蔣文保+朱國庫

【 摘 要 】 針對未來網絡對安全性和移動性的需求，論文基于身份標識與地址定位分離的思想，提出一種安全可信的網絡互聯(lián)協(xié)議模型，簡稱STiP（Secure and Trusted internet Protocol）模型。STiP模型將傳統(tǒng)的IP地址雙重功能進行分離，同時通過引入報文簽名與驗證、地址/身份認證和去中心化密鑰管理等內在安全機制，能從源頭上解決源地址欺騙、路由劫持、拒絕服務等網絡安全問題，從而有利于構建自主可控、安全可信的互聯(lián)網環(huán)境。文中詳細探討了STiP模型的體系結構、安全主機標識與基于層次樹的名址映射解析系統(tǒng)、骨干網安全路由及去中心化的密鑰管理方案等關鍵技術。

【 關鍵詞 】 未來網絡；互聯(lián)網協(xié)議；網絡安全；可信網絡；地址安全；命名與尋址

Research on the Secure and Trusted Internet Protocol

Jiang Wen-bao Zhu Guo-ku

（School of Information Management， Beijing Information Science and Technology University Beijing 100192）

【 Abstract 】 To fullfill the requirements of security and mobility in the future network environment， a secure and trusted internet protocol based on locator and identifier separation is proposed in this paper，which is called STiP.STiP separates the traditional dual functions of IP address. Moreover， intrinsic security mechanisms are designed in STiP， including digital signature and authentication， address and identity validation and decentralized key management.With the help of STiP， the security problems of current Internet such as address spoofing， route hijacking and denial of service can be solved from the source， and these help to build a secure and reliableinternet environment with controllability. The architecture of STiP， secure host identifierand its hierarchical name system， the security routing of the backbone network and its decentralized scheme for key managementand some other key technologies are discussedin detail in the paper.

【 Keywords 】 future network； internet protocol； network security； trusted network； address security； naming and addressing

1 引言

目前，以TCP/IP協(xié)議為核心技術的Internet（因特網）得到了飛速發(fā)展，正在全面改變人們的生產生活方式。網絡技術廣泛應用和網絡空間興起發(fā)展，極大地促進了經濟社會繁榮進步，同時也帶來了新的安全風險和挑戰(zhàn)。地址和路由系統(tǒng)是當前Internet體系結構的核心，在安全性上，由于現(xiàn)有的TCP/IP協(xié)議不具備地址真實性鑒別等內在的安全機制，導致攻擊源頭和攻擊者身份難以追查[6]。路由設備基于目的地址轉發(fā)分組，對數(shù)據(jù)包的來源不做驗證，大量基于地址偽造的攻擊行為無法跟蹤，造成源地址欺騙、路由劫持、拒絕服務等大量攻擊的發(fā)生，嚴重威脅網絡的安全。解決包括地址安全在內的網絡命名安全問題[8]，構建安全可信的互聯(lián)網環(huán)境，已成為亟待解決的重要課題。

無疑當前的Internet體系結構需要進行變革，以IPv6為代表的漸進式變革方案，為了最大程度維持已有的Internet體系結構，其安全增強技術都是以修修補補的形式添加進來的，通常只能在局部范圍內解決局部問題，難免出現(xiàn)安全漏洞、功能重疊、實現(xiàn)復雜、系統(tǒng)性不強等問題，不能從根本上保證網絡的安全。當前國際上逐步興起的未來網絡技術研究，主張采用全新的互聯(lián)網體系結構，創(chuàng)造出一個以全新的命名與尋址、新的路由和交換技術、新的安全機制等要素構成的網絡空間。

在現(xiàn)有Internet體系結構中，IP地址承載了端系統(tǒng)的身份標識和地址定位的雙重作用，這是許多安全問題的癥結所在。當終端主機需要移動時，IP地址作為地址定位符必須改變，但此時主機的身份并未變化。IP地址兼具身份和定位的語義過載特性帶來源地址和路由前綴兩個方面的安全威脅[6]。主機移動和多宿主引發(fā)了新的安全問題，主要有地址盜用和地址洪泛[7]。

為了解決這些安全問題，IETF提出了HIP（Host Identity Protocol）[1-2] 協(xié)議。HIP在網絡層和傳輸層之間插入主機標識層，主機標識符HI（Host Identity）提供主機身份標識功能，由傳輸層使用，IP地址作為網絡層的定位標識符，實現(xiàn)數(shù)據(jù)報的路由轉發(fā)。HIP在終端主機中實現(xiàn)名址分離，解決了移動性問題。同時，HI是非對稱密鑰體制中的公鑰，可利用HIT（Host Identity Tag）實現(xiàn)主機和消息鑒別，增強了安全性。但是，HIP只能用于主機之間的端到端身份鑒別，無法應對地址前綴欺騙[8]。

