基于区块链的软件定义网络数据帧安全验证机制

为构建安全高效的网络环境,必须对伪造、受篡改数据帧进行有效的识别与过滤。然而,在软件定义网络（SDN）中,现有的安全验证机制通常在验证设备受到攻击或恶意控制时无法有效运行。为解决上述问题,提出了基于区块链的SDN数据帧安全验证机制。首先,设计帧转发证明（PoFF）共识算法并以此为基础建立轻量型区块链系统;然后,基于该系统构建针对SDN数据帧的安全验证体系;最后,提出可灵活调节的半随机选择验证模式以兼顾验证效率与资源开销。仿真结果表明,在同等比例的交换机被恶意控制情况下,所提机制的漏检概率较基于哈希链的验证机制有明显降低。其中,当受控交换机占比为40%时,降低效果尤其显著：此时所提机制在基本验证模式下的漏检概率低于32%,在辅助以半随机验证后可进一步降到7%,均远低于基于哈希链的验证机制72%的漏检概率;且所提机制引入的资源开销与通信代价在合理范围内。此外,即使在SDN控制器完全失效情况下,所提机制仍可保持良好的验证性能与效率。     

基于软件定义安全的服务功能链设计

随着云计算的高速发展和广泛应用,云环境下安全防护成为亟待解决的问题.针对如何灵活、动态的调度虚拟化的安全设备问题,论文提出基于软件定义安全的服务功能链,根据用户需求构建安全服务功能链,调度安全资源池中的虚拟安全设备,实验证明本文方法的有效性.     

软件定义网络匿名通信关键技术研究

软件定义网络的发展使得其对信息安全的要求越来越高,匿名通信成为软件定义网络的关键研究点.由于软件定义网络特有的管控分离性能,传统网络中的匿名方案难以在其平台应用.提出一种新的软件定义网络匿名通信方案,通过重写数据包实现其匿名性,通过扩展Open Flow协议实现数据包的正常转发,并且采用新的最大值随机路径算法保证通信路...     

基于软件定义网络的技术与安全体系探索

软件定义网络为一种全新的网络体系结构,其应用有效弥补了传统网络结构过于扁平化、安全防护手段单一的弊端,在提升网络安全等级、降低运维管理难度方面优势突出.本文介绍软件定义网络技术的基本特征,分析基于软件定义网络的安全体系构建,并对其在企业内网中的应用经验进行总结,以搭建系统化的软件定义网络技术体系,为其研究应用提供理论参...     

无线软件定义网络研究前景展望

软件定义网络是一种新型网络创新架构,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,为核心网络及应用的创新提供了良好的平台。软件定义网络能够改变现有的数据发送规则,由转发设备决定的僵硬模式能够显著提高数据发送的服务质量。目前软件定义网络的无线网络条件下应用的研究还处于起步阶段,本文分析了无线网络中实现软件定义网络可能遇到的困难与机遇。     

基于软件定义网络的智能变电站网络架构设计

随着智能变电站二次装置标准化、智能化水平的提升,需要有一种更高效、智能的通信网络以满足变电站运行和维护要求,能够实现设备即插即用、智能监测、子网间安全隔离以及设备通用互换。针对智能站网络统一管理、子网间安全隔离以及设备兼容性、互换性的应用需求,提出了一种基于软件定义网络（SDN）技术的变电站网络架构,将IEC61850和OpenFlow协议用于网络架构设计,利用OpenFlow控制器管控和隔离各独立子网,以实现网络设备管理和子网安全隔离。实验结果表明,所提架构可实现流量基于业务类型的精准控制和数据的安全隔离,对于提升变电站运行和维护水平有着非常重要的应用价值。     

软件定义网络架构下的安全问题综述

随着网络业务的多元化与网络基础服务能力的不断提升,企业网、云计算、数据中心等大量新兴应用场景迅速丰富,传统网络已不能满足其不断涌现的可扩展性、可管理性及安全保障等新需求,这一现状有力地推动以SDN为代表的当代网络架构的发展。然而随着学术界与产业界对SDN技术的研究及其设备的普及,安全问题逐渐成为制约其进一步发展的关键因素之一。针对SDN架构的技术发展背景进行分析,然后简析SDN技术的核心架构原理及目前的发展现状;结合SDN架构特点,针对其安全特性及其所面临的安全威胁进行详细分析,并深入讨论SDN网络安全研究的范畴与新兴发展方向。     

