学位论文 > 优秀研究生学位论文题录展示

云计算数据中心的网络带宽隔离技术研究

作 者: 冯振乾
导 师: 苏金树
学 校: 国防科学技术大学
专 业: 计算机科学与技术
关键词: 云计算 数据中心网络 拥塞控制 路由拓扑探测 低速率拒绝服务攻击 带宽隔离
分类号: TP308
类 型: 博士论文
年 份: 2012年
下 载: 248次
引 用: 0次
阅 读: 论文下载
 

内容摘要


云计算技术的目标是希望使得需要计算、存储和网络服务能力的企业能够从昂贵的设备采购、繁琐的应用部署和复杂的系统管理中释放出来,将更多精力投入业务软件开发与解决方案的创新。云计算允许用户按需支付,并支持其应用按需增长处理能力,降低其前期投资风险。然而,这种开放服务模型将使得具有不同背景的租赁者驻留在同一数据中心,从而带来潜在的安全威胁。例如,租赁者通过部署恶意应用并实施恶意攻击,在数据中心内部制造混乱。因此,云计算提供者不仅需要设计可扩展的数据中心结构,满足日益激增的应用需求,而且更重要的是,提供有效的性能隔离机制,保障不同租赁者之间性能互不干扰。云计算数据中心的资源主要包括计算、存储和网络资源。目前主要利用虚拟机管理器的机制,如Xen和Hyper-v,以虚拟机为单位对计算和存储资源进行划分,从而使得计算和存储资源得到比较好的隔离。但租赁者如何共享网络目前缺乏有力的控制,从而无法提供网络带宽隔离。例如利用VLAN可实现可达性或者流量隔离,但其目前不提供网络带宽配额,无法提供网络带宽隔离。缺乏有效的网络带宽隔离机制,当前面向云计算的数据中心网络至少存在以下风险。一是以流为单位的带宽分配方式,容易诱发自私和攻击行为,如通过并行发起多个流,占用更多网络带宽,发起流量攻击等。二是许多新的并行计算模式,如搜索和MapReduce等,引入同步性极强的多对一通信模式,对于低延时和小缓冲的数据中心网络容易导致TCP拥塞崩溃。三是许多既有应用基于非响应式协议实现,允许这类应用迁移到数据中心,势必对其他应用带来性能干扰;而禁止其迁移将损失潜在的商业利润,或对应用进行重写。针对上述问题,本文研究如何实现云计算数据中心网络租赁者之间网络层次的带宽隔离问题,主要创新和成果主要有以下三个方面:首先,从数据中心网络防范拓扑探测的角度,探索了云计算数据中心租赁用户利用端对端方法,探测数据中心网络逻辑路由拓扑结构的可能性,并提出一种基于UDP流粗粒度丢包特性的递进式探测算法。租赁用户仅利用正常流量,能否探测出其虚拟机之间的网络路由拓扑结构,目前尚不可知。传统的端对端路由拓扑探测技术,基于报文级的细粒度丢包或延时特性进行统计聚类,进而推测出逻辑路由拓扑的最大似然估计结果。但是直接应用这些技术将面临两个问题:一是假设探测报文在路由过程中总是可以获得细粒度的丢包和延时特性,这种假设在高带宽、低延时网络并不总是合理;二是基于报文级的统计分析方法,在网络带宽很高时将引入巨大的存储和计算开销,可扩展性较差。通过进一步研究和大量实验,本文提出,将路由拓扑分解成以接收虚拟机为根的探测树,依据特定的策略制造拥塞,并利用流级粗粒度丢包多维特性进行递进式探测,可以获得非常准确的逻辑路由拓扑结构,且单次探测可以在若干毫秒内完成。租赁用户可利用路由拓扑结构,为其自私和攻击行为服务。这就要求网络带宽隔离机制应尽可能将网络负载控制在较低的水平,且实现细粒度的拥塞控制。其次,从数据中心网络防范流量攻击的角度,探索了数据中心网络面临低速率拒绝服务攻击的可能性和必要条件,包括非响应式数据流和响应式数据流,特别是利用数据中心网络路由拓扑结构进行灵巧攻击的条件,并提出了理论分析模型。对于当前数据中心网络面临流量攻击的问题,尽管已有一些定性的讨论,但是对于实施该类攻击所需条件及其后果,缺乏定量的分析。通过构建理论分析模型和进行大量实验,本文指出,数据中心网络的低延时和小缓冲特性,使得租赁用户一是可以聚合多个同步流进行低速率拒绝服务攻击,二是可以利用网络的路由拓扑结构,将攻击目标选定在网络边缘或者网络内部。分析模型和实验结果表明,攻击流持续攻击时长通常只需若干毫秒就可能将目标TCP流的吞吐降至非常低。因此,需要研究数据中心网络的带宽隔离,在网络可用带宽不够时,尽可能抑制并发流;在实施拥塞控制时,统筹考虑拥塞可能发生的位置。最后,针对当前网络带宽隔离技术的不足,同时考虑防范拓扑探测与防范流量攻击问题,本文提出一种数据中心网络的带宽隔离机制,也就是统一的逻辑通道,对响应式和非响应式数据流进行统一的带宽分配,并提出一种基于RTT的接收端拥塞控制机制。现有基于资源预留的带宽分配方式,能实现较好的带宽隔离,但其实现复杂且资源利用率低;而现有动态带宽分配方式,能充分利用资源,但仅关注网络边缘链路的带宽公平性,同时缺乏对并发流的抑制和细粒度的拥塞控制机制。本文提出,利用统一的逻辑通道强制细粒度按需动态带宽分配机制,保障流之间的公平带宽分配;并提出接收端增强的细粒度拥塞控制算法,兼顾了网络边缘和网络内部链路出现拥塞的情况,依据网络当前拥塞程度决定进入网络的并发流数目,在避免网络拥塞的前提下尽可能保证带宽分配的公平性。实验结果表明,该机制能够有效防止用户端有意或无意占用其他用户网络带宽,抵御来自用户端的低速率拒绝服务攻击,保障数据中心网络带宽隔离。

