In ternet密钥交换协议第二版本(IKEv2)即将成为标准,分析该协议有助于更好地理解和实现该协议,针对协议存在的安全隐患提出改进措施。通过对协议的安全性分析,发现协议面临基于分片的拒绝服务攻击和退化消息类型的中间人攻击。针对前一种攻击提出了一种基于地址偏好列表的防御措施。针对后一种攻击提出了一种基于共享密钥的密钥生成方案。分析表明,使用这两种改进措施可以有效地提高协议抵抗拒绝服务攻击和退化消息攻击的能力。基于地址偏好列表的防御措施可以直接用于协议实现,改进的密钥生成方案可以为协议的下一个版本提供借鉴。
网络地址翻译与协议翻译(NAT-PT),是IPv6(In-ternet P rotoco l vers ion 6)过渡协议中非常重要的一种。地址池是NAT-PT中的重要概念,其大小对于NAT-PT的性能起着关键的影响。该文的主要研究目的就是获得性能和地址数量上的平衡点。该文使用随机Petri网对NAT-PT进行形式化描述,建立了其广义随机高级Petri网模型和广义随机Petri网模型。并且通过工具包SPNP(S tochastic Petri N etPackage)计算分析得到了一定主机数量下地址池大小的近似最优化结果,同时对NAT-PT地址翻译的系统吞吐量进行了评价。当地址数量为近似最优值时,不仅可以节省地址分配,而且系统性能几乎不受影响。
控制和转发单元分离结构(forwarding and control element separation,ForCES)路由器必须能够支持上百个转发单元(forwarding element,FE),为解决分组在路由器内部的路由问题,在ForCES路由器拓扑发现的基础上,提出基于标签的内部路由机制。引入备份路径减少了路由恢复时间。若n代表FE结点数,m代表含外部接口的FE数,e代表平均边数,则该机制与OSPF(open shortest path first)相比,计算量由O(n3)减小为O(mn2),通信开销由ne的数量级减至n的数量级。实验结果表明:转发表更新算法的计算开销优于OSPF。该机制收敛速度快,通信开销小,路径发生故障时能够快速恢复。
