一種動態多路徑冗余的網絡傳輸架構的研究

周 荃 吳承榮

(復旦大學計算機科學技術學院 上海 200082)

0 引 言

傳統網絡架構具有靜態性、被動性和同構性，而網絡空間的攻防博弈目前仍然屬于“攻強守弱”的現狀，隨著網絡空間防御理論和技術的發展，若干力圖“改變游戲規則”的主動防御機制和研究被提出，如移動目標防御和擬態空間防御。

1 研究背景

移動目標防御技術[1]旨在通關過增加信息系統或網絡設備中內在的動態性、隨機性和主動性以應對外部攻擊，通過改變系統和網絡的靜態性、確定性和同構性，試圖使攻擊方對目標系統或網絡的認知優勢或掌握的可利用資源在時間和空間上無法持續有效，從而顯著增加攻擊成本。

移動目標防御技術可落在網絡、平臺、運行環境、軟件和數據等多個層面，具體技術包括地址跳變、端口跳變、動態路由和IP地址安全協議信道、網絡和主機身份隨機化、執行代碼的隨機化、地址空間隨機化、指令集和隨機化、數據存儲形式的隨機化等。其中動態網絡的基本思路也是通過動態的修改網絡屬性來增加攻擊者的成本。在網絡中，攻擊者通過偵察獲得網絡的相關屬性，例如網絡地址、端口號、協議和邏輯拓撲等，進而發動網絡攻擊。增加目標對象的認知難度，不斷地改變網絡的屬性，阻止或干擾攻擊者的偵察和攻擊行為，防止其挖掘目標對象漏洞。

近年來，由中國學者提出的擬態空間防御[2]中，通過為系統添加動態、異構、冗余等特性來提升安全性和可靠性，利用系統的并聯模型，使用多個功能等價的異構執行體，并配套冗余邏輯協調多個執行體同步運行，最終利用多模裁決機制對所有輸出向量進行驗證。清洗、重啟或重構異常執行體，甚至重建并行執行體組合。擬態空間防御試圖實現基于負反饋的網絡安全態勢感知和主動防御機制，提升系統的容錯和容侵能力，提高系統的可用性和魯棒性。

在分布式存儲系統中，為應對意外錯誤和保障數據完整性，采用數據冗余編碼技術對數據文件進行存儲。分布式存儲中通過引入糾刪碼[3]來實現最小化存儲開銷。糾刪碼是一種向前糾錯技術[4]，其基本思想是將k塊原始的數據塊經過編碼處理，得到m塊冗余元素(校驗塊)。對于這k+m塊的數據元素，當其中任意的m塊元素出錯時，均可以通過重構算法恢復出k塊原始數據，這種特性的糾刪碼也被稱為最大距離可分碼[5]。糾刪碼主要應用于存儲系統中用以提高存儲可靠性。

2 國內外研究現狀

在網絡數據傳輸的安全方面，現有的研究工作主要集中在地址跳變、端口跳變、網絡資源標識隨機化等領域。

在網絡數據傳輸安全方面，現有的研究工作主要集中在地址跳變、端口跳變、資源標識隨機化等方面。在文獻中已經提出了一些動態改變IP地址用于主動網絡空間防御的研究。文獻[6]提出了APOD(Application That Participate in Their Own Defense)方案，使用基于地址和端口隨機化的跳躍隧道來對網絡嗅探者進行身份偽裝。文獻[7]提出了一種網絡地址空間隨機化方案，稱為NASR(Network Address Space Randomization)，提供了一種可以抵御蠕蟲的IP跳變方法。DyNAT[8]提出了一種透明的IP地址跳變方法，通過在分組進入核心或公共網絡之前變化IP地址，以便隱藏IP地址從而免中間人嗅探攻擊。文獻[9]提出了一種在不可信網絡中增強通信數據保護的新機制。該方法基于網絡地址跳變的原理，從而在多個端到端連接上傳播數據流。

