互联网地址安全体系与关键技术

当前,互联网体系结构不具备地址真实性验证机制,源地址伪造与路由地址前缀欺骗造成了极大危害.解决地址安全问题、构建真实可信的互联网环境,已成为亟待解决的重要课题.地址的真实性是互联网可信的基础和前提.针对这些问题,研究者们从不同角度提出了很多解决方案.首先,该文介绍了地址的概念及其欺骗现状,分析了地址安全的含义,并从研究体系、实现机制以及关键技术这3个维度,对地址安全研究思路进行了归纳分析.然后,对典型地址安全方案的性能指标进行了总结.最后,给出了一个地址与标识通用实验管理平台的设想,基于该平台,可以为不同的地址标识方案提供统一的部署实验环境.

浅析6to4机制

6to4机制是为了顺利完成从IPv4到IPv6的过渡而提出的一种策略。其优点在于任何一个IPv6域,只要可以与IPv4网络相连就能将标准的IPv6数据包经过特殊封装后由IPv4网络发送,并且不需要对现有的IPv4网络做很多的改动。

IPv6地址应用研究

随着Internet技术的广泛应用,作为Internet基础的IPv4地址已日渐匮乏,虽然业界出台了多种地址转换技术弥补IPv4地址的不足,但都没有从根本上改变地址短缺的状况。基于IPv6技术的下一代互联网技术就是在这样的背景下诞生的,IPv6采用了更长的、更具层次化的地址分配方式,解决了IP地址短缺的问题。本文从目前IPv6地址划分和分配的主流技术出发,提出了适合运营的IPv6地址的管理和分配方式。

IP路由缓存技术研究

针对目前用于IP路由查找的地址缓存技术和前缀缓存技术的局限性,分析了骨干网路由表前缀重叠特征,提出了一种基于阈值的IP路由缓存方法,该方法结合了地址缓存和前缀缓存技术,无需进行前缀扩展,克服了地址缓存技术缓存空间要求过大、前缀缓存技术无法缓存内部前缀节点的问题,在缓存空间、缓存命中率、缓存公平性以及路由增量更新方面具有优势;仿真实验表明对于路由条目超过260000的路由表,缓存空间大小为30000,选择阈值K=4时97%以上的节点可实现1:1缓存,其余节点采用地址缓存,缓存失效率小于0.02,可以用小的缓存空间实现高速线速转发.

基于Hash和二叉树的路由表查找算法

提出了一种基于Hash和二叉树的路由表查找算法,这一算法可以满足OC-768的转发要求,支持超过10万条前缀的大规模路由表,并且在路由表更新时,只有少量的存储器需要被改写.仿真结果显示,对于一个149 458条前缀的路由表,算法仅需要2 MB存储器,如果采用200 MHz的存储器芯片,平均的查找速度可以达到100 M次/秒.

一种新的二分路由查找方法

分析路由表前缀间的覆盖关系特征,证明了前缀覆盖级别集合符合二分查找特性,提出一种基于前缀覆盖级别的二分路由查找算法,和传统基于前缀长度或者前缀值的线性或者二分查找算法相比,在查找性能、路由更新和存储空间方面具有优势,本方法可以在O(log2m ax_level+1)个TCAM时钟周期内完成1次路由查找,其中m ax_level为最大的前缀覆盖级别,目前m ax_level不超过7;本方法无需前缀扩展和排序,支持路由增量更新;另外,传统TCAM路由查找相比,可以节省功耗约50%.

一种基于最长前缀匹配的分段式IP查表方法

基于最长前缀匹配,本文提出了一种新的IP转发表搜索方法。该方法在实现过程中依赖的主要硬件是一片逻辑控制器以及高速的DDRII(Double Date RateⅡ)SDRAM(Synchronous Dynamic Random Access Memory)。依据研究IP地址前缀所得出的规律,将IP地址前缀存储到DDRII中。该搜索方法能够将搜索时间限制在两个DDRII读周期之内,不超过4ns;同时保证转发表更新时间小于512ns。

基于TCAM的二维前缀报文分类算法

报文分类已成为保障网络应用的服务质量及安全性的重要手段,而二维的前缀报文分类则是其中最为常用的.通过对规则冲突的分析,提出了一个基于三态内容可寻址存储器(TCAM)的二维前缀报文分类算法,该算法借助TCAM的并行查找能力,在一个指令周期内找到前缀的最长匹配,采用内存映像及相关数据结构消除了规则之间的冲突,实现了快速的二维前缀分类查找.与其他二维分类算法相比,该算法具有最小的查找时间复杂度和较小的内存空间复杂度.

