發(fā)布時間：2020-04-18 22:18

【摘要】：近年來我國高速鐵路快速發(fā)展,越來越多的乘客期望在高速移動環(huán)境下獲得安全穩(wěn)定的互聯(lián)網(wǎng)服務(wù)。因此,基于智慧協(xié)同網(wǎng)絡(luò)理論研究成果,我們實(shí)驗(yàn)團(tuán)隊(duì)提出了智慧協(xié)同高速移動網(wǎng)絡(luò) SCN-R(Smart Collaborative Networking for Railway),其良好和穩(wěn)定的帶寬表現(xiàn)引起了國內(nèi)外學(xué)者的廣泛關(guān)注。在智慧協(xié)同網(wǎng)絡(luò)理論體系下,支撐SCN-R的網(wǎng)絡(luò)組件被定義為高速移動業(yè)務(wù)族群。隨著SCN-R的不斷測試和推廣,對于高速移動業(yè)務(wù)族群,用戶和網(wǎng)絡(luò)管理人員所關(guān)心的問題逐漸開始從帶寬穩(wěn)定性等方面轉(zhuǎn)移到網(wǎng)絡(luò)安全性方面。但是對于SCN-R和高速移動業(yè)務(wù)族群,目前仍沒有較為系統(tǒng)的網(wǎng)絡(luò)安全研究。針對這一問題,本文試圖結(jié)合高速移動場景下數(shù)據(jù)流和網(wǎng)絡(luò)的特點(diǎn),討論高速移動業(yè)務(wù)族群內(nèi)多種網(wǎng)絡(luò)組件的安全需求,并提出相應(yīng)切實(shí)可行的解決方法。具體的,論文的主要工作和創(chuàng)新點(diǎn)如下:1.提出了一種檢測和防御基于微型數(shù)據(jù)流的DDoS攻擊的方法。該方法針對高速移動場景下大量惡意微型數(shù)據(jù)流可能對SCN-R當(dāng)中控制與轉(zhuǎn)發(fā)分離網(wǎng)絡(luò)造成路由緩存溢出和控制鏈路阻塞的問題,利用現(xiàn)有的控制鏈路協(xié)議,實(shí)現(xiàn)了輕量級的網(wǎng)絡(luò)攻擊檢測。同時,通過協(xié)同利用SCN-R當(dāng)中的控制與轉(zhuǎn)發(fā)分離網(wǎng)絡(luò)設(shè)備和防火墻,該方法實(shí)現(xiàn)了對惡意數(shù)據(jù)流的準(zhǔn)確識別和有效過濾。為了對該方法進(jìn)行有效性和可行性證明,我們分別利用了軟件仿真平臺和硬件原型系統(tǒng)進(jìn)行了大量的測試。結(jié)果表明,在SCN-R網(wǎng)絡(luò)內(nèi),該方法能夠有效的檢測和防御基于微型數(shù)據(jù)流的DDoS攻擊。2.提出了一種檢測和防御復(fù)雜路由緩存溢出DDoS攻擊的方法。高速移動場景下SCN-R網(wǎng)絡(luò)內(nèi)的基于微型數(shù)據(jù)流的DDoS攻擊可能進(jìn)一步演變?yōu)閺?fù)雜路由緩存溢出DDoS攻擊。針對這一問題,我們所提出的攻擊檢測方法對該類型網(wǎng)絡(luò)攻擊進(jìn)行詳細(xì)的數(shù)學(xué)模型建立,深入分析了網(wǎng)絡(luò)攻擊者可能選取的攻擊目標(biāo)。通過新提出的攻擊檢測參數(shù)和路由條目令牌桶系統(tǒng),該方法能夠準(zhǔn)確的檢測網(wǎng)絡(luò)異常、定位攻擊數(shù)據(jù)流的入口和對攻擊數(shù)據(jù)流進(jìn)行合理的轉(zhuǎn)發(fā)速率限制,防止攻擊目標(biāo)設(shè)備產(chǎn)生路由緩存溢出現(xiàn)象。