一种基于IPv6的物联网分布式源地址验证方案 被引量：13

1

作者 胡光武 陈文龙 徐恪 《计算机学报》 EI CSCD 北大核心 2012年第3期518-528,共11页

作者在融合物联网的新一代互联网网络环境下,提出了基于IPv6的源地址验证整体架构.基于该架构,考虑物联网节点资源受限特点,并结合物联网末梢网络的拓扑形态及其路由方式上的特征,设计了基于IPv6的物联网末梢网络分布式源地址验证方案.... 作者在融合物联网的新一代互联网网络环境下,提出了基于IPv6的源地址验证整体架构.基于该架构,考虑物联网节点资源受限特点,并结合物联网末梢网络的拓扑形态及其路由方式上的特征,设计了基于IPv6的物联网末梢网络分布式源地址验证方案.分别讨论了静态指定、SLAAC(Stateless Address AutoConfiguration)、DHCPv6(Dynamic Host Configuration Protocol Version 6)以及DHCPv6与SLAAC混合情况下的物联网节点IP地址分配及其验证机制.模拟实验表明,该方案仅以微小的代价实现了物联网节点IP地址的分配,同时还保证了物联网节点之间、物联网节点与互联网端系统之间端到端通信时双方IP地址的真实可靠性,从而整体上增强了物联网的安全性. 展开更多

关键词 物联网 IPV6 源地址验证 DHCPV6 SLAAC

下载PDF 职称材料

面向可信互联网的IP地址管理技术研究 被引量：8

2

作者 马迪 毛伟 +2 位作者 田野 王伟 王利明 《计算机应用研究》 CSCD 北大核心 2012年第3期801-807,共7页

作为互联网最重要的基础资源,IP地址与互联网安全可信有着广泛的联系,包含IP地址分配、IP地址配置以及源地址验证等环节在内的IP地址管理工作的研究,是构建可信互联网环境的关键。在构建可信互联网的价值观下,探讨IP地址管理层面的研究... 作为互联网最重要的基础资源,IP地址与互联网安全可信有着广泛的联系,包含IP地址分配、IP地址配置以及源地址验证等环节在内的IP地址管理工作的研究,是构建可信互联网环境的关键。在构建可信互联网的价值观下,探讨IP地址管理层面的研究内容,梳理近年来IP地址管理范畴内的研究热点以及相关问题的由来,分析相关的技术方案,并就未来的研究方向进行展望。 展开更多

关键词 可信互联网 IP地址管理 IP地址分配 IP地址配置 源地址验证 互联网审计

下载PDF 职称材料

可信任的下一代互联网及其发展 被引量：8

3

作者 吴建平 毕军 《中兴通讯技术》 2008年第1期8-12,共5页

目前下一代互联网技术中解决互联网的安全可信问题的研究还不充分。中国在可信任下一代互联网方面已有一些研究进展。清华大学等单位完成的国家高技术研究发展计划资助项目("863"计划)"可信任下一代互联网关键技术及应... 目前下一代互联网技术中解决互联网的安全可信问题的研究还不充分。中国在可信任下一代互联网方面已有一些研究进展。清华大学等单位完成的国家高技术研究发展计划资助项目("863"计划)"可信任下一代互联网关键技术及应用示范研究"针对当前互联网存在的安全可信问题,在重点解决互联网真实地址访问技术难题的基础上,设计和实现了可信任的互联网基础设施、安全服务和典型应用的原型系统。可信任下一代互联网有望为构造可信任计算机网应用、可信任电信网应用、可信任广电网应用提供支持。 展开更多

关键词 可信任互联网 下一代互联网 源地址验证

下载PDF 职称材料

基于OpenFlow架构的域内源地址验证方法 被引量：7

4

作者 肖佩瑶 毕军 《小型微型计算机系统》 CSCD 北大核心 2013年第9期1999-2003,共5页

源地址验证对网络安全、管理和计量都有重要意义.清华大学提出包括接入子网、域内和域间三个层次的源地址验证体系结构.其中域内用到一种基于集中计算路径的方法,但在传统网络环境限制下,其实现遇到很多问题.本文将利用软件定义网络对... 源地址验证对网络安全、管理和计量都有重要意义.清华大学提出包括接入子网、域内和域间三个层次的源地址验证体系结构.其中域内用到一种基于集中计算路径的方法,但在传统网络环境限制下,其实现遇到很多问题.本文将利用软件定义网络对网络革新的便捷支持,基于OpenFlow网络对域内源地址验证方法进行重新设计与实现,并提出两种方案.一种是在已有路由表的基础上计算出域内任意两个子前缀间的路径并生成源地址前缀、目的地址前缀和入接口三元组作为过滤规则;另一种方案是重新设计新的路由算法,生成同时具有路由功能和验证源地址功能的四元组(源地址前缀、目的地址前缀、入接口和出接口)流表.并分别对两种方案做出对比,给出实验结果. 展开更多

