基于SDN的动态资源分配算法

针对软件定义网络(SDN)能够执行多种并发、 动态网络测量任务的特点, 提出一种自适应的网络测量框架. 该框架能动态调整分配给各测量任务的资源, 从而确保用户层面上对测量精度的要求. 设计并实现了相应的系统原型, 并采用3种不同的网络测量业务对该方法进行验证. 实验结果表明, 该方法在任务测量精度满足率和任务拒绝率上具有更优的性能, 与传统方法相比精确性更高.     

基于区块链的SDN数据平面错误流规则检测

由于软件定义网络（SDN）的数据平面只负责流量转发,并不具备识别流规则是否正确的功能,使得攻击者可通过恶意向数据平面注入错误流规则,造成网络拥塞和信息泄露,甚至是网络瘫痪等严重后果.鉴于区块链的可追溯、不可篡改等特性,提出了一个在控制平面运行的基于区块链的错误流规则检测（FFRD-BC）机制,当控制器向数据平面下发流规则的同时将其存储到区块链中,通过随机选择数据平面中的流规则并验证其是否存在于区块链中,来检测出数据平面中第三方行动者注入的错误流规则.其次,在FFRD-BC的流规则检测阶段,引入基于实用拜占庭容错共识算法的投票验证策略,避免由于区块链节点一致性不稳定而导致的误检情况.实验结果表明：随着检测次数的增加,提出的FFRD-BC机制能够有效检测数据平面中第三方行动者注入的错误流规则,并且与自主验证策略相比有效降低了误检率.     

基于SDN的企业级视频会议系统框架研究

研究了在软件定义网络(SDN)上的企业级视频会议服务质量保证问题,设计并实现了视频会议服务质量保证的总体框架.首先,探讨了视频会议内、会议间资源预约及分配机制,建立了视频会议服务质量保证的数学模型;然后,基于OpenDayLight Lithium控制器设计了视频会议服务质量控制框架;最后,详细阐述了该框架中各个模块包括资源矩阵、资源预约和分配、流识别及接入控制的实现机制,分析了以最小成本为目标的多播路由算法的实现方法.分析结果表明:该框架能够有效实现针对每个会议中的每个不同优先级视频流的QoS保证,并在有限时间内适应地调节网络路由,提高了网络资源利用率.     

基于SDN流量测量的数据中心多路径传输研究

为了避免链路出现拥塞,针对数据中心流调度策略在进行数据流迁移尤其是大流的迁移容易产生数据流丢包并出现接收端数据包乱序,从而造成网络吞吐量降低的问题,基于SDN/OpenFlow架构,提出了一种采用熔断机制的动态路由算法F-TAM;同时,设计了新的测量方法来获取精确的链路状态时效信息,当算法被触发时能及时计算出合理的熔断时间,从而能充分利用网络中存在的多路径进行负载均衡,并解决了由于传输路径的不同时延所造成的接收端数据包乱序问题.实验结果表明:F-TAM能够利用网络中的冗余链路进行细粒度负载均衡并提升网络吞吐量,且不会出现接收端数据包乱序的问题.     

面向医院SDN的网络安全研究

针对广泛应用于医院的软件定义网络（SDN）难以应对内部网络威胁的问题,设计了一种基于贝叶斯推理的信任管理机制来识别网络内部可能存在的恶意设备。该机制主要是利用贝叶斯推理方法推导出恶意攻击数据包的发送概率从而实现对网络内部设备的信任管理。通过仿真环境和真实网络环境下的实验证明了该方法可以比类似的方法更快地降低恶意设备的信任值。     

基于SDN的数据中心网络中考虑等待时间的流调度策略研究

随着云计算、大数据、工业互联网的发展,越来越多的应用服务被部署到数据中心,其中一些数据密集型应用程序要求流在尽可能短的时间内完成.提出了一种考虑等待时间的流调度策略(flow priority scheduling algorithm considering wait time,FPWT),该策略在划分流的优先级时不仅...     

