传输控制中的确认机制研究

Internet传输层协议需要依赖于确认(ACK)机制提供的反馈信息,实现拥塞控制和可靠传输等功能.以Internet传输协议演化的历史为线索,回顾传输控制领域中的确认机制,并讨论现有确认机制中需要解决的问题;基于“类型-触发条件-信息”三要素,提出按需确认机制及其设计原则,重点分析确认机制和拥塞控制、丢包恢复等传输协议子模块之间的耦合关系;结合设计原则,详细阐述一种可行的按需确认机制实现——TACK机制,并对相关概念进行系统的、深入的分析和澄清.最后结合按需确认机制面临的挑战,给出几个有意义的研究方向.

轻量级链式验证的网络传输层安全性增强方法

传输层是网络协议栈的关键组成部分,负责为不同主机间的应用程序提供端到端的服务.已有的传输层协议如TCP等为用户提供了基本的差错控制和确认应答等安全保护机制,在一定程度上保证了不同主机间应用程序收发报文的一致性.但现有的传输层安全保护机制存在严重的缺陷,如TCP报文的序列号容易被猜测推理,报文校验和的计算依赖于有漏洞的补码求和算法等.这导致现有的传输层安全机制并不能保证报文的完整性和安全性,从而允许一个远程的攻击者伪造出一个报文,注入到目标网络流中,对目标网络流形成污染或攻击.针对传输层的攻击发生在网络协议栈的基础层次,可以旁路掉上层应用的安全保护机制,对网络基础设施造成严重的危害.深入研究近年来针对网络协议栈的各种攻击和相关安全漏洞,提出一种基于轻量级链式验证的传输层安全性增强方法LightCTL.所提方法基于哈希验证的方式,使TCP连接双方能够对传输层报文形成彼此可验证的共识,避免攻击者或中间人窃取和伪造敏感信息,从而解决网络协议栈面临的典型安全威胁,包括基于序列号推理的TCP连接重置攻击、TCP劫持攻击、SYN洪泛攻击、中间人攻击、报文重放攻击等.LightCTL不需要修改中间网络设备如路由器等的协议栈,只需对终端协议栈中的校验和相关部分进行修改,因此方法易于部署,同时显著提升了网络系统的安全性.

可扩展的网络验证技术:研究现状与发展趋势

互联网作为国家信息基础设施的重要组成部分,已经在各个领域发挥着巨大的作用.随着其规模不断扩大和应用持续深入,我们也面临着意图不一致的网络行为可能导致的灾难性危害.为了确保互联网的正常运行和网络行为的一致性,我们迫切需要可部署的网络验证技术,以确保网络运行时的行为与网络运维人员的意图一致.当前已经有许多关于网络验证技术的研究,这些研究帮助用户实现自动检测网络错误,并进一步分析错误产生的原因.然而,为了满足互联网规模不断扩大的需求,可扩展性问题成为在互联网部署网络验证技术的一项重要挑战.即如何在满足时间和空间复杂度约束的前提下,快速发现并排查网络策略的错误,真正将网络验证技术应用于实际,成为一个研究热点.本文从数据面验证和控制面验证两个方面出发,深入研究和总结了现有的网络验证研究工作,并探索了基于时空优化的可扩展性技术,对这些方案的特点进行了系统性分析.最后,本文总结和展望了网络验证可扩展技术的未来研究趋势,为该领域的研究人员提供一定的参考.

区块链数字货币交易的匿名性:保护与对抗

近年来,以区块链技术为基础的加密数字货币持续涌现,受到各方的广泛关注.与传统的支付方式相比,区块链数字货币具有去中心化特性,支持交易匿名性.然而,匿名性也为不法行为提供了隐匿的便利条件,使得区块链数字货币日益成为洗钱、勒索等违法犯罪活动的支付媒介.因此,区块链数字货币匿名性保护和对抗技术是当前研究的热点问题.本文首先对交易匿名性的内涵进行了深入剖析,将其归纳为不可标识性、不可链接性和不可追踪性三个方面.以此为指导,对区块链数字货币的匿名性保护技术和匿名性对抗技术进行了介绍,并开展了对比分析.最后,本文总结了区块链数字货币匿名性研究所面临的挑战和未来的发展趋势.

