霍躍華，劉銀龍(.中國礦業(yè)大學(xué)(北京)現(xiàn)代教育技術(shù)中心,北京00083;2.中國科學(xué)院信息工程研究所,北京00093)

?

內(nèi)容中心網(wǎng)絡(luò)中安全問題研究綜述*

霍躍華1，劉銀龍**2
(1.中國礦業(yè)大學(xué)(北京)現(xiàn)代教育技術(shù)中心,北京100083;2.中國科學(xué)院信息工程研究所,北京100093)

Foundation Item:The National Natural Science Foundation of China(No. 61303251)；The Strategic Pilot Project of Chinese Academy of Sciences(XDA06010703)

**通信作者:liuyinlong@ iie. ac. cn Corresponding author:liuyinlong@ iie. ac. cn

摘 要:內(nèi)容中心網(wǎng)絡(luò)(CCN)是一種革命性的網(wǎng)絡(luò)架構(gòu),采用內(nèi)容路由、網(wǎng)內(nèi)緩存等技術(shù)來提高網(wǎng)絡(luò)中的內(nèi)容分發(fā)效率,但其自身的結(jié)構(gòu)特點(diǎn)使之面臨很多的安全問題。通過對CCN網(wǎng)絡(luò)工作機(jī)制的研究,分析了CCN面臨的非授權(quán)訪問、隱私泄露、泛洪攻擊等安全風(fēng)險；然后,總結(jié)了每種安全風(fēng)險的解決方案及各自優(yōu)缺點(diǎn)；最后,展望了未來的研究方向。

關(guān)鍵詞:內(nèi)容中心網(wǎng)絡(luò)；安全風(fēng)險；訪問控制；隱私保護(hù)；泛洪攻擊

1 引 言

隨著Internet的快速發(fā)展和不斷變化,網(wǎng)絡(luò)應(yīng)用的主體正逐漸向內(nèi)容服務(wù)轉(zhuǎn)移,以主機(jī)為中心的傳統(tǒng)TCP/ IP網(wǎng)絡(luò)逐漸暴露出許多問題,如不安全、移動性差、可靠性差、靈活性差等。為了解決這些問題,自2006年起,國內(nèi)外學(xué)術(shù)界開展了多項(xiàng)關(guān)于下一代互聯(lián)網(wǎng)體系結(jié)構(gòu)的研究項(xiàng)目,并提出了多種新的互聯(lián)網(wǎng)架構(gòu),主要有UC Berkeley提出的面向數(shù)據(jù)的網(wǎng)絡(luò)架構(gòu)(Data - Oriented Network Architecture, DONA)[1]、歐盟FP7的4WARD[2]以及發(fā)布/訂閱式互聯(lián)網(wǎng)路由范例( The Publish - Subscribe Internet Routing Paradigm,PSIRP)[3]、Palo Alto Research Center提出的內(nèi)容中心網(wǎng)絡(luò)(Content-Centric Networking,CCN)[4]和中國科學(xué)院提出的內(nèi)容感知網(wǎng)絡(luò)(Content Aware Network)[5]等。這些架構(gòu)都采用了以內(nèi)容為中心的核心思想,其中CCN的網(wǎng)絡(luò)設(shè)計更具有代表性,已成為下一代互聯(lián)網(wǎng)架構(gòu)的研究熱點(diǎn)。

近年來,許多科研工作者已經(jīng)對CCN中的命名[6-7]、緩存[8]、路由[9]等關(guān)鍵技術(shù)進(jìn)行了深入的研究,而且Kim[10]和Jeong[11]等還分別將CCN應(yīng)用到虛擬專用社區(qū)和遠(yuǎn)程信息服務(wù)。已有研究主要關(guān)注網(wǎng)絡(luò)中的內(nèi)容分發(fā)效率,而對CCN的安全問題研究較少。由于CCN屬于開放式的網(wǎng)絡(luò)架構(gòu),盡管能夠有效提高內(nèi)容分發(fā)效率,卻面臨許多安全挑戰(zhàn),如非授權(quán)訪問、用戶隱私信息泄露、泛洪攻擊等。

本文主要對CCN網(wǎng)絡(luò)中的安全問題進(jìn)行分析和總結(jié)。

2 內(nèi)容中心網(wǎng)絡(luò)原理與特點(diǎn)

2. 1 CCN工作原理

如圖1所示,CCN體系沿襲了TCP/ IP網(wǎng)絡(luò)的沙漏結(jié)構(gòu),只是用命名數(shù)據(jù)代替IP地址作為網(wǎng)絡(luò)標(biāo)識,直接基于內(nèi)容名字完成內(nèi)容的查找和獲取等。

CCN主要利用緩存路由器(Caching Router, CR)對興趣包(Interest Packet,IntP)和數(shù)據(jù)包(Data Packet,DatP)進(jìn)行處理和轉(zhuǎn)發(fā)來實(shí)現(xiàn)信息交互。

興趣包的格式如圖2(a)所示,包括內(nèi)容名字、用戶選項(xiàng)和隨機(jī)數(shù)。其中,內(nèi)容名字表明請求內(nèi)容的名稱,用戶選項(xiàng)表示內(nèi)容請求者的特殊需求,隨機(jī)數(shù)確定接收到的興趣包是否為之前已經(jīng)收到的重復(fù)興趣包。數(shù)據(jù)包的格式如圖2(b)所示,包括內(nèi)容名字、內(nèi)容發(fā)布者的數(shù)字簽名和相應(yīng)的認(rèn)證信息(內(nèi)容發(fā)布者ID、公鑰等),以向內(nèi)容請求者提供接收內(nèi)容的完整性、準(zhǔn)確性認(rèn)證以及對內(nèi)容發(fā)布者的身份認(rèn)證。

