共查询到20条相似文献,搜索用时 93 毫秒
1.
针对软件定义网络(SDN)中缺乏安全高效的数据来源验证机制问题,该文提出基于密码标识的报文转发验证机制。首先,建立基于密码标识的报文转发验证模型,将密码标识作为IP报文进出网络的通行证。其次,设计SDN批量匿名认证协议,将SDN控制器的验证功能下放给SDN交换机,由SDN交换机进行用户身份验证和密码标识验证,快速过滤伪造、篡改等非法报文,提高SDN控制器统一认证与管理效率,同时可为用户提供条件隐私保护。提出基于密码标识的任意节点报文抽样验证方案,任何攻击者无法通过推断采样来绕过报文检测,确保报文的真实性的同时降低其处理延迟。最后,进行安全性分析和性能评估。结果表明该机制能快速检测报文伪造和篡改及抵抗ID分析攻击,但同时引入了大约9.6%的转发延迟和低于10%的通信开销。 相似文献
2.
3.
针对工业控制网络通信信息安全与稳定问题,设计一种基于SDN和集成学习的工业控制网络安全防护系统。该系统采用SDN技术,分为物理层、现场层、转发层、控制层和应用层等5个层次。物理层包含现场终端设备;现场层通过控制模块与操作员站实现对现场终端的控制;转发层使用SDN交换机进行通信数据传输,并将数据镜像传输至应用层进行安全分析;控制层中的SDN控制器管理和控制SDN交换机,并执行应用层下发的安全防护策略;应用层利用集成学习算法对工业控制网络进行入侵行为检测,通过安全响应模块分析入侵信息并选择相应的防御机制。实验结果表明,所设计系统满足工业控制网络通信的实时性要求,能准确地实施入侵检测,从而保障工业控制网络的安全性和正常通信。 相似文献
4.
鉴于软件定义网络(Software Defined Network,SDN)中带外控制方式的代价及成本较高,基于带内连接网络拓扑,提出了一种SDN带内控制连接建立方法。该方法首先通过链路层发现协议(Link Layer Discovery Protocol,LLDP)完成SDN控制器IP分发和SDN交换机IP分配,其中SDN交换机IP分配采用基于可变长子网掩码(Variable Length Subnet Mask,VLSM)的全自动IP分配技术来实现;之后,基于无类别域间路由(Classless Inter domain Routing,CIDR)的路由聚合技术实现带内路由自动构建。实验结果表明,该方法能够实现SDN交换机与SDN控制器带内控制连接的自动建立,减小了SDN网络的配置复杂度和部署难度,同时使SDN交换机路由表条目数量得到控制,降低了带内路由构建的复杂性,为SDN控制平面与转发平面控制信道的建立提供了设计参考。 相似文献
5.
(上接第 17期 )5 分组交换数据网5 .1 数据报和虚电路分组交换的基本原理(1)数据报分组交换的概念如图 4所示 ,由数据终端设备A发出的数据信息[ABC],通过用户线送到交换机a(又称为节点机 )暂时存储并分成具有一定长度的分组 [A][B][C],并在每一分组前边加上指明该分组发送端地址、接收端地址及分组序号的分组标题。图 4 数据报分组交换概念示意图交换机a为了把该分组转发给接收局交换机r,就需要选择空闲路由。可以根据交换网的状态给每个分组选择不同路由 ,一般不会出现仅仅因为某一路由过忙而不能转发的情况。分组数据到达终… 相似文献
6.
7.
针对软件定义网络(SDN)中OpenFlow协议匹配字段固定且数量有限,数据流转发缺少有效的转发验证机制等问题,该文提出一种基于数据平面可编程的软件定义网络报文转发验证机制。通过为数据报文添加自定义密码标识,将P4转发设备加入基于OpenFlow的软件定义网络,在不影响数据流正常转发的基础上,对网络业务流精确控制和采样。控制器验证采样业务报文完整性,并针对异常报文下发流规则至OpenFlow转发设备,对恶意篡改、伪造等异常数据流进行转发控制。最后,构建基于开源BMv2的P4转发设备和基于OpenFlow的Open vSwitch转发设备的转发验证原型,并构建仿真网络进行实验。实验结果表明,该机制能够有效检测业务报文篡改、伪造等转发异常行为,与同类验证机制相比,在安全验证处理开销保持不变的情况下,能够实现更细粒度的业务流精确控制采样和更低的转发时延。 相似文献
8.
互联网架构设计之初,假设所有网络成员都是可信的,并没有充分考虑不可信网络成员带来的安全威胁。在很长一段时间内,路由器只根据报文的目的IP地址转发消息,不对报文的源IP地址的真实性进行验证。数据分组真实性验证的缺乏会导致报文头部信息被恶意篡改。提出了基于边界路由动态同步的互联网地址域内真实源地址验证方法。该机制基于前缀拓扑信息同步的方法构建过滤表,解决了路由不对称导致过滤表和实际路由状态不一致的问题,避免了验证过程中的假阳性和假阴性,实现了低开销、低时延的地址域内IP地址前缀级粒度的真实源地址验证。 相似文献
9.