基于软件定义通信网络的技术与安全体系分析

本文主要基于软件定义通信网络,深入分析网络安全体系构建,同时总结企业内网应用经验,建设系统化技术体系,为实践应用提供参考。     

软件定义网络数据平面安全综述

软件定义网络将数据平面与控制平面解耦,旨在更快地引入网络创新,并从根本上实现大型网络的自动化管理。架构创新带来了挑战与机遇,安全问题限制了软件定义网络的广泛采用。针对数据平面的攻击可能会损毁整个软件定义网络,首先介绍了数据平面结构与发展趋势;然后分析了数据平面安全风险,指出漏洞,确定潜在的攻击场景,并给出2种具体解决方案,讨论其意义与局限性;最后展望未来的安全研究方向。     

基于软件定义网络的反饱和分组云负载均衡

云计算中统计复用是其显著特点,通过使用虚拟化技术可以提高物理资源利用率。针对云虚拟机集群需要考虑资源利用的负载均衡问题,面向OpenStack云平台,提出基于软件定义网络(SDN)的反饱和分组负载均衡(ASGS)方法。云主机按权值分配到不同的分组,SDN控制器利用探针根据不同分组周期性获取云主机负载。当请求到来时,均衡器以每组云主机平均权值为概率,随机选择一组,并在组内通过轮询选择一台合适的后端。为避免某台后端出现突发请求利用资源过多造成的云主机宕机现象,对较高权值的云主机预先加上一个参数,增高权值,使其处于高负载状态,让其接收更少的请求。实验结果表明,所提算法使各云主机不管请求量如何变化,随着时间的变化集群中云主机的资源利用率的标准方差比随机和轮询波动更小,更趋近于0,使得云主机集群的负载更均衡。     

基于软件定义网络的虚拟数据中心管理平台

针对已有虚拟数据中心（VDC）管理平台具有代码固化、后续升级困难等缺陷,设计和实现一种基于软件定义网络（SDN）的VDC管理平台。该平台由VDC管理子系统（VDCM）、VDC计算资源控制子系统（VDCCRC）和VDC网络资源控制子系统（VDCNRC）组成,子系统之间通过RESTful API交互建立起松耦合架构。VDCNRC通过SDN控制器管理数据中心网络资源,VDCCRC通过开源云平台管理数据中心计算资源,VDC管理子系统中内置VDC管理算法框架,可快速开发适用于实际生产环境的VDC管理算法。使用Mininet、Openstack、Floodlight搭建了测试环境,验证了该平台可通过Openstack来控制虚拟机的启动、迁移和删除,可通过Openflow控制器实现VDC网络带宽资源隔离,并支持VDC创建、删除和修改等操作。     

基于软件定义网络的反嗅探攻击方法

网络嗅探攻击中,攻击者从网络节点或链路捕获和分析网络通信数据、监视网络状态、窃取用户名和密码等敏感信息。在攻击发生时,攻击者通常处于静默状态,传统的网络防护手段如防火墙、入侵检测系统（IDS）或入侵防御系统（IPS）很难发现并有效抵御攻击。从网络结构入手,提出基于软件定义网络（SDN）的动态路径跳变（DPH）通信机制,依据空间和时间约束条件,动态改变通信节点之间的路径,宏观上将通信流量相对均匀地分布在多条传输链路中,增加网络嗅探攻击中获取完整数据的难度。实验仿真结果说明,在一定的网络规模下,动态路径跳变能够在不明显降低网络传输性能的条件下有效防御嗅探攻击。     

