專利名稱:一種邊界網(wǎng)關(guān)協(xié)議前綴劫持攻擊防范方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)完全技術(shù)領(lǐng)域��,具體涉及一種基于IP(InternetProt0c0I) 前綴和自治系統(tǒng)(Autonomous System)編號(hào)分配關(guān)系的公鑰基礎(chǔ)設(shè)施(PKI-Public Key Infrastructure)��,能夠有效的防范BGP前綴劫持攻擊���。
背景技術(shù):
BGP(Border Gateway Protocol-邊界網(wǎng)關(guān)協(xié)議)作為全球互聯(lián)網(wǎng)上普遍應(yīng)用的域間路由協(xié)議����,在提供和維護(hù)因特網(wǎng)的連通性方面起著至關(guān)重要的作用�。但BGP路由協(xié)議安全能力有限,BGP對(duì)等實(shí)體之間的通信缺少基本的認(rèn)證和授權(quán)機(jī)制�����,無(wú)法對(duì)實(shí)體之間所傳遞的路由信息進(jìn)行保護(hù)��,在許多惡意攻擊面前顯得非常脆弱�����。特別是前綴劫持攻擊�����,其危害特別嚴(yán)重,會(huì)導(dǎo)致全球互聯(lián)網(wǎng)的動(dòng)蕩�,造成巨大損失。例如2008年2月M日發(fā)生的I^kistan Telecom劫持YouTube事件�,其造成^uTube中斷服務(wù)近2個(gè)小時(shí),影響了全球2/3的互聯(lián)網(wǎng)用戶����,這是一個(gè)典型的前綴劫持事件。前綴劫持攻擊的主要危害是劫持者能夠控制網(wǎng)絡(luò)流量流向預(yù)定的方向����,其攻擊手段主要包括以下5種類型1)劫持IP前綴攻擊者利用受害AS直接通告不屬于自己的IP前綴,劫持網(wǎng)絡(luò)流量�����。2)劫持IP前綴和AS路徑攻擊者通告不屬于自己的IP前綴和非法AS路徑�,劫持網(wǎng)絡(luò)流量。3)劫持IP子網(wǎng)前綴IP子網(wǎng)前綴是一個(gè)相對(duì)的概念�,是指更詳細(xì)的、長(zhǎng)度更長(zhǎng)的前綴���,如10. 0. 128. 0/20就是10. 0. 0. 0/16的一個(gè)子前綴����。由于BGP協(xié)議的IP前綴選用是基于最大長(zhǎng)度匹配的策略��,攻擊者通告更詳細(xì)���、更大長(zhǎng)度的前綴�����,促使BGP路由器選擇惡意 IP前綴����,劫持網(wǎng)絡(luò)流量�。4)劫持IP子網(wǎng)前綴和AS路徑攻擊者不但通告更大長(zhǎng)度的前綴,還通告非法AS 路徑����,劫持網(wǎng)絡(luò)流量。5)上層ISP前綴劫持攻擊由于在PKI系統(tǒng)中�,PKI證書是分層發(fā)放,而且為了限制證書數(shù)量�,上層ISP擁有下層ISP的PKI認(rèn)證證書。一旦上層ISP通告了下層ISP的IP 前綴��,就會(huì)劫持下層ISP的網(wǎng)絡(luò)流量。目前還沒有較好的方案來(lái)防范此種前綴劫持攻擊����。由于前綴劫持攻擊手段多、危害大���,所以如何預(yù)防前綴劫持攻擊一直是一個(gè)熱點(diǎn)問題�。針對(duì)1-4所述的IP前綴劫持攻擊�,目前主要有以下2類安全解決方案1)攻擊檢測(cè)機(jī)制典型的有Real-time Monitoring、WhisPer等�����,其基本思想是根據(jù)異常的路由來(lái)檢測(cè)攻擊源和攻擊對(duì)象��,然后根據(jù)檢測(cè)結(jié)果進(jìn)行恢復(fù)��。攻擊檢測(cè)機(jī)制要求當(dāng)前綴劫持攻擊發(fā)生時(shí)�,能夠盡快地檢測(cè)出攻擊,并且進(jìn)行恢復(fù)����。攻擊檢測(cè)機(jī)制是一種被動(dòng)的解決方案,只有當(dāng)攻擊發(fā)生時(shí),才能夠檢測(cè)出攻擊�,并且它需要快速響應(yīng)機(jī)制的配合,這樣才能夠達(dá)到快速有效阻斷攻擊����,降低攻擊影響的目的。攻擊檢測(cè)機(jī)制不但部署的難度大��, 而且即使成功的部署����,BGP安全性也得不到完全的保護(hù)�����。2)攻擊預(yù)防機(jī)制�����,如S-BGP����、SO-BGP、OA等��。基本思想是在BGP中增加必要的安全機(jī)制��,采用密碼技術(shù)主動(dòng)地為IP前綴和自治系統(tǒng)編號(hào)提供授權(quán)和認(rèn)證��,以達(dá)到防止前綴劫持攻擊發(fā)生的目的���。在現(xiàn)存的攻擊預(yù)防機(jī)制中�,基于HiI的安全機(jī)制被認(rèn)為是保護(hù)最完全��、最有可能實(shí)現(xiàn)的機(jī)制����。基于PKI系統(tǒng)的S-BGP已經(jīng)在實(shí)際互聯(lián)網(wǎng)上小規(guī)模部署實(shí)驗(yàn)���,而且IETF工作組也正在完善該協(xié)議?����,F(xiàn)在提出的前綴劫持攻擊預(yù)防方案常需要為IP地址前綴和自治系統(tǒng)編號(hào)建立一種基于IP前綴和自治系統(tǒng)編號(hào)的PKI認(rèn)證系統(tǒng)�����。該P(yáng)KI認(rèn)證系統(tǒng)是一種基于加密機(jī)制的安全系統(tǒng)各實(shí)體間可共享一個(gè)可傳播的公鑰����,而各實(shí)體則擁有自己的私鑰。 在認(rèn)證時(shí)�,如果公鑰認(rèn)證通過則認(rèn)為通告是合法通告?;贗P前綴和自治系統(tǒng)編號(hào)的PKI系統(tǒng)主要分為以下4部分1證書系統(tǒng)PKI的證書系統(tǒng)基于X. 509 (ν3)的擴(kuò)展證書,證書格式為< 公鑰���,證書主體(某組織��,如ARIN)���,需要驗(yàn)證的信息(如IP前綴或者AS編號(hào))>�����。