可编程平台下标识网络访问控制机制设计与实现

作     者：刘沛岱 

作者单位：北京交通大学 

学位级别：硕士

导师姓名：苏伟

授予年度：2023年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：标识网络 基于属性的访问控制 可编程平台 软件定义网络 细粒度管理 

摘      要：标识网络作为一种新型网络架构,通过标识映射分离技术,为网络提供了安全性、移动性等保障。然而作为一种新型网络架构,标识网络的大规模部署存在困难。近年来,可编程数据平面技术的快速发展为标识网络的推广提供了条件,其协议无关转发的特性对于部署新型网络架构具有重要意义。然而,可编程平台同样为标识网络访问控制的实现带来了新的挑战:一是传统平台下标识网络使用接入交换路由器来存储策略并完成策略匹配与执行,而可编程交换设备难以实现上述功能;二是接入交换路由器与服务器之间通信方式发生改变,导致传统访问策略的交互方式难以应用。针对上述问题,本文基于可编程数据平面,提出了一种标识网络安全管控系统,利用身份标识的特性,将基于属性访问控制与标识网络结合在一起,实现对用户与服务的精细化管理。主要工作内容如下:首先,本文在对现有访问控制研究的基础之上,提出了一种适用于可编程平台的标识网络访问控制系统,从控制平面与数据平面出发,结合基于属性的访问控制模型将系统分为属性注册、请求处理、策略匹配、属性管理、流量分析与策略管理六个模块,利用属性来精细化描述用户、服务与访问策略的关系,从而实现对用户与服务的精准管理。其次,利用ONOS+P4技术实现了基于可编程平台的标识网络访问控制机制。利用可编程平台的流表机制来实现访问决策的本地存储,避免接入交换路由器多次查询决策造成资源浪费;通过ONOS应用完成对可编程交换机的管理,实现了对网络用户与服务资源的细粒度管控,并利用策略管理模块提升了系统的可扩展性;针对网络流量进行分析,识别出网络中具有恶意行为的用户并进行信任值惩罚,实现对用户的动态性管理;最后,搭建了可编程平台下的标识网络原型系统,并对该访问控制机制进行了功能与性能测试。功能测试结果表明,本文提出的访问控制系统能够满足标识网络的细粒度安全管控需求,保证了标识网络中用户和服务的安全访问;性能测试结果表明,利用流表本地化存储访问决策的设计不会对系统的通信时延造成较大影响。