学位论文 > 优秀研究生学位论文题录展示

路由协议若干安全问题研究

作 者: 李道丰
导 师: 杨义先
学 校: 北京邮电大学
专 业: 密码学
关键词: OSPF路由协议 可净化签名 信任理论 基于身份签名 聚合签名 边界网关协议
分类号: TP393.04
类 型: 博士论文
年 份: 2011年
下 载: 165次
引 用: 0次
阅 读: 论文下载
 

内容摘要


随着网络需求的日益增长,网络基础设施的可靠性越来越得到关注。如今,路由协议(如RIPv2, EIGRP, BGP和OSPFv2等)以及网络管理协议(如SNMPv3)构成了网络基础设施的关键核心内容。路由协议是下一代网络基础设施的研究热点,其中路由协议的安全问题是其研究内容之一。一个路由协议的安全内容主要包括保护路由协议消息的完整性和真实性以及如何选取一条安全可信的路由。其中路由协议信息的真实性是指路由信息的宣告路由器的身份的合法性。具体地,发起的路由信息确实属于某个合法的路由器所拥有;路由协议信息的完整性是指路由信息在传输过程中不被修改,即传输的路由信息被接收时仍然和发起的路由信息一致。OSPF路由协议和BGP路由协议是目前应用比较广泛的主流路由协议。它们面临的威胁主要来自于外部威胁和内部威胁。外部威胁主要是来自于外部入侵者的攻击,即非路由协议的参与方,主要有破坏邻居关系,重放路由信息攻击,冒充攻击,监听和流量分析。内部威胁主要来自于参与路由协议的已被入侵(傀儡)的路由器的攻击引起,包括生成伪造、删除或修改正确的路由信息等。本文工作主要定位于OSPF路由协议和BGP路由协议,对它们存在的安全问题进行了研究。借助信任理论和密码学理论的知识,我们解决了OSPF路由协议和BGP路由协议存在的若干安全问题。其中我们利用信任理论手段解决了如何在OSPF路由域中选取一条安全可信的路由问题,同时利用可净化签名方案,实现了OSPF路由信息的保护,特别是age域的值的完整性和真实性的保护。在BGP路由协议方面,我们借助基于身份的密码学思想、聚合签名方案以及可净化签名方案,提出了基于2跳的路径属性真实性和完整性保护机制。具体研究成果包括如下:(1)首先,综合实体状态和行为因素,提出一种可信网络动态信任模型。通过进行实体的状态行为关联分析,提取信任信息,深入分析信任与状态和行为之间的关系,并提出基于状态行为关联的实体动态信任计算方法。仿真表明,所提出的信任模型提供实时动态信任,能够有效地发现和处理动态恶意实体策略性的行为改变和恶意攻击。为网络安全机制制定智能安全策略提供一定参考,提高网络可信性能。(2)关于可信路由选取问题,利用前面我们在第(1)中提出的信任模型,给出一种基于信任理论的可信路由算法,其中将链路状态信任值、链路成本率和路由器任值作为关键因素,并利用灰度关联分析方法来求出网络中的可信路由路径。所提出的算法中,重点综合考虑了关键因素链路状态信任值、链路成本率和路由器任值的关联影响程度,而避免现有路由器信任值算法中仅用简单加权平均算法。能确保网络中数据流的安全传输同时能避免和识别路由器远程攻击。(3)主要对OSPF协议中的LSA报文中各内容的真实性和完整性进行问题。为了实现该目标,我们提出基于可净化数字签名的OSPF路由协议安全机制。利用数字签名技术——可净化签名方案来保护OSPF路由协议的LSA报文。具体地,首先通过对可净化签名方案进行适当改进,然后根据我们的改进方案,使之能对LSA报文的各个域的内容,特别是能保护LSA报文的Age的值,以抵制针对OSPF路由协议的内部攻击,如最大年龄(MaxAge)攻击。(4)为BGP路由协议的路径属性完整性保护问题,提出新型的BGP路由协议安全机制。目标是寻求更高效的AS_PATH路径属性完整性保护机制。首先我们借鉴基于身份的密码设计思想,运用双线性映射的技术以及由Brzuska等提出的可净化签名方案,结合聚合签名技术,提出一种基于身份的可净化聚合签名方案,然后,将该方案应用于保护AS PATH路径属性的安全,提出了一种可抵御重放攻击的2跳路径属性聚合认证安全机制。相同网络环境及系统参数下,聚合签名运算量减少,路由更新收敛时间较少,具有一定的实用性。不仅能丰富密码学理论本身,且具有重要的应用价值。