2.分發(fā)系統(tǒng)PKI證書的分發(fā)系統(tǒng)分為基于IP前綴的分發(fā)系統(tǒng)和基于AS編號(hào)的分發(fā)系統(tǒng)��,按IP前綴和AS編號(hào)的分發(fā)層次分發(fā)����。3.更新系統(tǒng)在IP前綴和AS編號(hào)增加或撤銷時(shí)更新相應(yīng)的Η(Ι。4.驗(yàn)證系統(tǒng)在通告到達(dá)路由器時(shí)��,驗(yàn)證證書的合法性。長(zhǎng)遠(yuǎn)來(lái)看�����,建立這種體系是非常有必要的�����,因?yàn)樗梢酝耆WCIP地址前綴和自治系統(tǒng)的合法使用�。卞艮 ig ^; M :KevinButler ����;ToniR. Farley ;PatrickMcDaniel ���;A Survey of BGPSecurity Issues and Solutions, Proceedings of the IEEE|Vol.98, No. 1, January2010所述�����,現(xiàn)在得到部署的BGP安全方案只有路由注冊(cè)和路由過濾兩種���,安全保護(hù)能力很低,還沒有一種保護(hù)比較完全的安全機(jī)制得到部署��。這一方面是由于ISP的利益、網(wǎng)絡(luò)規(guī)模等問題���。但更重要的一個(gè)方面是現(xiàn)有的安全方案��,如攻擊檢測(cè)機(jī)制�����,不能預(yù)防IP前綴劫持的發(fā)生����。而攻擊預(yù)防機(jī)制往往只能預(yù)防一種或幾種IP前綴劫持��,存在安全保護(hù)不完全缺點(diǎn)���,特別是在目前按IP前綴和AS編號(hào)的分發(fā)層次分發(fā)PKI的系統(tǒng)中,上層ISP包含下層ISP的PKI認(rèn)證證書����,而導(dǎo)致的上層ISP前綴劫持,和由于現(xiàn)存PKI不能認(rèn)證連通性而導(dǎo)致的路徑劫持�,這兩者不能夠得到很好的防范。
發(fā)明內(nèi)容
本發(fā)明所要解決的問題是如何提供一種BGP(邊界網(wǎng)關(guān)協(xié)議)前綴劫持攻擊防范方法��,該方法可保護(hù)域間路由系統(tǒng)免受前綴劫持、IP子網(wǎng)前綴劫持�、特別是上層ISP前綴劫持的攻擊,同時(shí)能夠有效防止IP前綴AS路徑劫持����、IP子網(wǎng)前綴AS路徑劫持。本發(fā)明所提出的技術(shù)問題是這樣解決的提供一種BGP前綴劫持攻擊防范方法�����, 其特征在于�,包括以下步驟①建立基于IP前綴和AS (Autonomous System,自治系統(tǒng))號(hào)碼的PKI的分層分配系統(tǒng),該系統(tǒng)基于現(xiàn)有的IP地址和AS號(hào)碼分配代理系統(tǒng)�����,并使用如下兩種PKI來(lái)解決IP前綴和AS號(hào)碼的證書分配一是用于分配表征IP前綴所有權(quán)的證書��;二是負(fù)責(zé)分配表征AS 號(hào)碼所有權(quán)及AS號(hào)碼和路由器之間綁定關(guān)系的證書�����;②按照上述分層分配系統(tǒng)來(lái)分配基于IP前綴和AS號(hào)碼的兩種PKI =PKIip和 PKIas ��;
③將PKI根據(jù)IP前綴和AS號(hào)碼的分配和撤銷來(lái)進(jìn)行更新����;④采用在ISP建立分發(fā)庫(kù)的方式分發(fā)PKI �����;⑤當(dāng)IP前綴和AS號(hào)的通告消息到達(dá)BGP (Border Gateway Protocol-邊界網(wǎng)關(guān)協(xié)議)路由器時(shí)則進(jìn)行驗(yàn)證����,首先驗(yàn)證公鑰����,然后驗(yàn)證相應(yīng)的分配證明,以證實(shí)通告此IP前綴或者AS號(hào)的組織獲得了授權(quán)����,并對(duì)此IP前綴或者AS號(hào)進(jìn)行通告。按照本發(fā)明所提供的BGP前綴劫持攻擊防范方法�����,其特征在于�����,在步驟②中����,兩種 PKI以及對(duì)應(yīng)分配關(guān)系證明如下a、IP前綴分配關(guān)系證明以及HQip設(shè)ISPi為ISPj分配的IP前綴����,簡(jiǎn)單記為ft~efiXj,則它的前綴分配關(guān)系證明定義為[分配前綴的實(shí)體��,擁有前綴實(shí)體���,前綴����,分配序列號(hào)]����,具體形式為[ISPi,ISPj, PrefixrDNj]���,其中分配序列號(hào)=DN11^j是ISPj與ISPi相關(guān)的前綴分配關(guān)系證明序列號(hào)���,初始為零,如果ISPi第k次分配了 ixk���,則DNk為k��,表示已分配了第k個(gè)前綴����,以后ft~efiX 每分配一次,則DN依次增加�����,路由更新中包含IP前綴的分配關(guān)系證明�,證明上層ISP分配了哪些前綴;假設(shè)前綴Prefixi是由最頂層的ISPt分配給ISPw再分配給ISPt_2�,依次分配,最后分配給ISPk,則定義前綴I^refixi的分配層次是(ISPt, ISPw,…����,ISP2, ISPk),它的Haip的一般形式為公鑰Il實(shí)體(如某組織)Il實(shí)體擁有的前綴Il分配層次Il已分配出去的前綴的分配關(guān)系證明,具體的I3KIip格式為=Public Key Il ISPi Il Prefixi Il (ISPt, ISPh����,……,ISP2, ISP1) Il [ISPt, ISPh����,Prefix^1, DNt_J Il ……Il [ISP2, ISP1, Prefix1, DN1];b����、AS號(hào)碼分配關(guān)系證明及其I3KIas設(shè)上層ISPi擁有的AS號(hào)碼為ASi,當(dāng)其分配Mj到ISPj,定義Mj的分配關(guān)系為 [分配AS號(hào)的實(shí)體,分配AS號(hào)的實(shí)體所擁有的AS�,擁有分配的AS號(hào)的實(shí)體,分配的AS號(hào)����, AS號(hào)分配序列號(hào)],具體的形式為[ISPi, ASi, ISPj, ASj, DNj]�,其中AS號(hào)分配序列號(hào)DNas_j 是ISPj與ISPi相關(guān)的AS分配關(guān)系證明序列號(hào),初始為零�����;如果ISPi第k次分配了 ASk��,則 DNk為k����,表示已分配了第k個(gè)AS號(hào),以后AS號(hào)每分配一次�����,則DN依次增加;路由更新中包含AS號(hào)的分配關(guān)系證明����,證明上層ISP分配了哪些AS號(hào);假設(shè)ASi是由最頂層的ISP分配給ISPw再分配給ISPt_2�����,依次分配�,最后分配給ISP1,則定義ASi的分配層次是(ISPt, ISPt_i�,…,ISP2�,ISP1),它的H(IAS的一般形式為公鑰Il實(shí)體(如某組織)Il實(shí)體擁有的 AS號(hào)Il綁定的路由器ID Il分配層次Il已分配出去的AS號(hào)的分配關(guān)系證明,具體的H(Ias
形式為 Public Key Il ISPi Il ASi Il Router-ID Il (ISPt, ISPt^1, ......�����,ISP2, ISP1) Il [ISPt, ASt,
ISPh��,ASh��,DNh] Il ...... Il [ISP2, AS2, ISPpASnDN1L按照本發(fā)明所提供的BGP前綴劫持攻擊防范方法��,其特征在于,步驟③具體包括①HQip 更新分配前綴上層ISP分配一個(gè)新前綴a�����、新增更新當(dāng)一個(gè)新前綴分配給一個(gè)新的ISP���,這個(gè)ISP獲得一個(gè)新的分配關(guān)系證明和PKIipob、替換更新當(dāng)一個(gè)新前綴分配給一個(gè)已擁有前綴的ISP�,則使用新的分配關(guān)系證明和HQip分別替換舊的分配關(guān)系證明和HiIip ;撤銷前綴ISP撤銷一個(gè)前綴
a�、不完全撤銷當(dāng)只撤銷某個(gè)ISP的某些前綴時(shí),其獲得一個(gè)新的且不合有已撤銷前綴的I3KIip���,并用新的PKI替換相關(guān)的舊的H(I����,并同時(shí)撤銷這個(gè)前綴的分配關(guān)系證明��。b�����、完全撤銷更新當(dāng)一個(gè)ISP的前綴被撤銷且該ISP與上層撤銷機(jī)構(gòu)相關(guān)的PKI 含有前綴為空時(shí)��,直接撤銷前綴的PKI和分配關(guān)系證明;②H(Ias更新AS號(hào)碼的分配和前綴的分配基本一致�����,所以AS號(hào)碼更新遵循和前綴更新同樣的原則��。按照本發(fā)明所提供的BGP前綴劫持攻擊防范方法�����,其特征在于��,步驟④中具體分發(fā)方式如下①初始化時(shí)�����,ISP對(duì)HQip和HQas分別簽名�,然后生成(ISP,PKIip)對(duì)和(ASJKIas) 對(duì)�����;②擁有分發(fā)庫(kù)的ISP直接上傳到分發(fā)庫(kù)中���,沒有分發(fā)庫(kù)的ISP上傳到最近的有分發(fā)庫(kù)的ISP����,然后上傳到分發(fā)庫(kù),分發(fā)庫(kù)之間交互�,形成全網(wǎng)的(IS P,PKI)對(duì)和(AS��,PKI) 對(duì)��,然后ISP從分發(fā)庫(kù)中下載所有的(ISP�����,PKI)對(duì)和(AS�,PKI)對(duì)�����;③當(dāng)ISP更新自己的PKI時(shí)�����,直接向分發(fā)庫(kù)上傳PKI更新報(bào)文�,收到PKI更新報(bào)文后,除了向其它分發(fā)庫(kù)洪泛此報(bào)文外����,分發(fā)庫(kù)將根據(jù)報(bào)文的類型��,執(zhí)行相應(yīng)的操作a����、增加更新根據(jù)報(bào)文更新數(shù)據(jù)內(nèi)容��,分發(fā)庫(kù)增加(ISPJKI)對(duì)和(ASJKI)對(duì)��;b���、替換更新根據(jù)報(bào)文更新數(shù)據(jù)內(nèi)容����,分發(fā)庫(kù)替換(ISP��,PKI)對(duì)和(AS��,PKI)對(duì)��;C��、刪除更新根據(jù)報(bào)文跟新數(shù)據(jù)內(nèi)容�����,分發(fā)庫(kù)刪除(ISP,PKI)對(duì)和(AS�,PKI)對(duì),最后���,分發(fā)庫(kù)通告ISP下載新更新的 (ISP�����,PKI)對(duì)和(AS, PKI)對(duì)�����。按照本發(fā)明所提供的BGP前綴劫持攻擊防范方法,其特征在于�,步驟⑤具體包括以下步驟IP前綴通告合法性驗(yàn)證當(dāng)IP前綴的更新包到達(dá)BGP路由器時(shí),驗(yàn)證步驟如下①驗(yàn)證(ISP��,PKI)中PKI的正確性即驗(yàn)證公鑰���,驗(yàn)證前綴I^ref ix和ISP�,保證ISP 是I^refix的源前綴��;②如果PKI正確,獲得分配關(guān)系證明����;③驗(yàn)證分配關(guān)系證明,分為兩種情況如果前綴是合法ISP所通告����,那么在驗(yàn)證分配證明時(shí)驗(yàn)證成功,采用此更新��;如果前綴是不合法ISP通告��,驗(yàn)證失敗��,此時(shí)則丟棄此更新�����。