- Văn bản
- Lịch sử
Scaling the routing system is an op
Scaling the routing system is an operational concern regarding the ability of the inter-domain routing system to cope with
a larger domain of discourse. This encompasses increasing
numbers of objects to be managed, using an increasingly expressive language to represent route objects and path attributes,
increased frequency with which objects advertise changes in
their state, more paths across the inter-domain environment,
and more frequent dynamic changes to the attributes of interdomain paths [13], [14].
Resisting subversion of integrity requires that a BGP
speaker (an entity participating in the exchange of interdomain routing information) has:
• Sufficient information at hand to verify the authenticity
and completeness of the information being provided via
the inter-domain routing system, and
• The ability to generate authoritative information such that
others may verify the authenticity of information that this
speaker is passing into the inter-domain routing system.
A key question is whether further information can be added
into the inter-domain routing environment such that attempts
to pervert, remove or withhold routing information may be
readily and reliably detected. Any proposed scheme(s) must
also be evaluated for their impact on the scaling properties of
BGP [15].
It is assumed in this paper that the reader is familiar with
routing concepts and basic security concepts including hash
algorithms, public key cryptography, and public key infrastructure. An introduction to routing concepts and extended
explanations of various routing protocols can be found in [16].
An introduction to security concepts can be found in [17].
This paper surveys the current research in BGP routing
security. In section II we begin by examining the architecture
of the Internet’s routing system. Section III provides a detailed
summary of BGP itself, and section IV discussing the primary
threats against BGP. Section V provides a wide-ranging review
of the major approaches to providing security in inter-domain
routing and the various refinements to these approaches.
Section VI reflects on some open questions in BGP security
and the paper concludes in section VII.
II. THE ARCHITECTURE OF IP ROUTING
The Internet has been designed using a modular or decoupled framework, where inter-dependencies between distinct
functional components are minimised and inter-module interfaces are clearly defined. The concepts of Internet Protocol
(IP) [18] addresses, packet forwarding, routing and routing
protocols are treated as being mutually distinct and having
well-defined modes of interaction and dependencies. Mutually
consistent and coherent interaction between these components
results in the Internet’s service of end-to-end packet delivery.
An IP address indicates identity, rather than location, of an
addressed host. The address provides no indication of how
to direct a packet through the network in order to reach the
addressed host. An address distribution system may impose
some locational structure on addresses (which may further
result in some numerically adjacent address values being
topologically adjacent) but such a property is not statically
encoded into the address itself. It is the role of the routing
system (or control plane) to propagate the dynamic binding of
addresses to locations, and the role of the forwarding system
(or data plane) to use these bindings in order to deliver
addressed packets to the correct locations [16], [19].
IP forwarding is a local autonomous action within each
IP routing element. Packets passing between interfaces of a
routing element are forwarded, with the choice of outgoing
interface guided by local information contained in a forwarding table. Forwarding tables encode rules indicating the next
routing element (the next hop) to which a packet should be sent
based on the address to which the packet is ultimately destined.
End-to-end packet forwarding across the Internet relies on
mutually consistent population of forwarding tables that are
maintained in every routing element.
The IP routing system’s primary role is to propagate address
location information so that routers across the Internet may
properly populate (and update) their local forwarding tables.
The routing system is a distributed collection of processes
that participate in self-learning information exchanges through
the operation of routing protocols. Self-learning routing systems operate on a peer-to-peer level rather than through a
structured hierarchy of information dissemination, and can be
characterised informally as a set of point-to-point information
exchanges of the form: “You tell me everything you think
I should know, and I’ll tell you everything I think you
should know.” Each routing protocol’s objective is to support
a distributed computation that produces consistent best path
outcomes in the forwarding tables of all IP routing elements.
The Internet’s routing system is a structured two-level
hierarchy [20]. At the bottom level we have routing elements
grouped into Autonomous Systems (ASes) [21]. Each AS
represents a collection of routing elements sharing a common
administrative context. Internally, an AS is an interconnected
network with a coherent routing structure and a single consistent path metric framework that allows for a consistent
interpretation of path comparison. Routing within ASes is
known as intra-domain routing, and handled by Interior
Gateway Protocols (IGPs). While the Routing Information
Protocol (RIP) [22] was widely deployed in the 1980’s, it is
more common to see the Open Shortest Path First (OSPF)
protocol [23] and the Intermediate System to Intermediate
System (ISIS) protocol [24] deployed as IGPs today. Inter-AS
connections form the second level of the Internet’s routing
hierarchy. The Border Gateway Protocol (BGP) [1] is the
sole inter-AS (or inter-domain) routing protocol operating in
today’s Internet.
BGP is a path vector form of distance vector routing
protocol. Routers who run BGP are known as BGP speakers.
