肖文龍,馬 迪,,毛 偉,邵 晴

1(中國科學院 計算機網(wǎng)絡信息中心,北京 100190)

2(中國科學院大學,北京 100049)

3(互聯(lián)網(wǎng)域名系統(tǒng)國家地方聯(lián)合工程研究中心,北京,100190)

1 背景

隨著全球互聯(lián)網(wǎng)規(guī)模不斷擴大,各個AS (autonomous system,自治系統(tǒng))間的流量轉(zhuǎn)發(fā)也愈發(fā)頻繁.而不同AS 之間能夠互聯(lián)互通的關鍵就是BGP (border gateway protocol,邊界網(wǎng)關協(xié)議) 協(xié)議[1].但其基于互聯(lián)網(wǎng)安全可信原則,沒有提供保障BGP 消息真實性和有效性等的安全機制,致使它很容易因網(wǎng)絡運維者的配置失誤或惡意攻擊的影響,引發(fā)嚴重的BGP路由泄露與劫持事件,嚴重威脅全球互聯(lián)網(wǎng)的安全與穩(wěn)定.

有鑒于此,業(yè)界與學術界著手制定替代BGP的安全域間路由方案.其中應用最為廣泛的是IETF (Internet Engineering Task Force,互聯(lián)網(wǎng)工程任務組) 提出的通過RPKI (resource public key infrastructure,資源公鑰基礎設施)[2]來進行的BGP 路由起源驗證的安全方案,即ROV (route origin validation,路由起源驗證)[2].

1.1 RPKI 體系工作機制

RPKI 體系的核心設計思想是通過構建一套層次結(jié)構的PKI (public key infrastructure,公鑰基礎設施)實現(xiàn)對 INR (Internet number resource,互聯(lián)網(wǎng)碼號資源)所有權的分配和驗證[3].如圖1中所示,RPKI 是以RIR (regional internet registry,區(qū)域互聯(lián)網(wǎng)注冊機構)為單一信任錨點的層級信任模型.該模型通過逐層簽發(fā)證書,構建出從根證書到最低層次的CA (certificate authority,證書頒發(fā)機構) 證書的信任鏈,使得RP (relaying partiy,依賴方)從統(tǒng)一的根證書就可以驗證任意CA 證書[3].此外,從圖1可知RPKI 體系對于IP 地址前綴與路由起源分配關系的簽發(fā)和驗證并不依賴BGP 協(xié)議,這最大程度的降低了在BGP 上廣泛實施ROV 時,對全局BGP 路由收斂速度的不利影響.

1.2 RPKI 全面部署面臨的障礙

RPKI 帶外驗證的優(yōu)勢使其迅速成為實施ROV的主流技術,但至今為止RPKI 覆蓋的IP 地址空間占比仍然較小,實現(xiàn)全面部署依然漫長.根據(jù)來自ICANN的最新報告[4]以及APNIC (Asia Pacific Network Information Centre,亞太網(wǎng)絡信息中心)的研究[5]表明RPKI 全面部署主要面臨如下幾個障礙:

(1)數(shù)據(jù)同步一致性問題;

(2)供給側(cè)運維失誤風險;

(3)5 大RIR的權利濫用風險.

1.2.1 數(shù)據(jù)同步非一致性問題

由于各個RP 服務器與RPKI 資料庫進行數(shù)據(jù)同步及其驗證是獨立的,各個RP 之間的數(shù)據(jù)同步,驗證并不會相互影響.這使得各個RP的本地數(shù)據(jù)不一致,這將致使其輸出至各個AS的有效路由授權與全局實際有效路由信息發(fā)生沖突,最終導致不同AS 之間存在路由信息沖突.