圖2 CCN包格式Fig. 2 CCN Packets format

緩存路由器包含3個核心功能模塊:內(nèi)容緩存(Content Store,CS)、待定興趣表(Pending Interest Table,PIT)和轉(zhuǎn)發(fā)信息表(Forwarding Information Base,FIB)。接下來,結(jié)合圖3介紹CCN中的數(shù)據(jù)轉(zhuǎn)發(fā)。

圖3 CCN數(shù)據(jù)轉(zhuǎn)發(fā)模型Fig. 3 CCN forwarding model

內(nèi)容請求者A想要獲取某一內(nèi)容C時,通過廣播方式向緩存路由器CR發(fā)送含有該內(nèi)容名字的興趣包。

CR接收到興趣包后,首先查詢CS是否存儲了對應(yīng)內(nèi)容,若有,則通過興趣包的反向路徑返回數(shù)據(jù)包;否則,路由器查詢PIT是否已有相同內(nèi)容名字的表項(xiàng),若有,則將興趣包的到達(dá)接口添加到對應(yīng)表項(xiàng),否則創(chuàng)建一個新的PIT表項(xiàng),存儲該興趣包和到達(dá)接口等信息;路由器采用前綴匹配方法向FIB查詢興趣包的轉(zhuǎn)出接口,若查到,則轉(zhuǎn)發(fā)興趣包,否則丟棄或廣播興趣包。

當(dāng)CR接收到來自內(nèi)容發(fā)布者的數(shù)據(jù)包時,CR根據(jù)內(nèi)容名字向PIT查詢對應(yīng)興趣包的到達(dá)接口,若找到,則向該接口轉(zhuǎn)發(fā)數(shù)據(jù)包并刪除對應(yīng)PIT條目,同時路由器緩存數(shù)據(jù)包,以滿足后續(xù)請求相同內(nèi)容的興趣包。

內(nèi)容請求者B想要獲取相同的內(nèi)容C時,緩存路由器可以直接將CS中緩存的內(nèi)容C發(fā)送給B,而不需再向內(nèi)容發(fā)布者請求。這樣,既可以降低網(wǎng)絡(luò)中流量負(fù)荷,也可以提高內(nèi)容請求者B獲取內(nèi)容的時延。

2. 2 CCN主要特點(diǎn)

(1)提高了內(nèi)容分發(fā)效率

CCN中通過緩存路由器緩存經(jīng)過的內(nèi)容來提高網(wǎng)絡(luò)中的內(nèi)容分發(fā)效率。緩存路由器中的緩存與IP路由器中的buffer緩沖類似,都是用來緩存數(shù)據(jù)包的。但是,IP路由器將數(shù)據(jù)包轉(zhuǎn)發(fā)之后不能再利用該數(shù)據(jù)包,而緩存路由器還可以重復(fù)使用該數(shù)據(jù)的緩存。對于靜態(tài)的文件,CCN幾乎達(dá)到了最優(yōu)的內(nèi)容分發(fā);對于動態(tài)文件,在多播和重傳的情況下, CCN的緩存功能也具有優(yōu)勢。

(2)支持多路徑路由

傳統(tǒng)的IP網(wǎng)絡(luò)中采用最佳路由的方法來防止路由成環(huán),而在CCN中,興趣包中的隨機(jī)數(shù)能夠有效地標(biāo)識重復(fù)的興趣包,一旦發(fā)現(xiàn)收到重復(fù)的興趣包,便會將其直接丟棄。因此,CCN網(wǎng)絡(luò)節(jié)點(diǎn)可以同時向多個接口發(fā)送興趣包,并保證其不成環(huán)。而數(shù)據(jù)包完全按照興趣包傳輸相反的路徑傳輸,也不會成環(huán)。這種內(nèi)置的多路徑傳輸機(jī)制很好地支持了負(fù)載均衡及服務(wù)選擇功能。

(3)增強(qiáng)了網(wǎng)絡(luò)的路由安全

與傳統(tǒng)IP網(wǎng)絡(luò)相比,CCN網(wǎng)絡(luò)的路由安全性得到大大提高。首先,包括路由信息在內(nèi)的所有網(wǎng)絡(luò)數(shù)據(jù)都使用簽名機(jī)制,能夠有效防止它們被偽造或者篡改;其次,由于CCN支持多路徑路由,網(wǎng)絡(luò)節(jié)點(diǎn)能夠檢測到由路由劫持導(dǎo)致的異常并嘗試選擇其他路由,從而可以有效地防范前綴劫持。此外,CCN網(wǎng)絡(luò)架構(gòu)只著眼于內(nèi)容本身,并不定位某個具體主機(jī)或服務(wù)器。因此,在CCN網(wǎng)絡(luò)中是不能針對某個具體的主機(jī)或服務(wù)器目標(biāo)發(fā)送惡意攻擊數(shù)據(jù)的。

3 CCN中安全問題分析

3. 1 CCN面臨的安全威脅

3. 1. 1 非授權(quán)訪問

CCN將內(nèi)容數(shù)據(jù)視為核心要素,且內(nèi)容的多個副本可以存放在網(wǎng)絡(luò)中的不同位置。該機(jī)制有效地提高了網(wǎng)絡(luò)中的內(nèi)容分發(fā)效率,特別是高流行度內(nèi)容的分發(fā)效率。但是,這種機(jī)制也帶來了內(nèi)容非授權(quán)訪問的安全問題。由于一旦內(nèi)容被分布出去,就脫離了發(fā)布者的控制,攻擊者通過接收其他節(jié)點(diǎn)的興趣包就可以獲取其中的內(nèi)容名字,并進(jìn)而獲取內(nèi)容。例如,網(wǎng)絡(luò)中具有版權(quán)保護(hù)要求的視頻只有在用戶被授權(quán)后才能觀看,而CCN中的緩存機(jī)制使得授權(quán)視頻訪問控制中的版權(quán)保護(hù)難以有效實(shí)施。傳統(tǒng)保護(hù)視頻版權(quán)的技術(shù)(如數(shù)字水印)只能夠用來驗(yàn)證視頻屬于該視頻發(fā)布者,而不能用來保護(hù)視頻的版權(quán)[12]。

