冷 峰 趙 琦 延志偉 曾 宇③*

(*中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心 北京 100190)

(**中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心 北京 100190)

(***中國(guó)科學(xué)院大學(xué) 北京 100049)

0 引言

互聯(lián)網(wǎng)是由眾多計(jì)算機(jī)網(wǎng)絡(luò)相互連接組成的開放性網(wǎng)絡(luò),邊界網(wǎng)關(guān)協(xié)議(border gateway protocol,BGP)是互聯(lián)網(wǎng)網(wǎng)間尋址的事實(shí)性標(biāo)準(zhǔn)[1]。但由于BGP 在設(shè)計(jì)之初并未充分考慮安全問題,BGP 存在較大的安全缺陷[2],導(dǎo)致安全事件時(shí)有發(fā)生。業(yè)界針對(duì)BGP 安全問題廣泛開展研究,著力提升互聯(lián)網(wǎng)安全水平。

區(qū)塊鏈(block chain)是一項(xiàng)新興技術(shù),具有去中心化、不可篡改、匿名性、可以追溯、集體維護(hù)等特性[3],是近年來業(yè)界廣泛關(guān)注的熱點(diǎn)技術(shù)。利用區(qū)塊鏈技術(shù)解決互聯(lián)網(wǎng)基礎(chǔ)資源問題的研究陸續(xù)開展[4],針對(duì)傳統(tǒng)互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)設(shè)施安全問題的研究已成為一個(gè)新的發(fā)展方向,其中利用區(qū)塊鏈技術(shù)記錄自治域(autonomous system,AS)間路由策略并驗(yàn)證路由傳輸過程中是否存在違規(guī)問題是一種可行的嘗試。

本研究針對(duì)AS 間策略違背的安全風(fēng)險(xiǎn)開展研究,提出一種利用區(qū)塊鏈2.0,即以太坊技術(shù)增強(qiáng)BGP 協(xié)議安全的機(jī)制,是發(fā)現(xiàn)并檢測(cè)路由系統(tǒng)潛在安全風(fēng)險(xiǎn)的有效手段,可與互聯(lián)網(wǎng)碼號(hào)資源公鑰基礎(chǔ)設(shè)施(resource public key infrastructure,RPKI)、BGPsec 協(xié)同配合,共同增強(qiáng)路由系統(tǒng)安全水平。主要研究?jī)?nèi)容包括以下幾個(gè)方面。

(1) 設(shè)計(jì)出一種BGP 路由策略檢測(cè)機(jī)制(BGP routing policy monitoring mechanism,BRPM2),提出系統(tǒng)架構(gòu),闡述技術(shù)原理。

(2) 建立包含自治域路由策略等信息的策略鏈,確保自治域間路由策略無法被輕易篡改,設(shè)計(jì)區(qū)塊鏈關(guān)鍵技術(shù)要點(diǎn),包括基本區(qū)塊、創(chuàng)世區(qū)塊以及交易操作等環(huán)節(jié)的實(shí)現(xiàn)方法。

(3) 詳細(xì)介紹BRPM2 的代碼邏輯以及修正后的BGP 路由處理流程,并以實(shí)際案例的方式說明BRPM2 的使用方法和運(yùn)作機(jī)制。

(4) 建立原型系統(tǒng),利用實(shí)驗(yàn)驗(yàn)證本機(jī)制的有效性及效能。

(5) 基于RPKI 依賴方(relying party,RP)功能實(shí)現(xiàn)驗(yàn)證功能,使其與BGP 路由器通信完成策略驗(yàn)證,實(shí)現(xiàn)功能解耦。同時(shí)對(duì)比RPKI、BGPsec 以及BRPM2 的異同,描述BRPM2 的技術(shù)特征。

1 問題描述

1.1 BGP 協(xié)議概述

BGP 協(xié)議是連接自治域間的尋址協(xié)議。BGP可被劃分為外部邊界網(wǎng)關(guān)協(xié)議(EBGP)以及內(nèi)部邊界網(wǎng)關(guān)協(xié)議(IBGP)。與BGP 路由器建立對(duì)等連接的對(duì)端叫做BGP peer。每個(gè)BGP 路由器在收到peer 傳來的路由信息后,將存儲(chǔ)在本地的數(shù)據(jù)庫(kù),并根據(jù)本地的策略(policy),結(jié)合路由信息中的內(nèi)容進(jìn)行判斷,并根據(jù)需要修改路由器的主路由表。

1.2 BGP 面臨的安全問題

BGP 安全問題長(zhǎng)期存在,對(duì)互聯(lián)網(wǎng)穩(wěn)定運(yùn)行構(gòu)成嚴(yán)重威脅。典型的BGP 安全問題包括閑置AS 搶奪、近鄰AS 通告搶奪、長(zhǎng)掩碼搶奪、路由泄露以及路徑縮短等幾個(gè)方面[5]。以上安全問題并不僅僅停留在理論層面,利用以上安全問題而發(fā)起的網(wǎng)絡(luò)安全事件時(shí)有發(fā)生[6]。黑客利用此類安全問題發(fā)起網(wǎng)絡(luò)攻擊的目的已經(jīng)逐漸從單純威脅互聯(lián)網(wǎng)關(guān)鍵服務(wù)穩(wěn)定運(yùn)行向非法獲取經(jīng)濟(jì)價(jià)值而轉(zhuǎn)變。如2018 年發(fā)生的亞馬遜事件,亞馬遜權(quán)威域名服務(wù)器遭到BGP 路由劫持攻擊[7],據(jù)稱攻擊者借助此次攻擊竊取了價(jià)值可觀的加密貨幣。Internet Society 的報(bào)告顯示,2020 年上半年共發(fā)生1430 起B(yǎng)GP 劫持事件,日均發(fā)生14 起[8]?？梢灶A(yù)測(cè)的是,未來BGP安全問題仍會(huì)長(zhǎng)期存在,在利益的趨勢(shì)下,攻擊者將利用BGP 的缺陷制造出更多類型的攻擊手段,對(duì)互聯(lián)網(wǎng)安全穩(wěn)定運(yùn)行的影響不可忽視。

1.3 抵御BGP 安全威脅的常見方案

鑒于BGP 在維護(hù)互聯(lián)網(wǎng)穩(wěn)定運(yùn)行中發(fā)揮的重要作用,業(yè)界針對(duì)各類BGP 安全威脅提出了多種解決方案,部分技術(shù)已經(jīng)在生產(chǎn)環(huán)境中實(shí)際部署并形成規(guī)模。

(1) Secure BGP(S-BGP)

S-BGP[9]提出了一種附加簽名的BGP 擴(kuò)展消息格式,用以驗(yàn)證路由通告中IP 地址前綴和傳播路徑上AS 號(hào)之間的綁定關(guān)系,從而避免路由劫持。

(2) Secure origin BGP(SoBGP)

SoBGP[10]同樣著重于解決路由起源認(rèn)證問題,與S-BGP 采用專用PKI 系統(tǒng)不同的是,SoBGP 采用Web-of-Trust 模型,可驗(yàn)證路由來源合法性。

(3) Interdomain route validation(IRV)

IRV[11]是一種較為綜合的BGP 安全解決方案。IRV 的關(guān)鍵組成部分是每個(gè)自治域中的域間路由驗(yàn)證器,通過域間路由驗(yàn)證器中的歷史路由通告記錄以及本地路由策略信息等內(nèi)容,可以用來驗(yàn)證接收路由的有效性。