基于区块链的网络安全体系结构与关键技术研究进展

随着互联网技术的不断演进与用户数量的“爆炸式”增长,网络作为一项基础设施渗透于人们生存、生活的各个方面,其安全问题也逐渐成为人们日益关注的重点.然而,随着网络规模的扩大以及攻击者恶意行为的多样化、复杂化,传统网络安全体系架构及其关键技术已经暴露出单点信任、部署困难等诸多问题,而具备去中心化、不可篡改等特性的区块链技术为网络安全所面临的挑战提供了新的解决思路.本文从网络层安全、应用层安全以及PKI安全三方面对近几年基于区块链的网络安全体系结构与关键技术研究进行梳理,并将区块链的作用归类为真实存储、真实计算、真实激励三种情形.针对区块链的具体应用领域,本文首先介绍了该领域的安全现状,然后对区块链的具体应用研究进行了介绍,并分析了区块链技术在该领域所存在的优势.本文最后结合现有的解决思路对未来区块链应用中所需要注意的隐私问题、可扩展性问题、安全问题以及区块链结构演进的方向进行了分析,并对未来基于区块链的网络安全体系结构与关键技术研究进行了展望.

路由查找算法研究综述

随着Internet的迅猛发展,用于主干网络互联的核心路由器的接口速率已经达到了2.5Gbps^10Gbps.这一速率要求核心路由器每秒能够转发几百万乃至上千万个以上的分组.分组转发的重要一步就是查找路由表,因此快速的路由查找算法是实现高速分组转发的关键.路由查找需要实现最长前缀区配.近年来,研究人员提出了多种路由查找算法,以提高查找性能.分析了路由查找问题及其难点,全面综述了各种查找算法,并对它们进行了详细的分析和比较,最后指出了进一步的研究方向.

在线社会网络的测量与分析

Facebook、Twitter、人人网和新浪微博等社交网站逐渐成为互联网上用户数量最多、最受欢迎的网站.近年来,国内外已有大量研究工作深入考察在线社会网络的拓扑结构和用户行为,这对理解人类的社会行为、改进现有的网站系统和设计新的在线社会网络应用具有重要意义.文中从测量角度对在线社会网络的拓扑结构、用户行为和网络演化等方面进行了综述,总结了常见的测量方法和典型的网络拓扑参数,着重介绍了用户行为特征、用户行为对网络拓扑的影响以及网络的演化.可以看出,随着研究的深入,在线社会网络的新特征逐渐被大家认识和理解,包括好友少的用户的交流范围集中在小部分好友,而好友多的用户联系的好友更均匀;用户之间的交互减小了在线社会网络的聚类系数,使网络结构更松散;边的生成受优先连接和临近偏倚的共同影响;小社团倾向于和大社团合并,大社团倾向于分裂为两个规模相当的小社团等.

宽带IP路由器的体系结构分析

随着宽带技术的不断发展 ,组建主干网的路由器必然需要以千兆比特以上的速率转发分组 ,而基于总线和中央处理器的路由器具有无法克服的局限 ,这就对传统的路由器体系结构提出了严峻的挑战 .该文全面综述了近年来在宽带 IP(Internet protocol)路由器方面研究的最新进展 ,详细分析了用于主干网互连的宽带IP路由器的体系结构设计 ,最后 ,指出了该领域中需要进一步研究的问题 .

