域间路由

摘要： BGP(border gateway protocol,边界网关协议)在设计之初并没有充分考虑安全问题,随着互联网规模的日益壮大,其安全风险也暴露得愈加明显.学术界和工业界提出了诸多方案解决域间路由面临的安全问题,目前真正得以部署的是IETF(the Internet Engineering Task Force,互联网工程任务组)推动的资源公钥基础设施(resource public key infrastructure,RPKI).综述了RPKI的技术现状和研究进展,重点分析了RPKI存在的问题、现有的解决方案以及不足之处,介绍了RPKI功能扩展的相关研究,最后指出了未来有潜力的研究方向.

摘要： 互联网流量的爆发式增长,叠加互联网流量固有的突发性特点,使得网络流量不均衡现象日益加剧.传统BGP协议由于缺乏全网拓扑和全局流量观,只能遵循标准BGP选路原则,在解决流量调度和负载均衡方面存在不足.针对BGP协议存在的局限性,研发了基于RR+的互联网骨干网流量调度系统,并应用于ChinaNet骨干网的网内中继、网间互联出口、IDC出口等多个流量优化场景.更进一步地,提出了一种基于SDN的互联网域间路由架构,通过在域间控制器之间交换BGP路由,无需在域内和域间运行BGP协议,极大地简化了网络协议,并能够实现灵活的流量调度和负载均衡.

摘要： 将复杂物理网络拓扑转换为简单的虚拟拓扑聚合是解决大规模多域光网络可扩展性和安全性问题的关键技术.提出了一种新的光网络多域线性阶梯聚合算法(ML-S),将线性段拟合算法升级为阶梯生成的多线拟合算法.通过查找阶梯的突变点,增加拟合线段的数量,减少冗余,对网络拓扑信息的描述进行改进.此外,ML-S融合了阶梯拟合算法,有效地缓解了拓扑信息的复杂性和准确性之间的矛盾.根据每个域的具体拓扑信息动态地选择一种更精确、更少冗余的算法.仿真结果表明,与最小二乘算法和梯形拟合算法相比,ML-S失真性能指数降低了60％,与多线拟合算法相比,ML-S冗余度降低了50％.在不同的拓扑条件下,ML-S保持了低估计失真、高估计失真和冗余度,在聚集程度和精度之间实现了更好的平衡.

摘要： 域间路由系统是互联网的关键基础设施.针对域间路由系统的低速率拒绝服务攻击(low-rate DoS against BGP sessions,简称BGP-LDoS)能够引起大范围级联失效,造成域间路由系统全局瘫痪.已有的防护机制和检测方法难以有效应对这种源自数据平面的大规模低速率流量拥塞攻击.分析域间路由系统在BGP-LDoS攻击威胁下的状态突变过程,提出一种基于突变平衡态理论(the equilibrium state of the catastrophe theory,简称ESCT)的BGP-LDoS攻击检测方法.以流量周期性特征、路由会话特征和报文转发量为检测特征进行突变模型的选择,并确定相应的状态变量和控制变量,进一步利用采集的历史数据为训练样本,对突变函数进行训练,以定义系统正常和失效状态时的平衡曲面.利用训练后的尖点突变模型对系统运行状态进行监控,根据分歧集函数判断系统是否出现由正常向失效的跳变,从而实现对攻击的检测.实验结果表明:ESCT方法仅需要监控系统中少量的关键链路和节点就能够具备较强的BGP-LDoS检测能力,为及时发现和提早应对攻击提供可靠参考.

摘要： 发现和保护域间路由系统中核心节点能够有效确保域间路由系统的安全.已有研究通过分析系统静态情况下节点的度数、介数等评估节点重要性.然而,域间路由系统在遭遇攻击出现级联失效时,系统中的节点和链路在失效和有效两种状态之间反复振荡,域间路由系统的拓扑结构也随之不断的动态变化,导致已有稳定拓扑结构下的节点重要性评估方法难以有效评估动态拓扑环境下的节点重要性.文章提出一种基于级联失效模型的域间路由节点重要性评估方法,首先根据域间路由系统的结构特性和BGP协议的运行机制,构建域间路由系统级联失效模型;然后,输入域间路由系统的拓扑数据,以失效影响度为参数,评估各个域间路由节点失效所引发的故障传播范围.由此对域间路由节点的重要性进行定量定性描述.实验结果表明,利用该方法可准确有效分析和评估级联失效状态下域间路由系统中节点的重要性,为防范域间路由系统级联失效时节点保护提供重要参考.