1.2.2 供給側(cè)運維失誤風險

目前RPKI的CA 證書資料庫依然是通過網(wǎng)絡管理人員進行運維,難免會發(fā)生一些人為失誤,主要的失誤為:CA 資料庫數(shù)據(jù)更新不及時.ISP (Internet service provider,網(wǎng)絡服務提供商) 以授權模型部署RPKI 時,其被上級資源持有機構授權自行管理被分配的IP 地址前綴資源的RPKI 簽名對象.ICANN 指出一些小型ISP 對于其CA 資料庫的數(shù)據(jù)運維不及時或是放棄運維,導致資料庫中的RPKI 簽名對象文件過期[3].這將導致其他部署RPKI的AS 因該ISP 簽發(fā)的ROA (route origin authorization,路由起源授權)證書過期而將其驗證為無效.

1.2.3 5 大RIR的權利濫用風險

(1)單一撤銷機制

RPKI 證書頒發(fā)機構通過簽發(fā)CRL (certificate revocation list,證書撤銷列表),對未過期的有效證書的撤銷,并且這種撤銷操作是單方面的,即無需要證書的私鑰持有者許可.文獻[6]指出這種權力的失衡使IP前綴資源的使用者暴露在隨時可能被剝奪合法網(wǎng)絡使用權的風險下.

(2)隱性撤銷

RPKI 權威機構亦可以通過不發(fā)布綁定了IP 前綴使用者的簽名對象文件,或是拒絕RP 訪問該簽名對象文件,來達到IP 前綴與使用者的授權關系實際不生效的效果[6].

(3)資源覆蓋與重寫

RPKI 權威機構將已分配給下級資源持有者的前綴區(qū)塊重新簽發(fā)給其他自治系統(tǒng),亦或通過簽發(fā)新ROA 覆蓋未部署RPKI的事實有效前綴,這些情況的發(fā)生都將影響B(tài)GP 流量的正常轉(zhuǎn)發(fā).

1.3 RPKI 緩存更新風險防范方案研究現(xiàn)狀

由于上述風險與問題將直接影響RP 對RPKI 緩存更新結(jié)果的正確性.因此學者們提出了在CA 側(cè)對CA 惡意或誤操作的預防和在RP 側(cè)的錯誤檢測的方案.

劉曉偉等人提出建立CA 側(cè)CA 資源分配誤操作的檢測方案[7],以防止CA 跨級的重復分配等誤操作行為.該方案無需搭建另外的信任機制,僅通過規(guī)范CA的資源分配行為,提高了CA的資源分配的準確性,降低了供給側(cè)運維失誤風險.但是無法預防CA 惡意的權力濫用行為.Xing 等人利用區(qū)塊鏈的去中心化的信任模型優(yōu)勢提出了BGPCoin 方案[8,9].BGPCoin 通過區(qū)塊鏈公共賬本記錄網(wǎng)絡資源所有權的實時變化,同時區(qū)塊鏈的公開、不可篡改的特性使得CA 對網(wǎng)絡資源所有權的分配更加透明和可追溯.但是BGPCoin 記賬的時間、空間開銷較大,其在實際網(wǎng)絡中的性能是否滿足實際需求仍然有待驗證.Shrishak 等人提出通過門限簽名算法使得每個RPKI 證書的簽發(fā)與撤銷都需要5 大RIR的協(xié)商同意,從而限制了單個RIR的絕對權力[10].其性能表現(xiàn)在5 大RIR的門限簽名模型中比基于區(qū)塊鏈得方案更加優(yōu)秀,但是為了保證CA 行為受到嚴格的限制,則需要賦予更多方參與門限簽名,這使得該方案的性能表現(xiàn)大大下降.Kent 等人提出當RP因無法獲取原有證書文件而需要進行緩存刪除時,RP可以暫停一段時間對此緩存刪除,并允許RP 使用原文件進行更新,隨后核實該操作確為所需后再刪除[11].該方案的優(yōu)勢在于幾乎不需要投入額外的基礎設施的建設,但是該方案難以準確設定延遲操作的時間,時間過短無法保證能夠恢復受影響的數(shù)據(jù),時間太長降低了緩存更新的時效性,此外對于外部核實步驟亦沒有明確的規(guī)則,更是加大了緩存更新的復雜性.Heilman等人提出資源使用者使用RPKI的資源證書簽發(fā)該資源的.dead 對象來表示同意權威方對該資源的撤銷,以此來防止未經(jīng)許可的撤銷或覆蓋發(fā)生[12].該方案在現(xiàn)有的RPKI 機制中引入了對資源持有者的權益保障,對現(xiàn)有的RPKI 機制具有較好的兼容性.但該方案中需要對.dead 簽名文件的同步與驗證,同樣會因為各RP 同步.dead 文件時間不一致,導致數(shù)據(jù)不一致問題.此外,通過簽發(fā)同意撤銷的.dead 文件的方式,消耗了RP 額外的計算資源.