為了對該方法進(jìn)行有效性和可行性證明,我們在仿真平臺下利用多種網(wǎng)絡(luò)拓?fù)淠Ｐ瓦M(jìn)行了大量的實(shí)驗(yàn),同時在硬件原型系統(tǒng)當(dāng)中我們進(jìn)行相應(yīng)功能的開發(fā)和測試。結(jié)果表明,在SCN-R網(wǎng)絡(luò)內(nèi),該方法能夠有效的檢測和防御復(fù)雜路由緩存溢出DDoS攻擊。3.設(shè)計(jì)了一種智慧移動路由器和接入路由器間高效認(rèn)證方法。高速移動場景下無線鏈路不穩(wěn)定所帶來的數(shù)據(jù)包異常時延和高丟包率導(dǎo)致了傳統(tǒng)認(rèn)證方法很難直接適用于SCN-R網(wǎng)絡(luò)內(nèi)。為了解決這一問題、實(shí)現(xiàn)智慧移動路由器和接入路由器間的高效認(rèn)證,防止可能出現(xiàn)的偽裝重放攻擊和UDP泛洪攻擊,我們提出了一種基于混沌函數(shù)的隨機(jī)數(shù)生成器和高效認(rèn)證方法。該方法在認(rèn)證過程中可以避免使用復(fù)雜的可逆加密算法,降低了認(rèn)證過程的計(jì)算和通信開銷。通過利用實(shí)際的硬件設(shè)備我們在實(shí)驗(yàn)室靜態(tài)環(huán)境和高速移動環(huán)境下對所提出的認(rèn)證機(jī)制進(jìn)行了系統(tǒng)的測試和分析。其結(jié)果表明,我們所提出的方法能夠滿足高速移動場景下智慧移動路由器和接入路由器的網(wǎng)絡(luò)安全需求。4.提出了一種檢測和防御復(fù)雜鏈路泛洪攻擊的方法。在SCN-R提供開放的網(wǎng)絡(luò)接入時,針對智慧移動路由器的UDP泛洪攻擊可能進(jìn)一步演變?yōu)閺?fù)雜鏈路泛洪攻擊,即存在車載網(wǎng)絡(luò)攻擊者和地面網(wǎng)絡(luò)攻擊者相互配合,通過智慧接入路由器發(fā)送大量攻擊數(shù)據(jù)流。為此,立足于上述高效認(rèn)證機(jī)制,我們設(shè)計(jì)提出了一種分層式的攻擊檢測和防御機(jī)制,該方法能夠準(zhǔn)確識別和屏蔽車載端的網(wǎng)絡(luò)攻擊者和其攻擊行為。通過在實(shí)際的智慧協(xié)同高速移動網(wǎng)絡(luò)地面模擬系統(tǒng)內(nèi)進(jìn)行大量的測試,我們證明了所提出方法的可行性和實(shí)用性。
【圖文】：

層的網(wǎng)絡(luò)組件層、中間的資源適配層和頂層的智慧服務(wù)層［２５］［２７］。同時為了加強(qiáng)層逡逑與層之間的功能銜接，依據(jù)實(shí)體和功能的對應(yīng)關(guān)系，將每層分別劃分到實(shí)體域和逡逑行為域當(dāng)中。圖１－１給出了智慧協(xié)同網(wǎng)絡(luò)的總體架構(gòu)模型。逡逑實(shí)體域邐行為域逡逑求逡逑推逡逑提供服務(wù)的實(shí)體與對娜、服務(wù)的行為描述邋｜逡逑應(yīng)的服務(wù)標(biāo)識ＳＩＤ邐＾邐ｓｂｄ邐％逡逑族群間協(xié)作ｔ邐ｔ行為匹配逡逑功能族群的實(shí)體與對邐ｍ邐．邐族群的行為描述逡逑應(yīng)的族群標(biāo)識ＦＩＤ邐＂１邐ＦＢＤ逡逑族群內(nèi)聯(lián)動？邐￥邐ｔ行為聚類逡逑網(wǎng)絡(luò)組件的實(shí)體與對邐疆ｆ邐組件的行為描ｉｉ逡逑？