3. 1. 2 用戶隱私泄露

CCN中的用戶隱私信息主要面臨以下兩種泄露風(fēng)險。

首先,數(shù)據(jù)簽名會泄露內(nèi)容發(fā)布者的身份隱私。為了確保獲取內(nèi)容的真實(shí)性和完整性,每個數(shù)據(jù)包必須帶有發(fā)布者的簽名,且數(shù)據(jù)包的簽名必須能夠被所有內(nèi)容消費(fèi)者驗(yàn)證。因此,數(shù)據(jù)包中除了包含內(nèi)容發(fā)布者簽名外,還需指明驗(yàn)證簽名的公鑰或發(fā)布者ID等信息。攻擊者通過這些驗(yàn)證信息就能夠獲取與發(fā)布者身份相關(guān)的隱私信息。

其次,緩存機(jī)制會泄露內(nèi)容請求者的檢索隱私。一方面,攻擊者通過測量獲取內(nèi)容的響應(yīng)時間就可以判定一個給定內(nèi)容是否被緩存在一個節(jié)點(diǎn),從而得知相鄰用戶是否檢索、訪問了該內(nèi)容[9];另一方面,用戶檢索內(nèi)容的名字易被相鄰節(jié)點(diǎn)獲知,攻擊者可以利用請求者的檢索信息推測出請求者的行為偏好等隱私信息。

3. 1. 3 興趣包泛洪攻擊

CCN中的PIT在降低網(wǎng)絡(luò)負(fù)載的同時,一定程度上增加了路由器的工作負(fù)擔(dān)。首先,興趣包基于FIB進(jìn)行轉(zhuǎn)發(fā),同時興趣包狀態(tài)也將記錄在PIT中用于指導(dǎo)對應(yīng)數(shù)據(jù)包的反向轉(zhuǎn)發(fā),因此興趣包的轉(zhuǎn)發(fā)過程需占用路由器的內(nèi)存資源;其次,每個興趣包或數(shù)據(jù)包到達(dá)時,均觸發(fā)路由器PIT表項(xiàng)的添加、刪除等更新操作,也會占用路由器資源;第三,若興趣包無法找到相應(yīng)的內(nèi)容數(shù)據(jù)包,則該興趣包在PIT中的對應(yīng)表項(xiàng)將一直保存,直至表項(xiàng)生存時間超時(一般而言,該時間遠(yuǎn)大于網(wǎng)絡(luò)的內(nèi)容獲取平均往返時延[13]),這增加了PIT對路由器資源的占用時間。因此,攻擊者泛洪大量的惡意興趣包非法占用路由器待定興趣表的內(nèi)存空間,以達(dá)到攻擊內(nèi)容中心網(wǎng)絡(luò)并降低其網(wǎng)絡(luò)性能的目的[14]。

CCN中的惡意興趣包主要分為兩類:虛假興趣包(Fake Interests)和真實(shí)興趣包(Real Interest)。虛假興趣包是指攜帶有偽造名字的興趣包,無法從網(wǎng)絡(luò)中獲取到對應(yīng)的數(shù)據(jù)包,從而實(shí)現(xiàn)長時間占用路由器待定興趣表內(nèi)存資源的目的;而真實(shí)興趣包是攜帶有真實(shí)名字的興趣包,但名字信息卻不斷發(fā)生變化,即通過類似“輪詢”的方式大量取回數(shù)據(jù)包,實(shí)現(xiàn)惡意擁塞網(wǎng)絡(luò)鏈路的目的。相應(yīng)地,使用前一種興趣包進(jìn)行攻擊的方式稱為虛假興趣包泛洪攻擊(Interest Flooding Attack with Fake Interests,IFA -F),而使用后一種興趣包進(jìn)行攻擊的方式稱為真實(shí)興趣包泛洪攻擊(Interest Flooding Attack with Real Interests,IFA-R)。

3. 2 CCN安全需求

CCN的目標(biāo)是實(shí)現(xiàn)高效、安全和易于維護(hù)的內(nèi)容分發(fā),但是CCN的內(nèi)在特征使其面臨與TCP/ IP不同的隱私和可用性的風(fēng)險,這迫切需要一些新的安全解決方案來檢測和阻止所有的潛在攻擊。這些解決方案需要滿足4個安全需要:機(jī)密性、完整性、有效性和隱私。

機(jī)密性:只有符合條件的實(shí)體能夠訪問安全的信息。

數(shù)據(jù)完整性:接收端能夠識別/鑒定接收內(nèi)容在傳輸過程中任何無意或有意的改變。

可認(rèn)證性:接收端能夠驗(yàn)證接收內(nèi)容的發(fā)布者是否合法。

隱私保護(hù):能夠?qū)νㄐ殴?jié)點(diǎn)的身份、行為、通信內(nèi)容等隱私信息進(jìn)行保護(hù)。

有效性:保證了對于授權(quán)實(shí)體來說網(wǎng)絡(luò)中發(fā)布的內(nèi)容必須能夠可用和可訪問。

4 CCN安全解決方案現(xiàn)狀及分析

本節(jié)總結(jié)當(dāng)前針對CCN網(wǎng)絡(luò)中非授權(quán)訪問、用戶隱私泄露和興趣包泛洪攻擊的解決方案,并分析這些方案的優(yōu)缺點(diǎn)。