AS號(hào)碼通告合法性驗(yàn)證當(dāng)AS號(hào)碼的更新包到達(dá)BGP路由器時(shí)�����,驗(yàn)證步驟如下①驗(yàn)證(ASJKI)中HQ的正確性即驗(yàn)證公鑰和綁定的路由器ID��,驗(yàn)證AS號(hào)碼的所有權(quán)和路由器的綁定關(guān)系;②如果PKI驗(yàn)證正確�����,獲得AS分配關(guān)系證明���;③由獲得的分配關(guān)系證明���,即可按如下原則確定AS之間的連通性如果兩個(gè)ISP 有分配關(guān)系則確定為連通;驗(yàn)證時(shí)驗(yàn)證更新包中所給的下一跳是否可達(dá)和是否是偽造�����,若為非法路徑則丟棄�,如果驗(yàn)證通過則為合法通告,采用此更新�����。本發(fā)明為了防止前綴劫持攻擊��,需要對(duì)于每個(gè)分配的IP前綴和自治系統(tǒng)編號(hào)(簡(jiǎn)稱AS號(hào))進(jìn)行授權(quán)�����,讓各機(jī)構(gòu)或?qū)嶓w能夠合法通告自己擁有IP前綴和AS號(hào)��,而沒有得到授權(quán)的機(jī)構(gòu)或?qū)嶓w則不能通告�����。即使它們非法通告���,該通告也會(huì)被拒絕使用�����。在上層ISP 前綴劫持攻擊中�,被劫持的IP前綴實(shí)際上是由上層ISP分配����。鑒于此,在前綴分配時(shí)����,增加 IP前綴分配關(guān)系證明。而對(duì)于路徑劫持攻擊����,則提供AS關(guān)系分配證明。本方案首先建立PKI分配系統(tǒng),分配時(shí)按照IP前綴和AS號(hào)的分層分配系統(tǒng)來(lái)分配��,分配基于IP前綴和基于AS號(hào)的兩種H(I���,PKI根據(jù)IP前綴和AS號(hào)碼的分配和撤銷來(lái)進(jìn)行更新����,PKI的分發(fā)則是采用在ISP建立分發(fā)庫(kù)的方式�����,這樣可以更準(zhǔn)確的分發(fā)H(I����,當(dāng)IP 前綴和AS號(hào)的通告消息到達(dá)BGP路由器時(shí)則進(jìn)行驗(yàn)證,首先驗(yàn)證公鑰�,然后驗(yàn)證相應(yīng)的分配證明,以證實(shí)通告此IP前綴或者AS號(hào)的組織獲得了授權(quán)��,可以對(duì)此IP前綴或者AS號(hào)進(jìn)行通告�����。該方法可保護(hù)域間路由系統(tǒng)免受前綴劫持���、IP子網(wǎng)前綴劫持�、特別是上層ISP前綴劫持的攻擊�����,同時(shí)能夠有效防止IP前綴AS路徑劫持�����、IP子網(wǎng)前綴AS路徑劫持���。
圖1是基于IP前綴的PKI分配系統(tǒng)圖�����;圖2是IP前綴分配PKI證書樣式�;圖3是基于AS的PKI分配系統(tǒng)圖���;圖4是AS號(hào)碼和BGP路由器證書樣式����;
圖5是IP前綴和AS的PKI分發(fā)更新流程���;圖6是PKI更新報(bào)文格式�����;圖7是驗(yàn)證流程圖��。
具體實(shí)施例方式下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步描述1.基于IP前綴和AS號(hào)碼的HQ的分層分配系統(tǒng)基于IP前綴和AS號(hào)碼的PKI的分層分配系統(tǒng)的建立基于現(xiàn)有的IP地址和AS號(hào)碼分配代理系統(tǒng)��,這樣可不考慮PKI新建之初遇到的“信任”問題�����,使創(chuàng)建過程省去許多麻煩�。本方法需使用如下兩種PKI來(lái)解決IP前綴和AS號(hào)的證書分配,即一是用于分配表征 IP前綴所有權(quán)的證書���;二是負(fù)責(zé)分配表征AS號(hào)所有權(quán)及AS號(hào)和路由器之間綁定關(guān)系的證書���。IP前綴所有權(quán)證書分配PKI層次結(jié)構(gòu)和證書樣式分別如圖1和圖2所示。在IP 前綴所有權(quán)證書分配PKI中�,證書所起的作用是將公鑰、證書的主體(某組織如ARIN或 AT&T)以及它擁有的IP地址前綴綁定在一起����,以此來(lái)聲明證書的主體對(duì)地址前綴的所有權(quán)和它的公鑰�。如圖1所示這些證書的發(fā)放如同hternet地址分配方式一樣���,從最頂層機(jī)構(gòu)ICANN開始,ICANN給自己發(fā)放自簽名的證書��,并給它的下屬機(jī)構(gòu)_地區(qū)hternet注冊(cè)中心(RIR)如ARIN����、RIPE和APNIC發(fā)放證書,這些證書是在X. 509 (v3)的基礎(chǔ)上進(jìn)行了擴(kuò)展�����,用來(lái)包含ICANN分配給這些機(jī)構(gòu)的IP地址塊���。這些地區(qū)hternet注冊(cè)中心繼續(xù)將它所持有的地址塊以證書發(fā)放的形式分配給它的下屬組織���,整個(gè)證書發(fā)放方式如圖1所示, 呈層級(jí)結(jié)構(gòu)����。如果某個(gè)機(jī)構(gòu)或組織擁有多個(gè)IP地址前綴,也只為其分配單一的證書�,證書中包含它擁有的所有的IP地址前綴�����,這樣可以減少證書的數(shù)量����。在AS號(hào)碼和BGP路由器證書分配PKI的層級(jí)結(jié)構(gòu)圖中(圖3)����,用發(fā)放證書的形式來(lái)分配AS號(hào)碼,同時(shí)這些證書又是各個(gè)組織���、AS號(hào)碼和BGP路由器的身份證名�����。在該P(yáng)KI 中�����,證書的發(fā)放方式同IP前綴分配證書類似���,從ICANN開始,ICANN給自己發(fā)放自簽名的證書�����,并且給下屬機(jī)構(gòu)發(fā)放證書,再由下屬機(jī)構(gòu)分配給各自的下屬機(jī)構(gòu)�,這樣呈層級(jí)結(jié)構(gòu)分發(fā)證書。