基于软件定义网络的卫星网络容错路由机制

鉴于卫星网络对安全性和应对故障的能力有很高的要求，引入了软件定义网络（SDN）技术，在网络中放置中央控制器来增强网络对故障的应对能力。首先，基于SDN的思想设计了一种卫星网络模型，计算了三层轨道上卫星运行的参数并构建星座；然后，采用分层路由的方法，设计了一种针对卫星网络的容错路由机制；最后，在Mininet平台上进行了仿真实验，将容错路由算法（FTR）的实验结果与基于链路感知的星间路由算法（LRSR）和多层卫星网络路由算法（MLSR）的实验结果进行了对比。对比结果表明，在网络中无损坏节点和链路的情况下，FTR的路由总延时比LRSR平均降低了6.06%，说明了引入SDN集中控制的有效性；FTR的丢包率比同样以最小延时为目标的MLSR降低了25.79%，说明了在网络模型中为中轨道（MEO）卫星设计临时存储路由机制的有效性。而当网络中节点和链路的失效情况比较严重时，FTR的路由总延时比LRSR降低了3.99%，比MLSR降低了19.19%；其丢包率比LRSR降低了16.94%，比MLSR降低了37.95%，说明了FTR的容错有效性。实验结果验证了基于SDN的卫星网络路由机制具有更好的容错能力。     

基于软件定义网络的可靠性虚拟网络映射保障机制

在软件定义网络（SDN）虚拟网络映射中,现有研究者主要考虑请求接受率方面,而忽视了SDN中底层资源失效的问题。为此,针对SDN中可靠性虚拟网络映射（SVNE）问题,提出了一种联合先验式保护和后验式恢复的虚拟网络映射保障机制。首先,在虚拟请求接受之前,对SDN物理网络区域性资源进行感知;然后,采用先验式保护机制为映射域内相对剩余资源变小的虚拟网络元素预留备份物理资源,并将此扩展虚拟网络通过D-ViNE算法映射至物理网络中;最后,在未备份虚拟网络元素发生故障时,采用后验式恢复算法完成故障的恢复,对节点和链路分别采用重映射和重路由的方法完成恢复。实验结果表明,与基于SDN的生存性虚拟网络映射算法（SDN-SVNE）相比,在虚拟请求接受率方面提高了21.9%。另外,该保护机制在虚拟级别故障恢复率、物理级别故障恢复率等方面也具有优势。     

基于OpenFlow的软件定义网络流规则冲突检测系统

在软件定义网络(SDN)中,各类网络应用的独立开发以及多用户的网络管理可能导致下发至交换设备的流规则发生冲突,而控制平面与转发平面的分离使得交换设备缺乏策略分析能力,无法独立检测内部的流规则冲突.针对这一问题,提出一种流规则冲突检测系统和检测算法.首先,通过监听、捕获控制平面与转发平面之间的OpenFlow报文,获取即...     

软件定义车联网的数据转发策略和路由选择技术

针对目前车联网（VANET）数据转发效率低的问题,提出了软件定义网络（SDN）的数据转发策略和路由选择技术。首先,采用了软件定义车联网的分层控制结构,由局部控制器和全局控制器组成,实现数据转发和控制分离,可灵活控制数据转发的方向;然后,设计了单条路段的车辆路由机制,该机制预测车辆节点位置并采用贪心策略,实现数据的稳定传输;其次,设计了多个需求间的路段路由机制,该机制采用广度优先搜索（BFS）算法和边集相结合的方式,实现多个需求间路径不相交,缓解带宽瓶颈问题;最后,通过仿真验证,对比无线自组网按需平面距离向量（AODV）路由,所提出的数据转发策略和路由选择算法在数据分组接收率上提高40%以上,平均延迟时间降低60%左右。实验结果表明,软件定义车联网的数据转发策略和路由选择技术能够提高数据转发效率,减少平均收包延时。     

SDN数据安全处理机制关键模块的研究与实现

针对软件定义网络（SDN）的数据平面数据泄露问题、提出一种新的基于OpenFlow协议的数据安全处理机制。首先,重构OpenFlow协议的流表结构,设计实现包括安全匹配字段、安全动作在内的OpenFlow数据安全策略;然后,设计中心化管理控制器,通过开发的多个功能模块使控制器及时感知网络变化,有效管控全局网络,维护和下发数据加（解）密密钥、数据安全策略;其次,深度重构开放虚拟交换机OVS架构,设计实现数据安全策略匹配和数据安全处理的完整流程,编写数据净载信息提取接口,通过开发的多个功能模块使OVS能够根据数据安全策略细粒度匹配数据包,并对匹配成功的数据包进行完整数据安全处理操作;最后,搭建软硬件平台,对该机制的加解密处理结果和延时、吞吐量以及CPU使用率进行测试。实验结果表明：该机制可以准确对数据进行加解密操作,延时和吞吐量均处于正常水平;但CPU使用率在45%~60%浮动,开销较大,有待后续优化。