关键词 源地址验证 软件定义网络 OpenFlow

下载PDF 职称材料

IPv6网络自治系统间源地址验证技术研究 被引量：3

5

作者 吴建平 任罡 李星 《中国科技论文在线》 CAS 2007年第10期715-719,共5页

现有互联网的寻址体系结构对接收和转发的IP分组的源地址并不进行严格的检查,很容易伪造IP分组的源地址。本文提出了在IPv6网络下在自治系统间实现源地址验证的方法,其对IPv6网络的安全,计费,管理和应用都会有所帮助。针对进行源地址验... 现有互联网的寻址体系结构对接收和转发的IP分组的源地址并不进行严格的检查,很容易伪造IP分组的源地址。本文提出了在IPv6网络下在自治系统间实现源地址验证的方法,其对IPv6网络的安全,计费,管理和应用都会有所帮助。针对进行源地址验证的两个自治系统直接互联的情况,提出了基于自治系统互联关系的验证方法,针对进行源地址验证的两个自治系统非直接互联的情况,提出了基于签名的验证方法。本文阐述了其设计,实现,以及在CNGI-CERNEF2,一个大规模纯IPv6主干网上部署的情况。 展开更多

关键词 网络安全 源地址验证 基于自治系统互联关系的自治系统间IP源地址验证 基于签名的自治系统间IP源地址验证

下载PDF 职称材料

IPv6地址驱动的云网络内生安全机制研究 被引量：1

6

作者 张博文 李冬 +1 位作者 赵贻竹 于俊清 《信息网络安全》 CSCD 北大核心 2024年第1期113-120,共8页

云网络可以根据不同业务场景对云平台虚拟网络资源快速部署与配置,是现代数据中心性能和安全的重要保障。但传统云网架构中IPv4支撑能力有限,无法实现网络端到端的透明传输,多租户特性使得云管理者对租户子网进行流量管理和约束异常困难... 云网络可以根据不同业务场景对云平台虚拟网络资源快速部署与配置,是现代数据中心性能和安全的重要保障。但传统云网架构中IPv4支撑能力有限,无法实现网络端到端的透明传输,多租户特性使得云管理者对租户子网进行流量管理和约束异常困难,外挂式的安全方案缺乏对不同租户流量的追溯能力,无法在源头对攻击行为进行限制。IPv6具有地址空间大、编址能力强、安全性高的特点,基于此,文章提出一种IPv6地址驱动的云网络内生安全机制,包括地址生成层、地址验证层和地址利用层。地址生成层以对称加密算法为基础,将租户身份信息嵌入IPv6地址后64位,修改DHCPv6地址分配策略,并基于Openstack Neutron进行实现。地址验证层设计实现了云网络动态源地址验证方法,针对不同端口状态集合设计针对性转移方法和安全策略。地址利用层基于IPv6真实地址的特性,实现了基于IPv6地址的数据包溯源机制和访问控制策略。 展开更多

关键词 云网络 内生安全 源地址验证 地址生成 IPV6

下载PDF 职称材料

下一代互联网真实地址寻址技术实现及试验情况 被引量：5

7

作者 毕军 吴建平 程祥斌 《电信科学》 北大核心 2008年第1期11-18,共8页

随着网络规模的不断扩大和应用方式的多样化,互联网在安全可信方面正面临着挑战。作为可信任下一代互联网的重要基础,研究真实地址寻址技术具有十分重要的意义。本文从体系结构出发,对真实地址寻址结构各个层面的技术实现进行了说明,并... 随着网络规模的不断扩大和应用方式的多样化,互联网在安全可信方面正面临着挑战。作为可信任下一代互联网的重要基础,研究真实地址寻址技术具有十分重要的意义。本文从体系结构出发,对真实地址寻址结构各个层面的技术实现进行了说明,并介绍了基于CNGI-CERNET2的真实地址寻址试验网。 展开更多

