面向世界科技前沿,面向国家重大需求,面向国民经济主战场,率先实现科学技术跨越发展,率先建成国家创新人才高地,率先建成国家高水平科技智库,率先建设国际一流科研机构。

——中国科学院办院方针

首页 > 科研进展

计算机网络信息中心在路由安全领域研究中取得进展

2022-05-09 计算机网络信息中心
【字体:

语音播报

  针对路由起源授权(Route Origin Authorization, ROA)编码难以兼顾安全性和可扩展性的问题,中国科学院计算机网络信息中心信息化前瞻技术研究开放实验室提出了一种新型编码方案,在保障与现有最安全方案相同安全性的同时大幅优化编码效果,编码压缩率和可扩展性均远胜现有方案。相关研究成果已获国家发明专利授权,并被IEEE网络通信领域旗舰会议INFOCOMCCF 推荐A类国际会议)接收,于近日参会做报告交流。 

  路由起源验证(Route Origin Validation, ROV)是依托资源公钥基础设施(Resource Public Key Infrastructure RPKI)抵御BGP路由劫持攻击的一种路由安全防护机制,其核心是通过ROA这一RPKI数据对象将AS号以及授权给该AS使用的路由前缀进行绑定认证,以协助路由器快速过滤可能导致路由劫持的恶意路由宣告。然而,有研究表明,目前在RPKI系统中广泛部署使用的ROA编码方案(t-ROA)本身存在一定安全隐患,业界最新且正在标准化的方案(m-ROA)虽然能解决该安全隐患,但会降低编码压缩率进而影响系统可扩展性。 

  为同时实现ROA编码的强安全性和高可扩展性,科研人员提出新型编码方案Hanging ROAh-ROA),在安全性上与m-ROA保持一致,在编码压缩率和可扩展性方面则远胜t-ROAm-ROA。该方案引入挂载层将IP前缀树划分为多个不相交的子树块,采用比特位图对子树块进行压缩编码,通过比特位来精准管理每一条前缀授权与否的状态以规避安全风险。此外,调整挂载层位置即可实现灵活编码,通过动态规划算法来计算最优挂载层部署还能进一步提升编码压缩率。 

1.基于IP前缀树的压缩编码 

2.基于h-ROA过滤恶意宣告,防止路由劫持

3.支持灵活的ROA维护和高效增量更新

4.用真实数据测试,结果表明h-ROA在编码压缩率和可扩展性上明显优于已有方案

打印 责任编辑:阎芳

扫一扫在手机打开当前页

© 1996 - 中国科学院 版权所有 京ICP备05002857号-1 京公网安备110402500047号 网站标识码bm48000002

地址:北京市西城区三里河路52号 邮编:100864

电话: 86 10 68597114(总机) 86 10 68597289(总值班室)

编辑部邮箱:casweb@cashq.ac.cn

  • © 1996 - 中国科学院 版权所有 京ICP备05002857号-1 京公网安备110402500047号 网站标识码bm48000002

    地址:北京市西城区三里河路52号 邮编:100864

    电话: 86 10 68597114(总机) 86 10 68597289(总值班室)

    编辑部邮箱:casweb@cashq.ac.cn

  • © 1996 - 中国科学院 版权所有
    京ICP备05002857号-1
    京公网安备110402500047号
    网站标识码bm48000002

    地址:北京市西城区三里河路52号 邮编:100864
    电话:86 10 68597114(总机)
       86 10 68597289(总值班室)
    编辑部邮箱:casweb@cashq.ac.cn