4. 1 訪問控制技術(shù)研究

目前關(guān)于CCN訪問控制的研究還很少,內(nèi)容加密是其中最主要的方法。

在CCN設(shè)計初期,Jacobson[4]就基于加密的訪問控制方法來保護(hù)內(nèi)容。該方法對內(nèi)容用對稱密鑰進(jìn)行加密,加密后的內(nèi)容可以被緩存在路由器中,任何節(jié)點(diǎn)都能夠從路由器中獲取加密后的內(nèi)容。然而,只有授權(quán)用戶才能得到對稱加密的解密密鑰,這樣已授權(quán)用戶就可以通過解密得到內(nèi)容數(shù)據(jù)。但該方案對于某一個授權(quán)內(nèi)容,所有已授權(quán)用戶都使用同一個解密密鑰,如果一個已授權(quán)用戶有意或無意間泄露了該密鑰,那么所有獲得該密鑰的用戶都可以獲取內(nèi)容,進(jìn)而導(dǎo)致無法有效地進(jìn)行訪問控制。另外,該方法無法抵御虛假內(nèi)容攻擊(即通過監(jiān)聽興趣包,攻擊者可以利用興趣包中的內(nèi)容名字及其自己的密鑰、數(shù)字簽名等生成具有相同內(nèi)容名字的虛假數(shù)據(jù)包,并發(fā)送給請求者)。

為克服該方法的不足,Hamdane等[15]在上述方法的基礎(chǔ)上提出了一種改進(jìn)的訪問控制方法,將內(nèi)容加密與基于PKI和HIBC的命名系統(tǒng)相結(jié)合,并用非對稱密鑰替換對稱密鑰以提高內(nèi)容加密性能。該方法將HIBC融入了命名系統(tǒng),能夠有效抵御虛假內(nèi)容攻擊,并降低了系統(tǒng)開銷。此外,該方法還為每個授權(quán)接入用戶(或?qū)嶓w)分配一個不同的密鑰,從而能夠確定泄露密鑰的用戶,可以實(shí)施更精準(zhǔn)的接入控制。文獻(xiàn)[16]使用控制核心模型(Usage Control Authorizations, Obligations, Conditions, UCONABC)這種通用和概念上的訪問控制方案,提供一個最佳的和安全的以數(shù)據(jù)為中心的訪問控制模型。在此方案中,數(shù)據(jù)通過加密進(jìn)行保護(hù),其訪問過程由一個集中的訪問控制列表來管理。

除了通過對內(nèi)容加密來進(jìn)行訪問控制,Li等[17]提出了一種輕量級完整性認(rèn)證架構(gòu)(Lightweight Integrity Verification Architecture,LIVE)來實(shí)現(xiàn)有效、可擴(kuò)展的內(nèi)容訪問控制。該架構(gòu)采用輕量級的簽名生成和驗(yàn)證算法來完成網(wǎng)絡(luò)中內(nèi)容簽名認(rèn)證,通過向授權(quán)用戶分配完整性驗(yàn)證令牌來控制對內(nèi)容的訪問。Wang等[18]提出了一種基于會話的接入控制機(jī)制(Session-based Access Control,SAC),根據(jù)會話業(yè)務(wù)類型(電子郵件、在線社交、在線游戲、web訪問等)選擇性地對會話中的敏感性內(nèi)容進(jìn)行加密,并利用從內(nèi)容提供商(Content Provider,CP)獲取的用戶賬戶來區(qū)分用戶,為不同用戶提供不同的密鑰以獲取對應(yīng)的內(nèi)容數(shù)據(jù)。

以上方案可以用于任何類型內(nèi)容的訪問控制,具有普遍適用性。除此之外,一些研究者還研究了適用于某一特定類型內(nèi)容的訪問控制方法。例如,周自飛等[12]提出了一種基于分割和數(shù)字水印的訪問控制方案,用來保護(hù)網(wǎng)絡(luò)中授權(quán)視頻的版權(quán)。該機(jī)制的基本原理是:將一個授權(quán)視頻分割成公共內(nèi)容塊和內(nèi)容密鑰塊兩個部分,且公共內(nèi)容塊遠(yuǎn)遠(yuǎn)大于密鑰塊。公共內(nèi)容塊可以被緩存在路由器中,任何人都能夠從路由器中獲取它。只有被授權(quán)的用戶才能夠從視頻發(fā)布者那里獲取密鑰塊,用唯一且不同的密鑰塊對應(yīng)不同的已授權(quán)用戶,而且這些不同的密鑰塊都能和功能內(nèi)容塊結(jié)合在一起恢復(fù)出原始的授權(quán)視頻內(nèi)容。但如果沒有獲得密鑰塊,任何人都不能夠恢復(fù)出授權(quán)視頻,從而實(shí)現(xiàn)授權(quán)視頻版權(quán)保護(hù)的訪問控制。

上述方案在一定程度上都能對CCN進(jìn)行訪問控制,但每種方案的控制效果不盡相同,其對比如表1所示。

表1 訪問控制方案比較Tab. 1 Comparison among access control schemes

當(dāng)前已有訪問控制方案主要是通過內(nèi)容加密-密鑰分配來實(shí)現(xiàn)的,能夠?qū)τ脩舻脑L問權(quán)限進(jìn)行靜態(tài)的控制。但是,已有方案仍存在不足之處。例如,在實(shí)際應(yīng)用中用戶的訪問權(quán)限通常是發(fā)生變化的(比如用戶會員到期會導(dǎo)致用戶訪問權(quán)限被取消),而已有方案難以直接應(yīng)用到此類情況。因此,需要針對現(xiàn)有方案中的不足進(jìn)行深入研究。