LISP（Locator/Identifier Separator Protocol）[3-4] 協(xié)議是思科公司為了回應IAB（Internet Architecture Board，Internet結構委員會）路由與地址工作組的要求而提出的，它定義了兩個獨立的IP地址空間：終端標識EID（Endpoint ID）和路由位置標識RLOC（Routing Locator）。終端主機使用EID來標識身份，路由器使用RLOC 來標識。LISP 協(xié)議不需要對終端主機和中心路由器做任何改變，利用了成熟的隧道技術，邊緣路由器通過映射服務實現(xiàn)IP地址雙重身份的分離，實現(xiàn)了對移動性的支持，原有的TCP/IP網絡中的路由技術可以直接利用，可以盡快實現(xiàn)部署。但由于同樣沒有內在的安全機制，相對于現(xiàn)有的網絡體系，LISP協(xié)議的安全性并沒有提高[5]。

本文借鑒HIP和LISP協(xié)議的有關名址分離思想，提出一種基于未來網絡架構的安全可信的網絡互聯(lián)協(xié)議模型，簡稱STiP（Secure and Trusted internet Protocol）模型。STiP模型將IP地址雙重功能進行分離，在結構上分為接入網和骨干網兩部分。同時，通過引入報文簽名與驗證、地址/身份認證和去中心化密鑰管理等內在安全機制，STiP模型能從源頭上根本解決包括地址/身份安全在內的網絡命名安全問題，從而有利于構建安全可信的互聯(lián)網環(huán)境。

2 STiP模型體系結構

2.1 總體框架

本文基于未來網絡設計思想，采用HIP和LISP協(xié)議將IP地址雙重功能進行分離的理念，引入報文簽名與驗證、地址/身份認證和去中心化密鑰管理等內在安全機制，提出一種安全可信的互聯(lián)網協(xié)議模型，簡稱STiP模型。STiP模型將IP地址雙重功能進行分離，在結構上分為接入網和骨干網兩部分，如圖1所示。

接入網完成終端主機的接入，主要包括接入認證服務器和終端主機等實體。STiP使用全局唯一的安全主機標識符SHI（Secure Host Identifier）來標識網絡中接入的每臺終端主機，主機標識不參與全局路由。骨干網實現(xiàn)位置的管理與數(shù)據(jù)路由，主要包括入口隧道路由器ITR （Ingress Tunnel Router）、出口隧道路由器ETR （Egress Tunnel Router）、骨干路由器、名址映射解析服務器等實體。其中路由器位置使用RLOC（Routing Locator）來標識，RLOC完成數(shù)據(jù)包的轉發(fā)和路由，入口隧道路由器ITR和出口隧道路由器ETR實現(xiàn)接入網絡和骨干網絡的隔離，ITR通過映射方式實現(xiàn)從SHI至RLOC的映射解析。

接入網與骨干網使用獨立的地址空間：接入網使用安全終端標示符轉發(fā)數(shù)據(jù)，骨干網使用IP地址路由和轉發(fā)數(shù)據(jù)包。終端主機不能直接訪問路由器，可有效防止終端主機對路由器的攻擊。STiP接入網和骨干網分離架構設計可保證未來終端接入技術與骨干網架構分別獨立地演進。

在安全方面，STiP模型引入地址/身份認證、報文簽名與驗證和去中心化密鑰管理等內在安全機制，能從源頭上根本解決地址/身份真實性問題。在接入網中，由接入認證服務器來驗證終端主機的真實性。映射服務器要為終端主機綁定一個主機標識、一個所在區(qū)域的RLOC和一對公私鑰等信息，終端主機使用私鑰對報文進行簽名，接入認證服務器可以通過查詢映射服務器獲取和源主機標識綁定的公鑰，對來自終端主機的數(shù)據(jù)包進行鑒別。在骨干網中，由于每一個RLOC都可能是接入網的骨干路由器，RLOC收到的數(shù)據(jù)包有可能來自于骨干網內任何一個RLOC發(fā)送的數(shù)據(jù)包，每個RLOC都應能獲取到骨干網上所有的RLOC的公鑰信息。STiP采用一種去中心化的密鑰管理方案來保證各RLOC上公鑰的一致性。