摘要： 针对域间路由系统的大规模低速率拒绝服务攻击(Low-rate DoS against BGP Session,BGP-LDoS)能够造成域间路由系统的整体瘫痪,而现有的检测方法和防护措施难以有效检测和防御此类攻击.BGP-LDoS攻击实施的前提是对域间路由系统的拓扑进行探测分析,获取关键链路的相关参数信息.网络拟态变换能够通过持续的动态变换来迷惑攻击者,增加攻击者对网络进行探测与分析的代价和复杂度,降低攻击成功的概率.借鉴拟态安全防御思想,提出了一种域间路由系统拓扑动态变换的防护方法,由系统中多个相邻自治系统(Autonomous System,AS)组成AS拟态联盟,在联盟内部进行拓扑等效变换.文中给出了实现的具体过程.对拓扑变换后的网络抗BGP-LDoS攻击的能力进行验证分析,实验结果表明,利用该方法可有效降低攻击者对网络拓扑分析的精确度,干扰其关键链路的选择过程,从而实现对BGP-LDoS攻击的防护.%Large-scale low rate denial of service attack against BGP sessions can cause paralysis of the inter-domain routing system as a whole.However,existing detection methods and protection measures are difficult to effectively detect and defense against such attacks.Detecting the topology of the inter-domain routing system and obtaining the key link parameters are fundamental steps to the BGP-LDoS attack.Network's mimic transformation can provide continuous dynamic transformation to puzzle the attacker,increase cost and complexity of the attacker's detection and analysis,reduce attack's success probability.From the view of mimic security defense,this paper presented an inter domain routing system security alliance mechanism.The method uses neighboring autonomous systems form as an ally,and makes equivalent topology transformation in the alliance.The realization of the specific process was given.The resilience of the BGP-LDoS attack after the mimicry transformation was checked and analyzed.Experimental results demonstrate that the method can effectively reduce the attacker's network topology analysis accuracy,and interference attacker's target link selection process.It can provide reliable protection for inter-domain system to against BGP-LDoS attack.

摘要： 针对域间路由系统的低速率拒绝服务攻击(low-rate denial of service against BGP,BGP-LDoS)通过引起级联失效造成域间路由系统整体瘫痪,研究了BGP-LDoS攻击威胁下域间路由系统级联失效的传播机理、影响因素是应对和防范该攻击的基础.通过分析域间路由系统的结构特性以及BGP-LDoS攻击过程,提出一种基于传染病动力学的BGP-LDoS威胁传播模型BGP-SIS.将系统中每个节点的状态划分为易感态、感染态,利用传染病动力学模型SIS对攻击所造成的级联失效过程进行描述,推导攻击威胁下域间路由系统的最终状态.利用仿真实验对模型及推论的有效性进行验证,实验结果表明BGP-SB能够有效描述和预测BGP-LDoS攻击下域间路由系统级联失效的传播规律,可为域间路由系统检测和防御BGP-LDoS攻击提供借鉴和参考.%Low-rate denial of service against BGP(BGP-LDoS) can cause cascading failure in the inter domain routing system and paralyze the system as a whole.Research on the communication mechanism and influence factors of cascading failure of the inter domain routing system under BGP-LDoS attack is the foundation of the response and prevention of the attack.Based on the analysis of the structural characteristics of the inter domain routing system and the BGP-LDoS attack process,this paper proposed BGP-LDoS threat propagation model BGP-SIS based on dynamics of infectious diseases.It subdivided the state of each node in the system into the susceptible and infected states.It described the cascading failure process caused by the attack using the dynamic epidemics models SIS.And it derived the final state of the inter domain routing system.The validity of the model and the inference were verified by the simulation experiment.The experimental results show that BGP-SIS can effectively describe and predict the propagation rule of cascading failure of inter domain routing system under BGP-LDoS attack.It also can be used to provide reference and reference for inter domain routing system to detect and defend BGP-LDoS attacks.