Each BGP speaker communicates with other BGP speakers,
termed variously BGP peers or neighbours. Like other distance
vector routing protocols, a BGP speaker receives route objects
from all BGP routing neighbours. Each route object is a logical
information block that contains an address prefix that describes
a contiguous set of address values and a set of attributes that
provide additional routing information that has been associated
with the address prefix. One of the critical attributes for the
operation of the BGP protocol is the attribute of an AS Path.
a larger domain of discourse. This encompasses increasing
numbers of objects to be managed, using an increasingly expressive language to represent route objects and path attributes,
increased frequency with which objects advertise changes in
their state, more paths across the inter-domain environment,
and more frequent dynamic changes to the attributes of interdomain paths [13], [14].
Resisting subversion of integrity requires that a BGP
speaker (an entity participating in the exchange of interdomain routing information) has:
• Sufficient information at hand to verify the authenticity
and completeness of the information being provided via
the inter-domain routing system, and
• The ability to generate authoritative information such that
others may verify the authenticity of information that this
speaker is passing into the inter-domain routing system.
A key question is whether further information can be added
into the inter-domain routing environment such that attempts
to pervert, remove or withhold routing information may be
readily and reliably detected. Any proposed scheme(s) must
also be evaluated for their impact on the scaling properties of
BGP [15].
It is assumed in this paper that the reader is familiar with
routing concepts and basic security concepts including hash
algorithms, public key cryptography, and public key infrastructure. An introduction to routing concepts and extended
explanations of various routing protocols can be found in [16].
An introduction to security concepts can be found in [17].
This paper surveys the current research in BGP routing
security. In section II we begin by examining the architecture
of the Internet’s routing system. Section III provides a detailed
summary of BGP itself, and section IV discussing the primary
threats against BGP. Section V provides a wide-ranging review
of the major approaches to providing security in inter-domain
routing and the various refinements to these approaches.
Section VI reflects on some open questions in BGP security
and the paper concludes in section VII.
II. THE ARCHITECTURE OF IP ROUTING
The Internet has been designed using a modular or decoupled framework, where inter-dependencies between distinct
functional components are minimised and inter-module interfaces are clearly defined. The concepts of Internet Protocol
(IP) [18] addresses, packet forwarding, routing and routing
protocols are treated as being mutually distinct and having
well-defined modes of interaction and dependencies. Mutually
consistent and coherent interaction between these components
results in the Internet’s service of end-to-end packet delivery.
An IP address indicates identity, rather than location, of an
addressed host. The address provides no indication of how
to direct a packet through the network in order to reach the
addressed host. An address distribution system may impose
some locational structure on addresses (which may further
result in some numerically adjacent address values being
topologically adjacent) but such a property is not statically
encoded into the address itself. It is the role of the routing
system (or control plane) to propagate the dynamic binding of
addresses to locations, and the role of the forwarding system
(or data plane) to use these bindings in order to deliver
addressed packets to the correct locations [16], [19].
IP forwarding is a local autonomous action within each
IP routing element. Packets passing between interfaces of a
routing element are forwarded, with the choice of outgoing
interface guided by local information contained in a forwarding table. Forwarding tables encode rules indicating the next
routing element (the next hop) to which a packet should be sent
based on the address to which the packet is ultimately destined.
End-to-end packet forwarding across the Internet relies on
mutually consistent population of forwarding tables that are
maintained in every routing element.
The IP routing system’s primary role is to propagate address
location information so that routers across the Internet may
properly populate (and update) their local forwarding tables.
The routing system is a distributed collection of processes
that participate in self-learning information exchanges through
the operation of routing protocols. Self-learning routing systems operate on a peer-to-peer level rather than through a
structured hierarchy of information dissemination, and can be
characterised informally as a set of point-to-point information
exchanges of the form: “You tell me everything you think
I should know, and I’ll tell you everything I think you
should know.” Each routing protocol’s objective is to support
a distributed computation that produces consistent best path
outcomes in the forwarding tables of all IP routing elements.
The Internet’s routing system is a structured two-level
hierarchy [20]. At the bottom level we have routing elements
grouped into Autonomous Systems (ASes) [21]. Each AS
represents a collection of routing elements sharing a common
administrative context. Internally, an AS is an interconnected
network with a coherent routing structure and a single consistent path metric framework that allows for a consistent
interpretation of path comparison. Routing within ASes is
known as intra-domain routing, and handled by Interior
Gateway Protocols (IGPs). While the Routing Information
Protocol (RIP) [22] was widely deployed in the 1980’s, it is
more common to see the Open Shortest Path First (OSPF)
protocol [23] and the Intermediate System to Intermediate
System (ISIS) protocol [24] deployed as IGPs today. Inter-AS
connections form the second level of the Internet’s routing
hierarchy. The Border Gateway Protocol (BGP) [1] is the
sole inter-AS (or inter-domain) routing protocol operating in
today’s Internet.
