精华内容
下载资源
问答
  • IFIP系列出版了信息和通信科学和技术方面的最新成果。 本丛书的范围包括:计算机科学基础; 软件理论与实践; 教育;... 通信系统;... IFIP系列的主要目的是鼓励教育和关于计算所有方面的信息的传播和交换。
  • (NLP)自然语言处理是研究人与计算机之间用自然语言进行有效通信的各种理论和方法。 自然处理领域中:主题可以看成是词项概率分布。 主题模型自动分析每个文档,统计文档内词语,根据统计信息来断定当前...

    11.3.2018

    (NLP)自然语言处理是研究人与计算机之间用自然语言进行有效通信的各种理论和方法。

    自然处理领域中:主题可以看成是词项的概率分布。

    主题模型自动分析每个文档,统计文档内的词语,根据统计的信息来断定当前文档含有哪些主题,以及每个主题所占的比例各为多少。

    主题模型是对文字中隐含主题的一种建模方法。

    主题:主题就是一个概念、一个方面。它表现为一系列相关的词语,用数学语言描述:就是词汇表上词语的条件概率分布。语义关联度强的一些词定义了一个主题。

    词项:能够独立地充当语法成分的词。

    最初的Bag of words,也叫做“词袋”,在信息检索中,Bag of words model假定对于一个文本,忽略其词序和语法,句法,将其仅仅看做是一个词集合,或者说是词的一个组合,文本中每个词的出现都是独立的,不依赖于其他词是否出现,或者说当这篇文章的作者在任意一个位置选择一个词汇都不受前面句子的影响而独立选择的。

    自然语言处理中,主题可以看成是词项的概率分布。使用主体模型对文档的生成过程进行模拟,再通过参数估计得到各个主体。当以词袋(bag of words)形式表示文档时,其维度可能是数万,但是若指定主题模型的主题个数为K,通过主题模型的训练,最终形成了K个主题,则可以将词项空间中的文档变换到主题空间,得到文档新的表达。由于通常主题的个数K远小于词项的个数,常使用主题模型进行降维。

    隐性语义索引:Latent Semantic Idexing,译为隐性语义索引,也可译为潜在语义索引,简称LSI;隐性语义索引,是在信息检索领域提出来的一个概念,是近年来逐渐兴起的不同于关键词检索的搜索引擎解决方案,其通过海量文献找出词汇之间的关系,当两个词或一组词大量出现在同一个文档中时,这些词之间就可以被认为是语义相关。

    具体链接(有详细论述):

    https://blog.csdn.net/m0_37788308/article/details/78115313?locationNum=5&fps=1

    LDA(Latent Dirichlet Allocation)是一种文档主题生成模型,也称为一个三层贝叶斯概率模型,包含词、主题和文档三层结构。所谓生成模型,就是说,我们认为一篇文章的每个词都是通过“以一定概率选择了某个主题,并从这个主题中以一定概率选择某个词语”这样一个过程得到。

    期望最大化算法:最大期望算法(Expectation Maximization Algorithm,又译期望最大化算法),是一种迭代算法,用于含有隐变量(hidden variable)的概率参数模型的最大似然估计或极大后验概率估计。EM算法就是这样,假设我们估计知道A和B两个参数,在开始状态下二者都是未知的,并且知道了A的信息就可以得到B的信息,反过来知道了B也就得到了A。可以考虑首先赋予A某种初值,以此得到B的估计值,然后从B的当前值出发,重新估计A的取值,这个过程一直持续到收敛为止。

    展开全文
  • 针对这个话题或是课题的研究和相关的文章真是已经很多了,所以,我并不想从理论的方面来讲述这个问题,去百度或是各种资源库或期刊库里一下子就能找到一大堆讨论这个问题的论文,不过,很可惜的是那么多的论文却没有...

    针对这个话题或是课题的研究和相关的文章真是已经很多了,所以,我并不想从理论的方面来讲述这个问题,去百度或是各种资源库或期刊库里一下子就能找到一大堆讨论这个问题的论文,不过,很可惜的是那么多的论文却没有一个提到问题最关键的地方。

        组建LONWORKS网络时,如果节点间通信使用网络变量的话,则在网络建成时,需要使用各种可行的网络管理软件来对网络进行构建,即对节点关系进行定义,完成网络变量的绑定及相关的三表修改。

        但是,对于小型的网络来说,这一整套事情做下来不免觉得繁杂。所以总希望能有更简单易行的方法来实现要求不高的少量节点间的通信,而上文所说的 显式消息 就刚好能实现这种要求。