关键词 真实地址 CNGI-GERNET2 试验床 IPV6

下载PDF 职称材料

SDN控制层泛洪防御机制研究:检测与缓解 被引量：5

8

作者 周启钊 于俊清 李冬 《通信学报》 EI CSCD 北大核心 2021年第11期41-53,共13页

针对SDN控制层中的欺骗式泛洪防御问题,提出控制器防御机制(CDM),主要包括基于关键特征多分类的泛洪检测机制和基于SAVI的泛洪缓解机制2个方面。在泛洪检测方面提出控制层泛洪关键特征解析模块,利用Boosting算法将各个关键特征弱分类器... 针对SDN控制层中的欺骗式泛洪防御问题,提出控制器防御机制(CDM),主要包括基于关键特征多分类的泛洪检测机制和基于SAVI的泛洪缓解机制2个方面。在泛洪检测方面提出控制层泛洪关键特征解析模块,利用Boosting算法将各个关键特征弱分类器加权叠加形成增强型分类器,通过不断降低计算中的残差,达到更准确分类针对控制层的欺骗式泛洪攻击的效果。在泛洪缓解方面,CDM部署基于SAVI的泛洪缓解机制,以绑定和验证的模式为基础执行泛洪数据包的路径过滤,同时以动态轮询的模式实现泛洪攻击安全保障和接入层交换机泛洪关键特征数据的更新,降低冗余的模型更新负载。实验结果表明,所提方法具备开销低、精度高的特点,有效地增加了控制层的安全性,减少了欺骗式泛洪攻击主机分类的时间和对应控制器CPU的消耗。 展开更多

关键词 软件定义网络 控制层防护 泛洪检测 源地址验证

下载PDF 职称材料

基于SAVI的IPv6校园网源地址验证方案及其实现 被引量：5

9

作者 潘莹 梁京章 王世辉 《广西大学学报（自然科学版）》 CAS CSCD 北大核心 2011年第A01期185-189,共5页

接入网源地址验证技术SAVI是实现网络端系统IP地址一级的细粒度的源地址验证技术。基于SAVI技术,研究并实现了IPv6校园网的源地址验证方案。在校园网IPv6试验网的测试应用中,该方案有效实现了真实源地址验证,可从源头上保证接入网络的... 接入网源地址验证技术SAVI是实现网络端系统IP地址一级的细粒度的源地址验证技术。基于SAVI技术,研究并实现了IPv6校园网的源地址验证方案。在校园网IPv6试验网的测试应用中,该方案有效实现了真实源地址验证,可从源头上保证接入网络的安全性。 展开更多

关键词 IPV6 源地址验证 SAVI

下载PDF 职称材料

RISP： An RPKI-Based Inter-AS Source Protection Mechanism 被引量：3

10

作者 Yihao Jia Ying Liu +1 位作者 Gang Ren Lin He 《Tsinghua Science and Technology》 SCIE EI CAS CSCD 2018年第1期1-12,共12页

IP source address spoofing is regarded as one of the most prevalent components when launching an anonymous invasion, especially a Distributed Denial-of-Service （DDoS） attack. Although Source Address Validations （S... IP source address spoofing is regarded as one of the most prevalent components when launching an anonymous invasion, especially a Distributed Denial-of-Service （DDoS） attack. Although Source Address Validations （SAVs） at the access network level are standardized by the Internet Engineering Task Force （iETF）, SAV at the inter-Autonomous System （AS） level still remains an important issue. To prevent routing hijacking, the IETF is constructing a Resource Public Key Infrastructure （RPKI） as a united trust anchor to secure interdomain routing, in this study, we creatively use the RPKI to support inter-AS SAV and propose an RPKI-based Inter-AS Source Protection （RISP） mechanism. According to the trust basis provided by the RPKI, RISP offers ASes a more credible source-oriented protection for the IP addresses they own and remains independent of the RPKI. Based on the experiments with real Internet topology, RISP not only provides better incentives, but also improves efficacy and economizes bandwidth with a modest resource consumption. 展开更多