(4) RPKI

RPKI[12]是一種用于保障互聯(lián)網(wǎng)基礎(chǔ)碼號(hào)資源(包含IP 地址、AS 號(hào)等)安全的公鑰證書體系。通過對(duì)X.509 公鑰證書進(jìn)行擴(kuò)展,RPKI 依托資源證書實(shí)現(xiàn)了對(duì)互聯(lián)網(wǎng)基礎(chǔ)碼號(hào)資源使用授權(quán)的認(rèn)證,并以路由源聲明(route origin authorization,ROA)的形式幫助域間路由系統(tǒng)驗(yàn)證某個(gè)AS 針對(duì)特定IP 地址前綴路由通告的合法性,同時(shí)也為其他域間路由安全技術(shù)(如BGPsec)的實(shí)施提供了可信的數(shù)據(jù)源。

(5) BGPsec

BGPsec[13]著重于解決BGP 路由傳輸過程中的安全問題,其同樣使用數(shù)字簽名技術(shù),實(shí)現(xiàn)BGP 路徑驗(yàn)證。若其可以與RPKI 技術(shù)緊密結(jié)合并大規(guī)模部署實(shí)施,可以極大提高域間路由系統(tǒng)的安全水平。

1.4 AS 策略違背的安全威脅

除上文提及的BGP 安全問題外,一類相對(duì)隱蔽但同樣重要的安全威脅引起業(yè)界關(guān)注,即在BGP 路由傳播過程中違背AS 間策略的安全威脅。BGP 路由在AS 間的交互過程中,需遵循AS 建立的商業(yè)關(guān)系及原則。由于以上商業(yè)關(guān)系相對(duì)BGP 協(xié)議獨(dú)立存在,導(dǎo)致此類安全風(fēng)險(xiǎn)難以檢測(cè),一旦發(fā)生則持續(xù)時(shí)間較長(zhǎng),可引發(fā)AS 出口擁塞或互聯(lián)網(wǎng)資源長(zhǎng)期被惡意占用等風(fēng)險(xiǎn),嚴(yán)重威脅AS 的穩(wěn)定運(yùn)行,是一種低成本損害組織商業(yè)利益的惡意手段。

2 區(qū)塊鏈技術(shù)簡(jiǎn)介與研究現(xiàn)狀

2.1 區(qū)塊鏈協(xié)議概述

區(qū)塊鏈?zhǔn)且粋€(gè)去中心化的共享數(shù)據(jù)庫(kù)。通過分布在各地的節(jié)點(diǎn),依照統(tǒng)一的共識(shí)規(guī)則修改并存儲(chǔ)數(shù)據(jù)備份,確保數(shù)據(jù)安全。

區(qū)塊鏈技術(shù)的要點(diǎn)包括以下4 個(gè)方面[14]。(1)共享賬本。區(qū)塊鏈?zhǔn)枪蚕碣~本的底層技術(shù),意義在于確保交易過程的真實(shí)性。(2)智能合約?！耙粋€(gè)智能合約是一套以數(shù)字形式定義的承諾”,充分利用了區(qū)塊鏈的不可篡改、高可靠的特性。(3)隱私。區(qū)塊鏈中的隱私保護(hù)問題主要指其提供的匿名性特征。但與此同時(shí),業(yè)界針對(duì)如比特幣中交易內(nèi)容公開透明而導(dǎo)致的隱私問題引起擔(dān)憂,已逐步開展研究與應(yīng)用的探索工作。(4)共識(shí)。主要可分為工作量證明機(jī)制、權(quán)益證明機(jī)制、股份授權(quán)證明機(jī)制和Pool 驗(yàn)證池等4 類。

2.2 已開展的相關(guān)工作

隨著區(qū)塊鏈技術(shù)的逐步發(fā)展,基于區(qū)塊鏈的研究與應(yīng)用日漸豐富。根據(jù)Analytics Insight 統(tǒng)計(jì)[15],2020 年,區(qū)塊鏈技術(shù)在區(qū)塊鏈即服務(wù)、利用區(qū)塊鏈解決社交網(wǎng)絡(luò)問題、區(qū)塊鏈技術(shù)在政府機(jī)構(gòu)中的應(yīng)用、區(qū)塊鏈技術(shù)與人工智能的結(jié)合以及區(qū)塊鏈技術(shù)在物聯(lián)網(wǎng)中的應(yīng)用等方面取得進(jìn)展。

在此背景下,如何將區(qū)塊鏈技術(shù)與互聯(lián)網(wǎng)傳統(tǒng)技術(shù)相結(jié)合已成為一個(gè)新的方向。以關(guān)鍵基礎(chǔ)設(shè)施為例,相關(guān)研究與應(yīng)用逐漸豐富,主要集中在幾個(gè)方面。如Stefano 等人[16]嘗試使用區(qū)塊鏈技術(shù)解決IP地址管理分配等問題,但這種方式難以跟蹤未自愿提供聯(lián)系方式機(jī)構(gòu)的身份。Namecoin[17]利用區(qū)塊鏈技術(shù)搭建去中心化域名系統(tǒng)Namecoin,但鑒于其實(shí)現(xiàn)的復(fù)雜性等原因,截至2021 年初其實(shí)際使用規(guī)模仍然有限。Muhammad 等人[18]提出利用區(qū)塊鏈技術(shù)嘗試解決BGP 劫持攻擊威脅,但暫未涉及面向大規(guī)模路由條目下的執(zhí)行效率及可行性。以及Wang 等人[19]嘗試?yán)脜^(qū)塊鏈解決PKI 所面臨的集中管理問題等。

以上各個(gè)方面均針對(duì)互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)設(shè)施面臨的問題開展研究。除此之外,如何保證各個(gè)自治域在路由轉(zhuǎn)發(fā)過程中遵守相關(guān)規(guī)定是另外一個(gè)需要研究的方向。但時(shí)至今日,由于相關(guān)意識(shí)的缺失以及隱私保護(hù)等方面的顧慮,行業(yè)內(nèi)仍鮮有關(guān)注。Zhao[20]針對(duì)此問題設(shè)計(jì)出一種新的算法以及數(shù)據(jù)結(jié)構(gòu),是解決BGP 隱私與安全性平衡問題的一種新的嘗試,其主要關(guān)注的是在保護(hù)隱私的前提下,BGP最佳路由的選擇是否符合約定的問題。文獻(xiàn)[21]設(shè)計(jì)出一種基于區(qū)塊鏈的路由基礎(chǔ)設(shè)施BGPChain,旨在解決RPKI 技術(shù)為BGP 帶來的集中管理的問題。張?jiān)碌热薣22]提出一種基于導(dǎo)出策略的路由配置錯(cuò)誤檢測(cè)方法,但檢測(cè)過程由BGP 路由器承擔(dān),明顯增加了路由器的負(fù)荷。

3 RPKI 與區(qū)塊鏈結(jié)合的安全機(jī)制研究

如前文所述,業(yè)界已經(jīng)開展了利用區(qū)塊鏈技術(shù)應(yīng)對(duì)BGP 安全問題的相關(guān)研究,取得一定進(jìn)展。但尚未提出自治域在路由轉(zhuǎn)發(fā)過程中是否遵守相關(guān)規(guī)定的檢測(cè)方法,導(dǎo)致仍然存在自治域出口擁塞或互聯(lián)網(wǎng)資源長(zhǎng)期被惡意占用等安全風(fēng)險(xiǎn)。本研究提出一種利用區(qū)塊鏈技術(shù)增強(qiáng)BGP 安全的機(jī)制,可有效檢測(cè)BGP 傳輸過程中是否存在策略違背的現(xiàn)象。區(qū)塊鏈技術(shù)去中心化、不可篡改的特性可以確保自治域間商業(yè)關(guān)系和原則的公正權(quán)威。基于區(qū)塊鏈技術(shù)建立自治域間策略的權(quán)威數(shù)據(jù)庫(kù),可及時(shí)、正確地發(fā)現(xiàn)違背策略的惡意行為,及時(shí)抵御潛在攻擊,迅速恢復(fù)異常狀況,有效增強(qiáng)域間路由系統(tǒng)安全水平。

