防范前缀劫持的BGP安全机制研究和实现

摘要

BGP前缀劫持攻击(prefix hijacking)能够劫持自治系统间的网络流量，造成大规模的网络震荡，具有巨大的危害性，是现今BGP网络安全的研究热点。
　　本文对BGP前缀劫持攻击防范机制进行了深入的分析和研究，针对BGP前缀劫持攻击防范机制中存在的可部署性与安全性的矛盾问题以及安全漏洞，提出了一种综合性前缀劫持攻击防范系统。系统的主要思想是根据自治系统（AS）的聚集系数对网络进行划分，对于聚集系数小的AS，部署基于AS小组的联合式前缀劫持检测机制，对于聚集系数大的AS，则部署基于IP前缀和AS号码分配证明的防范前缀劫持的方法。系统的主要安全技术为以下两个方面：
　　1.基于AS小组的联合式前缀劫持检测机制。本文在深入研究BGP前缀劫持攻击检测机制的基础上，根据其不能有效检测路径劫持的前缀劫持攻击的不足，提出了基于AS小组的联合式前缀劫持检测机制，此机制通过AS小组之间的网络拓扑连接交互探测，能够有效的检测路径劫持的前缀劫持攻击。通过仿真可以看出，基于AS小组的联合式前缀劫持监测机制能够有效的检测出路径劫持的前缀劫持攻击和其他前缀劫持攻击。
　　2.基于IP前缀和AS号码分配证明的防范前缀劫持的方法。本文在深入研究BGP前缀劫持攻击防御机制的基础上，根据其不能抵御上层 ISP前缀劫持攻击的安全漏洞，提出了基于IP前缀和AS号码分配证明的防范前缀劫持的方法，此方法能够有效抵御上层 ISP前缀劫持攻击以及其他前缀劫持攻击。通过从正确性、性能和安全性对此方法进行的评估，证明其完全可以满足域间网络安全性需求，而且性能可以接受。
　　本文首先介绍了论文的研究背景、问题由来和研究意义，并对本文的相关研究现状和主要研究内容进行了说明。
　　然后，本文简要介绍域间路由和BGP协议及其属性，从而引出BGP前缀劫持攻击。本文对现有防范BGP前缀劫持攻击的攻击防御机制和攻击检测机制进行了深入研究，详细分析了现存机制中的安全漏洞，发现攻击防御机制不能够抵御一种叫做上层 ISP前缀劫持的攻击，而攻击检测机制对于路径劫持的前缀劫持攻击不能够有效检测，还发现现存安全防范机制的主要矛盾是可部署性与安全性的平衡性问题。针对上述安全性和平衡性问题，提出了一种综合性前缀劫持攻击防范系统。
　　本文的贡献和创新主要包含三个方面：
　　1.研究了现存防范BGP前缀劫持攻击的安全机制的主要矛盾，即安全性和可部署性之间的平衡问题，通过计算AS的聚集系数对域间网络进行划分来部署不同的安全机制，有效的解决了安全性和可部署性之间的平衡性问题。
　　2.研究了BGP前缀劫持攻击，并且深入研究了BGP前缀劫持攻击的检测机制，提出了基于AS小组的联合式前缀劫持检测机制，解决了现存攻击检测机制不能有效检测劫持路径的前缀劫持攻击的不足，提高了网络的安全性。
　　3.研究了防范BGP前缀劫持攻击的防御机制，提出了基于IP前缀和AS号码分配证明的防范前缀劫持的方法，解决的现存防御机制不能防范上层 ISP前缀劫持攻击的问题，提高了网络安全性。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1研究背景与研究意义

1.2研究现状

1.3本文的研究内容

1.4本文的章节安排

第二章 BGP前缀劫持攻击及其防范机制分析

2.1 BGP域间路由简介

2.2 BGP前缀劫持攻击分析

2.3 BGP前缀劫持攻击的防范机制分析

2.4 本章小结

第三章 基于AS小组的联合式前缀劫持检测机制

3.1 一种综合性前缀劫持攻击防范系统

3.2 路径前缀劫持攻击分析

3.3 基于AS小组的联合式前缀劫持检测方法

3.4 基于AS小组的联合式前缀劫持检测方法的评估

3.5 本章小结

第四章 基于IP前缀和AS号码分配证明的防范前缀劫持的方法

4.1 上层ISP前缀劫持攻击分析

4.2基于IP前缀和AS号码分配证明的防范前缀劫持的方法

4.3 基于IP前缀和AS号码分配证明的安全机制评估

4.4 本章小结

第五章 总结与展望

5.1 内容总结

5.2 研究展望

致谢

参考文献

在学期间研究成果