分布式拒绝服务攻击研究综述

分布式拒绝服务攻击 (distributed denial- of- service,DDo S)已经对 Internet的稳定运行造成了很大的威胁 .在典型的 DDo S攻击中 ,攻击者利用大量的傀儡主机向被攻击主机发送大量的无用分组 ,造成被攻击主机 CPU资源或者网络带宽的耗尽 .最近两年来 ,DDo S的攻击方法和工具变得越来越复杂 ,越来越有效 ,追踪真正的攻击者也越来越困难 .从攻击防范的角度来说 ,现有的技术仍然不足以抵御大规模的攻击 .本文首先描述了不同的 DDo S攻击方法 ,然后对现有的防范技术进行了讨论和评价 .然后重点介绍了长期的解决方案 - Internet防火墙策略 ,Internet防火墙策略可以在攻击分组到达被攻击主机之前在

互联网地址安全体系与关键技术

当前,互联网体系结构不具备地址真实性验证机制,源地址伪造与路由地址前缀欺骗造成了极大危害.解决地址安全问题、构建真实可信的互联网环境,已成为亟待解决的重要课题.地址的真实性是互联网可信的基础和前提.针对这些问题,研究者们从不同角度提出了很多解决方案.首先,该文介绍了地址的概念及其欺骗现状,分析了地址安全的含义,并从研究体系、实现机制以及关键技术这3个维度,对地址安全研究思路进行了归纳分析.然后,对典型地址安全方案的性能指标进行了总结.最后,给出了一个地址与标识通用实验管理平台的设想,基于该平台,可以为不同的地址标识方案提供统一的部署实验环境.

互联网体系结构评估模型、机制及方法研究综述

互联网体系结构评估模型是推动互联网体系结构持续发展的理论支撑,它可以为运营商提供网络体系结构设计的相关建议,从而使运营商可选取最适合的协议或机制构建符合各种应用需求的互联网体系结构.随着互联网应用日趋多样化,互联网的安全性、稳定性、移动性等面临越来越大的挑战.互联网体系结构的演进已经成为学术界和工业界的共识,面向现有体系结构问题的修补策略以及革命式的体系结构方案不断被提出,借鉴前者的稳定性和后者的创新性,我们提出了一种基于演进式的互联网体系结构发展思路.为了更好地了解各种互联网体系结构发展方案,近年来,研究人员分别从协议、框架等不同方面对体系结构的服务能力、发展能力和安全能力进行了评估,互联网体系结构评估方法已经成为未来互联网体系结构研究的一大热点.文中介绍了与互联网体系结构发展密切相关的五种特性的基本评估模型,包括可服务性、可扩展性、可部署性、可演化性和可信性评估模型;归纳了用于构造互联网体系结构评估模型的机制,重点讨论了效用机制在这五类基本评估模型中的应用;并对用于实现互联网体系结构评估的若干方法进行了总结.基于上述讨论,文中最后从互联网体系结构的内在特性和外在特性出发,提出了一种基于适应能力的互联网体系结构可演进性评估系统,并对互联网体系结构评估领域的发展进行了展望.

通用路由器软件体系结构研究综述

随着 Internet的发展 ,新的网络协议和对原有协议的扩展不断出现 .除了转发分组之外 ,路由器还应该提供一些新的服务 :如集成服务和区分服务 ;增强的路由能力 ;安全功能和包过滤 ;拥塞控制和对新的核心协议 (如 Ipv6 )的支持等等 .与此同时 ,人们还要求路由器具有一定的智能 ,这就对路由器的软件体系结构及其可扩展性和可编程性提出了新的要求 .传统的基于主机操作系统的路由器已经不能满足网络技术发展的需要 .文章全面综述了目前在路由器软件体系结构研究方面的最新进展和主要的研究型路由器操作系统 .

防御数据窃听攻击的路由交换范式体系

近年来,利用路由交换设备漏洞窃听用户流量的攻击事件不断曝光,凸显了核心网络信息安全传输的重要性.由于用户和网络运营商不掌握设备漏洞控制权,导致此类攻击具有成本低、隐蔽、单向和顽固等特点,不易被识别和约束.文中通过分析嵌入漏洞的路由交换设备可能执行的异常服务行为,提出了一种静态路由交换范式体系.该体系对利用设备漏洞窃听用户流量攻击的安全完备性可论证,范式规则通用于TCP/IP网络,并基于该体系设计范式检测设备模型,该模型可设计实现,利用该设备可检测路由交换设备违反范式的输出分组.系统仿真实验结果显示,文中设计的范式设备可放行全部正常分组,同时可识别和约束99.92%以上的窃听分组,被检测路由交换设备吞吐率可达Gbps级.