1.4 基于事實所有權的RPKI 緩存更新沖突檢測原理

1.4.1 事實所有權原理

本文的路由起源信息的事實所有權源于Hlavacek等人提出的路由起源信息事實所有權的驗證系統(tǒng)——DISCO[13].DISCO 系統(tǒng)通過驗證路由起源信息事實所有權來確定自治系統(tǒng)與網(wǎng)絡資源的合法綁定關系.由ASi在DISCORegistrar中申請資源綁定證書及其私鑰(pk,sk),并在向外宣告的BGPad消息的屬性字段中附加由該資源證書私鑰的簽名Signsk(ASi,IPPrefix).當DISCO 部署在實際網(wǎng)絡中n≥NThreshold個有利觀測點DISCOvp在一定時間間隔T內(nèi)接收到攜帶于該證書簽發(fā)的資源綁定關系一致的BGPad消息時,DISCO 判定其路由源對其IP 地址前綴是享有事實所有權的.其主要過程描述如下:

由此可知,事實所有權是指域間路由系統(tǒng)中其他自治域?qū)τ谀硞€自治域宣稱對特定IP 前綴資源所有權聲明的接受或認可.具體體現(xiàn)為自治域向其他自治域通告路由起源消息更新時,該條BGP 更新可以通過其他自治域的本地路由通告過濾策略被自治域BGP路由器保存至路由轉(zhuǎn)發(fā)信息表中.且該條路由起源在生命周期內(nèi)(生命周期指路由起源信息從被其他路由器接收的時間接收到至原自治域撤銷的時間段)內(nèi)不會被域間路由系統(tǒng)視為異常路由信息,而被其他路由器刪除或忽略.

1.4.2 BGP 路由起源信息的穩(wěn)定性

BGP 路由劫持者發(fā)起的非法的路由起源信息同樣可能被全球BGP 路由器接收,如果僅憑大部分路由器是否接收該路由起源信息作為路由源合法的依據(jù),將可能把非法路由起源信息錯誤識別為合法的.另一方面,非法的路由起源信息并不會在全局BGP 路由系統(tǒng)中長期存在.

本文分析了正常情況下路由起源信息(即路由源與IP 地址資源的分配關系)在網(wǎng)絡中存續(xù)時間的分布規(guī)律.數(shù)據(jù)源來自于比較權威的RIPE (regional internet registry for Europe,歐洲互聯(lián)網(wǎng)注冊機構)的rrc13 采集器的RIB (route information base,路由信息表)數(shù)據(jù),采集范圍為協(xié)調(diào)世界時間2020年10月17日0 時0 分至2020年10月31日0 時0 分.結(jié)果如圖2所示,縱坐標BGP 路由前綴資源分配關系變化率表示路由源與IP 地址前綴的分配關系在存活時間內(nèi)已改變占總數(shù)比,穩(wěn)定存在時間小于等于8 h的占0.29%,路由源與IP 地址資源的分配關系穩(wěn)定存在時間大于272 h的占97.53%.

如圖2所示,在較長的時間內(nèi),絕大部分的路由源與IP 地址資源的分配關系是穩(wěn)定不變的,只有極少部分的路由源與IP 地址資源的分配關系是存在變化的.那么依靠合法路由起源信息的穩(wěn)定性特征,我們可以通過設置觀察期來觀察一個新增的路由起源信息是否是穩(wěn)定存在的,進而防止短時存在的非法路由起源信息被誤識別為事實存在路由起源信息.