4. 2 隱私保護(hù)技術(shù)研究

目前,對CCN中的隱私保護(hù)研究主要包括內(nèi)容發(fā)布者身份隱私保護(hù)和內(nèi)容請求者檢索隱私保護(hù)兩類。

4. 2. 1 內(nèi)容發(fā)布者身份隱私保護(hù)研究現(xiàn)狀

文獻(xiàn)[19]和文獻(xiàn)[20]分別提出了基于代理的匿名通信技術(shù)Mixmaster和Mixminion,利用單個或多個匿名代理節(jié)點(diǎn)根據(jù)其他節(jié)點(diǎn)需求對數(shù)據(jù)包進(jìn)行加解密、增加冗余等,從而使得數(shù)據(jù)包與源節(jié)點(diǎn)失去關(guān)聯(lián)。但是,基于匿名代理的方法通信延遲較高。Dibenedetto等[21]提出了一種隱藏內(nèi)容名字和數(shù)據(jù)信息的安全機(jī)制——ANDaNA,采用洋蔥路由思想對數(shù)據(jù)包進(jìn)行加密保護(hù)以提供數(shù)據(jù)包的匿名性并實(shí)現(xiàn)網(wǎng)絡(luò)的隱私保護(hù)。ANDaNA對一個轉(zhuǎn)發(fā)路徑中的數(shù)據(jù)包進(jìn)行多次加密,這些加密的數(shù)據(jù)包分別由轉(zhuǎn)發(fā)路徑中的某一個中繼路由器進(jìn)行解密,最終到達(dá)數(shù)據(jù)包的最終接收方。該機(jī)制雖然能夠有效保護(hù)用戶隱私信息,但是數(shù)據(jù)轉(zhuǎn)發(fā)過程中的多次加解密會導(dǎo)致傳輸時延的增加。圖4表示使用ANDaNA機(jī)制后的下載時間與使用前的下載時間比,其中ANDaNA-A和ANDaNA-S分別表示采用基于非對稱加密和采用基于會話加密。由圖4可以看出,內(nèi)容越大,使用ANDaNA帶來的延時也越大。

圖4 使用ANDaNA前后的下載時延對比圖Fig. 4 Comparison of download time over ANDaNA with respect of baseline

4. 2. 2 內(nèi)容請求者檢索隱私保護(hù)研究現(xiàn)狀

文獻(xiàn)[19]提出了泛在緩存中存在的3種隱私攻擊模式,并分別分析了攻擊執(zhí)行的條件和具體流程。文獻(xiàn)[20]進(jìn)一步分析了網(wǎng)絡(luò)性能與用戶隱私的關(guān)系,表明用戶隱私泄露(特別是內(nèi)容請求者檢索隱私泄露)與緩存策略存在緊密聯(lián)系。為降低內(nèi)容請求者檢索隱私泄露風(fēng)險,Mohaisen[22]提出了基于隨機(jī)延遲的隱私保護(hù)方式(Generate Random Delay,GRD),通過對就近緩存內(nèi)容的響應(yīng)時間附加額外時延,以使攻擊者不能依據(jù)數(shù)據(jù)響應(yīng)時間執(zhí)行緩存內(nèi)容探測,防止信息泄露。但是該方案增大了用戶請求時延,導(dǎo)致網(wǎng)絡(luò)緩存就近響應(yīng)帶來的低時延優(yōu)勢無法發(fā)揮。文獻(xiàn)[9]指出,在緩存策略設(shè)計時,可以通過局部節(jié)點(diǎn)的協(xié)作緩存,增大請求者的匿名集合,實(shí)現(xiàn)用戶隱私保護(hù),但是文中并沒有給出具體的實(shí)現(xiàn)機(jī)制。葛國棟等[23]在此基礎(chǔ)上,給出了一種基于協(xié)作緩存的隱私保護(hù)方法(Collaborative Caching Strategy for Privacy Protection,CCSPP),通過構(gòu)建空間匿名區(qū)域、擴(kuò)大用戶匿名集合來增大緩存內(nèi)容的歸屬不確定性,在進(jìn)行緩存決策時,依據(jù)匿名區(qū)域?qū)φ埱髢?nèi)容的整體需求程度,將應(yīng)答內(nèi)容存儲在沿途活躍度最高的熱點(diǎn)請求區(qū)域。在保護(hù)用戶檢索隱私的同時,具有更低的平均請求時延,如圖5所示。

圖5 平均請求時延對比Fig. 5 Comparison of average request delay between CCSPP and GRD

目前,CCN中已有的隱私保護(hù)方案主要是通過隔斷請求者身份與請求者行為、發(fā)布者身份等之間的關(guān)聯(lián),增加匿名區(qū)域來實(shí)現(xiàn)的。但是,已有方案沒有區(qū)分用戶需求、內(nèi)容類型等對隱私保護(hù)的需求,而在實(shí)際中不同用戶、不同內(nèi)容具有不同等級的隱私保護(hù)要求。例如,高級用戶、隱私內(nèi)容具有更高的隱私保護(hù)要求。因此,需要進(jìn)一步研究新的隱私保護(hù)技術(shù),從而能夠根據(jù)用戶需求、內(nèi)容類型等因素對用戶隱私信息進(jìn)行自適應(yīng)保護(hù)。

4. 3 興趣包泛洪攻擊對抗技術(shù)研究

4. 3. 1 IFA-F攻擊對抗策略

文獻(xiàn)[24]設(shè)計了3種IFA-F攻擊對抗策略:基于接口公平性的令牌桶機(jī)制、基于內(nèi)容獲取成功率的興趣包接收機(jī)制和基于內(nèi)容獲取成功率的反向反饋機(jī)制。但上述對策均基于路由器接口來區(qū)分興趣包,而不區(qū)分同一接口的興趣包的不同名字前綴信息,這導(dǎo)致對與惡意興趣包從路由器同一接口進(jìn)入、具有不同名字前綴的合法興趣包準(zhǔn)入速率的錯誤壓制。Dai等[25]提出了一種興趣包回溯(Interest traceback)機(jī)制,通過偽造并回復(fù)惡意興趣包請求的數(shù)據(jù)包,使路由器待定興趣表中的非法條目因收到對應(yīng)數(shù)據(jù)包而得以被清空,并反向定位到接入路由器,從而在接入路由器入口處基于路由器接口粒度限制IFA-F惡意興趣包的準(zhǔn)入速率。然而,該機(jī)制僅基于待定興趣表占用率一項(xiàng)指標(biāo)來探測IFA-F攻擊,在突發(fā)網(wǎng)絡(luò)流量存在的情況下會造成較高的誤報率。Compagno等[26]提出了一種緩解興趣包泛洪攻擊的機(jī)制,即基于路由器不同接口處興趣包成功獲取到對應(yīng)內(nèi)容的概率值,調(diào)整路由器對應(yīng)接口的興趣包準(zhǔn)入速率來抑制IFA-F攻擊的危害,但其興趣包速率限制仍然基于路由器接口粒度,不同之處僅在于探測階段除了考慮興趣包內(nèi)容獲取成功率之外,還將路由器待定興趣表占用率作為IFA-F攻擊探測指標(biāo)。