邐＿組|!識邋ＸＩＤ邐ＮＢＤ逡逑息逡逑感逡逑降］逡逑圖１－１智慧協(xié)同網(wǎng)絡(luò)“三層”、“兩域”總體架構(gòu)逡逑Ｆｉｇｕｒｅ邋１－１邋Ｔｈｅ邋ｏｖｅｒａｌｌ邋ａｒｃｈｉｔｅｃｔｕｒｅ邋ｏｆ邋ｓｍａｒｔ邋ｃｏｌｌａｂｏｒａｔｉｖｅ邋ｎｅｔｗｏｒｋｉｎｇ逡逑如圖ｉ－ｉ所示，在智慧協(xié)同網(wǎng)絡(luò)總體架構(gòu)中，位于頂部的智慧服務(wù)層主要負(fù)責(zé)逡逑接受網(wǎng)絡(luò)服務(wù)提供者的服務(wù)注冊，并根據(jù)服務(wù)特點(diǎn)，構(gòu)建網(wǎng)絡(luò)服務(wù)對應(yīng)的需求描逡逑述。舉例而言，網(wǎng)絡(luò)服務(wù)在注冊成功之后，將被分配給一個全網(wǎng)范圍內(nèi)唯一的服逡逑務(wù)標(biāo)識ＳＩＤ邋（Ｓｅｒｖｉｃｅ邋ＩＤ），以及用以描述該服務(wù)所需何種網(wǎng)絡(luò)環(huán)境支撐的服務(wù)行為逡逑描述ＳＢＤ邋（Ｓｅｒｖｉｃｅ邋Ｂｅｈａｖｉｏｒ邋Ｄｅｓｃｒｉｐｔｉｏｎ）。目前描述一個ＳＢＤ的參數(shù)主要包括服逡逑務(wù)位置信息、服務(wù)緩存位置、質(zhì)量要求和優(yōu)先級、帶寬要求、時延要求、丟包要逡逑求、最佳通信方式、服務(wù)類型、服務(wù)版本號、服務(wù)提供者簽名等。逡逑位于中間的資源適配層主要負(fù)責(zé)感知服務(wù)需求和網(wǎng)絡(luò)狀態(tài)，并以此為根據(jù)執(zhí)逡逑行兩部分操作

圖１－２智慧協(xié)同網(wǎng)絡(luò)工作流程逡逑Ｆｉｇｕｒｅ邋１－２邋Ｔｈｅ邋ｗｏｒｋｉｎｇ邋ｐｒｏｃｅｓｓ邋ｏｆ邋ｓｍａｒｔ邋ｃｏｌｌａｂｏｒａｔｉｖｅ邋ｎｅｔｗｏｒｋｉｎｇ逡逑圖１－２展示了智慧協(xié)同網(wǎng)絡(luò)的基本工作流程。首先，，網(wǎng)絡(luò)服務(wù)提供者將所要提逡逑供的網(wǎng)絡(luò)服務(wù)在智慧服務(wù)層進(jìn)行注冊，隨即獲得對應(yīng)的ＳＩＤ和ＳＢＤ。網(wǎng)絡(luò)組件層逡逑感知位于智慧協(xié)同網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)設(shè)備的狀態(tài)信息，隨即分配對應(yīng)的ＮＩＤ和ＮＢＤ。同逡逑時資源適配層根據(jù)注冊的網(wǎng)絡(luò)服務(wù)、實(shí)時的網(wǎng)絡(luò)組件行為描述，將網(wǎng)絡(luò)組件聚類逡逑為可支撐網(wǎng)絡(luò)服務(wù)的各種族群，建立族群的ＦＩＤ和ＦＢＤ。然后，當(dāng)用戶的服務(wù)請逡逑求到達(dá)智慧協(xié)同網(wǎng)絡(luò)，將會以服務(wù)行為描述ＳＢＤ的形式呈遞至智慧服務(wù)層。該服逡逑務(wù)行為描述ＳＢＤ記錄了用戶所期望的網(wǎng)絡(luò)服務(wù)行為信息。智慧服務(wù)層在收到該逡逑ＳＢＤ時，查詢其內(nèi)部己經(jīng)注冊的網(wǎng)絡(luò)服務(wù)，若匹配到與此對應(yīng)的注冊服務(wù)，則反逡逑４逡逑
【學(xué)位授予單位】：北京交通大學(xué)
【學(xué)位級別】：博士
【學(xué)位授予年份】：2018
【分類號】：TP393.08;TN929.5


本文編號：2632599