當前網絡中,IP數(shù)據(jù)包的轉發(fā)僅依賴于目的IP地址,路由器等轉發(fā)設備對數(shù)據(jù)包的源IP地址并不檢查,并且數(shù)據(jù)包也不攜帶用戶身份標識,這使得網絡攻擊者可通過偽造源IP地址發(fā)起惡意攻擊卻能夠逃避追查,給網絡安全性和可信性帶來了極大的挑戰(zhàn)。現(xiàn)有研究主要從IP源地址的可信性及可追溯性兩方面提出解決方案,在各自的應用場景下能夠取得較好的效果,但是存在過濾精度不高、驗證粒度不足、實現(xiàn)成本及部署開銷較大、無法域內域間全覆蓋、忽略增量部署需求等問題。為了緩解網絡安全攻擊現(xiàn)象,本文圍繞網絡可追責開展研究,通過由數(shù)據(jù)包攜帶真實IP源地址或發(fā)送者可信身份標識,使得網絡管理者能夠根據(jù)惡意數(shù)據(jù)包直接定位責任人。具體而言,本文在軟件定義網絡管控分離架構的基礎上,提出一種支持增量部署的網絡一體化可追責機制,通過在域內保證數(shù)據(jù)包攜帶真實IP源地址、在域間保證數(shù)據(jù)攜帶發(fā)送者可信身份標識,使得網絡具有根據(jù)惡意數(shù)據(jù)包直接定位責任主機或責任人的能力,整體方案具有部署成本低、追責效率高、安全與隱私兼顧、域內域間全覆蓋、適合漸進部署等優(yōu)勢。本文的主要工作如下:1.建立了支持增量部署的網絡一體化可追責架構圍繞對互聯(lián)網進行域內和域間的一體化追責目標,首先給出了網絡一體化追責模型的形式化表述,分析推導出網絡可追責性的兩方面:在域內應保證數(shù)據(jù)包IP源地址的可信性,從而可以定位發(fā)送源主機;在域間應保證數(shù)據(jù)包身份標識的可信性,從而可以確定發(fā)送者的身份。據(jù)此,建立了域內域間一體化驗證的網絡可追責框架,提出在域內關鍵位置部署SDN過濾規(guī)則實現(xiàn)IP源地址的可信性,而在同盟自治域間通過對數(shù)據(jù)包嵌入可信身份標識包頭,實現(xiàn)域間數(shù)據(jù)包發(fā)送者身份標識的可信性。該架構支持域內和域間驗證的有機協(xié)作,且支持增量部署,可實現(xiàn)網絡的一體化驗證與追責。2.提出了一種可增量部署的域內IP源地址驗證方案為了使數(shù)據(jù)包在域內攜帶真實IP源地址,實現(xiàn)域內的可追責性,提出了一種基于SDN架構可增量部署的IP源地址驗證方案SDN-ISAVS。該機制首先通過建立問題模型,根據(jù)網絡拓撲及過濾需求,設計貪心算法定位SDN設備部署位置。之后控制器計算各部署點的流控規(guī)則并予以下發(fā),最終實現(xiàn)在部署點位置過濾假冒源地址數(shù)據(jù)包的目的。同時該機制還考慮了方案適應網絡動態(tài)變化的問題,取得了部署代價與過濾效果的折中。實驗表明,方案僅需較小的部署代價即可對域內絕大部分子網前輟進行驗證,并具有良好的增量部署性。3.設計了一種面向流量感知的SDN流控規(guī)則更新優(yōu)化算法針對域內源地址驗證方案中出現(xiàn)的流控規(guī)則頻繁更新,而SDN交換機TCAM存儲空間有限,導致流表匹配丟失現(xiàn)象嚴重,影響交換機的數(shù)據(jù)包過濾和轉發(fā)效率問題,設計了一種預計算和實時計算相結合、面向流量感知的SDN流控規(guī)則更新優(yōu)化算法。該算法首先將交換機TCAM存儲空間邏輯地劃分為預計算規(guī)則區(qū)域和實時計算規(guī)則區(qū)域,以分別用來存儲常駐規(guī)則和臨時規(guī)則;對于常駐規(guī)則,從歷史信息、覆蓋空間和依賴關系三個維度來計算規(guī)則的權重,使具有高權重的流控規(guī)則得以保留;對于臨時規(guī)則,根據(jù)歷史和未來流量預測對流控規(guī)則更新進行優(yōu)化,從而有效地降低流表丟失現(xiàn)象。實驗表明,與單一的規(guī)則更新模式(預計算或實時計算)相比,本算法能夠使SDN交換機對數(shù)據(jù)包轉發(fā)操作盡可能地保持在數(shù)據(jù)平面內,并有效利用寶貴TCAM資源,提高域內數(shù)據(jù)包整體過濾和轉發(fā)效率。4.提出了一種提升域內流控規(guī)則容量的TCAM流表壓縮算法SDN網絡中面向流量感知的域內流控規(guī)則需要依賴數(shù)據(jù)平面大量的OpenFlow流表實現(xiàn),而OpenFlow的流表由于定義了較多的匹配域,因此對于TCAM存儲空間需求量較大。為了配合域內源地址驗證方案,進一步緩解SDN交換機TCAM空間緊缺、不足以容納不斷增長的SDN流表問題,考慮到OpenFlow流表字段間存在冗余、演進等關系,本文提出一種提升域內流控規(guī)則容量的TCAM流表壓縮算法RETCAM。為了實現(xiàn)該目標,RETCAM首先分析了OpenFlow協(xié)議中所有字段之間的關系,并將字段之間的關系分為三類,對立字段(無關系字段)、更新字段及并列字段。之后,模型基于以上字段關系提出了三種壓縮算法,即:字段合并壓縮、字段映射壓縮和字段間壓縮算法。在不損害OpenFlow匹配查找靈活性及原始流表的功能完整性前提下,壓縮后的結果使得流表字段能夠有效融合或降低字段寬度。仿真結果表明,對于一個給定的OpenFlow流表,壓縮模型可節(jié)省約65%的TCAM空間,且算法具有較高的計算效率。5.實現(xiàn)了一種面向同盟域間的數(shù)據(jù)包可信身份標識攜帶方案為了使發(fā)送至同盟域的數(shù)據(jù)包攜帶可信身份標識,實現(xiàn)域間的可追責性,本文設計并實現(xiàn)了一種面向同盟域間的數(shù)據(jù)包可信身份標識攜帶方案TrueID。該方案首先通過在同盟自治域間建立對等控制器及分布式的PKI系統(tǒng),進行基礎信息交換后,受控的邊界網關即可對發(fā)往同盟自治域間的數(shù)據(jù)包嵌入哈�；⒖设b別、抗抵賴、防重放攻擊的身份標識包頭。實驗表明,TrueID方案對身份標識包頭的處理速率幾乎可達線速,而存儲開銷幾乎可以忽略。同時對等控制器之間對數(shù)據(jù)包驗證時延比IPsec AH方案更小。最后,對全球ISP骨干拓撲的模擬實驗表明,僅需對30%左右的互聯(lián)網大型運營商的服務呈現(xiàn)點進行部署,即可對互聯(lián)網范圍的數(shù)據(jù)包進行身份標識驗證,具有優(yōu)異的增量部署性。
【學位單位】：戰(zhàn)略支援部隊信息工程大學
【學位級別】：博士
【學位年份】：2020
【中圖分類】：TP393.08
【部分圖文】：

