针对路由起源授权(route origin authorization, roa)编码难以兼顾安全性和可扩展性的问题,中国科学院计算机网络信息中心信息化前瞻技术研究开放实验室提出了一种新型编码方案,在保障与现有最安全方案相同安全性的同时大幅优化编码效果,编码压缩率和可扩展性均远胜现有方案。相关研究成果已获国家发明专利授权,并被ieee网络通信领域旗舰会议infocom(ccf 推荐a类国际会议)接收,于近日参会做报告交流。
路由起源验证(route origin validation, rov)是依托资源公钥基础设施(resource public key infrastructure, rpki)抵御bgp路由劫持攻击的一种路由安全防护机制,其核心是通过roa这一rpki数据对象将as号以及授权给该as使用的路由前缀进行绑定认证,以协助路由器快速过滤可能导致路由劫持的恶意路由宣告。然而,有研究表明,目前在rpki系统中广泛部署使用的roa编码方案(t-roa)本身存在一定安全隐患,业界最新且正在标准化的方案(m-roa)虽然能解决该安全隐患,但会降低编码压缩率进而影响系统可扩展性。
为同时实现roa编码的强安全性和高可扩展性,科研人员提出新型编码方案hanging roa(h-roa),在安全性上与m-roa保持一致,在编码压缩率和可扩展性方面则远胜t-roa和m-roa。该方案引入挂载层将ip前缀树划分为多个不相交的子树块,采用比特位图对子树块进行压缩编码,通过比特位来精准管理每一条前缀授权与否的状态以规避安全风险。此外,调整挂载层位置即可实现灵活编码,通过动态规划算法来计算最优挂载层部署还能进一步提升编码压缩率。
图1.基于ip前缀树的压缩编码
图2.基于h-roa过滤恶意宣告,防止路由劫持
图3.支持灵活的roa维护和高效增量更新
图4.用真实数据测试,结果表明h-roa在编码压缩率和可扩展性上明显优于已有方案
研究团队单位:计算机网络信息中心
