SDN架構(gòu)下網(wǎng)絡(luò)安全協(xié)議的認(rèn)證機(jī)制研究與探索

楊澤明

摘 ? 要：文章通過對網(wǎng)絡(luò)安全協(xié)議原理的描述，明確安全協(xié)議的目標(biāo)就是保證在協(xié)議執(zhí)行完成時(shí)得以實(shí)現(xiàn)其安全屬性，并以ARP協(xié)議欺騙攻擊及其協(xié)議缺陷為例展開分析。針對ARP欺騙攻擊的特征，結(jié)合相關(guān)的技術(shù)手段，如利用區(qū)塊鏈技術(shù)的去中心化、防篡改、可追蹤溯源等特征，使用區(qū)塊鏈技術(shù)對通信數(shù)據(jù)實(shí)現(xiàn)加密功能。運(yùn)用SDN（軟件定義網(wǎng)絡(luò)）技術(shù)，嘗試著從全局視角，運(yùn)用虛擬化技術(shù)分析局域網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備的流量狀況，最終實(shí)現(xiàn)控制網(wǎng)絡(luò)流量和虛擬網(wǎng)絡(luò)設(shè)備的目的，從而避免攻擊，使網(wǎng)絡(luò)管控變得更加智能。

關(guān)鍵詞：安全協(xié)議;ARP攻擊;SDN;區(qū)塊鏈

中圖分類號：TP309.1，TP309.7 ? ? ? ? ?文獻(xiàn)標(biāo)識碼：A

Abstract： Through the description of the principle of network security protocol， the purpose of the security protocol is to ensure that the security attributes are realized when the protocol is executed. The ARP spoofing attack and its protocol defects are analyzed as an example. Combine relevant technical means， such as decentralization using block chain technology， anti-tampering， traceability and other advantages， use block chain technology to implement encryption function for communication data， and use SDN （software-defined network） technology to try From a global perspective， using virtualization technology to analyze the traffic status of network devices in the local area network， and finally achieve the purpose of controlling network traffic and virtual network devices， thereby avoiding attacks and making network management and control more intelligent.

Key words： security protocol; ARP attack; SDN; blockchain

1 引言

隨著信息化技術(shù)水平的高速發(fā)展，人們在獲取信息、日常交流中，都離不開網(wǎng)絡(luò)載體，如金融、交通、教育、企事業(yè)等重要基礎(chǔ)設(shè)施對網(wǎng)絡(luò)的依賴性越來越強(qiáng)，信息安全對于社會和經(jīng)濟(jì)生活的影響也越來越大。目前，已經(jīng)從最初的個(gè)體隱私與機(jī)密性問題上升到國家戰(zhàn)略性層面，而網(wǎng)絡(luò)安全協(xié)議是解決網(wǎng)絡(luò)安全問題最直接、最有效的手段之一，它可以解決源端認(rèn)證和目標(biāo)認(rèn)證、消息完整性、匿名通信、抗DDoS、抗抵賴、授權(quán)等一系列重要安全問題。安全協(xié)議是建立在密碼算法基礎(chǔ)上的一種高互通協(xié)議，它運(yùn)行在計(jì)算機(jī)網(wǎng)絡(luò)或分布式系統(tǒng)中，為安全需求的各方提供一系列步驟，借助密碼算法來達(dá)到密鑰分發(fā)、身份認(rèn)證以及安全地實(shí)現(xiàn)網(wǎng)絡(luò)通信或電子交易等目的。

2 安全協(xié)議概述

從實(shí)現(xiàn)安全通信協(xié)議的目的出發(fā)，可以看出有多種方式保證通信雙方主體的安全，如密鑰交換協(xié)議。常見的密鑰交換協(xié)議如Diffle-Hellman協(xié)議、MOV協(xié)議等，多采用參與通信的多個(gè)實(shí)體間共享密鑰（可以是對稱密鑰或公鑰密鑰）的方式對通信數(shù)據(jù)進(jìn)行加密。還有認(rèn)證協(xié)議，該類協(xié)議通過對數(shù)據(jù)源及目的源實(shí)施身份認(rèn)證以及信息完整性認(rèn)證，如Schnorr協(xié)議、Okamoto協(xié)議等，可防范通信實(shí)體間發(fā)生的假冒、篡改、否認(rèn)等安全事件。進(jìn)一步發(fā)展為“認(rèn)證+密鑰交換”協(xié)議，如Kerboros協(xié)議、X.509協(xié)議等。還有安全通信協(xié)議，此類協(xié)議可以保證網(wǎng)絡(luò)信息的安全交換，常見的協(xié)議有PPTP/L2PP協(xié)議、IPSec協(xié)議及SSL/TLS協(xié)議等。

