一种基于SDP组件的SDN安全架构模型

SDN为网络引入了开放式的可编程性和层次化的解耦模型,带来管控便利和性能飞跃的同时,也为攻击者降低了入侵门槛。针对SDN面临的安全问题,提出1种基于SDP组件的SDN安全架构SbSDN(SDP based SDN)。通过将SDP控制器基于现有SDN控制器集成部署,及利用SDN中OpenFlow协议的packet-in和packet-out报文消息封装SDP中的SPA消息,实现了SDP与SDN在数据平面和控制平面的良性耦合;面向应用网关在SDN数据平面的部署实现,提出1种应用网关分配算法;面向模型中SDP组件的协同验证,提出1种SbSDN会话建立算法。经安全性能和安全开销测试,所提架构以相比原SDN网络增加约10秒一次性启用时延的开销,减少了约56.3%的DoS攻击流量并可维持主机正常通信,还可抵御端口扫描攻击,有效提升了SDN网络安全性能。     

一种面向SDN的拟态化架构设计

作为SDN的“控制大脑”,控制器承载着SDN网络的诸多控制功能,通过对SDN网络安全威胁的分析,将应用程序、控制器、操作系统以及处理器纳入拟态界,构建了面向SDN的拟态化架构。该架构的设计引入了新问题,通过分析问题的根源,设计了拟态代理以及异构执行体之间的同步方法,创建了以多数一致表决为裁决算法的拟态架构抗攻击性模型。最后,在搭建的仿真和测试环境的基础上,分析了该拟态架构的安全性以及性能。仿真和测试结果表明该拟态架构具备高安全性,并在吞吐量和延迟等方面得到了改善。     

关于SDN网络新技术的分析与应用

SDN是新型网络体系架构,它把传统的硬件网络控制转变成可编程性的网络控制模式,简化了网络设计和操作。基于SDN的框架结构和部署模式,分析其将网络的控制平面与数据转发平面进行分离实现软件控制网络的优势,并探讨了关于SDN的实际市场应用,以及未来存在的挑战。     

基于OpenFlow的链路故障诊断方法

为了实现对软件定义网络(SDN)环境下链路故障的快速诊断及定位,提出了一种基于OpenFlow的链路故障诊断机制. 利用SDN控制平面与转发平面分离的特性,使用SDN南向接口协议--OpenFlow对网络各个节点进行信息采集,从拓扑管理、链路丢包、链路带宽、链路拥塞4个方面进行链路故障的诊断. 实验结果表明,该方法能够准确获取网络链路的性能参数. 此外,结合网络拓扑信息,能够对网络故障点进行精确的定位.     

面向SDN的可生存性增强自配置技术

SDN将传统的控制平面与数据转发平面相分离,实现可编程的集中式控制。针对SDN环境下的资源配置问题,探讨增强系统可生存性的自配置技术。首先,在简述SDN基本定义和概念的基础上,介绍SDN的体系结构及其关键技术,然后对现阶段的可生存性增强技术问题进行总结和分析。通过在控制层和基础设施层之间构建网络虚拟层,提出一种基于网络虚拟化的可生存性增强自配置技术,将SDN和云计算结合进行实现,并给出面向SDN自配置技术的可行性分析,最后总结了在SDN发展中遇到的各种挑战。     

基于网络时延的SDN逻辑一致性策略研究

对SDN网络更新过程中的暂时中间态进行了研究, 阐述了因网络时延导致的控制逻辑不一致问题, 并提出了一种解决方案. 该方案通过在控制平面上调整安装控制规则的时序, 使网络达到控制逻辑一致的目的, 进一步建立了一种基于节点平均网络时延的目标优化模型, 通过对模型求解得到SDN网络逻辑一致的时延最小路由路径. 最后通过仿真实验验证了该方案的可行性和有效性.     

无线传感器网络重编程安全认证机制研究

文章分析了无线传感器网络重编程的安全性需求,研究了基于公钥密码的无线重编程安全认证机制;根据无线重编程协议的特性将这些安全认证机制分为更新代码认证和控制消息认证2个层面,在各自层面上分析和比较了它们的性能和优缺点;针对现有更新代码认证机制的缺陷提出了一种细粒度、低存储开销、可容忍包乱序的安全认证方案;最后对控制消息认证机制中存在的计算开销较大的问题进行了改进.     

面向Modbus的安全认证通信机制分析

为了研究工业控制网络的安全,对工业控制网络中应用最广泛的Modbus协议的安全性进行了分析.分析比较了Modbus主设备认证算法和ModbusSec认证算法两种算法的优劣,明确了今后对Modbus工控网络安全的研究方向.     

可逆数字水印在医学图像中的应用研究

针对医疗影像及数据信息会遭遇篡改、病患隐私泄露等安全问题,提出了基于可逆数字水印的解决方案.该方案的基本思路是选取最低有效位的位平面,得到该位平面的二进制数据流,然后对该数据流用RLE方法进行无损压缩,以获得空间嵌入水印(水印包括对原始医学图像采用HMAC算法得到的完整性消息认证码和加密得到的病患信息),在接收端能精确地恢复原始图像.在此基础上,进一步结合PKI技术,研究了基于可逆数字水印的医学图像网络传输流程.实验结果表明,可逆数字水印的嵌入并不影响医学图像的视觉效果,且有效地解决了图像的完整性认证以及病患信息的隐秘传输的问题,加强了安全性.     

基于Ryu的SDN网络动态路由算法实现

针对传统网络不能对网络设备的自动配置和对虚拟网络进行管理的问题,文中分析了SDN网络架构,采用SDN控制器作为集中的控制平面来统一管理各交换设备,分析了Ryu控制器与OpenFlow交换设备之间的通信原理,在应用层中设计路由算法,来实现传统网络的选路功能.结合实际使用环境,通过获取网络属性,增加了多个权重来优化现有的基于跳数的路径选择.将文中算法集成到Ryu控制器中作为控制器的动态路由选择功能;通过mininet对网络节点进行仿真,构建具有虚拟主机以及虚拟交换机的网络拓扑,开发Ryu控制器内部应用来对各交换机进行集中的流表下发.仿真结果表明,对Ryu控制器应用的开发可以实现动态路由选择功能,完成了自动的流表规则下发.验证了SDN架构中应用层面对网络协议等功能的设计方法的可行性,并且SDN控制器能够根据优化的路由算法实现对虚拟网络设备的集中管理和自动化配置.