互联网码号资源公钥基础设施(RPKI)研究综述

由于缺乏内建安全认证机制,边界网关协议(Border Gateway Protocol,BGP)容易遭受前缀劫持、路径伪造和路由泄露等异常路由攻击.互联网码号资源公钥基础设施(Resource Public Key Infrastructure,RPKI)正是针对BGP协议这一缺陷而提出的安全解决方案,其技术框架的标准化工作已于2012年在IETF域间路由安全工作组完成,涵盖体系结构、操作模型、密钥算法、证书策略、业务管理等一系列RPKI运行关键环节.近年来,大型互联网服务提供商、内容提供商和互联网交换中心已逐步开启RPKI在全球范围内部署应用的进程,越来越多的互联网关键基础设施纳入RPKI认证范畴,基于RPKI保障域间路由安全已经成为互联网社群的共识.作为学术界的热点话题,针对RPKI的研究不断涌现,包括安全威胁模型的构建、安全保障体系的设计、数据传递环节的效率优化和部署应用的测量分析等等.本文首先概述了RPKI的发展历史和应用现状.然后,介绍了RPKI体系及其生态系统,包括RPKI认证权威、RPKI依赖方和BGP域间路由系统三个组件,它们担任不同的角色且具有不同的作用,此外,详细统计了三者的软件实现和硬件支持情况.接着,梳理并归纳了RPKI在接入网安全、域间路由安全、域间源地址安全和资源相关服务安全四个领域的具体应用.此外,本文从安全、效率和管理三个方面分析了RPKI体系结构自身以及其部署应用过程中面临的问题和解决思路,结合近年来的应用态势,详细介绍了RPKI的部署测量和数据分析方面的研究进展,以及RPKI的部署现状和原因分析,并提出了相应的部署建议.最后,本文讨论了RPKI体系及其部署应用过程中亟需解决的问题和面临的挑战,并对未来研究方向进行了展望.

NAT地址转换浅析

NAT是IETF制定的一个标准,它允许一个局域网使用一个或多个公用IP地址访问Internet。顾名思义,NAT是一种可以把内部私有IP地址转换成合法网络IP地址的技术。因此可以认为,NAT在一定程度上,能够有效地解决公网地址不足的问题。分析NAT的工作过程、NAT的种类及NAT的特点。

基于行为透明性的RPKI撤销检测机制

【目的】为应对当前互联网码号资源公钥基础设施(Resource Public Key Infrastructure,RPKI)层级式认证机制下因单边撤销导致的资源失效问题,本文提出了一种基于行为透明性(Behavior Transparency,BT)的单边撤销检测机制,并通过实验验证了该机制的效果和性能。【方法】本文详细分析了当前RPKI架构下的单边撤销问题和由此导致的下级认证权威(Certificate Authority,CA)资源失效风险,通过部署日志服务器记录CA签发行为来提高CA签发行为的透明性,并以此为基础设计了高效的单边撤销实时监测和应急处置机制。【结果】实验结果表明,在部署有日志服务器且日志服务器足够安全可控的前提下,该机制的检测效率能满足当前架构性能需求,且准确率达到100%,传输开销可忽略不计。【局限】该机制在面向未来的RPKI大规模部署环境下的效率、准确率和可扩展性还有待进一步验证。【结论】本文所提基于行为透明性的RPKI撤销检测在当前RPKI实际部署环境下新引入的开销较小,能有效实现检测目的,支持CA实时监测其自持有资源有效性以及针对其的单边撤销行为。

网络地址转换（NAT）技术在校园网建设中应用

随着Internet技术的飞速发展，接入Internet的用户数量日益增加，IP资源紧缺和网络安全等问题成为IT人关注的热点。网络地址转换技术使这些问题有所缓解，文章阐述了NAT技术的概念、NAT技术的分类以及NAT技术的实现过程，并使用NAT技术实现校园网中的计算机通过私有IP地址转换为公网IP地址接入互联网，解决了校园内IP地址不足的问题，节省了资金。