大多數(shù)安全協(xié)議中只有少數(shù)幾個(gè)消息傳遞，但是其中的每一個(gè)消息都經(jīng)過巧妙設(shè)計(jì)，消息之間存在著相互制約、相互作用。在安全協(xié)議中往往使用多種不同的密碼算法，協(xié)議設(shè)計(jì)者對最初協(xié)議運(yùn)行環(huán)境的安全需求估計(jì)不足，從而采用不當(dāng)?shù)募夹g(shù)，這些都會導(dǎo)致設(shè)計(jì)出的安全協(xié)議存在安全漏洞與缺陷，并引發(fā)入侵者對協(xié)議進(jìn)行各類攻擊行為，從而破壞協(xié)議的安全性。

從安全協(xié)議系統(tǒng)模型的角度分析，在規(guī)模較大的分布式網(wǎng)絡(luò)環(huán)境中，如果將協(xié)議及其所處的環(huán)境視為一個(gè)系統(tǒng)的話，本文的安全協(xié)議所面臨的最大問題，是網(wǎng)絡(luò)通信系統(tǒng)環(huán)境本身是不安全的，一般包括發(fā)送和接收信息的若干誠實(shí)主體和攻擊者存在，還有用于管理通信消息時(shí)需要發(fā)送和接收的規(guī)則。但是，通信協(xié)議合法的已知消息存放在知識集KS（Knowledge Set）中，攻擊者通過對消息進(jìn)行級聯(lián)、分離、加密和解密操作處理，避免數(shù)據(jù)被截獲、篡改、重寫、刪除或插入的可能，并將此類消息放入KS中。

系統(tǒng)中所有主體（含誠實(shí)主體和攻擊者）都會使用KS中的消息進(jìn)行信息交換，從而引發(fā)欺騙攻擊。被動(dòng)攻擊者可以在線竊聽通信中的敏感信息，主動(dòng)攻擊者可截獲通信中數(shù)據(jù)包對其任意的修改，甚至也可偽裝誠實(shí)主體與真實(shí)主體進(jìn)行非法數(shù)據(jù)通信。加密算法可以有效地阻止主動(dòng)入侵攻擊，因?yàn)樵诠粽卟恢烂荑€的前提下，對密文信息稍加改動(dòng)就會導(dǎo)致解密的失敗，此時(shí)攻擊者只能做的是阻止消息或延時(shí)送達(dá)目的地。

眾所周知，安全協(xié)議的目標(biāo)就是保證安全屬性在協(xié)議執(zhí)行完成時(shí)得及實(shí)現(xiàn)，而評估一個(gè)安全協(xié)議是否安全的依據(jù)，就是需要達(dá)到的安全屬性是否受到攻擊者破壞。安全屬性主要有機(jī)密性、完整性、認(rèn)證性、不可否認(rèn)性等。

作為信息安全領(lǐng)域中幾個(gè)基本安全屬性之一的認(rèn)證（ Authentication），實(shí)現(xiàn)了一個(gè)實(shí)體〔通常稱為驗(yàn)證者（ Verifier）〕B對另一個(gè)實(shí)體〔通常稱為聲稱者（ Claimant〕A聲稱的某種屬性驗(yàn)證。認(rèn)證分為消息認(rèn)證（ Message Authentication）和實(shí)體認(rèn)證（Entity Authentication）。前者的認(rèn)證是驗(yàn)證消息的某種聲稱屬性，而后者的認(rèn)證是驗(yàn)證聲稱者所聲稱的身份。兩種認(rèn)證并非對立的概念，本質(zhì)上身份也可視為一種消息，因此身份認(rèn)證可視為消息認(rèn)證，而協(xié)議中也可以使用消息認(rèn)證機(jī)制來實(shí)現(xiàn)實(shí)體認(rèn)證。

