OSPF路由协议的认证分析

OSPF(Open Shortest Path First)路由协议的路由表是基于LSA(Link State Advertisement)计算出来的,为了保证计算出的OSPF路由表是正确的,就应该对传输过程中的LSA信息的完整性和可靠性进行认证。分析了RFC2328的OSPF路由协议的认证机制,包括简单口令认证和加密身份认证,并介绍了基于数字签名的OSPF,对实现和应用OSPF路由协议的认证机制提供了参考。     

基于完整性度量的端到端可信匿名认证协议

针对目前端到端认证协议只认证平台身份,缺乏对平台可信性的验证,存在安全性的问题。通过改进的ELGamal签名方案,利用可信计算技术,提出了一种基于完整性度量的端到端可信匿名认证协议ETAAP(End-to-end Trusted Anonymous Authentication Protocol)。协议的首轮交互中实现了可信平台真实性验证,在此基础上通过IMC/IMV交互完成对平台完整性验证和平台安全属性的可信性评估,并采用通用可组合安全模型对协议的安全性进行了分析,证明协议是安全的。最后通过实验表明该协议具有较好的性能,可实现基于完整性的端到端可信匿名认证。     

路由协议OSPF的研究与仿真

OSPF协议是一种典型的链路状态路由协议,应用非常广泛.在对OSPF协议的分组类型、分组首部格式、工作原理等进行深入研究的基础上,设计了一种多区域OSPF实验网络模型.在GNS3平台上,搭建了仿真的网络环境,配置了路由器和计算机,对设计的网络模型成功地进行了仿真.仿真结果验证了OSPF协议的工作过程,为OSPF协议在实际网络中的正确部署提供了参考.     

带有数字签名的BGP路由发布

身份认证是分布式系统安全的基础，数字签名BGP路由协议利用了RSA不对称加密的特征，通过数字签名来解决路由信息在不可靠网络上传输的问题。为了进一步保障网络通讯的安全性，路由器的密钥必须周期性的更换，如何才能根据BGP协议的特点有效地发布公共密钥？本文讨论了如何在签名BGP协议中引入信任实体，充分利用BGP协议的信息交换特征，以及RSA加密算法的可靠性，将路由器证书与公共密钥绑定在一起，来提高网络的安全性。     

拟态防御体系OSPF协议研究及分析

网络空间拟态防御技术是一种基于动态异构冗余的新型主动防御技术，通过引入多个异构冗余的执行体，增强广义鲁棒性，通过对多个执行体的策略或者周期性调度，对外呈现特征的不确定性变化，增强安全性。路由协议安全是网络安全的重要组成部分，OSPF协议作为网络空间中部署最广泛、实现最复杂的路由协议，如何实现各异构执行体OSPF协议功能的等价，是支持拟态防御的网络设备亟需解决的问题。首先，科学阐述了拟态防御的设计思想，详细描述了支持拟态防御的路由器的体系结构，论述了OSPF协议在拟态防御体系结构中的处理方法，通过引入OSPF协议代理实现各异构执行体OSPF协议功能的等价，在支持拟态防御的路由器原型样机中验证了该方法的可行性和高性能。最后，结合几种经典的OSPF路由攻击产生的路由器安全风险进行了具体说明及实验验证，实验表明该方法能够有效提高其应对OSPF网络攻击的能力。     

OSPF的区域类型、路由类型和末梢区域的配置

OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统(Autonomous System),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的,作为一种链路状态的路由协议,OSPF将链路状态广播数据LSA(Link State Advertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。     

开放最短路径优先协议原理及攻击分析

首先介绍了OSPF(Open Shortest Path First开放最短路径优先)路由协议,接下来介绍了OSPF的HELLO报文、DD报文、LSR报文、LSU报文、LSAck报文等5种报文以及OSPF协议计算路由的过程。针对OSPF的攻击与防范问题,介绍了基于LSA(链路状态广播)攻击的基本原理及基本防范方法。     

可信网络接入认证协议的设计与分析

随着对TNC应用和研究的不断深入,其架构自身的安全性问题也逐渐成为人们所关注的焦点。在分析了TNC架构存在局限性的基础上,提出了一种新的基于TNC规范的网络接入认证协议,在服务器端和客户端安全协商会话密钥的前提下实现了通信双方的双向身份认证和双向平台认证,在提高认证效率的同时使得整个认证过程更为安全可靠。最后,对协议进行了安全性分析,并给出了协议的安全性验证过程,分析结果表明该接入认证协议能够达到预期的安全目标。     

