论文部分内容阅读
当前网络中,IP数据包的转发仅依赖于目的IP地址,路由器等转发设备对数据包的源IP地址并不检查,并且数据包也不携带用户身份标识,这使得网络攻击者可通过伪造源IP地址发起恶意攻击却能够逃避追查,给网络安全性和可信性带来了极大的挑战。现有研究主要从IP源地址的可信性及可追溯性两方面提出解决方案,在各自的应用场景下能够取得较好的效果,但是存在过滤精度不高、验证粒度不足、实现成本及部署开销较大、无法域内域间全覆盖、忽略增量部署需求等问题。为了缓解网络安全攻击现象,本文围绕网络可追责开展研究,通过由数据包携带真实IP源地址或发送者可信身份标识,使得网络管理者能够根据恶意数据包直接定位责任人。具体而言,本文在软件定义网络管控分离架构的基础上,提出一种支持增量部署的网络一体化可追责机制,通过在域内保证数据包携带真实IP源地址、在域间保证数据携带发送者可信身份标识,使得网络具有根据恶意数据包直接定位责任主机或责任人的能力,整体方案具有部署成本低、追责效率高、安全与隐私兼顾、域内域间全覆盖、适合渐进部署等优势。本文的主要工作如下:1.建立了支持增量部署的网络一体化可追责架构围绕对互联网进行域内和域间的一体化追责目标,首先给出了网络一体化追责模型的形式化表述,分析推导出网络可追责性的两方面:在域内应保证数据包IP源地址的可信性,从而可以定位发送源主机;在域间应保证数据包身份标识的可信性,从而可以确定发送者的身份。据此,建立了域内域间一体化验证的网络可追责框架,提出在域内关键位置部署SDN过滤规则实现IP源地址的可信性,而在同盟自治域间通过对数据包嵌入可信身份标识包头,实现域间数据包发送者身份标识的可信性。该架构支持域内和域间验证的有机协作,且支持增量部署,可实现网络的一体化验证与追责。2.提出了一种可增量部署的域内IP源地址验证方案为了使数据包在域内携带真实IP源地址,实现域内的可追责性,提出了一种基于SDN架构可增量部署的IP源地址验证方案SDN-ISAVS。该机制首先通过建立问题模型,根据网络拓扑及过滤需求,设计贪心算法定位SDN设备部署位置。之后控制器计算各部署点的流控规则并予以下发,最终实现在部署点位置过滤假冒源地址数据包的目的。同时该机制还考虑了方案适应网络动态变化的问题,取得了部署代价与过滤效果的折中。实验表明,方案仅需较小的部署代价即可对域内绝大部分子网前辍进行验证,并具有良好的增量部署性。3.设计了一种面向流量感知的SDN流控规则更新优化算法针对域内源地址验证方案中出现的流控规则频繁更新,而SDN交换机TCAM存储空间有限,导致流表匹配丢失现象严重,影响交换机的数据包过滤和转发效率问题,设计了一种预计算和实时计算相结合、面向流量感知的SDN流控规则更新优化算法。该算法首先将交换机TCAM存储空间逻辑地划分为预计算规则区域和实时计算规则区域,以分别用来存储常驻规则和临时规则;对于常驻规则,从历史信息、覆盖空间和依赖关系三个维度来计算规则的权重,使具有高权重的流控规则得以保留;对于临时规则,根据历史和未来流量预测对流控规则更新进行优化,从而有效地降低流表丢失现象。实验表明,与单一的规则更新模式(预计算或实时计算)相比,本算法能够使SDN交换机对数据包转发操作尽可能地保持在数据平面内,并有效利用宝贵TCAM资源,提高域内数据包整体过滤和转发效率。4.提出了一种提升域内流控规则容量的TCAM流表压缩算法SDN网络中面向流量感知的域内流控规则需要依赖数据平面大量的OpenFlow流表实现,而OpenFlow的流表由于定义了较多的匹配域,因此对于TCAM存储空间需求量较大。为了配合域内源地址验证方案,进一步缓解SDN交换机TCAM空间紧缺、不足以容纳不断增长的SDN流表问题,考虑到OpenFlow流表字段间存在冗余、演进等关系,本文提出一种提升域内流控规则容量的TCAM流表压缩算法RETCAM。为了实现该目标,RETCAM首先分析了OpenFlow协议中所有字段之间的关系,并将字段之间的关系分为三类,对立字段(无关系字段)、更新字段及并列字段。之后,模型基于以上字段关系提出了三种压缩算法,即:字段合并压缩、字段映射压缩和字段间压缩算法。在不损害OpenFlow匹配查找灵活性及原始流表的功能完整性前提下,压缩后的结果使得流表字段能够有效融合或降低字段宽度。仿真结果表明,对于一个给定的OpenFlow流表,压缩模型可节省约65%的TCAM空间,且算法具有较高的计算效率。5.实现了一种面向同盟域间的数据包可信身份标识携带方案为了使发送至同盟域的数据包携带可信身份标识,实现域间的可追责性,本文设计并实现了一种面向同盟域间的数据包可信身份标识携带方案TrueID。该方案首先通过在同盟自治域间建立对等控制器及分布式的PKI系统,进行基础信息交换后,受控的边界网关即可对发往同盟自治域间的数据包嵌入哈希化、可鉴别、抗抵赖、防重放攻击的身份标识包头。实验表明,TrueID方案对身份标识包头的处理速率几乎可达线速,而存储开销几乎可以忽略。同时对等控制器之间对数据包验证时延比IPsec AH方案更小。最后,对全球ISP骨干拓扑的模拟实验表明,仅需对30%左右的互联网大型运营商的服务呈现点进行部署,即可对互联网范围的数据包进行身份标识验证,具有优异的增量部署性。