第一章绪论
为从根本上解决互联网的各种弊端,研究学者已提出了许多新型网络体系架构方案。目前采用身份与位置分离、控制与转发分离和资源与位置分离的思想设计未来互联网体系架构是近年来的研究热点之一。身份与位置分离采用两个独立的标识空间将地址的身份与位置属性分离。控制与转发分离将数据包路由转发过程拆分为路由控制和数据转发两部分。资源与位置分离是以内容或信息为中心,釆用位置无关的名称(标识)统一命名网络中的内容,将内容作为互联网“沙漏模型”的“细腰”,。身份与位置分离和控制与转发分离面向网络,解决网络可扩展性,灵活性,移动性和安全性等问题;资源与位置分离面向服务,解决网络服务、内容的快速分发,防止拥塞,保障传输内容安全等问题。网络安全问题一直都是互联网领域关注的焦点和研究难点。网络的安全性不仅与用户行为有关,而且与网络体系架构有很大关系。在新型网络体系设计之初就将安全问题考虑在内,已成为网络安全研究领域的共识。如何在支持身份与位置分离、资源与位置分离的未来网络体系中应对网络攻击,阻止恶意数据流,以及如何为移动网络提供安全保障,是影响下一代互联网络有效运行的关键因素。
.........
第二章身份与位置分离环境中DDoS攻击防御方法
2.1引言
身份与位置分离环境在接入标识与路由标识之间创建了一种对应关系,因此可以在新的网络体系下设计基于映射机制的防御方法。为使身份与位置分离环境原生支持DDoS攻击防御功能,本文在深入研究接入标识与路由标识映射关系的基础上,提出基于映射机制的DDoS攻击防御方法,包括基于网络的轻量级权限令牌机制和基于映射过滤的DDoS主动防御机制。其中,基于网络的轻量级权限令牌主要用于预防DDoS攻击;基于映射过滤的DDoS主动防御机制主要是当受害者检测到DDoS攻击流后,进行恶意数据流阻断。基于网络的轻量级权限令牌机制利用接入标识与路由标识的映射关系,将权限令牌(分发给接入网络,接入网间主机通信时,由接入路由器为数据包附加权限令牌,以便中间路由器进行验证,防止DDoS攻击。基于映射过滤的DDoS攻击主动防御机制扩展映射系统中的映射条目,将阻断信息存放到映射条目中,使攻击受害者可以主动请求网络阻断恶意数据流。当接入路由器对数据包进行标识映射处理时,根据映射条目中的阻断信息判断是否应该丢弃数据包,阻断DDoS攻击数据流。
2.2网络拓扑模型和基本假设
本文不限定映射系统的具体方案,假设映射系统是健壮、安全的。映射系统内部具有安全认证机制,保障映射信息的真实性和有效性,映射服务器与接入路由器之间的消息不会被篡改或伪造。攻击受害者可以从接收的数据流中,检测并分辨出恶意的DDoS攻击数据流。终端系统可以利用图灵测试,如验证码等,检测数据包的恶意行为,或使用其他一些攻击流识别技术。在现有基于权限令牌的方法中,权限令牌直接颁发给独立的主机。这种细粒度的授权方式使接收者具有充分的权限控制即将接收的数据流,但是却引发了一个问题:主机是否愿意更改现有互联网开放自由的通信模式,首先请求权限令牌,再将权限令牌附加在数据包中进行通信。如果主机愿意更改通信模式,则需要更新所有主机的协议栈,这将是一个巨大的工程,且面临兼容性等问题。由于对网络提供商和用户都没有足够的激励机制使所有主机和路由器更新协议栈来支持权限令牌,因此网络提供商和主机更愿意维持现状而不做任何改变,正如出入口过滤机制未得到广泛应用一样。
第三章身份与位置分离环境中终端安全移动性管理方法............41
3.1引言...............41
第四章资源与位置分离环境中兴趣包泛洪攻击防御方法......59
4.1引言...........59
第五章资源与位置分离环境中内容源安全移动性管理方法............75
5.1引言.............75
5.1基本设计思想.............77
第五章资源与位置分离环境中内容源安全移动性管理方法
5.1引言
在基于身份与位置分离的方法中,位置解析服务器用来管理移动内容源的内容名称与其最新位置信息的映射关系。内容消费者可以首先向位置解析服务器查询内容源的位置信息,然后利用位置信息直接请求需要的内容。当前有两种方式可以实现基于身份与位置分离的内容源移动性支持。一种是在内容名称中增加移动内容源的位置信息另一种是在兴趣包中加入一个可选的位置名称字段。文献和都指出使用身份与位置分离的方法支持内容源移动是可行的,但是两者都没有给出移动切换过程和分析.
5.2基本设计思想
兴趣包中的内容名称和位置名称都可以用来路由,兴趣包在内容路由器中的寻路转发过程也有相应改变。当内容路由器接收到兴趣包时,首先使用兴趣包的内容名称检查内容缓存CS是否已有对应的内容;如果CS里面没有所请求的内容,则内容路由器使用兴趣包中的内容名称新建等待兴趣包列表PIT条目。当兴趣包指定了位置名称时,内容路由器使用兴趣包中的位置名称,在转发信息表FIB中查询兴趣包的出口,并转发该兴趣包;当兴趣包没有指定位置名称时,内容路由器依据内容名称转发兴趣包。
..........
第六章总结与展望
为使身份与位置分离环境原生支持DDoS攻击防御功能,利用身份与位置分离环境在接入标识与路由标识之间创建的一种对应关系,提出了基于映射机制的DDoS攻击防御方法。通过映射系统将权限令牌分发给接入网粒度的信任单元,对终端主机透明。映射系统根据信任单元的声誉值决定是否颁发权限令牌,以此来防止恶意信任单元发起DDoS攻击。基于映射过滤的DDoS攻击主动防御机制扩展映射条目,使其可以携带阻断信息,并使用映射系统传输阻断请求。当受害者检测到攻击时,可以主动请求接入路由器阻断攻击数据流。当接入路由器对数据包进行标识映射时,根据映射条目中的阻断信息判断是否丢弃数据包,防御DDoS攻击。通过方案对比、数值分析和验证实验,论证了基于映射机制的DDoS攻击防御方法的可行性和有效性。
.........
参考文献(略)