證書用來(lái)證明證書的主體(某組織如某ISP)和它所持有的AS號(hào)之間的所有權(quán)關(guān)系����, 最底層的證書(證書類型為BGP路由器)將路由器名與AS號(hào)碼和路由器ID綁定到一起���, 以證明該BGP路由器屬于相應(yīng)的AS��,證書樣式如圖4所示���。2.基于IP前綴和AS編號(hào)分配關(guān)系的PKI系統(tǒng)2. 1. IP前綴分配關(guān)系證明及其HiIip假設(shè)ISPi為ISPj分配的IP前綴簡(jiǎn)單記為ft~efiXj,則它的前綴分配關(guān)系證明可定義為[分配前綴的實(shí)體���,擁有前綴實(shí)體����,前綴���,分配序列號(hào)]���,具體形式為[ISPi�����,ISPj, PrefixrDNj]��,其中分配序列號(hào)=DN11^j是ISPj與ISPi相關(guān)的前綴分配關(guān)系證明序列號(hào)���,初始為零。如果ISPi第k次分配了 ixk�����,則DNk為k��,表示已分配了第k個(gè)前綴�,以后每分配一次,則DN依次增加��。路由更新中包含IP前綴的分配關(guān)系證明����,證明上層ISP分配了哪些前綴。假設(shè)前綴I^refixi是由最頂層的ISPt分配給ISPw再分配給ISPt_2,依次分配����,最后分配給ISPk,則定義前綴I^refixi的分配層次是(ISPt, ISPt^1,…,ISP2��,ISPk)��,它的 Haip的一般形式為(公鑰Il實(shí)體(如某個(gè)ISP) Il實(shí)體擁有的前綴Il分配層次Il已分配出去的前綴的分配關(guān)系證明)����,具體的HiI1p格式為(Public Key Il ISPi Il Prefixi Il (ISPt�, ISPh,……����,ISP2, ISP1) Il [ISPt, ISPh,Prefix^1, DNt_J Il ……Il [ISP2, ISP1, Prefix1, DN1])�����。例如JSPi 分配了 Prefix1 則 Prefix1 的 PKI 為(PublicKey Il ISP1 Il Prefix1 Il I SPi Il [ISPi, ISP1, Prefix1, DN1] Il [ISPk, ISPi, Prefixi, DNi]),其中[ISPk, ISPi, Prefixi, DNi]為ISPi的分配關(guān)系證明��,當(dāng)又分配了前綴f^refi^�����,Prefix2的PKI為(Riblic Key Il ISP2 Il Prefix2 Il [ISPi, ISP2, Prefix2, DN2] Il [ISPk, ISPi, Prefixi, DNi] Il [ISPi, ISP1, Prefix1, DN1])。當(dāng)路由更新包到達(dá)在BGP路由器時(shí)�����,BGP路由器驗(yàn)證的第一步�����。公鑰驗(yàn)證能夠防范IP前綴劫持����,IP子網(wǎng)前綴劫持,第二步驗(yàn)證IP前綴分配證明�。如果路由更新是上層 ISP通告的非法IP前綴,由于上層ISP包含它分配出去的下層ISP前綴的公鑰�,所以在第一步時(shí)可以驗(yàn)證通過,但是上層ISP不包含它分配出去的下層ISP前綴的分配證明�����,第二步時(shí)驗(yàn)證失敗���。這樣就能夠防范上層ISP前綴劫持攻擊�����。所以HiIip可完全防范IP前綴劫持�、 IP子網(wǎng)前綴劫持、上層ISP前綴劫持���。2. 2AS分配關(guān)系證明及其I3KIas在AS號(hào)碼分配系統(tǒng)中���,假設(shè)上層ISPi擁有的AS號(hào)碼為ASi,當(dāng)其分配AS^到ISPj, 定義A^的分配關(guān)系為[分配AS號(hào)的實(shí)體,分配AS號(hào)的實(shí)體所擁有的AS����,擁有分配的AS 號(hào)的實(shí)體,分配的AS號(hào)����,AS號(hào)分配序列號(hào)]����,具體的形式為[ISPi,ASi, ISPj, ASj, DNj]��,其中AS號(hào)分配序列號(hào)DNAS_j是ISPj與ISPi相關(guān)的AS分配關(guān)系證明序列號(hào)���,初始為零�����。如果ISPi第k次分配了 ASk���,則DNk為k���,表示已分配了第k個(gè)AS號(hào),以后AS號(hào)每分配一次�, 則DN依次增加。路由更新中包含AS號(hào)的分配關(guān)系證明�����,證明上層ISP分配了哪些AS號(hào)�。 假設(shè)ASi是由最頂層的ISPt分配給ISPw再分配給ISPt_2,依次分配���,最后分配給ISP1JlJ 定義ASi的分配層次是(ISPt, ISPh���,…,ISP2, ISP1),它的HQas的一般形式為(公鑰Il實(shí)體(如某個(gè)ISP) Il實(shí)體擁有的AS號(hào)Il綁定的路由器ID Il分配層次Il已分配出去的 AS 號(hào)的分配關(guān)系證明)���,具體的 PKIas 形式為(PublicKey Il ISPi Il ASi Il Router-ID Il (IS Pt, ISPt^1, ......,ISP2, ISP1) Il [ISPt����,ASt,ISPt+ASt-^DNt-J Il ...... Il [ISP2, AS2, ISPijAS1,