BGP is a path vector form of distance vector routing
protocol. Routers who run BGP are known as BGP speakers.
Each BGP speaker communicates with other BGP speakers,
termed variously BGP peers or neighbours. Like other distance
vector routing protocols, a BGP speaker receives route objects
from all BGP routing neighbours. Each route object is a logical
information block that contains an address prefix that describes
a contiguous set of address values and a set of attributes that
provide additional routing information that has been associated
with the address prefix. One of the critical attributes for the
operation of the BGP protocol is the attribute of an AS Path.
0/5000
Mở rộng quy mô Hệ thống định tuyến là một mối quan tâm hoạt động liên quan đến khả năng của hệ thống định tuyến liên miền để đối phó vớimột tên miền lớn hơn của discourse. Điều này bao gồm tăngsố lượng các đối tượng phải được quản lý, sử dụng một ngôn ngữ diễn cảm ngày càng để đại diện cho các đối tượng tuyến đường và các thuộc tính đường dẫn,tần số tăng mà đối tượng quảng cáo những thay đổi trongnhà nước của họ, thêm đường dẫn trên môi trường liên miền,và nhiều hơn nữa thường xuyên thay đổi năng động đến các thuộc tính của đường dẫn interdomain [13], [14].Chống subversion của toàn vẹn yêu cầu mà một BGPloa (một thực thể tham gia vào việc trao đổi thông tin định tuyến interdomain) có:• Các thông tin đầy đủ ở bàn tay để xác minh tính xác thựcvà đầy đủ của thông tin được cung cấp quaHệ thống định tuyến giữa hai tên miền, và• Khả năng tạo ra uỷ quyền thông tin như vậy mànhững người khác có thể xác minh tính xác thực của thông tin rằng điều nàyloa đi vào hệ thống định tuyến giữa các tên miền.Một câu hỏi quan trọng là cho dù thông tin thêm có thể được thêm vàovào giữa tên miền định tuyến môi trường như vậy cố gắngđể pervert, loại bỏ hoặc giữ lại thông tin định tuyến có thểdễ dàng và đáng tin cậy phát hiện. Bất kỳ đề xuất scheme(s) phảicũng được đánh giá tác động của họ trên các tính chất rộng củaBGP [15].Nó giả định trong bài báo này mà các độc giả là quen thuộc vớiđịnh tuyến khái niệm và khái niệm bảo mật cơ bản bao gồm các bămthuật toán, mật mã học chính khu vực và cơ sở hạ tầng công cộng quan trọng. Giới thiệu về khái niệm định tuyến và mở rộnglời giải thích của giao thức định tuyến khác nhau có thể được tìm thấy trong [16].Giới thiệu về khái niệm an ninh có thể được tìm thấy trong [17].Bài báo này điều tra nghiên cứu hiện tại trong định tuyến BGPan ninh. Trong phần II chúng tôi bắt đầu bằng cách kiểm tra kiến trúcHệ thống định tuyến của Internet. Phần III cung cấp một chi tiếtbản tóm tắt của BGP chính nó, và thảo luận về chính phần IVđe doạ BGP. Phần V cung cấp một bài đánh giá trên phạm vi rộngCác phương pháp tiếp cận chính để cung cấp an ninh trong miền liênđịnh tuyến và các cải tiến khác nhau để các phương pháp tiếp cận.Phần VI phản ánh về một số câu hỏi mở trong BGP an ninhvà giấy kết luận trong phần VII.II. CÁC KIẾN TRÚC CỦA IP ĐỊNH TUYẾNInternet đã được thiết kế bằng cách sử dụng một khuôn khổ mô-đun hoặc tách, nơi liên quan hệ phụ thuộc giữa các khác biệtthành phần chức năng được giảm thiểu và mô-đun liên giao diện được xác định rõ ràng. Các khái niệm của giao thức Internet(IP) [18] địa chỉ, gói chuyển tiếp, định tuyến và định tuyếngiao thức được coi là đang loại trừ lẫn nhau riêng biệt và cócũng xác định chế độ tương tác và phụ thuộc. Loại trừ lẫn nhauphù hợp và mạch lạc tương tác giữa các thành phầnkết quả trong dịch vụ của Internet kết thúc để kết thúc gói giao hàng.