基于全局信誉机制的认证路由协议

在介绍和分析认证路由协议ARAN后，发现其存在着无法防范认证节点丢弃数据包或者不参与到路由发送中去等弱点。因此，本文在ARAN的基础上提出了一种基于全局信誉机制的认证路由协议（RARAN）。其主要思想是计算和存储节点的全局信誉值并以此作为路由选择的依据来促进节点间的相互合作。仿真结果显示，在RARAN网络中存在自私节点的的情况下，与ARAN相比，在协议的安全性和网络的包传输率等方面具有更好的性能。     

一种路由设备服务可信属性定义方法与可信路由协议设计

受主观意志和研发能力影响,路由设备生产商难以严格按其对用户承诺提供路由产品,导致设备及其组件中可能存在漏洞与后门,这将给核心网络带来严重的安全威胁。文章为此提出一种路由设备服务可信属性的定义和动态测量方法,并设计相应的可信路由协议,以优化核心网络服务可信属性,促进网络信息传输安全。文章首先分析核心网络范围内网络服务可信属性与信息传输安全的关系,论证通过量化路由设备服务可信属性,同时基于该属性设计可信路由协议,可实现设备资源受限条件下信息传输安全效益的最大化。其次引入"信任度"的概念定义路由设备服务可信属性,在设计基于设备信任度和当前互联网在用路由协议的域内域间可信路由协议的基础上,理论证明上述协议下最优可信路由的存在。接着提出一种基于分组可信路由与实际转发路径一致性检测的路由设备信任度动态量化技术。最后构造可信路由网络模型,检测可信路由协议的安全效益及其对传统路由开销的影响,结果显示可信路由可显著增加信息传输的安全性,其带来的传统路由开销的增长及路由变化的频率与幅度可容忍。     

可证明安全的用户云数据访问控制协议

现有云存储协议中,ABE类协议权威机构权力过大,导致用户数据出现安全隐患;某些协议用密钥管理器对数据加密后上传至云端,但并未完全解决来自密钥管理器的安全威胁。针对上述问题,在当前云存储应用基础上,引入半可信权威机构——密钥生成中心,提出可证明安全的用户云数据访问控制协议(UCDAC),分别对协议中加密算法的IND-CCA安全以及用户授权算法的EUF-CMA安全进行证明。进行功能特征分析和性能仿真,其结果表明,该协议更具安全性、实用性和可操作性。     

基于隔离问题节点的可信传感器网络体系结构

从分析问题节点引起的路由感染问题出发，探讨了使用基站来鉴别、搜索和隔离问题节点的新思路，介绍了一种隔离问题节点的传感器网络可信体系结构，提出了服务于该体系结构的可信路由协议，该协议通过规避问题节点来选择不包括问题节点的安全路径。仿真实验显示，该方案能有效地提高传感器网络有效发包率并延长网络生命期，减少路由感染影响。该方案适用于以数据为中心的资源受限的传感器网络。     

基于无线传感器网络路由协议的安全机制研究

针对无线传感器网络中现有部分路由协议考虑安全需求不够的问题,提出一种基于路由协议的安全机制(RPSS).该安全机制把节省节点能耗和增强路由安全性作为设计目标,采用低能量密钥管理方案和减少转发节点计算量的方法,有效地降低节点的耗能.通过预设密钥和证书,在路由建立阶段增加安全机制,得到一种较优的安全路由方案.经过安全性分析和性能分析,该安全机制可防御虚假路由信息、Sybile和确认欺骗等攻击;还具有适用面广、耗能低和计算量小的优势.     

