鄭時青

摘要：BGP協(xié)議已經(jīng)成為實事上的互聯(lián)網(wǎng)域間路由協(xié)議，目前BGP最突出的問題是缺乏足夠的安全保障。對BGP協(xié)議的安全問題、相應的安全技術及解決方案進行深入探討，分析域間路由協(xié)議安全問題產(chǎn)生的原因與主要攻擊手段，給出BGP安全技術與S-BGP安全解決方案，并分析其優(yōu)勢與局限。

關鍵詞：域間路由協(xié)議；S-BGP協(xié)議；路由安全

DOIDOI：10.11907/rjdk.171093

中圖分類號：TP309

文獻標識碼：A 文章編號：1672-7800（2017）006-0176-04

0 引言

自從Internet商業(yè)化以來，BGP協(xié)議被廣泛使用已超過10年，協(xié)議本身的簡單與彈性使得BGP在全球網(wǎng)中扮演了基礎性角色。然而BGP并沒有提供足夠的安全擔保，由此產(chǎn)生一系列安全問題，包括惡意攻擊、錯誤配置等，這些都會對網(wǎng)絡產(chǎn)生不同程度的影響。隨著網(wǎng)絡關鍵應用的不斷增多，BGP安全問題帶來的隱患也越來越大，尤其是銀行、遠程在線醫(yī)療等應用，若在關鍵時刻因網(wǎng)絡故障而出現(xiàn)問題，其后果將會很嚴重。因此，BGP安全問題越來越受到重視。本文著重探討B(tài)GP安全問題，包括針對BGP的主要攻擊手段、安全技術手段及典型的S-BGP安全解決方案等。

1 BGP攻擊手段

典型的BGP攻擊手段分為3類：IP前綴與AS號攻擊、BGP對等路由器攻擊、路由策略及屬性攻擊[1]。其中，IP前綴與AS號攻擊、BGP對等路由器攻擊較為常見。

1.1 IP前綴與AS號攻擊

IP前綴與AS號是BGP路由中的關鍵信息。BGP使用IP前綴和AS路徑長度，配合其它屬性作為選定最佳路由的度量標準。IP前綴用來指明一個IP地址中用以確定一個網(wǎng)絡的地位位數(shù)。因為IP前綴具有可變長度，因而一個IP前綴可能被另一個IP前綴完全包含。BGP在選擇具有重疊IP前綴路由時，會依據(jù)“最長前綴匹配（Longest Prefix Match）”原則，優(yōu)先選擇更長IP前綴的路由。此外，每個自治系統(tǒng)AS都有唯一的標識，稱為AS號（AS Number），由IANA（Internet Assigned Numbers Authority）授權分配[2]。

BGP不保證發(fā)布BGP路由信息的AS域會使用分配給它的AS號，或者AS實際擁有它在路由信息中聲明的網(wǎng)絡IP前綴。只要鄰居路由能夠接受，一個AS的BGP路由器通過配置能夠向其它BGP路由器發(fā)布任意AS號或IP前綴的路由信息。而這將導致BGP協(xié)議面臨前綴攻擊（Prefix Hijacking），前綴攻擊會導致IP流被定向到錯誤的AS域。具體的攻擊方式可分為4類，包括偽造IP前綴、偽造IP前綴與AS號、偽造子網(wǎng)段IP前綴，以及偽造子網(wǎng)段IP前綴與AS號[3]。具體示例如圖1所示。

1.2 BGP對等路由器攻擊

一對路由器通過建立運行在TCP連接上的BGP會話來交換BGP路由聲明與撤消消息。BGP相鄰路由器之間通常在IP層上存在直接的物理連接，也可能需要通過中介設備進行交互，比如通過防火墻或另一個路由器，在這種情況下，TCP連接必須要經(jīng)過IP層的多跳。所有這些BGP路由器之間的TCP連接通道都很容易被攻擊，具體攻擊手段包括：

（1）機密性攻擊（Attacks Against Confidentiality）。兩個路由器會通常期望或假定它們之間的信息不會被第三方獲得?？墒堑谌侥軌蚋`聽（Eavesdrop）BGP路由器之間的消息流，并可能從中了解策略與路由信息。即使這些消息不夠敏感，也能夠從BGP數(shù)據(jù)流推測出服務提供商之間的商業(yè)關系甚至是拓撲關系。