因此,本文結(jié)合路由起源信息的事實所有權原理及其穩(wěn)定性特征,提出了一種基于事實所有權的RPKI緩存更新沖突檢測機制.下面對本方案的設計與實現(xiàn)進行詳細闡述.

2 基于事實所有權的RPKI 緩存更新沖突檢測機制設計

2.1 總體方案架構

BGP 網(wǎng)絡里AS 之間部署的路由器是獨立運行的,全局的事實路由起源信息同步結(jié)構為P2P (peer to peer,點對點)型.這種P2P 結(jié)構的域間信息同步數(shù)據(jù)交互次數(shù)復雜度為n2.如圖3所示,文獻[14]通過在RP 服務器與 AS 之間構建多層級VC (validation cache,有效緩存) 服務器向不同AS 進行RPKI 數(shù)據(jù)分發(fā),以此將各個獨立AS 規(guī)劃在統(tǒng)一的管理域內(nèi),保證了RPKI 數(shù)據(jù)的一致性,而且將全球RP 同步次數(shù)復雜度降低為n.此外,依托于此架構與DISCO 事實所有權驗證方案,可以用底層VCi服務器代替DISCO 觀測點DISCOvp,頂層VCtop服務器代替DISCORegistrar,ASj接入時上傳其RCj,ROAj至底層VCj,故本方案的事實所有權驗證過程如下:

基于對AS 事實權益的保障,在AS 對網(wǎng)絡資源事實所有權的存續(xù)期間對引發(fā)其綁定關系正常使用的RPKI 緩存更新應該視為沖突緩存,應停止將其更新進入路由器中.

所以,基于事實所有權的RPKI 緩存更新沖突檢測機制分為如下3 個階段,一是利用底層VC 服務器同路由器進行本地事實路由起源信息的同步;二是,底層VC 服務器將改變的本地同步數(shù)據(jù)發(fā)送至頂層VC 服務器進行全局路由起源數(shù)據(jù)匯總;三是,利用全局路由起源信息表對緩存更新進行沖突檢測,排除對表內(nèi)的路由源的沖突更新.本文在下文中分別對這3 個階段的方案進行了設計.

2.2 本地事實路由起源信息同步方案設計

本文使用反向RTR 協(xié)議進行本地事實路由起源信息同步,即通過新增RTR[15]協(xié)議負載類型,使原有RTR的只有從RP 側(cè)向BGP 路由器傳輸?shù)膯我环较虻臄?shù)據(jù)同步,增加從BGP 路由器側(cè)至RP 側(cè)傳輸ROI(router origin information,路由起源信息)的反向RIB數(shù)據(jù)同步.當RIBLocal發(fā)生ROIs {ROI1(updateStyle,ASn,IPPrefix),ROI2,…,ROIn}更新或ASi的路由源授權證書ASi.ROA 更新時,通過反向RTR 協(xié)議發(fā)送序列號ASi.Notifyn.SN為n的ASi.Notifyn開啟與VCi本地ROI 數(shù)據(jù)庫VCi.RoiLocal的ROIs 數(shù)據(jù)同步或(RCi,ROAi)更新,同步過程參照RTR 協(xié)議設計,具體同步流程如流程1 所示.

