施例中，第一添加模块还用于在BGP路由器接收到相邻单位的更新消息时，将接收到的更新信息发布至其他相邻单位。

进一步地，在本发明的一个实施例中，计算模块用于当任意一条路由被撤销且对应的路由AS_PATH信息包括更新信息时，对稳定性指标进行修改，增加一个固定值；当路由保持稳定时，稳定性指标随时间呈指数衰减。

进一步地，在本发明的一个实施例中，根据稳定效果确定优先级，添加稳定性指标至BGP路由决策过程的添加优先级根据实际需求自行选择以实现稳定效果。

进一步地，在本发明的一个实施例中，稳定性指标的优先级包括第一至第三模型，其中，在第一模型中，将稳定性指标置于BGP路由决策过程的首位，且使得路由本地优先级和路径长短在次位；在第二模型中，将反映路由策略的本地优先级置于首位，路径的稳定性和路径长短在次位；在第三模型中，将路由本地优先级和路径的长短置于首位，并加入路由稳定性指标。

需要说明的是，前述对结合稳定性与安全性的边界网关协议改进方法实施例的解释说明也适用于该实施例的结合稳定性与安全性的边界网关协议改进装置，此处不再赘述。

本发明实施例的结合稳定性与安全性的边界网关协议改进装置，通过根据安全根本原因信息通过路由AS_PATH信息获取标识路由稳定性指标，并将其添加至BGP路由决策过程，以降低恶意协议攻击路径优先级，具有权衡BGP的稳定性和安全性，在抑制路由抖动的同时，提高了协议的安全性，防御协议操纵攻击，且原理简单、配置灵活易实现。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。