Địa chỉ IP cho thấy danh tính, chứ không phải là vị trí, của mộtđịa chỉ máy chủ lưu trữ. Địa chỉ cung cấp không có dấu hiệu như thế nàotrực tiếp một gói thông qua mạng để đạt được cácđịa chỉ máy chủ lưu trữ. Một hệ thống phân phối địa chỉ có thể áp đặtmột số cấu trúc locational về các địa chỉ (mà có thể tiếp tụcCác kết quả trong một số địa chỉ đạo liền kề các giá trị đượcrời liền kề) nhưng một tài sản không phải là tĩnhmã hóa thành địa chỉ chính nó. Đó là vai trò của các định tuyếnHệ thống (hoặc kiểm soát máy bay) để tuyên truyền các ràng buộc năng động củađịa chỉ đến địa điểm, và vai trò của hệ thống chuyển tiếp(hoặc dữ liệu máy bay) để sử dụng các bindings để phân phốigiải quyết các gói tin đến các địa điểm chính xác [16], [19].Chuyển tiếp IP là một hành động tự trị địa phương trong mỗiYếu tố định tuyến IP. Gói tin đi qua giữa các giao diện của mộtđịnh tuyến nguyên tố được chuyển tiếp, với lựa chọn đigiao diện điều khiển bởi địa phương thông tin chứa trong một bảng chuyển tiếp. Chuyển tiếp bảng mã hóa quy tắc chỉ ra tiếp theoyếu tố định tuyến (hop tiếp theo) mà một gói nên được gửiDựa trên địa chỉ mà gói cuối cùng mệnh.End-to-end gói chuyển tiếp trên Internet dựa trênloại trừ lẫn nhau phù hợp dân số chuyển tiếp bàn đượcduy trì trong mỗi nguyên tố định tuyến.Vai trò chính của hệ thống định tuyến IP là để tuyên truyền địa chỉthông tin vị trí để bộ định tuyến qua Internet có thểđúng cách cư và Cập Nhật của bảng địa phương chuyển tiếp.Hệ thống định tuyến là một bộ sưu tập phân phối của các quá trìnhmà tham gia vào tự học thông tin trao đổi quahoạt động của giao thức định tuyến. Tự học hệ thống định tuyến hoạt động trên một mức độ ngang ngang nhau hơn là thông qua mộtcấu trúc hệ thống phân cấp của phổ biến thông tin, và có thểđặc trưng không chính thức như là một tập hợp các thông tin điểmtrao đổi của các hình thức: "bạn nói cho tôi tất cả những gì bạn nghĩ rằngTôi nên biết, và tôi sẽ cho bạn biết tất cả mọi thứ tôi nghĩ rằng bạnnên biết." Giao thức định tuyến mỗi mục tiêu là để hỗ trợmột tính toán phân phối sản xuất con đường tốt nhất phù hợpkết quả trong bảng chuyển tiếp của tất cả các yếu tố định tuyến IP.Hệ thống định tuyến của Internet là một cấu trúc hai cấpHệ thống phân cấp [20]. Ở cấp độ dưới cùng chúng tôi có yếu tố định tuyếnchia thành các hệ thống tự trị (ASes) [21]. Mỗi ASđại diện cho một tập hợp các yếu tố định tuyến chia sẻ một phổ biếnbối cảnh hành chính. Bên trong, một AS là một kết nốimạng với một cấu trúc định tuyến mạch lạc và một khuôn khổ mét đường dẫn phù hợp duy nhất cho phép cho một phù hợpgiải thích so sánh con đường. Định tuyến trong ASes làđược biết đến như nội-tên miền định tuyến, và xử lý bởi nội thấtCổng giao thức (IGPs). Trong khi thông tin định tuyếnGiao thức (RIP) [22] được triển khai rộng rãi trong những năm 1980, nó làphổ biến hơn để xem các mở ngắn nhất con đường đầu tiên (OSPF)giao thức [23] và hệ thống trung gian để trung cấpGiao thức hệ thống (ISIS) [24] IGPs được bố trí vào ngày hôm nay. Inter-ASkết nối tạo thành mức độ thứ hai của Internet định tuyếnHệ thống phân cấp. Biên giới cổng giao thức (BGP) [1] là cácSole inter-như (hoặc giữa tên miền) định tuyến giao thức hoạt động trongngày hôm nay của Internet.BGP là một đường dẫn véc tơ hình thức định tuyến vector khoảng cáchgiao thức. Bộ định tuyến chạy BGP được gọi là loa BGP.Mỗi loa BGP giao tiếp với loa BGP khác,gọi là khác nhau BGP đồng nghiệp hoặc những người hàng xóm. Như khoảng cách khácgiao thức định tuyến vector, loa BGP nhận được các đối tượng tuyến đườngtừ tất cả hàng xóm định tuyến BGP. Mỗi đối tượng tuyến đường là một hợp lýthông tin khối có chứa một tiền tố địa chỉ mô tảbộ tiếp giáp của các giá trị địa chỉ và một tập hợp các thuộc tính màcung cấp thêm thông tin định tuyến đã được liên kếtvới tiền tố địa chỉ. Một trong các thuộc tính quan trọng cho cáchoạt động của các giao thức BGP là thuộc tính của một con đường AS.
