网站导航
> 博士毕业论文 > 90109字博士毕业论文身份网络攻击防护和安全移动控制技术研究

90109字博士毕业论文身份网络攻击防护和安全移动控制技术研究

网友: 博士毕业论文 2019-11-13 17:41:13
论文类型:博士毕业论文
论文字数:90109字
论点:映射,位置,分离
论文概述:

本文是博士学位论文,为使身份与位置分离环境原生支持DDoS攻击防御功能,利用身份与位置分离环境在接入标识与路由标识之间创建的一种对应关系,提出了基于映射机制的DDoS攻击防御方法。

论文正文:

第一章引言

为了从根本上解决互联网的各种弊端,研究者们提出了许多新的网络架构方案。利用身份与位置分离、控制与转发分离、资源与位置分离的思想设计未来的互联网架构是近年来的研究热点之一。身份和位置分离使用两个独立的标识符空来分离地址的身份和位置属性。控制和转发的分离将分组路由和转发过程分为两部分:路由控制和数据转发。资源与位置的分离以内容或信息为中心,使用位置无关的名称(logos)统一命名网络中的内容,并将内容作为互联网“沙漏模型”的“腰”。身份和位置的分离以及控制和转发的分离是面向网络的,解决了网络可扩展性、灵活性、移动性和安全性的问题。资源和位置的分离是面向服务的,它解决了网络服务、内容快速分发、防止拥塞和传输内容安全的问题。网络安全一直是互联网领域的热点和研究难点。网络的安全性不仅与用户的行为有关,还与网络架构有关。在设计新的网络系统时考虑安全问题已经成为网络安全研究领域的共识。在未来支持身份与位置分离、资源与位置分离的网络系统中,如何应对网络攻击,防止恶意数据流,以及如何为移动网络提供安全性,是影响下一代互联网有效运行的关键因素。
......

第二章身份和位置分离环境中的分布式拒绝服务攻击防御方法

2.1简介
身份和位置分离环境创建访问标识符和路由标识符之间的对应关系,因此可以在新的网络系统下设计基于映射机制的防御方法。为了在身份和位置分离的环境下支持分布式拒绝服务攻击防御功能,在深入研究访问标识符和路由标识符之间映射关系的基础上,提出了基于映射机制的分布式拒绝服务攻击防御方法,包括基于网络的轻量级权限令牌机制和基于映射过滤的分布式拒绝服务主动防御机制。其中,基于网络的轻量级授权令牌主要用于防止DDoS攻击。基于映射过滤的DDoS主动防御机制主要是在受害者检测到DDoS攻击流时阻止恶意数据流。基于网络的轻量级权限令牌机制使用接入标识符和路由标识符之间的映射关系来将权限令牌分发到接入网络。当接入网络之间的主机通信时,接入路由器会将权限令牌附加到数据包中,以便中间路由器可以验证和防止DDoS攻击。基于映射过滤的DDoS攻击主动防御机制扩展了映射系统中的映射条目,并将阻塞信息存储在映射条目中,使得攻击受害者可以主动请求网络阻塞恶意数据流。当接入路由器对数据包进行标识映射处理时,根据映射条目中的阻塞信息判断数据包是否应该丢弃,以阻塞DDoS攻击数据流。

2.2网络拓扑模型和基本假设
本文不限制映射系统的具体方案,假设映射系统是健壮和安全的。映射系统内部有安全认证机制,确保映射信息的真实性和有效性,映射服务器和接入路由器之间的消息不会被篡改或伪造。攻击受害者可以从接收到的数据流中检测和区分恶意DDoS攻击数据流。终端系统可以使用图灵测试(如验证码)来检测数据包的恶意行为,或者使用其他攻击流识别技术。在现有的基于权限令牌的方法中,权限令牌直接发放给独立主机。这种细粒度的授权方法使接收者能够拥有足够的权限来控制要接收的数据流,但是它提出了一个问题:主机是否愿意改变因特网现有的开放和自由的通信模式,首先请求权限令牌,然后将权限令牌附加到数据包以进行通信。如果主机愿意改变通信模式,它需要更新所有主机的协议栈,这将是一个庞大的项目,面临兼容性问题。由于网络提供商和用户没有足够的激励机制来使所有主机和路由器更新协议栈以支持权限令牌,网络提供商和主机更愿意维持现状而不做任何改变,正如网关过滤机制没有被广泛使用一样。

第三章……41
3.1导言……41
第四章在身份和位置分离的环境中保护利益包免受洪水攻击...59
4.1导言……59
第五章资源和位置分离环境中的内容源安全移动性管理……75
5.1导言……75
5.1基本设计理念……77

第五章资源和位置分离环境中的内容源安全移动性管理

5.1简介
在基于身份和位置分离的方法中,位置解析服务器用于管理移动内容源的内容名称与其最新位置信息之间的映射关系。内容消费者可以首先从位置分析服务器查询内容源的位置信息,然后使用位置信息直接请求所需内容。目前,有两种方法可以实现基于身份和位置分离的内容源移动性支持。一种是将移动内容源的位置信息添加到内容名称中,另一种是将可选的位置名称字段添加到兴趣包中。文献和两者都指出,通过身份和位置分离的方法支持内容源移动是可行的,但都没有给出移动切换的过程和分析。

5.2基本设计理念
兴趣包中的内容名称和位置名称可用于路由,内容路由器中兴趣包的路由和转发过程也相应改变。当内容路由器接收到兴趣包时,它首先使用兴趣包的内容名称来检查内容缓存CS是否具有相应的内容;如果CS中没有请求的内容,内容路由器使用兴趣包中的内容名称在等待兴趣包列表中创建新的PIT条目。当兴趣包指定位置名称时,内容路由器使用兴趣包中的位置名称在转发信息表FIB中查询兴趣包的退出并转发兴趣包;当兴趣包没有指定位置名称时,内容路由器根据内容名称转发兴趣包。
……

第6章摘要和前景

为了使身份和位置分离环境能够支持分布式拒绝服务攻击防御功能,利用身份和位置分离环境中访问标识符和路由标识符之间创建的对应关系,提出了一种基于映射机制的分布式拒绝服务攻击防御方法。通过映射系统,授权令牌以接入网粒度被分配给信任单元,这对于终端主机是透明的。映射系统根据信任单元的信誉值决定是否发布权限令牌,以防止恶意信任单元发起DDoS攻击。基于映射过滤的DDoS攻击主动防御机制扩展了映射条目,使它们能够携带阻塞信息,并使用映射系统传输阻塞请求。当受害者检测到攻击时,他可以主动请求接入路由器阻止攻击数据流。接入路由器对数据包进行标识映射时,根据映射条目中的阻塞信息判断是否丢弃数据包,以防止DDoS攻击。通过方案比较、数值分析和验证实验,验证了基于映射机制的DDoS攻击防御方法的可行性和有效性。

.........

参考文献(省略)

网络标签:

相关问题