一种双向认证Ad hoc安全路由协议的研究

由于网络拓扑的动态性、无线链路的多跳性，传统路由协议不能保证Adhoe网络的路由安全．文章提出一种双向认证Ad hoe安全路由协议——MASRP（mutual authenticated secure Ad hoc routing protocol）协议，通过在按需路由发现的同时实现端到端节点的身份认证和一次性会话密钥的交换，以保障路径发现的正确性和数据端到端传输的可靠性，提高路由协议的安全性．协议的安全性在BAN逻辑分析下得到证明．     

Ad Hoc网络中OLSR路由协议的蠕虫防御

针对目前网络蠕虫防御系统的不足,传统路由协议又不能从根本上保证Ad Hoc网络的安全。通过剖析优化的链路状态路由协议(OLSR)中存在的蠕虫路径问题，在现有解决方案的基础上,提出一种有效的路径选择方案，保障了数据端到端传输的可靠性，从而增强了路由协议的安全性。     

可信数据库环境下无证书认证的可信密钥共享

基于DAS模型的可信数据库环境下,数据拥有者将数据加密以后存储于第三方数据库服务提供商,数据拥有者与被授权用户间的可信数据共享本质上是数据密钥的可信共享。现有的DAS模型中密钥管理方法的安全落脚点都是假设数据拥有者与各用户能事先分别安全共享一个用户密钥,而在可信数据库环境下如何进行数据拥有者与用户间的可信用户密钥共享却是一个未解决的问题。基于无证书签名认证机制,提出了一种可信数据库环境下的可信用户密钥共享协议,并对该协议的有效性和安全性进行了分析。该协议完全无需安全传输通道和可信第三方作为支撑,且有较好的执行效率;同时基于DL问题、Inv-CDH问题、q-StrongDH问题等数学难题,该协议被证明能有效抵御无证书安全模型下的各种攻击。     

基于双链的可扩展物联网模型

针对当前区块链和物联网结合面临的存储和交易吞吐量压力进行了研究,提出一种基于双链的可扩展物联网模型.首先,设计了基于交易链和哈希(hash)链的双链存储结构和分区模型,通过交易链差异化存储降低了节点的存储压力,通过hash链提升了系统的整体安全性,并实现了全网数据的自由交易;其次,提出了一种并行多块创建协议(parallel multi-blocks creation protocol,PMCP),降低了系统共识时延,提高了系统的吞吐量,具有良好的可伸缩性;最后,提出了基于信誉的验证者和领导者选举算法,保证了节点选择的随机性和公平性,避免了系统中心化问题,设计了节点信誉值的评估机制,保证了协议的安全性.实验结果表明,该模型存储容量较传统区块链模型有大幅度提升,提高了区块链系统的可扩展性,PMCP协议的吞吐量和时延要明显优于PBFT等协议,所提信誉机制激励节点作出理性选择,可以很好地提升网络的安全性.     

无线传感器网络安全路由协议研究

由于无线传感器节点电量有限、计算能力有限、存储容量有限以及部署野外等特点,使得它极易受到各类攻击。目前,国内外学者提出了许多无线传感器网络路由协议,但是这些路由协议大都没有考虑到安全问题。因此,研究无线传感器网络安全路由协议具有极其重大的意义。对近年来的无线传感器网络安全路由协议进行了分析和总结。首先对传感器网络路由协议易受到的安全威胁和攻击进行了分类和总结;然后对无线传感器网络安全路由协议进行分类,之后详细描述了几种典型的安全路由协议;最后对各种安全路由协议的性能进行分析比较,并给出其亟待解决的问题及其未来的研究方向。     

基于SPVP协议的BGP路由收敛算法

针对Internet域间路由慢收敛问题,提出基于简单路径向量协议(SPVP)的BGP路由收敛算法。分析该算法在4种全接连网络拓扑中的Tdown收敛边界值得出,通过检测域间失效链路的根源节点能有效减少路由收敛时间和更新消息开销。SSFNet仿真结果表明,该算法收敛时间上限为O(d)。     

未来骨干网路由协议－－BGP

边界网关协议在自治系统之间提供无路径的路由。通常ＢＧＰ在许多ＩＳＰ之间运行。详细介绍ＢＧＰ协议基本框架及如何工作的。     

边界网关协议的攻击分析与安全防范

分析边界网关协议(BGP)当前版本中存在的漏洞和脆弱性,指出可能遭受的基于TCP及自身漏洞的攻击。提出BGP的安全威胁模型和防范策略,以及如何对协议功能进行扩展的措施。以CISCO路由器为例,给出典型的安全防范配置。实践证明,通过访问控制列表、数字签名、路由过滤、源地址检测和协议扩展方案,可以有效提高网络的安全性和稳定性。     

