針對(duì)路由起源授權(quán)(Route Origin Authorization, ROA)編碼難以兼顧安全性和可擴(kuò)展性的問(wèn)題�����,中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心信息化前瞻技術(shù)研究開(kāi)放實(shí)驗(yàn)室提出了一種新型編碼方案����,在保障與現(xiàn)有最安全方案相同安全性的同時(shí)大幅優(yōu)化編碼效果�����,編碼壓縮率和可擴(kuò)展性均遠(yuǎn)勝現(xiàn)有方案�����。相關(guān)研究成果已獲國(guó)家發(fā)明專利授權(quán)���,并被IEEE網(wǎng)絡(luò)通信領(lǐng)域旗艦會(huì)議INFOCOM(CCF 推薦A類國(guó)際會(huì)議)接收,于近日參會(huì)做報(bào)告交流�。
路由起源驗(yàn)證(Route Origin Validation, ROV)是依托資源公鑰基礎(chǔ)設(shè)施(Resource Public Key Infrastructure, RPKI)抵御BGP路由劫持攻擊的一種路由安全防護(hù)機(jī)制����,其核心是通過(guò)ROA這一RPKI數(shù)據(jù)對(duì)象將AS號(hào)以及授權(quán)給該AS使用的路由前綴進(jìn)行綁定認(rèn)證�,以協(xié)助路由器快速過(guò)濾可能導(dǎo)致路由劫持的惡意路由宣告����。然而,有研究表明���,目前在RPKI系統(tǒng)中廣泛部署使用的ROA編碼方案(t-ROA)本身存在一定安全隱患�,業(yè)界最新且正在標(biāo)準(zhǔn)化的方案(m-ROA)雖然能解決該安全隱患����,但會(huì)降低編碼壓縮率進(jìn)而影響系統(tǒng)可擴(kuò)展性。
為同時(shí)實(shí)現(xiàn)ROA編碼的強(qiáng)安全性和高可擴(kuò)展性�,科研人員提出新型編碼方案Hanging ROA(h-ROA),在安全性上與m-ROA保持一致�,在編碼壓縮率和可擴(kuò)展性方面則遠(yuǎn)勝t-ROA和m-ROA。該方案引入掛載層將IP前綴樹(shù)劃分為多個(gè)不相交的子樹(shù)塊���,采用比特位圖對(duì)子樹(shù)塊進(jìn)行壓縮編碼���,通過(guò)比特位來(lái)精準(zhǔn)管理每一條前綴授權(quán)與否的狀態(tài)以規(guī)避安全風(fēng)險(xiǎn)。此外��,調(diào)整掛載層位置即可實(shí)現(xiàn)靈活編碼,通過(guò)動(dòng)態(tài)規(guī)劃算法來(lái)計(jì)算最優(yōu)掛載層部署還能進(jìn)一步提升編碼壓縮率�����。