摘要： BGP 协议缺乏验证更新报文的NLRI、AS_PATH 等关键属性真实性的机制，致使域间路由系统面临严重的安全威胁。尽管已有多种方案提出，但都不能有效解决伪造AS_PATH 类型攻击的问题。为了解决这个问题，分析了BGP 节点间的路由交互过程，借鉴IRV 协议分布式安全验证的思想提出一种基于路径验证的域间路由异常检测机制——DAIR，支持增量式部署并且不需要扩展原有BGP 协议。加入DAIR机制的节点发布自己的邻接信息，并通过查询全局邻接信息和对等节点的邻接信息，验证更新报文 AS_PATH 属性的真实性。实验测试表明，DAIR机制能够帮助自治系统快速、协作、有效地检测伪造/篡改路径类型的异常，并且在仅有少数核心节点参与的条件下，即可达到很好的防范效果，从而弥补BGP 协议不对路由信息进行验证的不足，提高域间路由系统抵抗恶意攻击的能力。

摘要： 互联网域问路由系统由多个自治系统互联而成,由于自治系统独立运营、彼此缺乏协同,导致诸多由路由引起的性能、安全和配置问题。在总结典型问题与共性需求的基础上,提出一种基于多自治系统协同的域间路由管理模型——协同管理框架,从协同形态、机制和应用等方面为自治系统协同提供共性支持和设计参考,适用于多种域间路由协同管理问题,例如:路由监测、路由策略冲突分析和路由验证等。

摘要： 域间路由系统存在慢收敛现象，已有研究表明该现象与不同路由事件及AS之间的商业关系有关。文中结合AS层次关系推导算法及路由事件分类算法对路由事件进行细分，分析比较了各类细分路由事件收敛时间的特征。实验结果表明：将AS商业关系作为路由事件分类标准之一，直接影响了各类路由事件收敛时间的统计特征;并且定量说明了2006年12月26日发生在台湾海域的地震对整个路由系统造成的巨大影响。

摘要： 基于BGP协议构造的域间路由系统是Internet的基础设施。虽然BGP已被证明是一种非常稳定和有效的路由协议,但是随着Internet的快速发展与商业化,BGP协议逐渐表现出了一些局限性,比如BGP协议本身缺乏必要的安全机制。由于BGP路由器易受到错误配置的影响,Internet的域间路由系统正面临着日益严峻的安全问题。为了帮助网络管理员自动实施BGP路由器配置管理,本文设计并实现了一个域间路由安全策略检查系统ISP-Policy。该系统可检查BGP路由器的配置文件,评估其中路由策略的安全性与稳定性,并且还可根据网络管理员的要求自动生成相应的配置文件。实验表明,采用静态检查BGP路由器配置的方法,ISP-Policy能够有效帮助减轻网络管理员维护BGP路由器的负担。

摘要： 为建立域间流量分布估算模型，采用从BGP路由表导出域间地址前缀传播图，根据流量转发是按照地址前缀传播图相反方向进行的原理，以自治域接收到邻居通告的网络地址的数量占比的代替所接收网络流量的分布，建立域问流量的分布估算模型IDTDM，根据模型推导出一个可用于域间路由优化的流量分布矩阵。通过实例验证了该方法建模的有效性。

摘要： Internet由若干自治域组成,这些自治域由经济上相互独立的机构分别管理和运营。由于越来越多的用户采用多宿的方式接入Internet,当多个自治域向同一用户提供转发服务时,各自治域间必然产生直接或者间接的竞争。由于AS路径长度是域间路由选路的一种度量,本文对既能增强自治域竞争能力也不会危及Internet路由系统的安全的相关竞争策略进行了有益的探索,这些策略是通过修改向邻居自治域宣告的路由信息中AS路径来实施的。本文还在一个实际的Internet拓扑对这些策略进行了有效性评估,结果表明在使用了这些策略后,自治域的盈利能力得到明显提高。

