支持增量部署的网络一体化可追责机制研究

发布时间：2020-11-15 23:48

　　 当前网络中,IP数据包的转发仅依赖于目的IP地址,路由器等转发设备对数据包的源IP地址并不检查,并且数据包也不携带用户身份标识,这使得网络攻击者可通过伪造源IP地址发起恶意攻击却能够逃避追查,给网络安全性和可信性带来了极大的挑战。现有研究主要从IP源地址的可信性及可追溯性两方面提出解决方案,在各自的应用场景下能够取得较好的效果,但是存在过滤精度不高、验证粒度不足、实现成本及部署开销较大、无法域内域间全覆盖、忽略增量部署需求等问题。为了缓解网络安全攻击现象,本文围绕网络可追责开展研究,通过由数据包携带真实IP源地址或发送者可信身份标识,使得网络管理者能够根据恶意数据包直接定位责任人。具体而言,本文在软件定义网络管控分离架构的基础上,提出一种支持增量部署的网络一体化可追责机制,通过在域内保证数据包携带真实IP源地址、在域间保证数据携带发送者可信身份标识,使得网络具有根据恶意数据包直接定位责任主机或责任人的能力,整体方案具有部署成本低、追责效率高、安全与隐私兼顾、域内域间全覆盖、适合渐进部署等优势。本文的主要工作如下:1.建立了支持增量部署的网络一体化可追责架构围绕对互联网进行域内和域间的一体化追责目标,首先给出了网络一体化追责模型的形式化表述,分析推导出网络可追责性的两方面:在域内应保证数据包IP源地址的可信性,从而可以定位发送源主机;在域间应保证数据包身份标识的可信性,从而可以确定发送者的身份。据此,建立了域内域间一体化验证的网络可追责框架,提出在域内关键位置部署SDN过滤规则实现IP源地址的可信性,而在同盟自治域间通过对数据包嵌入可信身份标识包头,实现域间数据包发送者身份标识的可信性。该架构支持域内和域间验证的有机协作,且支持增量部署,可实现网络的一体化验证与追责。2.提出了一种可增量部署的域内IP源地址验证方案为了使数据包在域内携带真实IP源地址,实现域内的可追责性,提出了一种基于SDN架构可增量部署的IP源地址验证方案SDN-ISAVS。该机制首先通过建立问题模型,根据网络拓扑及过滤需求,设计贪心算法定位SDN设备部署位置。之后控制器计算各部署点的流控规则并予以下发,最终实现在部署点位置过滤假冒源地址数据包的目的。同时该机制还考虑了方案适应网络动态变化的问题,取得了部署代价与过滤效果的折中。实验表明,方案仅需较小的部署代价即可对域内绝大部分子网前辍进行验证,并具有良好的增量部署性。3.设计了一种面向流量感知的SDN流控规则更新优化算法针对域内源地址验证方案中出现的流控规则频繁更新,而SDN交换机TCAM存储空间有限,导致流表匹配丢失现象严重,影响交换机的数据包过滤和转发效率问题,设计了一种预计算和实时计算相结合、面向流量感知的SDN流控规则更新优化算法。该算法首先将交换机TCAM存储空间逻辑地划分为预计算规则区域和实时计算规则区域,以分别用来存储常驻规则和临时规则;对于常驻规则,从历史信息、覆盖空间和依赖关系三个维度来计算规则的权重,使具有高权重的流控规则得以保留;对于临时规则,根据历史和未来流量预测对流控规则更新进行优化,从而有效地降低流表丢失现象。实验表明,与单一的规则更新模式(预计算或实时计算)相比,本算法能够使SDN交换机对数据包转发操作尽可能地保持在数据平面内,并有效利用宝贵TCAM资源,提高域内数据包整体过滤和转发效率。4.提出了一种提升域内流控规则容量的TCAM流表压缩算法SDN网络中面向流量感知的域内流控规则需要依赖数据平面大量的OpenFlow流表实现,而OpenFlow的流表由于定义了较多的匹配域,因此对于TCAM存储空间需求量较大。为了配合域内源地址验证方案,进一步缓解SDN交换机TCAM空间紧缺、不足以容纳不断增长的SDN流表问题,考虑到OpenFlow流表字段间存在冗余、演进等关系,本文提出一种提升域内流控规则容量的TCAM流表压缩算法RETCAM。为了实现该目标,RETCAM首先分析了OpenFlow协议中所有字段之间的关系,并将字段之间的关系分为三类,对立字段(无关系字段)、更新字段及并列字段。之后,模型基于以上字段关系提出了三种压缩算法,即:字段合并压缩、字段映射压缩和字段间压缩算法。在不损害OpenFlow匹配查找灵活性及原始流表的功能完整性前提下,压缩后的结果使得流表字段能够有效融合或降低字段宽度。仿真结果表明,对于一个给定的OpenFlow流表,压缩模型可节省约65%的TCAM空间,且算法具有较高的计算效率。5.实现了一种面向同盟域间的数据包可信身份标识携带方案为了使发送至同盟域的数据包携带可信身份标识,实现域间的可追责性,本文设计并实现了一种面向同盟域间的数据包可信身份标识携带方案TrueID。该方案首先通过在同盟自治域间建立对等控制器及分布式的PKI系统,进行基础信息交换后,受控的边界网关即可对发往同盟自治域间的数据包嵌入哈希化、可鉴别、抗抵赖、防重放攻击的身份标识包头。实验表明,TrueID方案对身份标识包头的处理速率几乎可达线速,而存储开销几乎可以忽略。同时对等控制器之间对数据包验证时延比IPsec AH方案更小。最后,对全球ISP骨干拓扑的模拟实验表明,仅需对30%左右的互联网大型运营商的服务呈现点进行部署,即可对互联网范围的数据包进行身份标识验证,具有优异的增量部署性。
【学位单位】：战略支援部队信息工程大学
【学位级别】：博士
【学位年份】：2020
【中图分类】：TP393.08
【部分图文】：

