基于順序聚集簽名的BGP安全路由協(xié)議研究.pdf

1、邊界網(wǎng)關(guān)協(xié)議BGP(Border Gateway Protocol)是互聯(lián)網(wǎng)上得到廣泛應(yīng)用的域間路由協(xié)議，它使得位于不同自治系統(tǒng)AS(Autonomous Systems)的路由器之間可以交換路由可達(dá)性信息。隨著互聯(lián)網(wǎng)的快速發(fā)展，由于受到特定利益的驅(qū)使（經(jīng)濟(jì)或政治利益）而出現(xiàn)安全攻擊，網(wǎng)絡(luò)安全環(huán)境變的越來(lái)越糟糕。而傳統(tǒng)的BGP協(xié)議又沒(méi)有專(zhuān)門(mén)保證信息安全的機(jī)制，針對(duì)BGP協(xié)議的安全攻擊已經(jīng)屢次發(fā)生。因此研究安全的BGP協(xié)議就顯得十分有必要

2、。論文首先對(duì)已有的BGP安全協(xié)議S-BGP進(jìn)行介紹和分析，之后主要圍繞以下方面開(kāi)展工作:
　　(1) BGP協(xié)議在傳輸路由信息的時(shí)候，路由信息的排列并不是隨機(jī)的，而是根據(jù)路徑上節(jié)點(diǎn)的位置按一定線(xiàn)性順序進(jìn)行排列的。為保證路由信息的完整性，在傳統(tǒng)聚集簽名的基礎(chǔ)上，基于雙線(xiàn)性映射提出了一種新的基于無(wú)證書(shū)體制的順序聚集簽名方案，能支持對(duì)路由認(rèn)證信息的壓縮。此外，已有的聚集簽名方案的部分密鑰提取過(guò)程中存在被敵手偽造的問(wèn)題。新的順序聚集簽名方

3、案將自認(rèn)證方案（基于無(wú)證書(shū)體制）與聚集簽名方案相結(jié)合，從而保證了部分密鑰的安全。同時(shí)對(duì)已有聚集簽名方案過(guò)程中的簽名算法進(jìn)行改進(jìn)以支持順序聚集簽名的功能。性能分析表明新的順序聚集簽名方案相比傳統(tǒng)的簽名認(rèn)證可以改善方案的整體效率，接著在隨機(jī)預(yù)言模型下證明了提出的順序聚集簽名方案可以防止攻擊者的偽造。
　　(2)對(duì)論文提出的基于無(wú)證書(shū)體制的順序聚集簽名方案程序進(jìn)行實(shí)現(xiàn)時(shí)涉及到使用PBC(Pairing-Based Crytography

4、)庫(kù)，它是一個(gè)免費(fèi)的、可移植的、基于C語(yǔ)言實(shí)現(xiàn)的函數(shù)庫(kù)，不僅滿(mǎn)足密碼學(xué)中對(duì)大數(shù)運(yùn)算的使用需要，還包含對(duì)相關(guān)的橢圓曲線(xiàn)上的雙線(xiàn)性配對(duì)運(yùn)算的支持。通過(guò)Linux環(huán)境下的PBC庫(kù)對(duì)論文提出的基于無(wú)證書(shū)體制的順序聚集簽名方案的性能進(jìn)行了驗(yàn)證。
　　(3) S-BGP協(xié)議雖然提出較早，安全方案也是較完善的，但S-BGP沒(méi)能進(jìn)行實(shí)際部署的主要原因就是S-BGP的運(yùn)行效率方面的問(wèn)題。在對(duì)BGP協(xié)議進(jìn)行安全改進(jìn)后，運(yùn)行S-BGP協(xié)議的計(jì)算開(kāi)銷(xiāo)以及

5、通信開(kāi)銷(xiāo)都大大增加了，這就給運(yùn)行在不同自治系統(tǒng)上的路由器增加了很大的負(fù)擔(dān)。所以論文將新提出的基于無(wú)證書(shū)體制的順序聚集簽名方案引入到BGP協(xié)議之中進(jìn)行擴(kuò)充，并對(duì)改進(jìn)的安全路由協(xié)議進(jìn)行了效率分析。分析結(jié)果表明改進(jìn)之后的協(xié)議通信開(kāi)銷(xiāo)更優(yōu)。在安全方面，S-BGP協(xié)議只能夠保證路由環(huán)境中不存在攻擊者合謀的路由安全。當(dāng)存在兩個(gè)或多個(gè)攻擊者合謀通過(guò)隧道技術(shù)偽造相鄰關(guān)系時(shí)，他們就能夠進(jìn)行路由欺騙，吸引其它節(jié)點(diǎn)的流量，從中獲利。論文通過(guò)證書(shū)在擴(kuò)展的安全路