基于OpenFlow的软件定义网络流规则冲突检测系统

在软件定义网络(SDN)中,各类网络应用的独立开发以及多用户的网络管理可能导致下发至交换设备的流规则发生冲突,而控制平面与转发平面的分离使得交换设备缺乏策略分析能力,无法独立检测内部的流规则冲突.针对这一问题,提出一种流规则冲突检测系统和检测算法.首先,通过监听、捕获控制平面与转发平面之间的OpenFlow报文,获取即...     

基于OpenFlow的SDN专利技术分析

软件定义网络(SDN)作为一种新的网络架构,为打破传统的TCP/IP架构提供了可能,实现了控制平面与数据平面的解耦,可以满足未来互联网的需求。基于OpenFlow的SDN可以为新的网络应用与未来互联网技术的发展提供支持。基于此,从专利角度系统梳理基于OpenFlow的SDN技术的专利申请,对国内外专利申请量趋势、重要申请人分布及研究和发展重点进行可视化展示。     

基于OpenFlow的SDN状态防火墙

提出了一种基于OpenFlow的状态检测防火墙系统,该方案通过在SDN控制器和交换机中添加状态表和变换流表,并根据包的类型分别制定相应的状态转换规则,实现对SDN网络状态的监测。最后,在开源控制器Floodlight和Open vSwitch上实现了一个基于状态检测的防火墙系统,并对该防火墙的性能进行了评估,结果表明基于OpenFlow的SDN状态检测防火墙能够识别不同类型的包并实现现有SDN防火墙不能实现的基于状态的细粒度访问控制。     

基于OpenFlow的SDN技术研究

软件定义网络(software-defined networking,简称SDN)技术分离了网络的控制平面和数据平面,为研发网络新应用和未来互联网技术提供了一种新的解决方案.综述了基于OpenFlow 的SDN 技术发展现状,首先总结了逻辑控制和数据转发分离架构的研究背景,并介绍了其关键组件和研究进展,包括OpenFlow交换机、控制器和SDN技术,然后从4 个方面分析了基于OpenFlow 的SDN 技术目前所面临的问题和解决思路.结合近年来的发展现状,归纳了在校园网、数据中心以及面向网络管理和网络安全方面的应用,最后探讨了未来的研究趋势.     

一种快速的SDN规则冲突检测机制

软件定义网络架构中流表项的无意识性使攻击者可对其进行篡改,导致网络中出现规则冲突。针对现有规则冲突检测机制检测时间过长的问题,提出一种快速的规则冲突检测机制。通过压缩流表项,建立基于端口的规则拓扑,根据该拓扑计算端到端的可达性,从而快速检测网络中的规则冲突。仿真结果表明,在网络拓扑和流表项数量相同的条件下,相比现有的Netplumber检测机制,该机制的检测时间可降低约15%。     

基于SDN的OpenFlow交换机数据包流水线处理机制

目前,软件定义网络(Software Defined Networking,SDN)已成为网络研究与开发的重点,但相关的研究与开发工作还仅仅局限于园区网络和数据中心网络等。由于SDN控制层与数据层处理效率的限制,SDN面向互联网这样超大规模网络的研究还基本处于空白阶段。为了提升SDN的性能以使其适应大规模网络的特点,挖掘SDN数据层中并行加速处理的可能性,提出了将流水线技术应用到SDN数据层中交换机对数据包的转发过程。另外,结合SDN南向接口OpenFlow协议提供的交换机工作规范,设计了适用于OpenFlow交换机数据包转发的三级流水线处理机制。仿真实验说明,将流水线应用到SDN中能有效加快OpenFlow交换机的数据包转发速度。     

基于OpenFlow架构的域内源地址验证方法

源地址验证对网络安全、管理和计量都有重要意义.清华大学提出包括接入子网、域内和域间三个层次的源地址验证体系结构.其中域内用到一种基于集中计算路径的方法,但在传统网络环境限制下,其实现遇到很多问题.本文将利用软件定义网络对网络革新的便捷支持,基于OpenFlow网络对域内源地址验证方法进行重新设计与实现,并提出两种方案.一种是在已有路由表的基础上计算出域内任意两个子前缀间的路径并生成源地址前缀、目的地址前缀和入接口三元组作为过滤规则;另一种方案是重新设计新的路由算法,生成同时具有路由功能和验证源地址功能的四元组(源地址前缀、目的地址前缀、入接口和出接口)流表.并分别对两种方案做出对比,给出实验结果.     

基于SDN的Web访问控制应用研究

在对SDN网络架构研究的基础之上,利用KVM虚拟主机、Open vSwitch虚拟交换机、OpenDayLight控制器搭建了SDN网络实验环境.在SDN网络环境下实现了基于OpenDayLight控制器北向接口的Web访问控制应用.通过此应用的开发,对SDN的网络核心思想及相关技术有了一定程度的掌握.     

