安全网络数据共享平台的研究和实现.pptVIP

安全网络数据共享平台的研究和实现 安全网络数据共享平台的研究和实现 学生：邵筱昕 导师：李星老师 指导教师：安常青老师 2006-04 目录 论文背景 体系结构设计 关键技术和算法 系统实现 系统测试和应用 总结（贡献和创新） 目录 论文背景 体系结构设计 关键技术和算法 系统实现 系统测试和应用 总结（贡献和创新） 论文背景-1论文动机目标 网络数据对网络设计、运行和管理至关重要 我们拥有教育网的海量资源 CERNET, 中国教育科研网 CERNET2, 世界最大的纯IPv6主干网 目标 搭建高速网络上的数据共享平台，向网络管理者/研究者提供及时、安全的网络数据 论文背景-2困难 数据包接收 有限的处理性能 数据存储 不断增长的存储压力 OC-48的链路每小时产生180GB的数据 (每包存储64B) 数据发布 多样的用户需求 多用户同时下载消耗大量带宽 网络数据涉及隐私 目录 论文背景 体系结构设计 关键技术和算法 系统实现 系统测试和应用 总结（贡献和创新） 系统总述 千兆处理能力 NP (网络处理器) 可编程，能够独立完成数据包的处理 8个微引擎并行计算，每个微引擎8个线程 流量抽样 t/T时间驱动抽样，缓解数据包处理压力（可选） 组播数据发布 NP直接发布已处理的数据 SANTT 本身无需存储任何数据 减轻数据下载的带宽消耗 IP地址随机化 分段快速Bit Stream based Scheme (BSS)算法 实时，前缀保持，加密 体系结构 客户主机 加入指定组播组，从中接收数据包 后期分析/研究 采集服务器 数据包采集预处理、IP随机化和组播发布 由NP子系统和Linux子系统组成 采集服务器-1Data path 采集服务器-2组播实现 组播发送 包长17×64B=0x0432B 组播包头: 固定长度64B、固定内容 (提前存储在DRAM内存中) 组播包payload: 16个处理完毕的64B的数据包头 数据出口的速率降至入口PPS的1/16 使用的网络协议 IP层：IPv4 传输层：UDP, 端口0x1216 目录 论文背景 体系结构设计 关键技术和算法 流量抽样算法 IP地址随机化 v6数据压缩存储算法（用户端） 系统实现 系统测试和应用 总结（贡献和创新） 流量抽样-1 1/N包驱动抽样 Packet serial, a packet as basic element Select one packet out of every N packets Estimation of original trace: ×N 1/T时间驱动抽样 Time serial, a 1-span time slot as basic element Select one packet out of every T 1-span time slots Estimation of original trace: hard to estimate t/T时间驱动抽样 Time serial, a t-span time slot as basic element Select all packets within a t-span time slot out of every T/t t-span time slots Estimation of original trace: ×T/t 流量抽样-2三种抽样算法的性能比较 结论 1/T效果最差 t/T和1/N其它方面效果相似，但t/T更适于做连续包信息的研究 流量抽样-3t/T时间驱动抽样的参数设置 误差构成 Bs Bs increases with the sampling granularity T/t Fix T/t according to required accuracy Bt (our focus) Caused by sub time slot t Given a granularity T/t, once t is decided, T is fixed 参数t的设置 t 必须大于平均包到达间隔 流量抽样也可用于组播组里客户主机的数据处理 IP地址随机化-1前缀保持 prefix-preserving 如果两个地址原来前k比特相同，则随机化后的两个结果的前k个比特仍旧相同 IP地址随机化-2按位处理的前缀保持随机化算法 Crypto-PAn a=a1a2…ai ? a’=a1’a2’…ai’, ai’=ai⊕ L(R(P(a1a2…ai-1),k)) 每个地址的每bit需进行一次复杂加密运算R 复杂度Ｏ(n) BSS (Bit Stream based Scheme) a=a1a2…ai ? a’=a1