知识产权保护与引用的警告

警告：链接这份文件是长期工作的结果，得到了答辩小组的批准，并提供给整个更广泛的大学社区。它受作者的知识产权保护。 这意味着在使用本文件时有义务引用和引用另一方面，任何伪造、剽窃、非法复制的行为都将受到刑事起诉。联系方式：ddoc-theses-contact@univ-lorraine.fr知识产权法。第122条。4.知识产权法。条款L 335.2- L335.10http://www.cfcopies.com/V2/leg/leg_droi.phphttp://www.culture.gouv.fr/culture/infos-pratiques/droits/protection.htmIAEM洛林海岸学校如果我们的部署没有任何进展，我们每年的架构和功能就不会有任何进展。他们是2019年7月7日，为获得洛林联合王国与另一个联合王国（提及计算机）由泽维尔·马夏尔陪审团组成Pr居民：VincentChevier，洛林大学教师（HDR）发言人：FRancineKrief，大学教师（Hdr.），ENSEIRBPrometheeSpathis，会议教师（Hdr.），UPMC审查员：Giovanna Carofiglio，思科系统公司杰出工程师（博士）投资者：达米安·索塞兹，《Recherche》（博士）的查尔·格，我笑了在cadrants：OlivierFestor，洛林大学教授，ThibaultCholez，Conferences硕士（博士），洛林大学教授洛林计算机科学及其应用研究实验室-UMR 7503使用thesul类进行布局谢谢你首先，我要感谢我的论文导师Olivier Festor接受我为博士生，并感谢他在整个论文过程中对我的指导。我也非常感谢Thibault Cholez，这篇论文的联合主任，感谢他在重要时刻的模范监督、建议和帮助，但也感谢我能够与他我还要感谢ANR DOCTOR项目的成员，特别是我还要感谢近藤大志（Daishi Kondo）和阮晋勇（Tan Nguyen），这两位博士生让我能够与他们进行更密切的我感谢Inria MADYNES（当时是RESIST）项目团队的负责人Isabelle Chrisment，感谢她欢迎我ii.摘要一般介绍11背景11.1IP1协议简史1.2L’émergence des réseaux orientés contenus1.3ANR DOCTOR3项目2问题32.1主要挑战42.2处理的问题53捐款的组织5一、最新技术水平1面向内容的网络91.1ICN9简介1.1.1ICN9的原则1.1.2面向数据的网络体系结构（DONA）1.1.3信息网络（NetInf）111.1.4发布-订阅互联网技术（PURSUIT）111.2命名数据网络（NDN）121.2.1一般原则121.2.2节点NDN 14的操作1.2.3NDN和CCN161.3ICN18的主要挑战1.4结论192关于ICN21主要操作锁的工作2.1ICN21的流量问题2.2ICN23的安全问题2.3CCM与现有应用程序的互操作性问题iii.摘要2.4部署ICN28的困难2.5结论30II性能和安全333NDN 35内容提供商的绩效评估3.1导言353.2实验环境363.3评估393.3.1评估3.3.2NFD40的评估3.3.3评估3.4降低签名433.4.1通过更改3.4.2通过改进NDN44的签名功能3.4.3通过减少传输所需的签名数量内容453.5结论484NDN协议的安全性研究：内容中毒攻击案例4.1导言494.2攻击场景4.2.1攻击者的拓扑和行为4.2.2未注册的远程提供程序524.2.3多播场景544.2.4最佳55号公路场景4.3对攻击的评估4.3.1实验环境564.3.2对合法用户的影响4.3.3对合法内容提供商的影响584.3.4对路由器604.3.5不同攻击场景的统计足迹4.4针对内容中毒攻击的解决方案4.4.1修复NFD漏洞（预防）644.4.2检测和动态保护免受内容（反应）66四4.5结论.................................................................................................................................. 67三互操作性和部署695在NDN上传输HTTP：适配协议的设计5.1导言715.2我们在NDN72上传输HTTP的体系结构5.2.1功能体系结构概述5.2.2NDN74上HTTP传输的命名策略5.2.3与其他通信方案的比较5.2.4固有限制765.3NDN77上HTTP传输的优化5.3.1问题的解决775.3.2HTTP请求数据集的构造5.3.3统一NDN网络中的HTTP请求785.4评估835.4.1实施和实验环境835.4.2综合性能测试845.4.3对最终用户855.4.4可靠性885.4.5得益于NDN90网络缓存的预期收益5.5结论926NDN 