其他論文提出了如何提供一定的安全能力的各種MTD研究。文獻[10]開發了OpenFlow隨機主機突變(OF-RHM)方案，該方案使用OpenFlow協議的SDN控制器向主機高效地分配不同的地址并防止掃描。文獻[11]在評估系統的安全狀態后，嘗試量化系統中MTD策略的有效性，并基于降低開銷和成本優化MTD策略。這些策略包括內存隨機化、IP地址隨機化，以及為協議應用一種新的具有隨機的附加狀態的狀態機，如DHCP協議。文獻[12]引入了隨機路由突變(RRM)的概念，定義了可以實現源和目標之間的最優路徑隨機化的算法。文獻[13]運用博弈論對敵方行為進行建模，并優化MTD效果。然后應用到應對DoS攻擊和垃圾郵件中。最近，文獻[14]提出了一種P2P(Peer-to-Peer)匿名文件共享，通過隱藏用戶的真實身份，可以在用戶和外部世界之間路由信息。文獻[15]利用傳統的TCP協議提出了一種TCP流分割移動目標防御方案，并在應用層設計了一個流分割移動目標防御機制，使網絡系統對攻擊者來說是變化的、不確定的。

3 系統設計

結合上述技術的思想，本文提出了一種動態冗余多路徑的網絡傳輸架構，一種基于態勢感知的移動目標防御理念的網絡傳輸機制。將RS碼(Reed-solomon codes)的特點并應用于傳輸數據文件，將原始文件劃分為k個數據塊，對其進行編碼處理產生m個冗余編碼塊。總計k+m個文件塊由多個獨立的數據連接傳輸，在接收端對原始數據文件進行解碼和恢復。若出現小于m個數據連接出現異常，接收端仍然可以根據剩余的文件塊還原原始數據文件，同時根據各數據流的傳輸狀態來評估當前網絡安全狀況，并將結果發送給連接控制器，通過IP地址跳變和服務端口跳變等移動目標防御技術，重構異常的數據流。若出現大于m個數據流異常，導致數據文件傳輸失敗，傳輸架構則根據網絡安全態勢重新選擇參數，并發起重傳。

動態冗余多路徑傳輸架構用于防止數據文件在傳輸過程中被惡意阻斷、干擾甚至被篡改，它具備基于哈希值驗證內容和數據流狀態監測的反饋機制，能夠感知當前的網絡安全態勢，在必要的時候，主動地改變可能被攻擊者偵察到的數據流。該傳輸架構的結構如圖1所示。

圖1 動態冗余多路徑傳輸架構

3.1 威脅模型

在我們的威脅模型中，假設攻擊者是架設在公共網絡中竊聽者，可以定位和截獲當前網絡中的多個數據流，但是持有有限的攻擊和緩存資源。而通信雙方使用動態多路徑冗余傳輸架構傳輸數據文件D,所以攻擊者的主要目標是最大限度地監聽和收集信息，并且盡可能地識別來自本傳輸架構的數據流，從而實施干擾和攻擊。攻擊者的最終目標是精確性阻斷數據文件D的傳輸。由于傳輸架構所使用的移動目標防御技術能夠很好地隱藏IP地址、端口號等服務入口信息，因此我們假定攻擊者只能使用隨機截獲-全部干擾的攻擊方法作為初始策略并發起攻擊。

與之對應，本架構的防御模型著重于避免足夠數量的數據流被截獲并被識別，保證文件的傳輸成功率和數據完整性。防御模型試圖使攻擊者僅能夠實現對數據文件的概率性阻斷。此外，由于數據冗余機制的存在，盡管當攻擊者阻塞或干擾了有限數量的數據流時，接收方也可以完全恢復數據文件。它給網絡提供了一定的容錯和容侵能力。我們還假設動態多路徑冗余傳輸的技術原理對于攻擊者是已知的，只是傳輸控制的具體參數對于攻擊者而言是未知的。

在公共網絡中，我們考慮采用基于HTTP協議的應用層來實現動態多路徑冗余傳輸。如圖2所示，傳輸雙方通過瀏覽器代理和服務器代理來處理傳輸細節，包括數據塊分割、冗余編碼塊的生成、多地址映射、多TCP鏈路的建立和管理、以及后續的傳輸控制等。因此，體系結構在HTTP應用層的實現，能做到主機層面的透明化。此外，當傳輸文件較大時，服務器代理首先將文件分割成多個小文件，然后獨立地傳輸每個小文件。由于多個小文件的傳輸采用相同的方式，并且彼此獨立，因此在本文的工作中，我們只考慮一個小數據文件的傳輸。

圖2 威脅模型

3.2 系統結構

動態多路徑冗余傳輸提供了實現多路徑冗余MTD技術方案的框架，同時確保所實現的解決方案與總體安全策略保持一致。它是一個面向HTTP應用的數據文件安全可靠傳輸的體系架構。并且它遵循對主機和路由設備透明的設計原則，通過瀏覽器代理和服務器代理執行一系列操作。