        使用显式消息其实很简单,拿例程说事,程序代码如下:

    void SendMessage(unsigned data[])
    {
      unsigned int i;
      if(msg_alloc())
      {
        for(i=0;i<RECV_SIZE;i++)
          msg_out.data[i]=data[i];
        msg_out.code=0;     //定义消息代码
        msg_out.tag=TAG_OUT;        //消息TAG
        msg_out.service=UNACKD;     //服务方式
        msg_out.dest_addr.no_address = BROADCAST;         //广播消息
        msg_out.dest_addr.bcast.type = BROADCAST;
        msg_out.dest_addr.bcast.domain=0;           //域地址
        msg_out.dest_addr.bcast.backlog=0;
        msg_out.dest_addr.snode.retry=0;
       
        msg_send();
      }
    }

        由以上的消息发送函数可知,NC已经提供给我们一个msg_out的对象,我们只需要使用这个对象来构造一个消息即可,然后使用内建的函数msg_send()即将消息发送。如果选择的发送地址为广播BROADCAST的话,那么该条消息将会在整个域内广播。

        消息的接收也很简单,使用消息接收事件即可,程序代码如下:

    when(msg_arrives)
    {
      unsigned int i,len;
      if(msg_in.code==0)
      {

    ///添加有用的代码

      }

    }

        如上所示,消息到达时,会发生一个msg_arrives事件,因为NC已经有一个内建的msg_in对象来接收网络上的消息。我们只需要判断一下接收到的消息的 消息码 即知是否我们所需要的消息。

        综上所述,整个过程并不复杂,但是事情的关键是,实现以上代码后并不能实现所要求的目的。关键原因在于节点处于非online状态时,消息是不能发送出去的(除了固件定义的)。因此,在节点Download程序时,还是需要使用网络工具对其下载程序,并配置为online状态。而不能使用Nodeload直接下载程序,使节点为offline状态。至于在应用程序里自己实现online并且configure状态是否也可以则不得而知,因为没有尝试,我可以提供一个应用程序配置的方法,读者有兴趣的话自己尝试一下。方法如下:

    extern system void _change_state(int state);

    #include <nm_ste.h>

    _change_state (CNFG_ONLINE);

        大家也许会说,这不还是得用到网络管理工具吗?不过,您可看好了,用显式消息只需要用网络工具把节点配置为online和configure的状态就好了,至于网络变量及网络是不用理会的。如果网络中有节点损坏,只需要再找一个有相同应用程序的节点放进来替换就好了。当然,这样的方式是需要用户自己定义通信协议的。

    展开全文
  • 关于通信技术著作与教材也是不可胜数。但是,目前国内还缺少专门介绍自适应信号处理在通信技术中应用、理论与实际相结合著作。现代通信技术飞速发展以及自适应信号处理在现代通信技术中重要地位,迫切需要...
  • 该研究还显示,图书馆员在使用ICT技术方面的表现非常低下。 还提出了以下建议: 应为图书馆员提供充分的信息和通信技术技能培训和再培训的规定,因为这将改变他们对信息技术使用的取向; 资金应由图书馆的资金提供...
  • 提出了以用户为中心、以系统为中心、混合量化等多种方法,并在对各种方法进行实验比对,明确其使用环境以及优缺点,在免除打扰用户和隐私保护等方面能达到比较好平衡性能,可以为将来普适计算中关于隐私自动防护...
  • 因为毕业论文关于jms和消息中间件方面的,所以最近一直在看相关方面的书和论文,但是仍有一些疑问,从一开始到现在一直都没解决,并且都是一些很基本的问题,如果这些根本问题不解决,我想在大方向上可能就会出现...
  • Turbo乘积码也有着较强的随机纠错性能,但目前关于其混合纠错能力方面的研究还较为少见. 在分析Turbo乘积码突发纠错能力的基础上,将突发错误参数对TPC纠正混合错误性能的影响进行仿真分析,并与相同码率、相同码长...
  • 在新系统和小工具实施和创新方面,世界正在高速发展。 3G和4G网络目前支持无线网络通信。 然而,由于解决了该问题,网络被认为是慢并且不能接收信号或向各个区域数据传输。 本文将分析5G(第五代)网络中软件...
  • (我现在主要在CSDN上整理计算机安全、软件工程(可信软件)、系统及通信方面的论文及相关理论书籍,如果对这方面内容感兴趣,可以访问:http://qysh123.download.csdn.net/ 查看我上传的所有资料。内容比较多,需要...
  • 高锟就光纤传输的前景发表了具有重大历史意义的论文,论文分析了玻璃纤维损耗大的主要原因,大胆地预言,只要能设法降低玻璃纤维的杂质,就有可能使光纤的损耗从每公里1000分贝降低到20分贝/公里,从而有可能用于...
  • 基于超级节点分布式系统中,若超级节点失效或临时离开,希望系统能够自组织地选举出能力最强节点作为新超级节点。提出分布式超级节点选举算法,...对算法性能从通信复杂度和时间复杂度两方面进行了分析和比较。
  • 与其他介绍第三代移动通信的专著不同是,本书把介绍重点放在第三代移动通信技术所涉及信令体系和实现方法方面。或者说,本书是从系统角度来描述第三代移动通信系统,而对其涉及到诸多算法并不作深入介绍...
  • 面向5GNFV和SDN安全

    千次阅读 2019-11-01 16:07:59
    最近网络信息安全要结课了老师让写一篇关于5G安全的论文,自己也是用了一段时间查阅了大量的文献,整理出来了这样的一篇文章,目前5G还没有落地没有真正的走进千家万户,关于5G、NFV、SDN安全的文章也是很少,这里...