為了與RPKI 等技術(shù)保持兼容,并達(dá)到充分利用既有資源的目的,本機(jī)制采用RPKI 中依賴方(RP)實(shí)現(xiàn)策略驗(yàn)證。在實(shí)施過程中,該機(jī)制可與BGP 協(xié)議結(jié)合,支持迭代部署,減小實(shí)施難度,便于推廣應(yīng)用。

3.1 AS 類型與路由策略的關(guān)系

3.1.1 AS 類型與特征

依照AS 的連接類型以及運(yùn)行策略的差異,當(dāng)前業(yè)界將AS 劃分為3 個(gè)主要類別[23]:(1)多宿主自治域(multihomed);(2)末端自治域(stub);(3)過渡自治域(transit)。每個(gè)自治域有各自的特點(diǎn)。其中,多宿主自治域意味著與多個(gè)AS 相互連接,可以抵御單AS 連接失效的風(fēng)險(xiǎn)。雖然多宿主自治域與多個(gè)AS 相互連接,但并不允許連接的AS 之間通過多宿主AS 進(jìn)行數(shù)據(jù)傳輸。末端自治域只與一個(gè)自治域相連。過渡自治域與多宿主自治域有相同之處,都與多個(gè)自治域相連接,但允許多個(gè)自治域之間進(jìn)行數(shù)據(jù)傳輸。

AS 的類型和特征總結(jié)如表1 所示。

表1 AS 類型及特征

3.1.2 AS 之間的商業(yè)關(guān)系分類

Lixin 的研究結(jié)果顯示,AS 之間的商業(yè)關(guān)系主要可以分為提供者-客戶(provider to customer,P2C)以及對(duì)等體-對(duì)等體(peering to peering,P2P)兩種類型[24]。其中,P2C 表示提供者向客戶提供互聯(lián)網(wǎng)transit 服務(wù),允許客戶通過提供者到達(dá)其他網(wǎng)絡(luò)并根據(jù)使用的流量支付相應(yīng)費(fèi)用。P2P 表示對(duì)等體之間的客戶可以相互可達(dá),所采用的對(duì)等連接所產(chǎn)生的業(yè)務(wù)流量由2 個(gè)AS 共同承擔(dān)。

AS 之間的商業(yè)關(guān)系如圖1 所示。

圖1 AS 商業(yè)關(guān)系示意圖

3.1.3 BGP 路由從進(jìn)到出的交互過程

作為一種域間路由協(xié)議,BGP 有相對(duì)完善和較為豐富的策略控制選項(xiàng)。一般來說,BGP 路由的策略主要可分為import 和export 兩類,分別控制入方向路由以及出方向路由,同時(shí)在2 種策略之間實(shí)現(xiàn)路由選擇和路由表的構(gòu)建。

BGP 路由處理的主要流程如圖2 所示。

圖2 AS BGP 路由處理流程圖

從路由傳播方向上分類,BGP 策略可以分為import策略以及export策略兩類。為了簡(jiǎn)化問題,便于分析研究,以下說明典型import 和export 策略的主要流程。

(1)前置于路由導(dǎo)入策略之前的最重要的一條原則是要避免環(huán)路,即在收到發(fā)來的BGP 路由時(shí),首先要檢查AS PATH 屬性中是否已經(jīng)存在自己的AS 號(hào)碼。若存在,則觸發(fā)避免環(huán)路機(jī)制,該路由將被丟棄。

(2)實(shí)施import 策略。典型的import 策略包括接受或丟棄BGP 路由,具體的import 策略與各個(gè)AS 管理機(jī)構(gòu)的配置相關(guān)。如典型的丟棄判斷準(zhǔn)則是接收到由鄰居發(fā)出的路由,但實(shí)際上該鄰居并不擁有此段路由。同時(shí)import 策略通常配置local preference 屬性,用來影響路由選擇。import 策略應(yīng)用在形成路由表的步驟之前。

(3)在應(yīng)用import 策略后,需進(jìn)行最佳路由選擇過程。經(jīng)過綜合評(píng)判,若接收到的路由為最佳路由,則將該段路由寫入路由表,同時(shí)需寫入轉(zhuǎn)發(fā)表。

(4)執(zhí)行export 策略。根據(jù)主流的BGP 導(dǎo)出策略,基本的原則需要依照以下幾點(diǎn)予以執(zhí)行[24]。

1)導(dǎo)出至提供者。允許的策略:客戶可以將本身的路由以及從其客戶學(xué)習(xí)到的路由導(dǎo)出至提供者;禁止的策略:不應(yīng)將從其他提供者或者對(duì)等體學(xué)到的路由導(dǎo)出。

2)導(dǎo)出至對(duì)等體。允許的策略:對(duì)等體可以將本身的路由以及從其客戶學(xué)習(xí)到的路由導(dǎo)出;禁止的策略:不應(yīng)將從其提供者或者對(duì)等體學(xué)到的路由導(dǎo)出。

3)導(dǎo)出至客戶。允許的策略:提供者可以將本身的路由以及從其客戶學(xué)習(xí)到的路由導(dǎo)出,且可以將從其他提供者以及對(duì)等體學(xué)習(xí)到的路由導(dǎo)出。

由此可見,BGP 路由策略違背的現(xiàn)象與互聯(lián)網(wǎng)接入服務(wù)提供者、對(duì)等體以及互聯(lián)網(wǎng)接入服務(wù)用戶直接相關(guān),一旦發(fā)生異常將損害三者的利益。

3.2 基于區(qū)塊鏈技術(shù)的BGP 路由策略檢測(cè)機(jī)制設(shè)計(jì)

為了增強(qiáng)BGP 協(xié)議安全,特別是要及時(shí)發(fā)現(xiàn)在AS 間路由傳播過程中違反策略的現(xiàn)象,以下設(shè)計(jì)一種利用區(qū)塊鏈技術(shù)增強(qiáng)BGP 安全的機(jī)制,命名為BRPM2。

BRPM2 在當(dāng)前域間路由系統(tǒng)的基礎(chǔ)上引入?yún)^(qū)塊鏈技術(shù),主要使用以太坊并利用驗(yàn)證組件完成針對(duì)BGP 路由策略的驗(yàn)證。BRPM2 的系統(tǒng)架構(gòu)主要可分為策略鏈和驗(yàn)證組件兩部分,其中策略鏈用于建立針對(duì)各個(gè)自治域連接關(guān)系以及策略屬性的權(quán)威記錄;驗(yàn)證組件用于和自治域系統(tǒng)中的路由器進(jìn)行交互,驗(yàn)證是否存在路由策略違背的現(xiàn)象。由于驗(yàn)證組件與策略鏈相對(duì)獨(dú)立,為了充分利用資源,以及整體考慮增強(qiáng)路由系統(tǒng)安全的各種技術(shù)手段,設(shè)計(jì)利用RPKI 中的RP 承載BRPM2 驗(yàn)證組件的功能。

BRPM2 的系統(tǒng)架構(gòu)如圖3 所示。

圖3 BRPM2 系統(tǒng)架構(gòu)圖

如圖3 所示,BRPM2 與傳統(tǒng)網(wǎng)間路由系統(tǒng)聯(lián)合實(shí)現(xiàn)策略驗(yàn)證功能。每個(gè)希望利用BRPM2 檢測(cè)違背BGP 策略現(xiàn)象的自治域?qū)⒃趨^(qū)塊鏈中錄入形成包括與本自治域相連的自治域關(guān)系列表、接收到的BGP 廣播地址等相關(guān)信息的區(qū)塊,供驗(yàn)證組件進(jìn)行檢測(cè)分析。在接收到路由廣播后,路由器與驗(yàn)證組件交互,由驗(yàn)證組件前往策略鏈獲取必要信息后進(jìn)行逐步驗(yàn)證,最終將驗(yàn)證結(jié)果返回路由器。路由器將根據(jù)驗(yàn)證結(jié)果判斷接收或拒絕更新此項(xiàng)路由。

