軟件定義網(wǎng)絡匿名通信關鍵技術研究獲獎科研報告

軟件定義網(wǎng)絡匿名通信關鍵技術研究獲獎科研報告【摘

要】匿名通信的概念最初由Chaum在1981年提出，他也最早提出了Mix網(wǎng)絡技術，在該網(wǎng)絡中，Mix節(jié)點將接收到的來自發(fā)送者的信息通過加密、延遲、填充等方式進行混合處理后再傳輸給下一個節(jié)點，以此來隱藏通信雙方的身份信息，實現(xiàn)高匿名性，是一種犧牲了性能的高時延匿名通信技術。1996年，Goldschlag等美國海軍研究實驗室的員工提出了第一代洋蔥路由技術，洋蔥路由網(wǎng)絡首先在通信雙方之間建立一條虛電路，傳輸路徑中的任一路由節(jié)點只知道前一個節(jié)點和后一個節(jié)點的身份信息，為建立連接的雙方提供實時的雙向匿名服務，因而它是一種低時延的匿名通信技術。2004年，Dingledine等提出了第二代洋蔥路由技術，即實現(xiàn)Tor的主要技術，在第一代的基礎之上進一步提高了安全性，如將加密算法由公鑰加密變?yōu)榱薉iffie-Hellman密鑰交換算法。

【關鍵詞】軟件定義網(wǎng)絡;匿名通信;關鍵技術

引言

匿名可以做到使個人的身份信息得以隱蔽，不被外人識別獲取?；ヂ?lián)網(wǎng)影響社會生活方方面面，人們傳遞信息、休閑娛樂都已經(jīng)少不了互聯(lián)網(wǎng)。隨著新技術的出現(xiàn)，軟件定義網(wǎng)絡（SDN）為彌補傳統(tǒng)網(wǎng)絡架構的不足，成為未來網(wǎng)絡架構發(fā)展的一個重要趨勢。軟件定義網(wǎng)絡]的顯著特征即轉控分離，實現(xiàn)控制平面的中央控制，通信協(xié)議簡化網(wǎng)絡間傳輸設備工作量，具有軟件編程功能，北向接口可與多應用程序連接。但軟件定義網(wǎng)絡并非是以用戶的安全性和隱秘性為基礎開發(fā)的，因此在通信中外來攻擊者可以通過報文分析獲取通信用戶的敏感信息。

1匿名的定義

“匿名”是“一個主體在一組集合（即匿名集合，AnonymitySet）中不可識別的狀態(tài)”。匿名集合指的是“所有可能的主體構成的集合”。根據(jù)匿名集合的大小可以判斷匿名系統(tǒng)的匿名性強弱，可以理解為匿名集合越大，匿名集合中的每個對象被攻擊者關注的概率越低，則匿名性越強;根據(jù)匿名集合的變化可以衡量攻擊者對匿名系統(tǒng)的攻擊效果。對通信系統(tǒng)匿名性定性、定量的定義一般都采用基于信息熵的定義，具體形式如下：n為匿名集合中對象的數(shù)量，Pi為集合中的對象被攻擊的概率。由于該匿名性定義將匿名集合中的對象數(shù)量、集合中每一個對象被攻擊的概率等因素都考慮到，因此可以使用它來定量的描述和判斷一個通信系統(tǒng)的匿名性。

2傳統(tǒng)網(wǎng)絡匿名通信

眾多學者已經(jīng)研究匿名系統(tǒng)以保護各用戶的通信身份并防止攻擊者的流量分析。傳統(tǒng)網(wǎng)絡所采用的匿名系統(tǒng)主要有Mix-net、DC-net、可驗證的shuffle或廣播。當前，從性質(zhì)上分析，可以將匿名系統(tǒng)劃分為高延遲與低延遲，主要參考的是傳輸時間。高延遲匿名通信系統(tǒng)主要是為需要強大匿名性且允許高延遲的應用而設計的，例如：電子郵件、Babel、Mixminion。該類系統(tǒng)基于Mix-Nets，其中消息通常被延遲數(shù)小時以進行批處理，以最大化匿名實現(xiàn)對流量分析的阻斷。低延遲匿名通信系統(tǒng)主要用于網(wǎng)頁瀏覽和互聯(lián)網(wǎng)聊天等交互式應用。在低延遲匿名系統(tǒng)中，比較常見的是Anonymizer，只有一個代理，整體較為簡單。洋蔥路由是初始混合網(wǎng)絡的實時變體。軟件定義網(wǎng)絡作為一種新興的網(wǎng)絡架構，它所擁有的集中控制和掌控全局的新特性還并沒有引起匿名通信領域研究的思考和重視。在發(fā)送消息之前，發(fā)送器拾取混合列表并通過中繼器與接收器構建雙向電路。發(fā)送方對消息進行分層加密，每個中繼對它們進行解密，然后將它們轉發(fā)到電路中的下一跳。每個中繼僅知道其上一跳和下一跳，但不知道通信參與者。二代洋蔥路由Tor是基于志愿者并最為流行的匿名系統(tǒng)?；赑2P架構的匿名系統(tǒng)，各節(jié)點都可作流量發(fā)起者或轉發(fā)者。LAP是低延遲的輕量級匿名系統(tǒng)，可保證日常在線活動的安全。