关键词 IP spoofing source address validation inter-AS RPKI DDOS

原文传递

运营商网络源地址验证能力增强方案

11

作者 佟恬 王南 +2 位作者 赵菁 秦壮壮 庞冉 《信息通信技术》 2024年第4期37-43,共7页

互联网架构设计之初未考虑对IP数据包中源地址进行可信验证,这在后续网络发展中逐渐凸显为安全风险。源地址验证技术不断推陈出新,近年来业界提出了基于路由协议扩展通告消息并生成独立源地址验证表的分布式源地址验证机制,但仍受限于... 互联网架构设计之初未考虑对IP数据包中源地址进行可信验证,这在后续网络发展中逐渐凸显为安全风险。源地址验证技术不断推陈出新,近年来业界提出了基于路由协议扩展通告消息并生成独立源地址验证表的分布式源地址验证机制,但仍受限于非对称路由、设备异构及局部升级等问题,同时缺乏可视化与能力开放。文章结合运营商网络实际情况,提出一种基于网络控制器的源地址验证能力增强方案,旨在自适应地提升自治域内和自治域间的源地址验证准确性,强化网络的感知、检测与分析能力。文章首先概述源地址验证的技术体系与发展历程,其次分析运营商网络源地址验证技术的部署情况与能力要求,再次阐述所提方案的系统架构与关键技术,最后对未来源地址验证技术发展给予展望,为构建更安全、高效的下一代网络架构提供方向建议。 展开更多

关键词 网络安全 源地址验证 自治域内 自治域间 SAVA SAVI SAVNET

下载PDF 职称材料

面向SDN的源地址验证方法研究 被引量：3

12

作者 孙鹏 《电光与控制》 北大核心 2016年第3期49-53,共5页

当前互联网上出现越来越多的基于源地址欺骗的网络攻击,这类攻击很难被追查,对网络安全造成巨大威胁。在传统网络条件的限制下,实现源地址验证会遇到很多困难。得益于软件定义网络(SDN)带来的网络革新,网络控制变得更加便捷。面向SDN架... 当前互联网上出现越来越多的基于源地址欺骗的网络攻击,这类攻击很难被追查,对网络安全造成巨大威胁。在传统网络条件的限制下,实现源地址验证会遇到很多困难。得益于软件定义网络(SDN)带来的网络革新,网络控制变得更加便捷。面向SDN架构,利用可编程控制器对源地址验证方法进行重新设计和实现,提出两种面向SDN的源地址验证方法:一种是将无状态的IP地址与底层不可变标记如MAC地址、端口号绑定起来,在交换机中形成(MAC地址,端口号,源IP地址)三元组流表的过滤规则;另一种是利用最短路径算法计算路由路径,向路径上交换机下发(源IP地址,目的 IP地址,入端口,出端口)四元组流表作为过滤准则。最后进行仿真实验,比较两种方案的实验结果。 展开更多

关键词 网络安全 软件定义网络 源地址验证

下载PDF 职称材料

IPv6源地址和网络业务验证体系结构 被引量：1

13

作者 邵婧 陈越 谭鹏许 《计算机工程与设计》 CSCD 北大核心 2011年第7期2260-2262,2266,共4页

针对网络中存在的伪造源地址攻击和一些垃圾流量所造成的网络拥塞问题,提出了一种IPv6源地址和网络业务验证体系结构。该体系结构设置了一个管理服务器来安全管理密钥和处理用户请求,合法用户通过从管理服务器处获得的主机密钥来生成一... 针对网络中存在的伪造源地址攻击和一些垃圾流量所造成的网络拥塞问题,提出了一种IPv6源地址和网络业务验证体系结构。该体系结构设置了一个管理服务器来安全管理密钥和处理用户请求,合法用户通过从管理服务器处获得的主机密钥来生成一个消息认证码,并将其嵌入数据包扩展首部中,关键路由器通过验证该消息认证码,来验证源地址和业务的合法性。该体系结构对真实IPv6源地址验证体系结构进行了扩展,实现了对主机源地址及网络业务合法性的同时验证,有效地减少了网络中的垃圾流量。 展开更多

关键词 源地址验证 业务验证 消息认证码 流量控制 网络体系结构

下载PDF 职称材料

SAVI DHCPv6数据报文源地址验证方法研究 被引量：2

14

作者 黄盛林 吕锋昌 王伟 《计算机应用研究》 CSCD 北大核心 2017年第1期166-169,共4页

由于现今的网络缺乏源地址验证机制,导致多种依靠IP欺骗的恶意攻击时有发生。在DHCPv6场景中防止IP欺骗的源地址验证改进(SAVI)工作,目前正由互联网工程任务组(IETF)驱动,但尚未给出确切的源地址验证方法。为此,提出两个验证方法:改进... 由于现今的网络缺乏源地址验证机制,导致多种依靠IP欺骗的恶意攻击时有发生。在DHCPv6场景中防止IP欺骗的源地址验证改进(SAVI)工作,目前正由互联网工程任务组(IETF)驱动,但尚未给出确切的源地址验证方法。为此,提出两个验证方法:改进的多比特Trie树算法和改进的哈希查找算法,实现了SAVI DHCPv6的仿真系统,并使用该系统进行不同验证方法的对比实验。结果表明,提出的两种改进方法比顺序查找方法具有更优的时间性能。 展开更多