    最近网络信息安全要结课了老师让写一篇关于5G安全的论文,自己也是用了一段时间查阅了大量的文献,整理出来了这样的一篇文章,目前5G还没有落地没有真正的走进千家万户,关于5G、NFV、SDN安全的文章也是很少,这里自己也是做一个总结,希望能够帮助到从事这方面研究和工作的朋友。

     

    摘要2019年是5G元年,意味着上一代通信技术将会慢慢脱离人们的视角,5G通信技术将会走入大众视野,为用户提供更好的通信、网络服务。网络安全一直以来是研究的热点,不论实在拨号上网的时代还是在4G通信时代网络安全一直是研究人员以及用户面对的一个难题。在NFV网络功能虚拟化)和SDN(软件定义网络)概念提出以前网络服务与网络硬件设备耦合度较高,网络服务的质量通常由网元决定,当网元节点受到大规模的攻击导致瘫痪的时候就无法提供正常的网络服务。而日益复杂的网络拓扑结构给企业对网络的维护带来了较大的管理难度,不仅要考虑高可复用性架构,还要考虑信息安全。5G网络是物联网的基础,势必会有大量的物联网节点接入5G网络。该文对5GNFV以及SDN的关系进行了研究,然后,提出了5G背景下的NFV信息安全的应对策略。

     

    关键字:NFVSDN5G;信息安全

     

    1. 引言

     

    今年6月,我国发放了四张5G商用牌照,标志着我国正式进入5G时代。5G网络除了具备高速率、低时延、高可靠性三大典型特征外,在网络架构方面也将发生重大变化。通信网络将支持很多新的特性,例如网络动态扩容、网络切片、能力开放等。这些新特性都得益于5G 网络中引入了一项新的技术: NFVNFV 5G 网络组网变得更加灵活,能够更好地支持不同垂直行业的接入,并满足不同行业用户差异化的服务质量需求[1]

        以5G网络的新兴业务为范例,如智慧城市和工业4.0,需求复杂,要求包括低延迟,多租户,高效的网络资源利用率,端到端通信的安全性以及自动化和快速的服务供应[2]。为了提供更好的服务势必要引入更为新潮的技术如NFV、SDN。

    NFVSDN是未来 5G 的关键技术[3]。所以在NFVSDN层的信息安全问题显得尤为重要,如何有效的拒绝网络攻击确保用户信息安全成为了研究的焦点。

     

    2   5G 安全需求

     

    5G 提供的丰富场景服务将实现人、物和网络的高度融合,全新的万物互联时代即将到来。但是,现实空间与网络空间的真正连接也将带来空前复杂的安全问题.各标准化组织和企业联盟达成的共识是,安全需求必须作为系统演进的一部分贯穿于整个 5G 系统的部署与技术更新中[4]

     

    2.1   延续4G的安全需求

     

    作为4G系统的延续,5G 首先应该至少提供与4G同等的安全性,这些基本的安全需求主要包括;

    (1)  用户和网络的双向认证;

    (2)  基于 USIM 卡的密钥管理;

    (3)  信令消息的机密性和完整性保护;

    (4)  用户数据的机密性保护;

    (5)  安全的可视性和可配置性。

    其次,还将在5G的部署过程中重新考虑一些在旧系统部署中被讨论过但未被采纳的安全性质,主要包括;

    (1)  防IMSI窃取的保护;

    (2)  用户数据的完整性保护;

    (3)  服务请求的不可否认性。

    最后,5G面对的设备种类不再单一,为不同的设备颁发一致的身份凭证也不现实,因此,5G还需要实现从以USIM卡为基础的单一身份管理方式到灵活多样的身份管理方式的过渡,以及对所涉及的身份凭证的产生、发放、撤销等整个生命周期内的管理。

     

    2.2   新技术驱动的安全需求

     

    除了提供传统通信系统的基本功能外,5G还提供一系列基于丰富场景和特殊需求的服务。为了以最有效的方式实现各种不同需求的服务,5G 需要全新的网络架构来进行网络资源的管理和控制。其中, NFV和SDN被认为是最有可能实现网络自动化管理以及网络资源虚拟化和网络控制集中化的技术。此外,云计算也被应用于5G网络中,用于实现按需的网络控制和定制化的客户服务。具体来说,NFV 技术的核心思想是;解除网络功能对特定硬件供应商的依赖关系,实现软件和硬件的独立,并根据需要实现网络功能的灵活部署。SDN 技术的核心思想是;将网络架构分离成应用、控制和转发的三层架构,以实现网络的集中管控和网络应用的可编程性。而云计算提供的分布式计算和虚拟化等特性则能够实现网络的高效计算和灵活部署。为了更好地实现对差异化服务的支持,5G网络需要基于NFV和 SDN将网络分割成多个虚拟的端到端网络,即网络切片,使得在不同网络切片内从设备到接入网再到核心网逻辑独立。每个切片按照业务场景的需要进行网络功能的定制剪裁和相应网络资源的编排管理,为特定类型的业务提供最佳的使用体验。

