安全网络模型研究

现有的TCP/IP网络中,IP地址承载了身份标识与地址定位的双重作用,语义过载,制约了互联网性能的进一步提升。在对已有的身份标识与地址分离的HIP协议、LISP协议进行深入研究的基础上,提出基于身份标识的LISP协议模型。该模型内置身份认证机制与密钥交换机制,从源头解决真实身份、安全通信等问题。     

面向可信互联网的IP地址管理技术研究*

作为互联网最重要的基础资源,IP地址与互联网安全可信有着广泛的联系,包含IP地址分配、IP地址配置以及源地址验证等环节在内的IP地址管理工作的研究,是构建可信互联网环境的关键。在构建可信互联网的价值观下,探讨IP地址管理层面的研究内容,梳理近年来IP地址管理范畴内的研究热点以及相关问题的由来,分析相关的技术方案,并就未来的研究方向进行展望。     

互联网名字空间结构及其解析服务研究

随着互联网的迅速发展,互联网名字空间结构及其解析服务面临着新的挑战.IP地址同时用作设备的位置标识和设备的身份标识、语义过载;当前的名字空间解析系统DNS存在着服务模式单一、更新速度慢、资源描述能力不够强等缺点,不能满足许多新型应用的要求;而NAT、各种代理、防火墙等网络中间件的存在也破坏了互联网的体系结构和名字空间.针对这些问题,研究者提出了许多方案来改进互联网的名字空间结构及其解析服务.分析了当前的互联网名字空间结构及其解析服务存在的问题,并对目前的各种互联网名字空间改进方案进行了分类、综述与比较,并展望了进一步的研究方向.     

简述ARP欺骗原理及解决方法

随着互联网的广泛应用,"ARP"欺骗类病毒随之肆虐,充斥我们网络的不同角落给我们的管理工作带来各种各样的问题.ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址.一旦这个环节出错,我们就不能正常和目标主机进行通信,致使整个网络瘫痪.本文就ARP欺骗原理以及若干解决方法作了简单的阐述.     

基于SNMP解决校园网IP地址管理问题

针对校园网中大量IP地址冲突、地址盗用、ARP欺骗攻击等问题,通过对比几种现有的方法,提出了利用SNMP技术构建了一个IP地址资源的自动分配、绑定和管理系统的解决方案.该方案经济实用并且已经在实际的环境中得到很好的检验和应用.     

基于包验证的面向IPv6翻译机制的IP追溯方法

IP地址安全一直是互联网面临的核心问题,在IPv6过渡时期,多种IP地址分配方式,IPv6过渡技术和IP欺骗引起的IP地址不确定性向IP地址资源安全提出了挑战。新兴IPv6家庭网络、小企业网、校园网与传统IPv4网络互联互通的IPv6翻译场景是典型的IPv6过渡场景,然而,传统的IP追溯技术无法直接应用于IPv6翻译场景。基于这种现状,提出一种IP追溯方案来解决IPv6翻译场景下的IP追溯问题,该方案打通了IPv6翻译网关,实现了目的网络对源网络的可知性,进而保证了互联网的IP地址资源安全。     

局域网IP地址冲突问题研究

主要分析了IP地址冲突的工作原理和造成IP地址冲突的原因,并针对不同的用户环境,提出了不同的解决方案,该方案完美地解决了局域网IP地址冲突问题.     

校园网络环境下ARP协议攻击原理及其防范措施

本文从ARP协议功能入手,阐述AKP工作机制。通过分析AKP协议工作原理,讨论ARP协议从IP地址到物理地址解析过程中存在的安全隐患,给出同一网段和跨网段ARP欺骗过程。文章从用户端和网络设备端角度,提出了应对策略,包含IP地址和MAC地址绑定、交换机端口和MAC地址绑定、VLAN隔离等技术对ARP欺骗攻击的安全防范策略。     

双层IP 地址空间体系结构

互联网面临的挑战之一就是路由系统的可扩展性.路由表的快速增长以及越来越频繁的BGP更新,对核心路由器的性能、复杂性、能耗和成本产生了越来越大的压力.近年来,大量网络研究人员正在针对这些问题寻找解决方案.将现有的IP地址分解为标识和位置的思想,是重要的研究方向之一.提出一种新的标识与位置分离方案,形成双层地址空间体系结构,克服了可实现性和可部署性的困难,在缓解路由系统扩展性难题的同时,解决了IPv4地址耗尽的问题.除了对DNS作简单的修改并增设一种网关设备外,原有的骨干网和用户网不作任何改动.     