第一章緒論第一章緒論近年來，隨著我國經濟的飛速發(fā)展，我國的互聯(lián)網用戶數(shù)也呈現(xiàn)出不斷上升的趨勢。根據(jù)中國互聯(lián)網信息中心最新的《中國互聯(lián)網發(fā)展狀態(tài)統(tǒng)計報告》[1]表明，截止到2019年6月，中國互聯(lián)網普及率達到61.2%，而網民規(guī)模高達8.54億，較2018年分別增長1.6%以及3.1%。與此同時，互聯(lián)網的安全性卻面臨嚴峻的挑戰(zhàn)，互聯(lián)網安全形勢越來越復雜，網絡安全事件的追溯與定責成為人們關注的焦點。自軟件定義網絡[2-6]（SoftwareDefinedNetworking，SDN）2009年被提出，因其具有“中心控制、邊緣響應”的特點，越來越受到學術界的重視，基于SDN架構解決傳統(tǒng)網絡安全方案也不斷出現(xiàn)。本章首先對課題的研究背景與意義予以簡要介紹；對數(shù)據(jù)包IP源地址驗證及身份標識攜帶方案進行歸納總結，進而提出本文方案思路；最后對論文研究內容及章節(jié)結構進行說明。1.1課題研究背景及意義1.1.1互聯(lián)網安全形勢不容樂觀隨著新型網絡攻擊手段的層出不窮，如APT（AdvancedPersistentThreat）攻擊、DoS（Deny-of-Service）攻擊、勒索病毒等，使得互聯(lián)網的安全性形勢十分嚴峻，網絡安全事件頻發(fā)。如圖1.1所示，據(jù)國外權威統(tǒng)計表明[7]，2019年全球可統(tǒng)計的大型網絡攻擊事件的數(shù)量比2018年增長了近40%，而至2020第一季度比2019年同期又增長了18%，互聯(lián)網安全形勢不容樂觀。圖1.1HACKMAGEDDON網站統(tǒng)計的近三年網絡安全大事故數(shù)量統(tǒng)計圖在國內，據(jù)中國國家計算機網絡應急技術處理協(xié)調中心（CNCERT）2018年的統(tǒng)計數(shù)據(jù)表明[8]，CNCERT/CC協(xié)調處理的網絡安全事件達到了10.6萬起，其中網頁仿冒、網站后門、DDOS等攻擊居多。近年來隨著移動互聯(lián)網的興起，我國移動互聯(lián)網用戶突破8.17第1頁

