智慧协同网络组件层高速移动业务族群安全技术研究
发布时间:2020-04-18 22:18
【摘要】:近年来我国高速铁路快速发展,越来越多的乘客期望在高速移动环境下获得安全稳定的互联网服务。因此,基于智慧协同网络理论研究成果,我们实验团队提出了智慧协同高速移动网络 SCN-R(Smart Collaborative Networking for Railway),其良好和稳定的带宽表现引起了国内外学者的广泛关注。在智慧协同网络理论体系下,支撑SCN-R的网络组件被定义为高速移动业务族群。随着SCN-R的不断测试和推广,对于高速移动业务族群,用户和网络管理人员所关心的问题逐渐开始从带宽稳定性等方面转移到网络安全性方面。但是对于SCN-R和高速移动业务族群,目前仍没有较为系统的网络安全研究。针对这一问题,本文试图结合高速移动场景下数据流和网络的特点,讨论高速移动业务族群内多种网络组件的安全需求,并提出相应切实可行的解决方法。具体的,论文的主要工作和创新点如下:1.提出了一种检测和防御基于微型数据流的DDoS攻击的方法。该方法针对高速移动场景下大量恶意微型数据流可能对SCN-R当中控制与转发分离网络造成路由缓存溢出和控制链路阻塞的问题,利用现有的控制链路协议,实现了轻量级的网络攻击检测。同时,通过协同利用SCN-R当中的控制与转发分离网络设备和防火墙,该方法实现了对恶意数据流的准确识别和有效过滤。为了对该方法进行有效性和可行性证明,我们分别利用了软件仿真平台和硬件原型系统进行了大量的测试。结果表明,在SCN-R网络内,该方法能够有效的检测和防御基于微型数据流的DDoS攻击。2.提出了一种检测和防御复杂路由缓存溢出DDoS攻击的方法。高速移动场景下SCN-R网络内的基于微型数据流的DDoS攻击可能进一步演变为复杂路由缓存溢出DDoS攻击。针对这一问题,我们所提出的攻击检测方法对该类型网络攻击进行详细的数学模型建立,深入分析了网络攻击者可能选取的攻击目标。通过新提出的攻击检测参数和路由条目令牌桶系统,该方法能够准确的检测网络异常、定位攻击数据流的入口和对攻击数据流进行合理的转发速率限制,防止攻击目标设备产生路由缓存溢出现象。为了对该方法进行有效性和可行性证明,我们在仿真平台下利用多种网络拓扑模型进行了大量的实验,同时在硬件原型系统当中我们进行相应功能的开发和测试。结果表明,在SCN-R网络内,该方法能够有效的检测和防御复杂路由缓存溢出DDoS攻击。3.设计了一种智慧移动路由器和接入路由器间高效认证方法。高速移动场景下无线链路不稳定所带来的数据包异常时延和高丢包率导致了传统认证方法很难直接适用于SCN-R网络内。为了解决这一问题、实现智慧移动路由器和接入路由器间的高效认证,防止可能出现的伪装重放攻击和UDP泛洪攻击,我们提出了一种基于混沌函数的随机数生成器和高效认证方法。该方法在认证过程中可以避免使用复杂的可逆加密算法,降低了认证过程的计算和通信开销。通过利用实际的硬件设备我们在实验室静态环境和高速移动环境下对所提出的认证机制进行了系统的测试和分析。其结果表明,我们所提出的方法能够满足高速移动场景下智慧移动路由器和接入路由器的网络安全需求。4.提出了一种检测和防御复杂链路泛洪攻击的方法。在SCN-R提供开放的网络接入时,针对智慧移动路由器的UDP泛洪攻击可能进一步演变为复杂链路泛洪攻击,即存在车载网络攻击者和地面网络攻击者相互配合,通过智慧接入路由器发送大量攻击数据流。为此,立足于上述高效认证机制,我们设计提出了一种分层式的攻击检测和防御机制,该方法能够准确识别和屏蔽车载端的网络攻击者和其攻击行为。通过在实际的智慧协同高速移动网络地面模拟系统内进行大量的测试,我们证明了所提出方法的可行性和实用性。
【图文】:
层的网络组件层、中间的资源适配层和顶层的智慧服务层[25][27]。同时为了加强层逡逑与层之间的功能衔接,依据实体和功能的对应关系,将每层分别划分到实体域和逡逑行为域当中。图1-1给出了智慧协同网络的总体架构模型。逡逑实体域逦行为域逡逑求逡逑推逡逑提供服务的实体与对娜、服务的行为描述邋|逡逑应的服务标识SID逦^逦sbd逦%逡逑族群间协作t逦t行为匹配逡逑功能族群的实体与对逦m逦.逦族群的行为描述逡逑应的族群标识FID逦"1逦FBD逡逑族群内联动?逦¥逦t行为聚类逡逑网络组件的实体与对逦疆f逦组件的行为描ii逡逑?逦_组|!识邋XID逦NBD逡逑息逡逑感逡逑降]逡逑图1-1智慧协同网络“三层”、“两域”总体架构逡逑Figure邋1-1邋The邋overall邋architecture邋of邋smart邋collaborative邋networking逡逑如图i-i所示,在智慧协同网络总体架构中,位于顶部的智慧服务层主要负责逡逑接受网络服务提供者的服务注册,并根据服务特点,构建网络服务对应的需求描逡逑述。举例而言,网络服务在注册成功之后,将被分配给一个全网范围内唯一的服逡逑务标识SID邋(Service邋ID),以及用以描述该服务所需何种网络环境支撑的服务行为逡逑描述SBD邋(Service邋Behavior邋Description)。目前描述一个SBD的参数主要包括服逡逑务位置信息、服务缓存位置、质量要求和优先级、带宽要求、时延要求、丢包要逡逑求、最佳通信方式、服务类型、服务版本号、服务提供者签名等。逡逑位于中间的资源适配层主要负责感知服务需求和网络状态,并以此为根据执逡逑行两部分操作
