考虑拜占庭属性的SDN安全控制器多目标优化部署方案

通过赋予软件定义网络分布式控制平面拜占庭属性可以有效提高其安全性。在实现拜占庭属性过程中，控制器部署的数量、位置，以及交换机与控制器之间的连接关系会直接影响全局网络关键性能指标。为此，提出了一种考虑拜占庭属性的 SDN 安全控制器多目标优化部署方案。首先，构建了综合考量交互时延、同步时延、负载差异程度和控制器部署数量等优化指标的拜占庭控制器部署问题（MOSBCPP）模型；然后，针对该模型个性化设计了包括控制器部署策略初始化函数、变异函数，快速非支配排序函数及精英策略选择函数等在内的NASG-II求解算法。相关仿真结果表明，该部署方案能够在有效降低交互时延、同步时延、负载差异程度和控制器部署数量等性能指标的同时提高控制平面安全性。     

基于区块链的高透明度PKI认证协议

公钥基础设施（PKI）作为互联网空间安全基础设施的重要组成部分,为互联网的信息传输提供必要的真实性、完整性、机密性和不可否认性。现有的公钥基础设施存在证书颁发机构权力过大、吊销查询困难等问题。随着区块链技术的发展,可以利用区块链技术去中心化、透明度高、结构扁平等优点来解决上述公钥基础设施存在的问题,提高整个互联网建立信任关系的能力和效率。因此,提出基于区块链的高透明度PKI认证协议。该协议通过加入门限签名技术提出了改进的实用拜占庭容错共识算法（TS-PBFT）。TS-PBFT算法降低了原有实用拜占庭容错（PBFT,practical Byzantine fault tolerance）共识算法的通信复杂度,减少了通信开销;TS-PBFT 算法在视图切换协议的主节点选举引入了外界监督机制,增加了可监管性;TS-PBFT 算法在快速一致性协议中引入了批处理机制,提升了共识过程的性能。该协议一方面在提出的PBFT 算法的基础上引入了区块链技术,提升了证书吊销查询的安全性,并引入了计数布隆过滤器,提升了证书查询的效率;另一方面,该协议在证书的生命周期管理中增加了证书审计流程,对证书颁发机构的行为做出监管,促使其提高安全标准,达到限制其权力的目的。安全性分析和效率实验分析表明,所提协议系统具有抵抗伪装申请证书攻击等安全属性,与已有PKI协议相比在TLS/SSL握手耗时上具有优势。     

会话边缘控制器在下一代网络中的应用研究

该文通过分析下一代网络安全现状和部署VoIP业务存在的诸多问题,提出一个基于SIP协议的会话边缘控制器(SBC)的解决方案。SBC通过在网络边界处对基于SIP协议的会话进行一定的控制,实现NAT/防火墙穿透功能,同时还可以解决网络安全性问题、异构网络互联问题、服务质量等诸多问题。并针对SBC类似以全代理的方式,提出一种基于SIP协议的NAT/FW穿越的解决方案。     

高效异构融合网络认证协议的研究与分析

针对异构融合网络认证协议的效率和安全性不能兼顾的问题,提出了一种高效的认证协议,该协议包括全认证过程和快速重认证过程。通过全认证过程减少消息交互数量,快速重认证过程减少认证实体相结合的方式降低认证延迟,利用哈希链的随机性和单向性来保证信息的安全性和新鲜性。采用了形式化分析工具AVISPA对协议的安全性进行分析,同时与现有协议进行对比,结果分析表明,该认证协议在保证安全性的基础上提高了认证效率,有效改善了异构融合网络的性能。     

异构网络中保障业务QoS的TCP协议研究

当TCP协议应用于异构网络时业务的QoS无法得到保障,具体而言,一方面TCP协议与无线网络适配性较差,导致网络丢包率升高、吞吐量下降;另一方面,TCP协议对于业务不区分优先级,不能满足高优先级业务的需求。因此,文章提出了异构网络中基于捕食模型的保障业务QoS的TCP协议(QoS - Internet Predator based on Prey Model,Q-IPPM)。Q-IPPM算法不仅会根据异构网络的带宽改进TCP协议的拥塞控制架构,还根据不同业务的负载状况和优先级控制不同业务流量占比。实验结果表明,Q-IPPM算法不仅可以提显著提高异构网络的吞吐量,降低网络丢包率,还能够根据业务优先级和负载状况将带宽“按需分配”给不同业务,从而保障了异构网络中业务的QoS。     

WMN中拜占庭容错网络结构及算法

为提高无线Mesh网络(WMN)的可靠性,以可信计算领域中的拜占庭容错原理为基础,引入拜占庭单元概念,构建一个WMN拜占庭容错网络结构,并提出一种拜占庭算法,用以改进现有WMN路由协议.仿真结果表明,改进的路由协议能对异常节点信息进行容错处理,获得正确的节点信息,增强网络的容错能力,达到提升WMN可靠性的目的.     

