CoFM:一种加速Middlebox应用的软硬件协同流管理机制

流管理是Middlebox实现有状态报文处理的基础,负责管理端到端通信所建立的连接及其状态。为了满足不同Middlebox对于流管理的多样化需求,流管理功能通常采用软件实现,以保证灵活性,例如Bro、mOS。但是,受限于CPU的处理性能,软件流管理的性能有限。针对现有解决方案无法兼顾性能和灵活性的缺点,提出一种软硬件协同的流管理机制——CoFM,将流管理解耦为应用无关的映射管理(即根据流标识查找连接)和应用相关的连接管理2部分,将映射管理卸载到硬件上实现,在减少软件的访存次数提升性能的同时,保持了软件连接管理的灵活性。此外,CoFM的映射管理还支持新映射的动态插入和超时映射的删除,分别用于减少软硬件交互次数和降低硬件资源开销。最后,使用Verilog语言在FPGA上实现了映射管理功能,并基于CAIDA数据集对其做了相应的性能和资源开销测试。实验结果表明,CoFM的映射管理具有50 Gbps的吞吐率和极低的处理延时(<1 μs),且硬件资源开销相对较少,适合用于流管理的加速。

穿越Middlebox实现P2P通信的技术研究

首先介绍了目前Internet上中间盒Middlebox的概况,然后根据各种不同情况详细讨论了应如何穿越中间盒实现点对点通信的方法,并对各种方法进行了比较,最后得出结论。

Distributed Middlebox Placement Based on Potential Game

In this paper, we analyse the deployment of middlebox. For a given network information and policy requirements, an attempt is made to determine the optimal location of middlebox to achieve the best performance. In terms of the end-to-end delay as a performance optimization index, a distributed middlebox placement algorithm based on potential game is proposed. Through extensive simulations, it demonstrates that the proposed algorithm achieves the near-optimal solution, and the end-to-end delay decreases significantly.

加密恶意流量检测及对抗综述

网络流量加密在保护企业数据和用户隐私的同时,也为恶意流量检测带来新的挑战.根据处理加密流量的方式不同,加密恶意流量检测可分为主动检测和被动检测.主动检测包括对流量解密后的检测和基于可搜索加密技术的检测,其研究重点是隐私安全的保障和检测效率的提升,主要分析可信执行环境和可控传输协议等保障措施的应用.被动检测是在用户无感知且不执行任何加密或解密操作的前提下,识别加密恶意流量的检测方法,其研究重点是特征的选择与构建,主要从侧信道特征、明文特征和原始流量等3类特征分析相关检测方法,给出有关模型的实验评估结论.最后,从混淆流量特征、干扰学习算法和隐藏相关信息等角度,分析加密恶意流量检测对抗研究的可实施性.

协议无关的有状态VNF的设计与实现

Middle Box在网络中的应用可以说是无处不在,Middle Box(如防火墙、NAT、限速器)在网络中的作用是至关重要的.然而传统的设备大多是基于硬件的,功能固化、可扩展性差、管理困难等.为了解决这些问题,可以使用软件的方法来实现虚拟网络功能(VNF),这些VNF可以是防火墙、NAT、限速器等Middle Box.本文使用P4语言进行开发,因为P4言语开发简单,且可以实现Middle Box协议无关.但由于P4的match-action工作方式,无法满足复杂VNF的实现,故文中进行有状态VNF的研究.本文实现了有状态的VNF——限速器,并将限速器部署于Docker容器当中.与虚拟机相比,Docker更加轻量级,方便移植,在通用的X86设备上即可部署本VNF.

