基于协同的域间路由路径.ppt

信息工程大学信息工程学院报告内容基于协同的域间路由路径真实性验证机制信息工程大学信息工程学院报告内容基于BGP的域间路由系统是互联网的关键基础设施互联网不仅在数据转发性能方面，而且在拓扑结构、健壮性、安全性等方面也都高度依赖于域间路由系统BGP: Border Gateway Protocol，边界网关协议域间路由系统：inter-domain routing system自治系统：Autonomous System, AS背景介绍信息工程大学信息工程学院报告内容对互联网健康稳定具有直接且重要影响域间路由系统是不同自治域之间实现互连互通的纽带一旦域间路由系统遭到破坏，整个互联网将陷入瘫痪背景介绍信息工程大学信息工程学院报告内容对互联网健康稳定具有直接且重要影响攻击的手段越来越复杂，危害也越来越大近年来，域间路由系统安全技术的研究取得了一定进展，但是相关安全事件仍时有发生，且攻击手段越来越复杂，造成的损失也越来越严重背景介绍信息工程大学信息工程学院报告内容背景介绍域间路由路径真实性验证基于协同的域间路由路径真实性验证机制DAIR域间路由系统协同监测激励基于博弈的域间路由协同监测激励策略GTIS信息工程大学信息工程学院报告内容BGP没有提供任何验证路径(AS_PATH)真实性的机制，发起路径伪造攻击较为容易，且只要网络连接性没有被破坏，就难以发现受到此类攻击。

已有的BGP安全方案不能有效解决伪造路径类型攻击的问题一、问题描述基于协同的域间路由路径真实性验证机制验证路径真实性，即是验证路径所含邻接的真实性，而验证邻接真实性的途径主要有两种：查询本地路由信息数据库和询问对等节点信息工程大学信息工程学院报告内容二、相关研究不足：由于本地路由信息库存在更新不及时、信息不全面等局限性，若仅利用其来验证路径真实性，误报率较高通过查询本地路由信息库验证邻接真实性的过程：AS直接查询本地路由信息库，验证邻接的真实性基于协同的域间路由路径真实性验证机制信息工程大学信息工程学院报告内容二、相关研究yz不足：若路径中的每条邻接都通过查询对等节点来判断其真实性，验证的效率将很低问：邻接linkyz是否存在？答：邻接linkyz存在查找（邻居关系表）通过询问对等节点验证某邻接真实性的过程：基于协同的域间路由路径真实性验证机制信息工程大学信息工程学院报告内容基本思想：参与节点首先通过查询位于本地的全局邻接数据库验证邻接的真实性，若有邻接不存在，则向关联对等节点发起询问请求，查询邻接的存在性，从而验证更新报文AS_PATH属性的真实性三、DAIR基本思想借鉴分布式安全验证的思想，提出一种基于协同查询的域间路由路径真实性验证机制DAIR。

基于协同的域间路由路径真实性验证机制信息工程大学信息工程学院报告内容DAIR组成结构四、DAIR组成结构AS自身的邻接信息由AS自行维护并定期通过DAIR Server向EBGP database提交，EBGP database利用这些信息生成全局EBGP信息，并保存于数据库DAIR Server也需要定期从EBGP数据库下载最新的全局EBGP信息，以为BGP路由器验证AS_PATH的真实性提供可靠的邻接信息DAIR Server：存储两类信息，AS自身的邻接信息和从全局数据库下载得到的EBGP信息；EBGP database：集中式保存域间路由系统的所有连接信息；基于协同的域间路由路径真实性验证机制信息工程大学信息工程学院报告内容针对DAIR节点间、DAIR节点与全局数据库的信息交互效率和安全问题，提出三个具体策略：邻接注册策略ARP、邻接真实性验证策略ATVP和查询限制策略QRP邻接注册策略ARP，用于验证各DAIR节点上传的邻接信息是否有效的策略邻接真实性验证策略ATVP：DAIR节点验证更新报文AS_PATH属性某一邻接真实性的策略查询限制策略QRP：节点接受或拒绝其它对等节点发起查询请求的策略。

