软件定义网络中基于密码标识的报文转发验证机制

针对软件定义网络(SDN)中缺乏安全高效的数据来源验证机制问题,该文提出基于密码标识的报文转发验证机制。首先,建立基于密码标识的报文转发验证模型,将密码标识作为IP报文进出网络的通行证。其次,设计SDN批量匿名认证协议,将SDN控制器的验证功能下放给SDN交换机,由SDN交换机进行用户身份验证和密码标识验证,快速过滤伪造、篡改等非法报文,提高SDN控制器统一认证与管理效率,同时可为用户提供条件隐私保护。提出基于密码标识的任意节点报文抽样验证方案,任何攻击者无法通过推断采样来绕过报文检测,确保报文的真实性的同时降低其处理延迟。最后,进行安全性分析和性能评估。结果表明该机制能快速检测报文伪造和篡改及抵抗ID分析攻击,但同时引入了大约9.6%的转发延迟和低于10%的通信开销。     

对软件定义网络数据面抽象的重新思考

提出了一种基于标签的更加灵活的SDN交换机数据面抽象——LabelCast.LabelCast利用标签交换机制解决SDN交换机中的复杂规则匹配问题,采用Cast程序扩展机制解决交换机转发面的功能可编程问题.LabelCast不但可以简化SDN数据面规则匹配复杂性,还可以通过在数据面加载应用的处理程序支持可编程的数据面功能扩展.     

基于SDN和集成学习的工业控制网络安全防护系统

针对工业控制网络通信信息安全与稳定问题,设计一种基于SDN和集成学习的工业控制网络安全防护系统。该系统采用SDN技术,分为物理层、现场层、转发层、控制层和应用层等5个层次。物理层包含现场终端设备;现场层通过控制模块与操作员站实现对现场终端的控制;转发层使用SDN交换机进行通信数据传输,并将数据镜像传输至应用层进行安全分析;控制层中的SDN控制器管理和控制SDN交换机,并执行应用层下发的安全防护策略;应用层利用集成学习算法对工业控制网络进行入侵行为检测,通过安全响应模块分析入侵信息并选择相应的防御机制。实验结果表明,所设计系统满足工业控制网络通信的实时性要求,能准确地实施入侵检测,从而保障工业控制网络的安全性和正常通信。     

一种软件定义网络带内控制连接建立方法

鉴于软件定义网络（Software Defined Network,SDN）中带外控制方式的代价及成本较高,基于带内连接网络拓扑,提出了一种SDN带内控制连接建立方法。该方法首先通过链路层发现协议（Link Layer Discovery Protocol,LLDP）完成SDN控制器IP分发和SDN交换机IP分配,其中SDN交换机IP分配采用基于可变长子网掩码（Variable Length Subnet Mask,VLSM）的全自动IP分配技术来实现;之后,基于无类别域间路由（Classless Inter domain Routing,CIDR）的路由聚合技术实现带内路由自动构建。实验结果表明,该方法能够实现SDN交换机与SDN控制器带内控制连接的自动建立,减小了SDN网络的配置复杂度和部署难度,同时使SDN交换机路由表条目数量得到控制,降低了带内路由构建的复杂性,为SDN控制平面与转发平面控制信道的建立提供了设计参考。     

宽带数据网基础知识讲座第5讲数据通信技术(下)

(上接第 17期 )5　分组交换数据网5 .1　数据报和虚电路分组交换的基本原理(1)数据报分组交换的概念如图 4所示 ,由数据终端设备Ａ发出的数据信息[ＡＢＣ],通过用户线送到交换机ａ(又称为节点机 )暂时存储并分成具有一定长度的分组 [Ａ][Ｂ][Ｃ],并在每一分组前边加上指明该分组发送端地址、接收端地址及分组序号的分组标题。图 4　数据报分组交换概念示意图交换机ａ为了把该分组转发给接收局交换机ｒ,就需要选择空闲路由。可以根据交换网的状态给每个分组选择不同路由 ,一般不会出现仅仅因为某一路由过忙而不能转发的情况。分组数据到达终…     

中国公用分组交换数据网

分组交换也称为包交换。分组交换机将用户要传送的数据按一定长度分割成若干个数据段,这些数据段叫作“分组”(或称“包”)。传输过程中,需在每个分组前加上控制信息和地址标识(即分组头),然后在网络中以“存储——转发”的方式进行传送。到目的地,交换机将分组头去掉,将     