    因此,传统网络中依赖于物理设备隔离来提供安全保障的方式在5G网络中不再适用。5G必须考虑由NFV和SDN等新技术带来的基础设施安全问题,例如 NFV 中虚拟化管理层的安全问题、虚拟 SDN 控制网元和转发节点的安全隔离问题等,从而保障5G业务在虚拟化环境下的安全运行。

     

    2.3   垂直行业服务驱动的安全需求   

     

    垂直行业的应用将是5G发展的一个重要方向,不同的垂直行业对安全的需求差异极大,有些服务选择基于5G网络本身提供的安全保障,而有些服务则希望保留自身系统对安全的控制。在5G环境下,不同的安全需求很有可能作为一种服务,因而,安全即服务(security-as-a-service,简称 SECaaS)的架构必然会出现。所以,5G 网络应提供更加灵活的安全配置,允许运营商或者服务提供商在 5G 系统以外寻求独立的安全保障。此外,不同垂直行业之间的安全配置应保证一定的隔离,以防止服务资源在不同服务之间被非授权访问。

    随着垂直服务行业的兴起,我们的心情、健康水平、喜好以及其他更为隐私的信息将被精确地获取或者模糊地感知,个人隐私和关键数据的安全问题将会加剧。在 5G这样覆盖范围广的网络中,小的安全问题很有可能引起戏剧性的蝴蝶效应,所以 5G 还需要严格控制主要数据的获取、传输、存储和处理等各个环节的可访问性,制定周全的隐私保护策略,以保护用户的身份、位置、接入服务等不被泄露。

    此外,5G还需要建立自动化的安全监控和安全策略配置机制,以及时检测并防范未知的安全威胁,维护有效的安全保护策略,并根据网络状况和资源使用情况动态更新安全策略,始终保证为服务和应用提供最优的性能和用户体验。

    总之,提供灵活的安全策略、一定的安全隔离、全面的隐私保护和自动化的安全配置机制将是 5G安全应用于垂直服务行业的前提。因此,5G需要在传统接入安全、传输安全的基础上,考虑新技术驱动和垂直服务产业下灵活多变和个性化的服务安全,以实现不同利益群体在不同应用场景下的多级别安全保障。

     

    3  NFVSDN的关系

        NFV是一种用软件方式来实现传统硬件网络功能的技术其通过将网络功能与专有硬件分离旨在实现网络功能的高效配置和灵活部署减少网络功能部署产生的资金开销操作开销空间以及能源消耗SDN是一种新型的网络架构其通过解耦网络设备的控制平面和数据平面旨在实现灵活智能的网络流量控制作为两种独立的新兴网络技术SDN NFV之间存在着相互弥补互相促进的关系为了满足多样化的服务要求SDN数据层设备需要进行通用流量匹配和数据包转发SDN交换机的成本和复杂性随之增加另外目前SDN架构缺乏对异构SDN控制器间交互的支持使之无法提供灵活的跨自治域端对端服务SDN在数据层面和控制层面存在的软件网络架构和硬件网络设施之间的紧耦合限制了SDN更加广泛地应用目前仅在数据层面和控制层面的解耦已经无法有效地避免上述问题软件服务功能和硬件网络设施的进一步解耦才能使得SDN 得以更加广泛地应用因此SDN中使用NFV技术可以为SDN提供更加灵活的网络服务例如使用NFV技术实现虚拟化SDN控制器通过一致性接口实现异构虚拟SDN 控制器之间的交互使用NFV技术实现虚拟化 SDN 数据层面可以根据不同的服务要求实现灵活的流量匹配和数据包转发ETSI NFV 架构中NFV管理和编排层是整个NFV平台有序高效运行的保障NFV 平台动态网络环境中需要复杂的控制和管理机制来对虚拟资源和物理资源进行合理的分配和管理因此可编程 的网络控制不可或缺SDN结合MANO可以高效地控制网络流量转发NFV平台提供VNF之间的可编程网络连接以此来实现高效灵活的流量度[5]。

     

    图一 SDN与NFV关系图

     

    4   NFV和SDN在网络安全中的作用

    开放式分布式架构由几个组件组成,NFV和SDN作为主干。NFV是一种提供网络服务的创新方式,涉及将软件与硬件分离。SDN通过提供实施虚拟化网络服务链(VNS)的平台来平衡NFV。NFV和SDN都可用于简化安全流程和控制。例如,系统内置的功能可以帮助检测网络中的安全威胁,然后应用安全补丁来修复代码漏洞。

