基于身份与位置分离策略可选的多宿主研究

多宿主技术具有提高网络可靠性、实现负载均衡、进行策略选择、扩展网络带宽等诸多优点,将成为下一代互联网的一种重要服务方式.在当前TCP/IP网络体系结构中,多宿主没有被普遍应用,其中一个重要原因就是IP地址具有双重含义,IP地址既作为节点的身份标识又作为节点的位置标识,多宿主的广泛实施将引起路由表急剧膨胀.针对站点多宿主单个用户不能进行策略选择、主机多宿主不能进行负载均衡的问题,文中在一种基于身份与位置分离的网络体系结构下,对多宿主技术进行研究,提出一种基于位置标识选择机制的策略可选择的站点多宿主解决方案,并对其可行性进行分析,更好地满足对多宿主负载均衡、策略选择的需求.     

标识路由关键技术

现有路由系统面临来自可扩展性、移动性、多宿主以及流量工程等方面的挑战,已经不能满足客观需求.基于位置与标识分离的思想,提出了标识路由的概念并对其研究范围进行了精确的界定.根据标识路由的设计目标,还详细介绍和比较了国内外相关的研究工作.最后提出标识路由研究的若干关键问题,并对未来的研究方向做出展望.     

基于角色的网络体系结构与TCP／IP层次网络体系结构的比较研究

本文对现有TCP／IP层次网络体系结构的不足进行了分析、归纳，总结了TCP／IP层次网络体系结构存在的一些问题。通过对Braden等人提出的无层次的基于角色的同络体系结构的原理和设计思想的介绍，揭示了基于角色的网络体系结构的概貌。本文进而对现有TCP／IP层次网络体系结构与基于角色的网络体系结构进行了分析比较。提出基于角色的网络体系结构具有简洁、高效、可扩展和能够更好地实现QoS和安全保障机制等优点。     

SAMS:一种新型身份/位置分离方案

当前互联网中的IP地址同时标识主机身份和主机位置,这种语义重载主要导致了两方面的问题.一方面,它使得核心网络路由表项数量急剧增长,引起路由可扩展性问题.另一方面,主机难以在不改变身份标识的情况下实现多宿主和移动中的高速切换.解决这两个问题的根本办法是主机的身份和位置分离,即分别使用相互独立的身份标识和位置标识.目前身份/位置分离方案得到了研究人员的广泛关注,然而现有的方案只是针对某一个问题,不能同时解决这两个问题.此外身份位置分离之后的真实身份问题也很重要.文中提出了一种新型身份/位置分离方案SAMS(Scalable Authentic Mobile identifier-locator Separation scheme),它将用户身份标识、主机身份标识、边缘网络位置标识和核心网络位置标识分离,并设计合理的体系结构将这4种标识结合在一起,对路由可扩展性,主机多宿主和移动能力都有很大的提高,并支持真实身份.文中实现了SAMS的原型系统,并在CERNET2主干网上进行了规模部署和实验,验证了方案的有效性和系统的兼容性.     

一种基于Hash的位置标识映射机制

随着互联网的发展,传统的基于TCP/IP体系结构的互联网在扩展性、移动性、安全性等方面的缺陷逐渐暴露出来,并限制了多宿主、流量工程等新技术的发展,这其中的一个重要原因就是IP地址语义过载。针对这一问题,学术界普遍认为需要对下一代互联网的命名和寻址体系结构进行重新设计,Locator/ID Split就是其中一个重要的研究方向。Locator/ID Split的核心是提供基于扁平标识的可扩展映射服务机制。HLIMM采用了基于哈希的路由方式,通过一组分布式映射服务器,为边缘网络提供了确定性的映射解析机制,满足了扁平标识Identifier映射服务的可扩展性,并能够在一定程度上适应映射服务节点的动态加入和离开。     

基于标识的名字空间及对移动通信的支持研究

当今互联网在安全性和移动性方面存在着严重问题,IP地址同时用作用户的身份标识和位置标识,不能很好地解决主机的移动、网络安全;针对此问题,提出了许多方案来改进Internet的名字空间和对移动性、安全性支持;对目前几种典型的基于身份标识和位置标识相分离的名字空间改进方案对移动性、安全性支持进行了对比研究,同时提出了一种基于标识的移动通信机制。     

