基于OpenFlow的SDN专利技术分析

软件定义网络(SDN)作为一种新的网络架构,为打破传统的TCP/IP架构提供了可能,实现了控制平面与数据平面的解耦,可以满足未来互联网的需求。基于OpenFlow的SDN可以为新的网络应用与未来互联网技术的发展提供支持。基于此,从专利角度系统梳理基于OpenFlow的SDN技术的专利申请,对国内外专利申请量趋势、重要申请人分布及研究和发展重点进行可视化展示。     

基于SDN的OpenFlow交换机数据包流水线处理机制

目前,软件定义网络(Software Defined Networking,SDN)已成为网络研究与开发的重点,但相关的研究与开发工作还仅仅局限于园区网络和数据中心网络等。由于SDN控制层与数据层处理效率的限制,SDN面向互联网这样超大规模网络的研究还基本处于空白阶段。为了提升SDN的性能以使其适应大规模网络的特点,挖掘SDN数据层中并行加速处理的可能性,提出了将流水线技术应用到SDN数据层中交换机对数据包的转发过程。另外,结合SDN南向接口OpenFlow协议提供的交换机工作规范,设计了适用于OpenFlow交换机数据包转发的三级流水线处理机制。仿真实验说明,将流水线应用到SDN中能有效加快OpenFlow交换机的数据包转发速度。     

基于OpenFlow的SDN技术研究

软件定义网络(software-defined networking,简称SDN)技术分离了网络的控制平面和数据平面,为研发网络新应用和未来互联网技术提供了一种新的解决方案.综述了基于OpenFlow 的SDN 技术发展现状,首先总结了逻辑控制和数据转发分离架构的研究背景,并介绍了其关键组件和研究进展,包括OpenFlow交换机、控制器和SDN技术,然后从4 个方面分析了基于OpenFlow 的SDN 技术目前所面临的问题和解决思路.结合近年来的发展现状,归纳了在校园网、数据中心以及面向网络管理和网络安全方面的应用,最后探讨了未来的研究趋势.     

基于Renyi熵的SDN自主防护系统

针对SDN架构下的常见网络异常行为,提出了一套基于Renyi熵的SDN自主防护系统,该系统可实现网络异常行为检测、诊断及防御.系统无须引入第三方测量设备,直接利用OpenFlow交换机流表信息.首先,通过计算和检测特征熵值,实现异常网络行为的检测.然后,进一步分析OpenFlow流表信息,实现异常行为的诊断.最后,实施...     

一种基于OpenFlow的SDN访问控制策略实时冲突检测与解决方法

软件定义网络SDN(Software-Defined Networking)是由美国斯坦福大学Clean Slate研究组提出的一种新型网络创新架构,可通过软件编程的形式定义和控制网络,其控制平面和转发平面分离及开放性可编程的特点,为新型互联网体系结构研究提供了新的实验途径,也极大地推动了下一代互联网的发展.OpenFlow是SDN的主要协议,定义了SDN控制器与交换机之间的通信标准.目前,很多基于OpenFlow的SDN设备已经在实际中得到了部署.但是,基于OpenFlow的SDN却面临很多安全挑战.其中一个重要的挑战是如何建立一个安全可靠的SDN防火墙应用.由于OpenFlow协议的无状态性,现有的SDN防火墙可以被通过改写交换机中的流表项轻松绕过.针对这一安全威胁,作者提出了基于Flowpath的实时动态策略冲突检测与解决方法.通过获取实时的SDN网络状态,能够准确地检测防火墙策略的直接和间接违反,并且一旦发现冲突,可以基于Flowpath进行自动化和细粒度的冲突解决.最后,作者在开源控制器Floodlight上实现了一个安全增强的防火墙应用FlowVerifier,并基于Mininet对FlowVerifier的性能进行了评估.结果表明FlowVerifier能够检测和自动化地解决SDN网络中由于流表改写而引入的策略冲突及其带来的安全威胁.     

基于OpenFlow架构的域内源地址验证方法

源地址验证对网络安全、管理和计量都有重要意义.清华大学提出包括接入子网、域内和域间三个层次的源地址验证体系结构.其中域内用到一种基于集中计算路径的方法,但在传统网络环境限制下,其实现遇到很多问题.本文将利用软件定义网络对网络革新的便捷支持,基于OpenFlow网络对域内源地址验证方法进行重新设计与实现,并提出两种方案.一种是在已有路由表的基础上计算出域内任意两个子前缀间的路径并生成源地址前缀、目的地址前缀和入接口三元组作为过滤规则;另一种方案是重新设计新的路由算法,生成同时具有路由功能和验证源地址功能的四元组(源地址前缀、目的地址前缀、入接口和出接口)流表.并分别对两种方案做出对比,给出实验结果.     

