SDN控制器部署中的可靠性优化研究

软件定义网络(SDN)将传统网络结构中的控制层和转发层解耦,其将所有转发设备与一个逻辑集中的控制器相连接。为避免网络规模不断扩大引起的单点失效,向分布式控制结构发展成为Open Flow广域网部署的趋势,其中控制层多控制器的部署问题是SDN设计中的一个关键环节。提出基于控制路径连通度的控制器部署方案来最大化SDN控制器部署的可靠性,并使用3种不同的算法对比控制器部署性能。仿真结果表明,该方案可以在可接受时延范围内提升部署SDN控制器的可靠性。     

基于哈希链的软件定义网络路径安全

针对软件定义网络中，控制器无法保证下发的网络策略能够在转发设备上得到正确执行的安全问题，提出一种新的转发路径监控安全方案。首先以控制器的全局视图能力为基础，设计了基于OpenFlow协议的路径凭据交互处理机制；然后采用哈希链和消息验证码作为生成和处理转发路径凭据信息的关键技术；最后在此基础上，对Ryu控制器和Open vSwitch开源交换机进行深度优化，添加相应处理流程，建立轻量级的路径安全机制。测试结果表明，该机制能够有效保证数据转发路径安全，吞吐量消耗比SDN数据层可信转发方案（SDNsec）降低20%以上，更适用于路径复杂的网络环境，但时延和CPU使用率的浮动超过15%，有待进一步优化。     

基于EAP-TLS的可信网络连接认证方案设计与实现

TNC架构在终端接入网络前对终端的平台身份和平台环境进行可信认证,保证了接入终端的可信,但这种可信认证存在单向性的局限,无法保证网络服务器的可信。EAP-TLS是802.1x中一种基于证书的扩展认证协议,支持双向认证机制。本文在分析TNC架构和EAP-TLS双向认证机制基础上,设计了一种基于EAP-TLS的可信网络连接双向认证方案,该方案能够对终端和服务器的平台身份、平台完整性和平台可信环境进行双向认证。在FHH@TNC开源架构搭建的可信网络环境上实现了客户端与服务器之间双向可信认证方案,并进行了方案测试,证明了方案的正确性。     

可信移动平台身份管理框架*

针对网络用户身份管理难题及现有的身份管理方案存在的不足,基于可信移动平台完整性校验、保护存储、域隔离和访问控制以及远程平台校验等安全特性,提出了可信移动平台身份管理方案和协议;构建了对应于口令、证书、指纹等认证方式的身份矩阵;实现了多种方式的身份认证、身份认证审计记录,主密钥、审计密钥、平台AIK私钥的加密存储,以及移动平台的可信验证、加密身份的还原和服务提供者身份标志的查找定位,并实现了身份信息和认证数据的加密传输;进行了安全性分析,结果表明该方案在保护用户身份信息安全的前提下,大大减轻了用户身份管理的     

关于IMC/IMV的网络设备可信认证方法研究

近年来，网络设备的安全问题日益凸显。如果网络设备不可信，网内所有计算机都可能面临被攻击的危险，所有数据也都可能面临被窃取的危险。所以网络设备是否安全地接入网络直接影响到整个网络的安全。提出了一种基于IMC/IMV的网络设备可信认证方法，在完成传统的平台身份认证的同时，进行平台可信状态验证，通过设计的完整性收集器（Integrity Measurement Collector，IMC）收集网络设备的可信状态信息，通过协议的多轮交互提交给完整性验证器（Integrity Measurement Verifier，IMV）进行验证，完成平台的完整性认证。实验表明，这种认证方式在实现网络设备的可信认证的同时，对系统性能的影响不大。     

基于虚拟化安全网络扩展的SDN安全架构

采用控制、转发分离架构的软件定义网络（SDN）为网络的可编程性与开放性提供极大便利,但也给网络的安全性带来诸多挑战。提出一种虚拟安全网络（Virtualized Security Networks）与数据层中间盒扩展相结合的SDN安全架构,给出该架构的实现要点,并以实验验证其架构实现。测试表明该架构较其他方式具有更好的性能与可扩展性,同时其更有利于传统网络环境下的安全保障机制面向SDN网络架构的过渡迁徙。     

基于SDN的网络传输QoS机制设计

随着工业控制、车载网络等实时业务流开始向以太网迁移,网络设备需要提供低时延低抖动的QoS保障机制。传统网络采用分布式控制,QoS保障机制的引入,会增加转发设备复杂度,同时也面临可扩展性问题。软件定义网络SDN通过将控制与转发分离,极大的增加了网络灵活性和可扩展性。本文基于SDN架构,通过在控制层将带宽资源量化为时隙,实现带宽资源的预分配;通过在转发层按时隙进行整形调度,避免了多条数据流同时到达中间转发节点产生的网络拥塞排队;通过从时间维度划分双通道传输,采用主动队列管理算法,隔离了普通通道对QoS通道的影响。本文充分利用SDN集中控制优势,设计了基于SDN的网络传输QoS机制,可为普通业务流与实时业务流等网络数据流传输QoS机制设计提供支持。     