đang được dịch, vui lòng đợi..
Nhân rộng các hệ thống định tuyến là một mối quan tâm hoạt động liên quan đến khả năng của các hệ thống định tuyến liên miền để đối phó với
một miền lớn ngôn. Điều này bao gồm tăng
số lượng các đối tượng được quản lý, sử dụng một ngôn ngữ ngày càng diễn cảm để đại diện cho các đối tượng đường và đường dẫn thuộc tính,
tăng tần suất các đối tượng quảng cáo thay đổi trong
trạng thái của họ, nhiều đường dẫn có trong môi trường liên miền,
và thay đổi năng động thường xuyên hơn để các . thuộc tính của đường dẫn interdomain [13], [14]
Chống lật đổ của toàn vẹn, đòi hỏi một BGP
speaker (một thực thể tham gia trao đổi của interdomain thông tin định tuyến) có:
• Thông tin đầy đủ trong tay để xác minh tính xác thực
và đầy đủ của các thông tin được cung cấp thông qua
hệ thống định tuyến liên miền, và
• Khả năng để tạo ra thông tin chính thức như vậy mà
những người khác có thể xác minh tính xác thực của thông tin này
nói đang đi vào hệ thống định tuyến liên miền.
Một câu hỏi quan trọng là liệu có thêm thông tin có thể được thêm
vào môi trường định tuyến liên miền như vậy mà cố gắng
để biến thái, loại bỏ hoặc giữ lại thông tin định tuyến có thể được
dễ dàng và đáng tin cậy phát hiện. Bất kỳ đề án đề xuất (s) phải
cũng được đánh giá về tác động của chúng trên các thuộc tính mở rộng quy mô của
BGP [15].
Nó được giả định trong giấy này mà người đọc là quen thuộc với
khái niệm định tuyến và các khái niệm bảo mật cơ bản bao gồm băm
thuật toán, mật mã khóa công khai, và cơ sở hạ tầng khóa công khai. Một giới thiệu về khái niệm định tuyến và mở rộng
giải thích của các giao thức định tuyến khác nhau có thể được tìm thấy trong [16].
Một giới thiệu về khái niệm bảo mật có thể được tìm thấy trong [17].
Bài báo này khảo sát các nghiên cứu hiện tại trong BGP định tuyến
bảo mật. Trong phần II chúng ta bắt đầu bằng cách kiểm tra các kiến trúc
của hệ thống định tuyến của Internet. Phần III cung cấp một chi tiết
tóm tắt của BGP chính nó, và phần IV thảo luận về các chính
đe dọa đối với BGP. Phần V cung cấp một đánh giá trên phạm vi rộng
của các cách tiếp cận chính để cung cấp bảo mật trong liên miền
định tuyến và các sàng lọc khác nhau để các phương pháp tiếp cận.
Mục VI phản ánh về một số câu hỏi mở trong BGP an ninh
và giấy các kết luận trong phần VII.
II. CÁC KIẾN TRÚC CỦA IP ROUTING
Internet đã được thiết kế sử dụng một khung mô-đun hoặc tách riêng, nơi liên hệ phụ thuộc giữa các biệt
thành phần chức năng được giảm thiểu và giao diện liên module được định nghĩa rõ ràng. Các khái niệm về Internet Protocol
(IP) [18] địa chỉ, chuyển tiếp gói tin, định tuyến và định tuyến
giao thức đang được coi là đôi bên cùng có khác biệt và có
chế độ rõ ràng của sự tương tác và phụ thuộc. Cùng có
phù hợp và tương tác chặt chẽ giữa các thành phần này
kết quả trong dịch vụ của Internet đưa gói end-to-end.
Một địa chỉ IP cho biết danh tính, chứ không phải là vị trí, của một
chủ đề. Địa chỉ cung cấp không có dấu hiệu cho thấy làm thế nào
để chỉ đạo một gói đi qua mạng để đạt được
chủ đề. Một hệ thống phân phối địa chỉ có thể áp dụng
một số cấu trúc về địa điểm trên địa chỉ (mà hơn nữa có
kết quả trong một số giá trị địa chỉ bằng số liền kề là
topology với liền kề) nhưng một tài sản đó không được tĩnh
mã hóa thành các địa chỉ của chính nó. Đó là vai trò của các định tuyến
hệ thống (hoặc máy bay điều khiển) để truyền bá các ràng buộc năng động của
các địa chỉ cho các vị trí và vai trò của hệ thống chuyển tiếp
(hoặc mặt phẳng dữ liệu) để sử dụng các ràng buộc để cung cấp
địa chỉ các gói tin đến các địa điểm chính xác [ 16], [19].
