当前互联网迅猛发展,截至2009年12月31日,中国网民规模达到3.84亿人,基于互联网的电子政务、电子商务等等应用越来越深入到人们的日常生活中。但是传统的基于TCP/IP协议栈的互联网发展越来越受困于协议的安全性。互联网发展的初期,TCP/IP协议主要体现互联互通,其下的链路层协议和其上的应用层协议非常丰富,这种沙漏形的设计丰富了各种设备和应用互联互通。但是设计之初没有考虑互联互通的安全性,导致互联网的安全性问题层出不穷,如DoS攻击,垃圾邮件,路由劫持等等。本文提出的基于认证的安全路由体系结构(AB-SRA)系统旨在限制互联网中的未经允许的流量,这通过目的端对源端的认证来解决以上网络安全性问题,系统通过目的端对源端的认证,通过认证,将令牌(token,包含源端地址、目的端地址等的签名)发给源端,源端得到令牌,将令牌填充到分组中,然后将分组路由,网络中的路由器对进入网络的分组进行验证,合法的分组才允许通过路由器转发,最后到达目的主机。令牌的签名和认证机制是基于公开密钥密码体系的,系统提供密钥更新机制,动态更新密钥提高密钥的安全性,并且探讨了将AB-SRA渐进部署到现有的网络体系结构中,最后使用网络模拟软件NS-2对AB-SRA系统进行模拟验证了系统有效性。本文的主要工作包括:(1)提出了AB-SRA体系结构,这是一种基于数字签名认证机制的网络体系结构,端到端的主机之间通信首先向DNS申请签名标签token,然后主机的分组携带这种token发送到网络中,网络中的第一跳路由器经过路由查找后将验证这种token,并根据token的验证结果选择转发和丢弃。(2)提出安全DNS结构,将现有的公开密钥基础设施(PKI)结合进入DNS中,增强DNS的域名解析和DNS自身的安全性。(3)运用NS2网络仿真软件模拟AB-SRA系统,对NS2的源代码进行改造,使之能模拟主机分组的签名和认证过程,并且对系统的性能进行测量和分析,原型系统的模拟结果显示在受到非授权流量攻击时的有效性。