互联网名字空间结构及其解析服务研究

随着互联网的迅速发展,互联网名字空间结构及其解析服务面临着新的挑战.IP地址同时用作设备的位置标识和设备的身份标识、语义过载;当前的名字空间解析系统DNS存在着服务模式单一、更新速度慢、资源描述能力不够强等缺点,不能满足许多新型应用的要求;而NAT、各种代理、防火墙等网络中间件的存在也破坏了互联网的体系结构和名字空间.针对这些问题,研究者提出了许多方案来改进互联网的名字空间结构及其解析服务.分析了当前的互联网名字空间结构及其解析服务存在的问题,并对目前的各种互联网名字空间改进方案进行了分类、综述与比较,并展望了进一步的研究方向.

节点效用最大化的服务功能链构建方法

网络严重依赖中间件盒子来提供关键的服务功能,随着软件定义网络(SDN)与网络功能虚拟化(NFV)技术的发展,如何利用新技术部署中间件盒子并引导流量通过特定顺序的中间件盒子完成服务功能链构建成为亟待解决的问题。针对SDN+NFV环境下的服务功能链构建问题,提出一种节点效用最大化的服务功能链协同构建方法NUM(Node Utility Maximization)。首先结合SDN+NFV技术设计了一种服务功能链协同构建机制;其次,根据机制中资源处理器所解决的中间件盒子部署和流量引导问题,建立了节点选择模型和效用最大化模型;最后,利用禁忌搜索改进组合模拟退火算法对该模型进行求解。仿真实验表明,NUM方法与主流方法相比在构建时间、构建成功率以及网络拥塞率上具有优越性,同时采用所提出的服务链构建方法在节点效用上提高约20%。

一种在不对称路由环境下的安全HIP中间系统

随着移动计算技术的高速发展,HIP因其在移动主机支持及安全等方面的优越特性而备受关注.可尽管HIP在保护通信两端方面具有卓越的安全特性,但作为HIP通信节点的中间系统(如NAT/FW系统)却不能得到有效保护,尤其是在不对称路由环境下的HIP中间系统,很容易遭受攻击.本文在分析HIP通信及其中间系统的基础上,结合HIP注册扩展协议,提出一种在不对称路由情况下的安全的基于HTN(HIP through NATs)的HIP中间系统模型.该系统不仅让HIP通信主机可以感知链路上的NAT等中间系统,HIP中间系统也可以通过注册协议,来学习连接状态信息,并验证通信发起主机是否真正感兴趣于成功建立HIP连接,并为后续更新报文的验证提供可信依据,从而有效避免遭受DoS及MitM攻击.

UDM:基于NFV的防止DDoS攻击SDN控制器的机制

广泛存在的分布式拒绝服务(DDoS)攻击对于软件定义网络(SDN)的控制器形成了致命威胁,至今还没有一种安全机制能够防御。将SDN和网络功能虚拟化(NFV)结合,提出了一种新颖的防范DDoS攻击SDN控制器的前置检测中间盒(UDM)机制,在SDN交换机端口与用户主机之间分布式部署UDM以检测并拒止DDoS攻击报文。此外,还提出了一种基于NFV的前置中间盒的实现方法,使这种UDM机制更为经济和有效,实现了基于该机制的原型系统,并对其进行大量测试。实验结果表明,基于NFV的UDM机制能够实时有效地检测和防止对控制器的DDoS攻击。

Using the Cooperative Game for Service Placement of Virtual Network Functions

To address the issues that middleboxes as a fundamental part of today's networks are facing, Network Function Virtualization(NFV)has been recently proposed, which in essence asserts to migrate hardware-based middleboxes into software-based virtualized function entities.Due to the demands of virtual services placement in NFV network environment, this paper models the service amount placement problem involving with the resources allocation as a cooperative game and proposes the placement policy by Nash Bargaining Solution(NBS). Specifically,we first introduce the system overview and apply the rigorous cooperative game-theoretic guide to build the mathematical model, which can give consideration to both the responding efficiency of service requirements and the allocation fairness.Then a distributed algorithm corresponding to NBS is designed to achieve predictable network performance for virtual instances placement.Finally, with simulations under various scenarios,the results show that our placement approach can achieve high utilization of network through the analysis of evaluation metrics namely the satisfaction degree and fairness index. With the suitable demand amount of services, the average values of two metrics can reach above 90%. And by tuning the base placement, our solution can enable operators to flexibly balance the tradeoff between satisfaction and fairness of resourcessharing in service platforms.