3.2.1 策略鏈結(jié)構(gòu)

(1)存儲(chǔ)設(shè)計(jì)

在策略鏈中,主要存儲(chǔ)的是針對(duì)各個(gè)自治域的連接關(guān)系以及策略屬性的權(quán)威記錄。策略鏈的主要設(shè)計(jì)思路是以簡(jiǎn)化的形式構(gòu)成存儲(chǔ)系統(tǒng),使用點(diǎn)對(duì)點(diǎn)的設(shè)計(jì)思想,各節(jié)點(diǎn)間建立扁平化連接關(guān)系,彼此連接相互完成數(shù)據(jù)傳輸。

1) 分布式哈希表

采用分布式哈希表(DHT)協(xié)調(diào)和維護(hù)元數(shù)據(jù),基于此實(shí)現(xiàn)對(duì)所有對(duì)等節(jié)點(diǎn)的追蹤與查找。

2) 身份

為保證存儲(chǔ)系統(tǒng)安全,策略鏈建立身份認(rèn)證機(jī)制,為存儲(chǔ)節(jié)點(diǎn)命名并分配公私鑰對(duì)。在首次連接時(shí),對(duì)等體交換公鑰信息,通過指定字段的標(biāo)識(shí)進(jìn)行身份認(rèn)證,確保數(shù)據(jù)交換安全。

3) 數(shù)據(jù)交換

在對(duì)等節(jié)點(diǎn)間通過交換數(shù)據(jù)塊分發(fā)數(shù)據(jù),利用身份認(rèn)證機(jī)制保證安全,并建立普遍認(rèn)可的數(shù)據(jù)交換信用體系。通過獎(jiǎng)罰機(jī)制,如提升向外發(fā)送數(shù)據(jù)節(jié)點(diǎn)信用值,或降低接收數(shù)據(jù)節(jié)點(diǎn)信用值的方式鼓勵(lì)數(shù)據(jù)共享,降低策略鏈存儲(chǔ)系統(tǒng)數(shù)據(jù)損壞的風(fēng)險(xiǎn)。

4) 對(duì)象

通過加密哈希(hash)對(duì)象的內(nèi)容實(shí)現(xiàn)快速定位,采用有向無環(huán)圖(DAG)建立索引關(guān)系,使內(nèi)容可尋址,并可有效刪除重復(fù)數(shù)據(jù),節(jié)約存儲(chǔ)空間。

5) 文件結(jié)構(gòu)

由版本控制、文件系統(tǒng)路徑以及路徑查找等要點(diǎn)構(gòu)成。其中版本控制采用的是以存儲(chǔ)對(duì)象在歷史版本中快照的形式加以存儲(chǔ),存儲(chǔ)對(duì)象改變的歷史可回溯。文件系統(tǒng)路徑則可使用字符串路徑進(jìn)行遍歷,同時(shí)可采用隱藏的方式增強(qiáng)存儲(chǔ)數(shù)據(jù)安全。路徑查找則可通過緩存的形式減少遍歷次數(shù),提高查詢性能。

(2)共識(shí)設(shè)計(jì)

共識(shí)算法是策略鏈設(shè)計(jì)的關(guān)鍵環(huán)節(jié),負(fù)責(zé)在節(jié)點(diǎn)處理完各類交易后,保證節(jié)點(diǎn)狀態(tài)的一致性,即將交易打包到區(qū)塊中。策略鏈采用實(shí)用拜占庭容錯(cuò)算法(practical Byzantine fault tolerance,PBFT)并在此基礎(chǔ)上進(jìn)行改良。

策略鏈中的共識(shí)算法根據(jù)投票形成共識(shí)過程中權(quán)利的大小設(shè)定兩類角色,分別為驗(yàn)證人和提議人。其中驗(yàn)證人為策略鏈中的各個(gè)節(jié)點(diǎn),提議人則由驗(yàn)證人輪流產(chǎn)生。

概括來說,策略鏈中的共識(shí)算法主要分為3 個(gè)處理步驟:(1)由提議人提出一個(gè)區(qū)塊;(2)發(fā)送提交的意圖;(3)在簽名后提交一個(gè)新區(qū)塊。每一輪只有一個(gè)驗(yàn)證人(即提議人)可以提出塊,且需要用提議人對(duì)應(yīng)的私鑰進(jìn)行簽名,如此可在發(fā)生錯(cuò)誤時(shí)找到為此負(fù)責(zé)的驗(yàn)證人,形成被動(dòng)的監(jiān)督機(jī)制。其他驗(yàn)證人需要對(duì)每個(gè)提議進(jìn)行投票,且投票需用自己的私鑰簽名,如此反復(fù)。

每輪的提議人對(duì)交易中的區(qū)塊提議并對(duì)提議的區(qū)塊投票,正常情況下達(dá)成共識(shí)并形成新的區(qū)塊,結(jié)束本輪流程。特殊情況下由于節(jié)點(diǎn)離線或網(wǎng)絡(luò)延遲等原因可能導(dǎo)致提議人提議區(qū)塊失敗,此時(shí)的容錯(cuò)機(jī)制一方面需要等待提議人一段時(shí)間后方可進(jìn)入下一輪提議,為節(jié)點(diǎn)恢復(fù)或網(wǎng)絡(luò)狀況好轉(zhuǎn)預(yù)留窗口期;另一方面則可選擇另外的驗(yàn)證人提議新的區(qū)塊并開啟新一輪投票過程。

(3)網(wǎng)絡(luò)設(shè)計(jì)

策略鏈的網(wǎng)絡(luò)設(shè)計(jì)采用區(qū)塊鏈中常見的P2P形式,可被劃分為非結(jié)構(gòu)化P2P 網(wǎng)絡(luò)和結(jié)構(gòu)化P2P網(wǎng)絡(luò)。為了增強(qiáng)性能,提升數(shù)據(jù)查詢效率,策略鏈采用結(jié)構(gòu)化P2P 網(wǎng)絡(luò)模型,實(shí)現(xiàn)基于分布式哈希表的查詢機(jī)制。

結(jié)構(gòu)化P2P 網(wǎng)絡(luò)在策略鏈中的應(yīng)用可解決分布式環(huán)境下快速準(zhǔn)確地路由、定位數(shù)據(jù)的問題,具體可將整個(gè)網(wǎng)絡(luò)區(qū)分為資源空間和節(jié)點(diǎn)空間兩類。其中資源空間是所有節(jié)點(diǎn)保存數(shù)據(jù)的集合,而節(jié)點(diǎn)空間則為所有節(jié)點(diǎn)的集合。數(shù)據(jù)和節(jié)點(diǎn)需要分別編號(hào)并以哈希的形式進(jìn)行存儲(chǔ),形成對(duì)應(yīng)ID。資源ID和節(jié)點(diǎn)ID 間存在映射關(guān)系,可將資源和節(jié)點(diǎn)緊密相連,避免泛洪廣播,提升查詢性能。

3.2.2 關(guān)鍵要素

根據(jù)區(qū)塊鏈文獻(xiàn)[23]中的理論,區(qū)塊鏈系統(tǒng)中關(guān)鍵的要素包括基本區(qū)塊的組成(basic blocks)、創(chuàng)世區(qū)塊(genesis blocks)、交易(transactions)以及工作流程(workflow)等。根據(jù)本文主要需解決的關(guān)于AS 間路由傳播過程中違反策略的問題,以下針對(duì)BRPM2 中的關(guān)鍵要素展開說明。

