分离映射架构下安全评估理论及防御机制研究

The locator/identifier split architecture separates the access networks from core networks, separates identifiers from locators, and also introduces a map system to map the identifiers onto the locators. These attributions make the network security assessment theory and attack defense mechanisms face serious challenges. For the future Internet technology, this item focuses on solving the network security assessment and attack defense mechanisms under the locator/identifier split architecture. The research specifically includes, first, establishing network security assessment theory and researching the network security features under locator/identifier split architecture. Second, analysis the characteristics and security risks of mapping resolution mechanism and propose a security and defense scheme to secure the map system. Finally, study the specific mechanism of mapping resolution and traffic tunneled communication of locator/identifier split architecture, we design a DDoS attack detection and response system based on the specific mapping resolution mechanism of locator/identifier split architecture to mitigate the DDoS attack.

分离映射网络接入网与核心网分离，终端身份标识与位置标识分离，映射系统管理身份标识与位置标识的映射关系，这些特性使该网络架构下的安全评估理论和防御机制面临新的挑战。本项目面向未来互联网络技术，重点解决如何创建分离映射网络架构下的安全评估理论以及防御机制。具体包括：①建立分离映射架构安全评估理论与模型，研究分离映射网络的安全特性；②分析映射解析机制的特点以及可能存在的安全隐患，提出相应的安全防御方案，保护映射系统的安全。③研究分离映射架构特有的映射机制和数据包隧道通信机制，采用新的思路，基于分离映射网络特有的映射解析系统，创建DDoS攻击检测响应与阻断方案，有效缓解分离映射网络DDoS攻击。

本项目面向未来互联网络技术，针对分离映射网络接入网与核心网分离，终端身份标识与位置标识分离，映射系统管理身份标识与位置标识的映射关系等这些新特性，重点研究了如何创建分离映射网络架构下的安全评估理论以及防御机制。具体包括：.①建立了分离映射架构安全评估理论与模型.本项目提出了分离映射架构下基于损失期望的攻击图安全评估模型，重点分析研究了分离网络中DDoS、中间人和权限提升等攻击的行为和特点。在实际情况中，网络中的主机数量很大，身份与位置分离网络能够将中间人攻击和权限提升攻击的损失降低到非常小。针对DDoS攻击，当攻击者能力固定时，随着网络拓扑扩大，攻击对传统网络造成的损失R不会变化，而对身份与位置分离网络造成损失R’将逐渐减小，且R'始终小于R。.②提出了映射解析体制下安全防御与管理技术.本项目分析了映射解析机制的特点以及可能存在的安全隐患，提出了相应的安全防御方案，以保护映射系统的安全。（1）给出了一种基于反馈评判信任度模型的映射欺骗防御机制。通过引入反馈评判的思想，计算映射信息的全局信任度值，实现对信任度的动态评判，增加映射信息的可信性，实验证明该方法能够较好的抵御可能存在的映射欺骗攻击。（2）提出了一种基于双门限机制的映射缓存DoS攻击防御方法。该方法有效结合了谜题机制和映射信息可信度算法，防止了映射缓存的溢出，抵御了映射缓存 DoS 攻击。（3）提出了基于异常模式的映射缓存管理方案。设计合理的映射缓存管理方法防止映射缓存溢出；利用排队论模型分析映射缓存管理方法在处理正常数据流增长和DoS攻击数据流剧增时的状态和应对措施。.③建立了分离映射架构下 DDoS 攻击检测与阻断机制.本项目基于分离映射网络特有的映射解析系统，创建了DDoS攻击检测响应与阻断方案。（1）提出基于查询流量的 DDoS 攻击检测与响应方案。映射服务器可以通过识别和诊断映射请求流量的异常来检测标识分离映射网络中的DDoS攻击。此外，给出了两种DDoS攻击响应机制：方法一是通过映射服务器与攻击源端的隧道路由器协作来过滤掉恶意的攻击流量；方法二是映射服务器随机的响应映射请求来控制恶意的攻击流量。（2）提出基于映射解析机制的DDoS攻击阻断方法，使受害者可以主动向接入路由器请求阻断恶意数据流。阻断信息被添加到对应的映射条目中，通过映射服务器通知攻击源端的接入路由器过滤恶意数据流。