可编程数据平面(Programmable Data Plane,PDP)允许用户自定义网络设备的数据包处理方式,支持定制化网络操作,利用PDP的特性实施网络防御,在实时性、灵活性、扩展性等方面取得了良好效果,近年来受到学术界和工业界的广泛关注。本文以基...可编程数据平面(Programmable Data Plane,PDP)允许用户自定义网络设备的数据包处理方式,支持定制化网络操作,利用PDP的特性实施网络防御,在实时性、灵活性、扩展性等方面取得了良好效果,近年来受到学术界和工业界的广泛关注。本文以基于PDP的网络防御技术为主要研究内容,首先介绍了PDP的基本概念,并结合典型案例阐述其应用于网络防御的优势;随后根据实施网络防御的阶段,将基于PDP的网络防御技术分为防护技术、检测技术、响应技术3大类,对各类方案的现有研究进行深入分析、概括总结,归纳不同方法的优缺点;最后,本文对基于PDP的网络防御技术未来的研究方向进行展望。展开更多
现阶段SRv6(Segment Routing over IPv6)中,段标签(Segment Identifier,SID)设计为流量工程、安全认证等网络功能提供了可编程性。这些功能的实现依赖于数据平面中流表的精确匹配与执行,但当流表被恶意篡改或错误配置时,容易导致功能一...现阶段SRv6(Segment Routing over IPv6)中,段标签(Segment Identifier,SID)设计为流量工程、安全认证等网络功能提供了可编程性。这些功能的实现依赖于数据平面中流表的精确匹配与执行,但当流表被恶意篡改或错误配置时,容易导致功能一致性问题的出现。而带内网络遥测(In-band Network Telemetry,INT)技术作为SDN场景中经典的具有可编程性的校验工具,可将二者天然结合。为此,提出了基于可编程数据平面的SRv6功能一致性验证机制(Programmable Data Plane Based Consistency Verification Mechanism for SRv6 Functional,SRv6FCV)。SRv6FCV采用数据平面可编程技术为探针包插入认证标识,首先依据监控需求动态地将SID转换为特定的INT元数据结构,然后构造探针报文注入并逐跳收集特定网络功能的流表执行信息,最后对遥测信息进行解析并基于符号执行算法完成功能一致性验证。仿真结果表明,SRv6FCV能够保证满足流表规则以及业务功能执行策略的一致性。相较于之前的研究,SRv6FCV在完成对网络功能一致性校验的基础上,拥有更低的运行开销,同时其校验时长也有显著缩短。展开更多
文摘可编程数据平面(Programmable Data Plane,PDP)允许用户自定义网络设备的数据包处理方式,支持定制化网络操作,利用PDP的特性实施网络防御,在实时性、灵活性、扩展性等方面取得了良好效果,近年来受到学术界和工业界的广泛关注。本文以基于PDP的网络防御技术为主要研究内容,首先介绍了PDP的基本概念,并结合典型案例阐述其应用于网络防御的优势;随后根据实施网络防御的阶段,将基于PDP的网络防御技术分为防护技术、检测技术、响应技术3大类,对各类方案的现有研究进行深入分析、概括总结,归纳不同方法的优缺点;最后,本文对基于PDP的网络防御技术未来的研究方向进行展望。
文摘现阶段SRv6(Segment Routing over IPv6)中,段标签(Segment Identifier,SID)设计为流量工程、安全认证等网络功能提供了可编程性。这些功能的实现依赖于数据平面中流表的精确匹配与执行,但当流表被恶意篡改或错误配置时,容易导致功能一致性问题的出现。而带内网络遥测(In-band Network Telemetry,INT)技术作为SDN场景中经典的具有可编程性的校验工具,可将二者天然结合。为此,提出了基于可编程数据平面的SRv6功能一致性验证机制(Programmable Data Plane Based Consistency Verification Mechanism for SRv6 Functional,SRv6FCV)。SRv6FCV采用数据平面可编程技术为探针包插入认证标识,首先依据监控需求动态地将SID转换为特定的INT元数据结构,然后构造探针报文注入并逐跳收集特定网络功能的流表执行信息,最后对遥测信息进行解析并基于符号执行算法完成功能一致性验证。仿真结果表明,SRv6FCV能够保证满足流表规则以及业务功能执行策略的一致性。相较于之前的研究,SRv6FCV在完成对网络功能一致性校验的基础上,拥有更低的运行开销,同时其校验时长也有显著缩短。