(1)基本區(qū)塊

BRPM2 中的基本區(qū)塊主要由以下幾部分要素構(gòu)成。

1)交易記錄。一個(gè)本區(qū)塊中所有的交易記錄的列表。

2)哈希值。本區(qū)塊內(nèi)容的哈希值。

3)隨機(jī)數(shù)。用來產(chǎn)生本區(qū)塊的工作量。

4)前一個(gè)區(qū)塊的哈希值。用來驗(yàn)證區(qū)塊的連續(xù)性,避免區(qū)塊序列的不連續(xù)。

5)索引。本區(qū)塊在鏈中的位置。

6)簽名。用礦工私鑰針對(duì)本區(qū)塊進(jìn)行的數(shù)字簽名。

7)時(shí)間戳。本區(qū)塊產(chǎn)生的時(shí)間。

8)挖礦的時(shí)間戳。本區(qū)塊被開采的時(shí)間。

9)礦工。開采本區(qū)塊的主體ID 值,主要由AS Number 表示。

(2)創(chuàng)世區(qū)塊

創(chuàng)世區(qū)塊是區(qū)塊鏈中的第一個(gè)區(qū)塊,用來創(chuàng)立整個(gè)區(qū)塊鏈。創(chuàng)世區(qū)塊由具有公信力的組織啟動(dòng),不需要進(jìn)行開采。在創(chuàng)世區(qū)塊中需包含基本區(qū)塊中的典型要素,包括出塊者ID、哈希值、隨機(jī)數(shù)以及時(shí)間戳等要素。同時(shí)由于BRPM2 主要用于檢測(cè)BGP路由策略,因此其創(chuàng)世區(qū)塊應(yīng)包含AS 號(hào)、相連的AS、相連AS 的類型以及IP 前綴列表等信息,用于驗(yàn)證BGP 路由廣播過程中是否存在違反策略的現(xiàn)象。

(3)交易

BRPM2 中的交易主要是指AS 間連接狀態(tài)的變化,以及IP 地址廣播狀態(tài)的變更。交易主要表述了輸入和輸出間的對(duì)應(yīng)關(guān)系。交易主要由各個(gè)AS 發(fā)起,由整個(gè)鏈共同確認(rèn),用來驗(yàn)證AS 間BGP 策略的正確性。

交易記錄中主要的要素包括以下幾個(gè)方面。

1)輸入。AS 間連接狀態(tài)的變化,以及IP 地址廣播的變更。

2)輸出。一系列輸出的參數(shù)和數(shù)值,用來描述交易的結(jié)果以及交易后AS 的最新狀態(tài)。

3)類型。包括AS 間連接狀態(tài)的變更,以及IP地址廣播變更等。

4)簽名。

5)時(shí)間戳。

6)交易的ID 值。用來唯一標(biāo)識(shí)本次交易。

(4)工作流程

BRPM2 的工作流程主要涉及影響B(tài)GP 策略變更的相關(guān)流程。影響B(tài)GP 策略變更的流程主要可歸納為以下兩大類。

1)AS 狀態(tài)變更:包括連接AS 的增減以及連接AS 商業(yè)關(guān)系的變更等情形。其中,連接AS 的增減是指本AS 與新的AS 建立鄰接關(guān)系或者與部分AS終止連接關(guān)系等情形;連接AS 商業(yè)關(guān)系的變更是指本AS 與某些AS 的商業(yè)關(guān)系的變更,如由原有的P2C 變更至P2P 等。

2)IP 地址廣播變更:包括IP 地址起源變更以及IP 地址廣播增加或減少等情形。其中,IP 地址起源的變更是指IP 地址所屬AS 變更導(dǎo)致其BGP 廣播的起源AS 的調(diào)整;IP 地址廣播的增加或減少是指由于策略的調(diào)整導(dǎo)致AS 廣播的IP 地址前綴的增加或者刪除。

3.3 機(jī)制原理

BRPM2 利用區(qū)塊鏈技術(shù)建立AS 間的策略檢測(cè)機(jī)制。其主要利用了區(qū)塊鏈的不可篡改特性,將參與到策略檢測(cè)的AS 相關(guān)元素記錄到區(qū)塊鏈上,并利用驗(yàn)證組件檢測(cè)AS 所發(fā)布的路由信息是否存在違背策略的現(xiàn)象。

以文獻(xiàn)[25]所提到的錯(cuò)誤路由檢測(cè)方法為原型,以下提出基于BRPM2 的檢測(cè)算法?；炯僭O(shè)條件包括以下3 點(diǎn)。

(1)待檢測(cè)的AS 共收到發(fā)來的m個(gè)地址廣播前綴prefixi,i=1～m;

(2)每一個(gè)地址廣播前綴prefixi來自n個(gè)自治域ASj,j=1～n;

(3)待檢測(cè)的AS 與k個(gè)AS 相連。

則檢測(cè)算法主要的代碼邏輯如圖4 所示。

圖4 基于BRPM2 的檢測(cè)算法示意圖

以上代碼主要由isPolicyViolation 主進(jìn)程以及isLegitimateLink 和isLegitimateAnnouncement 2 個(gè)分進(jìn)程構(gòu)成。其中isLegitimateLink 用來驗(yàn)證接收到的BGP 地址廣播是否與本自治域存在合法連接,isLegitimateAnnouncement 用來驗(yàn)證接收到的BGP 地址廣播是否存在違背策略的現(xiàn)象。

如圖5 所示,在運(yùn)用BRPM2 機(jī)制后,BGP 路由處理的主要流程產(chǎn)生相應(yīng)變更。

圖5 改進(jìn)后的BGP 路由處理流程圖

3.4 技術(shù)特點(diǎn)

3.4.1 支持漸進(jìn)式部署

如上文記錄中所述,BRPM2 依賴于區(qū)塊鏈技術(shù)和驗(yàn)證組件,與當(dāng)前自治域系統(tǒng)的連接形式相對(duì)獨(dú)立,可支持漸進(jìn)式部署形式。即在當(dāng)前網(wǎng)間路由系統(tǒng)運(yùn)作的基礎(chǔ)上同步部署B(yǎng)RPM2 系統(tǒng),當(dāng)具備BRPM2 相關(guān)功能時(shí)則啟用,未具備BRPM2 功能則不啟動(dòng)驗(yàn)證功能。

為了加快BRPM2 的部署應(yīng)用,BRPM2 可提供完全驗(yàn)證以及部分驗(yàn)證2 種級(jí)別的檢測(cè)方案。在采用完全驗(yàn)證手段時(shí),驗(yàn)證模塊可沿AS PATH 路徑進(jìn)行逐級(jí)驗(yàn)證,直至BGP IP 地址段始發(fā)AS,實(shí)現(xiàn)針對(duì)此段IP 的完整策略驗(yàn)證功能。針對(duì)部分驗(yàn)證檢測(cè)手段,驗(yàn)證模塊可檢測(cè)與待測(cè)IP 地址段所在AS 直接或次直接相連的AS 之間的關(guān)系,檢查發(fā)出測(cè)試IP 地址段所在AS 是否存在策略違背現(xiàn)象。由于BRPM2 至多需要檢測(cè)兩級(jí)AS 的策略設(shè)置等相關(guān)信息,因此可局部小規(guī)模部署實(shí)現(xiàn)。