第一章绪论第一章绪论近年来，随着我国经济的飞速发展，我国的互联网用户数也呈现出不断上升的趋势。根据中国互联网信息中心最新的《中国互联网发展状态统计报告》[1]表明，截止到2019年6月，中国互联网普及率达到61.2%，而网民规模高达8.54亿，较2018年分别增长1.6%以及3.1%。与此同时，互联网的安全性却面临严峻的挑战，互联网安全形势越来越复杂，网络安全事件的追溯与定责成为人们关注的焦点。自软件定义网络[2-6]（SoftwareDefinedNetworking，SDN）2009年被提出，因其具有“中心控制、边缘响应”的特点，越来越受到学术界的重视，基于SDN架构解决传统网络安全方案也不断出现。本章首先对课题的研究背景与意义予以简要介绍；对数据包IP源地址验证及身份标识携带方案进行归纳总结，进而提出本文方案思路；最后对论文研究内容及章节结构进行说明。1.1课题研究背景及意义1.1.1互联网安全形势不容乐观随着新型网络攻击手段的层出不穷，如APT（AdvancedPersistentThreat）攻击、DoS（Deny-of-Service）攻击、勒索病毒等，使得互联网的安全性形势十分严峻，网络安全事件频发。如图1.1所示，据国外权威统计表明[7]，2019年全球可统计的大型网络攻击事件的数量比2018年增长了近40%，而至2020第一季度比2019年同期又增长了18%，互联网安全形势不容乐观。图1.1HACKMAGEDDON网站统计的近三年网络安全大事故数量统计图在国内，据中国国家计算机网络应急技术处理协调中心（CNCERT）2018年的统计数据表明[8]，CNCERT/CC协调处理的网络安全事件达到了10.6万起，其中网页仿冒、网站后门、DDOS等攻击居多。近年来随着移动互联网的兴起，我国移动互联网用户突破8.17第1页

第一章绪论地简化了传统网络中复杂的管控问题，为网络应用的创新提供了良好的契机。因为具有全局网络视图、集中管控、动态响应，统一编程等特点，近年来得到学术界和工业界的青睐。安全通道控制器SecureChannel流表FlowTable添加删除流表项封装包控制器发现OpenFlow交换机OpenFlow协议图1.4OpenFlow架构示意图作为SDN的典型代表，OpenFlow[10,11]协议架构如图1.4所示。从图中可以看出，SDN架构由OpenFlow交换机（OpenFlowSwitch）、控制器（Controller）及连接二者OpenFlow通讯协议构成。OpenFlow交换机内部由安全通道（SecureChannel）和流表（FlowTable）构成，其中安全通道负责和逻辑统一的中心控制器（Controller）通过OpenFlow协议进行通信并指导操纵流表的（包括添加、删除流表项、封装包和控制器发现等操作），从而实现网络元素的控制和数据转发权限分离；同时，OpenFlow交换机之间还通过链路发现协议（LinkDiscoveryProtocol,LDP）进行邻居设备发现，使控制器掌握全局网络拓扑。在控制器上，提供了SDN交换机和控制器之间的南向接口（SouthBoundInterface），同时向上层应用提供北向接口（NorthBoundInterface），使上层应用更加轻松的控制底层的SDN交换机。通过南北向接口，SDN架构提供了高度的可编程性。此外，SDN控制器还提供了东西向接口（East-WestBound），用于对等控制器之间的信息交换。除OpenFlow外，其他主要的南向接口协议还有POF[12]，ForCES[13]，ROFL[14]，TTPs[15]，OpFlex[16]，OVSDB[17]，OpenState[18]，I2RS[19]，PCEP[20]，XMPP[21]，HAL[22]，PAD[23]等方案。例如，POF（Protocol-obliviousforwarding）是华为公司提出的一种SDN南向接口标准，其主要的目标是增强SDN数