如圖3所示，系統架構主要由瀏覽器部分和服務器部分組成。該體系結構中使用的通信代理在數據文件傳輸中增加了冗余性、動態性、多樣性和隨機性，瀏覽器代理和服務器代理成對出現，共同協作實現網絡傳輸的主動防御功能。

圖3 動態多路徑冗余傳輸的系統架構

瀏覽器代理在瀏覽器的主機上運行，包含響應處理器、解碼控制器、連接控制器和瀏覽器端多數據流集。

響應處理器負責接收來自瀏覽器的HTTP請求，并在HTTP請求中變遷瀏覽器主機IP地址，然后將請求發送給服務器代理。此外，響應處理器還負責從服務器代理中的請求處理器接收來自Web服務器的HTTP響應。

瀏覽器代理中的連接控制器負責從本次配置文件讀取傳輸參數，包括冗余度參數ρ和數據流總數n，并與服務器代理中的連接控制器建立控制連接，用以進行傳輸參數的協商和同步。通過控制連接可實現瀏覽器代理與服務器代理之間建立n個數據連接。連接控制器還負責傳輸結束后評估每個數據流的安全狀態，在需要時使用控制連接與服務器代理協商重構錯誤的數據流或發起重傳請求。

解碼控制器負責根據解碼規則還原數據文件，并進行內容哈希值驗證以檢測數據完整性，統計數據流是否丟失并檢測數據是否被篡改。如果數據文件被正確還原，則將文件發送到瀏覽器，如果數據文件不能正確還原，則通知瀏覽器代理中的連接控制器。

服務器代理作為傳輸的另一端，由請求處理器、編碼控制器、連接控制器和服務器端多路徑數據流集組成。

請求處理器負責將HTTP請求傳送至服務器，將數據文件發送給編碼控制器并將HTTP響應發送給瀏覽器代理。

編碼控制器從連接控制器獲得傳輸參數ρ和n，計算編碼所需參數，將傳輸數據文件切分成數據塊，并使用RS冗余編碼技術生成編碼塊，將所有的數據塊和編碼塊分發給多個數據連接。

服務器代理中的連接控制器從控制連接中獲得傳輸參數ρ和n，然后與瀏覽器代理建立多個數據連接。此外，連接控制器負責調度多個數據流并在需要時執行MTD動作，即重建連接、跳變IP地址或重新啟動新的數據流。在數據文件傳輸失敗的情況下，與瀏覽器代理中的連接控制器協同進行重傳。

3.3 技術細節

完成一次數據文件傳輸和控制的整個過程如下：

1) 瀏覽器代理具有IP地址池P，Web服務器代理具有的IP地址池P′。IP地址池可以根據需要更新和清洗，所以我們不考慮在IP地址池的變化。

2) HTTP請求并建立控制連接。瀏覽器通過DNS服務器獲取Web服務器的IP地址，并向Web服務器發送一個常規的HTTP請求。當請求通過瀏覽器代理時，響應處理器將瀏覽器的IP地址進行跳變以隱藏主機的身份，通過服務器代理中的請求處理器將HTTP請求發送到Web服務器，并使用虛擬IP與服務器代理及建立一個控制連接。

3) 同步協商參數。服務器代理與瀏覽器代理使用控制連接傳遞傳輸所需的參數，在服務器代理的編碼控制器中根據式(1)、式(2)計算k和m的值。

(1)

m=n-k

(2)

4) HTTP響應與數據文件。Web服務器將HTTP響應和數據文件發送給請求處理器。后續的所有操作將由服務器代理完成。請求處理器將數據文件發送到編碼控制器，并將HTTP響應發送到瀏覽器代理中的響應處理器。

5) 建立多個數據連接。前面已經提到，在本文中，動態多路徑冗余傳輸采用了控制-傳輸分離的理念，即使用獨立的控制連接來協商參數和傳遞控制信息(如服務器代理的虛擬IP等)，并以此建立多個數據連接用于傳輸。當讀取到傳輸參數n后，瀏覽器代理的連接控制器從IP池申請n個新的IP:Port元組，分別與服務器代理的虛擬IP建立TCP連接，并以此基礎上進行HTTP傳輸。