一种基于数据平面可编程的软件定义网络报文转发验证机制

针对软件定义网络(SDN)中OpenFlow协议匹配字段固定且数量有限,数据流转发缺少有效的转发验证机制等问题,该文提出一种基于数据平面可编程的软件定义网络报文转发验证机制。通过为数据报文添加自定义密码标识,将P4转发设备加入基于OpenFlow的软件定义网络,在不影响数据流正常转发的基础上,对网络业务流精确控制和采样。控制器验证采样业务报文完整性,并针对异常报文下发流规则至OpenFlow转发设备,对恶意篡改、伪造等异常数据流进行转发控制。最后,构建基于开源BMv2的P4转发设备和基于OpenFlow的Open vSwitch转发设备的转发验证原型,并构建仿真网络进行实验。实验结果表明,该机制能够有效检测业务报文篡改、伪造等转发异常行为,与同类验证机制相比,在安全验证处理开销保持不变的情况下,能够实现更细粒度的业务流精确控制采样和更低的转发时延。     

基于边界路由动态同步的互联网地址域内真实源地址验证方法

互联网架构设计之初,假设所有网络成员都是可信的,并没有充分考虑不可信网络成员带来的安全威胁。在很长一段时间内,路由器只根据报文的目的IP地址转发消息,不对报文的源IP地址的真实性进行验证。数据分组真实性验证的缺乏会导致报文头部信息被恶意篡改。提出了基于边界路由动态同步的互联网地址域内真实源地址验证方法。该机制基于前缀拓扑信息同步的方法构建过滤表,解决了路由不对称导致过滤表和实际路由状态不一致的问题,避免了验证过程中的假阳性和假阴性,实现了低开销、低时延的地址域内IP地址前缀级粒度的真实源地址验证。     

基于SDN/NFV的核心网演进关键技术研究

在NFV和SDN的基础上研究核心网架构的演进及应用领域;通过将NFV和SDN技术引入核心网,在核心网虚拟化,分组域网关控制转发分离及基于Service Chaining的即插即用的增值业务及复杂流处理平台进行研究,建议了基于SDN/NFV的核心网长期演进架构。     

SDN架构下的Open Flow原理探讨

Open Flow是第一个在SDN架构下,规范化控制平面和转发平面之间的通信接口的标准.Open Flow交换机将原来完全由交换机、路由器控制的报文转发过程转化为由Open Flow交换机和控制服务器来共同完成,从而实现了数据转发和路由控制的分离.     

基于SDN架构的地址跳变技术研究

网络嗅探作为网络攻击的前奏,对于网络安全存在较大威胁。为增强网络本身的抗嗅探窃听能力,在移动目标防御网络的地址跳变技术的研究基础上提出了一种基于传输过程的地址跳变方案,主要思想是在SDN网络架构下,控制器通过为传输路由上交换机下发不同流表来实现IP地址的跳变。仿真结果表明,可以以较小的网络开销实现跳变机制,并使网络对于网络嗅探达到较高的防御能力。     

基于深度学习的软件定义网络应用策略冲突检测方法

在基于OpenFlow的软件定义网络（SDN）中,应用被部署时,相应的流表策略将被下发到OpenFlow交换机中,不同应用的流表项之间如果产生冲突,将会影响交换机的实际转发行为,进而扰乱特定应用的正确部署以及SDN的安全。随着SDN规模的扩大以及需要部署应用的数量的剧增,交换机中的流表数量呈现爆炸式增长。此时若采用传统的流表冲突检测算法,交换机将会耗费大量的系统计算时间。结合深度学习,首次提出了一种适合SDN中超大规模应用部署的智能流表冲突检测方法。实验结果表明,第一级深度学习模型的AUC达到97.04%,第二级模型的AUC达到99.97%,同时冲突检测时间与流表规模呈现线性增长关系。     

基于SDN的IP组播研究

为提高组播网络的安全性和可控性提出一种创新性的组播传输机制——基于SDN的一种新型网络架构。通过SDN数据和控制平面相分离的特性,可以把处理组播组事件,计算组播转发树等功能集成到contrlloer的组播模块,路由转发设备只需负责数据转发任务即可。     

