由于現有的TCP/IP沒有對地址、身份等信息進行認證,造成源地址欺騙、路由劫持等大量攻擊的發(fā)生,嚴重威脅到網絡安全。而現有基于PKI體系的CA認證機構的管理效率低、沒有統(tǒng)一性,不適合在全網統(tǒng)一范圍進行認證。為了能夠高效地管理、認證和存儲公鑰信息,建立全網統(tǒng)一的網絡層可信身份認證與管理機制,提出了基于ZooKeeper的全網統(tǒng)一信任錨模型。該模型利用ZooKeeper的負載均衡、數據一致性等優(yōu)點,采用分布式架構來共同管理信任錨,以一種全網統(tǒng)一的ID標志信息來解決身份與地址真實性鑒別問題,實現網絡的平等互聯、安全可信。 

【文章來源】：計算機應用研究. 2020,37(12)北大核心

【文章頁數】：4 頁

【部分圖文】：

信任錨體系模型

圖1 信任錨體系模型當節(jié)點向集群進行添加公鑰操作的時候，根據節(jié)點的層次化ID標志信息(如shi1.bistu1.edu1.cn)，轉換為Zoo Keeper中的節(jié)點位置(如/cn/edu1/bistu1/shi1)存儲在/publickey中，Zoo Keeper先判斷信任根節(jié)點(如/cn)是否存在，若不存在則創(chuàng)建一個以信任根節(jié)點(如/cn)為名字的節(jié)點，節(jié)點類型為持久無順序節(jié)點，其內容為null，若存在則繼續(xù)判斷其子節(jié)點是否存在，直到全部創(chuàng)建完成，在相應位置添加其公鑰消息。

如表2可知，以N1～N10依次來表示10萬至100萬次的查詢公鑰信息次數，正確率均為1.0，以層次化命名方式的節(jié)點在查詢公鑰的平均時間上會比扁平化命名方式的節(jié)點縮短，最多縮短了1.9%，并且以層次化命名方式的節(jié)點平均時間的浮動也較小，相差不超過0.05 ms，相對比較穩(wěn)定。因此在Zoo Keeper信任錨集群中采用層次化的命名方式能夠更加高效地進行對公鑰的查詢。圖4 不同命名查詢公鑰

【參考文獻】：
期刊論文
[1]RISP:An RPKI-Based Inter-AS Source Protection Mechanism[J]. Yihao Jia,Ying Liu,Gang Ren,Lin He.  Tsinghua Science and Technology. 2018(01)
[2]一種安全可信的網絡互聯協議（STiP）模型研究[J]. 蔣文保,朱國庫.  網絡空間安全. 2017(01)
[3]互聯網地址安全體系與關鍵技術[J]. 徐恪,朱亮,朱敏.  軟件學報. 2014(01)
[4]基于PKI/CA互信互認體系的電子政務[J]. 顏海龍,閆巧,馮紀強,程小茁.  深圳大學學報(理工版). 2012(02)



本文編號：2993514