RPKI中CA资源分配风险及防护技术

边界网关协议在安全方面存在严重的缺陷,容易导致路由劫持这一互联网安全威胁. 为此,国际互联网工程任务组提出了资源公钥基础设施（Resource Public Key Infrastructure,RPKI）以防止路由劫持的发生. 然而随着RPKI技术的发展及其在全球范围内的部署,与RPKI中认证权威相关的安全问题逐渐突显,并受到广泛关注. 对RPKI中认证权威的资源分配过程进行研究分析,通过实验测试,验证了认证权威在资源分配的过程中资源重复分配和未获授权资源分配两种潜在的安全风险,并分析了两种风险对资源持有者可能造成的不良影响. 此外,针对这两种安全风险,提出并实现了一种用于保证RPKI中认证权威资源分配安全性和准确性的“事前控制”机制,该机制可以有效地防止资源重复分配和未获授权资源分配两种操作风险的发生,减少了由于认证权威的错误操作所导致的故障恢复等待时间. 最后,通过进一步的实验测试,验证、分析了这种“事前控制”机制的有效性和可行性.     

基于多维度特征的不良网站检测

目前主要是通过基于URL（Uniform Resource Locator）、关键词、图片等网页内容为特征的机器学习方法进行不良网站检测.但是,不良网站制作者也会通过更换URL,避免常见不良关键词的使用,对搜索爬虫隐藏图片等做法来规避检测,这使得基于内容的检测方法会有漏检的情况.为了更准确的检测出此类网站,本文提出了注册、解析方面的相关特征,并通过最主流的机器学习方法构建了检测模型.用模型预测新数据集,结果证明,基于解析和注册特征的检测方法可以有效的在网站集合中检测出前文提到的不良网站,并且对于一般不良也依然能够准确识别.本次研究为不良网站的检测研究提供了又一思路.     

网络钓鱼欺诈检测技术研究

分析了网络钓鱼欺诈的现状,并对钓鱼检测常用的数据集和评估指标进行了总结。在此基础上,综述了网络钓鱼检测方法,包括黑名单策略、启发式方法、视觉匹配方法、基于机器学习的方法和基于自然语言理解的方法等,对比分析了各类方法的优缺点,进一步指出了钓鱼检测面临的挑战,并展望了钓鱼检测未来的研究趋势。     

DNS信道传输加密技术: 现状、趋势和挑战

DNS作为重要的互联网基础设施, 其明文传输的特点带来很多隐私安全风险. DoH、DoT、DoQ等DNS信道传输加密技术致力于防止DNS数据被泄露或篡改, 并保证DNS消息来源的可靠性. 首先从DNS消息格式、数据存储和管理、系统架构和部署等6个方面分析明文DNS存在的隐私安全问题, 并对已有的相关技术和协议进行总结. 其次分析DNS信道传输加密技术的实现原理及应用现状, 进而基于多角度评测指标对各加密协议在不同网络条件下的性能表现进行讨论. 同时通过填充机制的局限性、加密流量识别和基于指纹的加密活动分析等方向探讨DNS信道传输加密技术的隐私保护效果. 此外从部署规范、恶意流量对加密技术的利用和攻击、隐私和网络安全管理之间的矛盾, 以及加密后影响隐私安全的其他因素等方面总结DNS信道传输加密技术存在的问题、挑战和相关解决方案. 最后总结加密DNS服务的发现、递归解析器到权威服务器之间的加密、服务器端的隐私保护、基于HTTP/3的DNS等后续需要着重关注的研究方向.     

资源公钥基础设施数据同步的改进方法研究

资源公钥基础设施(RPKI)依赖方需定期从资料库系统同步数据进行信息验证.为了完成数据同步,当前主流的方式是采用Rsync和RRDP两种技术,但各自存在着相关问题.针对上述问题,通过分析研究依赖方从资料库同步数据的方式,建立了数学模型,并根据两种技术各自面临的相关问题,提出了一种改进的RPKI数据同步方法,分析了传统数...     

网络层移动性管理协议浅析

随着 IPv6 全面部署的推进以及互联网和电信网的深度融合,基于全 IP 架构的移动互联网正成为下一代互联网最基本的特征之一,而全IP移动互联网的实现必须有高效的 IP 层移动性管理协议支撑。本文回顾了基于 IP 的移动性管理协议在最近 20 年的发展历程及其应用现状,比较了基于主机和基于网络的两种移动性管理协议的特征,并通过分析阐述了下一代移动互联网中移动性管理协议的重要发展方向。     

去中心化互联网基础设施

域间路由系统、域名系统和公钥基础设施等是互联网重要的基础设施,它们是互联网的网络连通性、服务可用性和通信可信性的基础。然而,这些基础设施或其背后的可信模型是中心化的,存在着中心节点权限过大、单点失效等脆弱性,降低了互联网的安全性、可靠性和平等性。为了构建一个更加安全、可靠、平等和开放的互联网,尝试提出了去中心化的互联网基础设施（decentralized internet infrastructure,DII）,并讨论其体系结构和各层的设计,分析系统的可行性。DII架构包含3个层次：底层利用分布式账本技术构建基础的去中心化能力;中间层构建IP地址和域名等互联网名字空间的去中心化可信管理机制,并支持安全可信的域间路由和域名映射系统;顶层为开放的应用层,支持和促进创新、可信的去中心化互联网应用。     

BGP路由泄露研究

随着互联网规模的急剧扩大,边界网关协议（BGP,border gateway protocol）在域间路由系统中的作用愈加重要。BGP本身存在很大的安全隐患,导致前缀劫持、AS_PATH劫持及路由泄露攻击事件频频发生,给互联网造成了严峻的安全威胁。目前,国内外针对路由泄露的介绍及安全研究机制相对较少。对 BGP 路由泄露进行了详细研究,介绍了 BGP 内容、路由策略及制定规则,分析了重大路由泄露安全事件及发生路由泄露的6种类型,并比较了当前针对路由泄露的安全机制和检测方法,最后对路由泄露安全防范机制提出了新的展望。     

SDN多控制器共识机制研究综述

[背景]伴随着区块链逐渐应用于新一代互联网络的域名、路由、公钥等基础设施,其重要性日益彰显.作为区块链以及整个分布式系统领域的核心技术,共识机制直接影响着区块链的处理能力、可扩展性及安全性,也影响着其在互联网基础设施中的根基.[目的]对软件定义网络SDN(Software Defined Network)中用于实现多控...