摘要： 针对自治系统重要性的研究，提出了边缘介数的指标，从数据流量的角度描述自治系统针对指定自治系统 或指定自治系统集合的重要性；设计了基于边缘介数的tier-1层自治系统优化推断算法，该算法将全互联且相互之 间具有重要作用的自治系统作为tier-1层的自治系统；根据得到的tier-1层自治系统，得到国际互联网中各自治系 统对于tier-1层自治系统集合的重要性排名。

摘要： 针对自治系统重要性的研究，提出了边缘介数的指标，从数据流量的角度描述自治系统针对指定自治系统 或指定自治系统集合的重要性；设计了基于边缘介数的tier-1层自治系统优化推断算法，该算法将全互联且相互之 间具有重要作用的自治系统作为tier-1层的自治系统；根据得到的tier-1层自治系统，得到国际互联网中各自治系 统对于tier-1层自治系统集合的重要性排名。

摘要： 针对自治系统重要性的研究，提出了边缘介数的指标，从数据流量的角度描述自治系统针对指定自治系统 或指定自治系统集合的重要性；设计了基于边缘介数的tier-1层自治系统优化推断算法，该算法将全互联且相互之 间具有重要作用的自治系统作为tier-1层的自治系统；根据得到的tier-1层自治系统，得到国际互联网中各自治系 统对于tier-1层自治系统集合的重要性排名。

摘要： 针对自治系统重要性的研究，提出了边缘介数的指标，从数据流量的角度描述自治系统针对指定自治系统 或指定自治系统集合的重要性；设计了基于边缘介数的tier-1层自治系统优化推断算法，该算法将全互联且相互之 间具有重要作用的自治系统作为tier-1层的自治系统；根据得到的tier-1层自治系统，得到国际互联网中各自治系 统对于tier-1层自治系统集合的重要性排名。

摘要： 本公开的实施例涉及利用域分段标识符来进行域间最短路径分段路由。本发明提供了一种入口网络设备，入口网络设备可以接收与多域网络的核心域网络相关联的核心域网络分段标识符。入口网络设备可以接收与多域网络的第二叶域网络相关联的出口网络设备的位置数据，其中位置数据可以包括标识以下各项的数据：核心域网络分段标识符、与第二叶域网络相关联的第二叶域网络分段标识符以及与出口网络设备相关联的出口网络设备分段标识符。入口网络设备可以存储核心域网络分段标识符和位置数据，并且可以利用核心域分段标识符和位置数据将业务路由到出口网络设备。

摘要： 本发明公开一种用于控制域间路由变更的方法、边界路由器和系统。其中在用于控制域间路由变更的方法中，边界路由器当接收到跨域发布的路由变更信息时，从路由变更信息中提取出路由信息、与路由信息相关联的路由信息签名、以及路由变更信息发布者所属AS的数字证书，利用与数字证书相关联的公钥对路由信息签名进行解密，若解密成功，则将路由信息作为路由候选条目添加到路由表数据库中，从而实现路由表更新。通过利用与数字证书相关联的密钥对跨域发布的路由信息签名进行安全验证，从而有效解决了因协议安全漏洞而存在的路由劫持、伪造路由攻击等安全威胁，实现对BGP域间路由的路由可信变更控制。

摘要： 本发明公开了一种域间路由管理系统、方法、域适配器以及传输网络，其中系统包括：域间路由计算单元，用于计算跨域业务的概要路由，将概要路由分解为域间路由，并确定概要路由中属于相同域的边界网元；跨域路由管理单元，用于将属于相同域的边界网元发送到对应的域适配器，接收域适配器发送的根据属于相同域的边界网元计算的域内详细路由，并将域间路由和域内详细路由转发到提交跨域业务请求的域适配器。本发明的系统、方法、域适配器以及传输网络，能够实现跨域端到端业务的管理，满足业务端到端监视和自动开通等业务，能够提升端到端业务路由呈现和搜索的效率，更好的实现业务路由端到端的管理，实现全网端到端业务跨域部分路由的存储与应用。

摘要： 本发明公开了一种多域域间路由维护方法和系统，此方法包括：节点加入时，在该新加入节点所在域外的其它域中查找到其对应的域外路由节点，建立所述节点到所述域外路由节点的域间路由路径，所述域外路由节点是指该域外路由节点所在域中节点标识与所述新加入节点的节点标识之间满足预设的域间路由建立原则的节点；所述其它域中的相关节点根据域间路由建立原则，建立或调整到该新加入节点所在域的域间路由路径。本发明所述多域域间路由维护方法，可以减少域间路由维护开销。