3.4.2 安全性分析

BRPM2 使用區(qū)塊鏈技術(shù),針對(duì)AS 間策略違背的問題加以驗(yàn)證,有利于提升BGP 傳輸過程中的安全水平。但區(qū)塊鏈技術(shù)的應(yīng)用同時(shí)也引入了新的安全問題,比如雙花問題,隨著BRPM2 策略鏈網(wǎng)絡(luò)規(guī)模的逐步擴(kuò)大以及RPKI 等技術(shù)的同步發(fā)展,發(fā)起此類攻擊的難度將成倍提升,可有效解決51%攻擊問題?；蛘呷缗坠魡栴},可以在BRPM2 建鏈初期設(shè)定N個(gè)可信節(jié)點(diǎn),N個(gè)信任節(jié)點(diǎn)可以對(duì)其他節(jié)點(diǎn)進(jìn)行擔(dān)保,擔(dān)保其他節(jié)點(diǎn)同樣可以信任,以此類推,則可利用此類非直接認(rèn)證的方式對(duì)抗女巫攻擊等等?？傊?由區(qū)塊鏈技術(shù)引入的新的安全問題,其應(yīng)對(duì)手段將隨著區(qū)塊鏈技術(shù)的發(fā)展而逐步強(qiáng)化,BRPM2 也將根據(jù)應(yīng)對(duì)手段的轉(zhuǎn)變而逐步升級(jí)完善。

3.4.3 功能及效能特征

BRPM2 采用PBFT,其屬于拜占庭類共識(shí)算法。若分布式系統(tǒng)中節(jié)點(diǎn)發(fā)生了任意類型的錯(cuò)誤,只要系統(tǒng)中錯(cuò)誤節(jié)點(diǎn)數(shù)量少于一定比例,拜占庭類共識(shí)算法都能保證系統(tǒng)的可靠性。PBFT 降低了拜占庭協(xié)議的運(yùn)行復(fù)雜度,具有高一致性、高可用性、抗欺詐能力強(qiáng)等特點(diǎn)。

可以看出,BRPM2 的執(zhí)行效率與共識(shí)算法具有直接關(guān)聯(lián),PBFT 的特性決定了BRPM2 達(dá)成共識(shí)的速度。

基于PBFT 的效能特性,BRPM2 具有較高的運(yùn)行效率。根據(jù)文獻(xiàn)[26]中記載,以算法出塊速度和每秒系統(tǒng)可處理的交易數(shù)量(transaction per second,TPS)為主要指標(biāo),PBFT 的出塊速度可達(dá)到秒級(jí),遠(yuǎn)高于工作量證明(pow of work,PoW)的處理速度。但其缺點(diǎn)是當(dāng)系統(tǒng)中節(jié)點(diǎn)數(shù)量大幅增加時(shí)的整體性能呈現(xiàn)明顯降低的趨勢(shì),在全網(wǎng)路由器廣泛使用的條件下的性能問題將成為需要考量的重點(diǎn)。在實(shí)際應(yīng)用過程中,BRPM2 可根據(jù)路由系統(tǒng)以及區(qū)塊鏈技術(shù)的發(fā)展調(diào)整所采用的共識(shí)算法,進(jìn)一步優(yōu)化算法性能,提升方案效率。

3.4.4 與RPKI、BGPsec 的對(duì)比

BRPM2 主要應(yīng)對(duì)的是違背AS 間策略的問題,在驗(yàn)證過程中至多追溯至與發(fā)起檢測(cè)的AS 進(jìn)行二級(jí)連接的AS,涉及環(huán)節(jié)較少。BRPM2 無需更改BGP 協(xié)議,主要借助于區(qū)塊鏈技術(shù)以及驗(yàn)證環(huán)節(jié)進(jìn)行檢測(cè)。同時(shí),與RPKI 類似的是,BRPM2 支持增量部署形式,有助于迅速推廣其應(yīng)用部署。

RPKI 主要應(yīng)對(duì)的是路由起源認(rèn)證的問題,在驗(yàn)證過程中需追溯至路由分配機(jī)構(gòu),涉及環(huán)節(jié)數(shù)量居中。RPKI 無需更改BGP 協(xié)議,借助PKI 體系以及RP 等環(huán)節(jié)進(jìn)行驗(yàn)證。RPKI 支持增量部署形式。

BGPsec 主要應(yīng)對(duì)的是路由傳播過程中的問題,在驗(yàn)證過程中需逐跳驗(yàn)證路由傳播的正確性,涉及環(huán)節(jié)較多。BGPsec 需更改BGP 協(xié)議,將屬性替換為屬性。BGPsec 需要BGP傳播過程中全路徑支持BGPsec 協(xié)議,其應(yīng)用率與部署率直接相關(guān)。

BRPM2 與其他增強(qiáng)域間安全協(xié)議的區(qū)別如表2所示。

表2 BRPM2 與其他協(xié)議的對(duì)比

3.5 原型系統(tǒng)設(shè)計(jì)

基于BRPM2 技術(shù)原理,建立BRPM2 原型系統(tǒng)。BRPM2 原型系統(tǒng)主要由策略鏈以及驗(yàn)證組件兩部分組成,其中策略鏈用于記錄關(guān)于自治域以及BGP 廣播地址等信息,供驗(yàn)證組件進(jìn)行檢測(cè)分析,驗(yàn)證組件通過查詢記錄上述信息后,對(duì)BGP 路由器發(fā)起的驗(yàn)證請(qǐng)求進(jìn)行檢測(cè),最終給出驗(yàn)證結(jié)果。基于以上原理,設(shè)計(jì)BRPM2 原型系統(tǒng)架構(gòu)如圖6 所示。

如圖6 所示,策略鏈主要設(shè)計(jì)為3 層機(jī)構(gòu)。(1)網(wǎng)絡(luò)層用于構(gòu)成策略鏈的底層,用于實(shí)現(xiàn)區(qū)塊鏈節(jié)點(diǎn)地址的廣播與發(fā)現(xiàn)、用于尋址的路由協(xié)議集合以及與驗(yàn)證組件之間的接口等。(2)數(shù)據(jù)庫(kù)層基于區(qū)塊鏈網(wǎng)絡(luò)記錄與自治域相連的自治域關(guān)系列表、接收到的BGP 廣播地址等相關(guān)信息,供驗(yàn)證組件進(jìn)行檢測(cè)分析。(3)應(yīng)用層則用于建立交互界面,實(shí)現(xiàn)權(quán)限管理、數(shù)據(jù)管理以及狀態(tài)統(tǒng)計(jì)等功能。

圖6 BRPM2 原型系統(tǒng)架構(gòu)圖

驗(yàn)證組件則主要分為交互層和核心功能層兩部分。交互層主要由接口模塊構(gòu)成,分別用于與路由器以及策略鏈之間進(jìn)行數(shù)據(jù)傳輸,接收路由器發(fā)來的驗(yàn)證請(qǐng)求,并向策略鏈發(fā)起驗(yàn)證所需信息的請(qǐng)求。核心功能層主要由三部分組成,指令處理模塊主要負(fù)責(zé)處理由接口模塊發(fā)來的各項(xiàng)驗(yàn)證請(qǐng)求;比對(duì)模塊根據(jù)接收的必要信息完成BGP 廣播合理性判斷,得出參考意見;策略模塊則負(fù)責(zé)根據(jù)預(yù)設(shè)策略結(jié)合比對(duì)模塊的參考意見,形成驗(yàn)證結(jié)果。

3.6 仿真實(shí)驗(yàn)

3.6.1 有效性驗(yàn)證

(1)仿真環(huán)境

以下以仿真實(shí)驗(yàn)的形式驗(yàn)證BRPM2 的有效性。為充分模擬BRPM2 的應(yīng)用環(huán)境,以AS 為基本單位,設(shè)定模擬設(shè)備主要包括以下3 種。

1)設(shè)定BGP 路由器,負(fù)責(zé)管理AS 內(nèi)路由信息。

2)設(shè)定驗(yàn)證組件RP,負(fù)責(zé)檢測(cè)是否存在策略違背現(xiàn)象。

3)設(shè)定區(qū)塊鏈節(jié)點(diǎn),負(fù)責(zé)建立含有鄰接AS 商業(yè)關(guān)系等信息的基本區(qū)塊。

(2)仿真場(chǎng)景

為開展充分評(píng)估,設(shè)定3 種策略違背場(chǎng)景,包括:

1)違背“導(dǎo)出至提供者”原則;

2)違背“導(dǎo)出至對(duì)等體”原則;

3)違背“導(dǎo)出至客戶”原則。

(3)AS 商業(yè)關(guān)系設(shè)定

為模擬BRPM2 典型工作場(chǎng)景,以圖1 為例設(shè)定模擬環(huán)境:假設(shè)AS1 為大型ISP,其為AS2、AS3 提供互聯(lián)網(wǎng)接入服務(wù),即AS1 與AS2 形成P2C 關(guān)系,AS1與AS3 形成P2C 關(guān)系。AS2 與AS3 為P2P 關(guān)系。AS2、AS3 為AS4 提供互聯(lián)網(wǎng)接入服務(wù),即AS2 與AS4 形成P2C 關(guān)系、AS3 與AS4 形成P2C 關(guān)系。AS3 同時(shí)為AS5 提供互聯(lián)網(wǎng)接入服務(wù),即AS3 與AS5 形成P2C 關(guān)系。AS4 與AS5 為P2P 關(guān)系。

根據(jù)以上商業(yè)關(guān)系,設(shè)定各個(gè)自治系統(tǒng)涉及的路由廣播信息如表3 所示。

表3 AS 路由廣播信息表

(4)仿真過程

根據(jù)以上假設(shè)搭建測(cè)試環(huán)境。針對(duì)BRPM2 策略鏈的設(shè)定,需要在每個(gè)AS 中建立基本區(qū)塊,記錄每個(gè)AS 的連接關(guān)系及IP 地址廣播等信息。以AS4為例,假設(shè)其AS 號(hào)碼為10004,其基本區(qū)塊應(yīng)包含的核心信息如圖7 所示。與AS4 相連的自治域可以通過驗(yàn)證組件檢驗(yàn)在BGP 廣播過程中是否存在違背策略的現(xiàn)象。

圖7 自治域典型區(qū)塊信息

各AS 內(nèi)BGP 路由器依照表3 進(jìn)行路由廣播,經(jīng)路由收斂后路由轉(zhuǎn)發(fā)表如表4 所示。

表4 各自治域路由轉(zhuǎn)發(fā)表

表4 的路由轉(zhuǎn)發(fā)表代表了測(cè)試環(huán)境中各臺(tái)路由器在充分交換路由信息后形成的路由轉(zhuǎn)發(fā)表。后續(xù)數(shù)據(jù)傳輸將依照路由轉(zhuǎn)發(fā)表進(jìn)行路徑選擇,完成信息交互。

基于以上環(huán)境,分別模擬發(fā)生3 種策略違背場(chǎng)景,檢驗(yàn)BRPM2 算法的有效性。以違背“導(dǎo)出至對(duì)等體”原則場(chǎng)景為例,模擬AS4 發(fā)生違背協(xié)議的現(xiàn)象,即將關(guān)于2.2.2.0/24 的路由經(jīng)BGP 廣播傳遞至AS5。AS5 中驗(yàn)證組件在收到路由信息后執(zhí)行BRPM2 算法,主要步驟如下。

步驟1明確驗(yàn)證對(duì)象以及相關(guān)參數(shù),進(jìn)入is-PolicyVolation 主進(jìn)程。

步驟2進(jìn)入isLegitimateLink 子進(jìn)程。檢查AS4 與AS5、AS2 與AS4 是否分別建立BGP 連接。

步驟3進(jìn)入isLegitimateAnnouncement,檢查從AS4 收到的關(guān)于2.2.2.0/24 的路由是否存在違背策略的現(xiàn)象。

1)根據(jù)區(qū)塊鏈信息中記載,AS4 與AS5 之間為P2P 關(guān)系、AS2 與AS4 之間與P2C 關(guān)系。

2)由于三者間的關(guān)系屬性,根據(jù)導(dǎo)出策略原則,對(duì)于AS4(作為Customer)不應(yīng)將從AS2(作為Provider)學(xué)習(xí)到的路由轉(zhuǎn)發(fā)至AS5(作為Peer),與實(shí)際路由傳播情況相違背。

3)根據(jù)區(qū)塊鏈不可篡改的特性,驗(yàn)證模塊有理由相信本次學(xué)習(xí)到的路由信息存在異常,將根據(jù)客戶預(yù)先設(shè)置好的處置策略(忽略、警告、阻斷)告知BGP 路由器執(zhí)行相應(yīng)操作。

實(shí)際仿真過程依照上述步驟執(zhí)行。首先模擬出AS1～AS5 5 個(gè)自治域,各個(gè)自治域內(nèi)包括BGP 路由器、區(qū)塊鏈節(jié)點(diǎn)以及驗(yàn)證組件等元素。在仿真實(shí)驗(yàn)前期,各自治域內(nèi)BGP 路由器形成鄰接關(guān)系,完成BGP 路由收斂。此后,通過控制AS4 內(nèi)BGP 路由器,模擬AS4 發(fā)生違背協(xié)議的現(xiàn)象,將關(guān)于2.2.2.0/24的路由經(jīng)BGP 廣播傳遞至AS5。AS5 中BGP 路由器驗(yàn)證組件在收到路由信息后,依照設(shè)定策略執(zhí)行BRPM2 算法,檢測(cè)出異?，F(xiàn)象,并將檢測(cè)結(jié)果返回BGP 路由器,避免了AS4 違規(guī)現(xiàn)象的進(jìn)一步傳播,達(dá)到了提升路由安全的目的。經(jīng)仿真環(huán)境驗(yàn)證,AS5 中驗(yàn)證組件在收到驗(yàn)證請(qǐng)求后于24.41 ms檢測(cè)出異常,實(shí)際證明了BRPM2 算法的有效性。

3.6.2 性能分析

BRPM2 基于區(qū)塊鏈技術(shù),其運(yùn)行效能主要由形成區(qū)塊的時(shí)間以及驗(yàn)證的時(shí)間共同決定。影響形成區(qū)塊的時(shí)間主要由共識(shí)算法,即PBFT 算法的效能決定;驗(yàn)證的時(shí)間則主要由數(shù)據(jù)傳輸時(shí)間以及RP運(yùn)算效率等因素決定。以下展開具體分析。

(1)形成區(qū)塊效能評(píng)價(jià)

形成區(qū)塊的關(guān)鍵是要完成共識(shí)。根據(jù)PBFT 高一致性、高可用性、抗欺詐能力強(qiáng)等特點(diǎn),BRPM2 算法選用PBFT 為共識(shí)算法。PBFT 共識(shí)算法的效率主要由區(qū)塊鏈節(jié)點(diǎn)數(shù)量影響?？紤]到BRPM2 的策略鏈面向?qū)ο鬄锳S 間的策略,在生產(chǎn)環(huán)境中AS 間策略的變更頻率遠(yuǎn)低于BGP 路由宣告的變更頻率,因此達(dá)成共識(shí)的時(shí)間是影響B(tài)RPM2 效能的非主要因素。

以Sukhwaih 等人[27]提出的關(guān)于PBFT 共識(shí)性能評(píng)估手段為例,通過建立最多100 個(gè)節(jié)點(diǎn)以及多種AS 間策略形成BRPM2 策略鏈,檢驗(yàn)其共識(shí)效能。通過仿真可知,經(jīng)100 次模擬實(shí)驗(yàn),以上條件下BRPM2 形成共識(shí)的時(shí)間均值為5.034 ms。BRPM2形成共識(shí)的時(shí)間與節(jié)點(diǎn)數(shù)量相關(guān),節(jié)點(diǎn)數(shù)量越少則效能越好。基于以上情況,選取10 個(gè)節(jié)點(diǎn)、50 個(gè)節(jié)點(diǎn)、100 個(gè)節(jié)點(diǎn)3 種情況進(jìn)行對(duì)比測(cè)試,其形成共識(shí)的時(shí)間均值分別為4.38 ms、5.86 ms 以及7.04 ms,印證了節(jié)點(diǎn)數(shù)量多少影響共識(shí)時(shí)間長(zhǎng)短的關(guān)系。從以上測(cè)試結(jié)果可以看出,BRPM2 形成共識(shí)的時(shí)間為毫秒級(jí)別,在當(dāng)前真實(shí)網(wǎng)絡(luò)環(huán)境下應(yīng)用不會(huì)影響路由系統(tǒng)的運(yùn)行效率。

