RPKI运行风险及CA防护技术研究

来源 :中国科学院大学 | 被引量 : 0次 | 上传用户:jinxiangjinshu
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
互联网被划分为许多较小的自治系统,目前,自治系统之间的路由选择协议采用的是边界网关协议(Border Gateway Protocol,BGP)。BGP协议存在严重的安全缺陷:BGP路由器默认接受网络中发起的任何路由通告。这一安全缺陷容易导致一种被称为“路由劫持”的严重的互联网安全威胁,路由劫持对互联网的正常运行影响非常大,可能会引发路由黑洞、流量窃听以及大规模的拒绝服务攻击等。  为此,国际互联网工程任务组提出了互联网码号资源公钥基础设施(Resource Public Key Infrastructure,RPKI)技术体系,用来防止BGP路由劫持的发生。RPKI通过认证权威(Certification Authority,CA)、资料库和依赖方三个功能组件,为BGP提供了一种可信的路由起源验证机制,其中CA是RPKI的核心功能组件,为RPKI提供可靠的路由起源验证数据。然而,随着RPKI技术的发展及其在全球范围内的大规模部署,与RPKI中CA运行、操作相关的安全问题逐渐突显,并在学术界和工业界引起了广泛关注。CA的错误操作对域间路由系统可能产生与恶意攻击相同的严重安全后果:合法资源被任意撤销、用户被迫下线以及大规模的网络访问故障等。  本文搭建完成了一个支持RPKI完整功能的实验平台,用于对本课题相关研究内容的实验测试和验证,并对RPKI中认证权威的资源分配、证书和路由源授权(Route Origin Authorization,ROA)等数字签名对象的签发过程进行了研究分析。通过在所搭建的实验平台上大量的实验测试,本文首次提出并验证了认证权威在资源分配、证书和ROA签发的过程中,资源重复分配、未获授权资源分配以及非法地址与合并签发导致的合法ROA被撤销三种CA运行操作风险,并分析了三种风险对资源持有者造成的不良影响。最后,针对上述三种CA操作风险,本文提出并实现了一种用于保证RPKI中认证权威资源分配、证书和ROA签发过程安全性和准确性的“事前控制”机制,并通过进一步的实验测试,验证了该机制的有效性和可行性。  本文所完成的重点工作和创新点包括以下三个方面:首先,搭建完成了一个功能完整、面向实际应用的RPKI实验平台;其次,首次提出了CA在资源分配、证书和ROA签发过程中三种新的运行操作风险;最后,提出、实现并验证了解决三种CA操作风险的“事前控制”机制。
其他文献
本文针对天文学交叉证认应用,对分布式连接(Join)算法进行优化研究,基于现有的连接算法基础,提出了基于MapReduce分布式计算框架下的BMJoin连接算法;经过理论分析和实验验证,本文
学位
计算机视觉和模式识别的主要目标是让计算机拥有类似人类视觉的功能,能够较好地分析、理解图像和视频的内容。在计算机视觉领域,物体检测一直是主要研究命题之一。物体检测的任
随着体系结构的发展,各种众核处理器结构已经出现,在单芯片上集成上千核已经可以实现,并会在不远的将来商用化。模拟这样庞大的处理器结构是个巨大的挑战。传统的模拟器都是串行
随着多媒体时代的来临,视频编解码作为一门音视频产业所依赖的共性技术而被广泛关注。微软公司提出的VC-1视频编解码标准是第三代高清视频编解码标准的典型代表,由于其整合了以
云计算和大数据等新应用模式的出现对计算机系统网络处理性能提出了更高的要求。与此同时,随着网络传输速度的快速提高以及处理器系统结构的不断改进,传统网络处理的机制、方法
近年来,随着Web服务的高速发展,HTTP流量增长迅速。如今HTTP协议已占据了互联网络流量中很大的一部分。由于HTIP协议灵活,流行度高,越来越多的网络恶意服务开始利用HTTP进行通信
话题模型是近年来在文本分析和挖掘领域比较流行的机器学习方法,不像传统的向量空间模型在高维稀疏的单词空间中刻画文档,它在表示文档时,通过使用隐话题将文档和单词联系起来。
大规模图算法是移动互联网、物联网、大数据和生物信息处理等新兴应用的核心计算模式。本论文主要围绕两个大规模数据处理的基础算法开展研究:第一个是图遍历算法,是生物信息
学位