    由于NFV和SDN,开放式分布式体系结构可以比传统系统更好地支持加密等安全措施。加密是一种通过使文本难以理解的方式使数据保密的方法。作为一种安全工具,它提供机密性,身份验证,数据完整性和不可否认服务。使用NFV和SDN,可以在网络中的交换机上而不是在硬件设备上启动加密软件。这一功能在数据中心尤其有用,因为数据安全漏洞的报告似乎每个月都成为新闻头条。

    此外,通过开放的分布式架构,SDN控制器可实时提供网络的全局视图。这有助于识别和响应网络漏洞。此外,安全服务提供商可以通过配置大量防火墙,在网络星期一等在线业务流量高峰时制定快速对策。随着网络攻击的变化,这些类型的安全功能可以通过NFV和SDN轻松更新。

     

    5 NFV和SDN面临的安全问题

        因为NFV和SDN作为5G的基础,当前还没有大规模的商业化应用,所面临的安全问题我们也只能通过理论的层面来预测,既和传统的网络攻击类似,又区别于传统的网络攻击。详细见表一。

     

    NFV和SDN面临的攻击

    传统网络面临的攻击

    DoS攻击

    ARP攻击

    脚本攻击

    嗅探扫描

    硬件网元攻击

    虚拟网元攻击

    /

    虚拟机攻击

    /

    针对SDN的攻击

    /

    表一 NFV、SDN与传统网络攻击异同

    5.1 MFV面临的安全问题

    NFV技术为基础电信运营商带来组网和成本下降便利的同时,也会引入新的安全风险。NFV安全风险主要来自两个方面:一是传统网络安全风险,如DDoS攻击、路由安全策略等,这与传统的网络技术所面临的风险没有太大区别;二是由NFV自身技术特点引入的新的安全风险。NFV从架构上看,大致可以分成硬件资源层、虚拟管理层、虚机层、虚拟网元层以及编排管理层,每一层都会引入新的安全风险。

    在硬件资源层,由于缺少传统物理边界,存在安全能力短板效应(即平台整体安全能力受限于单个虚机安全能力)、数据跨域泄漏、密钥和网络配置等关键信息可能缺少足够的硬件防护措施等问题。在虚拟管理层,所有虚拟网元都具有非常高的读写权限,一旦被黑客攻陷,所有的虚拟网元就没有任何秘密可言,虚拟管理层也因此常常成为网络攻击的主要目标。在虚机层,主要存在虚机逃逸、虚机流量安全监控困难、问题虚机通过镜像文件快速扩散、敏感数据在虚机中保护难度大等问题。在虚拟网元层,主要存在虚拟网元间的通信容易被窃听、虚拟网元的调试和监测功能可能成为系统后门等风险。在编排管理层,由于该层主要负责对虚拟资源的编排和管理、虚拟网元的创建和生命周期管理,编排管理层被攻击后,将可能影响虚拟网元乃至整体网络的完整性和可用性。

    5.2 SDN面临的安全问题

    大多数SDN体系架构有三层:最底层是支持SDN功能的网络基础设施,中间层是具有网络核心控制权的SDN控制器,最上层包括SDN配置管理的应用程序和服务。尽管许多SDN架构相对较新,并且SDN仍处于早期探索的领域。但我们可以肯定,随着SDN技术的发展和更广泛地使用,它仍会成为攻击者的目标。

    我们可以预见几种针对SDN架构的攻击方法。SDN架构较为常见网络安全问题包括对SDN架构中各层的攻击。下面以图2为例,简要说明攻击者可能从哪些地方发起攻击。

      

    图二 SDN结构体系图

    5.2.1 数据层的攻击

    攻击者可能将来自网络本身的某个节点(例如,OF交换机,接入SDN交换机的主机)作为攻击目标。从理论上说,攻击者可以先获得未经网络访问的权限,然后尝试进行攻击运行状态不稳定的网络节点。这可能是一个拒绝服务攻击(Denial of Service , DoS),或者是对交换机等网络基础设施进行的Fuzzing攻击。

    有许多南向接口协议用于控制器与数据层的交换机进行通信。这些SDN南向接口协议可以采用OpenFlow、Open vSwitch交换机配置管理协议(Open vSwitch Database Management Protocol, OVSDB)、路径计算单元的通信协议(Path Computation Element Communication Protocol,PCEP)、路由系统接口协议(Interface to the Routing System ,I2RS)、BGP-LS、OpenStack Neutron、开放管理基础设施(Open Management Infrastructure,OMI)、Puppet、 Chef、Diameter、Radius、NETCONF、可扩展通讯和表示协议(Extensible Messaging and Presence Protocol,XMPP)、名址分离网络协议(Locator/ID Separation Protocol, LISP)、简单网络管理协议(Simple Network Management Protocol,SNMP)、CLI、嵌入式事件管理器(Embedded Event Manager, EEM)、Cisco onePK、ACI,Opflex等等。每个协议虽然都有自己的安全通信机制。但因为这些协议都非常新,所以并没有能够实现综合安全部署的方法。