基于协同的域间路由路径真实性验证机制四、DAIR组成结构信息工程大学信息工程学院报告内容mNode为存储一个邻接节点信息所需空间，mLink (mLinkmNode)为存储一条邻接边信息所需空间，dmax为最大节点度，nLink为系统总邻接数1.性能分析-存储开销任意参与节点i的存储开销M(i)满足以下条件五、分析与评估对于域间路由系统的3万多个节点，约90%的节点的邻接数量小于4，且最大的节点度也仅为2631，总邻接数约为75000，即任意DAIR节点所需存储空间M(i)(2631*mNode+75001*mLink)(77631*mLink)，属于合理范围下面分析DAIR机制的性能以及DAIR机制的安全性：基于协同的域间路由路径真实性验证机制信息工程大学信息工程学院报告内容tNode为查询一次邻接表的平均时间开销，tLink为查询一次全局EBGP表的平均时间开销1.性能分析-时间开销验证包含k条邻接的AS_PATH j的真实性所需时间开销T(j)为查找节点j是否为节点i的邻接节点的查找长度ASL1Num(i)，验证linkij真实性的查询长度ASL21+m，其中m=max(Num(i), Num(j)。

对于域间路由系统，节点度最大为2631，即ASL12631，ASL22632可见，验证AS_PATH所需的时间开销也较小基于协同的域间路由路径真实性验证机制五、分析与评估信息工程大学信息工程学院报告内容2.通信安全分析位于互联网上层，大部分节点可信任，且可通过对要加入的BGP节点信誉的初步评判，拒绝信誉差的节点加入，降低恶意节点进入DAIR的可能性；即使有少数DAIR节点实施恶意行为，如：上传无效邻接信息至全局EBGP数据库等，通过三个策略也可很大程度降低恶意行为对整体安全性及验证结果可信性的影响所以，DAIR机制具有较高的安全性基于协同的域间路由路径真实性验证机制五、分析与评估信息工程大学信息工程学院报告内容3.防护能力评估为了评估DAIR机制的防护能力，引入变量，描述能够被有效验证的邻接数量占系统总连接数量的比例DAIR节点AS i对外通告的邻接的数量不同DAIR节点重复通告的邻接的数量域间路由系统所有节点间的邻接的数量基于协同的域间路由路径真实性验证机制五、分析与评估信息工程大学信息工程学院报告内容3.DAIR机制防护能力评估加入节点达到335个(比例为1%)时，已略大于40%，若参与节点达到5335个(比例为15%)时，超过80%。

结论：越多AS加入并部署DAIR机制，整体检测无效邻接能力越强，有效保护范围越大，且仅有少数核心节点加入，即能实现对伪造路径类型攻击的较好防范参与节点数量对DAIR机制检测能力的影响基于协同的域间路由路径真实性验证机制五、分析与评估信息工程大学信息工程学院报告内容域间路由系统协同监测的参与节点分属不同机构，且没有集中的管理中心这种环境下必然会有某些节点出于自身利益的考虑，在协同监测过程中缺乏积极性，或者隐藏部分路由信息或者共享路由信息的意愿低，由此将难以获取到全面、详细的路由监测信息，从而降低域间路由系统协同监测的可用性一、问题描述基于博弈的域间路由系统协同监测激励信息工程大学信息工程学院报告内容二、协同监测节点的自私性BCDAEFGB向A提供路由信息(B-C-D-F-G)，但不向A告知(B-E-G)B与E不属同一组织；BA：从路径(B-C-D-F)可以到达GB与E的物理距离远节点在路由信息交互过程中的自私性(举例)：基于博弈的域间路由系统协同监测激励信息工程大学信息工程学院报告内容基本思想：利用信誉状态参数量化描述节点的行为表现，然后根据节点在各次信息交互时的行为策略选择，对其信誉状态进行动态调整，从而以获取更大的长期收益为驱动，鼓励节点选择友好的行为策略。