基于Open vSwitch的SDN网络平台构建方法

针对软件定义网络实验环境问题,对SDN网络及其工作原理进行了分析,提出了一种在x86架构上基于Open v Switch的SDN网络平台的构建方法,降低了网络平台搭建的成本,测试了此网络架构下主机间、主机与因特网的连通性.测试结果表明:使用这种方法搭建SDN网络正确有效,为后续研究奠定了基础.     

基于网络划分的SDN分布式控制器部署

针对大规模SDN(software defined networking)网络中分布式控制器部署问题,以优化网络弹性和可靠性为目标,提出两阶段控制器部署算法(TSCP, two-stage controller placement):利用节点相似度划分控制域,使得控制域内设备之间的连通性强、连接紧密,增强控制域的网络弹性;选择控制路径平均失效率最小的控制器集合作为控制器部署,提高网络可靠性。通过约束控制域的规模和设备(交换机或控制器)之间传播时延,使控制域的交换机个数均衡,控制器的部署合理。通过定义性能指标,实验对比GCP算法、K*-means算法,结果表明TSCP算法可以优化控制域的规模,均衡控制域的交换机个数,减少控制器个数,网络弹性和可靠性均表现较好。     

SDN环境下基于动态阈值的DDoS攻击检测方法研究

软件定义网络SDN技术改变了传统网络中数控结合的局面,简化了网络管理。然而,SDN面对分布式拒绝服务DDoS攻击时也显得捉襟见肘。探讨了SDN环境下基于动态阈值的DDoS攻击检测问题。通过SDN网络的特点,提出了一种由触发检测和深度检测相结合的DDoS检测机制。该机制先根据收集到的流量状态计算网络环境的熵,并根据网络条件推导出一个动态阈值来进行粗粒度的异常预警。深度检测在预警信息后启动,通过基于机器学习的分类算法进行判断环境是否遭受到DDoS攻击。最后通过仿真环境实验表明,该机制可以有效的检测出环境是否遭受攻击,具有较高的检测率和较低的误检率。     

基于SDN的多媒体流QoS队列调度机制研究

随着多媒体新兴应用的不断涌现,网络规模日益复杂.为提高不同优先级多媒体业务的传输能力,保障业务的服务质量需求,结合软件定义网络技术,设计一种基于SDN的队列调度模型.同时,为了有效提高新型队列调度模型下数据的传输质量,避免产生网络拥塞,将复杂的网络抽象为M/M/1和M/D/1排队模型,并提出一种基于SDN的排队论时延模型,分析了新模型下MLFQ分组调度算法并对不同分组调度算法性能进行对比分析.仿真结果表明,基于SDN的多媒体流QoS队列调度机制在满足网络不同多媒体业务优先级要求的基础上,降低了数据传输时延和丢包率,增加了链路带宽利用率.     

基于SIP的组播接入控制

组播业务的实施离不开组播安全,而组播接入控制是组播安全中非常重要的一部分. 提出了一种使用会话初始化协议(SIP)进行组播接入控制的方法. 该方法利用SIP协议身份验证机制、S/MIME加密与签名方法提供了组播用户身份验证、鉴权和安全通信. 该方法具有安全性高、运行稳定、扩展性好的优点,能轻松移植到IPv6下运行.     

一种基于区分服务的IEEE 802.11 QoS信道访问控制机制

研究表明,无线移动自组织网络具有带宽有限,信道质量不稳定,节点移动造成网络拓扑结构变化等诸多特性,这些特性严重损害了网络性能,以致在传统无线移动网络中支持具有严格QoS要求的多媒体应用面临严峻的挑战.本文提出了一种基于区分服务的信道接入控制机制,以更好地支持实时通信流.该机制对传统的IEEE 802.11DCF机制进行...     

