论文部分内容阅读
摘要:本文在对SE-BGP安全机制的安全性分析的基础上,结合银行业安全状况对该种BGP安全机制中存在的漏洞问题进行分析,提出了一种基于分治策略的BGP安全机制,也就是SA-BGP安全机制,这种BGP安全机制不仅克服SE-BGP安全机制中存在的合法用户攻击引起的安全漏洞,而且其在银行业的应用安全性非常高,同时还具有对于金融网络的影响小和收敛速度快的特征优势。
关键词:分治策略;BGP安全机制;安全性;SE-BGP;SA-BGP;分析
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2013) 07-0000-02
BGP协议主要是指互联网的域间路由协议,它是目前唯一的互联网域间路由协议,是整个互联网安全稳定服务运行实现的重要基础,因此,BGP协议的安全性对于互联网的安全稳定运行实现有着非常重要的影响和作用。而在银行业中,由于BGP协议本身存在着很大的安全隐患与问题,在运行服务过程中,如果对于BGP协议的安全性能设计要求设计不能满足,则很容易因为BGP本身的安全隐患与问题造成互联网域间路由安全事件的发生,从而引起银行运行安全事故问题的发生。加强域间路由协议的安全性设计,建立合理有效的互联网域间路由协议安全机制,提高互联网域间路由协议的安全性,也就是BGP协议的安全性,是避免互联网域间路由安全事故发生,保证互联网域间路由安全的重要和有效方法途径,也是银行业安全发展与研究的热点。本文主要提出一种基于分治策略的BGP安全机制,并通过仿真实验对于这种安全机制在银行业中的适用性进行分析验证。
1SE-BGP安全机制及其安全漏洞的分析
基于分治策略的BGP安全机制问题,它是在对于互联网域间路由协议中SE-BGP安全机制的安全性分析的基础上,针对SE-BGP的安全漏洞问题设计提出的。
1.1SE-BGP安全机制的概述
互联网域间路由协议中SE-BGP安全机制,主要是根据互联网中AS节点总是能够实现不同集合的聚集实现特征,并且聚集形成的集合中的节点,它能够在游戏诶高度数节点的作用下和集合外的节点相互进行连接实现,而具连接促进作用的高度数节点之间具有非常高的聚集度。因此,根据这一特点,在互联网的实际运行过程中,SE-BGP安全机制通过生成AS联盟,同时进行联盟中关键节点的确立实现,并且在每一个AS联盟中进行一个认证中心CA的设置,这样一来,在安全联盟AS中关键节点相互连接的一些其它安全AS联盟中的关键节点,在经过AS安全联盟时,也需要在安全联盟AS中进行认证许可。
互联网运行过程中,SE-BGP安全机制是建立在TTM模型的基础上,也就是在基于一种分布式的 PKI结构基础上进行建立实现的,它与传统的网状结构不一样,在安全联盟内部,每一个CA认证中心之间并不需要相互进行认证,在运行过程中认证中心之间主要是利用关键节点的特殊能力进行信任关系认证传输的。如下图1所示,即为SE-BGP安全机制中AS安全联盟之间关键节点的认证连接结构示意图。
图1 SE-BGP安全机制中AS安全联盟连接结构示意图
其次,与互联网BGP协议相比,SE-BGP安全机制在具有两个新增属性,也就是互联网SE-BGP安全机制中AS_security_source和AS_security_ path,分别用于进行互联网数据信息地址源的认证,和用于进行互联网数据信息路径的认证实现。此外,SE-BGP安全机制对于互联网传输路径信息还具有更新认证与计算的特点。
1.2SE-BGP安全机制的安全性与漏洞分析
