基于HTTPS的RPKI缓存更新机制

RPKI作为解决路由劫持等网络安全问题的重要网络架构,其传输结构主要有两方面构成：供给侧和依赖方的数据同步,以及依赖方和需求侧的数据传输.目前国内外研究内容主要集中在供给侧和依赖方的数据同步环节.依赖方和需求侧的数据传输仍处于初步探究状态.本文针对当前RPKI理论架构难以适应实际部署需求的缺陷,设计并利用JSON化的RPKI缓存数据,实现了一种基于HTTPS的RPKI缓存更新架构.实验结果表明,该分发架构传输稳定.与当前RPKI理论架构相比能够适应多层传输和大量数据传输的需要.     

RPKI增量同步Delta协议的形式化检测与实现

现有RPKI体系中,RPKI资料库与RP服务器之间的数据同步使用开源工具Rsync,但由于RPKI体系中证书数据结构的特殊性,使用Rsync进行数据的同步不仅效率低下,而且Rsync会消耗过多的系统资源,从而使整个RPKI体系遭遇潜在的安全风险.因此,IETF针对RPKI资料库数据特征,提出增量同步Delta协议以替代Rsync在RPKI中的作用.本文详细介绍了Delta协议的工作逻辑和机制,从安全性和高效性两方面将之与Rsync进行全面对比,并使用Promela语言构建Delta协议模型,借助形式化验证工具SPIN对该模型进行验证,从而证明该协议具备较高的协议安全性和稳定性.最后,本文给出Delta协议的实现结构.     

一种改进的BGP路由源认证机制

资源公钥基础设施(Resource Public Key Infrastructure,RPKI)是当前用于保护互联网码号资源分配真实性的技术.作为一种支撑域间路由安全的体系,它解决了边界网关协议(Border Gateway Protocol,BGP)缺乏路由源认证的问题.然而当前RPKI体系中的依赖方(Relying Party,RP)与路由器数据同步机制可能会导致路由源授权(Route Originate Authorization,ROA)信息缺乏真实性和有效性,并且不断查询缓存列表会带给路由器很大的性能负载.据此,本文提出一种改进的BGP路由源认证方案,发送端路由器实时申请存储在RP中的ROA证书,将其附加到BGP update报文中进行传输,以待对等端路由器申请证书公钥对证书进行验证并完成路由源认证功能.该方案将原来周期性更新路由器缓存列表机制改为路由器实时申请认证机制,有效解决了RP与路由器数据同步可能导致的ROA存在错误的问题,降低路由器查询缓存列表造成的路由器运行负载.此外,本文通过Quagga仿真实验表明该方案具有可行性,并对该方案的适用情形进行了具体分析.     

RPKI中CA资源分配风险及防护技术

边界网关协议在安全方面存在严重的缺陷,容易导致路由劫持这一互联网安全威胁. 为此,国际互联网工程任务组提出了资源公钥基础设施（Resource Public Key Infrastructure,RPKI）以防止路由劫持的发生. 然而随着RPKI技术的发展及其在全球范围内的部署,与RPKI中认证权威相关的安全问题逐渐突显,并受到广泛关注. 对RPKI中认证权威的资源分配过程进行研究分析,通过实验测试,验证了认证权威在资源分配的过程中资源重复分配和未获授权资源分配两种潜在的安全风险,并分析了两种风险对资源持有者可能造成的不良影响. 此外,针对这两种安全风险,提出并实现了一种用于保证RPKI中认证权威资源分配安全性和准确性的“事前控制”机制,该机制可以有效地防止资源重复分配和未获授权资源分配两种操作风险的发生,减少了由于认证权威的错误操作所导致的故障恢复等待时间. 最后,通过进一步的实验测试,验证、分析了这种“事前控制”机制的有效性和可行性.     

基于有序哈希树的RPKI资料库数据同步方法

RPKI(Resource Public Key Infrastructure,互联网码号资源公钥证书体系)中的签名对象由RP(Relying Party,依赖方)端同步下载后处理成IP地址块与AS(Autonomous System,自治域)号的真实授权关系,用于指导BGP路由.当前的RP使用软件rsync(Remote Sync)来同步,而rsync的同步算法并未考虑RPKI中文件(目录)的特点,导致同步效率并不理想.通过分析并结合RPKI中文件(目录)的特点,设计并实现了一种基于有序哈希树的RPKI资料库同步工具htsync.实验结果表明,与rsync相比较,htsync在同步时的数据传输量较少,同步时间较短.在设计的3种实验场景下,同步时间平均加速比分别为38.70%、30.13%和3.63%,有效地减少了同步时的时间和资源的消耗.     

资源公钥基础设施数据同步的改进方法研究

资源公钥基础设施(RPKI)依赖方需定期从资料库系统同步数据进行信息验证.为了完成数据同步,当前主流的方式是采用Rsync和RRDP两种技术,但各自存在着相关问题.针对上述问题,通过分析研究依赖方从资料库同步数据的方式,建立了数学模型,并根据两种技术各自面临的相关问题,提出了一种改进的RPKI数据同步方法,分析了传统数...     

