基于汇聚树的CCN兴趣包研究
李 涛,吕立尧,贾庆民,张 晨,张钰雯
(1.紫金山实验室未来网络研究中心,江苏 南京 211111;
2.中国信息通信研究院,北京 100191)
随着互联网业务的蓬勃发展,目前TCP/IP网络架构已经越来越难以满足人们的需求,因此以信息为中心的网络通信模型,即CCN,成为备受关注的焦点[1]。在CCN中有三个数据结构,分别是待定请求表(Pending Interest Table,PIT)、内容缓存(Content Store,CS)、路由转发表(Forwarding Information Base,FIB)[2]。路由器收到兴趣包后,首先查找CS表,然后查找PIT表,最后查找FIB明细路由表,如果三个表都没有查找到就会泛洪该兴趣包[3],一般在如下情况会引起三个表都查不到的泛洪:(1)随着CS动态存储变化,引起FIB的实时动态更新,在此过程中由于路由同步时序问题某个时段概率性三个表都查找不到而泛洪该兴趣包;
(2)发起PIT泛洪攻击时,大多数情况下FIB明细路由是不存在的,此时就会按照最长路由匹配转发PIT请求而引起泛洪[4]。CCN设备发起泛洪在网络中查找可能有转发路由的邻接设备,从而达到尽可能将用户请求数据转发至源端来接收数据的目的[5]。因此,基于如上CCN网络兴趣包泛洪的特点,该文区分了有效泛洪和无效攻击报文泛洪两种类型,在现有的CCN基础上研究并设计了一种可配置的隧道路由机制,通过该机制实现了有效兴趣包的隧道转发和无效兴趣包的源端压制,保证了数据的可靠、安全传输。
在此背景下,针对兴趣包的优化研究主要分为如下几个方面:
(1)针对泛洪的防御攻击研究。
泛洪数据包给泛洪攻击提供了便利,目前针对PIT兴趣包的泛洪攻击主要分为攻击检测和攻击防御,针对此也提出了很多检测和防御的方式和方法。唐建强等人[6]提出使用AIMD算法限制带有异常内容名称前缀的兴趣包的转发;
经典的cooperative.Filter方案[7]要求所有网络设备都参与兴趣包泛洪防御的检测工作,同时各个设备同步网络告警信息,使得下游的网络节点可以及时感知攻击源,在靠近网络源点的位置进行防御;
Afanasyev等人[8]提出了基于端口流量限制的攻击防御方法;
Poseidon方案[9]将兴趣包满足率和PIT使用率结合来判断不同接口是否存在兴趣包泛洪攻击;文献[10]提出了一种基于信息熵的分析检测泛洪攻击的算法;
吴浔等[11]基于AIMD算法改进实现了对泛洪攻击的快速检测。
(2)针对兴趣包转发路径优化研究。
谢人超等人[12]提出了一种兴趣包转发方法,通过设置默认路径转发来解决兴趣包无路由丢失问题;
文献[13-15]研究了SDN、SR与CCN融合架构思想,兴趣包在SDN控制下按照分段路由隧道转发机制实现兴趣包的高效有序转发。以上研究中,兴趣包防泛洪攻击防御策略大多集中在对PIT占用率、过期条目、过期率、兴趣包满足率等指标进行分析,然后按照相应的阈值进行检测和防御;
甚至提出通过路由器对兴趣包进行签名验证来抑制兴趣包攻击[16]。这些研究对于兴趣包泛洪攻击具有一定的抑制作用,但是因为一些算法本身的问题,阈值设定的问题,使得防御攻击失真,同时签名认证也会带来用户信息的泄漏;
针对兴趣包转发路径优化研究中,对兴趣包转发路径提出了默认路径转发思想、SDN-SR转发路径思想等,对于兴趣包泛洪抑制及合理化传输有很大的带宽节省、资源合理有效使用的价值,但是目前相关研究存在很多问题,例如针对海量兴趣包攻击时,大量无效计算上送至SDN控制器,导致CPU的冲击和带外网络资源的浪费;
在分析各种研究的基础上,该文提出了一种CCN兴趣包隧道方案,即在传统CCN路由基础上,在转发面上增加了一棵或多棵负载汇聚树来应对兴趣包泛洪问题,即在目的节点-CP(Center Point)-源节点间建立一条或者若干条段式CPT(Center Point Tree)隧道树,CPT树上存在基于CP的FIB隧道路由,该路由可选取代FIB路由作为默认兴趣包CCN转发路由或者防攻击的目的分析节点路由,作为默认兴趣路由时,在设备上按照默认路由转发至CP节点,由CP节点负责转接源数据;