    交换机与控制器之间的链路常常会成为DDoS攻击目标[6],攻击者也可以利用这些协议的特性在OF交换机中添加新的流表项,。之所以这么做,是因为攻击者试图将这些特定服务类型的数据流进行欺骗“拦截”,不允许其在网络中传输。攻击者有可能引入一个新的数据流,并且指导引入的数据流绕过防火墙,从而使攻击者取得数据流走向的控制权。攻击者也有可能利用这些能力来进行网络嗅探,甚至可能引发中间人攻击。

    攻击者可以通过在网络中嗅探得知哪些数据流正在流动,哪些数据流被允许在网络中传输。攻击者可以对OF交换机与控制器之间的南向接口通信进行嗅探,嗅探所获得的信息可用于再次发起攻击或进行简单的网络扫描探测。

    大多SDN系统部署在数据中心,并且数据中心会频繁的使用数据中心互联(Data Center Interconnect, DCI)协议。例如:使用GRE的网络虚拟化(Network Virtualization using GRE, NVGRE)、无状态传输通道(Stateless Transport Tunneling, STT)、虚拟可扩展LAN(Virtual Extensible LAN, VXLAN)、思科虚拟化覆盖传输(Overlay Transport Virtualization, OTV)、L2MP、TRILL-based、SPB等等。这些协议可能缺少加密和认证机制来保证数据包内容在传输过程中的安全。这些新的协议在设计之初或在满足供应商或客户需求实现这些协议的时候,不免有漏洞存在。攻击者可能目的很明确的创建一个具有欺骗性质的数据流,让其在DCI连接中传输,或者通过针对DCI连接发起一个拒绝服务攻击。

    5.2.2 控制层的攻击

    SDN控制器是个很明显的攻击目标。攻击者可能会为了不同的目的而把SDN控制器作为攻击目标。攻击者可能会向控制器发送伪装的南向/北向接口对话消息,如果控制器回复了攻击者发送的南向/北向接口对话消息,那么攻击者就有能力绕过控制器所部署的安全策略的检测。

    攻击者可能会向控制器发起DoS或其他方式的资源消耗攻击,使得控制器处理Packet In消息变得非常缓慢。甚至可能导致整个网络崩溃。

    SDN控制器通常运行在像Linux这样的操作系统上。如果控制器运行在通用操作系统上,那么操作系统中存在的漏洞将会成为控制器的安全漏洞。而控制器的启动和工作通常是使用默认密码并且没有任何其他安全配置。所以,SDN工程师通常很小心的工作,在生产配置过程中都不愿碰这些控制器,因为害怕搞坏如此脆弱的系统。

    最糟糕的情况是:攻击者部署自己的控制器,并且欺骗那些OF交换机,让它们误以为攻击者控制的“伪装”控制器为主控制器。随后,攻击者可以向OF交换机的流表中下发流表项。此时,SDN工程师部署的控制器对这些数据流没有访问控制权限。在这种情况下,攻击者拥有了网络控制的最高权限。

    5.2.3 应用层的攻击

    攻击北向接口协议的行为也可以看做是一种攻击的方法。这些北向接口都由控制器管理。这些北向接口可以通过Python、Java、C、REST、XML、JSON等方式进行数据封装。如果攻击者利用了这些公开且没有任何认证机制的北向接口,那么攻击者就可以通过控制器来控制SDN网络的通信,并且可以制定自己的“业务策略”。

    在现有几个较为著名的SDN开源项目中,他们将自己的北向接口通过REST API的形式向外暴露,并且这些北向接口所提供认证机制的较为少数。如果一个SDN系统部署时没有改善这种情况。那么攻击者就可以查询部署系统的配置,并且部署自己的网络设置。

     

    6 应对策略

    • 采用身份认证。

    确保所通信的网络实体、所调用的组件、所执行的代码等是合法可信的。实际上,ETSI提到加强NFV安全的一个重要举措就是引入可信计算。可信计算的一条重要原则就是身份认证。当可信计算发展到极致时,如计算机系统的每一次通信、调用或操作都需要校验,那对网络的信任要求就可以降低,甚至是“零信任”。

    二、是通信加密。

    身份认证可以防御仿冒攻击,但无法防御通信链路被窃听。通信加密可以弥补身份认证的不足,进一步提升系统的安全性。

    三、是异常行为检测。

    有时候,即使通信的对端是可信的,但对端也可能发送带有病毒的文件,从而使本端系统受到感染。对于这种情况只能通过异常行为检测来主动发现并防御了。通常来说,病毒激活后会有特定的行为模式,如修改注册表或不断复制自己等,可以利用病毒的这些行为特征,识别出特定病毒和攻击。