图1-2智慧协同网络工作流程逡逑Figure邋1-2邋The邋working邋process邋of邋smart邋collaborative邋networking逡逑图1-2展示了智慧协同网络的基本工作流程。首先,,网络服务提供者将所要提逡逑供的网络服务在智慧服务层进行注册,随即获得对应的SID和SBD。网络组件层逡逑感知位于智慧协同网络内网络设备的状态信息,随即分配对应的NID和NBD。同逡逑时资源适配层根据注册的网络服务、实时的网络组件行为描述,将网络组件聚类逡逑为可支撑网络服务的各种族群,建立族群的FID和FBD。然后,当用户的服务请逡逑求到达智慧协同网络,将会以服务行为描述SBD的形式呈递至智慧服务层。该服逡逑务行为描述SBD记录了用户所期望的网络服务行为信息。智慧服务层在收到该逡逑SBD时,查询其内部己经注册的网络服务,若匹配到与此对应的注册服务,则反逡逑4逡逑
【学位授予单位】:北京交通大学
【学位级别】:博士
【学位授予年份】:2018
【分类号】:TP393.08;TN929.5
本文编号:2632599
【图文】:
层的网络组件层、中间的资源适配层和顶层的智慧服务层[25][27]。同时为了加强层逡逑与层之间的功能衔接,依据实体和功能的对应关系,将每层分别划分到实体域和逡逑行为域当中。图1-1给出了智慧协同网络的总体架构模型。逡逑实体域逦行为域逡逑求逡逑推逡逑提供服务的实体与对娜、服务的行为描述邋|逡逑应的服务标识SID逦^逦sbd逦%逡逑族群间协作t逦t行为匹配逡逑功能族群的实体与对逦m逦.逦族群的行为描述逡逑应的族群标识FID逦"1逦FBD逡逑族群内联动?逦¥逦t行为聚类逡逑网络组件的实体与对逦疆f逦组件的行为描ii逡逑?逦_组|!识邋XID逦NBD逡逑息逡逑感逡逑降]逡逑图1-1智慧协同网络“三层”、“两域”总体架构逡逑Figure邋1-1邋The邋overall邋architecture邋of邋smart邋collaborative邋networking逡逑如图i-i所示,在智慧协同网络总体架构中,位于顶部的智慧服务层主要负责逡逑接受网络服务提供者的服务注册,并根据服务特点,构建网络服务对应的需求描逡逑述。举例而言,网络服务在注册成功之后,将被分配给一个全网范围内唯一的服逡逑务标识SID邋(Service邋ID),以及用以描述该服务所需何种网络环境支撑的服务行为逡逑描述SBD邋(Service邋Behavior邋Description)。目前描述一个SBD的参数主要包括服逡逑务位置信息、服务缓存位置、质量要求和优先级、带宽要求、时延要求、丢包要逡逑求、最佳通信方式、服务类型、服务版本号、服务提供者签名等。逡逑位于中间的资源适配层主要负责感知服务需求和网络状态,并以此为根据执逡逑行两部分操作
图1-2智慧协同网络工作流程逡逑Figure邋1-2邋The邋working邋process邋of邋smart邋collaborative邋networking逡逑图1-2展示了智慧协同网络的基本工作流程。首先,,网络服务提供者将所要提逡逑供的网络服务在智慧服务层进行注册,随即获得对应的SID和SBD。网络组件层逡逑感知位于智慧协同网络内网络设备的状态信息,随即分配对应的NID和NBD。同逡逑时资源适配层根据注册的网络服务、实时的网络组件行为描述,将网络组件聚类逡逑为可支撑网络服务的各种族群,建立族群的FID和FBD。然后,当用户的服务请逡逑求到达智慧协同网络,将会以服务行为描述SBD的形式呈递至智慧服务层。该服逡逑务行为描述SBD记录了用户所期望的网络服务行为信息。智慧服务层在收到该逡逑SBD时,查询其内部己经注册的网络服务,若匹配到与此对应的注册服务,则反逡逑4逡逑
【学位授予单位】:北京交通大学
【学位级别】:博士
【学位授予年份】:2018
【分类号】:TP393.08;TN929.5
本文编号:2632599
本文链接:https://www.wllwen.com/kejilunwen/xinxigongchenglunwen/2632599.html