流程1.本地事實路由起源信息同步流程1) while RIBLocal‖(RCi,ROAi) update‖ASi ← VCi.Reset do 2) case:(RCi,ROAi) update 3) VCi.RCi=ASi.RC;VCi.ROAi=ASi.ROAi 4) case:VCi ← ASi.Notifyn 5) if VCi.RLSN==ASi.Notifyn.SN-1 6) VCi.RoiLocal=VCi.RoiLocal+ROIs;VCi.RLSN++7) else 8) ASi ← VCi.Reset 9) end if 10) case:ASi ← VCi.Reset 11) VCi← ASi.RoiLocal 12) VCi.RoiTable=ASi.RoiLocal;VCi.RoiTable.SN=ASi.RoiLocal.SN 13) end while

2.3 全局事實路由起源信息同步方案設計

如圖3所示,本文通過部署在AS的VC 服務器利用反向RTR 協(xié)議實時采集BGP 路由起源信息,建立本地路由起源信息數(shù)據(jù)庫VCi.RoiLocal.另外,通過底層VCi服務器記錄下同步更新ROI 及其接收時間,再由頂層VCtop服務器進行匯總統(tǒng)計,最終VCtop將滿足預設時間間隔T的ROIsj更新至VCtop.RoiGlobal,將不滿足時間間隔T的ROIsj更新至VCtop.RoiRecv,并將本次全局更新結(jié)果VCtop.RoiGlobalIncr 反饋至底層VCi完成一次VCtop.RoiGlobal的更新.具體流程如流程2.

流程2.全局事實路由起源信息同步流程1) while VCi ← VCtop.RequestSN‖VCtop ← VCi.Reset‖ VCi←VCtop.RoiGlobalIncr 2) case:VCi← VCtop.RequestSN 3) if VCtop.RequestSN==VCi.RGSN+1 4) for j=1;j≤VCi.ROIs.Length;j++do 5) if VCi.ROIsj.LifeTime ≥ T 6) VCtop.RoiGlobal=VCtop.RoiGlobal+VCi.ROIsj 7) else 8) VCtop.RoiRecv=VCtop.RoiRecv+VCi.ROIsj 9) end if 10) end for 11) VCtop.RoiGlobal.SN++;VCi←VCtop.RoiGlobalIncr 12) else 13) VCtop ← VCi.Reset 14) case:VCi←VCtop.RoiGlobalIncr 15) VCi.RoiGlobal=VCi.RoiGlobal+VCtop.RoiGlobalIncr;VCi.RoiGlobal.SN++16) case:VCtop ← VCi.Reset 17) VCi ← VCtop.RoiGlobal 18) VCi.RoiGlobal=VCtop.RoiGlobal;VCi.RoiGlobal.SN=VCtop.RoiGlobal.SN 19) end while

2.4 基于事實所有權的RPKI 緩存更新沖突檢測方案

通過對第1 節(jié)中RPKI 全面部署面臨的障礙的分析,本文將RPKI 緩存更新與實際域間網(wǎng)絡起源信息的沖突總結(jié)為以下4 種.

(1)因RPKI 證書維護不及時導致過期失效沖突.

(2)CA 失誤撤銷RPKI 證書導致證書無效沖突.

(3)資料庫訪問失敗,原有證書過期失效沖突.

(4)CA 跨級簽發(fā)已分配的IP 前綴的子前綴沖突.

因此,當頂層VC 服務器接收RPKI 緩存更新時,應提取撤銷和新增操作的RPKI 緩存更新分別與最新的全局路由起源信息表核對,校驗是否存在撤銷當前仍然存在于網(wǎng)絡中的路由起源信息,并輸出存在沖突的RPKI 緩存更新.

2.4.1 RPKI 緩存撤銷更新沖突檢測

在對ROAi與當前全局路由起源信息核對過程中,首先需要查找出與該ROAi相關的ROI.雖然在當前ROA 中IP 前綴資源綁定大多是某條特定的前綴,但也存在部分的是IP 前綴區(qū)塊(例如,{ASn:3,IPPrefix:103.134.63/22,maxLength:24}),故本前綴匹配函數(shù)ROILPM(ROAi)輸出的是對ROAi前綴長度匹配的最長前綴,及其maxLength 劃定的區(qū)塊中包含的全部ROI 前綴.另外,當匹配的ROIj與撤銷的ROAi相同或為其區(qū)塊內(nèi)子前綴的資源分配關系,則此撤銷更新ROAi為無效.具體算法如算法1.