（2）完整性攻擊（Attacks Against Message Integrity）。假設使用BGP路由協(xié)議通信的雙方路由器分別為A和B，而攻擊者記為C。則C能夠以“中間人（Man in the Middle）”的方式對A或B實施攻擊。從而完成信息插入（Insert）、信息刪除（Delete）、信息篡改（Modify）、信息重放（Replay）攻擊。

（3）拒絕服務攻擊（Denial-of-Service Attack）。遠程攻擊者C與路由器A或B沒有直接連接，路由器之間TCP通信本身可能也會成為拒絕服務攻擊（Denial-of-service Attack，DOS）攻擊的目標。TCP使用3次握手（SYN， SYN-ACK， and ACK）機制來建立A與B之間的通信連接，使用FIN 或RST結束連接[4]。針對TCP的這種通信建立與斷開機機制，攻擊者C可以實施SYN洪泛攻擊（SYN Flooding Attack）。C向B發(fā)送大量的SYN包，但是始終不完成3次握手（比如：始終不發(fā)送ACK包），從而耗盡B的連接內(nèi)存，導致B無法完成其它任何TCP連接。B的鄰接路由器將會認為B不可達，從而撤消所有與B有關的路由。更為嚴重的情況下，當C暫停攻擊，B重新在線后，所有與B有關的路由又要再次發(fā)布。當C再次攻擊時，這種過程將重復出現(xiàn)，從而導致“路由振動（Route Flapping）”的出現(xiàn)。而路由振動對于所有BGP路由器都是有害的，因為它會消耗路由器處理器資源與帶寬資源。

2 BGP安全技術

BGP安全保護層次劃分如圖2所示，不同層次采用不同的安全技術，實現(xiàn)對不同對象的安全保護。需要說明的是，這些層次都是相對于BGP協(xié)議而言的。

安全保護實現(xiàn)的層次上移，保護的粒度就越粗，對網(wǎng)絡結構與功能的影響就越??；層次下移則反之。下面將闡述這3個層次采用的典型安全技術。

2.1 密碼技術

密碼技術是對抗網(wǎng)絡攻擊的有效手段，通?？蓪⑵浞譃閷ΨQ密碼技術、非對稱密碼技術、信息摘要技術、防重放技術等[5]。典型的密碼技術分類與對比如表1所示。

密碼技術在部署上面臨的最大問題是需要對協(xié)議進行功能上的改造，增加相應的密碼處理硬件或軟件。此外，進行密碼處理需要一定的資源，從而不可避免地帶來性能上的損失。

2.2 BGP路由過濾與注冊

在BGP控制層通常采用基于靜態(tài)規(guī)則的過濾（Static Rules Filtering）機制來實現(xiàn)對惡意路由過濾。常用過濾規(guī)則包括：專用地址文檔（Documented Special Use Address，DSUA），無法與已分配數(shù)據(jù)匹配的IP地址塊或AS表。此外也有一些其它補充性的規(guī)則，比如私有AS號過濾規(guī)則或過長AS路徑過濾規(guī)則等。然而，靜態(tài)規(guī)則過濾能夠提供的安全強度無法與采用密碼技術的保護方式相比。此外，單純的靜態(tài)過濾規(guī)則也不能很好地應對某些AS系統(tǒng)有意或無意的破壞規(guī)則行為，因而有時需要更加靈活的動態(tài)過濾。

BGP協(xié)議存在的一個根本問題是BGP規(guī)則或?qū)傩灾荒苓_到局部最優(yōu)。特別是第一次收到其它AS發(fā)布的BGP路由信息時，沒有規(guī)則或經(jīng)驗能夠判斷該信息的合法性。如果AS能夠了解全網(wǎng)的正確路由信息，就會更加容易檢測并過濾掉非法路由信息。路由注冊表（Routing Registries）技術的目的正在于此。但若形成這樣的注冊表需要解決兩方面的問題：一是如何保證注冊表項初始的正確與合法性，注冊方擔心自己路由信息的正確性，而接收方則會擔心注冊的合法性；二是如何解決BGP路由注冊表的存儲與安全訪問，PKI可能為此提供解決辦法。BGP是全球性的域間路由協(xié)議，注冊者分布在全球不同的組織中，但目前尚未有全球范圍的PKI。