互联网名字空间结构及其解析服务研究

随着互联网的迅速发展,互联网名字空间结构及其解析服务面临着新的挑战.IP地址同时用作设备的位置标识和设备的身份标识、语义过载;当前的名字空间解析系统DNS存在着服务模式单一、更新速度慢、资源描述能力不够强等缺点,不能满足许多新型应用的要求;而NAT、各种代理、防火墙等网络中间件的存在也破坏了互联网的体系结构和名字空间.针对这些问题,研究者提出了许多方案来改进互联网的名字空间结构及其解析服务.分析了当前的互联网名字空间结构及其解析服务存在的问题,并对目前的各种互联网名字空间改进方案进行了分类、综述与比较,并展望了进一步的研究方向.     

安全网络模型研究

现有的TCP/IP网络中,IP地址承载了身份标识与地址定位的双重作用,语义过载,制约了互联网性能的进一步提升。在对已有的身份标识与地址分离的HIP协议、LISP协议进行深入研究的基础上,提出基于身份标识的LISP协议模型。该模型内置身份认证机制与密钥交换机制,从源头解决真实身份、安全通信等问题。     

下一代网络(NGN)中软交换的监听系统设计与实现

软交换技术是下一代网络体系结构的核心技术,核心思想就是基于目前成熟的IP网络分组传送;控制功能与承载能力分离;呼叫与应用服务分离;业务提供与网络分离以及透明的带宽能力等。通过对下一代网络体系结构的研究实现,提出了一种基于软交换结构体系的多通道监听模型,详细阐述了其实现原理中的信令监听和媒体监听,同时介绍了此监听模型的安全性设计。     

双层IP 地址空间体系结构

互联网面临的挑战之一就是路由系统的可扩展性.路由表的快速增长以及越来越频繁的BGP更新,对核心路由器的性能、复杂性、能耗和成本产生了越来越大的压力.近年来,大量网络研究人员正在针对这些问题寻找解决方案.将现有的IP地址分解为标识和位置的思想,是重要的研究方向之一.提出一种新的标识与位置分离方案,形成双层地址空间体系结构,克服了可实现性和可部署性的困难,在缓解路由系统扩展性难题的同时,解决了IPv4地址耗尽的问题.除了对DNS作简单的修改并增设一种网关设备外,原有的骨干网和用户网不作任何改动.     

一种基于位置/标识分离的站点多宿主路径失效恢复机制

多宿主是克服路径失效,提高站点服务可靠性的有效途径之一。然而囿于当前TCP/IP体系结构的限制,多宿主还没有得到很好的普及。其中一个重要原因就是IP地址语义过载,IP地址既代表了网络节点的拓扑位置又是节点的标识。在LISA(Locator Identifier Split Architecture)命名与寻址体系结构下,提出了基于位置与标识分离的站点多宿主方案,并以此为基础提出了路径失效恢复机制:LISA-Recovery。模拟实验验证了该机制能够有效地检测路径失效和性能下降,并进行快速的路径切换,从而保障了上层应用服务的正常运行。通过理论计算,分析了LISA-Re-covery所带来的开销很小,显示其具有较好的实用性。     

Modelling and simulations for DDoS attacks mitigation in identifier–locator split network

With the increasingly prominent problems in the scalability, security, mobility and some other issues of Internet, identifier–locator split network has become a hot topic in the research of the next-generation network structure. In this network, split and mapping between identifier and locator make network security change accordingly compared with the current Internet. This paper makes a comparative analysis on distributed denial of service (DDoS) attacks between the current Internet and identifier–locator split network using the attack graph modelling approach based on the expected loss. It proves that the identifier–locator split network effectively alleviates DDoS attacks, and performs much better than the current Internet in security. Additionally, this paper verifies the correctness of the implementation of the attack graph as a model approach by simulations.     