6) 數據文件編碼。原數據文件被平均切分成k個數據塊，然后使用RS碼計算生成m個編碼塊。輸入數據被視為向量D=(D1，D2,…，Dk)，編碼數據被視為向量(D1，D2，…，Dk，C1，C2,…，Cm)，RS編碼如圖4所示，左側是編碼矩陣，上部分是k階單位矩陣，下部分是m行k行范德蒙德矩陣。

圖4 RS編碼過程

7) 在所有數據塊和編碼塊中插入哈希值。請求處理器會計算數據文件內容的哈希值，并放置在每個數據塊和編碼塊的HTTP響應頭的ETag字段中。

8) 傳輸所有文件塊。

9) 在瀏覽器代理上，我們在本地維護了一個映射表，用于存儲每個數據流的當前IP地址和對應于每個連接的文件塊的序列號。此外，我們為數據流定義了三種傳輸狀態，即安全的(Secure)、丟失的(Lost)和被篡改的(Tampered)。在傳輸結束后，每個連接的安全狀態在映射表中被標記，如表1所示。同樣，在服務器代理上，我們也維護了一個映射表，用于存儲IP地址和文件塊編號，以及每條數據流是否需要重建(Rebuild)，如表2所示。

表1 瀏覽器代理映射表

表2 服務器代理映射表

10) 瀏覽器代理緩存n個連接中的所有文件塊，讀取HTTP頭部和內容，根據接收到的塊數，判斷是否有數據塊丟失。瀏覽器代理保存所有的頭部哈希值。考慮到可能的篡改攻擊，我們容忍不一致哈希值的存在。

11) 當沒有文件塊丟失時，瀏覽器代理直接基于向量D=(D1，D2,…，Dk)還原數據文件，并跳到步驟13。否則，當傳輸過程中丟失數據塊或編碼塊時，我們大概率出現數據流被惡意阻斷，此時瀏覽器代理中的連接控制器標記數據流的狀態為丟失，并統計缺失文件塊的數量，標記為參數m′。當滿足關系m′≤m時，跳到步驟12。否則跳轉到2.4節，我們將在2.4節中討論重傳。

12) 數據文件解碼。解碼處理器隨機選擇k個未丟失的文件塊，依次遍歷編碼矩陣的前n行，取出與選擇塊序號相對應k行，生成k×k的矩陣B′，并計算矩陣B大的逆矩陣B′-1。使用矩陣B′-1與k個選擇塊進行矩陣乘法運算，其結果就是原始數據塊的矩陣。圖5展示了參數n=8和ρ=1.6的解碼的例子。

DBt-1Survivors

B′DSurvivors

圖5 RS解碼過程示例

13) 數據完整性驗證。瀏覽器代理將使用相同的單向函數來計算數據文件內容的哈希值，并與收到的文件塊頭部中的哈希值進行匹配。如果存在正確匹配的哈希值，則說明數據文件被成功傳輸，瀏覽器代理將文件發送到瀏覽器，并跳轉到第14步。如果沒有正確的哈希值匹配，那么此時有兩種可能的情況：一是所有的文件快頭部的哈希值均被篡改；二是存在數據塊或用于解碼的文件塊的內容被篡改，導致最終還原的數據文件的哈希值與頭部哈希值不一致。在這兩種情況下，由于所有文件塊使用不同的數據流進行傳輸，協同的篡改所有數據流的難度明顯高于篡改任意一個或若干個數據流，因此我們認為第二種情況的概率比第一種情況大得多。此時，解碼處理器將設置計數器i，重新選擇k個數據流的文件塊進行重解碼，并重新進行哈希值匹配。當解碼循環的次數大于i時仍然無法正確還原數據文件，則跳出解碼循環，并通知連接控制器請求重傳。

14) 重建錯誤數據流。當文件被成功還原并傳輸到瀏覽器后，如果存在與狀態標記為丟失或篡改的數據連接，我們將使用控制連接重新構建傳輸連接的數據流。重建數據流由瀏覽器代理端的連接控制器發起，首先根據映射表找到待重建連接的服務端IP，通知服務器代理進行地址跳變并將最新的虛擬IP地址發送給瀏覽器代理。隨后瀏覽器代理起用一個新的虛擬IP地址與之建立新的傳輸數據連接。