chuyển tiếp IP là một hành động tự trị địa phương trong mỗi
yếu tố định tuyến IP. Các gói tin đi qua giữa các giao diện của một
yếu tố định tuyến được chuyển tiếp, với sự lựa chọn của outgoing
giao diện hướng dẫn bởi các thông tin địa phương chứa trong một bảng chuyển tiếp. Bảng chuyển tiếp mã hóa các quy tắc cho thấy sự cạnh
yếu tố định tuyến (next hop) mà một gói tin phải được gửi
dựa trên địa chỉ mà gói tin được cuối cùng là định mệnh.
Chuyển tiếp gói End-to-end trên Internet dựa trên
dân số lẫn nhau phù hợp các chuyển tiếp bảng được
duy trì trong mọi phần tử định tuyến.
Vai trò chính của định tuyến IP của hệ thống là để truyền bá địa chỉ
thông tin vị trí sao cho các bộ định tuyến trên mạng Internet có thể
đúng cách cư (và cập nhật) bảng chuyển tiếp địa phương của họ.
Các hệ thống định tuyến là một bộ sưu tập phân phối của các quy trình
mà tham gia trong tự học tập trao đổi thông tin thông qua
các hoạt động của các giao thức định tuyến. Hệ thống định tuyến tự học hoạt động trên một mức độ peer-to-peer chứ không phải thông qua một
hệ thống phân cấp cấu trúc phổ biến thông tin, và có thể được
đặc trưng chính thức là một tập hợp các điểm-điểm thông tin
trao đổi của các hình thức: "Bạn cho tôi biết tất cả mọi thứ bạn nghĩ rằng
tôi nên biết, và tôi sẽ cho bạn biết tất cả mọi thứ tôi nghĩ rằng bạn
nên biết. "Mục tiêu Mỗi giao thức định tuyến là hỗ trợ
một tính toán phân bố sản xuất con đường tốt nhất phù hợp
kết quả về trong bảng chuyển tiếp của tất cả các yếu tố định tuyến IP.
hệ thống định tuyến của Internet là một hai cấp có cấu trúc
phân cấp [20]. Ở cấp dưới cùng chúng tôi có những yếu tố định tuyến
nhóm lại thành Autonomous Systems (AS) [21]. Mỗi AS
đại diện cho một tập hợp các yếu tố định tuyến chia sẻ một phổ biến
bối cảnh hành chính. Bên trong, một AS là một kết nối
mạng với một cấu trúc định tuyến mạch lạc và một khuôn khổ metric của tuyến đường phù hợp duy nhất cho phép cho một quán
giải thích của con đường so sánh. Routing trong các AS được
gọi là nội miền định tuyến, và xử lý bởi Nội
Cổng Protocols (IGPs). Trong khi các thông tin định tuyến
Protocol (RIP) [22] đã được triển khai rộng rãi trong những năm 1980, nó là
phổ biến hơn để xem Open Shortest Path First (OSPF)
giao thức [23] và Trung cấp hệ thống để Intermediate
System (ISIS) giao thức [24] triển khai như IGPs ngày hôm nay. Inter-AS
kết nối tạo thành các cấp độ thứ hai của định tuyến của Internet
hệ thống phân cấp. Border Gateway Protocol (BGP) [1] là
duy nhất liên AS (hoặc liên miền) giao thức định tuyến hoạt động trong
Internet ngày nay.
BGP là một dạng vector đường dẫn về khoảng cách vector routing
protocol. Routers người chạy BGP được gọi là loa BGP.
Mỗi loa BGP giao tiếp với loa BGP khác,
gọi khác nhau như BGP đồng nghiệp hoặc hàng xóm. Giống như khoảng cách khác
giao thức định tuyến vector, một loa BGP nhận đối tượng tuyến đường
từ tất cả các định tuyến BGP láng giềng. Mỗi đối tượng tuyến đường là một logic
khối thông tin có chứa một tiền tố địa chỉ mô tả
một bộ tiếp giáp của các giá trị địa chỉ và một tập hợp các thuộc tính
cung cấp thông tin định tuyến bổ sung có liên quan
với các tiền tố địa chỉ. Một trong những thuộc tính quan trọng cho các
hoạt động của giao thức BGP là thuộc tính của một Con đường AS.