2.2 工作流程

根據(jù)圖1所示，在STiP模型中，當一個站點的終端向另外一個站點的終端發(fā)送數(shù)據(jù)時，對端SHI在骨干網中沒有路由表項。當數(shù)據(jù)到達ITR后，如果ITR在本地映射緩存表中沒有找到SHI-to-RLOC的映射表項，會向本地映射解析器LMR（Local Map Resolver）發(fā)送報文，請求獲取SHI-to-RLOC的映射關系；LMR收到ITR的請求后開始解析該請求報文，首先在本地查找SHI的映射信息，如果SHI記錄不存在，LMR會向根映射解析器RMR（Root Map Resolver）發(fā)起迭代查詢，本地映射解析器經過根映射解析器、頂級映射解析器TMR（Top-level Map Resolver）和權限映射解析器AMR（Authoritative Map Resolver）的三次迭代查詢后從權限映射解析器得到ITR查詢的SHI的綁定信息，即SHI-Public Key-RLOC。在ITR接收到映射響應報文后，解析出對端SHI綁定的RLOC地址，然后ITR以自己的RLOC為源地址，以對端SHI的RLOC為目的地址封裝報文。對端ETR接收到數(shù)據(jù)包后解封裝報文，再將報文發(fā)送到目的終端。ITR每次映射解析請求得到響應后，會將響應報文中攜帶的SHI-RLOC的映射關系保存在本地映射緩存表中，緩存中的SHI-RLOC的緩存記錄可以設置一個TTL（Time-To-Live）值，即一條映射記錄緩存的時間長度，在TTL內對該目的SHI的訪問可直接封裝成STiP報文發(fā)送。32位或者128位的RLOC地址長度沒有增加基本報頭中地址的負載，其中的地址轉換、路由聚合等沿用現(xiàn)有體系結構中的協(xié)議方案。

3 安全主機標識與接入認證

3.1 安全主機標識及基于層次樹的名址映射

ITR/ETR要依賴MR（Map Resolver）獲取映射關系后才能進行數(shù)據(jù)封裝和轉發(fā)。因此，SHI與RLOC的映射解析是STiP建模要核心解決的問題之一，包括映射關系的創(chuàng)建、更新和刪除。骨干網所有ITR查詢到的SHI-RLOC映射關系要保證一致性。如果采用泛洪協(xié)議算法，即將整個映射數(shù)據(jù)通告到網絡邊緣，將分散在各ITR內的離散的映射關系擴散到每個ITR，在骨干網內形成一致的映射關系庫。ITR在進行數(shù)據(jù)轉發(fā)的時候，不從MR中獲取映射表，而從本地映射關系庫獲取對端ETR的RLOC信息進行封裝。每個ITR都保存一份完整的映射關系庫，雖然可以控制查詢/響應延遲，但增大了映射狀態(tài)規(guī)模，這種扁平的無結構的名字空間顯然會在ITR上產生巨大的存儲和計算開銷。

另外，考慮到Socket編程通常使用Hostname來標識通信對端的主機，本文參照域名系統(tǒng)DNS（Domain Name System）設計了一種有層次結構的主機標識命名方案和一種基于層次樹的名址映射解析系統(tǒng)。安全主機標識符SHI是全局唯一的，為了增加骨干網內傳輸?shù)臄?shù)據(jù)包中源主機標識符的私密性，具體實現(xiàn)中可以考慮在接入認證服務器使用哈希算法對不定長的安全主機標識符生成固定長度的安全主機標識標簽SHIT（Secure Host Identifier Tag），然后將原始數(shù)據(jù)包中的源主機標識符替換為該哈希值。

如圖2所示，基于層次樹的名址映射解析系統(tǒng)由根映射解析器、頂級映射解析器和權限映射解析器組成樹狀的拓撲結構，圖中的A、B、C、D所示的根映射解析器組成了骨干區(qū)域，骨干區(qū)域以外的區(qū)域稱為非骨干區(qū)域。頂級映射解析器和權限映射解析器等節(jié)點組成了非骨干區(qū)域A，本文使用骨干區(qū)根節(jié)點名稱+“”的方式描述非骨干區(qū)域。骨干區(qū)內的節(jié)點要維護頂級映射解析器的位置信息，包括位置信息的增、刪、改操作，任一骨干節(jié)點發(fā)起的操作請求都要獲得過半骨干節(jié)點的投票同意后才能提交，投票通過的操作請求會在各個骨干節(jié)點上完成事務的提交。