消息認(rèn)證要確認(rèn)消息是從規(guī)定數(shù)據(jù)源發(fā)出的，而且需要保證消息的完整性，以使信息系統(tǒng)能防止對消息的假冒、篡改、插入、刪除等攻擊，通常使用的技術(shù)為數(shù)字簽名（ Digital Signature）。實(shí)體認(rèn)證的目標(biāo)是使聲稱者的身份被確認(rèn)，因此實(shí)體認(rèn)證具有實(shí)時(shí)性，一般需通過實(shí)體認(rèn)證協(xié)議來實(shí)現(xiàn)。

3 ARP協(xié)議及欺騙攻擊的原理

一個(gè)安全的身份認(rèn)證協(xié)議至少應(yīng)滿足兩個(gè)條件。

（1）證明者A能向驗(yàn)證者B證明他的確是A。

（2）在證明者A向驗(yàn)證者B證明他的身份之后，驗(yàn)證者B不能獲得關(guān)于A的任何有用的信息使得他能模仿A向第三方證明他是A。

這兩個(gè)條件是說明證明者A能向驗(yàn)證者B以電子證明的方式證明他的身份，并且沒有向B泄露他的認(rèn)證信息。目前，已設(shè)計(jì)出許多滿足這兩個(gè)條件的身份認(rèn)證協(xié)議，而傳統(tǒng)TCP/IP體系結(jié)構(gòu)中ARP協(xié)議，卻是缺少身份認(rèn)證機(jī)制的協(xié)議之一。地址解析協(xié)議（ Address Resolution Protocol，ARP）的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫?，幀里面有目?biāo)主機(jī)的MAC地址。這個(gè)目標(biāo)MAC地址是通過地址解析協(xié)議獲得的。

兩臺主機(jī)想要直接通信，必須知道目標(biāo)主機(jī)的MAC地址，而在TCP/IP協(xié)議中，網(wǎng)絡(luò)層和傳輸層只關(guān)心目標(biāo)主機(jī)的IP地址，這樣就導(dǎo)致在以太網(wǎng)結(jié)構(gòu)中使用IP協(xié)議時(shí)，數(shù)據(jù)鏈路層的以太網(wǎng)協(xié)議連接到上層（網(wǎng)絡(luò)層）IP協(xié)議提供的數(shù)據(jù)中，只包含目的主機(jī)的IP地址。需要根據(jù)目的主機(jī)的IP地址獲取其對應(yīng)的MAC地址，而ARP協(xié)議就是負(fù)責(zé)把網(wǎng)絡(luò)層的IP地址轉(zhuǎn)化為數(shù)據(jù)鏈路層中的網(wǎng)卡物理地址[2]（MAC地址）。

假設(shè)主機(jī)A曾經(jīng)和主機(jī)B進(jìn)行過通信，主機(jī)A就會在ARP緩存表中記錄下主機(jī)B的IP地址和其對應(yīng)的MAC地址。通常ARP緩存表都有更新機(jī)制，當(dāng)有主機(jī)通知其他主機(jī)其MAC地址更新時(shí)，會向其它主機(jī)發(fā)送ARP更新信息，以便這些主機(jī)及時(shí)更新其ARP緩存表。每臺主機(jī)在收到ARP數(shù)據(jù)包時(shí)都會更新自己的ARP緩存表。

ARP欺騙攻擊的原理就是通過發(fā)送欺騙性的ARP數(shù)據(jù)包，致使接收者收到欺騙性的ARP數(shù)據(jù)包后，更新其ARP緩存表，從而建立錯(cuò)誤的IP地址與MAC地址的對應(yīng)關(guān)系。在設(shè)計(jì)ARP協(xié)議時(shí)沒有充分考慮其數(shù)據(jù)包來源的真實(shí)性認(rèn)證，卻以局域網(wǎng)中的互聯(lián)設(shè)備信任為基礎(chǔ)來實(shí)現(xiàn)的。由于源主機(jī)尋找目標(biāo)MAC地址時(shí)會在網(wǎng)絡(luò)中廣播發(fā)送 ARP 請求報(bào)文，不檢測自身設(shè)備是否發(fā)送過請求報(bào)文的合法性，只要收到ARP協(xié)議請求報(bào)文就應(yīng)答，并更新本地主機(jī)ARP 地址緩存表。如有攻擊者不斷發(fā)送錯(cuò)誤的MAC地址請求報(bào)文，就會出現(xiàn)地址沖突、數(shù)據(jù)包擁塞，導(dǎo)致網(wǎng)絡(luò)環(huán)境中斷網(wǎng)現(xiàn)象的發(fā)生。