算法1.RPKI 緩存撤銷更新沖突檢測1) 輸入:撤銷緩存更新ROAi.2) 輸出:本次檢測結(jié)果Ri.3) 初始化:Ri=valid 4) ROI=ROILPM(ROAi)5) for j=1;j≤ROI.Length;j++do 6) if (ROIj.IPPrefix ? ROAi.IPPrefixBlock)||(ROIj.IPPrefix==ROAi.IPPrefix)7) if (ROIj.ASn==ROAi.ASn)8) Ri=invalid;break 9) end if 10) end if 11) end for

2.4.2 RPKI 緩存新增更新沖突檢測

ROILPM 函數(shù)輸出的ROIj同上,當ROIj為其區(qū)塊內(nèi)子前綴或相同前綴,但資源分配關系不一致時,則此新增更新ROAi為無效.另外ROI為IP 前綴與ASn的綁定關系,為防止出現(xiàn)ROIj所屬的ROAj區(qū)塊與檢測的ROAi存在交叉覆蓋,故當該ROAj與被檢測的ROAi存在子前綴交集時,其也為無效.具體算法如算法2.

算法2.RPKI 緩存新增更新沖突檢測1) 輸入:新增的緩存更新ROAi.2) 輸出:本次檢測結(jié)果Ri.3) 初始化:Ri=valid 4) ROI=ROI LPM(ROAi)5) for j=1;j≤ROI.Length;j++do 6) if (ROIj.IPPrefix∈ROAi.IPPrefixBlock)&&(ROAi.ASn≠ROIj.ASn)7) Ri=invalid 8) end if 9) if (ROAi.IPPrefix==ROIj.IPPrefix) &&(ROAi.ASn≠ROIj.ASn)10) Ri=invalid 11) end if if ROAj∩ROAi 12)13) Ri=invalid 14) end if 15) end for

2.4.3 實際部署中的方案優(yōu)化

此外,在實際BGP 網(wǎng)絡的運行中還需要針對BGP網(wǎng)絡與RPKI的運維特性對本方案的相關參數(shù)及判定進行相應優(yōu)化.

(1)時間間隔參數(shù)T

在實際BGP 網(wǎng)絡中BGP 通告全局傳播存在一定的時延,即其他AS 收到的BGP 通告存活時間相較于真實存活少了時延Ts,因此對于各個AS 收到通告的存活時間T應該加上傳播時延Ts,而一般BGP 消息的全局傳播時延Ts在38 s 至2 min 之間[16].

(2)全局快速撤銷與未在網(wǎng)使用撤銷確認

如圖4所示,正常情況下AS的BGP 路由器停用前綴,會先主動斷開BGP 連接,如有必要在RPKI 中撤銷該前綴,還會進行請求CA 撤銷該ROA.當全局VC絕大多數(shù)都收到一個BGP 撤銷消息時,此時不必等待時間間隔T,立即確認全局ROI 撤銷事實成立.另一方面,ISP 會簽發(fā)少量特定用途的ROA,比如用在流量工程中,這些ROA 簽發(fā)后并不會立即啟用,故針對此類ROA的撤銷應該通過VCtop與該AS 相連的VC 進行撤銷確認.

(3)新增快速確認

如圖5所示,在部署了RPKI的AS 每當啟用新的前綴資源時需要先簽發(fā)ROA,即使沖突檢測為有效,但此時AS 與該前綴綁定關系存在時間小于預設T,此期間對其發(fā)起的錯誤撤銷則無法檢測出,故當此ROA沖突檢測為有效且新增的ROA 與VCtop接收的ROA相同時,應立即確認其新增事實成立.

3 實驗與分析

為了驗證方案的可行性和性能表現(xiàn),本文配置了1 臺服務器分別對全局路由起源信息的同步和RPKI緩存更新沖突檢測的數(shù)據(jù)同步性能進行了測試,實驗所用服務器配置如表1.

