论公民的私域自治权

随着计算机信息网络技术的发展和普及,公民的计算机虚拟、无形私人空间的权利保护问题日益突出。然而现行宪法关于公民的私域自治权仅限于有形的私域——住宅,却没有涉及无形的私域——网络等。宪法理论应明确公民私域自治权,公民的私域自治权包括住宅、通讯(信)等有形空间的私域自治权也包括网络等无形空间的私域自治权。要完善公民的私域自治权首先要扩大宪法私域自治权范围,其次建立开放、发展形态的基本权利立法技术模式并明确界定私域自治的法定内涵。

基于分层自治域空间信息网络模型与拓扑控制算法

针对空间信息网络结构复杂、拓扑动态变化以及空间尺度大等特点,提出一种面向空间信息网的分层自治域模型。该模型根据节点属性、链路能力、任务特点、分布区域等不同,将整个网络划分为不同的自治域和子自治域,各域内可采用相对独立的控制策略,从而将子网间各动态因素解耦合。然后,基于该分层自治域模型,提出了一种最小化时延的拓扑控制算法。与现有的集中式和分布式拓扑控制方法不同,该算法采用混合式方法,将控制信息约束在相邻子自治域范围内,既保证了网络的连通性,又减少了控制信息的开销。理论分析表明,若网络的物理拓扑是k连通的,则该算法得到的拓扑控制结果一定是k连通的。仿真结果验证了理论分析和所提出算法的有效性。

面向自治域的DoS攻击流抑制模型

针对因特网上的DoS攻击,结合下一代安全因特网架构,分析了现有权证方案在申请、授权和解授权等方面的问题。兼顾网络拥塞反馈机制,结合多级主动队列、信誉计算等思想,提出了一种面向自治域的DoS攻击流抑制模型,并进一步分析其有效性。通过在NS2上利用权威的CAIDA真实拓扑数据集,对权证授权时间和授权通信量、平均权证获取时间、不同方案的文件传输时间进行对比分析和评价,结果表明本方案能有效降低平均权证获取时间,提高文件传输效率,使权证方案更具可行性和顽健性。

一种基于自治域的协同入侵检测与防御机制

针对日益严重的大规模网络攻击,提出一种基于自治域的协同入侵检测与防御机制,将受保护网络划分为具有层次结构的安全自治域,在自治域内采用对等结构(P2P)进行分布式检测和防御,同时通过安全策略描述协同关系、控制安全域内和域间的协同检测防御,将协同范围限制在与攻击相关的网络区域内,避免不必要的大范围协同通信,降低协同检测和防御带来的网络开销.模拟测试表明,该机制有效实现了协同通信延迟和通信负载的平衡.

R^2BAC:基于风险的多自治域安全互操作模型

在基于角色访问控制模型的基础上,提出了一种基于风险的多自治域安全互操作模型——R2BAC。R2BAC采用了灵活的互操作关系建立机制,无需第三方实体的参与。将建立互操作问题转换为优化问题,在保证安全性的前提下取得理想的互操作能力。尽管分布式环境中自治域可随时加入和离开,R2BAC保证了互操作关系的创建与撤消能适应这种动态性。R2BAC引进了风险管理机制,提供了细粒度的授权控制;具有实时监控用户行为、调整用户权限的能力。

面向多自治域网格的信息服务模型及其实现

网格是实现分布异构资源共享的有效模式,而信息服务实现系统服务与资源的有效管理,是网格系统的重要组成部分.ChinaGrid是由多个自治域组成的大规模网格,现有的信息服务不能满足此类系统特性与应用需求.文中提出网格信息服务体系GISA2.0,强化了域自治管理和资源信息的安全性.GISA2.0实现了可扩展的网格信息模型和面向服务、支持多种监控信息聚集的层次化信息管理框架.提出了基于分布XPath引擎的多域资源信息检索机制,实现了安全、快速和用户相关的虚拟全局资源视图.