而針對ARP欺騙攻擊的防范研究者提出很多解決方案[3]。如MAC地址與IP地址雙向綁定方案，此方案根據(jù) ARP欺騙原理而采取的防范措施，是指在內(nèi)網(wǎng)的計(jì)算機(jī)上把路由器（網(wǎng)關(guān)） IP地址和MAC地址做一次綁定，同時(shí)在路由器或網(wǎng)關(guān)上將內(nèi)網(wǎng)主機(jī)的IP地址和MAC地址也綁定一次，對ARP欺騙的雙方設(shè)備，都具有限制及約束的作用。但是，這僅限小規(guī)模的網(wǎng)絡(luò)環(huán)境中，如果移動(dòng)設(shè)備更換位置或重啟計(jì)算機(jī)綁定就會失效。

還有很多具有網(wǎng)管性能的交換機(jī)具有MAC地址學(xué)習(xí)功能，采用的是“自學(xué)習(xí)”完成端口和地址的對應(yīng)關(guān)系后，再關(guān)閉此項(xiàng)功能，之后對端口及對應(yīng)的 MAC地址靜態(tài)綁定，避免攻擊者實(shí)施ARP 欺騙攻擊篡改地址。如果具有欺騙性的ARP報(bào)文先行被交換機(jī)學(xué)習(xí)到，就會出現(xiàn)更大的隱患。針對網(wǎng)絡(luò)中主機(jī)或服務(wù)器常采用ARP 個(gè)人防火墻，這只能保障本地主機(jī)的安全，仍然會受網(wǎng)絡(luò)中假網(wǎng)關(guān)的影響，不是從網(wǎng)絡(luò)宏觀的角度加以考量。 綜合以上ARP 攻擊防范方案的分析，需要綜合考慮三點(diǎn)。

（1）保證網(wǎng)絡(luò)環(huán)境中終端設(shè)備（主機(jī)或服務(wù)器）連接的路由器網(wǎng)關(guān)地址的綁定。

（2）路由器或網(wǎng)關(guān)設(shè)備中的IP地址及MAC地址唯一而不被修改。

（3）保障網(wǎng)絡(luò)中主機(jī)的信息認(rèn)證安全，采用何種技術(shù)手段對ARP欺騙攻擊行為進(jìn)行了深入的研究，提出一套安全管控的解決方案[4]。

4 基于區(qū)塊鏈技術(shù)的ARP欺騙攻擊防御方法

區(qū)塊鏈技術(shù)是近年來應(yīng)用各領(lǐng)域的去中心化分布式記賬系統(tǒng)，具有可防篡改、可追蹤溯源等優(yōu)勢特征，應(yīng)用于信息安全領(lǐng)域，可用于數(shù)據(jù)防護(hù)、接入控制、授權(quán)及身份認(rèn)證。訪問控制單點(diǎn)化在有信息中心的網(wǎng)絡(luò)環(huán)境中，無論是物理網(wǎng)絡(luò)還是虛擬網(wǎng)絡(luò)最終都是由訪問控制節(jié)點(diǎn)對網(wǎng)關(guān)、隔離設(shè)備或防火墻等管控。但是，對于基礎(chǔ)設(shè)備一旦被攻破，網(wǎng)絡(luò)核心設(shè)備也會面臨攻擊威脅。