95基于微服务的体系结构提案6.1导言956.2基于微服务的网络架构976.3NDN98协议的一组微服务6.3.1通用定义和设计约束986.3.2微服务的描述996.3.3按微服务组成划分的网络示例1016.4微服务的管理和编排1026.4.1经理1026.4.2网络中的动态变化1046.5实施我们的体系结构1056.5.1微服务的实施105V摘要6.5.2管理器107的实施6.5.3与模块1086.5.4道路管理1096.6评估我们的解决方案1106.6.1实验环境1106.6.2我们的微服务1106.6.3Mise à l’échelle dynamique6.6.4安全管理1136.7讨论1146.8结论115一般结论1171贡献摘要. ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1172研究视角. ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...120论文制作1231科学出版物. ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1232软件开发. ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...124表125表127列表表129参考书目131六一般介绍1上下文本论文的主题是计算机网络的发展，更具体地说，是"面向内容"，到目前为止，只有一个人主持为了最后，我们将简要介绍作为国家合作研究项目一部分的这项工作的具体框架1.1IP协议简史L’ancêtre L’objectif était alors d’interconnecter les 互联网协议栈ARPAnet网络（从军事网络中分离出来后成为NSFnet）发展迅速，但仍然局限于学术界。网络的下一次重大发展发生在20世纪90年代初，随着Web3的出现，它迅速成为网络的主要应用，并随着网络向商业流量的在计算机民主化的帮助下随着网络容量的增加和计算机处理多媒体内容的能力的提高，网页变得越来越复杂和丰富，允许越来越因此，我们看到了TCP/IP通信的最初用途（即允许在几台计算机上远程执行计算程序）与今天的用途（即多媒体内容的大规模分发）之间的差距。此外，还必须对互联网堆栈进行重大补充，以满足最初未预见到的需求。因此，连接的计算机的倍增需要一种通过可理解的名称而不是二进制地址（32位IP地址）来识别它们的方法，这对人类来说是不方便的，这同样，由于数据安全协议，通信的保密性也是事后允许的。1. https://fr.wikipedia.org/wiki/Internet2. https://fr.wikipedia.org/wiki/ARPANET3. https://fr.wikipedia.org/wiki/World_Wide_Web4. https://fr.wikipedia.org/wiki/Domain_Name_System1一般介绍2通过加密进行通信，即SSL和TLS5。因此，在基本上是点对点的互联网体系结构（两台通过地址精确标识的机器相互通信）和它的主要应用（已经成为内容的大规模分发）之间存在着一个实际上，与内容的分发相比，本质上是双向的通信思科公司的年度预测[Cis18]预测，到2021年，81%的互联网流量将由视频流为了面向内容的网络也明智地采用了一些概念，以便在网络本身的层面上1.2L’émergence des réseaux orientés为了满足这种大规模内容分发的需求，已经在因特网协议之上设计了两个主要的解决方案家族，称为覆盖网络，并试图超越点对点通信方案以获得效率：它们是对等网络第一种是在21世纪初开发的，主要是开放的网络，允许组成它们的不同对等体协作以因此，可以并行从多个对等体检索内容，从而加快下载速度。