战略支援部队信息工程大学博士学位论文骨干拓扑的模拟实验表明，仅需对30%左右的互联网大型运营商的服务呈现点（POP）进行部署，即可对互联网范围的数据包进行身份标识验证，具有优异的增量部署性。1.4本文章节组织本文致力于构建可增量部署的域内域间网络一体化可追责方案，内容共分为七章，各章节组织及研究内容之间的关系如图1.5所示，简介如下：第一章引言第二章支持增量部署的网络一体化可追责架构第七章总结与展望第六章面向同盟域间的数据包可信身份标识携带方案第四章面向流量感知的域内流控规则更新优化算法域内域间第五章一种提升域内流控规则容量的TCAM流表压缩算法支撑第三章一种可增量部署的域内IP源地址验证机制支撑图1.5本文的章节组织架构示意图第1章为本文绪论，主要介绍了本文的研究背景、研究现状、研究意义及主要贡献点。第2章为机制总体架构及设计分析，通过从系统需求出发，建立系统模型，形式化地表达需求，并推导出设计着力点，即在域内要保证数据包IP源地址的可信性、在域间要保证数据包发送者身份标识的可信性，为建立域内域间网络一体化可追责架构奠定理论基矗第3章详细介绍了一种可增量部署的域内源地址验证机制，达到了以最小部署代价换取最大过滤收益的效果，实现了数据包域内可追责目标。针对第3章源地址验证方案在网络拓扑频繁变化情况下，而TCAM内存空间有限，造成新老流规则不断替换，进而影响数据包源地址检测及转发的效率的问题，第4章详细介绍了面向流量感知的流控规则更新优化算法，缓解了SDN交换机流表“表丢失（Table-Missing）”问题，提高了网络整体转发效率、增加了网络的稳定性。为进一步缓解SDN交换机TCAM空间紧缺问题，提升?
【相似文献】

相关期刊论文 前10条

1 熊迪;;数据包来回路径不一致造成网络不稳定[J];网络安全和信息化;2019年11期

2 刘建臣;;灵活匹配数据包 强化网络安全控制[J];网络安全和信息化;2018年11期

3 郝京辉;周利民;;航天型号外包产品数据包的研究与实践[J];机械制造;2015年10期

4 朱艺华;李丽;池凯凯;李燕君;;6LoWPAN中优化多路径路由吞吐率的数据包分片方案[J];电子与信息学报;2014年08期

5 孙慧锋;刘文芬;张建辉;;多径传输下的数据包重排序性能分析[J];信息工程大学学报;2010年06期

6 舒光强;王玲;;两种数据包评分方案比较分析[J];通信技术;2009年09期

7 姜浩;伦淑娴;刘力;;网络入侵检测系统中数据包捕获的分析与设计[J];计算机与数字工程;2008年08期

8 Kara Wilson;;从数据包看企业效能[J];中国计算机用户;2006年18期

9 Dave Bailey;;数据包分析意义何在[J];每周电脑报;2006年47期

10 王欣;;移动网络优化与加速策略探讨[J];电脑迷;2018年11期

相关博士学位论文 前10条

1 张超钦;支持增量部署的网络一体化可追责机制研究[D];战略支援部队信息工程大学;2020年

2 侯睿;光突发交换网络中冲突解决方法的研究[D];华中科技大学;2006年

3 马柯;延迟容忍网络关键技术研究[D];中国科学技术大学;2011年

4 张婧垚;无线网络编码的关键问题与技术研究[D];清华大学;2010年

5 蒋纲;数据包在无线网络中调度策略的研究[D];华中科技大学;2004年

6 李勇辉;IP网络中基于数据包标记的溯源方法研究[D];北京邮电大学;2011年

7 刘冰洋;互联网域间源地址验证的可部署性评价模型与方法设计[D];清华大学;2014年

8 金光;基于数据包标记的拒绝服务攻击防御技术研究[D];浙江大学;2008年

9 杨杉;移动热点网络中多业务传输的服务质量研究[D];北京交通大学;2013年

10 朱晓妍;无线网络中的几个关键问题研究[D];西安电子科技大学;2009年

相关硕士学位论文 前10条

1 金贻美;网关中状态数据包分类的研究[D];哈尔滨工业大学;2012年

2 郑君;基于标记的数据包分类机制若干技术研究[D];宁波大学;2011年

3 张瑞;基于千兆网卡的高效数据包捕获技术的应用与实现[D];电子科技大学;2010年

4 刘霄;基于Wi-Fi网络文本数据包监测的研究及应用[D];大连交通大学;2019年

5 马畑名;网络通讯数据包截获与解析研究[D];陕西科技大学;2015年

6 丁皓;基于链路数据包错误率的空间网络自动重传技术研究[D];国防科学技术大学;2010年

7 张敦行;高速链路数据包捕获研究与实现[D];湖南大学;2007年

8 刘文敏;基于数据包捕获的数据内容还原分析技术研究[D];北京邮电大学;2014年

9 肖勇;基于安全办公室的数据包的截获与分析的研究[D];西安电子科技大学;2013年

10 王伟艳;入侵检测技术中的深度数据包检测[D];长春理工大学;2009年

本文编号：2885358