基于前缀分配路径长度的BGP源 自治系统验证机制

 发现目前安全性得到广泛认可的BGP源自治系统验证机制(如S-BGP)会受到一种上层ISP (Internet Service Provider, Internet服务提供商)前缀劫持攻击.这些机制基于前缀的分配路径,仅能保证前缀被分配路径上的ISP授权自治系统发起,不能保证被分配路径上最后一个ISP(即前缀的拥有ISP)授权自治系统发起.只有获得前缀拥有ISP授权的自治系统才是该前缀的合法源自治系统.本文提出了一种基于前缀分配路径长度的源自治系统验证机制——LAP(the Length of Assignment Path,分配路径长度).基本思想是任一发出前缀可达路由通告的自治系统都必须提供该前缀的分配路径及证明,只有提供前缀最长有效分配路径的自治系统才是该前缀的合法源自治系统.LAP可保护域间路由系统免受有效前缀劫持、子前缀劫持、未使用前缀劫持,特别是上层ISP前缀劫持攻击,可无缝应用于BGP安全方案和一些下一代域间路由协议中.     

互联网BGP路由可视及安全检测技术架构与实践

边界网关协议（border gateway protocol,BGP）是支撑互联网50年来快速发展的核心协议,因早期设计考虑不足一直存在路由劫持、路由泄露等路由安全威胁漏洞。随着互联网应用日益深入,BGP 路由安全问题逐渐引起业界重视,边界网络安全防护意义重大。提出了一种BGP路由安全检测架构,通过推理构建全球BGP路由知识库实现互联网全局路由可视性,并基于此实现路由劫持、路由泄露等路由安全事件的准实时检测。通过在杭州交换中心部署实践,证明本系统可构造较完整的互联网全局路由知识库、实现较准确和实时的BGP路由安全事件检测。     

基于本地信任锚点管理的RPKI安全运行机制研究

基于互联网当前的码号资源(IPv4地址、IPv6地址和AS号)分配体系,RPKI的部署旨在提供一个认证互联网码号资源授权关系的平台,以构建一个安全的域间路由系统。RPKI的出现将域间路由系统安全由技术范畴迁移至运行管理范畴。为了应对RPKI的运行管理风险,一种称为RPKI本地信任锚点的技术应运而生。对基于本地信任锚点的RPKI安全运行机制进行了介绍,分析了该技术的不足,并梳理了RPKI安全运行机制范畴今后可能的研究方向。     

基于SDN的互联网域间路由研究

互联网流量的爆发式增长,叠加互联网流量固有的突发性特点,使得网络流量不均衡现象日益加剧。传统BGP协议由于缺乏全网拓扑和全局流量观,只能遵循标准BGP选路原则,在解决流量调度和负载均衡方面存在不足。针对BGP协议存在的局限性,研发了基于RR+的互联网骨干网流量调度系统,并应用于ChinaNet骨干网的网内中继、网间互联出口、IDC出口等多个流量优化场景。更进一步地,提出了一种基于SDN的互联网域间路由架构,通过在域间控制器之间交换BGP路由,无需在域内和域间运行BGP协议,极大地简化了网络协议,并能够实现灵活的流量调度和负载均衡。     

BGP4+协议研究与应用

边界网关协议(BGP)是当前互联网上应用最广泛的外部网关协议,用于在各自治域系统之间交换网络可达性信息。BGP4+在BGP版本4的基础上进行了扩展,使之携带的路由信息既能支持IPv4也能支持IPv6。介绍了BGP4+对BGP4协议的扩展、BGP4+软件的体系结构和工作过程。通过在IPv6网络环境中的应用,验证了BGP4+软件的邻居关系建立和路由重分发等功能。目前,BGP4+软件已经在基于VxWorks的路由交换机中实现。     

BGP协议研究及应用

BGP协议是一种用于互联网自治域系统间的动态路由协议,其主要功能是在各自治域 系统之间交换网络可达性信息。BGP协议是一种路径向量协议,使用TCP作为传送协议,保证了数据 传输的可靠性。BGP协议支持无类型的区域间路由CIDR;支持丰富的策略配置包括路由聚合、路由过 滤;支持多播路由、VPN路由,BGP协议还支持QoS等参数扩展。主要介绍了BGP协议的原理、协议软 件的工作过程及在工程中的应用。     

互联网路由威胁问题分析与监测系统设计

路由系统是Internet的关键基础设施,路由系统的安全关系到核心网络安全。文中对路由系统的安全问题进行归类阐述,分析了历史上典型的安全事件,讨论了各种安全增强方案,提出有效、实用的路由安全监测系统设计方案,描述了系统结构、数据流图,实现了主要功能模块,给出了部署方案和试用效果。该系统能够基于路由表和路由报文对路由行为进行实时监测,发现异常路由和潜在的路由攻击。     

基于区块链的BGP前缀攻击防御研究

互联网在进行域间路由信息交互时域间路由器需要使用BGP协议完成路由交换,但是由于BGP设计上存在一些缺陷,导致出现前缀劫持、路由泄露以及TCP拒绝式服务连接等安全问题。为了解决BGP协议设计上的安全漏洞,利用区块链技术,设计了一种防御成本低、安全较高、无需变动BGP协议、安全机制容易部署、容易维护的、轻量级的BGP劫持防御机制。首先对原有的区块链数据结构进行改进,根据BGP协议特点设计出了交易索引表结构;其次利用区块链索引表进行IP前缀所有权的查询、更新,并有效防止了后续攻击;最后利用信用积分机制来赋予处理交易的队列优先级。     

