工作动态

前瞻实验室在路由安全领域取得进展

2022-05-07 17:35 | 放大 缩小 |

      针对路由起源授权(Route Origin Authorization, ROA)编码难以兼顾安全性和可扩展性的问题,前瞻实验室提出了一种新型编码方案,在保障与现有最安全方案相同安全性的同时大幅优化编码效果,编码压缩率和可扩展性都远胜现有方案。相关研究成果已获国家发明专利授权(专利号:202111081544.1),被IEEE网络通信领域旗舰会议INFOCOMCCF 推荐A类国际会议)接收,于近日参会做报告交流。

      路由起源验证(Route Origin Validation, ROV)是依托资源公钥基础设施(Resource Public Key Infrastructure RPKI)抵御BGP路由劫持攻击的一种路由安全防护机制。其核心是通过ROA这一RPKI数据对象将AS号以及授权给该AS使用的路由前缀进行绑定认证,以协助路由器快速过滤可能导致路由劫持的恶意路由宣告。然而,有研究表明,目前在RPKI系统中广泛部署使用的ROA编码方案(t-ROA)本身存在一定安全隐患;业界最新且正在标准化的方案(m-ROA)虽然能解决这一安全隐患,但却会降低编码压缩率进而影响系统可扩展性。

      为同时实现ROA编码的强安全性和高可扩展性,提出新型编码方案Hanging ROAh-ROA),在安全性上与m-ROA保持一致,在编码压缩率和可扩展性方面则远胜t-ROAm-ROA。该方案引入挂载层将IP前缀树划分为多个不相交的子树块,再采用比特位图对子树块进行压缩编码,通过比特位来精准管理每一条前缀授权与否的状态以规避安全风险。此外,调整挂载层位置即可实现灵活编码;通过动态规划算法来计算最优挂载层部署,还能进一步提升编码压缩率。

1 基于IP前缀树的压缩编码

2 基于h-ROA过滤恶意宣告,防止路由劫持


3 支持灵活的ROA维护和高效增量更新


用真实数据测试,结果表明h-ROA在编码压缩率和可扩展性上明显优于已有方案

 

 
附件下载