边界网关协议在安全方面存在严重的缺陷,容易导致路由劫持这一互联网安全威胁.为此,国际互联网工程任务组提出了资源公钥基础设施(Resource Public Key Infrastructure,RPKI)以防止路由劫持的发生.然而随着RPKI技术的发展及其在全球范...边界网关协议在安全方面存在严重的缺陷,容易导致路由劫持这一互联网安全威胁.为此,国际互联网工程任务组提出了资源公钥基础设施(Resource Public Key Infrastructure,RPKI)以防止路由劫持的发生.然而随着RPKI技术的发展及其在全球范围内的部署,与RPKI中认证权威相关的安全问题逐渐突显,并受到广泛关注.对RPKI中认证权威的资源分配过程进行研究分析,通过实验测试,验证了认证权威在资源分配的过程中资源重复分配和未获授权资源分配两种潜在的安全风险,并分析了两种风险对资源持有者可能造成的不良影响.此外,针对这两种安全风险,提出并实现了一种用于保证RPKI中认证权威资源分配安全性和准确性的"事前控制"机制,该机制可以有效地防止资源重复分配和未获授权资源分配两种操作风险的发生,减少了由于认证权威的错误操作所导致的故障恢复等待时间.最后,通过进一步的实验测试,验证、分析了这种"事前控制"机制的有效性和可行性.展开更多
为了确保域名系统与域间路由系统的安全运行,互联网工程任务组(IETF,internet engineering task force)提出了2项互联网名址体系安全保障技术——DNS安全扩展(DNSSEC,domain name system security extention)与资源公钥基础设施(RPKI,re...为了确保域名系统与域间路由系统的安全运行,互联网工程任务组(IETF,internet engineering task force)提出了2项互联网名址体系安全保障技术——DNS安全扩展(DNSSEC,domain name system security extention)与资源公钥基础设施(RPKI,resource public key infrastructure)。在域名系统层面,DNSSEC通过使用公钥基础设施在DNS原有的体系结构上添加数字签名,为DNS提供了权限认证和信息完整性验证,成为了域名系统安全的基石;域间路由系统层面,RPKI通过公钥证书对互联网码号资源的所有权和使用权进行认证,构建了一个支撑域间路由安全的互联网基础资源管理体系。近年来,DNSSEC与RPKI在全球范围内的部署不断推进,为了解其在全球互联网的应用情况,以Alex前106个网站为数据集,对2项互联网名址体系安全保障技术及其应用状况进行了研究与分析。展开更多
当前互联网治理模式正朝着平等开放的方向发展,而作为互联网关键基础设施的域名系统(Domain Name System,DNS),其传统管理模式是一种中心化的层级架构,权力滥用、单点信任等安全风险始终存在。区块链技术作为一种新型的去中心化工具,能...当前互联网治理模式正朝着平等开放的方向发展,而作为互联网关键基础设施的域名系统(Domain Name System,DNS),其传统管理模式是一种中心化的层级架构,权力滥用、单点信任等安全风险始终存在。区块链技术作为一种新型的去中心化工具,能够给域名系统架构的扁平化改造提供创新性思路,实现全球域名服务提供商之间的共管共治模式。本文从当前域名系统中心化结构的痛点出发,归纳总结域名系统去中心化的解决方案,并在不改变现有业务逻辑的前提下,提出一种基于区块链的域名管理架构模型,通过三层结构的联盟区块链以及“DPoS+BFT”共识机制,实现各顶级域注册局共同参与根区数据管理的新方式。展开更多
文摘边界网关协议在安全方面存在严重的缺陷,容易导致路由劫持这一互联网安全威胁.为此,国际互联网工程任务组提出了资源公钥基础设施(Resource Public Key Infrastructure,RPKI)以防止路由劫持的发生.然而随着RPKI技术的发展及其在全球范围内的部署,与RPKI中认证权威相关的安全问题逐渐突显,并受到广泛关注.对RPKI中认证权威的资源分配过程进行研究分析,通过实验测试,验证了认证权威在资源分配的过程中资源重复分配和未获授权资源分配两种潜在的安全风险,并分析了两种风险对资源持有者可能造成的不良影响.此外,针对这两种安全风险,提出并实现了一种用于保证RPKI中认证权威资源分配安全性和准确性的"事前控制"机制,该机制可以有效地防止资源重复分配和未获授权资源分配两种操作风险的发生,减少了由于认证权威的错误操作所导致的故障恢复等待时间.最后,通过进一步的实验测试,验证、分析了这种"事前控制"机制的有效性和可行性.
文摘为了确保域名系统与域间路由系统的安全运行,互联网工程任务组(IETF,internet engineering task force)提出了2项互联网名址体系安全保障技术——DNS安全扩展(DNSSEC,domain name system security extention)与资源公钥基础设施(RPKI,resource public key infrastructure)。在域名系统层面,DNSSEC通过使用公钥基础设施在DNS原有的体系结构上添加数字签名,为DNS提供了权限认证和信息完整性验证,成为了域名系统安全的基石;域间路由系统层面,RPKI通过公钥证书对互联网码号资源的所有权和使用权进行认证,构建了一个支撑域间路由安全的互联网基础资源管理体系。近年来,DNSSEC与RPKI在全球范围内的部署不断推进,为了解其在全球互联网的应用情况,以Alex前106个网站为数据集,对2项互联网名址体系安全保障技术及其应用状况进行了研究与分析。
文摘当前互联网治理模式正朝着平等开放的方向发展,而作为互联网关键基础设施的域名系统(Domain Name System,DNS),其传统管理模式是一种中心化的层级架构,权力滥用、单点信任等安全风险始终存在。区块链技术作为一种新型的去中心化工具,能够给域名系统架构的扁平化改造提供创新性思路,实现全球域名服务提供商之间的共管共治模式。本文从当前域名系统中心化结构的痛点出发,归纳总结域名系统去中心化的解决方案,并在不改变现有业务逻辑的前提下,提出一种基于区块链的域名管理架构模型,通过三层结构的联盟区块链以及“DPoS+BFT”共识机制,实现各顶级域注册局共同参与根区数据管理的新方式。