多自治域协同的数据库访问控制

多自治域的协同工作领域中,资源拥有者应该对数据库资源的操作方式及粒度有最终决定权;用户域对用户的职能作明确规定。显然角色直接映射权限的RBAC模型在多自治域协作环境中是不合理的。针对多自治域协同的数据库访问,提出基于角色的四层访问控制模型及其设计,资源域定义资源角色与权限的映射,用户域与资源域协商来映射用户角色与资源角色。该方案简单合理,分清职责,符合数据访问安全需求。

基于自治域边界反馈的分布式DDoS防御方法

给出一种基于自治域边界反馈的DDoS防御方法,实现在自治域边界接近攻击源端阻挡入侵流量。在攻击时,通过在被攻击端测量攻击流量并向边界路由器提供反馈,使得自治域边界处能有效地过滤恶意流量。实验表明,该方法可有效保证合法流量的存活率,保护被攻击机不被DDoS攻击干扰。

煤炭行业网格下的自治域内信任模型研究

由于煤炭行业网格的动态性和不确定性,在网格实体进行交易时引入了信任模型。提出一种在自治域内的信任模型,并对域内信任度计算和更新进行研究,细化了煤炭行业网格的域内信任度计算模型,提出了实体间的信任度计算和更新算法。

一个通过指定路由器描述自治域的模型

提出了1个利用从指定路由器采集的Netflow数据来描述自治域(AS)视在尺寸和日常行为的模型。该模型模仿天文观测,将路由器比作地球,将各AS比作星星,将用Netflow工具测得的各AS的流量比作来自不同星星的光芒。本文的目的是依据所测流量的强度和波动来推测每个AS的视在尺寸和日常行为。在假定每个AS由相互独立且具有相同流量特性的主机组成、每台主机遵循混合激活机制的条件下,其模型与测量数据匹配良好且可简单应用于流量工程及异常检测。

互联网4byte自治域标识过渡研究

互联网将逐渐向4byte的自治域号码过渡。过渡过程中,新、旧两种路由器的互操作性成为网络运营商十分关注的问题。本文就过渡过程对路由收敛性和路由策略的影响进行了深入的分析,并通过试验床进行了验证。针对这些影响,本文提出了相应的应对措施。此外,针对4byte自治域号码路由,作者设计的故障排查服务系统,能够方便系统管理员对路由故障进行排查和诊断。

可信可控网络中跨自治域的流合作测量模型

当前网络环境下提出的流测量算法缺少必要的合作,存在测量覆盖度不高等问题。为此,提出一种新的基于全网合作的流测量模型,在自治域(AS)间通过标识已测量流和共享测量结果的方式,实现AS间的流合作测量,在AS内利用控制节点为路由器统一分配测量任务的方法,实现AS内最大化流测量覆盖度的目标。实验结果表明,该模型能够有效利用网络资源,平衡各个路由器的测量负载,提高测量覆盖度,具有比以往方法更好的性能。

互联网自治域商业关系推测算法

随着互联网进入商业化发展阶段,不同管理机构的自治域通过商业合作关系来共同路由互联网中的流量.从工程上来看,获取全面准确的自治域商业关系可以指导有效的流量工程管理和资源部署从而均衡网络负载,提高服务可靠性,减少网络运营成本;从理论上来看,获取全面准确的自治域关系可以分析互联网的演进模型,指导设计新的路由协议和互联网架构.虽然互联网路由注册中心会记录自治域之间的商业关系,但是由于商业敏感以及注册中心缺乏维护更新,公开的自治域商业关系并不全面准确,因而通过推测算法获得更加全面准确的自治域商业关系成为了学术界与产业界关注的热点.文中系统地综述了现有的互联网自治域商业关系推测算法及其存在的问题,并对该领域有待进一步研究的问题和可能的解决方案给出了一些建议.