上述對策均基于路由器待定興趣表占用率、待定興趣表中興趣包條目內(nèi)容獲取成功率中的一項(xiàng)或多項(xiàng)信息來進(jìn)行攻擊探測,且均不區(qū)分興趣包所攜帶的不同內(nèi)容名字前綴信息,而只基于路由器接口粒度限制惡意興趣包的準(zhǔn)入速率,容易造成對合法興趣包準(zhǔn)入速率的錯誤限制。

4. 3. 2 IFA-R攻擊對抗策略

目前,針對IFA-R攻擊的相關(guān)研宄文獻(xiàn)較少。

王凱[27]在其博士論文中對IFA-R攻擊及其對策進(jìn)行了深入研究,首次使用ndnSIM評估了IFAR的危害效果,并在此基礎(chǔ)上提出了一種基于探測周期內(nèi)路由器待定興趣表超時條目數(shù)量閾值和網(wǎng)絡(luò)接口數(shù)據(jù)流量閾值的“雙閾值”IFA-R攻擊探測方法:通過動態(tài)監(jiān)測路由器待定興趣表?xiàng)l目的超時速率以及早發(fā)現(xiàn)網(wǎng)絡(luò)流量異常情況,并通過比較路由器接口探測周期內(nèi)返回的數(shù)據(jù)最大流量與該接口對應(yīng)網(wǎng)絡(luò)鏈路限定帶寬之間的大小關(guān)系,以判定出實(shí)際擁塞鏈路,從而實(shí)現(xiàn)對IFA-R攻擊的探測,為內(nèi)容中心網(wǎng)絡(luò)采取必要的IFA-R攻擊防護(hù)措施提供前期預(yù)警。

丁錕[28]在分析IFA攻擊特征的基礎(chǔ)上,提出了分布式監(jiān)測機(jī)制,使數(shù)據(jù)包在網(wǎng)絡(luò)節(jié)點(diǎn)之間進(jìn)行傳輸時,能夠帶有最初網(wǎng)絡(luò)節(jié)點(diǎn)的標(biāo)識,以方便對興趣包泛洪攻擊的分布式特性進(jìn)行監(jiān)測;并提出重傳轉(zhuǎn)發(fā)機(jī)制來重傳因誤判而被丟棄的正常興趣包,從而保證正常包的傳輸。此外,唐建強(qiáng)[29]提出了基于前綴識別的興趣包泛洪攻擊防御方法,利用CCN中路由器維持的興趣包轉(zhuǎn)發(fā)狀態(tài)檢測興趣包泛洪攻擊,識別異常名稱前綴,并向相鄰節(jié)點(diǎn)發(fā)送異常名稱前綴,相鄰節(jié)點(diǎn)采用基于和式增加積式減少(Additive Increase Multiplicative Decrease,AIMD)的方法限制發(fā)送異常前綴興趣包。該方法可以準(zhǔn)確地識別異常名稱前綴,并快速抑制異常興趣包的傳輸,而不影響合法興趣包的速率,但是該方法計算開銷較大。

表2對比分析了幾種興趣包泛洪攻擊對抗方法。

表2 興趣包泛洪攻擊對抗方法對比Tab. 2 Comparison of the mitigating interest flooding attack schemes

由以上分析可知,當(dāng)前興趣包泛洪攻擊對抗方法主要是通過將PIT使用率、興趣包滿足率等與某一閾值進(jìn)行對比來檢測是否受到攻擊,并在此基礎(chǔ)上對興趣包轉(zhuǎn)發(fā)進(jìn)行限制。雖然現(xiàn)有方法能夠在一定程度上降低興趣包泛洪攻擊的影響,但是仍有許多問題沒有得到解決。例如:PIT使用率、興趣包滿足率等閾值的確定;現(xiàn)有對抗技術(shù)都是在攻擊已經(jīng)對網(wǎng)絡(luò)造成負(fù)面影響的情況下提出的,缺乏良好的預(yù)防措施。因此,還需要針對現(xiàn)在對抗技術(shù)的不足進(jìn)行深入研究。

5 總結(jié)與展望

內(nèi)容中心網(wǎng)絡(luò)作為一種“革命式”的未來互聯(lián)網(wǎng)設(shè)計思路,正成為下一代Internet體系結(jié)構(gòu)的研究熱點(diǎn)。內(nèi)容中心網(wǎng)絡(luò)直接依據(jù)內(nèi)容的名字完成信息的分發(fā)和獲取,支持內(nèi)容數(shù)據(jù)的泛在緩存,能夠有效提高網(wǎng)絡(luò)內(nèi)容的分發(fā)效率;網(wǎng)絡(luò)中傳輸?shù)呐d趣包/數(shù)據(jù)包不攜帶用戶的位置或身份信息,且數(shù)據(jù)包中含有驗(yàn)證信息,具有一定的安全優(yōu)勢。然而,內(nèi)容中心網(wǎng)絡(luò)仍面臨非授權(quán)接入、用戶隱私泄露和興趣包泛洪攻擊等安全問題。本文通過深入CCN網(wǎng)絡(luò)的工作原理,系統(tǒng)分析CCN面臨的安全風(fēng)險,并總結(jié)各種安全風(fēng)險的解決對策及其優(yōu)缺點(diǎn),從而為相關(guān)領(lǐng)域的研究人員提供參考和幫助。