摘要： 本发明提出了一种基于分布式多层多域光网络的域间路由方法，其应用范围为多层多域光网络以及自动交换光网络(ASON，automatic switch optical network)。此方法的主要特征是，在全网拓扑抽象(full-mesh topology abstraction)基础上改进解决了虚拟链路的代价和可用波长数问题以及在域间路由算法中将路径最大可用波长数与K最短路径算法相结合，降低了域间由于缺少可用波长而导致的阻塞的概率，从而降低了全网的业务阻塞率。

摘要： 本发明公开一种用于控制域间路由变更的方法、边界路由器和系统。其中在用于控制域间路由变更的方法中，边界路由器当接收到跨域发布的路由变更信息时，从路由变更信息中提取出路由信息、与路由信息相关联的路由信息签名、以及路由变更信息发布者所属AS的数字证书，利用与数字证书相关联的公钥对路由信息签名进行解密，若解密成功，则将路由信息作为路由候选条目添加到路由表数据库中，从而实现路由表更新。通过利用与数字证书相关联的密钥对跨域发布的路由信息签名进行安全验证，从而有效解决了因协议安全漏洞而存在的路由劫持、伪造路由攻击等安全威胁，实现对BGP域间路由的路由可信变更控制。

摘要： 本发明公开一种基于请求域的软件定义星地融合网络域间路由方法，该方法利用基于地球固定足印与最大化虚拟链路数的逻辑区域划分方法将动态变化的软件定义星地融合网络数据平面静态化为不随卫星运动变化的固定虚拟拓扑；接着，根据对准时刻域控制器的覆盖范围将固定虚拟拓扑均匀划分为多个控制域，并标记出每个控制域内的虚拟边界节点；然后，构造最小矩形请求域，并综合考虑路径跳数以及边界节点发生拥塞的概率来选择相邻控制域的出口节点和入口节点，同时引入距离最短和随机选择原则构建控制域间转发路径。本发明可以克服低轨道卫星不停绕行和链路频繁中断引起的拓扑变化，降低数据传输延迟和丢包率，为用户体验质量的提升提供保障。

摘要： 本发明公开了一种域间路由管理系统、方法、域适配器以及传输网络，其中系统包括：域间路由计算单元，用于计算跨域业务的概要路由，将概要路由分解为域间路由，并确定概要路由中属于相同域的边界网元；跨域路由管理单元，用于将属于相同域的边界网元发送到对应的域适配器，接收域适配器发送的根据属于相同域的边界网元计算的域内详细路由，并将域间路由和域内详细路由转发到提交跨域业务请求的域适配器。本发明的系统、方法、域适配器以及传输网络，能够实现跨域端到端业务的管理，满足业务端到端监视和自动开通等业务，能够提升端到端业务路由呈现和搜索的效率，更好的实现业务路由端到端的管理，实现全网端到端业务跨域部分路由的存储与应用。

摘要： 本发明公开了一种多域域间路由维护方法和系统，此方法包括：节点加入时，在该新加入节点所在域外的其它域中查找到其对应的域外路由节点，建立所述节点到所述域外路由节点的域间路由路径，所述域外路由节点是指该域外路由节点所在域中节点标识与所述新加入节点的节点标识之间满足预设的域间路由建立原则的节点；所述其它域中的相关节点根据域间路由建立原则，建立或调整到该新加入节点所在域的域间路由路径。本发明所述多域域间路由维护方法，可以减少域间路由维护开销。

摘要： 本发明提出了一种基于分布式多层多域光网络的域间路由方法，其应用范围为多层多域光网络以及自动交换光网络(ASON，automatic switch optical network)。此方法的主要特征是，在全网拓扑抽象(full-mesh topology abstraction)基础上改进解决了虚拟链路的代价和可用波长数问题以及在域间路由算法中将路径最大可用波长数与K最短路径算法相结合，降低了域间由于缺少可用波长而导致的阻塞的概率，从而降低了全网的业务阻塞率。