基于DPDK的内网动态网关关键技术设计
发布时间:2021-02-07 03:50
针对IP跳变技术导致数据分组处理时延高、开销大的问题,基于数据平面开发套件设计并实现了一种多层次网络部署结构的主动防御网关系统。首先,基于DPDK快速转发框架优化了系统的转发和处理性能;其次,针对具有3种不同类型IP地址的动态化随机映射网关,设计了高效的IP地址分配算法以及具有不可预测性的IP地址变换算法。实验结果表明,所设计的系统在有效减少嗅探攻击信息获取速率的同时,大幅提升了动态跳变导致的处理时延大的问题。
【文章来源】:通信学报. 2020,41(06)北大核心
【文章页数】:13 页
【部分图文】:
DPDK动态防御系统部署结构
图1 DPDK动态防御系统部署结构2)分组分类单元。主要负责对DPDK绑定的网卡收到的所有流量进行分组的过滤和相关分组转发,即DHCP、ARP、DNS、传输控制协议/用户数据报协议(TCP/UDP,transmission control protocol/user datagram protocol)的转发。将控制分组(即DHCP、ARP、DNS)送到控制线程处理,数据分组送到分组转发单元。
安全网关托管下的终端采用网段隔离的方式避免因广播分组带来的安全问题,因此对于rIP资源的分配,需要考虑网段隔离且rIP分配的高效性,避免在分配的未使用的地址空间中出现IP资源的浪费,本文设计了基于哈希和多链的多元地址分配方法。rIP地址分配如图4所示,需要维护真实IP池中IP的使用,即已使用的IP和从真实IP池取出但未使用的IP。图4 rIP地址分配示意
【参考文献】:
期刊论文
[1]软件定义的L2/L3地址协同拟态伪装策略研究[J]. 王鹏超,陈福才,程国振,陈扬,谷允捷. 电子学报. 2019(10)
[2]软件定义的内网动态防御系统设计与实现[J]. 陈扬,扈红超,程国振. 电子学报. 2018(11)
[3]基于OpenFlow的网络层移动目标防御方案[J]. 胡毅勋,郑康锋,杨义先,钮心忻. 通信学报. 2017(10)
本文编号:3021605
【文章来源】:通信学报. 2020,41(06)北大核心
【文章页数】:13 页
【部分图文】:
DPDK动态防御系统部署结构
图1 DPDK动态防御系统部署结构2)分组分类单元。主要负责对DPDK绑定的网卡收到的所有流量进行分组的过滤和相关分组转发,即DHCP、ARP、DNS、传输控制协议/用户数据报协议(TCP/UDP,transmission control protocol/user datagram protocol)的转发。将控制分组(即DHCP、ARP、DNS)送到控制线程处理,数据分组送到分组转发单元。
安全网关托管下的终端采用网段隔离的方式避免因广播分组带来的安全问题,因此对于rIP资源的分配,需要考虑网段隔离且rIP分配的高效性,避免在分配的未使用的地址空间中出现IP资源的浪费,本文设计了基于哈希和多链的多元地址分配方法。rIP地址分配如图4所示,需要维护真实IP池中IP的使用,即已使用的IP和从真实IP池取出但未使用的IP。图4 rIP地址分配示意
【参考文献】:
期刊论文
[1]软件定义的L2/L3地址协同拟态伪装策略研究[J]. 王鹏超,陈福才,程国振,陈扬,谷允捷. 电子学报. 2019(10)
[2]软件定义的内网动态防御系统设计与实现[J]. 陈扬,扈红超,程国振. 电子学报. 2018(11)
[3]基于OpenFlow的网络层移动目标防御方案[J]. 胡毅勋,郑康锋,杨义先,钮心忻. 通信学报. 2017(10)
本文编号:3021605
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3021605.html