关键词 SAVI DHCPV6 源地址验证 改进的多比特Trie树 改进的链式哈希

下载PDF 职称材料

基于IPv6的下一代互联网技术与实践 被引量：2

15

作者 刘莹 任罡 +1 位作者 包丛笑 李贺武 《信息通信技术》 2017年第6期59-66,共8页

基于IPv6的下一代互联网已成为全球下一代互联网技术发展的趋势和共识。文章从场景问题、关键技术和项目实例等方面,介绍了清华大学在依托CNGI-CERNET2网络和国家项目支持下,针对下一代互联网发展面临的具体问题,在真实源地址验证、可... 基于IPv6的下一代互联网已成为全球下一代互联网技术发展的趋势和共识。文章从场景问题、关键技术和项目实例等方面,介绍了清华大学在依托CNGI-CERNET2网络和国家项目支持下,针对下一代互联网发展面临的具体问题,在真实源地址验证、可信身份标识及地址驱动网络、下一代互联网过渡技术和天地一体化技术等领域开展的技术与实践。 展开更多

关键词 真实源地址 可信身份标识 ADN 过渡技术 天地一体化

下载PDF 职称材料

基于IPv6的容器云内生安全机制 被引量：1

16

作者 李冬 于俊清 +1 位作者 文瑞彬 谢一丁 《信息网络安全》 CSCD 北大核心 2023年第12期21-28,共8页

容器具有占用资源少、资源利用率高、启动速度快和弹性能力强等优点,在数据中心云计算资源建设中的应用越来越广泛。相关研究表明,目前容器云存在缺乏可信接入机制的问题,IPv6具有地址空间大和安全性高的特点,基于IPv6构建容器云平台能... 容器具有占用资源少、资源利用率高、启动速度快和弹性能力强等优点,在数据中心云计算资源建设中的应用越来越广泛。相关研究表明,目前容器云存在缺乏可信接入机制的问题,IPv6具有地址空间大和安全性高的特点,基于IPv6构建容器云平台能够建立端到端的透明连接,实现可信接入。针对容器云平台的安全可信问题,文章对IPv6真实源地址验证方法进行改进,将真实用户身份信息嵌入IPv6地址的后64位,同时针对容器多备份且高度动态性的特点,采用哈希加盐的方式生成用户标识,并在IPv6地址中嵌入数据索引,替代原有的加密编码方式,解决因密钥管理和线性匹配导致的效率低下问题。文章还对地址生成流程进行优化,降低了地址解析的时间复杂度,满足容器云平台的地址分配要求。实验结果表明,优化后的IPv6真实源地址验证方法在地址生成阶段效率提升约35%,在地址溯源阶段将时间复杂度从O(n)降到O(1),有效避免了密钥的管理和匹配问题,能够适应容器多备份和高动态环境,提升了容器云平台的内生安全能力。 展开更多

关键词 网络安全 容器云 内生安全 源地址验证 IPV6

下载PDF 职称材料

层次化反匿名联盟构建方法 被引量：2

17

作者 鲁宁 李峰 +2 位作者 王尚广 史闻博 杨放春 《软件学报》 EI CSCD 北大核心 2019年第9期2791-2814,共24页

IP 匿名是当前互联网协议中最具威胁的安全漏洞,它会引发一系列安全、管理和计费问题.基于对等过滤的域间源地址验证方法通过构建反匿名联盟,能够利用当前已广泛实现、轻量的 Egress Filtering 有选择性地将流向联盟成员的匿名包清理掉... IP 匿名是当前互联网协议中最具威胁的安全漏洞,它会引发一系列安全、管理和计费问题.基于对等过滤的域间源地址验证方法通过构建反匿名联盟,能够利用当前已广泛实现、轻量的 Egress Filtering 有选择性地将流向联盟成员的匿名包清理掉,在保证高效的同时兼具部署激励性.然而,现有方法存在以下问题:过于扁平化、单一化的联盟体系结构,使得其过滤器需求量和成员更新传播范围随联盟规模的扩张而急剧增大;过于随机的非成员判定方式和低效的数据处理方式,使得其过滤规则优化算法的计算开销和精度都有待完善.对此,提出了一种层次化的基于对等过滤的反匿名联盟构建方法.通过理论分析和基于大规模真实互联网拓扑的仿真实验结果表明:相比以往同类典型方案,该方法在继承其优势的同时改善了过滤器开销、通信开销、计算开销和优化精度. 展开更多

