适用于软件定义网络的原子操作技术

软件定义网络(SDN)是近年来网络技术的研究热点,其主要实现了由控制器来转发数据。由于数据需要在转发过程中不被其他路由策略打断,即控制器为各个节点下发流表要保证同步,因此可以将原子操作的概念引入SDN中。基于此,笔者提出利用流表中丰富的匹配规则解决丢包、环路等原子操作问题,同时搭建硬件平台系统,提出适用于软件定义网络的原子操作技术。     

创建软件定义网络中的进程级纵深防御体系结构

云计算因其资源的弹性和可拓展性,在为用户提供各项服务时,相对于传统方式占据了先机。在用户考虑是否转向云计算时,一个极其重要的安全风险是：攻击者可以通过共享的云资源对云用户发起针对虚拟机的高效攻击。虚拟机作为云服务的基本资源,攻击者在攻击或者租用了某虚拟机之后,通过在其中部署恶意软件,并针对云内其他虚拟机发起更大范围的攻击行为,如分布式拒绝服务型攻击。为防止此种情况的发生,提出基于软件定义网络的纵深防御系统,以及时检测可疑虚拟机并控制其发出的流量,抑制来自该虚拟机的攻击行为并减轻因攻击所受到的影响。该系统以完全无代理的非侵入方式检测虚拟机状态,且基于软件定义网络,对同主机内虚拟机间或云主机间的网络流量进行进程级的监控。实验结果表明了该系统的有效性。     

软件定义多平台航空电子网络架构

针对当前航空电子网络无法满足复杂战场环境下航空编队协同作战需求的现状,对综合模块化系统航空电子网络与软件定义网络进行介绍,从航空编队协同作战实际应用的角度出发,分析传统航空电子网络架构在编队协同作战条件下的局限性。结合航空编队协同作战的信息交互需求,构建软件定义多平台航空电子网络架构,并在此基础上分别对该架构的数据平面与控制平面进行设计与描述。仿真结果表明,该网络架构可使信息接收平台在单位时间内获取的信息价值更高,并保证信息快速收敛于当前执行任务,为软件定义多平台航空电子网络应用于未来战场中的航空编队协同作战提供理论支撑。     

面向软件定义网络的隐蔽通信检测机制

为提高软件定义网络抵抗高级持续性威胁的能力,对软件定义网络特性及高级持续性威胁中的隐蔽通信进行了分析,提出了一种适用于软件定义网络的高效隐蔽通信检测机制.该隐蔽通信检测机制首先利用软件定义网络抓取网络流量并从中获取可能包含隐蔽通信的报文;随后从上述报文中提取SSL证书,并计算用于表征该证书的特征值;最后采用孤立森林算法对证书的特征值进行检测以判断证书是否为非法证书,基于此检测结果判断网络中是否存在隐蔽通信.实验结果及分析表明,该隐蔽通信检测机制能够提高隐蔽通信检测精度,降低隐蔽通信误检率;同时该机制可扩展性较高,能够适用于不同应用场景.     

面向网络处理器的软件组件框架研究

网络处理器通常由多个异构的处理和内存单元通过片上网络连接构成,其目标应用需要在Gbit/s到几十Gbit/s的网络环境中以线速处理数据包。基于网络处理器的应用有实时、资源受限和异构的特点。组件技术对于复杂的嵌入式系统是一种十分有前途的方法。本文以一种典型的网络处理器为例,说明了在基于网络处理器的系统中应用组件技术时,对组件框架的要求,讨论了组件组合框架和运行时框架,并定义了组件框架服务。利用提出的组件框架,可以实现软件性能工程。     

面向软件定义卫星网络的协同接入认证机制

接入认证是保障卫星网络安全的重要基础技术之一,一直为传统卫星网络安全领域的研究热点,但在新兴的软件定义卫星网络中的相关研究尚处于“襁褓”阶段。本文面向软件定义卫星网络提出了一种协同接入认证机制,其目标为:将安全技术和软件定义技术有机融合,在保证基本安全接入认证功能基础上,抵御卫星网络接入认证拒绝服攻击,规避由于切换认证中断导致的服务访问质量问题。协同接入认证机制设计中的主要贡献主要包括:协同接入认证模型和空间拓扑动态变化高容忍的接入认证协议两部分。其中,为了抵御接入认证拒绝服务攻击,协同接入认证模型设计为以地面合法端用户设备身份作为序参量,协同软件定义卫星网络管理面、控制面与转发面,仅上报注册的合法端用户设备的接入认证请求,减少接入认证暴露的攻击面;为了提升服务访问的连续性,空间拓扑动态变化高容忍的接入认证协议则基于椭圆曲线无证书算法,通过主动更新预接入和接入认证阶段的控制面转发控制参数,使合法端用户设备的服务访问对切换无感知,降低重认证次数。通过安全性分析,本文证明了所提出的接入认证机制不仅能够满足安全性需求,并且与典型认证方法相比,在抵御接入认证抗拒绝服务攻击和保障访问连续性等方面具有优势;进一步,通过数值仿真,验证了所提接入认证机制不仅可有效降低重认证次数,并且可达到毫秒级的认证算法计算效率。     