基于云的跨自治域安全访问策略研究

自治域间的互通通常采用边界网关协议BGP协议。本文分析了跨自治域通信所面临的安全问题,并提出了对应的解决方案。

互联网自治域间IP源地址验证技术综述

当前,互联网是基于目的地址转发,对源地址不作验证.而互联网很多安全问题的根源在于源地址的不可信.另一方面,随着互联网规模和复杂度的增大以及对政治、经济利益影响的加深,域间路由系统对互联网的稳定运行起着愈发关键的作用.美国国土安全部将域间路由安全问题列入了美国信息安全的国家战略.近年来,以IP源地址伪造为主要方式的分布式拒绝服务攻击不断地对互联网的安全性和可用性造成极大的破坏,这其中,以跨越多个管理域和国家的攻击最为频繁.因此,建立以自治域为单位的源地址验证防御体系,对互联网的安全意义重大.尽管在相关的标准和研究领域已经提出了多种域间源地址验证技术,但是目前仍未有适用于大规模部署的技术方案.对域间源地址验证的已有研究和标准进展进行了细致的梳理.首先,分析了源地址安全性缺失的原因及后果,结合国际标准化领域的研究现状,指出了域间源地址验证的重要意义;其次,从域间源地址验证技术的特征类别入手,对已有各类研究成果的技术原理和优缺点进行了深入的总结,对研究的演进脉络进行了详细的分析,并在此基础上提出了目前域间源地址验证技术面临的困境及原因;最后,提出了域间源地址验证技术未来可能的研究发展方向及设计原则建议,为后续相关研究工作的开展提供了参考.

基于Traceroute的IPv6自治域间网络拓扑发现技术研究

互联网由IPv4向IPv6过渡,获取针对IPv6的自治域间拓扑非常必要。文章介绍了基于Traceroute进行IPv6自治域间网络拓扑发现的基本原理,重点阐述了针对IPv6海量地址空间的探测列表构建方法,对拓扑发现过程中出现的MOAS(多源AS)现象成因进行了分析,详细描述了拓扑发现算法。该算法对于IPv6自治域间拓扑发现有重要参考意义。

中国省域民族自治地方综合发展水平差异性研究

省域民族自治地方综合发展水平差异性研究,对制定民族工作发展规划的政策框架具有重要意义。本文对中国省域民族自治地方综合发展水平进行了科学评估及比较,研究结果表明:中国各省域民族自治地方综合发展水平差异性明显,具有显著的政策性特征。

基于MPBGP协议的IPv6自治域间网络拓扑发现技术

分析了基于MPBGP协议进行IPv6自治域间网络拓扑发现的方法。提出综合利用MPBTDs(mpbgp table dump)和MPBUDs(mpbgp update dump)构建IPv6 AS级网络拓扑图可极大提高拓扑完整性,对MPBTDs和MPBUDs构建IPv6自治域间网络拓扑完整性方面的性能差异进行了比较,并用实验结果进行了验证。

基于模糊评判的多自治域风险关联评估算法

多自治域互操作中的风险评估是异构环境下信息安全的重要内容。本文在分析风险特征的基础上给出了基于模糊评判的多自治域互操作风险事件关联算法;同时引入确信度学习方法来为保证精确性,有效检测和识别重复风险事件发生,提取风险事件类别;最后引入互操作服务风险指数概念,实时评估多自治域互操作服务的安全态势和风险状况。

自治域生态系统的对等连接行为分析

传统网络行为分析忽视了自治域的经济特性对网络结构产生的影响。从成本收益的角度分析了不同类型自治域的对等连接行为。通过Peering DB提供的样本数据,首先统计域间流量分布情况,给出不同类型自治域的对等连接偏好。结果表明,传输服务提供商和接入服务提供商的域间流量与对等连接策略之间存在较强的关联,而内容服务提供商的域间流量与对等连接策略的关联性较弱,主要采取开放式对等连接。根据服务提供商在信息流传输中的作用,分析了经济环境下自治域采取对等连接策略的主要原因,提出自治域是由网络结构、域间流量和成本收益相互影响的生态系统。