表1 服務器配置

3.1 全局路由起源信息同步實驗

全局路由起源信息同步實驗中各模塊數(shù)據(jù)流如圖6所示,底層VC 服務器通過反向RTR 來采集路由起源更新信息,并且在解析,校驗反向RTR PDU 數(shù)據(jù)包和請求更新的序列號無誤后,進行更新本地路由起源信息表.底層VC 服務器定期向匯聚層發(fā)送對全局路由起源信息表的路由起源更新信息.匯聚層VC 服務器校驗更新序列號無誤后,進行更新信息匯總,統(tǒng)計每條更新信息提交的AS 數(shù),統(tǒng)計完畢后將匯聚結(jié)果發(fā)送至頂層VC 服務器進行全局同步.

實驗使用1 號物理機22229 端口模擬底層VC 服務器進行本地同步和底層全局同步,2181 端口模擬匯聚層VC 服務器進行匯聚處理,33339 端口作為頂層VC 服務器進行頂層全局路由起源信息同步.并且通過向1 號物理機的匯聚層服務器的路由起源消息接收隊列中分別并行發(fā)送(2 000 個,4 000 個,6 000 個,8 000 個,10 000 個)路由源數(shù)據(jù)包,每個數(shù)據(jù)包含有100 條路由起源更新信息,以此模擬不同的AS 接入規(guī)模,并記錄同步花費的時間(單位:s).

由圖7可知,隨著接入的底層VC 服務器增多,本方案的全局路由起源信息同步時間也將越來越長.

3.2 沖突檢測分析

3.2.1 效率分析

本文依照文獻[12]的全網(wǎng)部署的假設條件,在實際RPKI 數(shù)據(jù)中隨機選擇5 組不同規(guī)模的AS 組成的5 個規(guī)模的域間網(wǎng)絡.分別測試了不同規(guī)模下單節(jié)點進行.dead 對象和全量全局路由信息數(shù)據(jù)同步的時間消耗.如圖8所示,橫坐標表示網(wǎng)絡中AS的數(shù)量,縱坐標為同步耗時(單位:s).

本方案不僅在數(shù)據(jù)的全量同步時間消耗上表現(xiàn)更佳,而且部署在服務器上的全量數(shù)據(jù)所占用的存儲空間也更少.對比結(jié)果如圖9所示.

文獻[12]的方案需要每個AS 對來自不同的上級CA 簽發(fā)的證書,動態(tài)維護一個包含同意刪除的資源集合簽名.dead 對象,則每個AS 至少維護一個.dead 資料庫.并且RP 需要對其進行同步和鏈式驗證,不同于ROA的驗證的是.dead的驗證是逆向的,即葉子節(jié)點的.dead 對象只需驗證葉子證書的有效性,中間CA 簽發(fā)的.dead 對象則需驗證其包含的全部子資源的.dead對象.因此,如圖8所示,雖然其需要簽發(fā)的文件少于ROA,但對其簽名文件的同步驗證依然將消耗比本方案更多的計算時間.同時,隨著部署率上升對于部署文獻[12]方案的存儲消耗也遠超本方案.

3.2.2 檢出性能分析

本文基于文獻[12]中的假設,即在網(wǎng)絡全部部署RPKI,各個AS 與RP 行為是誠實可信且公鑰密碼體系無法破解的條件下,僅就兩方案對于由權威方過失行為導致的沖突緩存的檢測性能進行分析.實驗數(shù)據(jù)取自6月4日的RPKI 數(shù)據(jù)和實際長期存活的BGP 數(shù)據(jù),隨機選取的100 個AS 對應的前綴分配數(shù)據(jù),并就3 種沖突情況分別進行了模擬.在本方案和文獻[12]的部署率下降時的沖突檢出率進行了對比.實驗結(jié)果如下:

(1)CA 單邊撤銷證書與資料庫證書異常過期失效

撤銷更新的檢測實驗模擬的數(shù)據(jù)分為兩類,一類是對已在網(wǎng)絡中使用BGP 前綴的ROA 進行單邊撤銷(異常過期失效),另一類是對已簽發(fā)ROA 但是ROA的前綴未在BGP 中使用的單邊撤銷(異常過期失效),兩類數(shù)據(jù)量占比相等.