基于SDN和NFV的业务链管理系统研究

首先针对目前业务链系统拓扑固化、扩展难的问题,分析业务链系统SDN化以及NFV化的需求。SDN的基本特征是转发与控制分离,集中的软件控制以及开放的编程接口,通过使用SDN技术,可以使得业务链系统具有灵活、拓扑可视、扩展方便等特性。然后,分析基于SDN技术实现业务链管理系统的技术架构,基于SDN的业务链系统主要由业务链管理系统、策略管理系统、SDN控制器、流分类器、SDN交换机等主要组件组成。文章对其中的关键技术进行了研究分析,最后,对业务链应用场景进行了研究,目前业务链系统在数据中心、Gi-LAN、接入网等场景有大量的应用需求。     

面向软件定义核心网的OpenFlow分组转发优先制排队模型研究

软件定义网络（Software-Defined Networking,SDN）作为一种数据转发与控制逻辑相解耦、并开放底层编程接口的创新网络架构,为降低核心网的部署运营成本、提升应用业务性能提供了全新的解决思路.然而,在SDN架构下,逻辑上集中的控制平面容易出现性能瓶颈,进而加大分组转发时延,因此有必要理解其分组转发性能特性.为此,本文首先介绍了软件定义核心网的典型部署场景,分析了控制平面的Packet-in消息到达过程和数据平面的分组到达过程,进而应用M/M/n/m和M/M/1/m排队模型分别刻画控制器集群的Packet-in消息处理过程和OpenFlow交换机的分组处理过程.在此基础上,建立OpenFlow分组转发优先制排队模型,进而推导出不同优先级的分组转发时延及其累积分布函数CDF.最后,借助控制器性能测量工具OFsuite_Performance进行实验评估,结果表明：与现有模型相比,本文所提的M/M/n/m模型更能准确估计控制器集群的实际性能.同时,采用数值分析的方法对比了多种情况下不同优先级的分组转发时延及CDF曲线,为软件定义核心网的实际应用部署提供有效参考.     

基于Mininet的SDN网络拓扑带宽性能分析

软件定义网络(SDN)是计算机网络领域的巨大创新,该技术实现了由软件来控制转发路由数据包。SDN控制器可以实现使用控制平面来管理各种虚拟交换转发设备,从而节约了大量经费,并缩短SDN的开发测试周期。由于SDN交换机种类少,并且价格昂贵,使用Mininet对计算机网络进行仿真,为SDN研究提供有效的技术支撑,其实验结果几乎可以不做任何修改直接部署到真实的硬件环境中去。     

SDN中基于全局拓扑感知的自适应流量均衡算法

针对软件定义网络(Software-Defined Networking,SDN)中控制平面和数据平面之间的控制链路性能受限导致的Packet_In传输瓶颈问题,提出了一种自适应的流量均衡算法,利用SDN网络控制平面拥有全局拓扑和交换机实时状态的特点,运用阈值对流量均衡起止条件进行控制,通过将超载交换机中流量重定向到邻居交换机的一跳转发的自适应方法,解决上行控制链路瓶颈问题.与现有方法相比,减小了33％的上行控制链路负载与50％的Packet-In消息丢包率,且部署开销小.     

源端控制的OpenFlow数据面

为了实现流表的多元快速查找,OpenFlow交换机一般采用TCAM存储和查找流表,从而带来了扩展性、成本和能耗的问题。尽管可以采取流表压缩、引入RAM存储器等方法,但仍无法彻底解决使用TCAM造成的局限性。针对这个问题提出了源端控制的OpenFlow数据面模型,即SCOF（source-controlled OpenFlow）。它以一种源路由地址—向量地址（VA）作为数据分组的交换标签,VA完全定义了通信路径。SCOF的数据转发设备是向量交换机,它不需要存储和查找流表,只根据VA即可完成数据分组转发。SCOF模型降低了交换机硬件复杂度,简化了流表更新过程,克服了OpenFlow的扩展性问题。     

对SDN/NFV的核心网演进关键技术的探讨

在长期实践过程中,在核心网中引入NFV与SDN技术,与此同时,基于核心网虚拟化,深入研究分组域网关控制转发分离和以Service Chaining为基础的即插即拔增值业务,还有复杂流等处理平台,最终得出结论,应当构建以SDN/NFV为重要基础的核心网结构。     

基于SDV/NFV的核心网演进关键技术研究

网络功能虚拟化NFC与软件定义网络SDN是IT行业重要发展方向,通过NFC与SDN引入到核心网中,本文对核心网虚拟化、分组域网管控制转发分离及即插拔增值业务等进行研究,进而对以SDV/NFV为基础的核心网演进技术展开分析.