具有时间约束的动态角色的访问控制策略

基于角色的访问控制(RBAC)的规范性和易管理性使其被业界普遍接受并广泛应用,但因缺乏时间约束和动态调整权限状态能力,不能很好地满足时间敏感活动的安全需求。针对RBAC的不足,提出一个具有时间约束的动态角色访问控制模型,详细描述了时间系统、时间约束指派的相关定义和函数,分析了系统中权限的4种状态以及权限状态转化问题;为了保证权限状态更新的效率及权限状态的有效性,设计了计算权限状态转化的最短时间的相应算法。     

基于NTFS的文件访问控制研究

为开发基于NTFS的程序,解决因NTFS对文件访问进行控制而导致系统文件被限制访问的问题,对NTFS的文件访问控制机制进行研究。研究了以安全ID作为主关键字查找$SDS数据块,以及从$SDS数据块中解析出50H属性的主要过程。通过实验总结出了50H属性中32位访问掩码的具体格式及每位掩码代表的访问权限。以上研究结果可应用于基于NTFS的文件访问的自主控制,提高相关程序开发的自由度。实验结果表明,通过修改文件的50H属性可解除设置在Windows系统文件上的访问限制。     

一种改进的Web服务访问控制模型

访问控制技术可以防止非法用户的入侵或者合法用户的不慎操作对资源造成的破坏。研究和分析了当前基于Web服务的访问控制模型存在的问题。并给出了一种改进的基于属性的Web服务访问控制模型,新模型通过在XACML访问控制框架中引入了XML加密和XML签名技术,从而保证了敏感属性信息的机密性和访问控制策略的完整性。     

一种改进的基于任务-角色的访问控制模型

针对现有访问控制模型在工作流系统应用中存在的局限,构建了一种改进的基于任务-角色的访问控制模型.该模型结合基于角色的访问控制(RBAC)和基于任务的访问控制(TBAC)模型的优点,按现实需求分别对角色和任务进行分类,在保证系统安全性的同时降低了访问策略的复杂性.以远程稿件处理系统为例,讨论了该模型在实际应用中的有效性.     

基于群集运动智能的SDN业务传输优化技术

针对软件定义网络(software defined network,SDN)负载全局优化问题,受生物界群集运动的启发,以实现当前分布式全网状态感知、全局优化目标、区域自主协同为目标,研究了基于群集运动智能的SDN业务传输优化技术。为满足上层业务对网络传输性能的需求,根据传输时延、网络吞吐量等性能指标,在多目标优化约束条件下,通过业务聚类定义针对各业务的平稳流,并将平稳流内共同协作的节点相结合定义为平稳流协作场。协作场内的节点通过收集网络状态信息并在协作场内共享,实现网络状态的快速感知及决策。协作场之间各个平稳流以不同的带宽、时延等网络传输需求运行,使得平稳流获得了确定的资源抢占成功率,从而以稳定速率传输。针对基于平稳流的业务传输优化技术,给出了基于群集运动协同方式的流量工程处理体系和业务优化方案,并对该体系下群智节点的感知认知、业务聚类分析、平稳流协作场构建、协同智能决策优化方法、优化流程、节点架构等进行分析阐述。     

基于动态协商的网格访问控制模型

为解决网格用户访问权限的全局一致性问题,基于NIST RBAC访问控制模型和网格特性,提出一种改进的动态协商访问控制模型,通过访问策略及其动态协商机制,为网格访问控制中用户对资源访问权限的全局一致性定义及自动恢复协同提供支持.测试结果表明该机制是可实现的.     

基于流类型的SDN数据平面故障恢复算法

软件定义网络(software defined networking,SDN)的网络拓扑中,链路故障恢复目标是保证故障恢复时延在可容忍范围内、减少数据包丢失和节约交换机存储资源.现有研究方法对链路故障恢复考虑了恢复时延、数据包丢失率、网络吞吐量等因素,没有考虑数据流对网络带宽的要求及运营商/用户的一些特殊限制.为了解决以上问题,同时满足故障恢复时延要求和运营商/用户定制化需求,提出了基于流类型的SDN数据平面故障恢复算法(failure recovery algorithm based on flow type in SDN data plane,FR-FT).该方法根据服务质量要求将数据流分为3类,将运营商/客户的定制化需求绑定到不同数据流上,根据对应约束条件对不同类型数据流制定不同故障恢复策略.仿真结果表明,该方法可以减少交换机流表项消耗、故障恢复时延、数据包丢失率.