通過前面的ARP欺騙攻擊原理的分析，區(qū)塊鏈技術(shù)是通信節(jié)點(diǎn)上無需互信任的分布式系統(tǒng)，可以解決ARP協(xié)議在設(shè)備通信中無認(rèn)證性。區(qū)塊鏈技術(shù)可以實(shí)現(xiàn)基于去中心化信任的點(diǎn)對點(diǎn)交易、協(xié)作，為網(wǎng)絡(luò)安全協(xié)議的提供新的范式，在網(wǎng)絡(luò)空間安全領(lǐng)域具有一定的參考作用。利用區(qū)塊鏈技術(shù)思想，設(shè)計(jì)了改進(jìn)區(qū)塊鏈交易索引表結(jié)構(gòu)，通過數(shù)字簽名機(jī)制防范篡改MAC地址，使用散列算法對通信數(shù)據(jù)加密來保證數(shù)據(jù)安全性及完整性，目標(biāo)主機(jī)獲取的MAC地址與區(qū)塊鏈存儲值唯一準(zhǔn)確。

現(xiàn)有方案常采用IP-MAC 靜態(tài)綁定的方式來防御ARP攻擊。但是，在局域網(wǎng)環(huán)境中無法保證網(wǎng)絡(luò)系統(tǒng)中的IP地址保持不變，如發(fā)生變化時(shí)需要逐個(gè)更改已綁定的 IP-MAC對應(yīng)關(guān)系，因此增加需要網(wǎng)絡(luò)管理工作量。在ARP工作過程中，通信雙方主體運(yùn)用區(qū)塊鏈中公開密鑰加密機(jī)制，各自節(jié)點(diǎn)生成密鑰對，在發(fā)送方使用自身私鑰進(jìn)行數(shù)字簽名保證交易發(fā)起方身份，通信數(shù)據(jù)中將公鑰及簽名一起發(fā)送，各接收方節(jié)點(diǎn)通過發(fā)送方的公鑰驗(yàn)證后把交易信息加入具體區(qū)塊中，然后通過礦工節(jié)點(diǎn)實(shí)施挖礦操作，挖礦過程是根據(jù)事先設(shè)定的工作難度，尋找滿足條件的隨機(jī)數(shù)，并將其首部放入?yún)^(qū)塊nonce字段中。

在此區(qū)塊中會對每一區(qū)塊頭部作SHA256加密運(yùn)算從而得到相對應(yīng)的散列值，同時(shí)區(qū)塊頭中也包含其父區(qū)塊的散列值、時(shí)間戳交易記錄信息，可以使用“鍵值對”方式存儲交易信息數(shù)據(jù)，每條交易用來表示ARP響應(yīng)返回后的核心信息。其中，包括請求主機(jī)的IP地址、MAC地址及交易的發(fā)起時(shí)間，交易號用于唯一標(biāo)識一個(gè)交易，在交易中的MAC地址與時(shí)間戳作散列運(yùn)算得到，并將主機(jī)IP地址與MAC地址綁定在交易中，當(dāng)其父區(qū)塊內(nèi)容發(fā)生改變時(shí)當(dāng)前子塊散列值也會改變，同時(shí)又會引起其子孫區(qū)塊的散列值變，這一機(jī)制可以保證存儲數(shù)據(jù)的一致性和安全性。

為提高查詢效率，在區(qū)塊鏈基礎(chǔ)上形成索引表，當(dāng)網(wǎng)絡(luò)中主機(jī)信息發(fā)生變動(dòng)時(shí)，并同步更新區(qū)塊鏈表索引表中的存儲值，表中有IP地址和MAC地址兩個(gè)部分，當(dāng)局域網(wǎng)內(nèi)某節(jié)點(diǎn)信息發(fā)生變化時(shí)，向系統(tǒng)發(fā)起新交易，通過驗(yàn)證后將交易加入?yún)^(qū)塊中，挖礦后網(wǎng)絡(luò)內(nèi)其他節(jié)點(diǎn)同步區(qū)塊信息，更新區(qū)塊索引表數(shù)據(jù)保證表內(nèi)存儲的一直是網(wǎng)絡(luò)內(nèi)主機(jī)的IP地址的最新值。