作为防攻击的目的节点路由时,在明细路由查找不到,按照最长匹配路由转发的同时,将其送到CP节点,在CP节点结合源注册数据进行泛洪攻击的计算,并将计算结果通过CPT树通知源端进行防御。基于该机制,解决了兴趣包泛洪带来的带宽消耗问题、泛洪攻击带来的安全问题、兴趣包丢弃引起的用户体验问题,增强了工程实用性。该方案相较于经典的cooperative.Filter等方案,将其防御方案只局限在CPT树上设备进行,不需要所有设备参与,有效地减少了网络冗余负载;
同时利用兴趣报文的选项机制由用户自定义的灵活的CP选举机制,相较于SDN兴趣包的路径优化方案,有效节省了大量的告警信息汇总和计算。最后基于该机制给出基于CPT树作为默认路由情况下的仿真结果和分析。
本研究引入CP节点解决兴趣包泛洪问题,因为CP节点的引入,基于现有的CCN路由对整个路由寻址体系进行重构。兴趣包引入CP节点作为兴趣包的终节点,CP节点收到兴趣路由后,生成注册兴趣PIT路由,即生成请求端到CP的一棵PIT转发树,待FIB路由通告完成后,FIB路由反向刷新CP上的注册PIT表,触发PIT表按照FIB进行源路由器转发,沿途生成CP到源的PIT转发树;
两张PIT转发树以CP为中心,组成一张完整的CPT转发树,完成兴趣包的投递和数据的传输,同时基于灵活选择的集中CP节点可以完成策略控制、PIT泛洪攻击防御计算等功能。因此重构CCN路由机制,在兴趣报文中增加如下选项:
(1)注册选项:分为注册报文、去注册报文选项;
其中源注册报文选项功能为告知添加CP源端的路由;
去源注册报文选项:告知删除CP源端的路由。
(2)CP选项:分为CP转发选项、CP上送选项;
其中转发选项功能为告知CP该报文由CP转发;
CP上送选项功能为告知CP检测路由的合法性。
2.1 CP选举机制
用户根据网络设备位置、性能、容量指标,选择并配置一个主CP、一个或者多个候选CP作为路由的选择依据,对应的Prefix路由如下标识:/cp-prefix/time/compute/capability,即将CP的创建时间、算力、容量大小纳入路由中,每一个CP按照如上格式形成一条命名路由,利用OSPFN的OLSA扩散出去,因此在每一台设备上形成命名路由的FIB表,每一台路由器并不知道哪一个是主CP哪个是候选CP,因此每台设备基于相同的算法计算主CP,目前计算规则为:time>compute>capability,对于计算胜出的路由,下发转发面并且标记为CP路由,主CP路由下转发表,根据硬件的支持情况选择候选CP路由是否下发以支持快切;
主CP路由就作为默认路由。同时每一台路由器也可选定制相应的路由策略,来区别选择主CP。通过策略控制,可以将数据从负载过重的CPT隧道上迁移到负载较轻的CPT隧道上,保证数据的有效和及时传输。表1为Prefix路由表,每一台设备收到该表后,进行CP选举计算,胜出者作为CP路由下发转发面。
表1 CP路由表
2.2 源端注册机制
基于传统的路由机制,例如OSPFN,CP节点作为CCN网络的保护汇聚点,需要快速感知源路由的有效性,但是FIB通告存在如下问题:
(1)在源路由组装LSA发布之后,因为LSA的路由同步较慢,CP节点无法快速感知路由。
(2)OSPF考虑路由的聚合性,其发布的路由多为聚合路由,CP节点对于明细路由无法感知。
(3)CP节点收到恶意攻击的路由,无法进行有效区分,如果一直忙等FIB路由通告容易造成攻击的泛洪。
基于如上问题,研究设计了一种机制保证源明细路由快速传递到CP汇聚点上,命名为源注册路由机制。该机制在源端CCN网关上按照源到CP的单向路由发起源路由注册,注册路由为点到点单向兴趣包路由,在沿途按照源节点到CP的FIB转发即可。CP端收到注册路由后,形成一个源注册路由表,该路由标识该源信息的有效性。源注册路由表格式如图1所示。
其中将CP Prefix作为兴趣报文的头,选项中增加了源注册和去源注册选项,标识为注册报文,在兴趣报文后携带相应的源数据的prefix的URL压缩信息;
整个报文作为注册报文封装为兴趣报文格式传输至CP端。
源路由注册过程如下:
(1)配置的CP会生成如图2所示的CP为目的Prefix的FIB路由。
(2)源端数据到达第一跳路由器后,组装兴趣包,目的地址为CP的Prefix路由;
内含源端各个明细路由的TLV明细url表。
(3)沿途路由器检查发现目的为CP知名目的地址,按照CP的Prefix路由转发即可,并按照CCN默认路由,生成PIT路由。