從頂至下的迭代查詢可保證每一次的映射解析都是最短搜索路徑，這樣既可以保證SHI的全局唯一性和聚合性，也可以控制每一層MR的映射表規(guī)模。最大限度地降低映射查詢延遲可以在主機移動后避免報文丟失。SHI名字結構示例如下：

facility.scheme.bistu.edu.cn

解析facility. scheme.bistu.edu.cn的映射關系的迭代查詢步驟如下：

a） 本地MR服務器分析全名，確定需要對cn映射解析服務器具有權威性控制的服務器的位置，請求并獲取響應；

b） 請求對cn映射解析服務器查詢獲取edu.cn服務器的參考信息；

c） 請求對edu.cn映射解析服務器查詢獲取bistu.edu.cn服務器的參考信息；

d） 請求bistu.edu.cn映射解析服務器，獲取 scheme.bistu.edu.cn的服務器的參考信息；

e） 請求scheme.bistu.edu.cn映射解析服務器，獲取facility.scheme.bistu.edu.cn的綁定信息響應。

映射關系的更新頻率主要受終端位置移動和可達狀態(tài)的影響，本文建立的層次樹狀的名址映射解析系統(tǒng)可以快速響應映射關系的注冊、更新、查詢和刪除請求，映射關系的更新頻率和更新消息的通信量不會成為MR的性能瓶頸，因為映射關系的維護是狀態(tài)收斂的，映射查詢延遲和映射狀態(tài)規(guī)模是可控的。另外，映射解析服務要考慮如何抵御DOS（Denial of Service）攻擊等安全問題。當終端主機需要移動時，如圖3所示，終端A從接入網1移到接入網2。接入路由器2監(jiān)測到終端A的連接，接入網2首先驗證A是否是偽造或者冒充的，驗證通過后，接入路由器2向映射解析服務器發(fā)送映射更新消息。

假設終端A的主機標識符為facility.scheme.bistu.edu.cn，更新facility. scheme.bistu.edu.cn與RLOC1的映射關系的步驟如下：

a） 本地MR服務器通過迭代查詢獲取到scheme.bistu.edu.cn服務器的參考信息；

b） 請求對scheme.bistu.edu.cn映射解析服務器更新facility.scheme.bistu.edu.cn的綁定RLOC信息；

c） 刷新本地緩存。

這里要考慮的是AMR上和SHI綁定的信息更新后，A主機的通信對端B所在的接入網3使用的LMR緩存失效引起的映射服務時效問題。如果A的位置相對比較固定，可以考慮由接入網2使用的LMR向接入路由器1發(fā)送綁定更新通知，接入路由器1再向A的通信對端主機綁定的接入路由器3發(fā)送綁定更新通知，接入路由器3向 LMR發(fā)送緩存失效的更新通知。當有大量終端快速移動時，映射更新頻率變高，更新規(guī)模變大，可以考慮給這些節(jié)點的綁定信息設置較小的TTL值。

3.2 接入認證

STiP模型引入內在的身份認證機制，接入網和骨干網建立不同的認證和授權機制。接入網和骨干網都使用點對點的方式來驗證通信對端的確是自己所要通信的對象。通信對端通過報文鑒別的方法來驗證報文是否是偽造的或者經過篡改的。發(fā)送端把報文X經過摘要運算后得到很短的報文摘要H1，再用自己的私鑰對H1進行D加密運算，即數(shù)字簽名。得出簽名D（H1）后，將其附加在報文X后面發(fā)送出去，接收方收到報文后首先把簽名D（H1）和報文X分離，再用發(fā)送方的公鑰對D（H1）進行E解密運算，得出報文摘要H1，再對報文X進行摘要運算，得出報文摘要H2。如果H1等于H2，接收方就能斷定收到的報文是真實的；否則就不是。

接入網要驗證接入的終端主機不是偽造和冒充的，本文設計接入認證服務器來驗證終端主機的真實性。名址映射解析服務器要為終端主機分配綁定的一個主機標識和一對公私鑰，終端主機使用私鑰對報文簽名，接入認證服務器可以通過查詢名址映射解析服務器獲取源主機標識綁定的公鑰，對來自終端主機的數(shù)據(jù)包進行鑒別。接入認證服務器將驗證通過的數(shù)據(jù)包發(fā)送給直接相連的ITR，ITR通過查詢名址映射解析系統(tǒng)獲取目的主機標識綁定的RLOC信息。接入網內終端主機A和接入認證服務器的身份認證示意如圖4。處理流程如下：