2.3 BGP安全會話

在BGP會話層即TCP層，實施安全增強的優(yōu)勢十分明顯，它面向的是會話數(shù)據(jù)，可實現(xiàn)較細粒度的安全控制，同時保證了對BGP應用層的透明性。安全會話層的安全保護可分為兩類：一類使用MD5、對稱加密技術、非對稱加密、防重放技術來實現(xiàn)BGP會話信息的完整性、機密性及防重放特性，該層最常采用且安全功能較完善的是IPSEC技術，它能夠同時提供完整性、機密性、抗重放攻擊及抗DOS攻擊等安全服務[6]；另一類是未采用密碼手段的技術，如：HOP完整性協(xié)議和GTSM（the Generalized TTL Security Mechanism）。未采用密碼技術的安全會話所具有的安全強度要遠遠低于基于密碼技術的安全會話。

2.4 鏈路保護

如果物理層出現(xiàn)鏈路問題，則很難保證BGP路由的正確性與穩(wěn)定性，比如在“鏈路切斷攻擊（Link Cutting Attacks）”的情況下。目前主要利用安全增強的SNMP（Simple Network Management Protocol）防止攻擊者遠程訪問和修改設置配置，或是通過采用VPN技術保證與路由器連接的安全性。

3 S-BGP安全解決方案

針對BGP協(xié)議的安全問題，目前已提出多種BGP安全解決方案，典型的包括S-BGP、SoBGP、psBGP、pgBGP等。下文將對S-BGP的設計思想、要解決的問題、存在的不足等進行分析。

3.1 S-BGP

BBN公司的Kent于2000年提出的S-BGP（Secure BGP）是當前研究中最為完整、最具代表性的安全機制。S-BGP采用集中式認證模型，其認證層次與互聯(lián)網(wǎng)的地址分配層次相對應，其基本思想是使用證書和路徑屬性簽名來驗證信息的有效性。Cisco公司的White于2003年提出的SoBGP（secure origin BGP）則采用了網(wǎng)狀信任模型，其PKI管理3類證書[7]：路由器、路由策略和地址源。與S-BGP 類似，SoBGP采用源地址證書進行源地址認證。

3.2 S-BGP安全機制

S-BGP體系結構包含3個主要安全機制：PKI、確認屬性和IPSec。

S-BGP利用基于X.509 V3數(shù)字證書的公鑰基礎設施（PKI），對IP地址塊從屬關系、AS號從屬關系、AS標識、BGP路由器標識及AS代表授權進行認證。S-BGP涉及3種數(shù)字證書：第1種證書將公鑰與一個組織及一組IP地址前綴捆綁，該證書既可用來確認一個AS擁有的IP地址空間，也可以用于一個地址空間擁有者授權一個AS發(fā)布地址空間，證書組織成一個單根證書的分層結構，其平行于現(xiàn)有的地址分配系統(tǒng)。ICANN是根，第2層通常包含如ARIN和RIPE等的注冊機構，第3層通常由ISP組成，第4層包含DSP或訂購者。只有運行BGP的實體才需要此數(shù)字證書，如果一個組織擁有IP地址的多個區(qū)段，則只分配1個數(shù)字證書，以使UPDATE所使用的證書數(shù)量最小化。該類證書的組織結構如圖3所示。第2種證書將公鑰與1個組織及1組AS號捆綁，第3種證書將公鑰與AS號和BGP路由器ID捆綁。這兩種證書用于BGP Speaker認證另一個BGP Speaker，也用于確認某一發(fā)言者被授權代表1個指定的AS。這里，ICANN是根，第2層包含注冊機構，第3層包含ISP、DSP和訂購者。第2種證書用于第2層，第3種證書用于第3層。下一層通常代表與上一層組織相關的AS和路由器。這兩類證書組織結構如圖4所示。

