笔者只能总结出4个点,欢迎相关研究者补充。
1. 组播性能
首先,CCN最大的优势体现在其对内容分发的良好支持上。CCN的组播是用数据消费者一方主动控制接收数据分组的速度,不像IP组播,由数据生产者来控制数据发送速率,单一的传输速率不能满足处于不同数组环境中的数据消费者。
现在我图假设地址为A,B,C,D的4个用户在如下图1的网络拓扑中看同一部电视直播。在IP网络中,假设使用UDP协议传输,其传输的数据包的数量如图1(左)所示。而在CCN网络中,传输的数据包如图1(右)所示。
显然,CCN在分发内容方面的性能明显是比IP好的。实际上CCN是通过路由器的帮助,把同一份内容分发到不同的端口来实现这种天然的组播的。那我们能不能也让IP路由器也将同一个IP数据包转发到多个端口来实现这种功能呢?答案是可以的,笔者就尝试这么做过。但是会有新的问题。问题出现在,IP网络是所谓的“推送式”传输模型,任何主机在没有收到请求的情况下可以大量地往网络中发送数据分组。正常情况下,如果一个IP分组只能送往一个地方,那发出大量数据的主机很容易的可以占满从它自己到目的主机的带宽。而如果,我们让IP路由器可以将一个IP分组转发到不同的端口,那如果上图中的S是一个恶意主机(或是被其它恶意主机入侵),那它在这种路由器的帮助下,就可以很容易地攻击整个网络拓扑,使整个网络瘫痪。
而由于CCN中的数据传输是“拉取式”的,因此就算路由器可以帮助恶意主机将相同的包转发到不同的端口,但在CCN中,如果没有主机请求数据,那数据就不可能从某个端口转发出来。也就是说,在IP网络中,如果我们让路由器可以将同一数据包从不同的端口转发出来,攻击者只要控制了服务器S,他就能使整个网络瘫痪。而在CCN网络中,如果攻击者想做同样的攻击,他必须控制A,B,C,D,4台主机。而且控制之后,还不一定能造成这样的攻击,在第二节将介绍。
2. 抗DoS攻击
以上说到对网络进行的拒绝服务器攻击,再接着说说CCN架构在抗DoS攻击上的优势。
在IP网络中,DoS攻击其实是防不住的,要防也是得用资源去扛。哪家公司的网络资源,计算资源丰富,抗DoS攻击的能力就越强。
而CCN却为抗DoS攻击提供了一个新的思路。
我们假设,上图中A是一个恶意主机,它那网络中发送了大量的兴趣包,企图攻击服务器S,使得使用S服务器的所有用户都访问不了服务器S。在CCN中,我们可以使用一种很简单的方法来减轻这种攻击。我们将R2,R3的PIT表大小的值设置得比R1小,假设R2的PIT大小设置为5,而R1的PIT大小为10。这样,R1最多能通过大量发送兴趣包来占满R2的PIT表,这个时候,R3和R4仍然可以继续访问服务器S。
另外,在R2上,其实可以做个简单的统计,就能统计出来自某一端口的兴趣包有大量的超时,就很容易地发现是A用户在发起DoS攻击。从而可以通过限制某一端口的兴趣包数来减轻DoS攻击的伤害,使得最终B用户也能正常访问服务器S。
3. 网络层内生安全机制
从大方面来讲,CCN要求网络层数据包都带有签名,这本身就是一个很强的安全性。因为这个可以直接在网络层验证网络数据包的安全性、可靠性。
CCN对数据包的签名除了可以验证数据的安全性之外,还可以追踪数据发出者。假如我们基于CCN来传输HTTP包,将HTTP请求和应答全放到CCN的数据包中传输,那我们就可以对发起HTTP攻击的人直接追踪。
例如某用户发出了一个包含了sql注入攻击的HTTP请求,在IP网络中,就算服务器检测到这个攻击请求,还有它的IP地址,但是由于NAT机制,服务器是查不到发出攻击的攻击者的。但如果是CCN中,由于装载HTTP请求的CCN数据包带有发出者的签名,那就能很容易的追查到攻击发出者。
4. 对客户端移动性的支持
在CCN中,如果我们把服务器的前缀当成服务器的地址的话,那CCN的客户端是没有源地址的。
不过关于移动性,我想更多是移动底层通信需要解决的问题,证据不足,暂不讨论。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