如圖10所示,本方案的檢出率下降速度慢于文獻[12]方案.因為本方案對全局ROI的采集率不會隨著部署率的下降而下降,這使得其在部署率下降的情況下仍能保護網(wǎng)絡中在使用的BGP 前綴.另一方面,對于未在現(xiàn)網(wǎng)中使用的ROA的撤銷依賴于AS 對VCtop的撤銷確認機制,此類情況下同文獻[12]一樣檢出率等同于方案的部署率.故在相同部署率下本方案的綜合檢出率更高.

(2)資源重寫沖突檢測

資源重寫沖突檢測實驗模擬的數(shù)據(jù)分為兩類,一大類是對已在網(wǎng)絡中使用BGP 前綴的ROA 重寫,其中重寫的類型亦分為全部重寫(ROA 包含的全部前綴區(qū)塊)與部分重寫(ROA 包含的部分前綴區(qū)塊).另一大類是對ROA 已簽發(fā)但是其前綴未在BGP 中使用的ROA 重寫,其中重寫的類型同上.各類數(shù)據(jù)量比例相等.

如圖11所示,對于已在網(wǎng)使用的ROA,本方案可以不受部署率限制獲取網(wǎng)絡中的全局ROI,但是CA 可以部分重寫ROA 區(qū)塊,避開與ROI 存在沖突的部分.文獻[12]則需要通過發(fā)布的.dead 文件,才能對重寫沖突進行校驗.故在相同部署率下本方案的檢出率更高.

如圖12所示,對于未在網(wǎng)使用的ROA,本方案無法獲取在網(wǎng)使用的ROI,只能通過AS 上傳至VC的ROA 進行重寫檢測,檢出性能受部署率變化與文獻[12]相同故在相同部署率下本方案的檢出率無優(yōu)勢.

(3)資源覆蓋沖突檢測

資源覆蓋的沖突檢測實驗針對未被ROA 數(shù)據(jù)覆蓋但已在網(wǎng)使用的IP 前綴,故RPKI的部署率始終為0.即僅依靠ROI 或簽發(fā).dead 對象能夠檢出資源覆蓋沖突的比率.

如圖13所示,對于已在網(wǎng)使用的IP 前綴,雖然本方案檢出性能不受部署率變化的影響,但是本方案事實所有權路由源判定模型屬于多方共識決策模型,故實際部署中參與決策的節(jié)點(部署的節(jié)點)的數(shù)量比例不應太低.

(4)RPKI 數(shù)據(jù)一致性問題分析

文獻[12] 描述了一種鏡像世界的數(shù)據(jù)不一致情況,在這種情況下兩個資源持有者因同步的時間先后,產(chǎn)生完全不同的RPKI 視野,該種情況下文獻[12]方案無法通過驗證.dead 文件保持全局RPKI 視野一致.而本方案的全局路由起源信息表是嚴格序列全局同步的,全局各節(jié)點處在統(tǒng)一的事實有效路由信息和RPKI緩存視圖.

4 結(jié)束語

隨著部署RPKI 進行ROV的網(wǎng)絡運營商的不斷增多,RPKI 在域間路由系統(tǒng)實際部署中的存在的問題和風險也愈加凸顯.在此背景下,本文通過分析RPKI進入全面部署的問題和風險,定位阻礙RPKI 全面部署的根源所在,并提出基于事實BGP 路由起源信息的原理和路由起源信息的穩(wěn)定性,實現(xiàn)了一種基于事實所有權的RPKI 緩存更新沖突檢測機制.最后模擬了5 種不同規(guī)模的BGP 網(wǎng)絡,實驗對比了本方案與現(xiàn)有的其它方案的時間效率.另外對3 種沖突緩存更新的檢出性能,實驗結(jié)果與分析表明本文方案3 種沖突緩存更新檢出性能上存在一定優(yōu)勢.