基于关键节点的域间路由安全机制

BGP作为Internet域间路由的基本协议, 其安全问题一直受到学界的关注, 特别是安全性与实现难度之间的折中。针对传统解决方案S-BGP(secure BGP)的不足, 在定义关键节点KN(key node)的基础上, 利用KN对路由信息安全验证的特殊功能, 提出了更加轻量级的解决方案——基于关键节点的域间路由安全机制 SR-KN(secure routing based on key node)。通过对比分析表明, SR-KN在保证BGP安全的前提下, 减少了全网证书规模及存储量, 且具有更好的收敛性能。     

基于知识库的域间路由监测系统

域间路由系统是互联网的基础设施。但由于域间路由系统自身的脆弱性,导致域间路由系统面临越来越多的挑战。本文从域间路由监测的角度,设计基于知识库的域间路由监测系统。该监测系统以及时准确的知识库为基础,利用异常路由威胁评估模型与方法对异常路由数据进行进一步评估处理。介绍系统的部署环境,证明系统的有效性。     

基于关键节点的域内路由保护算法

随着互联网规模的膨胀,大量的实时应用部署在互联网上,这些实时应用对网络时延提出了更加严格的要求。然而,目前互联网部署的域内路由协议无法满足实时应用对网络时延的要求,因此提高域内路由可用性成为了一项亟待解决的关键性科学问题。学术界和工业界提出利用路由保护方案来提高路由可用性,从而减少由于网络故障造成的网络中断和报文丢失。已有的路由保护方案将网络中的节点同等对待,没有考虑节点在网络中的重要程度,然而实际情况并非如此。因此,提出了一种基于关键节点的域内路由保护算法(Intra-domain Routing Protection Algorithm Based on Critical Nodes,RPBCN)。首先,建立路由可用性模型,以定量衡量路由可用性;其次,建立节点关键度模型,以定量衡量网络中节点的重要程度;最后,基于路由可用性模型和节点关键度模型,提出基于关键节点的域内路由保护方案。实验结果表明,RPBCN在保证路由可用性的前提下极大地降低了算法的计算开销,从而为ISP解决路由可用性问题提供了一种全新的高效解决方案。     

域间路由策略的协同管理问题

互联网由多个自治域互联组成,自治域之间按照各自的域间路由策略交换路由信息和转发流量。由于管理自治域的ISP各自为政,独立配置和管理自己的路由策略,缺少协同机制,容易引起路由震荡、热土豆路由、异常路由等问题。本文提倡采用协同的方式管理域间路由策略,通过列举一些典型的域间路由策略问题,提出一套域间路由策略的多方协同控制与管理体系,并重点讨论了协同管理的基础性问题--安全比较协议。该协议可以被应用在互联网域间路由策略的管理中,对于分布式故障检测、分布式网络性能能测量等相关应用,也具有较好的参考价值。     

互联网域间路由系统安全态势评估

基于边界网关协议BGP的互联网域间路由系统缺乏必要的安全机制,面临严重的安全威胁.尽管人们对BGP路由系统的安全问题进行了详尽研究,但是很少量化该系统的安全态势,并且网络管理员也确实需要有用的安全态势信息来感知自治系统(AS)的路由安全状况.为了解决这个问题,分析了互联网域间路由系统的层次特性,提出了一个基于BGP异常路由的安全评估模型.该方法的基本思想是基于BGP路由系统的层次特性构造路由状态树,准确地刻画BGP路由系统中各路由实体之间的层次关系、存储和表达每个实体的路由安全状态;并根据所检测的异常路由计算每个实体的路由安全状态.实验测试表明,该模型能同时评估BGP路由器、自治系统和互联网域间路由系统的安全威胁态势,可为网络管理员提供直观的安全态势曲线.     

区分自治系统关系的域间路由体系研究

BGP-4是Internet采用的惟一域间路由协议,但它并不能确保路由收敛,复杂的网络结构加剧了路由潜在振荡的危险性．为此,提出了一种自约束的域间选路机制,在不违反传统流量工程原则和自治系统间结算原则的前提下,通过抑制违背自治系统间关系的路由通告和路由选择,达到维护全系统路由稳定的目的;对昕提方案的技术可行性进行论证,给出了新的选路机制原型系统的定义和关键算法的实现．区分自治系统关系的域间路由体系有效回避了路由策略一致性全局检测这一NP-complete问题．     

基于双毁伤因素的域间路由系统级联失效模型

级联失效建模研究对检测和防御级联失效攻击具有重要意义。针对现有研究存在毁伤因素单一、失效条件不符合实际等问题，提出了基于双毁伤因素的域间路由系统级联失效模型。该模型综合考虑了UPDATE报文和流量重分配对级联失效过程的影响，并基于两者的相互作用关系，系统刻画了级联失效过程。实验结果表明，该模型能够较准确地模拟域间路由系统级联失效过程，验证了模型的有效性。相对于已有模型，使模型与真实数据的预测偏差降低了35%。     

互联网域间路由安全研究

围绕基于BGP的域间路由安全,考察已发生的域问路由安全事件,介绍当前域间路由保护机制,分析核心网络路由设施支持能力和潜在的域间路由安全威胁,最后着重指出域问路由安全的研究方向并提出一些新的见解。     

