域间路由的安全性增强机制-FRA(快速路由证明)

FRA实现了一种高效安全快速的防御劫持域间路由机制，并实现了和BGPSec相同等级的安全性。首先，FRA建立在RPKI的安全基石之上，融合了ROA的前缀鉴定技术，并利用关键路径段证书算法CSA和受抑制路径填充算法SPP，实现了对AS路径的高效防护。其次，对于路径鉴定，FRA 首先通过图1中对AS 路径中每个相邻AS三元组进行签名，实现对可用路径的鉴定，攻击者通过拼接可信关键路径段可以构造出未被其它AS 宣告过但能通过CSA 验证的AS 路径，同时通过对非最优路径进行保护，避免了伪造路径攻击。最后，FRA实现了和BGPSec至少同等的防护级别，满足前缀劫持防护模型AHIDR对前缀劫持防御的定义。根据实验测量发现,FRA的签名和验证开销相比BGPSec降低了两个数量级。即使在大量突发BGP更新的情况下，FRA的签名和验证通常也能实时完成，几乎不会延误路由信息的传播。

图1 FRA中的关键路径段证书

FRA利用了AS号与IP前缀的对应关系，能够有效过滤伪造前缀，并且无需部署RPKI，避免了信息注册错误。同时，路由可信机制利用了关键路径段与前缀无关的特征，有效抑制伪造路径攻击，提高了域间路由的安全性。

如图2和图3所示，在面对一跳距离内的路径伪造，Path-End和FRA均能在部分部署时发挥较好的作用，而RPKI不行；而在面对两跳距离的路径伪造，只有FRA能够起到保护，并且在较低的部署率时也能有较明显的效果，RPKI和Path-End均不行。因此FRA能检测包含异常源、异常链路和异常路由策略的攻击。两跳路径伪造攻击就是一个异常路由策略的攻击，攻击这里用了Internet中的两跳Valley路径。在互联网中，Valley路径非常多。我们从CAIDA上获取了其推测的2016年11月1日的互联网拓扑关系，检测全网出现的两跳的Valley路径，发现总数目可高达16604497对。也就是说，对某一个攻击者而言，它平均能成功地对2602个非stub自治系统发起该类攻击。由于互联网上有大量的非Tier-1的Peer邻接关系难以探测，导致存在大量隐藏的Valley路径。因此这类攻击的实际威胁对象还会更大。

通过比较我们还可以发现，FRA与IETF正在标准化中的BGPSec机制相比，50%部署率下抵御一跳伪造路径攻击能力可提高4倍，而与发表于SIGCOMM 2016的Path-end机制相比，可防范更多类型的伪造路径攻击，50%部署率下抵御两跳伪造路径攻击能力可提高8倍，因此FRA具有高度的可信性。

                                                           x轴为部署比例，y轴为被攻击比例

            

                                     图2 一条路径伪造攻击                                         图3 两条路径伪造攻击