第一章緒論地簡化了傳統(tǒng)網絡中復雜的管控問題，為網絡應用的創(chuàng)新提供了良好的契機。因為具有全局網絡視圖、集中管控、動態(tài)響應，統(tǒng)一編程等特點，近年來得到學術界和工業(yè)界的青睞。安全通道控制器SecureChannel流表FlowTable添加刪除流表項封裝包控制器發(fā)現(xiàn)OpenFlow交換機OpenFlow協(xié)議圖1.4OpenFlow架構示意圖作為SDN的典型代表，OpenFlow[10,11]協(xié)議架構如圖1.4所示。從圖中可以看出，SDN架構由OpenFlow交換機（OpenFlowSwitch）、控制器（Controller）及連接二者OpenFlow通訊協(xié)議構成。OpenFlow交換機內部由安全通道（SecureChannel）和流表（FlowTable）構成，其中安全通道負責和邏輯統(tǒng)一的中心控制器（Controller）通過OpenFlow協(xié)議進行通信并指導操縱流表的（包括添加、刪除流表項、封裝包和控制器發(fā)現(xiàn)等操作），從而實現(xiàn)網絡元素的控制和數(shù)據(jù)轉發(fā)權限分離；同時，OpenFlow交換機之間還通過鏈路發(fā)現(xiàn)協(xié)議（LinkDiscoveryProtocol,LDP）進行鄰居設備發(fā)現(xiàn)，使控制器掌握全局網絡拓撲。在控制器上，提供了SDN交換機和控制器之間的南向接口（SouthBoundInterface），同時向上層應用提供北向接口（NorthBoundInterface），使上層應用更加輕松的控制底層的SDN交換機。通過南北向接口，SDN架構提供了高度的可編程性。此外，SDN控制器還提供了東西向接口（East-WestBound），用于對等控制器之間的信息交換。除OpenFlow外，其他主要的南向接口協(xié)議還有POF[12]，F(xiàn)orCES[13]，ROFL[14]，TTPs[15]，OpFlex[16]，OVSDB[17]，OpenState[18]，I2RS[19]，PCEP[20]，XMPP[21]，HAL[22]，PAD[23]等方案。例如，POF（Protocol-obliviousforwarding）是華為公司提出的一種SDN南向接口標準，其主要的目標是增強SDN數(shù)

戰(zhàn)略支援部隊信息工程大學博士學位論文骨干拓撲的模擬實驗表明，僅需對30%左右的互聯(lián)網大型運營商的服務呈現(xiàn)點（POP）進行部署，即可對互聯(lián)網范圍的數(shù)據(jù)包進行身份標識驗證，具有優(yōu)異的增量部署性。1.4本文章節(jié)組織本文致力于構建可增量部署的域內域間網絡一體化可追責方案，內容共分為七章，各章節(jié)組織及研究內容之間的關系如圖1.5所示，簡介如下：第一章引言第二章支持增量部署的網絡一體化可追責架構第七章總結與展望第六章面向同盟域間的數(shù)據(jù)包可信身份標識攜帶方案第四章面向流量感知的域內流控規(guī)則更新優(yōu)化算法域內域間第五章一種提升域內流控規(guī)則容量的TCAM流表壓縮算法支撐第三章一種可增量部署的域內IP源地址驗證機制支撐圖1.5本文的章節(jié)組織架構示意圖第1章為本文緒論，主要介紹了本文的研究背景、研究現(xiàn)狀、研究意義及主要貢獻點。第2章為機制總體架構及設計分析，通過從系統(tǒng)需求出發(fā)，建立系統(tǒng)模型，形式化地表達需求，并推導出設計著力點，即在域內要保證數(shù)據(jù)包IP源地址的可信性、在域間要保證數(shù)據(jù)包發(fā)送者身份標識的可信性，為建立域內域間網絡一體化可追責架構奠定理論基矗第3章詳細介紹了一種可增量部署的域內源地址驗證機制，達到了以最小部署代價換取最大過濾收益的效果，實現(xiàn)了數(shù)據(jù)包域內可追責目標。針對第3章源地址驗證方案在網絡拓撲頻繁變化情況下，而TCAM內存空間有限，造成新老流規(guī)則不斷替換，進而影響數(shù)據(jù)包源地址檢測及轉發(fā)的效率的問題，第4章詳細介紹了面向流量感知的流控規(guī)則更新優(yōu)化算法，緩解了SDN交換機流表“表丟失（Table-Missing）”問題，提高了網絡整體轉發(fā)效率、增加了網絡的穩(wěn)定性。為進一步緩解SDN交換機TCAM空間緊缺問題，提升?
【相似文獻】