3方案設計

3.1系統(tǒng)架構

軟件定義網(wǎng)絡的主要特點是將控制功能從網(wǎng)絡設備中提取出來，網(wǎng)絡的控制平面在控制器上，轉發(fā)平面在網(wǎng)絡設備上，實現(xiàn)了控制層與數(shù)據(jù)轉發(fā)層的分離?；赟DN的匿名通信網(wǎng)絡架構從上往下分為應用層、控制層以及數(shù)據(jù)層。應用層包含了匿名通信服務等相關網(wǎng)絡應用?？刂破矫尕撠熅W(wǎng)絡控制，主要功能為協(xié)議處理與計算?？刂破鳙@取系統(tǒng)中網(wǎng)絡設備之間的連接信息，并對連接信息進行處理，通過OpenFlow協(xié)議定期獲取網(wǎng)絡中主機的剩余帶寬等信息，根據(jù)這些信息挑選最優(yōu)轉發(fā)節(jié)點來建立最優(yōu)轉發(fā)路徑。數(shù)據(jù)平面搭建網(wǎng)絡拓撲，交換機根據(jù)控制平面下發(fā)的流表完成數(shù)據(jù)的轉發(fā)和處理。系統(tǒng)可以看作是由一個控制器和多個交換機及主機組織起來的覆蓋網(wǎng)絡，將網(wǎng)絡中的主機劃分為多個集群，每個集群中有一個主機作為該集群的管理員。其中，SDN控制器負責維護網(wǎng)絡中交換機節(jié)點的相關信息，建立匿名通信路徑以及指揮網(wǎng)絡中的數(shù)據(jù)包轉發(fā)。各集群管理員負責維護該集群中普通成員的地址映射關系，為該集群中普通成員請求并建立匿名通信。

3.2數(shù)據(jù)包包頭信息隱匿

為了實現(xiàn)數(shù)據(jù)包包頭信息的隱匿性，方案采用唯一哈希值來改寫包頭，結合隨機數(shù)的不確定性加強包頭信息的安全轉發(fā)。由于數(shù)據(jù)包包頭中五元組包含源IP地址、目的IP地址、協(xié)議號、源端口、目的端口。為了實現(xiàn)隱藏包頭的敏感信息，方案用唯一哈希值替代原包頭中的源/目的IP地址和源/目的MAC地址。步驟1交換機在收到新的數(shù)據(jù)包后，查找匹配項，通過預設置packet_in將此數(shù)據(jù)包的包頭上交給控制器，其中消息包含的敏感信息有（Si，Di）。步驟2控制器在收到交換機發(fā)來的數(shù)據(jù)包包頭后，首先生成一個隨機數(shù)，利用正態(tài)隨機數(shù)，依據(jù)中心極限定理得到服從U（0，1）均勻分布的隨機數(shù)k。生成隨機數(shù)k后，控制器首先對包頭消息C進行解析，獲得信息Si、Di之后混合Si、Di與隨機數(shù)k，通過sha1算法生成一個唯一的哈希值M，并下發(fā)給入口交換機。步驟3入口交換機收到控制器下發(fā)的唯一哈希值后，用此哈希值替換原數(shù)據(jù)包包頭中的源/目的IP地址。

3.3約束最優(yōu)路徑規(guī)劃算法

通常傳統(tǒng)網(wǎng)絡中的路徑選擇依據(jù)是通過路由協(xié)議計算出的最優(yōu)傳輸路徑，但結果可能會導致網(wǎng)絡中部分路徑流量擁塞。當采用SDN網(wǎng)絡架構時，SDN控制器可以根據(jù)網(wǎng)絡流量狀態(tài)調(diào)整傳輸路徑，提升網(wǎng)絡資源利用率。此外，控制器根據(jù)節(jié)點在線時長選擇信譽度較高的節(jié)點作為轉發(fā)節(jié)點，可以一定程度上降低路徑選擇攻擊的威脅?？刂破魇盏桨l(fā)送方的匿名通信請求后獲取發(fā)送方和接收方的IP地址等信息。拓撲感知模塊負責獲取網(wǎng)絡中交換機與主機之間的連接信息，并對連接信息進行處理，形成網(wǎng)絡拓撲。鏈路信息收集模塊負責獲取網(wǎng)絡中交換機節(jié)點的剩余帶寬、在線時長等信息?？刂破髟谑盏缴鲜鲂畔⒑?，利用多約束最優(yōu)