10.
Open Flow是第一个在SDN架构下,规范化控制平面和转发平面之间的通信接口的标准.Open Flow交换机将原来完全由交换机、路由器控制的报文转发过程转化为由Open Flow交换机和控制服务器来共同完成,从而实现了数据转发和路由控制的分离. 相似文献
11.
12.
在基于OpenFlow的软件定义网络(SDN)中,应用被部署时,相应的流表策略将被下发到OpenFlow交换机中,不同应用的流表项之间如果产生冲突,将会影响交换机的实际转发行为,进而扰乱特定应用的正确部署以及SDN的安全。随着SDN规模的扩大以及需要部署应用的数量的剧增,交换机中的流表数量呈现爆炸式增长。此时若采用传统的流表冲突检测算法,交换机将会耗费大量的系统计算时间。结合深度学习,首次提出了一种适合SDN中超大规模应用部署的智能流表冲突检测方法。实验结果表明,第一级深度学习模型的AUC达到97.04%,第二级模型的AUC达到99.97%,同时冲突检测时间与流表规模呈现线性增长关系。 相似文献
13.
为提高组播网络的安全性和可控性提出一种创新性的组播传输机制——基于SDN的一种新型网络架构。通过SDN数据和控制平面相分离的特性,可以把处理组播组事件,计算组播转发树等功能集成到contrlloer的组播模块,路由转发设备只需负责数据转发任务即可。 相似文献
14.
15.
软件定义网络(Software-Defined Networking,SDN)作为一种数据转发与控制逻辑相解耦、并开放底层编程接口的创新网络架构,为降低核心网的部署运营成本、提升应用业务性能提供了全新的解决思路.然而,在SDN架构下,逻辑上集中的控制平面容易出现性能瓶颈,进而加大分组转发时延,因此有必要理解其分组转发性能特性.为此,本文首先介绍了软件定义核心网的典型部署场景,分析了控制平面的Packet-in消息到达过程和数据平面的分组到达过程,进而应用M/M/n/m和M/M/1/m排队模型分别刻画控制器集群的Packet-in消息处理过程和OpenFlow交换机的分组处理过程.在此基础上,建立OpenFlow分组转发优先制排队模型,进而推导出不同优先级的分组转发时延及其累积分布函数CDF.最后,借助控制器性能测量工具OFsuite_Performance进行实验评估,结果表明:与现有模型相比,本文所提的M/M/n/m模型更能准确估计控制器集群的实际性能.同时,采用数值分析的方法对比了多种情况下不同优先级的分组转发时延及CDF曲线,为软件定义核心网的实际应用部署提供有效参考. 相似文献
16.
17.
针对软件定义网络(Software-Defined Networking,SDN)中控制平面和数据平面之间的控制链路性能受限导致的Packet_In传输瓶颈问题,提出了一种自适应的流量均衡算法,利用SDN网络控制平面拥有全局拓扑和交换机实时状态的特点,运用阈值对流量均衡起止条件进行控制,通过将超载交换机中流量重定向到邻居交换机的一跳转发的自适应方法,解决上行控制链路瓶颈问题.与现有方法相比,减小了33%的上行控制链路负载与50%的Packet-In消息丢包率,且部署开销小. 相似文献
18.
为了实现流表的多元快速查找,OpenFlow交换机一般采用TCAM存储和查找流表,从而带来了扩展性、成本和能耗的问题。尽管可以采取流表压缩、引入RAM存储器等方法,但仍无法彻底解决使用TCAM造成的局限性。针对这个问题提出了源端控制的OpenFlow数据面模型,即SCOF(source-controlled OpenFlow)。它以一种源路由地址—向量地址(VA)作为数据分组的交换标签,VA完全定义了通信路径。SCOF的数据转发设备是向量交换机,它不需要存储和查找流表,只根据VA即可完成数据分组转发。SCOF模型降低了交换机硬件复杂度,简化了流表更新过程,克服了OpenFlow的扩展性问题。 相似文献
19.
在长期实践过程中,在核心网中引入NFV与SDN技术,与此同时,基于核心网虚拟化,深入研究分组域网关控制转发分离和以Service Chaining为基础的即插即拔增值业务,还有复杂流等处理平台,最终得出结论,应当构建以SDN/NFV为重要基础的核心网结构。 相似文献
20.
网络功能虚拟化NFC与软件定义网络SDN是IT行业重要发展方向,通过NFC与SDN引入到核心网中,本文对核心网虚拟化、分组域网管控制转发分离及即插拔增值业务等进行研究,进而对以SDV/NFV为基础的核心网演进技术展开分析. 相似文献