域间IP欺骗防御服务增强机制

IP地址真实性验证成为构建可信网络的基础,基于源-目的标识(密钥)的自治域级IP欺骗过滤和基于源标识(公钥)的端系统级IP认证均采用了端-端方式试图解决IP欺骗.端-端认证方式实现简单,但却忽略了IP欺骗报文对中间网络的泛洪攻击,防御效果差.提出面向IP欺骗防御联盟成员的域间IP欺骗防御服务增强机制——ESP(enhanced spoofing prevention).ESP引入开放的路由器协同机制,提供了源-目的路径中ESP节点信息通告和协同标记的框架.基于源标识IP欺骗防御,ESP融入了路径标识,不仅减小了源标识冲突概率,而且混合型标识支持了ESP节点根据报文标识提前过滤IP欺骗报文.基于BGP(border gateway protocol),提出前缀p-安全节点的概念和检测理论,有效控制了源标识传播范围,减小了ESP节点的标记和过滤开销.ESP继承了基于标识的防御机制的可部分部署性,能够很好地支持动态路由和非对称路由.应用Routeview提供的RIB(routing information base)进行评估,ESP增强了IP欺骗防御服务的能力,而且能够提前过滤IP欺骗报文.     

An incrementally deployable path address scheme

The research community has proposed numerous network security solutions, each dealing with a specific problem such as address spoofing, denial-of-service attacks, denial-of-quality attacks, reflection attacks, viruses, or worms. However, due to the lack of fundamental support from the Internet, individual solutions often share little common ground in their design, which causes a practical problem: deploying all these vastly different solutions will add exceedingly high complexity to the Internet routers. In this paper, we propose a simple generic extension to the Internet, providing a new type of information, called path addresses, that simplify the design of security systems for packet filtering, fair resource allocation, packet classification, IP traceback, filter push-back, etc. IP addresses are owned by end hosts; path addresses are owned by the network core, which is beyond the reach of the hosts. We describe how to enhance the Internet protocols for path addresses that meet the uniqueness requirement, completeness requirement, safety requirement, and incrementally deployable requirement. We evaluate the performance of our scheme both analytically and by simulations, which show that, at small overhead, the false positive ratio and the false negative ratio can both be made negligibly small.     

互联网自治域间IP源地址验证技术综述

当前互联网是基于目的地址转发,对源地址不做验证.而互联网很多安全问题的根源在于源地址的不可信.另一方面,随着互联网规模和复杂度的增大以及对政治、经济利益影响的加深,域间路由系统对互联网的稳定运行起着愈发关键作用.美国国土安全部将域间路由安全问题列入了美国信息安全的国家战略.近年来,以IP源地址伪造为主要方式的分布式拒绝服务攻击不断地对互联网的安全性和可用性造成极大的破坏,这其中以跨越多个管理域和国家的攻击最为频繁.因此,建立以自治域为单位的源地址验证防御体系对互联网的安全意义重大.尽管在相关的标准和研究领域已经提出了多种域间源地址验证技术,但是目前仍未有适用于大规模部署的技术方案.本文对域间源地址验证的已有研究和标准进展进行了细致的梳理.首先,本文分析了源地址安全性缺失的原因及后果,结合国际标准化领域的研究现状,指出了域间源地址验证的重要意义.其次,本文从域间源地址验证技术的特征类别入手,对已有各类研究成果的技术原理和优缺点进行了深入的总结,对研究的演进脉络进行了详细的分析,并在此基础上提出了目前域间源地址验证技术面临的困境及原因.最后,本文提出了域间源地址验证技术未来可能的研究发展方向及设计原则建议,为后续相关研究工作的开展提供参考.     