DN1]),例如=ISPi 分配了 AS1 則 AS1 的 PKI 為(Public Key Il ISP1 Il AS1 Il Router-ID Il ISPi Il [ISPi, ASi, ISP1, AS1, DN1] Il [ISPk, ASk, ISPi, ASi, DNi])���,其中[ISPk����,ASk, ISPi, ASi, DNi]為 ISPi 的 AS 分配關(guān)系證明��,當(dāng)又分配了 AS2, AS2 的 PKI 為(PublicKey Il ISP2 Il AS2 Il Router-ID Il [ISPi, ASi, ISP2, AS2, DN2] Il [ISPi, ASi, ISP1, AS1, DN1] Il [ISPk, ASk, ISPi, ASi, DNi])����。當(dāng)路由更新包到達(dá)在BGP路由器時(shí),BGP路由器驗(yàn)證的第一步驗(yàn)證公鑰和綁定的路由器ID�����。這樣能夠保證通告AS的所有權(quán)和路由器的綁定關(guān)系�����。第二步驗(yàn)證AS分配證明��,獲得AS之間的連通性����。如果路由更新是非法通告的AS路徑,即偽造路徑或者不可達(dá)路徑��,那么在驗(yàn)證連通性時(shí)驗(yàn)證失敗�。所以I3KIas可防范IP前綴AS路徑劫持、IP子網(wǎng)前綴 AS路徑劫持�。3. PKiI11^P I3KIas 更新3. IPKIip 更新分配前綴上層ISP分配一個(gè)新前綴(即未分配的前綴)新增更新當(dāng)一個(gè)新前綴分配給一個(gè)新的ISP,這個(gè)ISP獲得一個(gè)新的分配關(guān)系證明和PKIIP���。替換更新當(dāng)一個(gè)新前綴分配給一個(gè)已擁有前綴的ISP�����,則使用新的分配關(guān)系證明和I3KIip分別替換舊的分配關(guān)系證明和Η(ΙΙΡ��。撤銷前綴ISP撤銷一個(gè)前綴不完全撤銷當(dāng)只撤銷某個(gè)ISP的某些前綴時(shí)�����,其獲得一個(gè)新的且不含有已撤銷前綴的Haip���,并用新的PKi替換相關(guān)的舊的πα�����,并同時(shí)撤銷這個(gè)前綴的分配關(guān)系證明��。完全撤銷更新當(dāng)一個(gè)ISP的前綴被撤銷且該ISP與上層撤銷機(jī)構(gòu)相關(guān)的PKI含有前綴為空時(shí)���,直接撤銷前綴的PKI和分配關(guān)系證明。3. 2PKIas 更新由于AS號(hào)碼的分配和前綴的分配基本一致�,所以AS號(hào)碼更新遵循和前綴更新同樣的原則。4. PKIip 和 HQas 的分發(fā)在骨干ISP建立分發(fā)庫(kù)��,存儲(chǔ)并且分發(fā)PKIip和PKIAS�����,分發(fā)庫(kù)是一些可進(jìn)行簡(jiǎn)單運(yùn)算的存儲(chǔ)設(shè)備�。對(duì)于沒有建立分發(fā)庫(kù)的ISP,則依賴那些建立了分發(fā)庫(kù)的ISP��,優(yōu)先選擇地理位置最接近的建立了分發(fā)庫(kù)的ISP進(jìn)行交互����,通過的它們的分發(fā)庫(kù)分發(fā)H(IIP和HQas�����,這樣做的好處是能夠節(jié)約成本,增加效率�。分發(fā)過程如圖5所示(1)初始化時(shí),ISP對(duì)H(IIP 和PKIas分別簽名��,然后生成(ISP��,PKIip)對(duì)和(AS, PKIas)對(duì)��;(2)擁有分發(fā)庫(kù)的ISP直接上傳到分發(fā)庫(kù)中����,沒有分發(fā)庫(kù)的ISP上傳到最近的有分發(fā)庫(kù)的ISP,然后上傳到分發(fā)庫(kù)�����,分發(fā)庫(kù)之間交互��,形成全網(wǎng)的(ISPJKI)對(duì)和(ASJKI)對(duì)����,然后ISP從分發(fā)庫(kù)中下載所有的 (ISP, PKI)對(duì)和(AS,PKI)對(duì)����;(3)當(dāng)ISP更新自己的PKI時(shí)�����,直接向分發(fā)庫(kù)上傳PKI更新報(bào)文����,收到PKI更新報(bào)文后���,除了向其它分發(fā)庫(kù)洪泛此報(bào)文外�����,分發(fā)庫(kù)將根據(jù)報(bào)文的類型�, 執(zhí)行相應(yīng)的操作1.增加更新根據(jù)報(bào)文更新數(shù)據(jù)內(nèi)容��,分發(fā)庫(kù)增加(ISP���,PKI)對(duì)和(AS���, PKI)對(duì);2.替換更新根據(jù)報(bào)文更新數(shù)據(jù)內(nèi)容,分發(fā)庫(kù)替換(ISP���,PKI)對(duì)和(AS�����,PKI)對(duì);3.刪除更新根據(jù)報(bào)文跟新數(shù)據(jù)內(nèi)容�,分發(fā)庫(kù)刪除(ISPJKI)對(duì)和(ASJKI)對(duì),最后�,分發(fā)庫(kù)通告ISP下載新更新的(ISP,PKI)對(duì)和(AS�����,PKI)對(duì)����。更新報(bào)文格式如圖6所示。5. IP前綴通告和AS編號(hào)通告合法性驗(yàn)證5. IIP前綴通告合法性驗(yàn)證當(dāng)IP前綴的更新包到達(dá)BGP路由器時(shí)�,驗(yàn)證步驟如下(1)驗(yàn)證(ISP,PKI)中PKI的正確性(即驗(yàn)證公鑰)���,驗(yàn)證前綴I^refix和ISP�����,保證ISP是I^refix的源前綴�;(2)如果PKI正確,獲得分配關(guān)系證明��;(3)驗(yàn)證分配關(guān)系證明�����,分為兩種情況如果前綴是合法ISP所通告�,那么在驗(yàn)證分配證明時(shí)驗(yàn)證成功,采用此更新����。如果前綴是不合法ISP通告,驗(yàn)證失敗��,此時(shí)則丟棄此更新���。5. 2AS編號(hào)通告合法性驗(yàn)證當(dāng)AS號(hào)碼的更新包到達(dá)BGP路由器時(shí)�,驗(yàn)證步驟如下(1)驗(yàn)證(ASJKI)中PKI的正確性(即驗(yàn)證公鑰和綁定的路由器ID)���,驗(yàn)證AS號(hào)碼的所有權(quán)和路由器的綁定關(guān)系���;(2)如果PKI驗(yàn)證正確�����,獲得AS分配關(guān)系證明�����;(3)由獲得的分配關(guān)系證明,即可按如下原則確定AS之間的連通性如果兩個(gè)ISP 有分配關(guān)系則確定為連通�����。驗(yàn)證時(shí)驗(yàn)證更新包中所給的下一跳是否可達(dá)和是否是偽造��,若為非法路徑則丟棄����,如果驗(yàn)證通過則為合法通告,采用此更新���。
