計(jì)算機(jī)網(wǎng)絡(luò)信息中心在路由安全領(lǐng)域研究獲進(jìn)展

2022.5.09

　　針對路由起源授權(quán)（Route Origin Authorization, ROA）編碼難以兼顧安全性和可擴(kuò)展性的問題，中國科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心信息化前瞻技術(shù)研究開放實(shí)驗(yàn)室提出了一種新型編碼方案，在保障與現(xiàn)有最安全方案相同安全性的同時大幅優(yōu)化編碼效果，編碼壓縮率和可擴(kuò)展性均遠(yuǎn)勝現(xiàn)有方案。相關(guān)研究成果已獲國家發(fā)明ZL授權(quán)，并被IEEE網(wǎng)絡(luò)通信領(lǐng)域旗艦會議INFOCOM（CCF 推薦A類國際會議）接收，于近日參會做報(bào)告交流。

　　路由起源驗(yàn)證（Route Origin Validation, ROV）是依托資源公鑰基礎(chǔ)設(shè)施（Resource Public Key Infrastructure， RPKI）抵御BGP路由劫持攻擊的一種路由安全防護(hù)機(jī)制，其核心是通過ROA這一RPKI數(shù)據(jù)對象將AS號以及授權(quán)給該AS使用的路由前綴進(jìn)行綁定認(rèn)證，以協(xié)助路由器快速過濾可能導(dǎo)致路由劫持的惡意路由宣告。然而，有研究表明，目前在RPKI系統(tǒng)中廣泛部署使用的ROA編碼方案（t-ROA）本身存在一定安全隱患，業(yè)界最新且正在標(biāo)準(zhǔn)化的方案（m-ROA）雖然能解決該安全隱患，但會降低編碼壓縮率進(jìn)而影響系統(tǒng)可擴(kuò)展性。

　　為同時實(shí)現(xiàn)ROA編碼的強(qiáng)安全性和高可擴(kuò)展性，科研人員提出新型編碼方案Hanging ROA（h-ROA），在安全性上與m-ROA保持一致，在編碼壓縮率和可擴(kuò)展性方面則遠(yuǎn)勝t-ROA和m-ROA。該方案引入掛載層將IP前綴樹劃分為多個不相交的子樹塊，采用比特位圖對子樹塊進(jìn)行壓縮編碼，通過比特位來精準(zhǔn)管理每一條前綴授權(quán)與否的狀態(tài)以規(guī)避安全風(fēng)險。此外，調(diào)整掛載層位置即可實(shí)現(xiàn)靈活編碼，通過動態(tài)規(guī)劃算法來計(jì)算最優(yōu)掛載層部署還能進(jìn)一步提升編碼壓縮率。