互联网运行传输中,SE-BGP安全机制的安全性分析主要是建立在该安全机制的形式化描述基础上。如果假设SE-BGP安全机制中关键节点为T1,它所在的联盟中,节点C需要进行一个SE-BGP安全机制数据的传输发送至关键节点T4所在的联盟节点D,数据发送过程中需要依次经过关键节点T1、T2、T3以及T4四个关键节点,并且关键节点之间呈现串接关系,相邻关键节点之间相互拥有安全联盟AS的认证中心CA的认证。那么,根据SE-BGP安全机制的这种形式化安全性描述,在互联网运行过程中,该安全机制进行数据信息传输中,首先在计算方法的设计上存在冗余,其次,由于安全计算过程中,关键节点之间的完全信任关系,导致无法对于安全联盟范围内的主动攻击风险危害进行抵御,具有一定的安全隐患与安全漏洞。
2SA-BGP安全机制的认证算法与安全性分析
SA-BGP安全机制也就是一种基于分治策略的BGP安全机制,它是在针对SE-BGP安全机制的安全性以及安全风险漏洞等问题,进行提出设计中一种新的BGP协议安全机制,它是在对于AS结构中Rich-Club的特征应用的基础上,从而生产AS安全联盟,设计实现的一种BGP协议的安全机制。
2.1SA-BGP安全机制的认证算法
在SA-BGP安全机制中,SA-BGP安全机制的认证计算方法,是一种基于RSA计算方法的聚合签名算法,它在安全认证计算中能够将多个不同用户的多个不同信息的签名认证,集合起来形成一个比较简短的数字签名计算方法。目前,在实际研究分析中的聚合签名计算方法,主要是一种基于双线性映射的计算,计算速度比较慢,并且理论相对还不够成熟完善。本文所要论述的SA-BGP安全机制认证算法,也就是基于RSA算法的聚合签名算法,是在对于聚合签名算法局限性改善的基础上,同时能够实现对于重放攻击的抵御,具有相对比较突出的安全性能。
2.2SA-BGP安全机制的安全性分析
根据上述的SA-BGP安全机制的认证计算方法,在SA-BGP安全机制发送数据传输过程中,假设发送数据为关键节点T1所在AS联盟节点N1发送产生,并且需要发送到关键节点Tn所在联盟AS的节点N1’,那么,在数据传输发送过程中需要依次经过关键节点T1所在联盟AS的节点N1 、N1 以及Nm等,达到关键节点T1。根据该安全机制下,数据分组的传输路径情况可知,该安全机制首先在传输认证过程中,认证信息是可以重新进行认证的,其次,在数据信息的传输发送中还能够实现对于数据源的安全性进行认证,同时还具有对于安全联盟中AS_PATH的真实性以及完整性进行认证、认证信息不能被冒充以及能够对恶意重放攻击进行抵御等,具有非常高的安全性。
2.3SA-BGP安全机制的应用与优越性分析
随着社会经济与现代信息技术的不断发展进步,在现代的社会发展与经济建设中,对于网络的应用与依赖性也越来越高,尤其以金融行业为例,特殊的行业性质决定其在建设与发展中与网络之间的密切联系。但是,在网络依赖形成的过程中,作为网络关键支持部分的域间路由系统在实际应用中却存在着很多问题,比如路由震荡以及收敛延迟、BGP协议实现缺陷、缺乏安全机制等,对于网络的建设和发展应用都有很大的局限性。根据上述分析可知,基于分治策略的BGP安全机制,也就是SA-BGP安全机制是一种基于AS联盟思想,使用RSA聚合签名算法进行设计实现的BGP安全机制,在网络应用支持中具有更高的安全性,对于网络传输中信息正确性验证以及网络传输信息路径的真实性验证等,都具有积极的作用意义,并且在网络支持应用中,与同级别的安全机制相比,对于网络运行的影响比较小,而且收敛速度更加快,对于以网络收敛与安全性等要求较高的银行金融行业来讲,具有更加突出的安全性与可靠性等应用优势。此外,与现有的网络安全机制相比,SA-BGP安全机制对于网络在传输延时以及传输信息量增加方面的影响,都比较小,更具有应用优势。
3结束语
总之,基于分治策略的BGP安全机制,在银行互联网传输应用中不仅具有比较高的安全性,能够抵御多种恶意攻击,而且对于网络的影响小、具有更快的收敛速度,有较大的研究价值和意义。
参考文献:
[1]王航,徐塞虹,马跃,高锡武.关于BGP系统的一种安全机制的分析与探讨[J].北京邮电大学学报,2002(1).
