先讲一下命名数据网络(Named Data Networking, NDN),是2010年由美国国家科学基金会(National Science Foundation ,NSF)发起了未来网络架构研究项目。 它完全不同于TCP/IP的体系结构,将内容本身看作网络中的主导实体,采取基于内容的架构颠覆了当前基于主机的网络架构,已经成为国内外的研究热点。
内容中心网络直接依据内容的名字完成信息的分发和获取,网络中传输的兴趣包/数据包不携带用户的位置或身份信息,具有一定的安全优势。然而,内容中心网络仍难免遭受某些网络攻击的侵害,例如,以易于发动且危害巨大而著称的兴趣包泛洪攻击。
Abstract:针对基于 NDN 的 VANET 核心转发机制的兴趣泛滥攻击(IFA),提出了一种检测和抵御 IFA的方法,并且实验过程中和其他的一些检测方法进行了比较。
Motivation:对NDN 网络中的IFA研究已经有很多,单对基于 NDN 的网络和 VANET 中的兴趣泛滥攻击仍然很少,需要研究基于 NDN 的 VANET 中检测成功的方法。
Knowledge:NDN 是一种接收器驱动的架构。NDN中的整个通信是通过交换两种类型的数据包Interest和Data来进行的。这两个数据包都带有可以唯一标识数据的名称。每当消费者想要数据时,它都会发送一个兴趣包,作为响应,它会从生产者那里获得一个数据包。
待处理兴趣表(PIT)存储所有已转发但未满足的待处理兴趣,以及接收它们的接口。
转发信息库(FIB)包含名称前缀以及下一跳接口,因为 NDN 支持多路径转发,每个条目可能包含多个下一跳接口。
内容存储 (CS): CS 缓存内容以服务于未来的兴趣请求。
但是数据包在转发过程中,会遭受多种安全攻击,其中一种攻击是兴趣泛滥攻击Interest Flooding Attack(IFA),它是一种拒绝服务攻击,如下图所示:
攻击者试图通过发送虚假兴趣使 PIT 条目表泛滥,这些虚假兴趣包将在 PIT 中堆积起来,直到到期。这将导致转发中断,因为可能没有空间供真正感兴趣的 PIT 进入。
Main contributions:提出了一种在基于 NDN 的 VANET 中检测和减轻 IFA 的新解决方案,记为 FIFA(Fighting Interest Flooding Attack),使用每辆车粗粒度而不是每前缀粒度来检测到 IFA。同时,使用基于 RSA 的加密证书确保每辆车的粒度具有不可否认性。最后,为本文提出的方法构建了 FIFA的架构,并进行了实验验证。
Algorithm:首先是FIFA模型的架构,看下图。一个 FIFA 模块,负责识别恶意车辆;一个 ,使用恶意车辆信息来抵御 IFA。
FIFA 模块包括方面,一方面定期检查从车辆接收到的兴趣包数量和车辆的满意度,如果超过阈值,则认为车辆可疑,来自该车辆的所有进一步数据包都被丢弃。另外一个方面检查攻击者从多个车辆发送大量兴趣包的 IFA 场景,系统会定期期识别三辆满意度低于某个阈值的车辆,满意率定义为满意的兴趣与总收到的兴趣之比。如果车辆在最后三辆车检查中的满意度最低,则将其视为恶意车辆并添加到恶意车辆表中。流程看下图:
FIFA 的转发策略:每当一个节点收到一个兴趣包时,它会首先验证兴趣包的证书,如果它是无效的,那么兴趣包就会被丢弃。如果认证验证成功,则使用恶意车辆表检查感兴趣的车辆登记号,如果找到条目,则删除兴趣包。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
