现有互联网具有“三重绑定”的特征,即:网络的“控制与转发绑定”、主机的“网络与用户绑定”以及服务的“资源与位置绑定”。智慧标识网络提出的“三层”、“两域”体系架构模型,可以有效地解决现有网络由以上“三重绑定”引起的可扩展性与安全性等方面存在的问题。本文重点研究智慧标识网络控制与转发分离安全机制相关的关键技术理论,深入分析控制与转发分离机制提供的安全优势以及其可能面临的主要安全隐患,提出应对安全威胁的解决方案。本文主要的创新工作如下:1.针对智慧标识网络可扩展性和安全性的问题,提出了智慧标识网络中标识分离映射和控制与转发分离融合架构。在接入网与核心网中分别采用代表身份的接入标识与代表位置的路由标识进行数据转发,实现智慧标识网络的网络组件层中主机的网络与用户分离。将标识分配功能从接入转发组件中分离,在中心控制器中配置映射功能。设计具有映射流表功能的接入转发组件,承载接入网与核心网在网络组件层的衔接功能。进一步提出了核心网中流表条目聚合机制,并从理论上分析了引入标识分离映射机制在流表条目聚合方面的优势:最差情况下,核心网中的转发流表条目也将会减少35%—45%。针对该架构,开发原型系统并通过实验对其在数据转发平面的转发时延、映射查询时延等方面的性能表现进行分析:相比没有采用标识分离映射机制的系统架构,该融合架构在转发时延上几乎没有影响;而映射查询时延仅发生在首次查询过程中,通过实验验证,当映射关系条目数量达到100万条时,映射查找时延也没有超过0.2毫秒。2.基于上述融合架构的特点,提出一种基于流表请求消息分析的数据转发平面DDoS攻击检测方法。该方法利用非参数CUSUM算法对控制器接收到的映射流表请求消息流量进行分析,能够实现对网络组件层流量异常的检测与报警。此外,本文针对一般的非参数CUSUM算法可能造成异常结束后持续报警的问题提出了改进方法,能够实现异常结束后快速解除报警。最后,本文通过仿真实验比较了利用控制器收到的流表请求消息流量进行异常检测与利用网络组件层中受害主机收到的流量进行异常检测的检测效果。实验结果表明,本文提出的基于流表请求消息的异常检测方法能够降低由于正常流量激增引起的误报警情况,而且能够在攻击流量到达受害主机之前约0.35秒预先判断到网络中存在异常。3.在智慧标识网络控制与转发分离架构下,提出一种基于滑动窗口流量矩阵的异常检测方法,并在智慧服务层开发基于主成分分析法的异常检测应用,主要包括流量特征请求模块、流量统计分析模块以及异常流量检测和移除模块。该应用通过集中式的控制器从每个接入转发组件中获取流量特征信息,来构建基于滑动窗口的流量特征矩阵,并利用主成分分析法对流量特征矩阵进行降维,把流量特征矩阵分割成正常子空间和异常子空间,周期性地对异常子空间进行均方预测误差计算,并通过与前一个周期的Q统计量门限值进行比较,来判断网络中是否产生异常。针对DDoS攻击异常流量,在检测到攻击后可以通过流量矩阵反推异常流量的来源,从源头的接入转发组件对异常流量进行移除。通过实验对异常检测的效果进行评估,在异常占比高于15%的情况下,检测率几乎能达到100%,同时误报率只有5%～7%。在检测到攻击之后,我们还进行实验对DDoS攻击异常流量移除的效果进行演示,证明其有效性。最后,我们对异常检测方法的检测时延与CPU开销进行分析,结果表明本文提出的异常检测方法是有效的且轻量级的。4.针对智慧标识网络中心控制器容易遭受饱和攻击的安全威胁问题,提出了一种基于流行度和流生存时间分析的中心控制器保护方法,并在智慧服务层开发控制器保护应用。控制器保护应用中维护了一张流行度列表,在平稳状态下可以基于Zipf法则,通过用户请求的目的地址的频繁程度来标记最流行的一些目的地址。在控制器负载过高时可以为高流行度的地址提前生成主动流表,保证用户可以访问到这些目的地址所在的主机;对于其它请求消息则采用限速的方式,防止其对控制器造成更高的负载。针对面向控制器的攻击行为进行特征分析,提出基于流生存时间的恶意主机分辨算法,利用贝叶斯法则计算后验概率来分辨恶意主机与合法主机,并生成防御流表,从源头对恶意主机进行防御。最后,通过实验对提出的控制器保护方法的功能和防御效果进行验证,并比较分析了其优势。该方法能够在发生攻击时有效地缓解控制器的压力并快速分辨出攻击者,对于攻击者识别的准确率为99.90%,同时误报率为0.41%。