关键词:分治策略;BGP安全机制;安全性;SE-BGP;SA-BGP;分析
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2013) 07-0000-02
BGP协议主要是指互联网的域间路由协议,它是目前唯一的互联网域间路由协议,是整个互联网安全稳定服务运行实现的重要基础,因此,BGP协议的安全性对于互联网的安全稳定运行实现有着非常重要的影响和作用。而在银行业中,由于BGP协议本身存在着很大的安全隐患与问题,在运行服务过程中,如果对于BGP协议的安全性能设计要求设计不能满足,则很容易因为BGP本身的安全隐患与问题造成互联网域间路由安全事件的发生,从而引起银行运行安全事故问题的发生。加强域间路由协议的安全性设计,建立合理有效的互联网域间路由协议安全机制,提高互联网域间路由协议的安全性,也就是BGP协议的安全性,是避免互联网域间路由安全事故发生,保证互联网域间路由安全的重要和有效方法途径,也是银行业安全发展与研究的热点。本文主要提出一种基于分治策略的BGP安全机制,并通过仿真实验对于这种安全机制在银行业中的适用性进行分析验证。
1SE-BGP安全机制及其安全漏洞的分析
基于分治策略的BGP安全机制问题,它是在对于互联网域间路由协议中SE-BGP安全机制的安全性分析的基础上,针对SE-BGP的安全漏洞问题设计提出的。
1.1SE-BGP安全机制的概述
互联网域间路由协议中SE-BGP安全机制,主要是根据互联网中AS节点总是能够实现不同集合的聚集实现特征,并且聚集形成的集合中的节点,它能够在游戏诶高度数节点的作用下和集合外的节点相互进行连接实现,而具连接促进作用的高度数节点之间具有非常高的聚集度。因此,根据这一特点,在互联网的实际运行过程中,SE-BGP安全机制通过生成AS联盟,同时进行联盟中关键节点的确立实现,并且在每一个AS联盟中进行一个认证中心CA的设置,这样一来,在安全联盟AS中关键节点相互连接的一些其它安全AS联盟中的关键节点,在经过AS安全联盟时,也需要在安全联盟AS中进行认证许可。
互联网运行过程中,SE-BGP安全机制是建立在TTM模型的基础上,也就是在基于一种分布式的 PKI结构基础上进行建立实现的,它与传统的网状结构不一样,在安全联盟内部,每一个CA认证中心之间并不需要相互进行认证,在运行过程中认证中心之间主要是利用关键节点的特殊能力进行信任关系认证传输的。如下图1所示,即为SE-BGP安全机制中AS安全联盟之间关键节点的认证连接结构示意图。
图1 SE-BGP安全机制中AS安全联盟连接结构示意图
其次,与互联网BGP协议相比,SE-BGP安全机制在具有两个新增属性,也就是互联网SE-BGP安全机制中AS_security_source和AS_security_ path,分别用于进行互联网数据信息地址源的认证,和用于进行互联网数据信息路径的认证实现。此外,SE-BGP安全机制对于互联网传输路径信息还具有更新认证与计算的特点。
1.2SE-BGP安全机制的安全性与漏洞分析
互联网运行传输中,SE-BGP安全机制的安全性分析主要是建立在该安全机制的形式化描述基础上。如果假设SE-BGP安全机制中关键节点为T1,它所在的联盟中,节点C需要进行一个SE-BGP安全机制数据的传输发送至关键节点T4所在的联盟节点D,数据发送过程中需要依次经过关键节点T1、T2、T3以及T4四个关键节点,并且关键节点之间呈现串接关系,相邻关键节点之间相互拥有安全联盟AS的认证中心CA的认证。那么,根据SE-BGP安全机制的这种形式化安全性描述,在互联网运行过程中,该安全机制进行数据信息传输中,首先在计算方法的设计上存在冗余,其次,由于安全计算过程中,关键节点之间的完全信任关系,导致无法对于安全联盟范围内的主动攻击风险危害进行抵御,具有一定的安全隐患与安全漏洞。