một miền lớn ngôn. Điều này bao gồm tăng
số lượng các đối tượng được quản lý, sử dụng một ngôn ngữ ngày càng diễn cảm để đại diện cho các đối tượng đường và đường dẫn thuộc tính,
tăng tần suất các đối tượng quảng cáo thay đổi trong
trạng thái của họ, nhiều đường dẫn có trong môi trường liên miền,
và thay đổi năng động thường xuyên hơn để các . thuộc tính của đường dẫn interdomain [13], [14]
Chống lật đổ của toàn vẹn, đòi hỏi một BGP
speaker (một thực thể tham gia trao đổi của interdomain thông tin định tuyến) có:
• Thông tin đầy đủ trong tay để xác minh tính xác thực
và đầy đủ của các thông tin được cung cấp thông qua
hệ thống định tuyến liên miền, và
• Khả năng để tạo ra thông tin chính thức như vậy mà
những người khác có thể xác minh tính xác thực của thông tin này
nói đang đi vào hệ thống định tuyến liên miền.
Một câu hỏi quan trọng là liệu có thêm thông tin có thể được thêm
vào môi trường định tuyến liên miền như vậy mà cố gắng
để biến thái, loại bỏ hoặc giữ lại thông tin định tuyến có thể được
dễ dàng và đáng tin cậy phát hiện. Bất kỳ đề án đề xuất (s) phải
cũng được đánh giá về tác động của chúng trên các thuộc tính mở rộng quy mô của
BGP [15].
Nó được giả định trong giấy này mà người đọc là quen thuộc với
khái niệm định tuyến và các khái niệm bảo mật cơ bản bao gồm băm
thuật toán, mật mã khóa công khai, và cơ sở hạ tầng khóa công khai. Một giới thiệu về khái niệm định tuyến và mở rộng
giải thích của các giao thức định tuyến khác nhau có thể được tìm thấy trong [16].
Một giới thiệu về khái niệm bảo mật có thể được tìm thấy trong [17].
Bài báo này khảo sát các nghiên cứu hiện tại trong BGP định tuyến
bảo mật. Trong phần II chúng ta bắt đầu bằng cách kiểm tra các kiến trúc
của hệ thống định tuyến của Internet. Phần III cung cấp một chi tiết
tóm tắt của BGP chính nó, và phần IV thảo luận về các chính
đe dọa đối với BGP. Phần V cung cấp một đánh giá trên phạm vi rộng
của các cách tiếp cận chính để cung cấp bảo mật trong liên miền
định tuyến và các sàng lọc khác nhau để các phương pháp tiếp cận.
Mục VI phản ánh về một số câu hỏi mở trong BGP an ninh
và giấy các kết luận trong phần VII.
II. CÁC KIẾN TRÚC CỦA IP ROUTING
Internet đã được thiết kế sử dụng một khung mô-đun hoặc tách riêng, nơi liên hệ phụ thuộc giữa các biệt
thành phần chức năng được giảm thiểu và giao diện liên module được định nghĩa rõ ràng. Các khái niệm về Internet Protocol
(IP) [18] địa chỉ, chuyển tiếp gói tin, định tuyến và định tuyến
giao thức đang được coi là đôi bên cùng có khác biệt và có
chế độ rõ ràng của sự tương tác và phụ thuộc. Cùng có
phù hợp và tương tác chặt chẽ giữa các thành phần này
kết quả trong dịch vụ của Internet đưa gói end-to-end.
Một địa chỉ IP cho biết danh tính, chứ không phải là vị trí, của một
chủ đề. Địa chỉ cung cấp không có dấu hiệu cho thấy làm thế nào
để chỉ đạo một gói đi qua mạng để đạt được
chủ đề. Một hệ thống phân phối địa chỉ có thể áp dụng
một số cấu trúc về địa điểm trên địa chỉ (mà hơn nữa có
kết quả trong một số giá trị địa chỉ bằng số liền kề là
topology với liền kề) nhưng một tài sản đó không được tĩnh
mã hóa thành các địa chỉ của chính nó. Đó là vai trò của các định tuyến
hệ thống (hoặc máy bay điều khiển) để truyền bá các ràng buộc năng động của
các địa chỉ cho các vị trí và vai trò của hệ thống chuyển tiếp
(hoặc mặt phẳng dữ liệu) để sử dụng các ràng buộc để cung cấp
địa chỉ các gói tin đến các địa điểm chính xác [ 16], [19].
chuyển tiếp IP là một hành động tự trị địa phương trong mỗi
yếu tố định tuyến IP. Các gói tin đi qua giữa các giao diện của một
yếu tố định tuyến được chuyển tiếp, với sự lựa chọn của outgoing
giao diện hướng dẫn bởi các thông tin địa phương chứa trong một bảng chuyển tiếp. Bảng chuyển tiếp mã hóa các quy tắc cho thấy sự cạnh
yếu tố định tuyến (next hop) mà một gói tin phải được gửi
dựa trên địa chỉ mà gói tin được cuối cùng là định mệnh.