边界网关协议BGP安全性的分析与加强

边界网关协议BGP是INTERNET路由组织中的重要组成,文章分析了BGP的安全弱点,从报文设计的角度,通过添加PKI和数字签名等安全技术来确认BGP系统内IP地址和AS号的所有权与合法性,并对UPDATE报文的接受者和发送者授权认证,避免了报文的冒充发送和接受,增强了BGP对等体之间的信任程度,在更深的层次上加强了BGP协议的安全性.     

基于事件驱动的边界网关协议BGP-4的设计与实现

边界网关协议BGP(border gateway pr otocol)是Internet上用于自治系统之间交换路由信息的动态路由协议.介绍了在清华大学研 制的国产高性能路由器中分布式路由协议BGP-4的具体实现.为了实现这一复杂的动态协议, 提出基于事件驱动的设计和实现方法.事件驱动机制能够精确地反映网络报文交换行为的实 现机制,因而很适合Internet高层协议的实现.该方法也可以用于实现其他的Internet高层协议.     

基于集群路由器体系结构的BGP分布并行实现技术研究

本文分析了BGP协议在因特网环境中面临的巨大路由表容量、消耗大量控制平面计算资源、支持邻居会话数量有限等难以解决的问题;基于集群路由器体系结构的特点,提出并讨论了BGP协议的四种分布式实现技术;最后对这几种实现技术进行了比较,指出了分布式实现技术相对于传统集中控制方式的优势及特点。     

Internet域间路由振荡问题分析与研究

边界网关协议(BGP)是Internet域间路由的事实标准,它允许各自治系统独立配置路由选择和播发策略,但这种局部配置可能导致全局策略配置冲突和低效,从而引起路由振荡的问题。文章分析了域间路由振荡问题,并综述了其相应的各种解决方案。     

A network accountability based verification mechanism for detecting inter-domain routing path inconsistency

Border Gateway Protocol (BGP) has no mechanism to guarantee the consistency between actual routing path and announced routing path in the inter-domain routing. Due to incentives of gaining more economic benefits, malicious Autonomous Systems (AS) could announce inconsistent path and misroute data packets. In this case, routing policies are meaningless, rational ASes are cheated and stability of Internet is destroyed seriously. Existing methods are devoted to securing announce routing path only or discovering path inconsistency with lots of overhead. Based on network accountability, a routing path verification mechanism is proposed to detect path inconsistency. The mechanism enables ASes in the path to generate routing evidence. Routing evidence is produced by analyzing packets in a time slot and is encrypted with the key of AS. With routing evidence, source AS checks every subpath connecting adjacent ASes until it confirms the existence of path inconsistency. The factors that influence the mechanism and the deployment in the real network are also discussed. The experiment results show that it has a good performance from aspects of effectiveness, overhead and scalability.     

一种可扩展的分布式网络攻击测试系统

随着计算机网络攻击技术的日益成熟，新的攻击手段层出不穷，针对路由协议的攻击就是其中的一种。RIP/RIPng、OSPF和BGP协议是网络中较常用的动态路由协议。文章在分析它们特点的基础上，提出针对各种可能的攻击方式。文中设计出了一个分布式网络攻击测试系统，模块化的体系结构使该系统具有良好的可扩展性。初步试验结果表明，使用Tcl开发的攻击例，该系统成功完成了对基于上述路由协议的网络攻击的模拟和测试,为解除网络中可能存在的安全隐患提供了有力的帮助。     

BGP收敛性质改善的MRAI时钟设置方案

针对当前边界网关协议(BGP)路由存在慢收敛会引起网络数据转发层服务质量下降问题,基于一个简化的BGP路由模型和核心网络拓扑结构,提出一个新的MRAI时钟设置方案。该方案需要根据已知网络条件先计算后设置。通过使用ssfnet仿真软件测试表明,与RFC1771中时钟抖动方案相比,该方案能够减少BGP平均网络收敛延时和更新消息交互数量.