    四、基于切片的安全隔离。

    网络切片是5G的重要组件,它使得运营商可以根据不同的市场情景和丰富的需求定制网络,以提供最优的服务。一个网络切片是一系列为特定场景提供通信服务的网络功能的逻辑组合。网络切片本身是一种网络虚拟化技术,因此,不同切片的隔离是切片网络的基本要求。为了实现切片隔离,每个切片被预先配置一个切片ID,同时,符合网络规范条件的切片安全规则被存放于切片安全服务器(slice  security  server,简称 SSS)中,用户设备(user equipment,简称UE)在附着网络时需要提供切片ID,附着请求到达归属服务器(home subscriber server,简称HSS)时,由HSS根据SSS中对应切片的安全配置采取与该切片ID对应的安全措施,并选择对应的安全算法,再据此创建UE的认证矢量,该认证矢量的计算将绑定切片ID。通过以上步骤,来实现切片之间的安全隔离。保证NFV和SDN的安全。

     

     

     

     

     

     

     

     

     

     

     

     

    结论:

        DFV和SDN作为5G通信技术的网络架构底层,位于最基础也是最核心的环节,一旦发生安全问题后果将不堪设想,有效的预防DFV和SDN层的安全问题能够保证整个5G生态系统的安全性。

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    参考文献:

    [1]  吴宏建. 5G时代NFV面临安全新挑战[N]. 人民邮电,2019-10-15(006).

    [2] 2016 IEEE Conference on Network Function Virtualization and Software Defined Networks (NFV-SDN)

    [3] 冯登国,徐静,兰晓.5G移动通信网络安全研究[J].软件学报,2018,29(06):1813-1825.

    [4] 于建伟,张保华,于娟娟,卜忠贵.面向5G的NFV核心网演进方案研究[J].电信工程技术与标准化,2017,30(01);42-47.

    [5]  王进文,张晓丽,李琦,吴建平,江勇.网络功能虚拟化技术研究进展[J].计算机学报,2019,42(02)185-206.

    [6]  钱红燕,薛昊,陈鸣.UDM;基于NFV的防止DDoS攻击SDN控制器的机制[J].通信学报,2019,40(03)116-124.

     

    展开全文
  • 张亚勤先生有着传奇般的经历:12岁考入中国科技大学的首届少年班,19岁开始准备关于计算机通信方面的研究生毕业论文,23岁时以高水平的论文,获得电子工程博士学位,31岁成为IEEE最年轻的院士,34岁出任微软中国研究...

    近日,拜读了微软全球副总裁张亚勤先生的大作《变革中的思索》,感触很多。张亚勤先生有着传奇般的经历:12岁考入中国科技大学的首届少年班,19岁开始准备关于计算机通信方面的研究生毕业论文,23岁时以高水平的论文,获得电子工程博士学位,31岁成为IEEE最年轻的院士,34岁出任微软中国研究院院长兼首席科学家,38岁升任微软公司全球副总裁。抛开其个人极高的IQ因素,我认为从他的成功和对成长的诠释中有以下几点是很值得借鉴的,这也是李开复,唐骏等驰骋IT界多年的风云人物所闪现出来的共性。

    其一,对产业的洞察力。他对世界发展趋势的预见能力。还在上个世纪,他就以新“化”技术全球化产品多样化市场本地化以及服务个性化)的眼光看到了IT界的未来的方向:移动通信和嵌入式系统、互联网技术产品和服务、数字娱乐、服务器和工具。这一切在目前的发展中都得到了一一的印证,而且还将继续成为IT界未来的长期的发展方向。他在上个世纪80年代,在那个国人对计算机和通信技术几乎一无所知的年代就能有如此犀利的眼光并投身于数字多媒体和移动通信并成为该方面的顶级专家为他日后的光辉事业奠定了基础。

    其二,管理能力。不仅指管理别人也值自我管理,他总结出的个人在团队合作中获得成功的心得为:成功=IQ+EQ+Q,这里的阿Q是指有良好的心态,有平衡内心和外部世界的能力。在微软的选拔人才中,除了技术外,心态和幽默感也是很重要的参考因素。在他的管理团队中,他提出要避免三种人:第一种人是双面人,就是遇到不同的人说不同的话的人;第二种人是负面人,这些人总是在抱怨,总是觉得怀才不遇,这样的人一定要清除出团队; 第三种人是玩世不恭的人,这样的人总是很自负,一般都是相当聪明的人,但是这些人对什么也不喜欢,对什么也不痛恨。因此要想在以技术创新为主导企业中获得持续的发展,因此应该极力改正呈现出这三种性格的言行举止,当然这三种性格或许正是其他行业所需要的,不可一概而论。

    其三,简化问题的能力。书中提及盖茨简化问题的能力很强,他可以把很难的事情,很简单地帮你描述出来,或者是整合起来,能够用一句精练的语言将问题的实质提炼出来,张亚勤跟全球最顶尖的500个公司的CEO有不同程度的接触,发现他们虽然很不一样:有的人热情、奔放,有的人内敛,甚至有点害羞;有的人口才很好,有的人结巴,但这些领袖拥有的共性中,有一点就是简化抽象问题的能力。不可否认,这种能力是以需要对技术、产品及市场等综合因素有很深的认识为基础的,这种能力不是一蹴而就的,但是可以从日常小事中逐渐锻炼,比如描述事情时能够把握实质,言简意赅让对方明白,处理事情时干脆利落,不应将事情小事化大,简单的化为复杂的。