可视化域间路由建模语言

提出一种可视化域间路由建模语言。该建模语言能够对大规模复杂自治系统内部域间路由的扩展结构、自治系统之间的关系以及域间路由策略进行可视化建模。可在不同层次上,从不同的角度对域间路由建立多种抽象粒度不同的模型,进而可使设计人员以及网络管理人员更好地理解大规模自治系统的结构和域间路由的行为特征。为高效地设计、实施以及管理自治系统的域间路由结构和路由策略配置,提供强有力的支持,也为域间路由管理的智能化、自动化打下了坚实的基础。     

域间路由系统AS联盟机制的研究

增强节点的自组织与协调能力是引导互联网健康发展的重要途径。该文通过分析域间路由系统的结构特点,提出AS联盟的概念。它是一组按照域间路由结构特点自组织的AS节点。基于AS联盟的域间路由协议安全扩展机制可以避免集中式控制的不利影响,且具有较低的证书管理代价,而稳定性扩展机制则能有效降低一定范围内的路由振荡。     

一种新的域间路由系统信任模型

传统的信任模型在域间路由系统中存在着证书管理困难等问题。针对域间路由系统结构的特点,提出一种新的信任模型－TTM（Translator Trust Model）。分析结果表明,TTM在满足一定安全需求的基础上,其证书规模仅为传统模型的1%,具有良好的规模可扩展性。     

域间路由系统异常检测引擎的设计与实现

BGP是Internet域间路由协议事实上的标准,但是路由异常会严重干扰正常的BGP协议行为。域间路由监测利用现有网络资源对路由行为进行检测,具有扩展性好、部署方便以及不需对现有协议修改等特点,并能将监测结果用于路由配置的改进。异常检测引擎是域间路由监测系统的重要组成部分,本文采用动态的检测链生成技术在实现单视图中异常检测功能的同时提高了检测类型的扩展性,并提出一种基于相关数据集的快速定位和视图分类索引的异常检测算法提高了多视图检测的效率。实验表明,检测引擎在基于网络拓扑结构和路由状态的异常检测方面能力突出,并对多源冲突路由具有较好的检测效果。     

基于拓扑关键点的多路径路由算法

提出了一种结合源路由和中间路由的多路径路由机制以满足可扩展性和路径节点不相交,并且发现了在网络中某些节点会作为拓扑关键点存在,这些节点形成了传输的热点并且是拥塞主要发生的地方,结合多路径路由分析,这些节点同时也会导致多路径路由的分离路径性能低下,这些节点称为拓扑关键点TN.设计了一种基于TN并包含了TN检测和避免的多路径路由算法,实验结果表明了该方法可以优化多路径路由的分离路径性能,提高网络的可靠性.     

基于流量统计的 P2P 网络关键节点识别

针对当前 P2P（peer-to-peer）网络普遍存在关键节点的现状,为了准确地识别 P2P 网络中的关键节点,通过分析关键节点的相应特点,提出了一种基于网络流量的 P2P 关键节点识别方法。通过提取网络流的空间特征等特性作为关键节点识别的依据,并以 Skype 作为研究对象,采用真实的流量数据进行验证测试。实验表明,该方法能够准确地识别出 Skype 网络中的关键节点,识别准确率较高,而且实时性较好。     

An immune-theory-based model for monitoring inter-domain routing system

The inter-domain routing system faces many serious security threats because the border gateway protocol(BGP) lacks effective security mechanisms.However,there is no solution that satisfies the requirements of a real environment.To address this problem,we propose a new model based on immune theory to monitor the inter-domain routing system.We introduce the dynamic evolution models for the "self" and detection cells,and construct washout and update mechanisms for the memory detection cells.Furthermore,borrowing an idea from immune network theory,we present a new coordinative method to identify anomalous nodes in the inter-domain routing system.In this way,the more nodes working with their own information that join the coordinative network,the greater is the ability of the system to identify anomalous nodes through evaluation between nodes.Because it is not necessary to modify the BGP,the ITMM is easy to deploy and inexpensive to implement.The experimental results confirm the method’s ability to detect abnormal routes and identify anomalous nodes in the inter-domain routing system.     

基于SAML的RFID跨域安全系统的研究

传统的RFID系统安全认证与授权通常假定所有的标签属于一个同域(单域)RFID系统,难以应用于跨越RFID系统应用中。提出一种基于安全声明标记语言(SAML)的多域安全认证与授权模型。该模型以EPC网络为基础,将RFID多域系统的安全性和保密机制分为三个概念性部分:RFID前端系统的安全性、RFID后端系统的安全性和RFID域间的系统安全,建立一个基于SAML的RFID系统跨域安全认证和授权方案,并对该方案进行了评估。该方案使得不同域RFID系统间用户可以方便地实现认证与授权。提出的模型和方案对跨越RFID系统安全建设具有重要的参考价值。     

网络环境下跨域信任调度模型

针对跨域资源调度过程中不同域之间信任度评价差异,域与域之间实体信任度无法比较的现象,提出了一个域间信任度计算模型,并由域代理完成不同信任机制的相互转换。通过对不同域之间资源调度历史记录以及推荐信任度进行综合评价,把域间信任度进行规范化,使域之间的信任度有了可比性;给出了跨域信任体系结构;提出了实现跨域调度的算法。实验表明,提出的信任模型和调度算法在跨域范围内选择了信任度高的资源,提高了任务满足率和调度成功率。