第二种是代理服务器的分布式网络体系结构，由公司运营，这些公司向其客户、内容提供商提供位于世界各地的多个服务器，以便能够在离用户最近的地方存储流行数据 因此，这些解决方案的用户并不先验地知道，也就是说，在他们请求的时刻，由其IP地址标识的哪个特定机器将向他们递送内容，而只是寻求以最有效的方式接收内容本身越来越多的用户和服务消耗了越来越多的带宽，这给底层网络基础设施带来了巨大的压力，尽管众所周知，互联网协议并考虑到这一点，研究人员，特别是TCP中拥塞控制的发明者Van Jacobson6，开辟了一个新的网络研究领域，旨在提出新的协议，这些协议可以取代TCP/IP，同时更好地适应当前的这些新的网络体系结构被称为面向内容的（以信息为中心的网络或ICN），并提出了一个根本性的范式转变，不再是机器，而是内容可以在网络上寻址因此提出了几项创新首先，内容通过遵循URI（统一资源标识符）格式的名称来5. https://fr.wikipedia.org/wiki/Transport_Layer_Security6. Google Tech Talks：看待网络的新方式，Van Jacobson，2006年。可在https：//www.youtube.com/watch? v=gqGEMQveoqg32. 问题DNS服务的使用已过期然后，内容以多播方式分发，并且可能来自并行的多个源，同时用户的请求在跟踪它们的路由器处被共享为了进一步改善分发，网络节点具有高速缓存能力，使得可以通过避免请求原始提供商来更快地最后，通信安全也受益于这一范式转变。因此，任何传输的数据包都必须能够通过其创建者的签名进行身份验证。这将允许检测和撤销恶意内容例如，这将更有效地打击垃圾邮件，因为目前没有任何东西可以阻止可信主机（在本例中是通过安全连接联系的邮件服务器）传输不可信的因此，与CDN一样，ICN体系结构允许将内容更接近用户，并且与P2P网络直接在网络级别实施这些功能应有助于提高效率和功能性1.3ANR博士本手稿中介绍的工作由法国国家研究机构的一个名为"DOCTOR" 7 ANR-14-CE 28 -0001>的项目资助，该项目该项目汇集了五个合作伙伴，三个工业合作伙伴，即Orange、Thales和Montimage公司，以及两个学术合作伙伴，即特鲁瓦理工大学和LORIA，为期四年，从2014年9月到2018年9月该项目的主要问题是：如何通过网络功能的虚拟化来实现新协议的部署和安全？更具体地说，该项目以NDN协议的部署为研究案例，除了设计满足需求的体系结构外，还侧重于提供证明所提议方法相关性的软件组件的提到ANR DOCTOR项目是很重要的，以便在原创性和合作方面正确地将本手稿中描述的工作置于背景中，原因有首先，DOCTOR项目的愿景在很大程度上与本论文的愿景相结合，即使用虚拟化网络功能来促进面向内容的例如，在这是完全可以理解的，因为这篇论文的成果必须是ANR博士项目科学计划的一部分第二个原因是，四个主要贡献中的两个是与项目的其他成员合作完成的因此，第4章是与UTT的同事合作完成的2问题围绕CCM的研究工作的全部挑战事实上，互联网协议栈现在7. http://www.doctor-project.org/一般介绍4通信计算机和替换它将需要不可估量的努力。从一开始，它几乎没有变化，所以我们谈论的是互联网的僵化。创新只能在应用程序层面和终端设备上进行，路由器继续像20世纪2.1主要挑战采用CCM的一般问题背后的一个大问题事实上，有几个利益相关者有不同的需求，即学术利益相关者、互联网服务提供商在过去的十年里，学术界的参与者，无论是研究人员还是IETF 8的标准化小组，都已经对当然，仍有一些方面需要改进，我们将在最新技术水平中看到这一点，但目前的状态已经允许在短期内进行值得注意的是，思科或华为等大型网络设备制造商在该领域非常活跃，因此有可能内容提供商和客户不太可能成为这种变化的驱动力。事实上，上述基于IP的现有解决方案然而，必须努力将内容提供商和客户端引导到所部署的第一个CCM网络，因为这样的网络没有要传送的内容或要服务的客户端将是无用的。因此，必须做出重大努力来实现与当前应用程序的轻松互操作性互联网服务提供商（ISP）似乎最有事实上，它们首先受到交通量增加的影响，而交通量不断增加，因此，CCM将使他们能够显著减少要路由的流量，因为后者对于内容的分发更加优化它还将允许他们将网络缓存的使用货币化，就像今天的CDN一样但是，如果没有一些先决条件，ISP无法将其网络基础架构从IP迁移D’une part, les D’autre part, les opérateurs ontbesoin d’une solution facilitant le 事实上，它肯定会与他们的传统IP基础设施一起因此，随着网络的发展，它必须能够此外，这样的网络必须能够满足操作员的操作监控和配置需求，如果可能的话，通过自动化这些任务中的大部分8. https://trac.ietf.org/trac/irtf/wiki/icnrg53. 捐款的组织2.2处理的问题本文试图回答的问题是：阻碍面向内容的网络逐步部署的主要操作障碍是什么，以及如何克服这些障碍正如我们将从最新技术水平的研究中看到的，经过几年的研究，ICN范式，特别是NDN架构，似乎已经足够成熟，可以进行雄心勃勃的初步部署。