《面向網路虛擬化的網路層可信身份驗證機制研究》是依託武漢大學,由余發江擔任項目負責人的面上項目。
基本介紹
- 中文名:面向網路虛擬化的網路層可信身份驗證機制研究
- 項目類別:面上項目
- 項目負責人:余發江
- 依託單位:武漢大學
項目摘要,結題摘要,
項目摘要
在現有網際網路架構下,網路中間設備無法在網路層對數據包源主機、用戶進行身份驗證,導致大量網路安全事故發生,且追溯定位極為困難。現有機制偏重於在目標主機、套用層、網路接入時進行身份驗證。本項目擬建立一種網路層可信身份驗證機制,中間節點可檢查數據包是否由可信的主機和用戶所傳送。在這種機制里,用可信平台模組TPM身份密鑰和eID來標識主機、用戶身份;源主機只需與目標主機在套用層執行基於簽名的身份驗證和MAC密鑰協商,基於該密鑰產生廣播同態MAC,作為身份證明信息,不用與每箇中間節點進行密鑰協商、為每箇中間節點生成一個MAC值;該機制支持IP分片,中間節點對所獲取的部分證明信息進行組合,基於源主機所給予的授權碼,即可完成身份認證。本項目擬基於SDN控制器和OpenFlow交換機實現中間節點網路層身份驗證,這些網路虛擬化技術將數據與控制相分離,易在現有網際網路架構上演進發展,給網路安全帶來了新思路。
結題摘要
在現有網際網路架構下,網路中間設備無法在網路層對數據包源主機、用戶進行身份驗證,導致大量網路安全事故發生,且追溯定位極為困難。現有機制偏重於在目標主機、套用層、網路接入時進行身份驗證。本項目試圖建立一種網路層可信身份驗證機制,中間節點可檢查數據包是否由可信的主機和用戶所傳送。本項目面向虛擬網路,在OpenVSwitch上開展工作。虛擬化網路主要基於伺服器及數據中心,本項目提出了一種基於BMC的伺服器可信啟動與信任傳遞方案、一種基於BMC的伺服器硬體可信性保護方法。在物理伺服器及其系統可信的基礎上,本項目提出了一種虛擬TPM動態信任擴展方法,以滿足雲計算、網路虛擬化等場景下虛擬機頻繁遷移的需求,讓每個虛擬機擁有自己專屬的TPM,且將對物理TPM的信任擴展到虛擬TPM上。有了虛擬TPM的支持後,本項目用虛擬TPM的身份密鑰來標識虛擬網路主機,提出了一種雲平台虛擬可信區域網路構建機制,基於虛擬TPM協商出MAC密鑰,用於在後續通信過程中的完整性保護和身份驗證,防止VLAN環境被惡意主機攻擊。本項目提出的機制能將虛擬化網路與物理網路相結合,易在現有網際網路架構上演進發展,給網路安全帶來了新思路。