端到端安全可靠通信技术研究进展

随着互联网的飞速发展,在网络边缘部署的大量中间盒设备和各种新型应用给传统的端到端通信带来了连通性、移动性、安全性等方面的问题。针对这些问题,研究者提出了很多改进方案。本文简要回顾了端到端通信的研究工作,重点分析了研究中面临的关键性问题,并对典型研究进行了详细介绍和评价比较,最后对下一步端到端通信的研究方向做出了展望。

地址语义驱动的服务功能链架构方案研究

针对服务功能链(SFC)服务功能路径建立机制中存在的数据流分类粒度不灵活、数据包转向机制开销较大等问题,提出一种地址语义驱动的服务功能链架构方案.该方案创新地将用户的多重语义属性编码于数据包的IP源地址中,利用软件定义网络(SDN)架构,在定制的中心控制服务器上根据用户的需求形成策略并下发,从而指导流分类器根据地址语义属性对数据流进行灵活分类,同时使SDN转发设备建立基于IPv6源路由技术的数据流转向机制,构建多约束条件下的网络资源动态优化模型,以实现对服务功能链所承载网络资源的动态优化.实验结果表明,本方案可实现动态、灵活、多粒度、负载均衡的服务功能链,较同类型方案,本方案构建的服务功能链效率更高、时延更短,可作为一种为大型ISP/ICP提供多样化、智能化网络服务的解决方案.

网络功能虚拟化技术研究综述

网络功能虚拟化(network function virtualization,NFV)基于虚拟化技术和标准的商业服务器、交换机、存储器来实现网络功能,用于替代网络中原本采用专用设备的中间盒,为运营商减少了搭建和运营网络的开销,提高了网络服务的灵活性、可扩展性,促进了新兴网络功能的开发和部署.目前NFV仍然处于发展阶段,在系统性能、管理编排、可靠性、可用性、安全性、可编程性等方面仍然存在很多问题,研究人员围绕这些问题展开了大量的研究.对NFV体系结构和基础技术进行了总结,提出了需要解决的关键问题.在此基础上,对已有的NFV研究成果提出了"四象限"的分类方法,并详细分析和比较了典型的解决方案,总结了各方案的优势和开销,对未来的研究趋势进行了展望.

网络功能虚拟化网络功能虚拟化:基于虚拟化的中间件盒子

基于虚拟化的中间件盒子的模型,采用x86架构的电脑硬件设备,依托虚拟化平台构建了一种集成了路由器、语音服务器、虚拟桌面等服务的虚拟中间件盒子。该虚拟中间件盒子采用了中间件盒子的概念,即在标准的服务器上运行开源的虚拟化平台,如XEN、KVM等,并运用网络功能虚拟化(NFV)的理念和软件定义网络(SDN)的理念进行控制管理,最终实现为每个组织、企业、个人提供虚拟通信网络服务(网络功能虚拟化)和虚拟运营服务。

一种基于多级流表的中间件服务链的部署方法

为了解决服务链部署中的路径循环和源地址绑定问题,首先,提出一种新的服务链部署方法,该方法利用Open Flow多级流表标识服务链及服务顺序,从而使数据分组按照需求的服务顺序正确处理;其次,提出服务链部署算法以实现服务路径到流表规则的映射;最后基于Net FPGA-10G完成了原型系统实现。仿真结果表明,该部署方法具备可行性,并降低了流表数量和时间开销。