3.4 請求重傳

當數據文件的傳輸過程中，出現大于m個數據流異常、或經過多次重解碼操作，仍然無法正確匹配哈希值，此時，由瀏覽器代理的連接控制器向服務器代理發起重傳請求。

在重傳中，由瀏覽器代理調整傳輸參數并告知服務器代理，并以此重新建立數據連接。服務器代理則根據新選擇的編碼參數對數據文件進行重新分塊和編碼，隨后重復2.3節中的步驟7-14。值得一提的是，由于主機透明的設計原則，整個重傳過程對于服務器和瀏覽器而言是未知的。

在重傳過程中的參數選擇方面，如果僅增加m的值且保持k值不變，與先前的傳輸過程相比，則需要更多的編碼塊來滿足冗余度的提升，這將帶來更大的編碼復雜度，但是它不會帶來額外的解碼成本。此外，需要建立更多的數據連接。相反，如果只增加k值而保持m的值不改變，則冗余度降低，與上一次傳輸相比，重傳將帶來更多的建立連接的開銷，并且將帶來更多的解碼復雜度，而不會顯著影響編碼復雜度。綜上所述，當重傳時，同時增加k和m的值，將帶來更大的編碼和解碼復雜度，以及建立更多連接所需的更大開銷。

4 理論分析

我們將從兩個方向對動態多路徑冗余傳輸架構的安全性進行理論分析。首先，我們討論了攻擊者可能的攻擊模式，分析攻擊策略和預期收益，并給出相應的概率表達式。其次，作為防御方，傳輸架構會根據所有連接的狀態對攻擊者的行為進行判斷，及時使用MTD策略以應對潛在威脅，若遇到傳輸失敗的情況，選擇參數調整的方向進行重傳。

由于移動目標防御技術，即地址-端口號跳變技術的使用，能夠有效保證傳輸架構的服務入口等基本信息對于攻擊者而言是未知而隨機變化的。因此在理論上，使用動態多路徑冗余傳輸，能夠有效防御傳統的惡意嗅探、竊聽、中間人攻擊和重放攻擊，因為這些攻擊行為都是基于掃描攻擊而發起的。

在威脅模型中，我們假設攻擊者持有緩存資源有限，試圖攔截甚至識別屬于本傳輸架構的數據流，并實施干擾，例如篡改或阻塞。攻擊者的最終目標是準確地阻斷數據文件的傳輸。因此，對于數據傳輸過程，攻擊者可以采取以下攻擊模式：1) 阻斷模式，丟棄傳輸文件塊以阻斷數據流；2) 頭部篡改模式，篡改數據流文件塊的頭部哈希值；3) 內容篡改模式，篡改文件塊的數據內容；4) 組合攻擊模式。在威脅模型中，我們假設攻擊者在攻擊的初始階段只能使用隨機截獲-全部干擾的攻擊策略。

接下來，我們將分析在傳輸過程的幾種可能的攻擊模式和防御策略。

4.1 阻斷攻擊模式

在這種攻擊模式下，攻擊者將使用所有資源截獲網絡中的數據流，并直接丟棄所有數據包。這種攻擊成本最低，但預期收益最小。假設當前時間網絡中的數據流的總數是N，攻擊者每次可以截獲的數據流的數量是M，那么其中包括x條來自本傳輸架構的概率為：

(3)

當x=m+1時，攻擊者便可以成功阻斷本次數據文件的傳輸，此時的概率表達式為：

(4)

另一方面，瀏覽器代理會發現數據流的文件塊丟失，如果不影響原始數據文件的恢復，則在解碼操作后對流失文件塊的數據流進行重建。如果數據流被阻斷的數量大于m，無法恢復數據文件，則啟動重傳機制。

在這種情況下，當執行重傳時，瀏覽器代理將增加數據塊k的數量，保持編碼塊m的數量不變，并重新計算n和ρ的值。重傳時便可以在保持編碼復雜度不變的前提下，為傳輸提供更多的數據流數量，提高傳輸成功率。

4.2 頭部篡改模式

在這種攻擊模式下，攻擊者通過篡改截獲到的所有數據流中文件塊頭部中的ETag字段的值，試圖協同地篡改數據文件的哈希值，導致瀏覽器代理出現哈希值匹配錯誤，然后進入解碼循環，最終導致文件重傳。

由于動態多路徑冗余傳輸架構的特性，在這種攻擊模式下，若攻擊者試圖迫使瀏覽器代理發起重傳則必然同時截獲到瀏覽器代理與服務器代理間的所有數據流，并實施協同一致的篡改。假設當前時間網絡中的數據流的總數是N，攻擊者每次可以篡改文件塊頭部的數據流數量是N′，那么攻擊成功的概率可表達為：