三、基本思想利用博弈论中的囚徒困境模型分析协同节点在交互路由监测信息时的行为特点，进而提出一种域间路由系统协同监测激励策略GTIS基于博弈的域间路由系统协同监测激励信息工程大学信息工程学院报告内容参与者：协同监测网络中带有私有信息的N个监测节点个体收益：用获取到的路由监测信息比例等参数为度量三、域间路由系统协同监测博弈场景N个博弈参与者按照一定方式从网络获得服务，参与者获得网络服务的方式即是博弈策略空间的一个策略，参与者在其自身策略下获得的网络服务则是该博弈问题中参与者的收益参与者的收益由参与者自身策略确定，但是单个参与者的收益依赖于网络中其它参与者所采用的策略基于博弈的域间路由系统协同监测激励信息工程大学信息工程学院报告内容四、协同监测网络中的“囚徒困境”监测节点协作收益矩阵注：-c1为采取合作策略时协同节点的资源占用及消耗等成本；为采取投机策略而对方合作时协同节点获得的收益；双方都友好合作时获得的收益-c1-c2-c1合作收益不合作收益基于博弈的域间路由系统协同监测激励将监测节点之间的长期信息交互抽象为阶段博弈G的无限次重复博弈，表示为G(, )信息工程大学信息工程学院报告内容结论：域间路由协同监测网络的任意一个节点在策略选择时最终会陷入集体理性和个体理性相矛盾的“囚徒困境”。

在没有有效约束的自组织管理模式下，协同节点总是有投机倾向而采取不合作策略，即：只想占用其它协同节点的资源，而自身不愿做出任何贡献，以期达到利益最大化四、协同监测网络中的“囚徒困境”基于博弈的域间路由系统协同监测激励信息工程大学信息工程学院报告内容由于难以直接控制或管理协同监测节点的行为，协同监测的可用性常面临威胁，必须有合理的惩罚机制进行引导，抑制不友好行为，鼓励节点积极贡献和提供可靠服务五、基于信誉的惩罚机制基于博弈的域间路由系统协同监测激励信息工程大学信息工程学院报告内容节点一旦有投机行为，将被动进入惩罚期惩罚：所有对等监测节点在与其交易中将采取不合作策略，即不提供路由监测信息共享服务；需要至少连续完成若干次友好交易才能结束惩罚期，且惩罚期内的再次偏离必然导致惩罚期延长，就必须完成更多次的友好交易才能结束惩罚期不可信交易（投机行为）惩罚阶段正常阶段基于博弈的域间路由系统协同监测激励五、基于信誉的惩罚机制信息工程大学信息工程学院报告内容六、实验与分析1. 偏离行为对节点信誉状态的影响对节点的首次偏离，惩罚力度较小，且通过持续友好行为可恢复信誉；对多次偏离，惩罚力度加重，若于惩罚期内再次偏离，惩罚期进一步延长，具有叠加效应。

结论：GTIS能有效区分初惯犯节点，惩罚更具公平性，且诚实交易也会得到激励k=1k=3节点偏离行为对其信誉状态的影响基于博弈的域间路由系统协同监测激励信息工程大学信息工程学院报告内容2. 配置GTIS策略的信息交互（交易）成功率运行初期，信息交互次数较少且尚未出现不诚实或拒绝合作的信息交互，所以r=1；振荡期，信息交互次数增加，部分自私节点尝试投机行为且出现有恶意节点参与的信息交互，所以整体交易成功率下降，即 r减小；六、实验与分析基于博弈的域间路由系统协同监测激励信息工程大学信息工程学院报告内容2.信息交互（交易）成功率恢复期，自私节点的投机行为受到惩罚，基于长期利益考虑，它们开始采取友好策略，以恢复其信誉值，所以信息交互的成功率逐渐提高，即r变大；稳定期，各参与节点选定的策略组成纳什均衡，任一参与者单方面改变策略，其收益将减小此时，规范节点和自私节点采取友好策略所以信息交互成功率达到一个稳定值，但由于存在恶意节点，r无法达到1六、实验与分析基于博弈的域间路由系统协同监测激励信息工程大学信息工程学院报告内容结论：GTIS策略能够有效激励协同监测节点进行积极、诚实的路由监测信息交互并遏制自私节点进行不可信信息交互的投机行为，提高了协同节点信息交互的成功率。

进一步，域间路由监测网络可以利用GTIS策略的信誉评价体系，甄别并剔除恶意节点，保障协同监测网络的健康运行六、实验与分析基于博弈的域间路由系统协同监测激励信息工程大学信息工程学院报告内容汇报完毕！谢谢！。