IP地址前綴和AS號分配管理已有專門的機構及成熟的分配步驟，因此S-BGP希望能利用現(xiàn)有的基礎設施來管理這些證書。

確認屬性是體系結構的第2個主要組成部分，是S-BGP的核心，是實現(xiàn)上述重要安全保障的一種直接方法。由數(shù)字簽名保護的確認屬性，使S-BGP可以抵御拜占庭攻擊。確認屬性由PKI分配的密鑰和證書進行簽名與驗證，它使每個接收路由信息的BGP Speaker能驗證路由信息中的每個AS是否已被路由路徑中的前一個AS授權，以及源AS是否已被UPDATE中每個IP前綴的擁有者授權發(fā)布這些IP前綴[8]。確認屬性被一個新的、可選的、BGP傳遞的路徑屬性所攜帶，路徑屬性同時攜帶路由信息的數(shù)字簽名。

3.3 S-BGP存在的問題

S-BGP雖然解決了BGP的安全問題，但同時引入了以下問題：①增加了網(wǎng)絡開銷：由于用于保障安全的證書、證書撤銷列表、確認屬性等數(shù)據(jù)需在網(wǎng)上傳遞，需求數(shù)據(jù)量比較大，因此增加了網(wǎng)絡開銷；②增加了路由器的運算：由于路由器在收到UPDATE時，需對其進行驗證，對于證書的驗證增加了路由器CPU的運算[9]；③增加了網(wǎng)絡的存儲開銷：每個BGP路由器要存儲所有相關的數(shù)字證書、AA和RA，且數(shù)量很大；④部署困難：一是PKI的部署存在很大問題，由于通信資源是一個國家的戰(zhàn)略資源，因此一個國家不可能將本國通信網(wǎng)絡的安全依附于別國管理的PKI上，并且一國之內(nèi)，不同的運營商之間存在較大競爭，也會導致PKI部署上的問題。二是新加入的BGP路由器必須首先獲得屬于自已的證書及私鑰，因此增加了網(wǎng)絡擴展的困難；⑤不能抵御聯(lián)合欺騙攻擊。

4 結語

本文對域間路由協(xié)議的安全問題、安全技術及具有代表性的安全解決方案進行了綜合分析。結果表明，現(xiàn)有方案中還沒有一種能夠在可接受的安全保證與部署成本之間取得足夠平衡的完美方案。長遠來看，BGP安全工作應當考慮以下幾方面的問題：一是將域間路由安全問題置于網(wǎng)絡整體安全構架下考慮，互聯(lián)網(wǎng)是一個有機整體，因而需要考慮BGP安全問題與其它網(wǎng)絡安全問題或結構問題之間的相互影響與促進作用；二是如何對可能的攻擊或錯誤狀態(tài)進行有效的甄別與檢測，提前發(fā)現(xiàn)攻擊與錯誤狀態(tài)，能夠有效降低BGP協(xié)議狀態(tài)恢復所帶來的損失；三是考慮可部署性，對BGP安全性的增強，必須考慮最終網(wǎng)絡部署，即能夠在保證安全的同時，盡可能降低對網(wǎng)絡結構、運行效率所造成的影響。

參考文獻：

[1]KEVIN BUTLER，TONI FARLEY，PATRICK MCDANIEL，et al.A survey of BGP security issues and solutions[C]. Proceedings of the IEEE，2009.

[2]戴澤華，張連連，鄧全才，等.基于OPNET的二叉樹路由查找算法的設計與實現(xiàn)[J].河北建筑工程學院學報，2012（3）：55-59.

[3]王太紅.互聯(lián)網(wǎng)前綴劫持檢測與防御研究[D].北京：清華大學，2015.

[4]H BALLANI，P FRANCIS，X ZHANG.A study of prefix hijacking and interception in the Internet[D].In ACM SIGCOMM，2007.

[5]楊昕.移動互聯(lián)網(wǎng)安全支付技術的研究與實現(xiàn)[D].廣州：廣東工業(yè)大學，2016.

[6]楊鵬翼. CBTC系統(tǒng)中IPSec的研究與設計[D].北京：北京交通大學，2008.

[7]郭毅，王振興，孫劍平.域間路由系統(tǒng)安全技術研究[J].信息工程大學學報，2012（3）：345-351.

[8]陳浩然.域間路由協(xié)議BGP內(nèi)容安全的研究[D].南京：南京郵電大學，2011.

[9]胡峰. Linux下RIP路由的實現(xiàn)[D].武漢：武漢理工大學，2007.

（責任編輯：孫 娟）