面向自治系统间IP前缀劫持的一种无证书安全防范机制

自治系统间的IP前缀劫持是互联网安全的重大威胁.目前基于非对称密码学的前缀劫持防范机制都无可避免地面临复杂的公钥证书存储管理问题或者密钥托管问题,并且在前缀源自治系统在线验证时计算量太大,难以在实际中布署实施.本文提出的这种防范机制,采用公钥自证明签名方案进行前缀源自治系统的验证,无需公钥证书和密钥托管,可从多方面提高防范机制的性能,有望促进IP前缀劫持防范机制的实际布署实施.

一种基于最长前缀匹配的分段式IP查表方法

基于最长前缀匹配,本文提出了一种新的IP转发表搜索方法。该方法在实现过程中依赖的主要硬件是一片逻辑控制器以及高速的DDRII(Double Date RateⅡ)SDRAM(Synchronous Dynamic Random Access Memory)。依据研究IP地址前缀所得出的规律,将IP地址前缀存储到DDRII中。该搜索方法能够将搜索时间限制在两个DDRII读周期之内,不超过4ns;同时保证转发表更新时间小于512ns。

BGP中高活动IP地址前缀的测量与分析

分析和揭示网络行为的BGP路由更新数据引入了BGP中高活动IP地址前缀测量与分析的背景;其研究方法,包括BGP路由更新数据的采集方法、数据格式以及“高活动”IP地址前缀的定义;并证实了8个自治系统,定期给出了它们对BGP路由更新的贡献比例。

一种防范BGP地址前缀劫持的源认证方案

提出了一种基于线索平衡二叉排序哈希树认证委分字典的安全高效的源认证(origin authentication,简称OA)方案,用于防范BGP地址前缀劫持攻击.基于Aiello和McDaniel等人提出的OA服务,通过数值区间对AS号和IP地址前缀这两种BGP前缀宣告资源进行了统一的形式化定义,采用一种方案同时解决了两种前缀宣告资源的源可信问题.该方案不仅解决了原OA服务中存在的"无效分配关系的证据量是有效分配关系证据量的两倍"的问题,而且与原OA服务相比,该方案建树所需要的总节点数降低约一半.同时,委分证据集合的平均长度更小.因此,该源认证方案效率更高.

路由表前缀结构分析

根据路由表中IP地址前缀之间的包含关系,提出了一种将地址前缀分类的方法,分析了各类地址前缀的增长规律.利用数据结构Trie来描述地址前缀,根据各地址前缀在Trie中的相对关系,将地址前缀划分为不同级别,分析了各级地址前缀的特征,并提出了路由表结构的概念.通过分析近几年路由表的结构探求路由表结构变化的特点和发展趋势.路由表中的地址前缀来源于用户的发布行为,通过分析发布行为对路由表结构的影响,寻找抑制路由表增长的方法.

可扩展路由器FIB表分解存储模型

FIB表急剧增长是互联网高速发展面临的重要问题之一,FIB表分解存储能有效解决该问题.现有的SPAL技术将FIB表较均匀地分解存储在不同线卡,但仍然存在较多的表项冗余存储现象,并且实现复杂.对此设计了一种新型的转发表分解存储模型(Decomposed Storage of FIB,DSF),它依据IP前缀的前若干bit位实现线卡对转发表的分解存储,并只带来极少的冗余存储.DSF的改进方案———EDSF,更可使各线卡非常均衡地完成分解存储.提出的分解存储模型缓解了FIB表项急剧增长问题的解决压力,同时大大节省了硬件资源.对于线卡数量更多的可扩展路由器尤为适合.通过对当前运营的路由表的分解存储实验研究及与其它方案的比较,验证了文中模型良好的存储性能.

聚合Nyberg-Rueppel签名数据的一种源自治系统认证方法

IP前缀劫持对互联网安全构成重大威胁.为防范IP前缀劫持,公认的有效手段之一是基于数字签名进行源自治系统认证.由于带宽容量问题,传统的源自治系统认证机制不能支持认证信息的在线发布和验证.为支持认证信息的在线发布和验证,应尽可能降低地址证明创建和验证过程中需要在线传送的数据量.本文充分利用Nyberg-Rueppel签名的特点,将地址证明创建过程中产生的大部分数据进行聚合以降低需要在线传输的数据量,以期克服源自治系统在线验证的带宽障碍,给出了算法完成系统初始化、地址证明的创建、以及地址证明的验证.这种机制所涉及的认证信息字节长度短,约为426 Bytes.由于大幅度降低认证信息的字节长度,本机制能够支持源自治系统认证信息的在线发布和验证.

铁路数据网跨VPN路由优化方案

以铁路数据网特定用户需要跨VPN相互访问的需求为基础,分析MPLS VPN中修改RT值,实现跨VPN路由互通存在的安全隐患;研究路由控制策略的原理,通过仿真设计跨VPN路由互通的优化方案,采用IP-prefix和Route-policy相结合的路由控制策略,限制跨VPN用户访问的范围,避免因修改RT值产生铁路数据网的隐患。