基于SDN的OpenFlow交换机数据包流水线处理机制

目前,软件定义网络(Software Defined Networking,SDN)已成为网络研究与开发的重点,但相关的研究与开发工作还仅仅局限于园区网络和数据中心网络等。由于SDN控制层与数据层处理效率的限制,SDN面向互联网这样超大规模网络的研究还基本处于空白阶段。为了提升SDN的性能以使其适应大规模网络的特点,挖掘SDN数据层中并行加速处理的可能性,提出了将流水线技术应用到SDN数据层中交换机对数据包的转发过程。另外,结合SDN南向接口OpenFlow协议提供的交换机工作规范,设计了适用于OpenFlow交换机数据包转发的三级流水线处理机制。仿真实验说明,将流水线应用到SDN中能有效加快OpenFlow交换机的数据包转发速度。     

基于完整性度量的端到端可信匿名认证协议

针对目前端到端认证协议只认证平台身份,缺乏对平台可信性的验证,存在安全性的问题。通过改进的ELGamal签名方案,利用可信计算技术,提出了一种基于完整性度量的端到端可信匿名认证协议ETAAP(End-to-end Trusted Anonymous Authentication Protocol)。协议的首轮交互中实现了可信平台真实性验证,在此基础上通过IMC/IMV交互完成对平台完整性验证和平台安全属性的可信性评估,并采用通用可组合安全模型对协议的安全性进行了分析,证明协议是安全的。最后通过实验表明该协议具有较好的性能,可实现基于完整性的端到端可信匿名认证。     

基于可信计算平台的身份管理框架*

针对网络用户身份管理难题及现有的身份管理方案存在的不足,基于可信计算平台完整性校验、保护存储和访问控制以及远程平台校验等安全特性,提出了可信计算平台身份管理方案和协议。本方案实现了多种方式的身份认证及身份、身份认证审计记录和主密钥、审计密钥、平台AIK私钥的加密存储,以及移动平台的可信验证、加密身份的还原和服务提供者身份标志的查找定位,并实现了身份信息和认证数据的加密传输。最后,进行了安全性分析,结果表明该方案在保护用户身份信息安全的前提下,大大减轻了用户身份管理的负担。     

A trusted access method in software-defined network

In software-defined networks (SDN), most controllers do not have an established control function for endpoint users and access terminals to access network, which may lead to many attacks. In order to address the problem of security check on access terminals, a secure trusted access method in SDN is designed and implemented in this paper. The method includes an access architecture design and a security access authentication protocol. The access architecture combines the characteristics of the trusted access technology and SDN architecture, and enhances the access security of SDN. The security access authentication protocol specifies the specific structure and implementation of data exchange in the access process. The architecture and protocol implemented in this paper can complete the credibility judgment of the access device and user's identification. Furthermore, it provides different trusted users with different network access permissions. Experiments show that the proposed access method is more secure than the access method that is based on IP address, MAC address and user identity authentication only, thus can effectively guarantee the access security of SDN.     

一种基于路径跟踪反馈的SDN网络可信传输方案

针对软件定义网络(SDN)中的转发设备存在不可避免的漏洞和后门、缺乏主动监测或被动检查网络行为的机制等问题,提出一种基于路径跟踪反馈的SDN网络可信传输方案,设计基于跟踪反馈的传输路径可信验证机制,依据反馈信息分析节点的可信性,以此评估路径的可信度;同时,提出一种基于路径跟踪反馈的不相交多路径可信路由算法DMTRA-PTF,能够通过路径跟踪反馈和可信评估引导新的路径及时规避恶意交换机节点,构造不相交多路径路由方案以增强SDN网络传输服务的可信性。对比实验结果表明,路径跟踪反馈机制能够以较小的性能代价准确识别恶意交换机,提出的可信路由算法能够以此为后续路由动态规划不相交多条可信路径,有效提升网络整体的可信性。     

扩展的可信网络平台接入与认证

为了对终端接入可信网络的全生命周期的完整性进行实时监控与调节,通过分析现有可信网络认证模型的不足,基于可信网络认证与接入的三方模型,加入了元数据存储模块和流量控制器以及传感器模块,提出了一种扩展的可信网络平台接入与认证模型,并描述了一个基本的验证过程.通过在可信网络服务器端引入一个用于判定资源属性的模块,大大提高了服务器性能.然后描述了全生命周期监控的定义和实例.最后指出了扩展的可信网络认证与接入模型需要考虑的安全性和机密性问题.     