相關期刊論文 前10條

1 熊迪;;數(shù)據(jù)包來回路徑不一致造成網絡不穩(wěn)定[J];網絡安全和信息化;2019年11期

2 劉建臣;;靈活匹配數(shù)據(jù)包 強化網絡安全控制[J];網絡安全和信息化;2018年11期

3 郝京輝;周利民;;航天型號外包產品數(shù)據(jù)包的研究與實踐[J];機械制造;2015年10期

4 朱藝華;李麗;池凱凱;李燕君;;6LoWPAN中優(yōu)化多路徑路由吞吐率的數(shù)據(jù)包分片方案[J];電子與信息學報;2014年08期

5 孫慧鋒;劉文芬;張建輝;;多徑傳輸下的數(shù)據(jù)包重排序性能分析[J];信息工程大學學報;2010年06期

6 舒光強;王玲;;兩種數(shù)據(jù)包評分方案比較分析[J];通信技術;2009年09期

7 姜浩;倫淑嫻;劉力;;網絡入侵檢測系統(tǒng)中數(shù)據(jù)包捕獲的分析與設計[J];計算機與數(shù)字工程;2008年08期

8 Kara Wilson;;從數(shù)據(jù)包看企業(yè)效能[J];中國計算機用戶;2006年18期

9 Dave Bailey;;數(shù)據(jù)包分析意義何在[J];每周電腦報;2006年47期

10 王欣;;移動網絡優(yōu)化與加速策略探討[J];電腦迷;2018年11期

相關博士學位論文 前10條

1 張超欽;支持增量部署的網絡一體化可追責機制研究[D];戰(zhàn)略支援部隊信息工程大學;2020年

2 侯睿;光突發(fā)交換網絡中沖突解決方法的研究[D];華中科技大學;2006年

3 馬柯;延遲容忍網絡關鍵技術研究[D];中國科學技術大學;2011年

4 張婧垚;無線網絡編碼的關鍵問題與技術研究[D];清華大學;2010年

5 蔣綱;數(shù)據(jù)包在無線網絡中調度策略的研究[D];華中科技大學;2004年

6 李勇輝;IP網絡中基于數(shù)據(jù)包標記的溯源方法研究[D];北京郵電大學;2011年

7 劉冰洋;互聯(lián)網域間源地址驗證的可部署性評價模型與方法設計[D];清華大學;2014年

8 金光;基于數(shù)據(jù)包標記的拒絕服務攻擊防御技術研究[D];浙江大學;2008年

9 楊杉;移動熱點網絡中多業(yè)務傳輸?shù)姆⻊召|量研究[D];北京交通大學;2013年

10 朱曉妍;無線網絡中的幾個關鍵問題研究[D];西安電子科技大學;2009年

相關碩士學位論文 前10條

1 金貽美;網關中狀態(tài)數(shù)據(jù)包分類的研究[D];哈爾濱工業(yè)大學;2012年

2 鄭君;基于標記的數(shù)據(jù)包分類機制若干技術研究[D];寧波大學;2011年

3 張瑞;基于千兆網卡的高效數(shù)據(jù)包捕獲技術的應用與實現(xiàn)[D];電子科技大學;2010年

4 劉霄;基于Wi-Fi網絡文本數(shù)據(jù)包監(jiān)測的研究及應用[D];大連交通大學;2019年

5 馬畑名;網絡通訊數(shù)據(jù)包截獲與解析研究[D];陜西科技大學;2015年

6 丁皓;基于鏈路數(shù)據(jù)包錯誤率的空間網絡自動重傳技術研究[D];國防科學技術大學;2010年

7 張敦行;高速鏈路數(shù)據(jù)包捕獲研究與實現(xiàn)[D];湖南大學;2007年

8 劉文敏;基于數(shù)據(jù)包捕獲的數(shù)據(jù)內容還原分析技術研究[D];北京郵電大學;2014年

9 肖勇;基于安全辦公室的數(shù)據(jù)包的截獲與分析的研究[D];西安電子科技大學;2013年

10 王偉艷;入侵檢測技術中的深度數(shù)據(jù)包檢測[D];長春理工大學;2009年

本文編號：2885358