A DHT-Based Identifier-to-Locator Mapping Approach for a Scalable Internet

It is commonly recognized that today's Internet routing and addressing system is facing serious scaling problems, which are mainly caused by the overloading of IP address semantics. That is, an IP address represents not only the location but also the identity of a host. To address this problem, several recent schemes propose to replace the IP namespace in today's Internet with a locator namespace and an identity namespace. The locator namespace consists of locators that are used to represent the locations of hosts. On the other hand, the identity namespace consists of identifiers that are used to represent the identities of hosts. For these schemes to work, there must be a mapping system that can supply an appropriate locator for any given end point identifier (EID). While prior related works mainly focus on aggregable EIDs, several recent works proposed the use of self-certifying EIDs for purpose of security and privacy. However, self-certifying EIDs are flat, unstructured and prior proposals cannot be used to deal with flat EIDs. In this paper, we propose a Distributed hash table (DHT)-based identifier-to-locator mapping scheme to resolve a locator for a flat identifier. We evaluate the performance of the proposed scheme. We show that, besides the capability to support flat EIDs, the scheme has good scalability and low resolution delay. We also show that the scheme is robust and can efficiently support mobility.     

一种基于标地分离的卫星网络移动切换管理技术

移动卫星网络因具有覆盖区域广、通信延时低等优势受到广泛关注,当前有大量研究旨在开发IP协议的组网技术,并将其与地面IP网络融合。融合网络的挑战之一,即为卫星移动性,用户在卫星网络中的接入点频繁切换导致移动管理问题,而现有的移动IP技术不能高效支持卫星网络移动切换。为了高效支持移动切换,在卫星网络中应用标地分离思想,在标地分离的架构下研究切换管理问题;用映射服务系统对终端进行位置管理,在移动切换中由新接入卫星网关和终端的标志为主要信息在原卫星中形成通告转发表。仿真结果表明,相对移动IP技术,该方法有明显优势。将其应用于卫星网络时可以降低切换延时,减少大量的绑定更新开销或是次优路由,提升系统的性能和可扩展性。     

Qualitative analysis of mapping systems in the Internet architectures based on identifier/locator separation

The current Internet has several known challenges, such as routing scalability, mobility, multihoming, traffic engineering, etc. due to the overloaded semantics of IP address, i.e. it is used as a node identifier (ID) and a node locator (LOC). Thus, the research community has redesigned the Internet architecture based on ID/LOC separation to overcome the limitations of the current Internet. In all Internet architectures based on ID/LOC separation, ID to LOC mapping system is necessarily required to bind ID and its LOC, since ID is no longer dependent to its LOC logically or physically. Thus, how to design the mapping system is a key challenge in ID/LOC separation architecture. In this paper, we analyse qualitatively the mapping systems proposed in ID/LOC separation architectures to provide insights into designing a new mapping system. The main contribution in this paper is that we categorise ID to LOC mapping systems according to the mapping server structure and provide the pros and cons of the mapping systems belonging to each category. Based on our qualitative analysis, we also examine intuitively if the mapping systems in each category satisfy their requirements.     

基于HIP的网络防火墙系统设计与实现

在Internet所使用的TCP/IP协议中,网络层IP地址同时代表了主机标识符和定位符,使得IP地址无法支持主机移动性与多宿主性,更加无法保障用户之间的可信任性。为了解决这一系列问题,文章深入研究了主机标识协议（HIP）的体系结构。该体系通过主机标志层来标志连接终端,加强了安全性和可移动性,满足了人们对保密通信和移动通信上的要求。文章基于ARM嵌入式系统,提出以透明网桥为载体架设防火墙过滤HIP包,达到对一个网段进行网络安全防范的目的。     

Efficient inter-domain traffic engineering with transit-edge hierarchical routing

The relentless growth of Internet, which has resulted in the increase of routing table sizes, requires consideration and new direction to address Internet scalability and resiliency. A possible direction is to move away from the flat legacy Internet routing to hierarchical routing, and introduce two-level hierarchical routing between edge networks and across transit networks. In this way, there is also an opportunity to separate the routing locator from the terminal identifier, to better manage IP mobility and mitigate important routing security issues. In this paper, we study the extended traffic engineering capabilities arising in a transit-edge hierarchical routing, focusing on those multi-homed edge networks (e.g., Cloud/content providers) that aim at increasing their Internet resiliency experience. We model the interaction between distant independent edge networks exchanging large traffic volumes using game theory, with the goal of seeking efficient edge-to-edge load-balancing solutions. The proposed traffic engineering framework relies on a non-cooperative potential game, built upon locator and path ranking costs, that indicates efficient equilibrium solution for the edge-to-edge load-balancing coordination problem. Simulations on real instances show that in comparison to the available standard protocols such as BGP and LISP, we can achieve a much higher degree of resiliency and stability.¹