全文目录


摘要  5-7
ABSTRACT  7-12
第一章 绪论  12-24
  1.1 引言  12-18
  1.2 本文的研究思路  18-20
  1.3 本文的贡献  20-22
  1.4 本文的组织  22-24
第二章 路由协议安全问题研究概述  24-33
  2.1 引言  24-26
  2.2 OSPF路由协议安全研究  26-29
  2.3 BGP路由协议安全研究  29-32
  2.4 本章小结  32-33
第三章 OSPF协议可信路由选取  33-65
  3.1 引言  33-34
  3.2 信任理论研究现状  34-41
  3.3 基于状态行为的信任模型  41-53
    3.3.1 状态行为关联  41-45
    3.3.2 可信网络实体动态信任计算  45-48
    3.3.3 仿真试验及结果分析  48-53
  3.4 路由信任  53-60
    3.4.1 路由信任概念  53-54
    3.4.2 路由器信任模型及其形式化  54-57
    3.4.3 路由信任参数形式化  57-60
  3.5 OSPF协议可信路由选取机制  60-64
    3.5.1 选取机制  61-62
    3.5.2 实例分析  62-64
  3.6 本章小结  64-65
第四章 OSPF协议的LSA内容保护  65-75
  4.1 引言  65-66
  4.2 OSPF协议报文  66-67
  4.3 可净化签名方案及其改进  67-70
    4.3.1 可净化签名方案  67-69
    4.3.2 方案改进  69-70
  4.4 LSA报文保护机制  70-72
  4.5 安全分析  72-74
  4.6 本章小结  74-75
第五章 BGP协议路径属性保护  75-94
  5.1 引言  75-76
  5.2 BGP协议简介  76-78
  5.3 一种基于身份的可净化聚合签名方案  78-89
    5.3.1 基于身份的可净化聚合签名模型  79-82
    5.3.2 方案构造  82-84
    5.3.3 正确性分析  84-85
    5.3.4 安全性分析  85-89
  5.4 基于2跳路径属性聚合认证机制  89-93
    5.4.1 基于2跳路径属性聚合认证机制  90-92
    5.4.2 安全性分析  92
    5.4.3 效率分析  92-93
  5.5 本章小结  93-94
第六章 总结与展望  94-97
  6.1 总结  94-95
  6.2 展望  95-97
参考文献  97-105
致谢  105-106
作者在攻读博士学位期间的研究成果  106-107

相似论文

  1. 基于身份的加密和签名研究,TN918.1
  2. 基于身份无可信中心的签名体制研究,TN918.1
  3. 域间路由协议BGP内容安全的研究,TP393.08
  4. 小型家族企业的非正式福利研究,F276.5
  5. IP网中OSPF路由协议的可信改造,TP393.04
  6. 基于身份的群组数字签名研究,TN918.1
  7. 面向ForCES架构的分布式OSPF协议的研究与实现,TN915.04
  8. Ad hoc网络中关键安全技术的研究,TN929.5
  9. 环签名及其应用的理论研究,TN918.1
  10. 网络安全战略预警系统设计及关键技术的研究,TP393.08
  11. 基于OSPF路由协议的动态配置技术,TP393.04
  12. 门户网站的品牌忠诚度影响因素实证研究,F224
  13. 基于UML的OSPF协议分析和建模技术研究,TP311.1
  14. 电子现金支付协议的设计,TP393.04
  15. 多故障网络环境下路由协议性能的计算机仿真分析,TN915.04
  16. 若干具有特殊性质的数字签名的研究与设计,TN918.1
  17. 基于MPLS技术的运营骨干网络关键技术研究,TN915.02
  18. 一种基于时间控制的边界网关协议算法的研究,TP393.04
  19. 基于粒子滤波和背景建模的多目标跟踪技术的研究和实现,TP391.41
  20. 生成Internet自治系统层次拓扑图算法研究与实现,TP393.02

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 通信规程、通信协议
© 2012 www.xueweilunwen.com