Building a next generation Internet with source address validation architecture

The IP packet forwarding of current Internet is mainly destination based. In the forwarding process, the source IP address is not checked in most cases.This causes serious security, management and accounting problems. Based on the drastically increased IPv6 address space, a ＂source address validation architecture＂ （SAVA） is proposed in this paper, which can guarantee that every packet received and forwarded holds an authenticated source IP address. The design goals of the architecture are lightweight, loose coupling, ＂multi-fence support＂ and incremental deployment. This paper discusses the design and implementation for the architecture, including inter-AS, intra-AS and local subnet. The performance and scalability of SAVA are described. This architecture is deployed into the CNGI-CERNET2 infrastructure a large-scale native IPv6 backbone network of the China Next Generation Internet project. We believe that the SAVA will help the transition to a new, more secure and dependable Internet.     

基于SNM算法的大数据量中文地址清洗方法

中文地址由行政区划地址和详细地址两部分组成,行政区划地址的处理可通过构建地址词典、分词、补充特征字等方式清洗,目前技术较为成熟。详细地址则随我国城镇化的发展而不断变化,且新的地址层出不穷,导致其清洗和规范化工作极其困难。在研究大数据量中文地址的基础上,提出了中文地址清洗模型,在行政区划地址先清洗并规范的前提下,对地址进行排序,利用SNM算法将详细地址聚集在一个较小的窗口内,对窗口内的地址进行匹配和清洗,实验结果证明清洗效果良好。     

中国IPv4地址应用状况研究

在全球IPv4地址耗尽的背景下,如何使IPv4地址的分配和使用效率最大化,是互联网基础资源相关机构需要考虑的问题。通过对IPv4使用状况进行抽样探测,并对其分配情况进行分析,从一个新的角度研究中国互联网发展的现状、存在的问题以及未来发展的趋势。     

A new forwarding address for next generation networks

The forwarding address plays an important role in constructing a communication network.In this paper,a new forwarding address suitable for next generation networks named the vector address(VA) is proposed which is different from the forwarding address coding methods of current networks.The characteristics of the VA are analyzed.Complex network theory and a theoretical analysis method are introduced to study the average address length of the VA when used to construct a global network.Simulation experiments in a practical network topology model are carried out to validate the results.The results show that not only can the VA construct a simpler,more secure,and more scalable network,but it also can accommodate many more users than an Internet Protocol(IP) network with the same address length.     

SAVI DHCPv6数据报文源地址验证方法研究

由于现今的网络缺乏源地址验证机制,导致多种依靠IP欺骗的恶意攻击时有发生。在DHCPv6场景中防止IP欺骗的源地址验证改进（SAVI）工作,目前正由互联网工程任务组（IETF）驱动,但尚未给出切确地源地址验证方法。为此,本文首先提出两个验证方法：改进的多比特Trie树算法和改进的哈希查找算法,然后实现了SAVI DHCPv6的仿真系统,并使用该系统进行不同验证方法的对比实验。结果表明,本文提出的两种改进方法,比顺序查找方法具有更优的时间性能。     

一种基于IPv6的物联网分布式源地址验证方案

作者在融合物联网的新一代互联网网络环境下,提出了基于IPv6的源地址验证整体架构.基于该架构,考虑物联网节点资源受限特点,并结合物联网末梢网络的拓扑形态及其路由方式上的特征,设计了基于IPv6的物联网末梢网络分布式源地址验证方案.分别讨论了静态指定、SLAAC(Stateless Address AutoConfiguration)、DHCPv6(Dynamic Host Configuration Protocol Version 6)以及DHCPv6与SLAAC混合情况下的物联网节点IP地址分配及其验证机制.模拟实验表明,该方案仅以微小的代价实现了物联网节点IP地址的分配,同时还保证了物联网节点之间、物联网节点与互联网端系统之间端到端通信时双方IP地址的真实可靠性,从而整体上增强了物联网的安全性.