5 軟件定義網(wǎng)絡(luò)架構(gòu)下ARP防欺騙攻擊的應(yīng)用

軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）是一種最新提出的網(wǎng)絡(luò)架構(gòu)模式，是將網(wǎng)絡(luò)真實(shí)環(huán)境利用虛擬化技術(shù)的一種實(shí)現(xiàn)方式。其核心技術(shù) Open Flow框架通過將網(wǎng)絡(luò)設(shè)備控制平面部分與數(shù)據(jù)面部分分隔開來，從而實(shí)現(xiàn)網(wǎng)絡(luò)流量控制的目的，使網(wǎng)絡(luò)管控變得更加智能。局域網(wǎng)絡(luò)環(huán)境中由網(wǎng)絡(luò)設(shè)備組成，如路由器、交換機(jī)和多種中介層（如防火墻）及多種復(fù)雜的通信協(xié)議完成通信功能。需要網(wǎng)絡(luò)管理者必須從高階策略轉(zhuǎn)到低階設(shè)定命令，在業(yè)務(wù)需求部署上線后，如事業(yè)需求發(fā)生變化時(shí)，要重新修改相關(guān)的網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)和防火墻）上的配置，網(wǎng)絡(luò)的穩(wěn)定與性能也要滿足相應(yīng)的業(yè)務(wù)需求，關(guān)鍵是要體現(xiàn)設(shè)備管理靈活性和敏捷性?？梢?，及時(shí)更新網(wǎng)絡(luò)管理和效能尤為重要，實(shí)際上這是非常煩瑣的事情。

在此背景下，可程序化網(wǎng)絡(luò)管理的思想被提出來。使用SDN技術(shù)所做的是將網(wǎng)絡(luò)設(shè)備的管控權(quán)分離出來，無須再依賴底層的網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)和防火墻等），從而屏蔽了來自底層網(wǎng)絡(luò)設(shè)備的差異。其控制權(quán)也是完全開放的，用戶可以自行決定任何想實(shí)現(xiàn)的網(wǎng)絡(luò)路由和傳輸規(guī)則及策略，從而將網(wǎng)絡(luò)設(shè)備更加靈活和智能。

運(yùn)用SDN技術(shù)可解決現(xiàn)有網(wǎng)絡(luò)環(huán)境框架下，實(shí)現(xiàn)對訪問控制、流量分析、網(wǎng)絡(luò)監(jiān)控、IP 地址欺騙等問題提出了一種解決方案。讓網(wǎng)絡(luò)管理者從全局視角了解所處網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)流量狀況，當(dāng)?shù)讓泳W(wǎng)絡(luò)設(shè)備出現(xiàn)異常時(shí)，可以及時(shí)部署相應(yīng)的安全策略，確保網(wǎng)絡(luò)正常運(yùn)行，提高網(wǎng)絡(luò)管理效率。SDN 技術(shù)將物理硬件架構(gòu)與應(yīng)用程序分隔開來，開發(fā)者無需考慮底層網(wǎng)絡(luò)設(shè)備之間的差異，只關(guān)注開發(fā)軟件功能即可，從而降低了開發(fā)門檻和難度，縮短了開發(fā)周期。與傳統(tǒng)以太網(wǎng)方案相比，SDN 在安全機(jī)制設(shè)計(jì)、異常檢測、惡意攻擊防護(hù)方面有很大的優(yōu)勢，是實(shí)現(xiàn)未來網(wǎng)絡(luò)的流量監(jiān)控、智能管理的可行性方案。

使用SDN技術(shù)改造網(wǎng)絡(luò)環(huán)境后，不必對網(wǎng)絡(luò)中的每個(gè)結(jié)點(diǎn)的網(wǎng)絡(luò)設(shè)備進(jìn)行反復(fù)配置，在SDN網(wǎng)絡(luò)中的設(shè)備是自動(dòng)化連通的，只需在使用時(shí)將事先定義好網(wǎng)絡(luò)規(guī)則應(yīng)用即可。SDN使用全局網(wǎng)絡(luò)視圖，快速且高水平地查看網(wǎng)絡(luò)的所有區(qū)域，來解決網(wǎng)絡(luò)中的ARP欺騙攻擊行為，在受到攻擊時(shí)進(jìn)行檢測并對其快速響應(yīng)。在SDN架構(gòu)中，根據(jù)主機(jī)系統(tǒng)的IP地址、MAC地址以及網(wǎng)絡(luò)結(jié)點(diǎn)與交換機(jī)連接的端口信息，來維護(hù)每一個(gè)網(wǎng)絡(luò)設(shè)備信息的關(guān)系表。