关键词 IP 匿名 源地址验证 出边界过滤 对等过滤 层次化

下载PDF 职称材料

真实IPv6源地址验证技术研究 被引量：1

18

作者 刘志勇 落红卫 《现代电信科技》 2011年第1期57-60,共4页

真实IPv6源地址验证体系结构(SAVA)包括接入网真实IPv6源地址验证、域内真实IPv6源地址验证和域间真实IPv6源地址验证,通过在三个不同网络层级对IPv6分组源地址进行验证,丢弃伪造IPv6源地址的分组,保证了分组源地址的真实可靠性,对提升I... 真实IPv6源地址验证体系结构(SAVA)包括接入网真实IPv6源地址验证、域内真实IPv6源地址验证和域间真实IPv6源地址验证,通过在三个不同网络层级对IPv6分组源地址进行验证,丢弃伪造IPv6源地址的分组,保证了分组源地址的真实可靠性,对提升IPv6网络的安全性具有重要意义。 展开更多

关键词 SAVA SAVI IPV6 AS 源地址验证

下载PDF 职称材料

软件定义网络中源地址验证绑定表安全 被引量：1

19

作者 李冬 鲁喻 于俊清 《浙江大学学报（工学版）》 EI CAS CSCD 北大核心 2020年第8期1543-1549,共7页

为了提高软件定义网络(SDN)中IPv6源地址验证(SAVI)绑定表的安全性,从地址分配机制(AAM)消息验证、绑定项更新和拒绝服务(DoS)攻击防御三方面对绑定表进行保护.基于SDN控制器构建AAM消息验证表,记录交换机端口、MAC地址、主机IP地址等信... 为了提高软件定义网络(SDN)中IPv6源地址验证(SAVI)绑定表的安全性,从地址分配机制(AAM)消息验证、绑定项更新和拒绝服务(DoS)攻击防御三方面对绑定表进行保护.基于SDN控制器构建AAM消息验证表,记录交换机端口、MAC地址、主机IP地址等信息;建立DHCPv6和SLAAC这2种地址配置报文的验证模型,下发流表监听路由器通告(RA)消息,获取DHCPv6 request/reply报文和NS/NA报文,基于AAM消息验证表验证报文中的地址信息;针对网络的动态变化建立绑定信息监听和更新机制,监听主机离线或者主机IP失效事件,及时更新绑定信息,保证绑定表和实际网络信息的一致性;基于OpenFlow多级流表建立交换机端口限速表,防止拒绝服务攻击.实验结果表明,本方案能够有效防御多种针对绑定表的伪造AAM报文攻击,及时更新绑定表信息,提高AAM消息的处理效率. 展开更多

关键词 软件定义网络 源地址验证 绑定表 IPV6安全 地址分配

下载PDF 职称材料

针对SDN基础设施的拒绝服务攻击防护框架 被引量：1

20

作者 张梦豪 毕军 +1 位作者 白家松 王旸旸 《东南大学学报（自然科学版）》 EI CAS CSCD 北大核心 2017年第A01期1-8,共8页

为了进一步缓解针对SDN基础设施的典型拒绝服务攻击(数据-控制平面饱和攻击),提出了一种控制器和交换机协作式的安全防护框架,即FloodShield.在该攻击中,攻击者通过洪泛伪造数据包,使数据平面产生大量表项缺失和packet-in数据包,从而消... 为了进一步缓解针对SDN基础设施的典型拒绝服务攻击(数据-控制平面饱和攻击),提出了一种控制器和交换机协作式的安全防护框架,即FloodShield.在该攻击中,攻击者通过洪泛伪造数据包,使数据平面产生大量表项缺失和packet-in数据包,从而消耗SDN基础设施不同层次的资源:数据平面的TCAM资源、控制通道的带宽资源和控制器的CPU资源等.通过对这种攻击的详尽分析,提出并设计了易部署、全面性和轻量化的FloodShield防护框架.该框架主要使用了2个关键技术:1)源地址验证,用于在数据平面过滤源地址伪造的数据包;2)有状态数据包监控,用于监控源地址真实流量的状态,并基于流量评价打分和网络资源使用量采用动态的防护措施.实验结果表明,相比于之前的防护框架,FloodShield在消耗更少系统资源的同时,对SDN架构的数据平面、控制通道和控制平面都提供了有效的保护. 展开更多

关键词 软件定义网络 拒绝服务攻击 源地址验证 有状态数据包监控

下载PDF 职称材料