论文部分内容阅读
随着互联网的发展,网络中视频流量占比日益增加,基于Host-to-Host通信模式的TCP/IP网络结构的限制与问题逐渐暴露出来。为了解决当今互联网暴露出来的诸多问题,国际上很多研究机构开始探索全新架构的未来网络,内容中心网络(Content-Centric Networking,CCN)就是其中极具代表性的一种。CCN命名数据并在各个路由器都设置有内容缓存,这样的架构方式更加能够满足用户相比于数据的所在位置更加关心数据本身的需求。CCN在设计之初就考虑了安全性,CCN路由器的结构能够解决传统IP网络中源地址伪造、针对特定主机泛洪攻击等多数威胁。但是CCN新的体系结构也带来了新的安全威胁,其中对CCN威胁最大的安全隐患就是兴趣包泛洪攻击(Interest Flooding Attack,IFA)。IFA利用了CCN中路由器需要维持兴趣包转发状态的特性,通过泛洪大量带有恶意内容名称的兴趣包试图填满路由器中某些存储空间,从而使路由器拒绝为正常用户发送的兴趣包提供服务。IFA攻击具有易发动、危害范围广等特性,如何防御IFA攻击是CCN中的热点问题。到目前为止,该问题还没有得到完全解决。本文的主要研究工作包括:1.综述了内容中心网络兴趣包泛洪攻击防御技术的国内外研究现状,分析总结了各种防御技术的优点以及存在的问题,将CCN与TCP/IP网络进行对比,归纳了CCN的独特之处,介绍了CCN中的数据交互过程以及IFA的原理,探讨了未来可能的研究方向。2.针对CCN面对兴趣包泛洪攻击时反应速度慢的问题,研究改进了检测兴趣包中恶意内容名称前缀的技术,通过让这些路由器构造具有特殊位数据包回复出错兴趣包的方式将恶意内容名称前缀告知网络中的其他位置。研究改进了和式增加积式减少(Additive Increase Multi-plicative Decrease,AIMD)算法,详细阐述了改进后算法的流程,给出了算法伪代码,并对整体防御技术进行了可行性及安全性分析。3.研究并改进了CCNCheck签名验证技术,详细分析了CCNCheck中控制节点签名验证概率的算法公式的不足之处,通过引入节点数据流量对算法公式进行改进。设计了Pycharm IDE上的对比实验,并进行了实验结果分析。本文的创新之处包括:1.提出了一种恶意前缀溯源技术,根据CCN流平衡原理,利用CCN自身特性检测恶意内容名称前缀。安全性分析和效率分析表明,该技术在面对IFA时,能够更快的做出反应;并且相比于其他IFA防御技术,该技术在保证安全性的前提下,降低了CCN路由器在检测IFA时的计算开销。2.提出了一种改进了AIMD的恶意兴趣包转发抑制技术,通过限制恶意兴趣包的转发速率的方式对IFA进行防御。安全性分析表明,改进后的技术能够更好的配合恶意前缀溯源技术对IFA进行防御,且不会给路由器带来额外的负担。3.提出了一种改进CCN中的CCNCheck签名验证技术。解决了CCNCheck机制中核心节点以固定概率验证签名会影响网络性能的问题,在Pycharm IDE上的实验表明,该技术能够根据网络中节点的数据流量变化判断节点的繁忙程度,进而达到在繁忙节点处限制签名验证概率变化、在空闲节点处加快签名验证概率变化的目的。实验结果分析表明,该技术还可以通过增加兴趣包签名验证的方式来防御IFA攻击。