a） 終端主機A用保存的私鑰對源主機標識符為SHIA和目的主機標識符為SHIB的數(shù)據(jù)包簽名，再將簽名后的數(shù)據(jù)包交付給接入認證服務器；

b） 接入認證服務器收到數(shù)據(jù)包后，首先通過查詢名址映射解析系統(tǒng)獲取源主機標識符綁定的公鑰，再用公鑰來驗證數(shù)據(jù)包的真?zhèn)?，若檢驗通過，則將數(shù)據(jù)包轉發(fā)給地址為RLOC1的接入路由器；若驗證失敗，則將數(shù)據(jù)包丟棄；

c） 接入路由器收到數(shù)據(jù)包后，首先查詢名址映射解析系統(tǒng)獲取目的主機標識符綁定的RLOC信息，得到通信對端接入路由器的地址RLOC2，然后將源和目的RLOC封裝到數(shù)據(jù)包中，再把數(shù)據(jù)包交付給下一跳；

d） 對端接入路由器收到數(shù)據(jù)包后，首先將數(shù)據(jù)包解封裝，再將數(shù)據(jù)轉交給終端主機B。

由于接入網的終端主機需要通過接入認證服務器鑒別是否是偽造的或者冒充的，這里可能會引發(fā)一個新的問題，即接入認證服務器在驗證連入的終端主機身份時可能會產生的一個性能瓶頸，因為公鑰解密需要一定的計算和存儲開銷，但此處的瓶頸可以通過接入認證服務器集群的方式來解決性能上的瓶頸問題。

4 骨干網安全路由及密鑰管理

4.1 安全路由過程

骨干網內的路由器要檢查數(shù)據(jù)包是否是偽造的或者經過篡改的。接入路由器收到由接入認證服務器轉發(fā)的數(shù)據(jù)包后封裝源和目的RLOC地址，然后將簽名后的數(shù)據(jù)包路由轉發(fā)，并在本地緩存的映射表中加入源主機標識符及其哈希值對應關系。在通信對端主機綁定的ETR收到發(fā)送方的數(shù)據(jù)包后，在本地緩存的映射表中加入源主機標識符的哈希值和與其綁定的RLOC的映射信息。當發(fā)送方的主機發(fā)生移動，與源主機綁定的RLOC信息更新，ETR本地緩存的源主機標識符的哈希值與RLOC的綁定信息也需要更新。骨干網路由器之間的安全可信的通信過程如圖5所示。處理流程如下：

a） 地址為RLOC1的接入路由器完成數(shù)據(jù)包的封裝后，用保存的私鑰對數(shù)據(jù)包簽名，再把簽名后的數(shù)據(jù)包交付給下一跳，經過網絡傳遞后到對端接入路由器；

b） 對端接入路由器收到數(shù)據(jù)包后，首先將數(shù)據(jù)包解封裝，再查詢本地的表獲取與上一跳路由器綁定的公鑰，再用公鑰來驗證數(shù)據(jù)包的真?zhèn)?，若檢驗通過，則將數(shù)據(jù)轉交給終端主機B；若驗證失敗，則將數(shù)據(jù)包丟棄。

由于每一個RLOC都可能是接入網的骨干路由器，RLOC收到的數(shù)據(jù)包有可能來自于骨干區(qū)內任何一個RLOC發(fā)送的數(shù)據(jù)包，每個RLOC都應能獲取到骨干網上所有的RLOC的公鑰信息。自認證的方案是通過自身攜帶的公鑰來驗證自己的身份，每次公鑰的傳遞都會增加通信鏈路的負載。雖然未來網絡接入終端設備數(shù)量可能是無限增長的，但骨干路由器的數(shù)量應該是有限的，因此在每個骨干路由器上保存和維護全局一致的RLOC地址和公鑰的綁定信息是可行的。本文考慮設計一種去中心化的密鑰管理方案來保證各個骨干路由器上RLOC地址和公鑰的綁定信息的一致性。

4.2 去中心化的密鑰管理方案

使用公鑰數(shù)字簽名一般需要依賴公鑰基礎設施（PKI）技術，在PKI體系下通信雙方需要通過第三方權威機構CA（Certificate Authority） 頒發(fā)的公鑰證書來驗證公鑰擁有者身份的真實性，但公鑰證書管理復雜、系統(tǒng)開銷大。本文提出一種去中心的密鑰管理方案，RLOC節(jié)點自己生成密鑰對，骨干網每個RLOC共同維護一個全局一致的<地址，公鑰>表，每個RLOC上的<地址，公鑰>數(shù)據(jù)都是一致的。