1權(quán)利要求
1.一種邊界網(wǎng)關(guān)協(xié)議前綴劫持攻擊防范方法�,其特征在于�,包括以下步驟①建立基于IP前綴和AS(Autonomous System,自治系統(tǒng))號(hào)碼的PKI的分層分配系統(tǒng),該系統(tǒng)基于現(xiàn)有的IP地址和AS號(hào)碼分配代理系統(tǒng),增加使用如下兩種PKI來(lái)解決IP前綴和AS號(hào)碼的證書分配一是用于分配表征IP前綴所有權(quán)的證書�;二是負(fù)責(zé)分配表征AS 號(hào)碼所有權(quán)及AS號(hào)碼和路由器之間綁定關(guān)系的證書;②按照上述分層分配系統(tǒng)來(lái)分配基于IP前綴和AS號(hào)碼的兩種PKI=PKIip和HQas ���;③將PKI根據(jù)IP前綴和AS號(hào)碼的分配和撤銷來(lái)進(jìn)行更新�;④采用在ISP建立分發(fā)庫(kù)的方式分發(fā)PKI���;⑤當(dāng)IP前綴和AS號(hào)碼的通告消息到達(dá)BGP(Border Gateway Protocol-邊界網(wǎng)關(guān)協(xié)議)路由器時(shí)則進(jìn)行驗(yàn)證�,首先驗(yàn)證公鑰���,然后驗(yàn)證相應(yīng)的分配證明���,以證實(shí)通告此IP前綴或者AS號(hào)碼的組織獲得了授權(quán),并對(duì)此IP前綴或者AS號(hào)碼進(jìn)行通告��。
2.根據(jù)權(quán)利要求1所述的邊界網(wǎng)關(guān)協(xié)議前綴劫持攻擊防范方法����,其特征在于,在步驟 ②中�,兩種HQ以及對(duì)應(yīng)分配關(guān)系證明如下a、IP前綴分配關(guān)系證明以及HiIip設(shè)ISPi為ISPj分配的IP前綴�����,簡(jiǎn)單記為I^refixj,則它的前綴分配關(guān)系證明定義為 [分配前綴的實(shí)體�����,擁有前綴實(shí)體�����,前綴��,分配序列號(hào)]���,具體形式為[ISPi, ISPj, PrefiJ, DNj],其中分配序列號(hào)0ΝΙΡ_」是ISPj與ISPi相關(guān)的前綴分配關(guān)系證明序列號(hào)����,初始為零,如果ISPi第k次分配了 ft~efixk����,則DNk為k,表示已分配了第k個(gè)前綴����,以后I^refix每分配一次����,則DN依次增加��,路由更新中包含IP前綴的分配關(guān)系證明���,證明上層ISP分配了哪些前綴����;假設(shè)前綴I^refixi是由最頂層的ISPt分配給ISPw再分配給ISPt_2���,依次分配���,最后分配給ISPk,則定義前綴I^refixi的分配層次是(ISPt,ISPt_1;…���,ISP2, ISPk)�,它的HQip 的一般形式為公鑰Il實(shí)體Il實(shí)體擁有的前綴Il分配層次Il已分配出去的前綴的分配關(guān)系證明���,具體的 I3KI1P 格式為=Public Key Il ISPi Il Prefixi Il (ISPt, ISPt+ ……�����,ISP2, ISP1) Il [SPt, ISPh���,Prefixt-PDNtJ Il ...... Il [ISP2, ISPljPrefixljDN1]���;b、AS號(hào)碼分配關(guān)系證明及其HQas設(shè)上層ISPi擁有的AS號(hào)碼為ASi,當(dāng)其分配ASj到ISPj,定義ASj的分配關(guān)系為[分配AS號(hào)的實(shí)體�����,分配AS號(hào)的實(shí)體所擁有的AS���,擁有分配的AS號(hào)的實(shí)體��,分配的AS號(hào),AS 號(hào)分配序列號(hào)]�,具體的形式為[ISPi, ASi, ISPj, ASj, DNj],其中AS號(hào)分配序列號(hào)DNas_J 是ISPj與ISPi相關(guān)的AS分配關(guān)系證明序列號(hào)��,初始為零���;如果ISPi第k次分配了 ASk�,則 DNk為k,表示已分配了第k個(gè)AS號(hào)��,以后AS號(hào)每分配一次��,則DN依次增加�;路由更新中包含AS號(hào)的分配關(guān)系證明,證明上層ISP分配了哪些AS號(hào)���;假設(shè)ASi是由最頂層的ISPt分配給ISPw再分配給ISPt_2�,依次分配�����,最后分配給ISP1,則定義ASi的分配層次是(ISPt�����, ISPH��,…�����,ISP2, ISP1),它的H(IAS的一般形式為公鑰Il實(shí)體Il實(shí)體擁有的AS號(hào)Il綁定的路由器ID Il分配層次Il已分配出去的AS號(hào)的分配關(guān)系證明�,具體的H(Ias形式為Public KeyISPi Il Si Il Router-ID Il ISPt, ISPt+ ......����,ISP2, ISP1) Il [ISPt, ASt, ISPw, ASt+DNt_J Il ……Il [ISP2, AS2, ISP1, AS1, DN1]�����。