基于Floodlight的SDN控制器研究

目前正在使用的网络架构已有30年的历史。在此架构下,交换机/路由器需要在超过6 000个分布式协议中使整个网络正常运行。这意味着只要有一个网元增加一种新的协议,其他网元都必须在结构上做出变更。SDN（Software Defined Network,软件定义网络）则打破了这种桎梏,它使得网络可编程,从而让网络在满足用户需求方面更具灵活性。SDN架构将控制和转发解耦,将控制功能集中到逻辑独立的控制环境之中,同时为应用层提供底层网络的抽象视图。结果就是SDN可以为用户提供可编程性极强的网络、网络自动化管理以及网络控制等功能,从而满足日益变化与丰富的网络需求。SDN控制器在SDN架构中的作用至关重要,它既要与基础设施层交互也需要与应用层经由API交互。首先分析了SDN架构的产生背景、原理和其发展现状;随后研究并分析了一个SDN控制器的开源项目Floodlight;最后通过对当前7种控制器的实验以及SDN相关原理对SDN控制器的特性进行了总结与分析。     

一种基于门限签名的区块链共识算法

针对区块链应用于物联网环境下的特点和要求,分析了目前广泛应用于联盟链的实用拜占庭容错算法（PBFT）的弊端以及目前应用于共识网络中的门限签名算法存在的普遍问题,提出改进的共识算法。首先,新共识机制将网络中的节点分组用部分节点的两两通信代替所有节点的两两通信减少通信量;其次,将组合公钥的思想引入到门限签名中,减少了通信量与计算量;最后,在节点之间引入信用分机制,优化视图切换协议。仿真结果表明,新提出的共识算法在数据吞吐量以及通信时延方面有了明显的提升,并且得到了通信量最低时的最佳分组方式。     

基于高均衡多模协议适配的异构网络通信数据融合方法

当前方法多模协议适配均衡性评价较差,在处理多模协议适配、异构网络融合问题时,可靠性低、阻塞率高、丢包率高的问题。提出了基于高均衡多模协议适配的异构网络通信数据融合方法。该方法由多模协议适配和异构网络融合两步骤构成,首先通过分化式进化协议适配器,构建多模协议适配模型,完成异构网络多模协议差异格式转换,将多模协议中异构网络数据统一转换为相同格式;然后针对转换后的数据,采用新型异构数据融合算法,实现异构网络通信数据融合;最后以UMTS+WLAN多模协议适配、异构网络融合问题为例,实施融合效果测试,测试结果显示：该方法在处理异构网络融合问题时,时延极小,存在可用性,且可靠性、阻塞率、丢包率的测试结果均优于对比方法。     

医院信息平台设计及应用——佛山市中医院建设信息平台消除信息孤岛的实践

本文从我院实际情况出发,主要介绍了在数字化医院建设过程中,我院通过引入医院信息平台产品,有效解决异构系统、异构数据、异构网络、异构协议而导致的数据共享困难问题。     

基于软件定义网络的边缘控制部署机制

针对软件定义网络（software-defined Networking,SDN）中单一控制器容易发生过载导致较长时延的问题,提出一种基于SDN的边缘控制模型,该模型采取分层部署方式将边缘计算集成到SDN中,每个边缘控制器控制其覆盖范围内部署的所有子边缘控制器和交换机,负责区域内网络设备的通信量。为了方便管理边缘控制器之间的交互,该模型引入一个控制器代理模块,将设备请求转发给父控制器或将路由信息发送给子控制器来协调控制器之间的工作。实验结果表明,与基于SDN的传统网络相比,该方法依托部署在网络设备边缘的计算和存储服务,减轻了SDN主控制器上的负载,降低了转发平面和控制平面之间的延时,显著地改善了总处理延时和带宽使用情况。     

基于SDN的卫星网络多控制器部署方法研究

针对传统卫星网络协议的异构性、网络配置不灵活、不能提供细粒度服务等问题,本文基于SDN的卫星网络架构,提出了一种改进的NSGA-II的多目标控制器初始化部署算法,以实现卫星网络的灵活控制。该方法在SDN卫星网络的架构基础上以低时延和负载均衡为优化目标,通过矩阵的形式对个体进行编码,同时提出行交叉和列交叉以及行变异和列变异操作,通过不断迭代进化,得出最优的控制器部署方案。实验证明,与传统的贪心算法以及随机算法相比,所提出的算法能够降低控制器和交换机之间的网络时延,同时使各控制器的负载保持均衡。     

OAuthkeeper: An Authorization Framework for Software Defined Network

Implementing REST API for SDN is quite challenging compared to conventional web services. First, the state transfers in SDN are more complex among network devices, controllers, and applications. Second, SDN provides more granular resources in both the controller and the network device itself. Those challenges require SDN to have a proper REST API security definition, which is currently not available in most of the SDN controllers. In this paper, we propose and implement a REST API security module for SDN controller based on OAuth 2.0. We answer the SDN REST API security challenges by presenting novel access control parameters to cope with the granular resources introduced by SDN. Our prototype maintains the best trade-off between performance and safety by generating a maximum value of 15% overhead during our benchmark. It also offers a customizable and flexible access control for the network in various use cases.     