SDN的技术及应用研究

目前,软件定义网络(Software Defined Network,简称SDN)已经成为当前研究的热点。SDN通过路由控制和数据转发相分离,改变了现有的网络架构,实现了网络和业务的可编程。本文从SDN产生背景和概念入手,归纳了SDN的关键技术和实现机制,并对SDN的应用及所面临的挑战进行了深入的分析和总结。     

基于软件定义网络的防火墙系统设计与实现

基于软件定义网络系统架构,提出新型防火墙安全系统。分析新型防火墙系统的架构及主要功能模块,并详述防火墙的数据流处理过程。最后利用Open Flow设备和Floodlight控制器创建了一个软件定义网络防火墙验证环境,针对不同场景进行试验,试验结果证明了防火墙的有效性和效率。     

基于SDN的高校计算机网络实验室设计

网络应用数量的迅猛增长,让新型网络创新架构SDN受到各界的广泛推崇。为了解决许多高校的计算机网络实验室还不支持SDN相关实验,对计算机相关专业学生在SDN的学习、应用和研究方面形成阻碍,不利于学生的系统学习和就业的问题,本文从SDN的理论建设出发,基于Open Flow标准,搭建基于SDN的计算机网络创新环境实验平台并设计了五种基本网络连接通信情况,为高校计算机网络实验室提供能够支持SDN相关实验的低成本可行性设计方案。     

基于虚拟化安全网络扩展的SDN安全架构

采用控制、转发分离架构的软件定义网络（SDN）为网络的可编程性与开放性提供极大便利,但也给网络的安全性带来诸多挑战。提出一种虚拟安全网络（Virtualized Security Networks）与数据层中间盒扩展相结合的SDN安全架构,给出该架构的实现要点,并以实验验证其架构实现。测试表明该架构较其他方式具有更好的性能与可扩展性,同时其更有利于传统网络环境下的安全保障机制面向SDN网络架构的过渡迁徙。     

基于Floodlight的SDN控制器研究

目前正在使用的网络架构已有30年的历史。在此架构下,交换机/路由器需要在超过6 000个分布式协议中使整个网络正常运行。这意味着只要有一个网元增加一种新的协议,其他网元都必须在结构上做出变更。SDN（Software Defined Network,软件定义网络）则打破了这种桎梏,它使得网络可编程,从而让网络在满足用户需求方面更具灵活性。SDN架构将控制和转发解耦,将控制功能集中到逻辑独立的控制环境之中,同时为应用层提供底层网络的抽象视图。结果就是SDN可以为用户提供可编程性极强的网络、网络自动化管理以及网络控制等功能,从而满足日益变化与丰富的网络需求。SDN控制器在SDN架构中的作用至关重要,它既要与基础设施层交互也需要与应用层经由API交互。首先分析了SDN架构的产生背景、原理和其发展现状;随后研究并分析了一个SDN控制器的开源项目Floodlight;最后通过对当前7种控制器的实验以及SDN相关原理对SDN控制器的特性进行了总结与分析。     

软件定义网络架构下的安全问题综述

随着网络业务的多元化与网络基础服务能力的不断提升,企业网、云计算、数据中心等大量新兴应用场景迅速丰富,传统网络已不能满足其不断涌现的可扩展性、可管理性及安全保障等新需求,这一现状有力地推动以SDN为代表的当代网络架构的发展。然而随着学术界与产业界对SDN技术的研究及其设备的普及,安全问题逐渐成为制约其进一步发展的关键因素之一。针对SDN架构的技术发展背景进行分析,然后简析SDN技术的核心架构原理及目前的发展现状;结合SDN架构特点,针对其安全特性及其所面临的安全威胁进行详细分析,并深入讨论SDN网络安全研究的范畴与新兴发展方向。     

面向业务的SDN网络带宽保障研究

随着云计算、大数据技术的蓬勃发展,部署于数据中心的网络业务随之也越来越多,为了确保用户的良好体验以及服务提供商的经济收益,对业务带宽的高效保障逐渐成为研究的热点。基于SDN将控制和转发相分离的技术优势,提出一面向业务的带宽保障方法,该方法首先将多种业务进行了粗粒度分类,以此为基础提出了ATBG（Application-towards Bandwidth Guarantee）算法,并通过集中式的调度控制,实现了多业务不同优先级的带宽高效保障。利用floodlight+mininet模拟环境验证了文中所提方法的有效性。     

Combining OpenFlow and sFlow for an effective and scalable anomaly detection and mitigation mechanism on SDN environments