盡管目前已有許多科研工作者對CCN中的安全問題進(jìn)行了研究,且取得許多有價值的研究成果,但仍存在一些未解決的問題需要進(jìn)一步地研究和完善。

(1)無線內(nèi)容中心網(wǎng)絡(luò)中的安全問題研究

隨著用戶終端和接入網(wǎng)絡(luò)的移動化、寬帶化,越來越多的用戶會采用無線終端獲取通信業(yè)務(wù),無線環(huán)境也必然成為CCN應(yīng)用的主要場景之一。由于無線網(wǎng)絡(luò)中的終端移動、信道動態(tài)變化等特點(diǎn),當(dāng)前有線CCN中安全問題的研究成果難以直接應(yīng)用到無線環(huán)境。如何針對無線CCN的特點(diǎn)和安全需求,研究保障安全、可靠、可控數(shù)據(jù)傳輸?shù)陌踩珜Σ呤切枰M(jìn)一步研究的問題之一。

(2)復(fù)雜網(wǎng)絡(luò)拓?fù)湎碌陌踩珕栴}研究

當(dāng)前研究主要是在簡單網(wǎng)絡(luò)拓?fù)湎逻M(jìn)行的,雖然簡單網(wǎng)絡(luò)拓?fù)湎碌姆治瞿Ｐ涂捎糜诖致缘胤治霭踩羲斐傻木W(wǎng)絡(luò)危害效果,但復(fù)雜網(wǎng)絡(luò)拓?fù)湎碌奈：Ψ治鰠s無法借助上述模型完成。因此,如何科學(xué)地建立復(fù)雜網(wǎng)絡(luò)拓?fù)湎碌母鞣N攻擊安全性分析模型,全面地分析各種攻擊的危害,是未來的研究方向之一。

(3)安全對策的原型實(shí)現(xiàn)和應(yīng)用

已有研究主要基于理論分析和網(wǎng)絡(luò)仿真方式,為進(jìn)一步驗(yàn)證各安全策略的有效性和實(shí)用性,需要搭建真實(shí)的網(wǎng)絡(luò)環(huán)境來測試各安全策略的性能。

參考文獻(xiàn):

[1] KOPONEN T,CHAWLA M,GON C,et al. A data-oriented(and beyond) network architecture[C] / / Proceedings of 2007 ACM SIGCOMM Conference. Kyoto, Japan: IEEE,2007:181-192.

[2] European Union. Project FP7 4WARD[EB/ OL]. [2015-08-20]. http:/ / www. 4ward-project. eu.

[3] European Union. Project PSIRP [EB/ OL]. [2015-08-20]. http:/ / www. psirp. org.

[4] JACOBSON V,SMETTERS D,THOMTON J,et al. Networking named content[C]/ / Proceedings of 2009 ACM 5th International Conference on Emerging Networking Experiments and Technologies. Rome,Italy:ACM,2009:1-12.

[5] 林濤,唐暉,侯自強(qiáng).內(nèi)容感知網(wǎng)絡(luò)架構(gòu)[J].中興通訊技術(shù),2011,14(2):7-9.

LIN Tao,TANG Hui,HOU Ziqiang. Content aware network architecture[J]. ZTE Technology Journal,2011,14 (2):7-9. (in Chinese)

[6] DETTI A,CAPONI A,TROPEA G. On the interplay among naming,content validity and caching in information centric networks[C] / / Proceedings of 2013 IEEE Global Communications Conference(Globecom). Atlanta,USA: IEEE,2013:2108-2113.

[7] BARI M,CHOWDHURY S,AHMED R. A survey of naming and routing in information-centric networks[J]. IEEE Communications Magazines,2012,50(12):44-53.

[8] WANG J,BENSAOU B. Progressive caching in CCN[C]/ / Proceeding of 2012 IEEE Global Communications Conference (Globecom). Anaheim,CA:IEEE,2012:2727-2732.

[9] TAMOI S,KUMWILAISAK W,JI Y. Optimal cooperative routing protocol based on prefix popularity for content centric networking[C] / / Proceedings of 2014 IEEE 39th Conference on Local Computer Networks(LCN). Edmonton,AB:IEEE,2014:414-417.

[10] KIM D,LEE J. CCN-based virtual private community for extended home media service[J]. IEEE Transactions on Consumer Electronics,2011,57(2):532-540.

[11] JEONG T, HONG J. Content - centric networking for telematics services[C] / / Proceedings of 2013 IEEE 4th International Conference on the Network of the Future (NOF). Pohang,Korea:IEEE,2013:1-3.

[12] 周自飛,譚小彬,牛玉坤,等.信息中心網(wǎng)絡(luò)中授權(quán)視頻訪問控制[J].電信科學(xué),2014(9):53-60.

ZHOU Zifei, TAN Xiaobin, NIU Yukun, et al. Access control for authorized viedo in information-centric networking[J]. Telecommunications Science,2014(9):53-60. (in Chinese)

[13] YI C,AFANASYEV A,MOISEENKO I,et al. A case for stateful forwarding plane [ J]. Computer Communications,2013,36(7):736-749.

[14] WIDJAJA I. Towards a flexible resource management system for content centric networking[C] / / Proceedings of 2012 IEEE International Conference on Communications. Ottawa,Canada:IEEE,2012:2634-2638.

[15] HAMDANE B, SERHROUCHNI A, FATMI S. Access control enforcement in named data networking[C] / / Proceedings of 8th International Conference for Internet Technology and Secured Transactions(ICITST). London:IEEE,2013:576-581.

[16] HAMDANE B,MSAHLI M,SERHROUCHNI A,et al. Data -based access control in named data networking[C]/ / Proceedings of 9th International Conference on Collaborative Computing: Networking, Applications and Worksharing. Austin,Texas,USA:IEEE,2013:531-536.

[17] LI Q,ZHANG X,ZHENG Q,et al. LIVE:lightweight integrity verification and content access control for named data networking[J]. IEEE Transactions on Information Forensics and Security,2015,10(2):308-320.