(5)

首先，對于攻擊者來說，相對于丟棄和阻斷數據流，篡改HTTP響應頭部字段的成本較高，因為ETag字段在響應報頭中的作用只是控制緩存資源，不一定是響應主體的哈希值，所以這個字段的內容不具備較高的辨識度。其次，在攻擊者在這種模式下所能獲得的預期收益最小，成功觸發重傳的概率遠低于阻斷攻擊模式。因此，對于任何理性攻擊者而言，我們認為這種攻擊模式不被使用。

4.3 內容篡改模式

在分布式存儲系統中，由于糾刪碼不具備容忍數據被惡意篡改的能力，因此在本文的動態多路徑冗余傳輸體系結構中，篡改數據流中的HTTP響應體的內容是可行的攻擊方法。

在這種攻擊模式下，攻擊者主要關注篡改數據內容，若該數據流中的文件塊被解碼控制器用于還原數據文件。將導致發生哈希值匹配錯誤，并迫瀏覽器代理進入解碼循環，直到最后觸發重傳機制。

根據式(3)，假設攻擊者每次可以篡改內容的數據流的總數是M′， 那么其中包括x條來自本傳輸架構的概率為：

(6)

根據式(6)，當傳輸雙方之間被篡改的數據流數量為x，且存在篡改后的數據流中的文件塊被用于解碼操作的情況下，將會觸發解碼控制器的重解碼操作，此時的概率可表示為：

P(R-DECODE-T)x=

(7)

若不考慮解碼循環的次數限制i，理論上攻擊者通過這種攻擊模式迫使瀏覽器代理觸發重傳的概率為：

P(R-TRANS-T)x≥m≤

(8)

在重傳時，瀏覽器代理會提高m的值以增加編碼塊的數量，并保持k值不變，計算新的傳輸參數。相對于上一次傳輸，通過提高冗余度來提高傳輸成功率，且維持解碼復雜度保持不變，有利于解碼循環操作，提升傳輸效率。

4.4 組合攻擊模式

若攻擊者投入一部分資源來阻斷數據流，并使用另一部分資源篡改數據流的內容。那么在瀏覽器代理上，由于存在數據流丟失，因此必須使用解碼操作來還原數據文件。另外，由于某些數據流的文件塊內容被篡改，且被用于解碼，便會觸發哈希值匹配錯誤，從而強制解碼循環甚至觸發重傳。當攻擊者無法得知傳輸架構的IP地址和端口等服務入口信息時，這種攻擊模式能夠最大化地干擾數據文件的傳輸。

我們假設攻擊者持有的攻擊資源總量為R，阻塞數據流的資源單位成本為r，篡改數據流內容的資源單位成本是α×r。此外，我們假設在組合攻擊模式下，攻擊者可以阻斷M0條數據流，同時篡改M0′條數據流的內容。可知：

R=r×M=α×r×M′=r×M0+α×r×M0′

根據式(3)和式(6)，可得：

(9)

(10)

因此可推導出攻擊者迫使解碼控制器進行重解碼的概率為：

P(R-DECODE-C)x1,x2≥1=

(11)

因此，若不考慮解碼循環的限制，攻擊者使用組合式攻擊模式時迫使瀏覽器代理觸發重傳的概率可以表示為：

P(RE-TRANS-C)x1+x2≥m≤

P(RE-TRANS-C)x1+x2=m,x2>1=

(12)

在重傳時，瀏覽器代理會傾向于同時增加冗余度和數據塊的數量，即同時增加m和k的值，并重新計算傳輸參數n和ρ，試圖確保文件在重傳后能夠成功傳輸。

5 實驗分析

我們將設計一系列實驗來測試和評估動態多路徑冗余傳輸技術的功能和性能。

5.1 功能驗證和評估

虛擬網絡拓撲如圖6所示。在網絡N1中有若干主機，瀏覽器代理在主機H1本地運行，N2由若干Web服務器和服務器代理組成。兩個網絡之間通過路由器R1進行通信，攻擊者架設于公共網絡中，監聽路由器R1的部分端口，盡可能多地截獲數據流，并實施干擾和攻擊。