Software Defined Networks (SDNs) based on the OpenFlow (OF) protocol export control-plane programmability of switched substrates. As a result, rich functionality in traffic management, load balancing, routing, firewall configuration, etc. that may pertain to specific flows they control, may be easily developed. In this paper we extend these functionalities with an efficient and scalable mechanism for performing anomaly detection and mitigation in SDN architectures. Flow statistics may reveal anomalies triggered by large scale malicious events (typically massive Distributed Denial of Service attacks) and subsequently assist networked resource owners/operators to raise mitigation policies against these threats. First, we demonstrate that OF statistics collection and processing overloads the centralized control plane, introducing scalability issues. Second, we propose a modular architecture for the separation of the data collection process from the SDN control plane with the employment of sFlow monitoring data. We then report experimental results that compare its performance against native OF approaches that use standard flow table statistics. Both alternatives are evaluated using an entropy-based method on high volume real network traffic data collected from a university campus network. The packet traces were fed to hardware and software OF devices in order to assess flow-based data-gathering and related anomaly detection options. We subsequently present experimental results that demonstrate the effectiveness of the proposed sFlow-based mechanism compared to the native OF approach, in terms of overhead imposed on usage of system resources. Finally, we conclude by demonstrating that once a network anomaly is detected and identified, the OF protocol can effectively mitigate it via flow table modifications.     

基于OpenFlow的软件定义网络流规则冲突检测系统

在软件定义网络(SDN)中,各类网络应用的独立开发以及多用户的网络管理可能导致下发至交换设备的流规则发生冲突,而控制平面与转发平面的分离使得交换设备缺乏策略分析能力,无法独立检测内部的流规则冲突.针对这一问题,提出一种流规则冲突检测系统和检测算法.首先,通过监听、捕获控制平面与转发平面之间的OpenFlow报文,获取即...     

SDN中基于C4.5决策树的DDoS攻击检测

SDN（Software Defined Network,软件定义网络）是一种新兴的网络架构,它的控制与转发分离架构为网络管理带来了极大的便利性和灵活性,但同时也带来新的安全威胁和挑战。攻击者通过对SDN的集中式控制器进行DDoS（Distributed Denial of Service,分布式拒绝服务）攻击,会使信息不可达,造成网络瘫痪。为了检测DDoS攻击,提出了一种基于C4.5决策树的检测方法：通过提取交换机流表项信息,使用C4.5决策树算法训练数据集生成决策树对流量进行分类,实现DDoS攻击的检测,最后通过实验证明了该方法有更高的检测成功率,更低的误警率与较少的检测时间。     

SDN数据中心网络基于流分类的负载均衡方案

随着数据中心内的数据流量不断增加,导致网络中部分链路负载过重。传统的ECMP机制由于没有考虑链路状态以及流量特征,因此不再适用数据中心网络。同时ECMP可能会将多条大流映射到同一条路径上,造成大流映射冲突,导致链路瓶颈问题。基于SDN（Software Defined Network）架构提出一种面向Fat-Tree拓扑的动态流量负载均衡机制（Load Balancing based on Flow Classification,LBFC）,同时考虑了链路状态信息与流量特征进行负载均衡。LBFC机制动态调整流分类阈值来判定大流和小流,采用不同的方式为大流和小流选择转发路径,以满足大流和小流不同的传输性能需求。仿真结果表明LBFC机制能够根据网络链路状态以及流量特征动态地判定大流和小流并实现负载均衡,与ECMP、GFF和DLB算法相比,LBFC机制提高了网络吞吐量以及链路利用率,降低了传输时延。     

基于SDN网络的安全设备路由研究

SDN（Software Defined Networking,软件定义网络）是一种新型的网络架构,是网络实现自动化部署灵活管理的一个重要方式。SDN技术将网络的数据平面和控制平面相分离,从而实现了网络流量的灵活控制。因此,基于SDN技术提出了一种基于SDN网络的安全设备路由模型,该模型结合改进的内嵌式安全设备最短路由算法和旁路式最短路由算法及神经网络最短路由算法,得到一种高效的安全设备路由策略,并且在此基础上构建了一个网络安全服务调度系统,能够在安全设备混合部署的复杂网络环境中,按用户需求提供个性化的安全服务;同时,通过计算较低网络成本的最短安全路径,提高了网络的路由效率和资源利用率。     

基于软件定义网络的智能变电站网络架构设计

随着智能变电站二次装置标准化、智能化水平的提升,需要有一种更高效、智能的通信网络以满足变电站运行和维护要求,能够实现设备即插即用、智能监测、子网间安全隔离以及设备通用互换。针对智能站网络统一管理、子网间安全隔离以及设备兼容性、互换性的应用需求,提出了一种基于软件定义网络（SDN）技术的变电站网络架构,将IEC61850和OpenFlow协议用于网络架构设计,利用OpenFlow控制器管控和隔离各独立子网,以实现网络设备管理和子网安全隔离。实验结果表明,所提架构可实现流量基于业务类型的精准控制和数据的安全隔离,对于提升变电站运行和维护水平有着非常重要的应用价值。