(4)数据到达CP节点后,CP去掉CP兴趣包头,解析生成源请求路由URL的明细FIB表;
如图2所示在CP节点生成的Re-Prefix注册路由,其中出接口标记为注册口。
(5)CP节点向源节点回复内容消息,该消息按照源注册生成的PIT路由回复,为注册停止消息。其格式如图3所示。
其中CP_Prefix标识为注册的回复消息,选项中增加了reg-stop宏,标识为注册停止消息。内容选项为随机值即可。源节点收到注册回复消息后,标识该源注册兴趣报文正确接收,继续发送下一个压缩源明细注册路由。
2.3 慢采样机制
采样机制为请求端第一跳路由器采用的算法。该机制通过采样兴趣报文发送,保证对采样周期内兴趣包进行抑制的方法来防止无效兴趣包的泛洪。
一般请求端收到CP节点传送的首次无源注册路由的兴趣报文后启动采样机制,采样报文的无源注册路由每一次回复,采样周期相应的指数增加。例如,请求端设备启动采样周期为50 ms的prefix1报文发送至CP节点,CP节点判断该报文无明细注册路由后,回复数据请求端路由无效信息,请求端收到后,将采样周期设置翻倍进行采样,以此类推。
图4所示为采样机制在先无源注册路由后有源注册路由机制下的基本流程。
(1)CP节点收到PIT请求,检查源注册明细路由情况,发现无源注册路由,回复采样抑制。
(2)请求端收到采样抑制后,启动采样定时器;
然后请求端采样定时器到期后,如果有PIT请求,继续发送该请求。
(3)CP收到请求后,发现仍然没有源注册明细路由,继续回复采样抑制消息。
(4)接收端收到后,将采样抑制定时器扩大2倍后,启动采样定时器;
采样定时器到期后,继续发送PIT请求。
(5)CP端收到PIT请求,发现有源注册路由了,回复消息。请求端收到后,删除抑制定时器,正常转发该PIT请求。
由于慢采样指数增长的压制机制,对于10次以上无源路由注册情况下PIT请求,将达到1 000倍以上指数增长的压制效率,实现无效兴趣报文的第一跳压制。
2.4 请求端路由机制
源路由机制保证了源明细路由在CP节点的汇聚。请求端路由机制则是将请求兴趣路由发送至CP节点上,基于该节点完成数据的策略处理和转发。如图5所示,该机制的基本流程如下:
(1)请求端发起一个url1明细路由请求;
R1收到该PIT请求后有三种情况按照CPT树转发:检查发现无FIB路由,则增加CP转发选项将其转入CPT树中;
检查发现策略路由需要传入CPT树中完成攻击检查,增加CP上送选项,可选增加CP转发选项送入CPT树中;
检查配置的门限策略,检测发现疑似攻击报文,需要传入CPT树中进行准确性校验,增加CP上送选项送入CPT树中。
(2)R1组装PIT报文,请求Prefix为url1,请求接口为interest接口,在图1所示兴趣报文中增加携带CP选项。
(3)R2收到报文,发现是CP选项兴趣报文,按照CP默认路由进行转发,并生成相应的PIT路由。
(4)R3收到后,发现自己为CP节点,检查R3的注册路由,如果没有注册路由,转步骤5;
如果有注册路由,转步骤6。
(5)开启Dead定时器,该定时器标识路由的有效性和合法性,用户自定义配置Dead时间。Dead定时器到期后,无源注册路由,或者无源前缀路由,则认为是攻击报文,通知请求端采样注册机制抑制该请求报文相应的前缀路由,随着采样注册无有效源路由应答,则请求端采样定时器越来越大,从而从请求端抑制无效兴趣报文的泛洪。具体流程见慢采样机制。
(6)PIT路由标识为有效路由,等待FIB路由通告后,PIT路由则按照FIB路由生成CP到源端PIT请求路由。
2.5 CPT树生成
CPT树为以CP为根节点,整个网络节点为叶子的一棵CCN网络的隧道树,整个数据在CPT树中传输由源注册节点完成注册为前提,由兴趣报文向CP节点发起请求开始生成,由FIB通告结束为终节点,完成兴趣请求在CPT隧道中的传输。该机制以兴趣包的PIT路由在CPT隧道传输的同时,在CP节点完成路由的合法性校验和防攻击检查。
CPT树PIT表项如图5所示,Prefix为请求明细路由,Req-Faces为PIT的请求接口,流程如下:
(1)请求端到CP汇聚路由的生成,请求端与CP节点按照CPT转发树生成请求PIT路由。图5中以R3作为CP节点,R1作为请求端,见请求端路由机制章节,R1-R2-R3生成以CP路由为请求目的的PIT路由。