面向软件定义网络的入侵容忍控制器架构及实现

针对软件定义网络(SDN)这一集中式网络控制环境中控制平面存在单点失效问题,提出一种基于入侵容忍思想的控制器架构,通过冗余、多样的中央控制器平台来提高网络可用性与可靠性。该架构利用一种控制器消息的比对方法来检测被入侵的控制器。首先,规定了需比对的关键消息类型和字段;其次,运用一致性裁决算法对不同控制器消息进行比对;最后,将消息异常的控制器进行网络隔离并重启恢复。基于Mininet的入侵容忍可靠性测试表明,该入侵容忍控制器架构可检测并过滤异常控制器消息。基于Mininet的控制器响应延迟测试表明,当容忍度设置为1和3时,下层网络请求延时分别增加16%和42%。基于Cbench的控制器响应延迟和吞吐量测试表明,该入侵容忍控制器性能处在各个子控制器(Ryu,Floodlight)性能水平之间,且向性能高的子控制器趋近。在实际应用中,可根据应用场景的安全级别配置子控制器的数量和类型,以满足对响应速度和入侵容忍度的要求。     

SDN多控制器共识机制研究综述

[背景]伴随着区块链逐渐应用于新一代互联网络的域名、路由、公钥等基础设施,其重要性日益彰显.作为区块链以及整个分布式系统领域的核心技术,共识机制直接影响着区块链的处理能力、可扩展性及安全性,也影响着其在互联网基础设施中的根基.[目的]对软件定义网络SDN(Software Defined Network)中用于实现多控...     

A trusted access method in software-defined network

In software-defined networks (SDN), most controllers do not have an established control function for endpoint users and access terminals to access network, which may lead to many attacks. In order to address the problem of security check on access terminals, a secure trusted access method in SDN is designed and implemented in this paper. The method includes an access architecture design and a security access authentication protocol. The access architecture combines the characteristics of the trusted access technology and SDN architecture, and enhances the access security of SDN. The security access authentication protocol specifies the specific structure and implementation of data exchange in the access process. The architecture and protocol implemented in this paper can complete the credibility judgment of the access device and user's identification. Furthermore, it provides different trusted users with different network access permissions. Experiments show that the proposed access method is more secure than the access method that is based on IP address, MAC address and user identity authentication only, thus can effectively guarantee the access security of SDN.     

基于哈希链的软件定义网络路径安全

针对软件定义网络中，控制器无法保证下发的网络策略能够在转发设备上得到正确执行的安全问题，提出一种新的转发路径监控安全方案。首先以控制器的全局视图能力为基础，设计了基于OpenFlow协议的路径凭据交互处理机制；然后采用哈希链和消息验证码作为生成和处理转发路径凭据信息的关键技术；最后在此基础上，对Ryu控制器和Open vSwitch开源交换机进行深度优化，添加相应处理流程，建立轻量级的路径安全机制。测试结果表明，该机制能够有效保证数据转发路径安全，吞吐量消耗比SDN数据层可信转发方案（SDNsec）降低20%以上，更适用于路径复杂的网络环境，但时延和CPU使用率的浮动超过15%，有待进一步优化。     

基于图非均衡划分的软件定义网络异构控制器负载优化部署

大规模软件定义网络(SDN)往往需要逻辑上集中的控制器在物理上分布式部署。针对控制器部署中控制器负载不均衡的问题,提出一种基于图非均衡划分的SDN异构控制器负载优化部署方法。首先,分析控制器部署要求以及部署带来的控制器负载均衡和时延问题;其次,利用图论和余弦相似度,量化描述和计算异构控制器情况下的控制器负载均衡和时延,并运用图划分理论将控制器负载优化部署问题转化为一个具体的图划分问题;最后,基于多级划分的图划分思想,提出控制器负载优化部署方法。对实际网络拓扑的模拟实验结果表明,提出的部署方法可以有效实现接近最优的控制器负载分布。     

基于混合制排队模型的SDN控制器性能评估研究

软件定义网络SDN将逻辑控制与数据转发相分离,提高了网络的灵活性和可编程能力,成为近年来未来网络领域的研究热点。SDN在实际应用部署时将面临控制器性能瓶颈的挑战,因而有必要理解SDN控制器的性能特性。为此,首先对SDN控制器中Packet-In消息的到达过程和处理时间进行分析,进而基于排队论提出了一种容量有限的SDN控制器性能评估模型M/M/1/m,推导得出了该模型的性能参数,包括:平均等待队长、平均等待时间、平均队列长度和平均逗留时间。最后,采用控制器性能测试工具Cbench对该模型进行了实验评估。实验结果表明:相对于现有其它模型,该模型的估计时延更接近于实际测量时延,可更精确地描述SDN控制器的性能。