ASON域间路由的特点与应用

自动变换光网络（ASON）是传送网发展的趋势，而路由技术是整个ASON的核心技术之一。主要讨论了ASON域间路由的特点及其在网络中的应用。首先介绍了域的概念和网络的分缀与分层；然后讨论了ASON路由与IP路由的不同之处；接着讨论了ASON域间路由的特点，并对几种路由协议进行了分析，阐述了多层网络的路由问题；给出ASON域间路由在网络中的不同应用方式。     

公钥密码基础设施在电信运营商的应用

随着密码法的实施,我国将信息系统密码应用提升到了法律层面,要求加强公钥基础设施在网络实体互通互信方面的应用。提出了一种采用严格层次结构建设统一电信公钥基础设施的方案,即建立一个全国电信运营商根CA作为信任锚,而各大电信运营商成为独立的子CA,形成“全国电信运营商根CA－电信运营商子CA”的证书信任链,提供PKI安全服务。该方案不仅可以实现电信运营商CA之间的互通互认,也有利于统一电信公钥基础设施成为全球范围信任的电子认证服务提供商,进而在国际证书标准制定上有更大的影响力和话语权。     

我国重点信息基础设施的现状、国际对比及政策建议

2015年是全面完成“十二五”规划的收官之年,也是“十三五”规划的谋划元年,发现问题、研判趋势和解决问题是谋划元年的重中之重.我国正从网络大国、数据大国迈向网络强国、数据强国.根据世界经济论坛(WEF)发布的《2015年全球信息技术报告》,我国也面临互联网人均带宽偏低、移动宽带普及率有限、创新环境亟待改善三大短板.从提升宽带能力、发展天地一体化网络和创新应用环境3个大方面,国内宽带网络、国际网络布局、移动通信、空间基础设施、应用基础设施和软件定义网络6个子方向进行现状分析和国际对比,并给出政策建议.     

UMIR系统设计与实现

随着互联网应用快速增长,域间路由系统的选路灵活性和路由质量面临着重大挑战。多路径路由是提高互联网可靠性和顽健性、满足用户选路灵活性的重要方法。基于前期的研究成果以及面向用户定制路由服务的需求,设计并开发了一套域间多路径路由系统UMIR。 该路由系统包括控制管理、路由发现与计算和路由激励三大功能,具体由控制管理子系统、路由控制子系统、路由激励子系统等构成。在美国Utah大学的Emulab网络测试平台上,对UMIR系统进行了实际部署与测试实验,结果表明该路由系统运行正确,达到了系统预期的设计目标。     

基础设施增强的DTN路由协议

针对间歇性连通的移动网络环境,提出了一种新的DTN路由协议IEDR。其整合以往DTN路由算法中的设计经验,充分利用节点间相遇的机会交换数据,提高数据传达率并降低传输延迟,同时将资源开销控制在可接受的范围内。IEDR 还尝试将无线接入点作为辅助数据传播的有效途径,利用接入点间高速互联的特性为数据在广大地域内的高效传播提供便利。仿真结果表明,与一些经典路由协议相比,IEDR达到了更好的效能。     

一种解决路由可扩展问题的网络新架构：虚拟聚合（VA）

随着互联网用户与业务的迅猛发展,传统互联网在路由扩展性上遇到了巨大的挑战。本文介绍了路由可扩展问题的研究背景,提出了虚拟聚合（VA）方案,并通过和身份与位置分离协议（LISP）进行技术对比,总结出虚拟聚合的特点和优势。     

RAKS: robust authentication and key agreement scheme for satellite infrastructure

Telecommunication Systems - One of the network communication systems in our surroundings that has a significant influence on our day-to-day lives is the satellite network. Many authentications and...     

An Approach to Seeking Policy Disputes Based on Dispute Cycle Avoidance and Configuration Guideline

The Border Gateway Protocol (BGP) is the de facto interdomain routing protocol used to exchange network reachability information between ASes in the global Internet. However, Varadhan et al. [19] has shown that the conflict of BGP routing policies can cause BGP to diverge. This paper presents an approach to seek the set of conflict routing policies based on dispute cycle avoidance. The stable paths problem, a static formalism that captures the semantics of interdomain routing protocol, provides the theoretical foundation for this approach. And this approach draws on the simple path vector protocol to identify the dispute cycles that cause routing oscillation first, and then queries which routing policies lead to these cycles in a distributed manner. Finally, it determines conflict routing policies based on dispute cycle avoidance. Moreover, we present a method to determine the severity level of dispute routing policies based on AS relationships and configuration guidelines of routing policy presented by Gao and Rexford [4]. And this method can help Network administrators determine the top-priority routing policies to be fixed and improve the efficiency of debugging routing policies. In addition, a simulation instance is given in order to explain results of this method.     

高性能安全路由器中快速路由查找算法的研究与实现

设计快速的路由查找算法是提高路由器整体性能的关键之一.文章在一种基于RAM快速路由查找算法的基础上,根据高性能安全路由器的设计要求,进一步融入Hash链式表以及Trie树查找算法的设计思想,提出了一种可配置的路由查找算法.通过动态配置算法中的评价函数系数,该算法可以适用于多种网络应用环境.