圖6 實驗評估模型

我們選擇Linux Ubuntu 16.04作為操作系統，MININET 2.2.1實現虛擬網絡拓撲，引入SDN控制器POX對虛擬路由器的攻擊進行模擬。在網絡N1中，我們有一個100主機節點，使用N1H1作為瀏覽器主機并在其上運行瀏覽器代理程序。在網絡N2中，我們選擇主機N2H1作為服務器代理節點并運行服務器代理，N2H1通過路由器R2與每個服務器主機通信。我們使用Server1作為服務器節點，Nginx1.1.3的服務器版本，監聽端口127.0.0.1:80，并存儲數據文件D。

在N1中，所有主機連續地以隨機頻率向Server1發送數據請求。每個主機累積地執行100個請求操作。在這里，我們使用POX控制器來控制R1的轉發操作，隨機中斷40%的數據流。

我們設計了四個不同參數的實驗組。對照組設為n=1和ρ=1，也就是采用現有的基于IP地址跳變的單數據流移動目標防御傳輸技術。通過三輪實驗，統計各實驗組傳輸成功次數，計算平均傳輸成功率。

實驗結果見表3所示，可以看出，與基于IP地址跳變的單數據動態傳輸相比，動態多路徑冗余傳輸架構可以提高數據文件傳輸的可靠性和安全性26.67%～40.67%，具備較高的容錯能力。

表3 動態多路徑冗余傳輸架構的實驗結果

值得一提的是，在這里我們并沒有強調控制連接的安全性，而控制連接主要作用于參數協商和傳輸數據連接的建立和重建，因此便假定控制連接是絕對安全的。另外，我們也假設服務器代理與服務器之間的通信也是安全的。在實際場景中，由于HTTP具有持久連接特性，因此一段時間內的數據傳輸以數據流的形式出現，由于攻擊者無法準確獲得主機的實際IP地址，因此無需考慮攻擊者針對HTTP請求發起阻塞和干擾。

5.2 性能開銷評估

我們將設計另一系列的實驗來分析動態多路徑冗余傳輸架構帶來的性能開銷。包括三個方面：一是服務器代理處理數據文件的請求和操作時間；二是瀏覽器代理的操作時間；三是數據流的建立和數據文件的傳輸時間。文獻[16]和文獻[17]評估了RS碼的編碼和譯碼性能隨文件大小的變化函數。

我們實現了一個原型系統來進行性能分析。實驗模型如圖6所示，需要兩臺計算機。其中一個被命名為N1H1并運行瀏覽器和瀏覽器代理程序。另一個是在阿里云租用的N2H1虛擬機，運行服務器代理程序。這兩臺計算機具有相同的配置，并使用Ubuntu 16.04操作系統。處理器是英特爾I7-77，3.60 GHz，6 GB RAM。

我們通過測試相同的網站并統計實驗數據，http://www.fudan.edu.cn/2016/index.html。我們分別使用動態多路徑冗余傳輸文件和直接使用瀏覽器下載文件。在使用動態多路徑冗余傳輸的情況下，我們選擇了不同的傳輸參數組合進行測試。其中在一組實驗中使用POX從路由器隨機丟棄一部分數據流，從而觸發瀏覽器代理的解碼過程。每組實驗重復100次，計算平均傳輸時間。實驗結果如圖7所示，我們發現使用動態多路徑冗余確實帶來了一些開銷，例如，當n=6時，大約占總時間的5.18%～14.15%。考慮到安全性能的提升，我們認為這部分開銷是可以接受的。

圖7 動態多路徑冗余傳輸的性能開銷

在本文的工作中，我們選擇使用范德蒙德矩陣的RS碼來對數據文件進行編碼處理以提供傳輸冗余性。目前已有許多研究試圖提高RS碼的性能，文獻[18]中提出了基于先前解碼的RS分組的輸出信息對RS碼進行解碼的新方案，并在選擇最佳預測深度(DoP)時獲得最大的性能。文獻[19]根據RS碼的特性，提出了一種改進的塊連續打包(BSP)交織算法，該算法結合RS碼等技術，提高了數字水印對突發錯誤的魯棒性。

6 結 語

我們提出一個動態多路徑冗余傳輸架構。通過實驗評估，可以看出該傳輸技術在HTTP應用中能夠有效提升傳輸可靠性和安全性26%～40%，而只帶來約5%～14%的額外傳輸時間。雖然會有一些開銷，但開銷是可以接受的。未來的研究將圍繞以下三個方面展開：進一步優化編碼方法以降低傳輸開銷、優化架構機制以提升控制連接安全性、引用更加前沿的移動目標防御技術以降低IP資源的占用。