基于行为透明性的RPKI撤销检测机制

【目的】为应对当前互联网码号资源公钥基础设施(Resource Public Key Infrastructure,RPKI)层级式认证机制下因单边撤销导致的资源失效问题,本文提出了一种基于行为透明性(Behavior Transparency,BT)的单边撤销检测机制,并通过实验验证了该机制的效果和性能。【方法】本文详细分析了当前RPKI架构下的单边撤销问题和由此导致的下级认证权威(Certificate Authority,CA)资源失效风险,通过部署日志服务器记录CA签发行为来提高CA签发行为的透明性,并以此为基础设计了高效的单边撤销实时监测和应急处置机制。【结果】实验结果表明,在部署有日志服务器且日志服务器足够安全可控的前提下,该机制的检测效率能满足当前架构性能需求,且准确率达到100%,传输开销可忽略不计。【局限】该机制在面向未来的RPKI大规模部署环境下的效率、准确率和可扩展性还有待进一步验证。【结论】本文所提基于行为透明性的RPKI撤销检测在当前RPKI实际部署环境下新引入的开销较小,能有效实现检测目的,支持CA实时监测其自持有资源有效性以及针对其的单边撤销行为。     

互联网码号资源公钥基础设施(RPKI)研究综述

由于缺乏内建安全认证机制,边界网关协议(Border Gateway Protocol,BGP)容易遭受前缀劫持、路径伪造和路由泄露等异常路由攻击.互联网码号资源公钥基础设施(Resource Public Key Infrastructure,RPKI)正是针对BGP协议这一缺陷而提出的安全解决方案,其技术框架的标准...     

一种集群路由器转发表同步框架及关键算法

随着传统体系结构路由器在可靠性和多维可扩展性等方面不能满足下一代Internet发展的需要,集群结构的路由器将成为未来骨干网络的核心.如何保证集群路由器各个路由节点转发表的单映像性,对控制平面及转发平面的性能至关重要,是值得研究的重要问题.在分析现有的各种转发表同步机制特点的基础上,提出一种非对称的路由同步框架--AREF(asymmetrical routes electing fTamework)路由同步框架,更适合于大规模异构的集群路由器系统的特点.在AREF路由同步框架上,进一步提出了AREF路由同步算法.算法针对每个路由前缀使用路由Cache来缓存次优路由,在全局最优路由被删除时,通过预测次优路由来减少同步开销.模拟实验表明,AREF同步框架与算法的性能远远优于其他路由同步机制,与理论最优值比较接近.     

可信互联网中服务提供者身份的可信问题

可信互联网是近年的研究热点。介绍了当前互联网在网域路由、域名解析和可信应用3个层面在身份可信方面的主要进展,包括RPKI、DNSSEC以及网站可信标识体系,介绍了3项技术的主要原理和作用,同时介绍了三项技术目前在互联网社区部署的进展情况。最后特别强调了网站可信标识体系的重要性和意义。     

基于可修改区块链的互联网码号资源管理方案

为加强IP地址、自治域号等国际互联网码号资源的管理和控制,国际互联网工程任务组提出了互联网码号资源公钥基础设施,近年来有效解决路由劫持、路径篡改等问题,为保证域间路由稳定运行发挥了巨大作用.然而,它在互联网码号资源管理模式中存在的安全问题也逐渐突显,如单点故障、资源分配异常、证书撤销数据同步不及时造成验证失效等.本文针...     

基于集群节点间即时拷贝的会话同步技术研究

集群会话同步技术目前主要有如下几种：基于Cookie的会话同步,基于数据库的会话同步,基于分布式缓存的会话同步.在以上会话同步技术的基础上,提出了一种基于集群节点间即时拷贝的会话同步技术,将会话标识信息存放在客户端中,避免了在客户端中存放完整的会话信息,从而可防止用户身份信息暴露的安全隐患;同时,在客户端向服务器发送请求的过程中,只携带会话标识信息,而不是完整的会话信息,传输的数据量将大大减少,提高了客户端对服务器的访问效率;各集群节点间同步会话信息,不需要从数据库中获取会话信息,避免了频繁使用数据库带来的性能瓶颈;也不需要使用专门的会话缓存服务器,减低了开发和部署成本,并具有良好的应用前景.     

基于RPKI-ASPA改进的BGP路径保护机制

BGP协议明文传输,攻击者易对前缀与路径信息进行伪造,进而引发危害巨大的前缀劫持攻击.其中,AS路径信息保护问题主要涉及两个方面:路径防篡改与非法内容验证.RPKI作为解决路由劫持的重要安全体系,目前其体系下的路径验证解决方案主要包括BGPSec、ASPA与Path-End,其中BGPSec主要解决的是路径篡改问题,A...     

Benefit based cache data placement and update for mobile peer to peer networks

Mobile Peer to Peer (MP2P) networks provide decentralization, self-organization, scalability characters, but suffer from high latency and link break problems. In this paper, we study the cache/replication placement and cache update problems arising in such kind of networks. While researchers have proposed various replication placement algorithms to place data across the network to address the problem, it was proven as NP-hard. As a result, many heuristic algorithms have been brought forward for solving the problem. In this article, we propose an effective and low cost cache placement strategy combined with an update scheme which can be easily implemented in a decentralized way. The contribution of this paper is the adaptive and flexible cache placement and update algorithms designed for real MP2P network usage. The combination of MP2P cache placement and update is the novelty of this article. Extensive experiments are conducted to demonstrate the efficiency of the cache placement and update scheme.