(2)策略驗(yàn)證效能評(píng)價(jià)

BRPM2 的策略驗(yàn)證效能主要由數(shù)據(jù)傳輸時(shí)間以及RP 運(yùn)算效率等因素決定。由于驗(yàn)證功能完全由RP 決定,BGP 路由器僅需要從RP 獲得驗(yàn)證結(jié)果,因此BRPM2 不會(huì)額外增加BGP 路由器負(fù)載。為完成策略驗(yàn)證,RP 需主要執(zhí)行以下步驟:(1)收到BGP 路由器發(fā)來的待驗(yàn)證BGP 路由信息;(2)獲取策略鏈中驗(yàn)證所需的策略信息;(3)根據(jù)規(guī)則完成本地策略驗(yàn)證;(4)將驗(yàn)證結(jié)果返回BGP 路由器。其中影響步驟(1)、(2)、(4)的主要因素為網(wǎng)絡(luò)傳輸效率,影響步驟(3)的主要因素為RP 計(jì)算性能。

為評(píng)估策略驗(yàn)證效能,建立仿真實(shí)驗(yàn)環(huán)境。仿真環(huán)境主要以4 臺(tái)x86 主機(jī)構(gòu)成,以虛擬機(jī)的形式構(gòu)成實(shí)驗(yàn)環(huán)境,形成主要環(huán)節(jié)包括BRPM2 策略鏈、BGP 路由器以驗(yàn)證器(RP)。

在BRPM2 策略鏈達(dá)成共識(shí)后,模擬BGP 路由器接收到BGP 路由更新,則通知RP 完成策略驗(yàn)證。在此場(chǎng)景下記錄RP 完成各個(gè)步驟所消耗的時(shí)間。為了充分評(píng)估策略驗(yàn)證效能,設(shè)置(1)違背“導(dǎo)出至提供者”原則;(2)違背“導(dǎo)出至對(duì)等體”原則;(3)違背“導(dǎo)出至客戶”原則三類場(chǎng)景進(jìn)行對(duì)比驗(yàn)證。經(jīng)3 輪實(shí)驗(yàn)驗(yàn)證,三類場(chǎng)景下RP 執(zhí)行步驟(1)、(4)的網(wǎng)絡(luò)傳輸時(shí)延均在3.54 ms 左右,步驟(2)的網(wǎng)絡(luò)傳輸時(shí)延均在6.78 ms 左右,相對(duì)存在較大差異的環(huán)節(jié)在步驟(3)。在場(chǎng)景(1)中,步驟(3)的策略驗(yàn)證時(shí)延均值為21.23 ms,在場(chǎng)景(2)中,步驟(3)的策略驗(yàn)證時(shí)延均值為24.34 ms,在場(chǎng)景(3)中,步驟(3)的策略驗(yàn)證時(shí)延均值為23.21ms。策略驗(yàn)證實(shí)驗(yàn)結(jié)果如表5 所示。

表5 策略驗(yàn)證實(shí)驗(yàn)結(jié)果統(tǒng)計(jì)表

可以看出,策略驗(yàn)證步驟為本環(huán)節(jié)效能的主要影響因素,與RP 計(jì)算性能緊密相關(guān)。若出現(xiàn)性能瓶頸,可以通過提升RP 單機(jī)計(jì)算能力或形成RP 處理集群等手段進(jìn)行優(yōu)化。其余對(duì)效能造成影響的因素主要由網(wǎng)絡(luò)時(shí)延決定,若出現(xiàn)瓶頸,可以通過優(yōu)化BGP 路由器與RP 之間的網(wǎng)絡(luò)或利用內(nèi)容分發(fā)網(wǎng)絡(luò)等手段加速數(shù)據(jù)傳輸速度等手段進(jìn)行優(yōu)化。

從以上仿真實(shí)驗(yàn)可以看出,BRPM2 可有效發(fā)現(xiàn)三類策略違背現(xiàn)象,隨之增加的系統(tǒng)負(fù)載較低,執(zhí)行效率可適用于生產(chǎn)環(huán)境,其應(yīng)用可大幅減少由于惡意AS 不遵守策略而造成的互聯(lián)網(wǎng)資源長(zhǎng)期被惡意占用等風(fēng)險(xiǎn),對(duì)于提升BGP 安全水平具有積極意義。

除BRPM2 以外,業(yè)界?；诨ヂ?lián)網(wǎng)路由注冊(cè)表(Internet routing registry,IRR)判斷路由策略違背現(xiàn)象。根據(jù)Andree[28]研究結(jié)果顯示,使用IRR 判斷路由策略違背現(xiàn)象的準(zhǔn)確率約為46%,可見使用IRR 判斷路由策略違背的現(xiàn)象的準(zhǔn)確率不盡人意。BRPM2 是針對(duì)此問題提出的新的解決方案,路由策略違背檢測(cè)的準(zhǔn)確率取決于策略鏈建立及維護(hù)期間數(shù)據(jù)的準(zhǔn)確率。鑒于區(qū)塊鏈技術(shù)特性有效增強(qiáng)了不同自治域間路由策略記錄的權(quán)威性,可以推測(cè),BRPM2 在實(shí)際應(yīng)用后的有效性及實(shí)用性會(huì)優(yōu)于傳統(tǒng)手段。

5 結(jié)論

本研究結(jié)合區(qū)塊鏈技術(shù)特征,利用以太坊技術(shù)針對(duì)路由協(xié)議中存在的自治系統(tǒng)間策略違背的現(xiàn)象提出一種新的檢測(cè)算法。

BRPM2 的主要改進(jìn)點(diǎn)包括:

(1)利用區(qū)塊鏈技術(shù)建立包含自治域路由策略等信息的策略鏈,確保自治域間路由策略無法被輕易篡改,采用PBFT 完成共識(shí),具有高可用性及抗欺詐能力強(qiáng)等技術(shù)特性。

(2)基于RPKI 依賴方(RP)功能實(shí)現(xiàn)驗(yàn)證功能,與BGP 路由器通信完成策略驗(yàn)證,實(shí)現(xiàn)功能解耦。

(3)與RPKI、BGPsec 等技術(shù)所解決的問題相輔相成,無需修改BGP 協(xié)議,驗(yàn)證方法簡(jiǎn)單,便于增量部署。

從以上技術(shù)特征可以看出,BRPM2 具備較廣闊的應(yīng)用前景,但仍存在一些需要加以解決的問題。一方面在節(jié)點(diǎn)數(shù)量大幅增加時(shí)機(jī)制處理性能呈現(xiàn)明顯降低趨勢(shì),需在全網(wǎng)路由器廣泛應(yīng)用前重點(diǎn)考慮應(yīng)對(duì)方案;另一方面尚未開展在生產(chǎn)網(wǎng)絡(luò)環(huán)境下的應(yīng)用狀況評(píng)估,未掌握BRPM2 大規(guī)模推廣應(yīng)用后對(duì)互聯(lián)網(wǎng)運(yùn)行產(chǎn)生的實(shí)際壓力。后續(xù)的研究工作可以從以上方面著手改進(jìn)。