Chuyển tiếp gói End-to-end trên Internet dựa trên
dân số lẫn nhau phù hợp các chuyển tiếp bảng được
duy trì trong mọi phần tử định tuyến.
Vai trò chính của định tuyến IP của hệ thống là để truyền bá địa chỉ
thông tin vị trí sao cho các bộ định tuyến trên mạng Internet có thể
đúng cách cư (và cập nhật) bảng chuyển tiếp địa phương của họ.
Các hệ thống định tuyến là một bộ sưu tập phân phối của các quy trình
mà tham gia trong tự học tập trao đổi thông tin thông qua
các hoạt động của các giao thức định tuyến. Hệ thống định tuyến tự học hoạt động trên một mức độ peer-to-peer chứ không phải thông qua một
hệ thống phân cấp cấu trúc phổ biến thông tin, và có thể được
đặc trưng chính thức là một tập hợp các điểm-điểm thông tin
trao đổi của các hình thức: "Bạn cho tôi biết tất cả mọi thứ bạn nghĩ rằng
tôi nên biết, và tôi sẽ cho bạn biết tất cả mọi thứ tôi nghĩ rằng bạn
nên biết. "Mục tiêu Mỗi giao thức định tuyến là hỗ trợ
một tính toán phân bố sản xuất con đường tốt nhất phù hợp
kết quả về trong bảng chuyển tiếp của tất cả các yếu tố định tuyến IP.
hệ thống định tuyến của Internet là một hai cấp có cấu trúc
phân cấp [20]. Ở cấp dưới cùng chúng tôi có những yếu tố định tuyến
nhóm lại thành Autonomous Systems (AS) [21]. Mỗi AS
đại diện cho một tập hợp các yếu tố định tuyến chia sẻ một phổ biến
bối cảnh hành chính. Bên trong, một AS là một kết nối
mạng với một cấu trúc định tuyến mạch lạc và một khuôn khổ metric của tuyến đường phù hợp duy nhất cho phép cho một quán
giải thích của con đường so sánh. Routing trong các AS được
gọi là nội miền định tuyến, và xử lý bởi Nội
Cổng Protocols (IGPs). Trong khi các thông tin định tuyến
Protocol (RIP) [22] đã được triển khai rộng rãi trong những năm 1980, nó là
phổ biến hơn để xem Open Shortest Path First (OSPF)
giao thức [23] và Trung cấp hệ thống để Intermediate
System (ISIS) giao thức [24] triển khai như IGPs ngày hôm nay. Inter-AS
kết nối tạo thành các cấp độ thứ hai của định tuyến của Internet
hệ thống phân cấp. Border Gateway Protocol (BGP) [1] là
duy nhất liên AS (hoặc liên miền) giao thức định tuyến hoạt động trong
Internet ngày nay.
BGP là một dạng vector đường dẫn về khoảng cách vector routing
protocol. Routers người chạy BGP được gọi là loa BGP.
Mỗi loa BGP giao tiếp với loa BGP khác,
gọi khác nhau như BGP đồng nghiệp hoặc hàng xóm. Giống như khoảng cách khác
giao thức định tuyến vector, một loa BGP nhận đối tượng tuyến đường
từ tất cả các định tuyến BGP láng giềng. Mỗi đối tượng tuyến đường là một logic
khối thông tin có chứa một tiền tố địa chỉ mô tả
một bộ tiếp giáp của các giá trị địa chỉ và một tập hợp các thuộc tính
cung cấp thông tin định tuyến bổ sung có liên quan
với các tiền tố địa chỉ. Một trong những thuộc tính quan trọng cho các
hoạt động của giao thức BGP là thuộc tính của một Con đường AS.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- furthermoremoreoverin addition
- Harry's prediction was correct, when his
- furthermoremoreoverin addition
- I need a girlfriend... I have not..You a
- sau chuyến đi 21 ngày, tôi nhận ra rằng
- Sympathetic Be reconciled (with someone)
- wardrobe
- I need a girlfriend... I have not..You a
- những khó khăn tôi có thể gặp ở Mỹ là ng
- vì vậy người dân rất chịu khó
- doubled
- There are some painted balloons on the w
- Móc treo trên chuyền SXĐT đã kiểm tra gò
- World of Warships YAMATO! Hitting Citade
- là nhà sinh vật học, thỉnh thoảng ông nấ
- sau chuyến đi 21 ngày, tôi nhận ra rằng
- let's stop and have our picnic next to t
- Cậu ấy học rất tốt và đã từng th
- There is a lamp and my family picture on
- technical support expired
- it's too hard
- especially
- trong một tiết học
- a relationship based on love and emotion