基于NFV的防范SDN控制器中UDP控制分组冗余的机制

尽管软件定义网络(Software Defined Networking,SDN)的安全性得到了极大的关注,但SDN控制器受大流UDP冗余分组威胁的问题并没有得到有效解决。对此,基于SDN和网络功能虚拟化(Network Function Virtualization,NFV)技术的特点,结合SDN控制器处理UDP和TCP两种数据流时的负载状况,首先提出了一种新型的基于NFV的防范SDN控制器中UDP冗余分组的机制,前置于OpenFlow交换机口的检测中间盒能够有效地检测并滤除UDP流冗余分组;其次,提出了一种经济有效的基于NFV的检测中间盒的实现方法,使用Linux容器实现检测中间盒,在SDN控制器下发流表之前只允许UDP流首分组通过中间盒,保证后续UDP流分组在到达OpenFlow交换机时已经有相关的流表项存在;最后,在Linux服务器中实现了基于该机制的原型系统并进行实验。结果表明,当非首分组的时延 t 大于或等于控制器处理单个分组的时间时,该方法能够有效地解除UDP冗余分组的威胁。

面向NFV中间盒依赖关系的有效路由策略

在软件定义网络中,通过网络功能虚拟化(network function virtualization,NFV)可以有效地优化中间盒的部署以及数据包的路由,但是受中间盒之间存在的依赖关系约束,不适当的部署策略会为运营商带来额外的路由成本,降低资源利用率。为此,文章建立混合整数线性规划模型,提出一种服务链感知精准算法用于计算受中间盒依赖关系以及链路带宽约束的最小路由成本。该算法首先基于中间盒的依赖关系构造有向层级图,然后从该层级图中的源点到终点之间的最短路径中筛选出满足带宽要求的链路作为数据包的路由。仿真实验结果表明,该算法可以快速获取最优解,具有较好的应用前景。

考虑全局延迟的中间件调度问题

针对流的低延迟需求,对全局延迟限制下中间件(middlebox)部署和调度问题进行建模分析。将问题形式化成一个优化问题,拆分为部署问题和流量调度问题,通过逐轮迭代的方式逐步求出整个优化问题的解。对于两个子问题,分别提出KLeveLVoting和Mask edViterbi算法,分别用贪心的方式解决部署和调度问题。为验证算法的有效性,在4种拓扑中进行算法仿真,实现传统方案的两种配置方式:静态配置(Fixed-Fixed)和简单的负载均衡(Fixed-LB)。实验结果表明,Quokka可以降低30%-50%的资源消耗并减少平均20%的延迟。

基于中间盒的SDN信息服务中心策略实施架构

中间盒是一种网络管理员手动设置行为策略的设备;软件定义网络(software-defined network,SDN)的出现使得中间盒实施策略的可能性变得多样化。为改善信息服务中心的安全防护,提出一种无须管理员参与即可响应网络事件的基于SDN的动态中间策略实施架构,提出可以满足控制器与中间盒之间通信的接口。在虚拟机中实施了具有防火墙和入侵防御系统(intrusion prevention system,IPS)的中间盒原型来评估策略执行体系,验证原型获得的实验效果。结果表明,该体系结构能够在不影响网络性能的前提下动态执行中间盒策略,使网络应用程序能够正常运行。

A virtual service placement approach based on improved quantum genetic algorithm

Despite the critical role that middleboxes play in introducing new network functionality,management and innovation of them are still severe challenges for network operators,since traditional middleboxes based on hardware lack service flexibility and scalability.Recently,though new networking technologies,such as network function virtualization(NFV) and softwaredefined networking(SDN),are considered as very promising drivers to design cost-efficient middlebox service architectures,how to guarantee transmission efficiency has drawn little attention under the condition of adding virtual service process for traffic.Therefore,we focus on the service deployment problem to reduce the transport delay in the network with a combination of NFV and SDN.First,a framework is designed for service placement decision,and an integer linear programming model is proposed to resolve the service placement and minimize the network transport delay.Then a heuristic solution is designed based on the improved quantum genetic algorithm.Experimental results show that our proposed method can calculate automatically the optimal placement schemes.Our scheme can achieve lower overall transport delay for a network compared with other schemes and reduce 30% of the average traffic transport delay compared with the random placement scheme.