基于多分支优先级树的IP路由查找算法

针对现有路由表查找方法效率低的问题,提出了一种基于多分支优先级树的数据查找算法。该算法将优先级较高的前缀依次存储在原多分支树的虚节点上,将需要进行扩展的前缀存储在辅助存储结构中,从而在路由查找时,该方法可在内部节点找到最长前缀匹配而无需查找到叶子节点,同时避免了在路由表更新时对路由表的重建。仿真结果表明,提出的查找算法能够有效减少在对路由表查找、插入和删除操作所需的内存访问次数,并大幅度地提高路由查找及其更新速率。

IP地址分配方法的探究与改进

本文通过对无分类编址的IP地址进行子网划分的探究，总结出了两种子网Ip分配方法，并对两种方法的优缺点进行研究，着重指出了存在的问题，最后提出了两种方法相结合的改进意见，并通过例证验证了改进后的效率。

一种防范BGP地址前缀劫持的源认证方案

提出了一种基于线索平衡二叉排序哈希树认证委分字典的安全高效的源认证(origin authentication,简称OA)方案,用于防范BGP地址前缀劫持攻击.基于Aiello和McDaniel等人提出的OA服务,通过数值区间对AS号和IP地址前缀这两种BGP前缀宣告资源进行了统一的形式化定义,采用一种方案同时解决了两种前缀宣告资源的源可信问题.该方案不仅解决了原OA服务中存在的"无效分配关系的证据量是有效分配关系证据量的两倍"的问题,而且与原OA服务相比,该方案建树所需要的总节点数降低约一半.同时,委分证据集合的平均长度更小.因此,该源认证方案效率更高.

IP地址前缀保留匿名化算法的改进

基于主干网络的IP流数据对研究互联网有重大意义,为向网络研究者共享这些数据,必须将其中的包含网络用户隐私信息的IP地址进行匿名化处理。文中以CERNET主干网IP流数据为研究对象,依据该数据中IP地址构成的特点与实际需求,对IP地址前缀保留匿名化算法Crypto-PAn及其改进后的算法PC-PAn再次进行了改进,提出了PSC-PAn算法。实验证明,该算法大大提高了实现效率特别是在分布式并行环境下处理数据的效率。

活跃IPv6地址前缀的预测算法

针对IPv6地址空间巨大,无法在现有技术下实现全网扫描的问题,提出基于熵、聚类分析、关联规则学习改进算法的活跃IPv6地址前缀的预测算法。实验结果表明本算法得到59%~61%的预测准确率,与已有算法相比,准确率和稳定性均有所提升。

“Python+仿真平台”IPv6地址管理安全实验技术

“互联网+”深入推进所催生的高密度、大规模端系统互联对IPv6地址管理安全性提出新的挑战。在产教融合发展背景下,聚焦IPv6网络安全实验技术创新驱动教学改革,针对性地分析了IPv6地址管理协议体系结构和地址管理机制,提出了“Python+仿真平台”的IPv6地址管理安全实验新技术,并进一步详细论述了Python开发层、实验运行层、测量分析层的总体架构和交互接口、过程控制、攻击模式、数据源生成等关键技术。在此基础上,实际应用“Python+仿真平台”完成了链路本地重复地址检测攻击和地址前缀欺骗等针对IPv6无状态地址自动配置管理的安全实验,通过实验教学示例表明“Python+仿真平台”具有可开发性与仿真平台工具性相融合的特点,为面向一流本科课程建设的综合性实验教学改革提供了技术途径。