软件定义网络架构下的安全问题综述

随着网络业务的多元化与网络基础服务能力的不断提升,企业网、云计算、数据中心等大量新兴应用场景迅速丰富,传统网络已不能满足其不断涌现的可扩展性、可管理性及安全保障等新需求,这一现状有力地推动以SDN为代表的当代网络架构的发展。然而随着学术界与产业界对SDN技术的研究及其设备的普及,安全问题逐渐成为制约其进一步发展的关键因素之一。针对SDN架构的技术发展背景进行分析,然后简析SDN技术的核心架构原理及目前的发展现状;结合SDN架构特点,针对其安全特性及其所面临的安全威胁进行详细分析,并深入讨论SDN网络安全研究的范畴与新兴发展方向。     

移动网络可信匿名认证协议

针对终端接入移动网络缺乏可信性验证问题,提出一种移动网络可信匿名认证协议,移动终端在接入网络时进行身份验证和平台完整性认证。在可信网络连接架构下,给出了可信漫游认证和可信切换认证的具体步骤,在认证时利用移动终端中预存的假名和对应公私钥对实现了用户匿名隐私的保护。安全性分析表明,协议满足双向认证、强用户匿名性、不可追踪性和有条件隐私保护。协议中首次漫游认证需要2轮交互,切换认证需1轮即可完成,消息交换轮数和终端计算代价优于同类可信认证协议。     

增强RSVP-TE协议下的可信连接建立方法

针对可信网络中亟需解决的可信连接建立方法展开研究,以增强型RSVP-TE可信连接控制协议为基础,结合可信度量、基于CPK的协议安全认证及可信路由等技术,提出了一种具备节点可信度、带宽和优先级保障的可信连接建立方法,最终为数据在网络中的传送提供高安全可信的信息传输服务。仿真实验结果表明,该方法能够灵敏准确地反映节点状态变化和恶意攻击,能够有效地保证网络连接的安全可信性,具有良好的动态响应和抗攻击能力。     

移动可信接入轻量级认证与评估协议

为增强移动终端可信网络接入认证与评估协议的可用性,降低网络通信负载及终端计算负载,提出一种轻量级的身份认证与平台鉴别评估协议。协议基于接入双方在首次接入时共享的认证密钥以及对方的可信平台配置信息,在不需要可信第三方参与的情况下,完成快速的身份认证与鉴别评估。协议减少了网络数据交换次数以及接入双方的计算工作量,在保证接入认证与评估所需的安全属性的同时,还增强了平台配置信息的机密性以及抵抗重放攻击的能力。安全性和性能分析表明,所提协议适合无线网络通信环境下的移动终端可信网络接入。     

基于软件定义网络的流量工程

作为一种新型网络架构,软件定义网络(software defined network,简称SDN)将网络的数据层和控制层分离,通过集中化控制和提供开放控制接口,简化网络管理,支持网络服务的动态应用程序控制.流量工程通过对网络流量的分析、预测和管理,实现网络性能的优化.在SDN中开展流量工程,可以为网络测量和管理提供实时集中的网络视图,灵活、抽象的控制方式以及高效、可扩展的维护策略,具有突出的研究意义.对基于SDN的流量工程相关工作进行综述.分别从测量的方法、应用和部署角度出发,对SDN中流量测量的基本框架、基于测量的正确态检测以及测量资源的管理进行概述.分析传统网络流量调度方案的问题,介绍SDN中数据流量和控制流量调度的主要方法.从数据层和控制层两个方面概述SDN中故障恢复方法.最后,总结并展望未来工作.     

Mobile Fog Computing by Using SDN/NFV on 5G Edge Nodes

Fog computing provides quality of service for cloud infrastructure. As the data computation intensifies, edge computing becomes difficult. Therefore, mobile fog computing is used for reducing traffic and the time for data computation in the network. In previous studies, software-defined networking (SDN) and network functions virtualization (NFV) were used separately in edge computing. Current industrial and academic research is tackling to integrate SDN and NFV in different environments to address the challenges in performance, reliability, and scalability. SDN/NFV is still in development. The traditional Internet of things (IoT) data analysis system is only based on a linear and time-variant system that needs an IoT data system with a high-precision model. This paper proposes a combined architecture of SDN and NFV on an edge node server for IoT devices to reduce the computational complexity in cloud-based fog computing. SDN provides a generalization structure of the forwarding plane, which is separated from the control plane. Meanwhile, NFV concentrates on virtualization by combining the forwarding model with virtual network functions (VNFs) as a single or chain of VNFs, which leads to interoperability and consistency. The orchestrator layer in the proposed software-defined NFV is responsible for handling real-time tasks by using an edge node server through the SDN controller via four actions: task creation, modification, operation, and completion. Our proposed architecture is simulated on the EstiNet simulator, and total time delay, reliability, and satisfaction are used as evaluation parameters. The simulation results are compared with the results of existing architectures, such as software-defined unified virtual monitoring function and ASTP, to analyze the performance of the proposed architecture. The analysis results indicate that our proposed architecture achieves better performance in terms of total time delay (1800 s for 200 IoT devices), reliability (90%), and satisfaction (90%).