2SA-BGP安全机制的认证算法与安全性分析
SA-BGP安全机制也就是一种基于分治策略的BGP安全机制,它是在针对SE-BGP安全机制的安全性以及安全风险漏洞等问题,进行提出设计中一种新的BGP协议安全机制,它是在对于AS结构中Rich-Club的特征应用的基础上,从而生产AS安全联盟,设计实现的一种BGP协议的安全机制。
2.1SA-BGP安全机制的认证算法
在SA-BGP安全机制中,SA-BGP安全机制的认证计算方法,是一种基于RSA计算方法的聚合签名算法,它在安全认证计算中能够将多个不同用户的多个不同信息的签名认证,集合起来形成一个比较简短的数字签名计算方法。目前,在实际研究分析中的聚合签名计算方法,主要是一种基于双线性映射的计算,计算速度比较慢,并且理论相对还不够成熟完善。本文所要论述的SA-BGP安全机制认证算法,也就是基于RSA算法的聚合签名算法,是在对于聚合签名算法局限性改善的基础上,同时能够实现对于重放攻击的抵御,具有相对比较突出的安全性能。
2.2SA-BGP安全机制的安全性分析
根据上述的SA-BGP安全机制的认证计算方法,在SA-BGP安全机制发送数据传输过程中,假设发送数据为关键节点T1所在AS联盟节点N1发送产生,并且需要发送到关键节点Tn所在联盟AS的节点N1’,那么,在数据传输发送过程中需要依次经过关键节点T1所在联盟AS的节点N1 、N1 以及Nm等,达到关键节点T1。根据该安全机制下,数据分组的传输路径情况可知,该安全机制首先在传输认证过程中,认证信息是可以重新进行认证的,其次,在数据信息的传输发送中还能够实现对于数据源的安全性进行认证,同时还具有对于安全联盟中AS_PATH的真实性以及完整性进行认证、认证信息不能被冒充以及能够对恶意重放攻击进行抵御等,具有非常高的安全性。
2.3SA-BGP安全机制的应用与优越性分析
随着社会经济与现代信息技术的不断发展进步,在现代的社会发展与经济建设中,对于网络的应用与依赖性也越来越高,尤其以金融行业为例,特殊的行业性质决定其在建设与发展中与网络之间的密切联系。但是,在网络依赖形成的过程中,作为网络关键支持部分的域间路由系统在实际应用中却存在着很多问题,比如路由震荡以及收敛延迟、BGP协议实现缺陷、缺乏安全机制等,对于网络的建设和发展应用都有很大的局限性。根据上述分析可知,基于分治策略的BGP安全机制,也就是SA-BGP安全机制是一种基于AS联盟思想,使用RSA聚合签名算法进行设计实现的BGP安全机制,在网络应用支持中具有更高的安全性,对于网络传输中信息正确性验证以及网络传输信息路径的真实性验证等,都具有积极的作用意义,并且在网络支持应用中,与同级别的安全机制相比,对于网络运行的影响比较小,而且收敛速度更加快,对于以网络收敛与安全性等要求较高的银行金融行业来讲,具有更加突出的安全性与可靠性等应用优势。此外,与现有的网络安全机制相比,SA-BGP安全机制对于网络在传输延时以及传输信息量增加方面的影响,都比较小,更具有应用优势。
3结束语
总之,基于分治策略的BGP安全机制,在银行互联网传输应用中不仅具有比较高的安全性,能够抵御多种恶意攻击,而且对于网络的影响小、具有更快的收敛速度,有较大的研究价值和意义。
参考文献:
[1]王航,徐塞虹,马跃,高锡武.关于BGP系统的一种安全机制的分析与探讨[J].北京邮电大学学报,2002(1).