非对称IPv6网络地址空间的半状态翻译方法

提出了一种非对称的IPv6地址空间的半状态翻译方法,可以支持短前缀到长前缀的地址转换,同时可以尽可能少地记录地址翻译过程中产生的状态信息,以降低设备存储负载。实验表明,该方法能够实现任意长度前缀的IPv6地址的半状态翻译,同时可以在传输层保持校验和的中立性,避免端口转换,实现对传输层协议和上层应用的透明。本方法是对IPv6前缀无状态翻译的补充,使得IPv6地址翻译方法更为普适。

面向校园网的IP地址逐步优化层次聚类算法

对校园网主干数据流中IP地址进行聚类,可以得到网络用户访问地址的分布概况从而了解用户行为特征。已有聚类算法大都将IP地址作为普通数字考虑,忽略了其特征属性以致聚类结果不合理。为此提出一种改进算法:首先基于最长前缀匹配和改进的最近邻规则算法得到初始聚类,然后运用逐步优化层次聚类的思想进一步聚合最靠近子类,最终得到基于IP地址特征属性的聚类。实验结果表明该算法与以往算法相比,提高了聚类效果,具有较好的准确性和可行性。

路由表前缀结构分析

根据路由表中IP地址前缀之间的包含关系,提出了一种将地址前缀分类的方法,分析了各类地址前缀的增长规律.利用数据结构Trie来描述地址前缀,根据各地址前缀在Trie中的相对关系,将地址前缀划分为不同级别,分析了各级地址前缀的特征,并提出了路由表结构的概念.通过分析近几年路由表的结构探求路由表结构变化的特点和发展趋势.路由表中的地址前缀来源于用户的发布行为,通过分析发布行为对路由表结构的影响,寻找抑制路由表增长的方法.

预处理插件在IPv6入侵检测系统中的应用

Snort是一个功能强大的轻量级NIDS,它能够检测出各种不同的攻击方式,并能对攻击进行实时告警.针对Snort没有提供对IPv6地址前缀攻击检测支持的问题,提出利用预处理插件检测该类攻击的解决方案,给出了插件的检测流程.实验结果表明,该插件对地址前缀欺骗攻击具有较高的检测率,是一种有效的入侵检测系统插件.

一种基于责任域的安全路由体系

为了解决前缀劫持、路由伪造和源地址欺骗问题,设计了一种路由体系——基于责任域的安全路由体系(accountability realm based secure routing architecture,简称Arbra).首先,提出了自治系统到责任域的映射方法和基于责任域的两级路由结构,责任域是具有独立管理主体的网络,也是Arbra网络拓扑的基本元素,因为它为内部用户的网络行为负责,所以称做责任域;其次,建立了基于责任域的路由体系设计框架,主要包括混合寻址方案、核心路由协议、标签映射协议、分组转发流程和公钥管理机制等研究内容;最后,比较了Arbra和其他著名路由结构(IPv4/v6,LISP,AIP)的异同,分析了Arbra的安全性、可扩展性、通信性能和部署代价.研究结果表明:(1)Arbra具有的分布式信任模型,不仅有利于抵御前缀劫持、路由伪造和源地址欺骗攻击,而且还给许多其他网络安全问题的解决奠定了基础;(2)Arbra具有优良的可扩展性,路由表的规模较小;(3)Arbra具有合理的通信性能和部署代价.该研究成果可以看做是以网络安全为视角对未来信息网络体系结构的有益探索.

一种基于Trie的流水式IP查找结构

为了减小基于Trie的流水式IP查找引擎的内存占用和延时,基于优化线性流水线(OLP),利用其引入空操作(Nop)能够更灵活布局的特点,提出了EOLP(Enhanced Optimized Linear Pipeline)方案,包括前缀扩展长度确立算法,流水线长度确立方案,布局算法和编码算法.实验结果表明,相对于OLP方案,EOLP方案的内存占用和流水线延时至少减少了1/6,能够完全布局Trie节点,并达到了72Gb/s的吞吐率,满足高速网络的需求.