3.根據(jù)權(quán)利要求1所述的邊界網(wǎng)關(guān)協(xié)議前綴劫持攻擊防范方法���,其特征在于��,步驟③ 具體包括①PKIip更新分配前綴上層ISP分配一個(gè)新前綴a��、新增更新當(dāng)一個(gè)新前綴分配給一個(gè)新的ISP�,這個(gè)ISP獲得一個(gè)新的分配關(guān)系證明和 PKIIP�。b、替換更新當(dāng)一個(gè)新前綴分配給一個(gè)已擁有前綴的ISP�,則使用新的分配關(guān)系證明和I3KIip分別替換舊的分配關(guān)系證明和I3KIip ;撤銷前綴ISP撤銷一個(gè)前綴a�����、不完全撤銷當(dāng)只撤銷某個(gè)ISP的某些前綴時(shí)���,其獲得一個(gè)新的且不含有已撤銷前綴的PKIip����,并用新的PKI替換相關(guān)的舊的H(I�����,并同時(shí)撤銷這個(gè)前綴的分配關(guān)系證明�����。b����、完全撤銷更新當(dāng)一個(gè)ISP的前綴被撤銷且該ISP與上層撤銷機(jī)構(gòu)相關(guān)的PKI含有前綴為空時(shí),直接撤銷前綴的PKI和分配關(guān)系證明���;②I3KIas更新AS號(hào)碼的分配和前綴的分配基本一致����,所以AS號(hào)碼更新遵循和前綴更新同樣的原則��。
4.根據(jù)權(quán)利要求1所述的邊界網(wǎng)關(guān)協(xié)議前綴劫持攻擊防范方法�����,其特征在于,步驟④ 中具體分發(fā)方式如下①初始化時(shí)��,ISP對(duì)HQip和HQas分別簽名���,然后生成(ISP�����,PKIip)對(duì)和(ASjPKIas)對(duì)�����;②擁有分發(fā)庫(kù)的ISP直接上傳到分發(fā)庫(kù)中�,沒有分發(fā)庫(kù)的ISP上傳到最近的有分發(fā)庫(kù)的ISP�����,然后上傳到分發(fā)庫(kù)����,分發(fā)庫(kù)之間交互,形成全網(wǎng)的(ISP�����,PKI)對(duì)和(AS�,PKI)對(duì),然后ISP從分發(fā)庫(kù)中下載所有的(ISP���,PKI)對(duì)和(AS�����,PKI)對(duì)���;③當(dāng)ISP更新自己的PKI時(shí),直接向分發(fā)庫(kù)上傳PKI更新報(bào)文����,收到PKI更新報(bào)文后,除了向其它分發(fā)庫(kù)洪泛此報(bào)文外����,分發(fā)庫(kù)將根據(jù)報(bào)文的類型,執(zhí)行相應(yīng)的操作a�����、增加更新 根據(jù)報(bào)文更新數(shù)據(jù)內(nèi)容,分發(fā)庫(kù)增加(ISP����,PKI)對(duì)和(AS,PKI)對(duì)��;b�����、替換更新根據(jù)報(bào)文更新數(shù)據(jù)內(nèi)容���,分發(fā)庫(kù)替換(ISP�,PKI)對(duì)和(AS�����,PKI)對(duì)�;C、刪除更新根據(jù)報(bào)文跟新數(shù)據(jù)內(nèi)容�,分發(fā)庫(kù)刪除(ISPjPKI)對(duì)和(AS,PKI)對(duì),最后����,分發(fā)庫(kù)通告ISP下載新更新的(ISP, PKI)對(duì)和(AS, PKI)對(duì)���。
5.根據(jù)權(quán)利要求1所述的邊界網(wǎng)關(guān)協(xié)議前綴劫持攻擊防范方法,其特征在于�����,步驟⑤ 具體包括以下步驟IP前綴通告合法性驗(yàn)證當(dāng)IP前綴的更新包到達(dá)BGP路由器時(shí)�����,驗(yàn)證步驟如下①驗(yàn)證(ISP�����,PKI)中PKI的正確性即驗(yàn)證公鑰�,驗(yàn)證前綴I^refix和ISP����,保證ISP是 Prefix的源前綴;②如果PKI正確�����,獲得分配關(guān)系證明���;③驗(yàn)證分配關(guān)系證明�����,分為兩種情況如果前綴是合法ISP所通告��,那么在驗(yàn)證分配證明時(shí)驗(yàn)證成功���,采用此更新�����;如果前綴是不合法ISP通告�,驗(yàn)證失敗�,此時(shí)則丟棄此更新。AS號(hào)碼通告合法性驗(yàn)證當(dāng)AS號(hào)碼的更新包到達(dá)BGP路由器時(shí)����,驗(yàn)證步驟如下①驗(yàn)證(AS,PKI)中PKI的正確性即驗(yàn)證公鑰�,驗(yàn)證AS號(hào)碼的所有權(quán)和路由器的綁定關(guān)系;②如果PKI驗(yàn)證正確���,獲得AS分配關(guān)系證明��;③由獲得的分配關(guān)系證明����,即可按如下原則確定AS之間的連通性如果兩個(gè)ISP有分配關(guān)系則確定為連通;驗(yàn)證時(shí)驗(yàn)證更新包中所給的下一跳是否可達(dá)�,若不能夠則丟棄,如果可達(dá)則為合法通告�,采用此更新。
全文摘要
本發(fā)明公開了一種邊界網(wǎng)關(guān)協(xié)議前綴劫持攻擊防范方法����,首先建立按照IP前綴和AS號(hào)碼的分層分配系統(tǒng)來(lái)分配PKI��,分配基于IP前綴和基于AS號(hào)碼的兩種PKI��,兩種PKI中分別包含IP前綴分配證明和AS號(hào)碼分配證明���,PKI根據(jù)IP前綴和AS號(hào)碼的分配和撤銷來(lái)進(jìn)行更新�����,PKI的分發(fā)則是采用在ISP建立分發(fā)庫(kù)的方式��,當(dāng)IP前綴和AS的通告消息到達(dá)路由器時(shí)則進(jìn)行驗(yàn)證����,首先驗(yàn)證公鑰,再驗(yàn)證分配證書和連通性�����,證實(shí)通告的IP前綴或AS號(hào)碼的授權(quán)��。該方法可保護(hù)域間路由系統(tǒng)免受前綴劫持����、IP子網(wǎng)前綴劫持、特別是上層ISP前綴劫持的攻擊�,同時(shí)能夠有效防止IP前綴AS路徑劫持、IP子網(wǎng)前綴AS路徑劫持�����。
文檔編號(hào)H04L29/06GK102158469SQ20111002946
公開日2011年8月17日 申請(qǐng)日期2011年1月27日 優(yōu)先權(quán)日2011年1月27日
發(fā)明者徐顯達(dá), 陽(yáng)小龍, 隆克平 申請(qǐng)人:電子科技大學(xué)