同時(shí)，此關(guān)系表還要做到及時(shí)更新，如果主機(jī)設(shè)置為靜態(tài)IP地址，那么設(shè)備信息映射表就會比較簡單，在使用控制器自身轉(zhuǎn)發(fā)表的建立之后，控制器產(chǎn)生所有主機(jī)MAC地址和主機(jī)IP地址對應(yīng)關(guān)系的列表。當(dāng)一臺主機(jī)發(fā)送數(shù)據(jù)包的時(shí)候，控制器就記錄它的IP地址及MAC地址。檢查是否存在ARP欺騙攻擊，將己經(jīng)記錄的IP地址和MAC地址對進(jìn)行比較。使用此種網(wǎng)絡(luò)模式，可以集中處理ARP（地址解析協(xié)議）報(bào)文，應(yīng)答地址解析請求，從而抑制廣播流量。

6 結(jié)束語

本文通過對網(wǎng)絡(luò)安全協(xié)議的描述，以ARP協(xié)議及欺騙攻擊原理進(jìn)行分析。針對當(dāng)前對ARP協(xié)議欺騙攻擊原理的分析，提出一種基于在SDN全局視圖下管理局域網(wǎng)絡(luò)環(huán)境的網(wǎng)關(guān)設(shè)備、交換機(jī)設(shè)備，同時(shí)在此環(huán)境中引入?yún)^(qū)塊鏈技術(shù)，通過改進(jìn)區(qū)塊鏈索引表結(jié)構(gòu)，主動(dòng)記錄ARP通信過程的數(shù)據(jù)，如源主機(jī)及目的主機(jī)兩者的IP地址和MAC 地址。同時(shí)，在局域網(wǎng)環(huán)境里，保證IP地址發(fā)生改變時(shí)，及時(shí)更新局域網(wǎng)內(nèi)設(shè)備之前綁定的 IP-MAC 值的對應(yīng)關(guān)系，通過分析也可以結(jié)合區(qū)塊鏈來避免防篡改。

基金項(xiàng)目：

1.2018年江蘇省“青藍(lán)工程”中青年學(xué)術(shù)帶頭人資助項(xiàng)目項(xiàng)目（項(xiàng)目編號：2018JYTSZXX15））;

2.2018-2019年全國高等院校計(jì)算機(jī)基礎(chǔ)教育研究會研究資助項(xiàng)目（項(xiàng)目編號：2018-AFCEC-326）。

參考文獻(xiàn)

[1] 陳軍，孫義博，岳婷.基于Linux的ARP檢測與防御系統(tǒng)[J].網(wǎng)絡(luò)空間安全，2018，9（01）：51-55.

[2] 郭征，吳向前，劉勝全.針對校園網(wǎng)ARP攻擊的主動(dòng)防護(hù)方案[J].計(jì)算機(jī)工程，2011，37（05）：181-183.

[3] 馮登國.安全協(xié)議—理論與實(shí)踐[M].北京：清華大學(xué)出版社，2011.21-23

[4] 劉曉霞.ARP攻擊與防護(hù)措施及解決方案[J].信息通信， 2016（02）：73-74.

[5] 徐書欣，趙景.ARP欺騙攻擊與防御策略探究[J].現(xiàn)代電子技術(shù)，2018，41（08）：78-82.

[6] 秦豐林，段海新，郭汝廷.ARP欺騙的監(jiān)測與防范技術(shù)綜述[J].計(jì)算機(jī)應(yīng)用研究，2009，26（01）：30-33.

[7] 黃韜，劉江，魏亮，等.軟件定義網(wǎng)絡(luò)核心原理與應(yīng)用實(shí)踐[M].北京：人民郵電出版社，2014：9-10.

[8] Blaze M，F(xiàn)eigenbaum J， Lacy J. Decentralized trust management[C].The 17th Symposium on Security and Privacy，1996： 164-173

[9] 蘭巨龍.江逸茗，胡宇翔，劉文芬，等.網(wǎng)絡(luò)安全傳輸與管控技術(shù)[M].北京：人民郵電出版社，2018.16-30

[10] 王小峰.信任管理的策略表示與量化模型研究[D].長沙：國防科學(xué)技術(shù)大學(xué)，2009.50-51.