基于OSPF协议的路由器安全防范

路由器组网过程中,OSPF协议是比较常用的一种网络协议,但因为OSPF路由协议在设计时本身的一些缺陷及安全考虑上的不足,导致该协议容易遭受黑客的攻击。本文在对OSPF路由协议研究的基础上,对其一些漏洞进行了分析,并提出了一些建议及配置,以巩固和加强OSPF协议的安全性。     

单区域OSPF协议配置在路由器中的应用研究

计算机网络之所以能在全球范围内畅通无阻,一个很重要的原因是具有路由器这种网络设备,而路由器能够进行数据转发和路由选择的原因是路由器内部有路由表,路由表的生成是因为有路由协议。路由协议分为静态路由协议和动态路由协议,而开放式最短路径优先（OSPF）协议属于动态路由协议。该协议功能强大、实用性强。H-路由协议的原理、网络拓扑图、路由配置命令、路由协议查看等方面论述了多区域的OSPF协议。     

防范中间人攻击的可信网络连接协议改进*

可信网络连接协议作为可信计算框架中的核心技术,存在中间人攻击的安全威胁。为了解决中间人攻击问题,优化了Diffie-Hellman密钥交换协议,提出了基于数字签名及签名验证的端到端协议。与现有协议相比,提出的方案解决了可信网络连接中的中间人攻击问题,提升了网络安全性。     

基于AS联盟与信誉机制的域间安全路由协议

基于信誉机制的边界网关协议存在信誉值计算不合理和数据存储不安全等问题。为此,提出一种新的域间安全路由协议TBGP。从网络节点、链路和路径3个方面计算信誉值,以提高路由的安全性,并引入可信计算,利用自治系统联盟管理保证信誉值数据的完整性和存储的安全性。理论分析及仿真结果表明,该协议可较好地抑制不可信路由的传播,实现最优路径选择。     

一体化标识网络下OSPF路由协议的实现

一体化标识网络与普适服务体系是一种全新的“标识分组网络”体系结构。为了完善一体化标识网络的路由功能,使得OSPF路由协议能够支持一体化标识协议栈,文中提出了一体化标识网中OSPF路由协议的设计与实现。通过对一体化网络协议栈的分析,给出了一体化网络中OSPFID接口以及分离机制的设计思路,然后修改路由协议的代码以及Linux内核代码实现了一体化标识网络中OSPFID的方案。最后,搭建拓扑对标识网络下OSPFID协议进行了测试,验证了OSPFID协议能够在一体化标识网络下很好地实现路由功能。     

虚拟化环境中TPM对象访问授权协议分析与改进

可信计算的主要功能由TPM完成.TPM的对象访问授权协议是TPM在可信计算平台中安全运行的基础.本文根据TPM对象访问授权模型,在对OIAP和OSAP协议及在虚拟化环境中存在的安全漏洞进行分析的基础上,提出一种新的对象访问授权协议,并通过形式化的安全分析,证明新协议可以解决虚拟域间共享授权数据而引起的安全问题,并能够抵抗重放攻击和中间人攻击.     

一种基于聚合签名的服务会话认证协议

为满足Web服务的会话认证需求,提高多方服务交互环境下的认证效率,基于IBC体制中无可信PKG签名思想提出一种基于身份的聚合签名算法,并使用该算法设计一种新的服务会话认证协议。该协议在保证多方服务实例安全共享会话的同时,能够解决密钥托管和防PKG伪造用户签名等问题,认证方只需对多个会话实例认证信息的聚合签名进行一次验证就能确信各签名是否来自指定的会话参与方,从而减少会话认证量。相比类似方案,该协议具有更高的计算效率。     

无须可信第三方的防滥用公平交易协议*

基于改进的完美并发签名,提出了一个无须可信第三方的防滥用公平交易协议,该协议避免了既有方案中买方滥用交易信息获得额外利益的缺陷。协议中,买方对订单、支付凭证、数字内容进行模糊签名;卖方确认买方的消息内容后,对数字内容的哈希结果和买方的订单、支付凭证一起进行模糊签名,买方提供使签名公开可验证的keystone后,卖方提供数字内容的解密密钥。买、卖双方的签名数据中包含了数字内容、支付凭证、订单信息,使得买卖双方的模糊签名与交易信息形成惟一的绑定关系,避免任何一方对签名数据和交易信息的滥用。该协议无须可信第三方     