一种基于总线的多处理器共享内存机制

基于总线的分布式多处理器体系结构是目前常见的高性能路由器硬件体系结构 .清华大学计算机系在研制“86 3”重大项目“高性能安全路由器”的过程中 ,在基于 Compact PCI总线的 Power PC多处理器平台上实现了一种多处理器共享内存机制 .该共享内存机制 (SM机制 )实现了一系列核心对象 ,包括 SM内存、SM信号量、SM消息队列和SM任务控制块等 .本文详细介绍了

IP分类技术研究综述

作为网络互联的核心设备 ,路由器必须以吉比特乃至更高的速度对 IP包进行处理 .网络应用的发展要求路由器除了具备传统的路由转发功能之外 ,还必须有能力支持防火墙、提供 Qo S、流量计费等一系列功能 .这些都要求路由器根据包头对 IP包进行分类 ,根据分类完成对数据包的不同处理 .本文全面地介绍了 IP分类技术研究的最新成果 ,总结了解决 IP分类问题的一般思想和并详细介绍了 IP分类的典型算法 .本文对其中三种算法在虚拟环境下做了评测 ,比较了它们的优缺点 ,最后指出了进一步的研究方向 .

互联网内生安全体系结构研究进展

随着互联网不断发展,网络功能逐步走向万物互联下自动交互与控制,大数据、云计算、边缘计算等技术不断深入应用,传统网络面临的源地址欺骗、DDoS攻击、路由劫持等安全问题仍然存在,新的应用场景使用户面临更严重的安全问题,现有互联网体系结构面向性能的设计难以承担网络安全的需求.互联网安全问题的根源在于体系结构设计时没有考虑安全需求,缺乏用户与网络的信任根基,由于体系结构设计缺失带来的问题应该从体系结构设计本身寻找解决方案.设计自带安全属性和安全能力的体系结构,通过内生的方式提供网络安全,能够从根本上提升网络安全性能.本文深入研究和总结了近年来针对互联网安全问题提出的各类解决方案,对方案的安全特性进行了分析,在此基础上提出了构建互联网内生安全体系结构的思路.

数据库应用系统中的安全访问代理的设计与实现

随着计算机网络的发展，基于计算机网络的数据库应用系统的安全问题日益突出。为了能够有效地利用现有的安全技术来增强网络数据库应用系统的安全性，该文提出了利用安全访问代理来进行数据库访问的技术，并描述了具体的设计和实现。为了提高安全访问代理的运行效率，减少网络流量，该文最后一部分还描述了安全访问代理中的数据缓存的实现。

边界网关协议BGP-4的安全扩展

文章分析了边界网关协议BGP4的安全弱点 ,针对这些安全弱点对协议进行了扩展 .通过数字签名技术来保护AS-PATH属性中的信息 .为了适应分布式路由协议的特点 ,提出了分布式的基于RSA的密钥生成算法 .通过综合运用这些技术 ,在基本保持报文长度不变的情况下有效地保护了BGP协议信息的机密性。

边界网关协议BGP-4中路由信息的存储合并算法研究

针对BGP-4的AS路径和NEXT_HOP两个基本路由属性的特点逐步提出了一系列哈希算法，并采用真实的网络数据对其效果进行了检验。然后优选出一种算法分析了空间和时间性能。最后提出了路由的合并规则。

一种基于跳转表的多维IP分类算法

网络应用的发展要求路由器必须有能力支持防火墙、提供 Qo S、流量计费等一系列功能 ,这些功能都要求路由器对 IP包进行分类来完成对数据包的不同处理 .本文提出的算法直接从多维 IP分类问题入手 ,经过一个跳转表 ,把多维 IP分类问题转化为二维的 IP分类问题 ,从而提高了分类速度 .该算法可以充分发挥二维分类算法高效率的特点 。