具有讽刺意味的是，文献中并不总是很好地处理操作上重要的问题，而倾向于附加特征，其价值似乎并不总是显而易见的。本文将特别讨论对操作员至关重要的四个问题第一个是性能，更具体地说是内容提供商可实现的吞吐量事实上，能够评估NDN网络可以实现的吞吐量以及使用哪些资源是很重要的或者，在通信路径上限制吞吐量的组件是什么目前还没有工具第二个问题是NDN体系结构的安全性在文献中发现了新的体系结构特定攻击，这些攻击允许在它们特别针对ICN路由器的新内部结构，例如用于共享请求或高速缓存的表虽然第一种类型的攻击已经得到了广泛的研究，但第二种类型的攻击还没有得到准确的描述，这在第一批部署的网络上留下了潜在的第三个问题涉及NDN网络和现有应用程序之间的互操作性。如何在当前的内容源（尤其是Web）和NDN网络之间实现轻松的互操作性这里的困难在于设计一个既尊重原始协议（不减少其功能）又尊重NDN协议（不改变其功能）的适配协议此外，除了第四个问题涉及如何部署和管理新的NDN网络。这里的问题是，哪种体系结构提供了最大的便利性和灵活性，以便能够逐步部署与IP网络并行的NDN网络。新的网络功能虚拟化（NFV）体系结构在这里提供了一个特别有吸引力的框架，但它不是为部署没有IP的网络服务而设计的L’enjeu est ici de concevoir une telle architecture en créant puis en y intégrant desfonctions réseau spécifiques à NDN ainsi que les primitives de management3捐款的组织本文的贡献分为三个第一部分介绍了处理面向内容的网络的最新工作，更具体地说，介绍了阻碍其采用的各种问题和限制的解决方案第二部分描述了我们为提高NDN的性能和安全性所做的贡献第三部分讨论了我们为促进与现有NDN的互操作性和部署而提出的解决方案。一个一般性的结论结束了这份手稿的总结和潜在一般介绍6第一部分：最新技术水平在第1章中，我们介绍了面向内容的网络的原理，并描述了这种网络的四种体系结构是我们将更详细地介绍命名数据网络架构，该架构将被选为本文其余部分的案例研究最后，我们介绍了这些体系结构必须解决的主要技术挑战。在各种挑战中，第2章接着概述了对于这些问题中的每一个，我们都强调了一个迄今尚未得到令人满意的答案的主要问题。第二部分：性能和安全性第3章介绍了第一篇文章，探讨了影响希望使用CCM的实时内容提供商的低性能问题通过我们设计的工具ndnperf和实验方法，我们强调了生成NDN数据包的巨大处理器成本，并提出了各种优化方案，以大大降低这一成本然后，第4章通过研究这种攻击虽然被认为是关键的，但实际上仍然没有得到很好的记录，我们建议首先通过不同的场景来实验性地表征它因此，我们强调了它的有效性，并最终提出了一个修复NDN路由器的参考实现，以第三部分：互操作性和部署在第5章中，我们将讨论NDN与当前内容源的互操作性问题我们选择Web作为从NDN中受益的内容的主要来源为此，我们设计并评估了一对网关，通过自适应协议实现HTTP/NDN的自动转换因此，网关形成了一个NDN孤岛，客户和供应商可以完全透明地使用该孤岛此外，还特别注意使NDN缓存的Web内容尽可能好。最后，第6章提出了一种解决方案，通过采用网络功能虚拟化原理的协调微服务体系结构，简化了NDN网络的部署和管理因此，路由器的各种功能我们的评估表明，它能够扩展限制吞吐量的功能，或检测攻击并实例化7第一部分最新技术水平9第一章面向内容摘要1.1ICN9简介1.1.1ICN9的原则1.1.2面向数据的网络体系结构（DONA）1.1.3信息网络（NetInf）111.1.4发布-订阅互联网技术（PURSUIT）111.2命名数据网络（NDN）121.2.1一般原则121.2.2节点NDN 14的操作1.2.3NDN和CCN161.3ICN18的主要挑战1.4结论191.1ICN简介1.1.1ICN原则面向内容的网络，称为信息中心网络（ICN），是一个新的网络协议家族，其寻求在当前因特网的使用中改进网络通信事实上，互联网的使用演变为内容（Web、多媒体等）的大规模传播。连接的普遍性和普遍性因此，现在需要对TCP/IP堆栈进行许多添加，所有这些变化极大地复杂化了所使用的网络协议栈，因此，ICN网络的运营商希望通过提出符合当今互联网使用的网络体系结构来消除这种复杂且低效的协议套件这一新范式由Van Jacobson领导，他关于这一主题的第一篇出版物可追溯到2006年[Jac06]。ICN网络基于与我们使用的网络不同的方法，主要是IP。这些网络的主要区别在于将