(2)源端到CP的FIB路由下发:源端按照OSPF相应的LSA扩散,形成了一条源端与CP的路由表;
如图R5-R4-R3形成一张URL的最短匹配路由表。
(3)CP到源端PIT路由的下发:如果CP先收到请求端的PIT路由后,等待源端FIB路由通告后完成CP到源端PIT请求树的建立;
如果CP先收到源端FIB路由通告,需要完成FIB路由对PIT路由的反刷动作;
最终建立CP到源端PIT请求树。
(4)注册路由检查:等待FIB刷新后,源注册路由完成与FIB路由前缀的父子关系确定,即FIB路由的前缀路由与注册的URL明细路由组成父子关系,例如:URL=/bupt.edu.cn/texts/docs/_v3,FIB路由Prefix:/bupt.edu.cn,双方以/bupt.edu.cn为父亲,后缀/bupt.edu.cn/texts/docs/_v3为子。父子关系确定后基于FIB聚合路由重新生成FIB出接口。
(5)源端数据传输:源端收到CP传送过来的兴趣包后,触发数据源沿着CPT树上的PIT表进行转发,一直送至请求端,数据传输完成后,按照CCN协议删除传输的PIT路由即可。
(6)防御策略的生成:基于完整的CPT树机制,在CP节点上,开放相应的OAM策略,完成用户自定义防御策略配置的下发。对于配置防御策略的CP节点,需要所有明细源注册路由以完成兴趣包攻击的最长路由匹配。
基于如上机制,形成一条以CP端为中心的,请求端到CP端的PIT路由,CP端到源端的PIT路由,两段路由按照时序性依次生成,完成后将组成完整的CPT兴趣路由。数据内容数据按照CPT树PIT路由回复即可。基于该CPT树完成正常兴趣包的传输和异常报文的防御策略。
(1)仿真环境。
在本仿真中采用了CICN开源环境,基于CPT树机制,如图6所示,R1-R2-R3-R4为CPT树,R3为配置的CP节点,CP节点缓存数量为2w条PIT路由。验证了如下两种场景:路由震荡情况下兴趣包泛洪抑制效果;
无效兴趣包攻击抑制效果。
图7、图8模拟了在路由震荡情况下PIT兴趣包丢包率、带宽消耗的优化前后对比情况。图9模拟了无效兴趣包攻击情况下通过下一跳设备的PIT表项数量来验证慢采样机制的有效性。
(2)丢包率比较。
如图7所示,路由部分:构造2w条FIB路由,外加2w条背景路由,其中现有FIB路由随机选取20%路由进行震荡;
兴趣包部分:每秒发送5k个查找FIB路由的PIT请求报文;
定时器部分:为了更直观观察丢包率,将PIT老化定时器设置为100 ms;
基于如上的构造在采用CPT树机制前后随着时间变化的丢包率对比仿真。显而易见,采用CPT树兴趣包缓存机制后丢包率明显低于未优化前的,并达到预期效果。优化后因为通过CP缓存,等待FIB下发后继续转发,基本实现了完全不丢包;
但是随着兴趣包数量越大,CP节点缓存满了,相对的丢包率就会略有升高,因此在实际部署时,CP的选择尤为重要。
(3)带宽消耗比较。
图8中,路由部分与兴趣包部分的设置与图7环境相同,定时器部分:将PIT老化定时器设置为默认值;
如拓扑图中首跳R1存在3条泛洪链路出口,本仿真统计R1-R5链路带宽。由图可见,优化后的带宽消耗指标优于优化前的,并且随着兴趣包数量的增加,发现优化前后消耗带宽差距变大。
(4)PIT表项对比。
图9中,场景是每秒1w个随机无效明细路由兴趣包持续攻击下,测试下一跳路由器R5的PIT表数量。在采用CPT慢采样机制压制情况下,可以看到R5的PIT数量在3秒后呈现指数级的压制,随着时间延长,攻击表项下降明显。
该文提出的汇聚树的CCN兴趣包隧道机制,在路由震荡、兴趣报文泛洪攻击的场景下,通过预先建立CPT转发树,在进行相应防御的基础上来保证兴趣包的有效传输;
针对CPT树流量负载采样情况,提出多候选CP,保证主CPT树切换为备选CPT树,解决流量过载问题;
根据无效报文攻击问题,提出了慢采样机制,在无效源注册路由情况下,可以实现指数级PIT压制,极大降低无效兴趣报文的攻击;
考虑了路由扩散的延迟性、动荡性、明细路由的有效性等特点,提出了源注册机制,保证了源路由合法性。仿真表明,在丢包率、带宽消耗、抑制动态无效兴趣报文攻击方面,采用该机制实现明显优于未采用前,是一种可行方案。但是该方案也存在CP选举点问题、CPT树负载问题等,将在后续的项目中持续进行研究和改进。