基于OpenFlow的SDN网络攻防方法综述

软件定义网络(Software Defined Network,SDN)的控制与转发分离、统一配置管理的特性使其网络部署的灵活性、网络管理的动态性以及网络传输的高效性均有大幅提升,但是其安全性方面的问题却比较突出。综述了基于OpenFlow的SDN在安全方面的研究现状,首先根据SDN的三层架构分析了其脆弱性,介绍SDN不同平面面临的安全威胁,并根据网络攻击的流程来介绍当前主要的攻击手段,包括目标网络探测、伪造欺骗实现网络接入以及拒绝服务攻击和信息窃取;其次,针对不同攻击环节,分别从探测阻断、系统加固、攻击防护3个方面对当前主要的防御手段进行论述;最后,从SDN潜在的攻击手段和可能的防御方法两方面来探讨未来SDN安全的研究趋势。     

带有时间约束支持冲突检测的访问控制模型

为确保存储在系统中的访问策略都是无冲突的,提高策略冲突检测的效率,使系统能够正确有效的运行,将本体的概念应用到访问控制中,提出了一种基于本体的支持策略冲突检测的访问控制模型,并对该模型中的核心模块—策略冲突检测模块进行了详细说明。在此基础上,为使系统中的授权具有时效性,更加符合实际应用,将时间特征引入模型,根据时间约束的特征,将资源分为4类,细化了资源的类别,增强了系统授权的能力。最后,针对这4类资源的访问控制,给出了模型的时间约束算法。     

一种ABAC静态策略冲突检测算法

在分布式计算环境下,传统基于属性的静态访问控制策略多存在扩展性差、难以实现等问题.针对上述问题,提出一种基于策略属性分解的冲突检测算法.该算法对策略属性进行分解,构造策略属性分解图,判断策略属性值之间的相交关系,根据静态策略冲突的定义进行策略冲突检测,从而提高策略冲突检测算法的可扩展性和易实现性.实验结果表明,该算法对静态策略冲突的检测率接近85％.     

基于多维整数空间的安全策略冲突检测与消解

针对当前大部分安全策略冲突检测与消解算法缺少灵活性和扩展性等缺点,提出一种基于多维整数空间的安全策略形式化描述方法,在此基础上设计了一种可扩展的安全策略冲突检测与消解算法,并证明其正确性,设计并实现能够自动对安全策略进行冲突检测与消解的工具SPCDRT。     

基于STN的时间冲突检测与消解

针对已有的STN一致性检验算法只能检测时间冲突而不能消解冲突的问题,以负环检测算法为基础,提出一种结合冲突检测和冲突消解的迭代算法。设计基于调整代价的冲突消解方法,对负环检测进行增量处理,可提高冲突消解的合理性和速度,减轻计划者处理冲突的负担。实验结果证明该算法具有较高的效率。     

访问控制策略描述语言与策略冲突研究

访问控制技术是网络安全防范和保护的主要方法,能保证信息的完整性和机密性。随着计算机、互联网和无线通信技术的高速发展,网络安全问题日益严重,访问控制策略的研究已成为计算机学科的一个热点课题。本文首先介绍了五种主要的访问控制策略描述语言,分析了各自的特点及适用环境;然后总结了访问控制策略冲突产生的原因、类型、冲突检测以及冲突消解方法;最后给出了访问控制策略研究的发展趋势。     

一种面向云服务组合的策略冲突检测机制

针对云服务组合的策略冲突问题,研究了云服务中属性间关系及组件服务间组合关系的特点,提出了基本类型冲突、层次关系冲突、互斥关系冲突、组合关系约束冲突四种冲突类型;设计了能够直观表达策略中多种关系的策略生成图模型,该模型具有结构灵活、易于更新和动态扩展的优点;将冲突检测问题转化为图的连通性问题,提出了一种基于策略生成图模型的冲突检测机制,实现了对云环境下大规模策略集中冲突策略的高效检测。最后,开展仿真实验,验证、评估了检测机制的有效性和检测效率。     

一种访问控制策略非一致性冲突消解方法

针对静态职责分离策略与可用策略并存时由于其互斥的需求可能引发策略非一致性冲突问题,提出了一套基于优先级的冲突消解方法.在综合考虑策略自身严格性以及对整个策略集合的影响力等因素下,提出了一种策略优先级计算方法.定义了策略的自身可满足频率和加权冲突面积这两个概念,分别表示策略的自身严格性和该策略对整个策略集合的影响力.在此基础上,根据不同的策略目标,给出了两种基于优先级的策略消解算法:最小代价方法和字典编辑优选方法.实验结果表明,在静态职责分离和可用策略的数量规模不大的情况下,基于优先级的冲突消解方法可以有效地解决策略非一致性冲突问题.     

SDN环境下基于改进D-S理论的DDoS攻击检测

软件定义网络(software-defined networking, SDN)实现了控制层和转发层设备的分离, 但控制转发的解耦使得SDN网络中不同层次设备面临新型的DDoS攻击风险. 为了解决上述问题, 本文提出了一种SDN环境下基于改进D-S理论的DDoS攻击检测方法, 用于检测以SDN控制器和交换机为目标的DDoS攻击. 在改进的算法中, 本文使用离散因子和纯度因子衡量D-S证据源之间的冲突. 同时, 结合纯度因子和离散因子调整D-S证据理论的证据源, 调整后的证据源将通过Dempster规则融合得到DDoS攻击检测结果. 实验结果表明本文提出的方法具有较高的精度.     

网络安全管理中的策略冲突检测方法研究

本文通过对策略冲突进行系统研究,找到其中的主要因素,按照“策略冲突发生时策略的状态”和“策略冲突发生时策略作用对象之间的关系”给出了策略冲突的两种分类,通过这两种分类解决了“何时检测冲突”和“如何检测冲突”的问题。而后进一步阐述了如何应用冲突数据库来判别策略冲突类型的方法。     

协同设计中多主体冲突问题的研究

从设计流程和体系结构的角度，对多主体冲突的产生、预防、检测与解决机制进行了系统的研究，提出了一个解决冲突问题的三层结构模型和各层相应的冲突解决策略，从而在控制级及领域级都对冲突进行了有效的避免和控制，该模型及方法在摩托车协同概念设计系统中得到了实现，为智能设计和协同设计奠定了基础。