[18] WANG Y,XU M,FENG Z. Session-based access control in information-centric networks:design and analyses [C] / / Proceedings of 2014 IEEE International Performance Computing and Communications Conference(IPCCC). Austin,TX:IEEE,2014:1-8.

[19] Mixmaster protocol[EB/ OL]. [2015-08-20]. http:/ / www. abditum. com/ mixmaster-spec. txt.

[20] DANEZIS G,DINGLEDINE R,MATHEWSON N. Mixminion:design of a type iii anonymous remailer protocol[C]/ / Proceedings of the Symposium on Security and Privacy. Berkeley,CA,USA:Springer,2003:2-15.

[21] DIBENEDETTO S,GASTI P,TSUDIK G,et al. ANDaNA: anonymous named data networking application[C]/ / Proceedings of the Network and Distributed System Security Symposium. San Diego,USA:IEEE,2012:1-18.

[22] MOHAISEN A,ZHANG X,SCHUCHARD. Protection access privacy of cached contents in information centric networks[C] / / Proceedings the ACM SIGSAC Symposium on Information,Computer and Communications Security. Hangzhou:ACM,2013:173-178.

[23] 葛國棟,郭云飛,劉彩霞.內(nèi)容中心網(wǎng)絡(luò)中面向隱私保護(hù)的協(xié)作緩存策略[J].電子與信息學(xué)報,2015,37 (5):1220-1226.

GE Guodong,GUO Yunfei,LIU Caixia. A collaborative caching strategy for privacy protection in content centric networking [ J]. Journal of Electronics & Information Technology,2015,37(5) 1220-1226. (in Chinese)

[24] AFANASYEV A,MAHADEVAN R,MOISEENKO I. Interest flooding attack and countermeasures in named data networking[C] / / Proceedings of IFIP Networking 2013. New York,USA:IEEE,2013:1-9.

[25] DAI H,WANG Y,FAN J,et al. Mitigate DDoS attacks inNDN by interest traceback[C] / / Proceedings of 2013 IEEE Conference on Computer Communications Workshops(INFOCOM WKSHPS). Turin,Italy:IEEE,2013: 381-386.

[26] COMPAGNO A,CONTI M,GASTI P,et al. Poseidon: mitigating interest flooding DDoS attacks in named data networking[C] / / Proceedings of the 38th IEEE Conference on Local Computer Networks. Sydney,Australia: IEEE,2013:630-638.

[27] 王凱.內(nèi)容中心網(wǎng)絡(luò)興趣包泛洪攻擊對策研究[D].北京:北京交通大學(xué),2014.

WANG Kai. Research on countermeasures for interest flooding attacks in content-centric network[D]. Beijing: Beijing Jiaotong University,2014. (in Chinese)

[28] 丁錕.命名數(shù)據(jù)網(wǎng)絡(luò)中興趣包泛洪攻擊與防御對策的研究[D].北京:北京交通大學(xué),2015.

DING Kun. Research on the countermeasure of interest flooding attack in named data networking[D]. Beijing: Beijing Jiaotong University,2015. (in Chinese)

[29] 唐建強(qiáng),周華春,劉穎,等.內(nèi)容中心網(wǎng)絡(luò)下基于前綴識別的興趣包泛洪攻擊防御方法[J].電子與信息學(xué)報,2014,36(7):1735-1742.

TANG Jianqiang,ZHOU Huachun,LIU Ying,et al. Mitigating interest flooding attack based on prefix identification in content-centric networking[J]. Journal of Electronics & Information Technology,2014,36(7):1735-1742. (in Chinese)

霍躍華(1981—),男,山西晉中人,2007年獲碩士學(xué)位,現(xiàn)為工程師,主要研究方向?yàn)榫W(wǎng)絡(luò)通信、圖像識別;

HUO Yuehua was born in Jinzhong,Shanxi Province,in 1981. He received the M. S. degree in 2007. He is now an engineer. His research concerns network communication and image recognition.

Email:huoyh@ cumtb. edu. cn

劉銀龍(1981—),男,安徽宿州人,2011年獲博士學(xué)位,現(xiàn)為副研究員、碩士生導(dǎo)師,主要研究方向?yàn)槲磥砭W(wǎng)絡(luò)、無線通信和大數(shù)據(jù)。

LIU Yinlong was born in Suzhou,Anhui Province,in 1981. He received the Ph. D. degree in 2011. He is now an associate researcher and also the instructor of graduate students. His research concerns future network,wireless communication and big data.

Email:liuyinlong@ iie. ac. cn

Survey on Security Issues in Content-centric Networking

HUO Yuehua1,LIU Yinlong2
(1. Center of Modern Education Technology,China University of Mining & Technology(Beijing),Beijing 100083,China; 2. Institute of Information Engineering,Chinese Academy of Sciences,Beijing 100093,China)

Abstract:Content-Centric Networking(CCN) is a revolutionary network architecture which uses namedbased routing and in-network caching to improve the content distribution efficiency,but it faces many security problems because of the structural characteristics. Through researching the mechanism of CCN,this paper analyzes the security threats the system faces,such as unauthorized access,privacy leak and flooding attack,and then summarizes corresponding solutions and their respective advantages and disadvantages. Finally,it provides future research directions.

Key words:content-centric networking;security threats;access control;privacy-preserving;flooding attack

作者簡介:

中圖分類號:TN918

文獻(xiàn)標(biāo)志碼:A

文章編號:1001-893X(2016)02-0224-09

基金項(xiàng)目:國家自然科學(xué)基金資助項(xiàng)目(61303251)；中國科學(xué)院戰(zhàn)略性先導(dǎo)科技專項(xiàng)基金資助項(xiàng)目(XDA06010703)

*收稿日期:2015-09-23;修回日期:2015-12-31 Received date:2015-09-23;Revised date:2015-12-31