一种云计算数字签名技术的研究与实现

由于云计算具有可靠性高、成本低、性能高等特点,已经成为了新一代信息技术变革的核心。为了能够有效推动互联网安全架构的可持续性发展。本文提出了一种云计算数字签名技术,该技术有机结合了云计算技术与数字签名技术。首先阐述了数字签名系统中应用云计算技术的价值,其次,分析了云计算数字签名技术的实现模型,并且设计了云计算数字签名协议,最后,开展了实例分析,将云计算数字签名技术应用到移动营业厅的业务信息交易中。结果表明：所有业务均可在网上完成,那么既可大大方便用户,又可降低移动营业厅的工作量,还可确保业务信息交易的可靠性、唯一性、真实性、安全性与不可抵赖性。通过结果分析得出结论：云计算数字签名技术既可保障签名文件的完整性与真实性,又可跨平台操作签名文件,还可让数字签名模型利用互联网来对密码运算基础设施进行便捷化、可靠化地访问。     

Providing QoS in OSPF based best effort network using load sensitive routing

In an open shortest path first (OSPF) based best effort network, when a packet experiences congestion, the routing subsystem cannot send it through an alternate path. Thus, it fails to provide desired quality of service (QoS) during congestion. In order to provide QoS we have reported three different load sensitive routing (LSR) protocols in [A. Sahoo, An OSPF based load-sensitive QoS routing algorithm using alternate paths, in: IEEE International Conference on Computer Communication Networks, October 2002; A. Tiwari, A. Sahoo, Providing QoS support in OSPF based best effort network, in: IEEE International Conference on Networks, November 2005; A. Tiwari, A. Sahoo, A local coefficient based load sensitive routing protocol for providing QoS, in: IEEE International Conference on Parallel and Distributed Systems, July 2006]. The LSR protocol forwards packets through alternate paths in case of congestion. The number of alternate paths at any node depends on the value of operating parameter or coefficient used for alternate path calculation. Though the basic protocol in these cases was the same, the methods of choosing operating parameter were different. We referred to these three methods as LSR [A. Sahoo, An OSPF based load-sensitive QoS routing algorithm using alternate paths, in: IEEE International Conference on Computer Communication Networks, October 2002], E-LSR [A. Tiwari, A. Sahoo, Providing QoS support in OSPF based best effort network, in: IEEE International Conference on Networks, November 2005] and L-LSR [A. Tiwari, A. Sahoo, A local coefficient based load sensitive routing protocol for providing QoS, in: IEEE International Conference on Parallel and Distributed Systems, July 2006] coefficient methods. In this paper, we present the LSR protocol along with the three coefficient calculation methods pointing out the reason for going from one method to the next. The main strength of our LSR protocol is that it provides loop free alternate paths in the event of congestion and can interwork with routers running vanilla OSPF protocol. We show through simulation that the LSR protocol based on any of the three different coefficient calculation methods performs much better than OSPF and that out of the three methods proposed by us, L-LSR performs the best.     

OSPF协议测试中网络拓扑建模及其算法研究

OSPF协议是一种广泛使用的内部网关路由协议,文中提出了一种用于OSPF协议测试的网络拓扑建模方法以及相关算法。首先从实际网络中抽取出其中的网络拓扑模型,并将OSPF网络定义为一个有向加权图。之后在这个抽象网络拓扑模型的基础上,提出了一种最短路径树生成算法,并利用该算法实现了路由信息和路由表的生成。文中的模型与算法很好地体现了OSPF协议分层的特点,是构造测试内容的一种有效方法。     

一种基于可信计算的改进多重签名方案

针对直接匿名验证(DAA)协议中验证签名时间开销过高的问题,在对DAA协议进行扩展的基础上提出了一种基于可信计算的改进多重签名方案。分析和仿真结果表明:签名者具有动态匿名性,有效的保护了签名者的隐私;验证签名的公钥与签名长度不随签名者数量的变化而变化;当有新的签名者加入时,无需修改验证签名的公钥;并且能有效的防止密钥转储或泄漏引起的攻击。