基于BGP(Border Gateway Protocol)的域间路由系统作为Internet的核心基础设施,在安全性与健壮性方面还存在诸多问题:一方面,它缺乏安全的协议机制和有效的监管手段,容易遭受各种攻击;另一方面,它的拓扑结构仍然存在脆弱性,端到端的连通性容易遭到路由设备故障、网络攻击以及自然灾害的破坏。研究域间路由系统的安全性与健壮性,对增强整个Internet的可靠性具有重要意义。本文面向域间路由系统安全性与健壮性领域的关键问题展开研究。针对其安全性,提出了基于模糊集理论的前缀宣告可信性评估方法,用于检测前缀劫持网络攻击;针对其健壮性,研究了Internet自治系统级(Autonomous System,AS)拓扑的健壮性测度与增强机制,并对与AS拓扑健壮性紧密相关的AS路径推断问题做了系统全面的分析。主要贡献和创新点包括以下五个方面:(1)对IP前缀宣告的可信性评估方法:多年来,前缀劫持事件时有发生并对Internet产生严重影响,其根源在于Internet对前缀劫持缺乏有效的防范措施与检测方法。本文提出了一种基于模糊集理论的IP前缀宣告可信性评估方法,从连续的历史路由表快照中提取“前缀-源AS”映射,根据它们的稳定性动态构造基本的“前缀-源AS”映射模糊可信集;基于基本的模糊可信集,进一步提出了对任意“前缀-源AS”映射进行可信性评估的方法。实验表明,本文方法的准确率达到99.85%,能有效检测与验证路由宣告中的前缀劫持。(2)域间路由系统的强度攻击和连锁故障模型:随着防火墙技术的发展和主机安全防护能力的提高,从数据平面对Internet实施大规模强度攻击(如蠕虫攻击)的难度大大增加。本文结合复杂网络的耦合共振机制,设计了一种通过控制平面对Internet实施路由强度攻击的方法;提出了路由强度攻击下的连锁故障模型,对域间路由系统在路由强度攻击下的连锁故障反应做了全面的刻画与模拟。实验模拟结果表明,从控制平面对域间路由系统的路由强度攻击可引发大规模的连锁故障并对Internet的连通性造成严重的影响,但在部分节点对强度攻击具有免疫力的情况下,域间路由系统的健壮性将显著增强。(3)全局AS拓扑的k-容错模型:网络的k-容错是指在任意k个节点或者链路发生故障的情况下,剩余网络中的任意节点对之间仍然相互可达。受路由策略的约束,用传统的简单图理论已不再能刻画AS之间的连通性,AS拓扑的k-容错判定问题也因此变得更复杂。本文结合网络拓扑理论与路由策略约束提出了AS拓扑的k-容错模型,该模型定义了AS拓扑k-容错判定的充要条件。基于k-容错模型定义的充要条件,进一步提出了在任何给定的AS拓扑之上实现k-容错的具体方法。研究结果表明,当前互联网的AS拓扑仅为0-容错的;把AS拓扑增补到k-容错(如k=1),其健壮性也得以显著增强;当k=1时,在给定的AS拓扑之上实现k-容错的链路代价是可接受的,仅需要新增加的上游链路数为7,447,占AS拓扑总链路数的4.5%。(4)单个AS的健壮性测度与增强机制:尽管在k-容错模型中任意AS之间的连通性都可承受k个AS级的节点或链路故障,但是,实现k-容错的代价相对高昂,需要所有的AS都满足相应的约束条件。本文结合AS拓扑的层次结构以及蒙哥定理,提出了针对单个AS的健壮性测度指标―“不相交的顶级上坡路径数”,即,单个AS对节点/链路故障的健壮性取决于它所拥有的到达顶级AS的节点不相交/边不相交的上坡路径条数。统计表明,尽管78.1%的非顶级AS拥有2条以上的上游链路,但却只有74.2%(73.6%)的非顶级AS拥有2条以上的边不相交(节点不相交)的顶级上坡路径。基于健壮性测度指标进一步提出了面向单个AS的健壮性增强机制与方法,该方法可以保证增加一条上游链路即能确保该AS所拥有的到达顶级AS的不相交上坡路径数在原来的基础上增加1。(5)对AS路径推断一致性问题的研究:AS路径推断技术被广泛应用于拓扑健壮性分析与网络性能优化等方面。目前,业内尚没有对推断路径与实际路径之间的一致性进行系统全面的分析,对其可用性缺乏充分的论证。本文系统地研究了AS路径推断的一致性问题,采用当今最具代表性的几种路径推断算法,从一致性的角度对推断路径与实际路径做了全面的比较;深入分析了推断路径与实际路径之间不一致性产生的根源:AS的局部路由控制策略(如“选择性宣告”)对路由传播与扩散的影响。实验结果表明推断路径与实际路径之间存在显著差异,揭示了现有AS路径推断技术的局限性。要提高AS路径推断的准确性,还需要确切知道AS的局部路由控制策略。本文的研究成果对于域间路由系统的安全监测和拓扑规划具有重要的支撑作用和实际的指导意义。