抵禦違反路由策略攻擊的可驗證安全路由協定的研究

網際網路上，對域間路由協定的攻擊會造成極其嚴重的網路安全事件。域間路由協定的控制平面安全問題主要有前綴起源問題、TCP連線問題、路徑屬性驗證問題以及違反策略問題等。其中，以路由泄漏為代表的違反策略路由攻擊問題，危害大且最具隱蔽性。目前所有的路由安全機制，包括安全性最強的S-BGP都無法解決該問題。本項目針對路由泄漏這類違反路由策略的隱蔽路由攻擊形式，探索研究隱私保護條件下的路由策略一致性驗證理論與機制，設計可防範這類攻擊的安全路由協定。本項目擬首先建立隱私保護下的路由策略一致性驗證問題的通用模型。然後，針對單點攻擊，基於社會學中協同驗證的思想，提出隱私保護下的路由策略一致性協同驗證的研究思路；針對共謀攻擊，提出基於信任關係的驗證模型與方法。通過理論和模擬的手段對所提機制進行理論驗證與性能分析，並開發相應的原型系統進行演示驗證。研究成果對於安全域間路由協定的研究具有重要理論和實踐意義。

網際網路上域間路由協定的控制平面安全問題主要有前綴起源問題、TCP連線問題、路徑屬性驗證問題以及違反策略問題等。其中，違反策略的路由攻擊問題，危害大且最具隱蔽性。目前所有的路由安全機制，包括安全性最強的S-BGP都無法解決該問題。本項目針對這類違反路由策略的隱蔽路由攻擊形式，從協同驗證的角度研究防範這類攻擊的方法與機制，分為探索、綜合與驗證三個階段。首先研究隱私保護約束條件下的路由策略一致性驗證問題的通用模型；然後，針對單點攻擊，基於社會學中協同驗證的思想，提出路由策略一致性協同驗證的研究方法；針對共謀攻擊，提出基於路由證據鏈的驗證方法與機制，在此基礎上對設計相關安全技術最佳化機制，以降低安全機制所帶來的開銷。通過理論和模擬的手段對所提機制進行理論驗證與性能分析，並開發相應的原型系統進行驗證。研究成果對於安全域間路由協定的研究具有重要理論和實踐意義。