骨干網所有RLOC分為Leader和Follower兩種角色，Leader是對<地址，公鑰>記錄的所有操作提議的唯一調度者和處理者，在任一時刻不存在多于1個的Leader，Leader角色并不與某個骨干路由器永久綁定，在Leader無法連通后，骨干網會重新選舉出新的Leader。Follower是骨干網內除Leader外存活的路由節(jié)點，可發(fā)起對<地址，公鑰>記錄的事務操作請求，并將請求轉發(fā)給Leader，還參與Leader發(fā)起的提議投票，在檢測不到Leader心跳后投票重選Leader。

當有新的路由節(jié)點加入時，該節(jié)點首先會在本地生成一對密鑰，該節(jié)點的公鑰和RLOC地址會被提交到Leader，Leader會將添加<地址，公鑰>記錄的事務提議通知到全局的路由節(jié)點，并發(fā)起對該提議的投票，Leader收到過半投票后會通知全局的路由節(jié)點在本地提交該事務，新的路由節(jié)點成功加入到骨干網中。骨干網內對<地址，公鑰>記錄的更新和刪除事務的執(zhí)行過程同上，如圖6所示。

5 結束語

為了滿足未來網絡對安全性和移動性的需求，本文基于身份標識與位置定位分離的思想，提出了一種安全可信的網絡互聯(lián)協(xié)議（STiP）模型。遵循STiP模型構建的未來網絡，在功能結構上分為接入網和骨干網兩部分，接入網和骨干網各自使用獨立的地址空間，網絡體系結構清晰。本文設計的基于層次樹的名址映射解析系統(tǒng)，能有效保證主機標識符和地址定位符的轉換效率，分層的名字空間增加了主機標識符的聚合性，與主機標識符綁定的公鑰信息可以在終端接入時用于驗證主機的身份并鑒別數(shù)據(jù)包的真實性，為接入網提供了內在的安全性。在STiP模型中，骨干網路由器之間也采用了報文簽名與驗證機制，該機制引入了一種去中心化的密鑰管理方案，這種內在的安全機制保證了路由器之間的身份認證和信息的鑒別，能從源頭上根本解決地址欺騙、路由劫持、拒絕服務等網絡安全問題，從而有利于構建自主可控、安全可信的公眾網絡環(huán)境。

參考文獻

[1] R. Moskowitz， P. Nikander， P. Jokela， and T. Henderson， “HostIdentity Protocol，” RFC 5201， IETF， Apr 2008.

[2] Moskowitz R， Hirschmann V， Jokela P， Henderson T. Host identity protocol version 2 （HIPv2）. 2013. https：//datatracker.ietf.org/doc/draft-ietf-hip-rfc5201-bis/ .

[3] D. Farinacci， V. Fuller， D. Oran， D.Meyer. Locator/ID Separation Protocol （LISP）. Internet draft， draft-farinaccilisp-03， IETF，Aug.2007.

[4] D. Lewis et al. “Locator/ID Separation Protocol （LISP），” draftietf-lisp-22， February 2012.

[5] 張宇，韓軍，汪倫偉，張來順.安全網絡模型研究[J].計算機安全，2009，07：4-6+32.

[6] 徐恪，朱亮，朱敏.互聯(lián)網地址安全體系與關鍵技術[J].軟件學報，2014，01：78-97.

[7] 昝風彪，徐明偉，吳建平.主機標識協(xié)議（HIP）研究綜述[J].小型微型計算機系統(tǒng)，2007，02：224-228.

[8] 陳鐘，孟宏偉，關志.未來互聯(lián)網體系結構中的內生安全研究[J].信息安全學報，2016，02：36-45.

[9] 任勇毛，李俊，錢華林.未來互聯(lián)網體系結構研究進展[J].科研信息化技術與應用，2012，03：3-11.

基金項目：

國家自然科學基金資助項目（61540020）：“基于多維證據(jù)的信任評估理論、模型與關鍵機制研究”。

作者簡介：

蔣文保（1969-），男，湖南人，畢業(yè)于清華大學，博士后，北京信息科技大學信息管理學院副院長，信息系統(tǒng)研究所副所長，教授，碩士生導師；主要研究方向和關注領域：網絡與信息安全領域的科學研究、產品開發(fā)、教學和管理。

朱國庫（1992-），男，浙江人，碩士研究生；主要研究方向和關注領域：網絡與信息安全。