全文目录


摘要  11-13
ABSTRACT  13-16
第一章 引言  16-27
  1.1 课题研究背景及意义  16-19
    1.1.1 云计算模型  16-17
    1.1.2 数据中心网络共享面临的挑战  17-18
    1.1.3 研究意义  18-19
  1.2 带宽隔离技术现状  19-23
    1.2.1 传统的带宽隔离技术  19-20
    1.2.2 数据中心网络的带宽隔离技术  20-23
  1.3 研究内容和主要贡献  23-26
    1.3.1 本文的研究内容  23-24
    1.3.2 本文的主要贡献  24-26
  1.4 论文结构  26-27
第二章 数据中心网络相关研究  27-41
  2.1 联网需求  27-28
  2.2 体系结构  28-34
    2.2.1 互连结构  28-31
    2.2.2 寻址与路由  31-34
  2.3 拥塞控制技术  34-37
    2.3.1 链路层拥塞控制  34-35
    2.3.2 网络层拥塞控制  35-36
    2.3.3 传输层拥塞控制  36-37
  2.4 带宽隔离技术  37-41
    2.4.1 以虚拟机为单位分配带宽  37-39
    2.4.2 以租赁者为单位分配带宽  39-41
第三章 数据中心网络的路由拓扑探测机制  41-64
  3.1 问题提出  41-42
  3.2 现有探测技术及其不足  42-45
  3.3 探测方法创新及理论依据  45-49
    3.3.1 ICTree:探测问题抽象与分解  46-48
    3.3.2 流级粗粒度丢包属性  48-49
  3.4 基于 ICTree 的端对端流级递进式探测算法  49-55
    3.4.1 对现实平台的假设  49
    3.4.2 节点聚类算法  49-53
    3.4.3 分支确定算法  53-55
  3.5 性能评估  55-62
    3.5.1 实验平台性能评估  55-60
    3.5.2 更大规模网络模拟评估  60-62
  3.6 小结  62-64
第四章 数据中心网络的流量恶意攻击机制  64-88
  4.1 相关研究  65-68
    4.1.1 低速率拒绝服务攻击  65-66
    4.1.2 TCP Incast 拥塞  66-68
  4.2 攻击模型  68-71
    4.2.1 攻击场景  68-69
    4.2.2 攻击方法  69-71
  4.3 利用非响应式数据流进行拒绝服务攻击  71-78
    4.3.1 理论分析模型  71-73
    4.3.2 模型验证与实验评测  73-78
  4.4 利用响应式数据流进行拒绝服务攻击  78-87
    4.4.1 理论分析模型  79-82
    4.4.2 模型验证与实验评测  82-87
  4.5 小结  87-88
第五章 数据中心网络带宽隔离机制与实现方法  88-107
  5.1 设计原则  89-91
    5.1.1 统一的细粒度带宽分配  89-90
    5.1.2 基于 RTT 的接收端拥塞控制  90
    5.1.3 带条件的公平  90-91
  5.2 强制拥塞控制逻辑通道  91-92
  5.3 接收端增强的拥塞控制机制  92-97
    5.3.1 调控依据  92-94
    5.3.2 调控时机  94-96
    5.3.3 调控逻辑  96-97
  5.4 Redball 设计与实现  97-99
    5.4.1 Redball 通信协议  98
    5.4.2 Redball 拥塞控制  98-99
  5.5 Redball 原型系统评估  99-106
    5.5.1 TCP 流和 UDP 流共享  99-101
    5.5.2 多 TCP 流共享  101-104
    5.5.3 并发流拥塞控制  104
    5.5.4 系统开销与代价  104-106
  5.6 小结  106-107
第六章 结束语  107-110
  6.1 工作总结  107-108
  6.2 工作展望  108-110
致谢  110-112
参考文献  112-123
作者在学期间取得的学术成果  123

相似论文

  1. 宽带卫星网络中的TCP拥塞控制机制的研究,TN927.2
  2. 云计算平台下的动态信任模型的研究,TP309
  3. 基于下一代互联网的IPTV终端系统的研究与应用,TN949.292
  4. 基于Eucalyptus的教育知识服务模型设计与实现,TP393.09
  5. 基于TCP/IP协议的网络拥塞控制方法研究,TP393.06
  6. 云网络实验平台研究与实现,TP393.09
  7. 基于云计算的数字图书馆服务模式研究,G250.76
  8. Ad Hoc网络的功率控制与拥塞控制联合优化研究,TN929.5
  9. 面向云计算的动态模糊测度方法研究,TP274
  10. 基于云计算的图书馆信息服务研究,G252
  11. 基于云计算的Web教育爬虫,TP391.3
  12. 云计算客户端应用系统的研究与开发,TP311.52
  13. 基于Hadoop的在线购物原型系统的设计与实现,TP311.52
  14. 基于Hadoop的移动学习系统设计与实现,G434
  15. 云计算在权限管理中的应用研究,TP309
  16. 基于IP组播端可靠传输系统的设计与实现,TP393.09
  17. 无线接入网络主动队列管理算法研究,TN925.93
  18. 低速率拒绝服务攻击的一种检测方法,TP393.08
  19. 基于云计算的软件资源服务平台研究,TP311.52
  20. 流控制传送协议拥塞控制机制的研究,TN915.04
  21. 云计算平台上的增量学习研究,TP311.13

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 一般性问题 > 机房
© 2012 www.xueweilunwen.com