    其四,是一句老话“优秀是卓越的敌人,这是张亚勤经常挂在嘴上提醒自己和员工的,很有深意,能做到优秀的人多,但是能做到卓越的人就很少了,这需要持续的进取精神,不仅仅是技术上的修为,更是修心。

     

    展开全文
  • 极化码生成矩阵构造

    千次阅读 2017-03-25 21:47:12
    我只是初入通信方面的小白,请多多包涵。  编码原理在很多论文中都可以查到,再次不想多赘述,只想记录一下自己遇到的问题。  已知条件:BEC信道,且删除概率ε=0.5,uA=(1,1,0,1),polar码的表示为(8,4,A,...
  • (我现在主要在CSDN上整理计算机安全、软件工程(可信软件)、系统及通信方面的论文及相关理论书籍,如果对这方面内容感兴趣,可以访问:http://qysh123.download.csdn.net/ 查看我上传的所有资料。内容比较多,需要...
  •  另外,这也不是一篇高级专题技术论文,而是一本关于设计模式书,它描述了在面向对象软件设计过程中针对特定问题简洁而优雅解决方案。设计模式捕获了随时间进化与发展问题求解方法,因此它们并不是人们从...
  • 2015年校招求职之旅

    千次阅读 热门讨论 2015-10-29 11:58:30
    签好三方已经快一个月了,然后这个月忙着完善上学期还未写完的毕业论文的。说实话,我的求职之旅不是那么艰辛,更多的是纠结。...好在自己大学本科和研究生这几年,一直坚持着自学软件方面的知识,使得自己还
  • 他现在是美国普渡大学计算机科学系的教授,从事计算机网络和操作系统方面的教学和科研工作。  Douglas Comer博士是TCP/IP协议和因特网的国际公认专家。自20世纪70年代末、80年代初形成因特网以来,他就一直致力于...
  • 他现在是美国普渡大学计算机科学系的教授,从事计算机网络和操作系统方面的教学和科研工作。 目录 封面 -26 扉页 -25 版权 -24 国外经典教材.计算机科学与技术 编审委员会 -23 出版说明 -22 译者的话 -21 序一 -20 ...
  • 网络技术研究院拥有信息与通信工程、计算机科学与技术、软件工程3个一级学科,信息安全(自设)、密码学2个二级学科,同时支撑网络与交换技术国家重点实验室及CERNET建设与运行。 网研院由于其出色就业质量,...
  • java源码包---java 源码 大量 实例

    千次下载 热门讨论 2013-04-18 23:15:26
     关于数字签名:产生RSA密钥对(myKeyPair),得到RSA密钥对,产生Signature对象,对用私钥对信息(info)签名,用指定算法产生签名对象,用私钥初始化签名对象,将待签名数据传送给签名对象(须在初始化之后),用公钥...
  • 2.5 在处理数据讹误方面的改进 78 第3章 数据库管理 80 3.1 数据库自动化 80 3.1.1 自动内存管理 81 3.1.2 自动数据库维护任务 84 3.2 与闪回有关的新特性 89 3.2.1 Total Recall和闪回数据归档 89 3.2.2 ...
  • 关于数字签名:产生RSA密钥对(myKeyPair),得到RSA密钥对,产生Signature对象,对用私钥对信息(info)签名,用指定算法产生签名对象,用私钥初始化签名对象,将待签名数据传送给签名对象(须在初始化之后),用公钥...
  • JAVA上百实例源码以及开源项目

    千次下载 热门讨论 2016-01-03 17:37:40
     关于数字签名:产生RSA密钥对(myKeyPair),得到RSA密钥对,产生Signature对象,对用私钥对信息(info)签名,用指定算法产生签名对象,用私钥初始化签名对象,将待签名数据传送给签名对象(须在初始化之后),用公钥...
  • java源码包2

    千次下载 热门讨论 2013-04-20 11:28:17
     关于数字签名:产生RSA密钥对(myKeyPair),得到RSA密钥对,产生Signature对象,对用私钥对信息(info)签名,用指定算法产生签名对象,用私钥初始化签名对象,将待签名数据传送给签名对象(须在初始化之后),用公钥...
  • java源码包3

    千次下载 热门讨论 2013-04-20 11:30:13
     关于数字签名:产生RSA密钥对(myKeyPair),得到RSA密钥对,产生Signature对象,对用私钥对信息(info)签名,用指定算法产生签名对象,用私钥初始化签名对象,将待签名数据传送给签名对象(须在初始化之后),用公钥...
  • 关于数字签名:产生RSA密钥对(myKeyPair),得到RSA密钥对,产生Signature对象,对用私钥对信息(info)签名,用指定算法产生签名对象,用私钥初始化签名对象,将待签名数据传送给签名对象(须在初始化之后),用公钥...

空空如也

空空如也

1 2
收藏数 35
精华内容 14
关键字:

关于通信方面的论文