A Survey on Software Defined Networking: Architecture for Next Generation Network

The evolution of software defined networking (SDN) has played a significant role in the development of next-generation networks (NGN). SDN as a programmable network having “service provisioning on the fly” has induced a keen interest both in academic world and industry. In this article, a comprehensive survey is presented on SDN advancement over conventional network. The paper covers historical evolution in relation to SDN, functional architecture of the SDN and its related technologies, and OpenFlow standards/protocols, including the basic concept of interfacing of OpenFlow with network elements (NEs) such as optical switches. In addition a selective architecture survey has been conducted. Our proposed architecture on software defined heterogeneous network, points towards new technology enabling the opening of new vistas in the domain of network technology, which will facilitate in handling of huge internet traffic and helps infrastructure and service providers to customize their resources dynamically. Besides, current research projects and various activities as being carried out to standardize SDN as NGN by different standard development organizations (SODs) have been duly elaborated to judge how this technology moves towards standardization.     

基于组件的网络移动机器人软件框架

在研究移动机器人自身特点及网络控制特性的基础上,提出一种基于组件的移动机器人程序框架,减少了编写移动机器人应用程序时的复杂性并提高了代码的复用性。通过构建统一的网络平台和控制平台,制定一组规范的模块抽象类和接口,实现组件的动态加载和连接。通过优先值控制,灵活地调整对机器人的控制方式和网络控制模式。结合中科院智能机器人平台AIM,说明如何使用Java和XML构建该框架。     

一种SDN网络路径异常监控方法

在SDN网络中,及时掌握网络中数据传输路径的运行状态对于控制器进行网络安全监控和流量的负载均衡至关重要。利用SDN网络架构的特点,提出了一种主动测量与被动测量相结合的路径异常监控方法,以对网络路径的运行状态进行异常监控。从路径的延迟和可用带宽两个方面分析网络路径的运行情况,并对出现异常的路径进行检测和报警,保障网络的正常运行。实验结果表明,在不同的网络条件下,所提方法都能有效测量网络路径的延迟和可用带宽,并且能够及时发现网络中出现的路径异常情况。     

Software Authorization Systems

For every piece of business software sold, at least one illegal copy exists. This article describes and classifies software-protection methods.     

ESFM: An Essential Software Framework for Meshfree Methods

This paper describes an Essential Software Framework for Meshfree Methods (ESFM). Through thorough analyses of many existing meshfree methods, their common elements and procedures are identified, and a general procedure is formulated into ESFM that can facilitate their implementations and accelerate new developments in meshfree methods. ESFM also modulates performance-critical components such as neighbor-point searching, sparse-matrix storage, and sparse-matrix solver enabling developed meshfree analysis programs to achieve high-performance. ESFM currently consists of 21 groups of classes and 94 subclasses, and more algorithms can be easily incorporated into ESFM. Finally, ESFM provides a common ground to compare various meshfree methods, enabling detailed analyses of performance characteristics.     

基于OpenFlow的SDN网络攻防方法综述

软件定义网络(Software Defined Network,SDN)的控制与转发分离、统一配置管理的特性使其网络部署的灵活性、网络管理的动态性以及网络传输的高效性均有大幅提升,但是其安全性方面的问题却比较突出。综述了基于OpenFlow的SDN在安全方面的研究现状,首先根据SDN的三层架构分析了其脆弱性,介绍SDN不同平面面临的安全威胁,并根据网络攻击的流程来介绍当前主要的攻击手段,包括目标网络探测、伪造欺骗实现网络接入以及拒绝服务攻击和信息窃取;其次,针对不同攻击环节,分别从探测阻断、系统加固、攻击防护3个方面对当前主要的防御手段进行论述;最后,从SDN潜在的攻击手段和可能的防御方法两方面来探讨未来SDN安全的研究趋势。     

支持网络切片和绿色通信的软件定义虚拟化接入网

接入网络中存在大量不同的接入技术和海量的接入设备,导致运营复杂度和成本急剧增加,这迫使运营商亟待寻找一种有效的解决方案来提升收支比,以此实现可持续的商业模式.为了应对这些挑战,提出了一种基于软件定义网络(software defined networking, SDN)的新型接入网体系架构SDVAN,其可以提供具有高成本效益的网络管控机制,同时具备高扩展性并支持定制化.SDVAN将所有物理设备的控制平面抽象化集中化,并通过软件定义的方式实现对接入网的灵活定制.SDVAN节点的可编程性为不同的接入技术提供了弹性支持.此外,SDVAN还提供了一种高效的资源建模机制和网络抽象方法,实现了网络服务的自动化编排,并可基于信任级别来体现网络的可视性和可控性.最后,SDVAN实现了支持多租户和多版本网络设备的网络切片功能.实验结果证明了SDVAN方案在网络节能、资源利用率、成本等方面的有效性和实用性.     

基于流量调度的SDN数据中心网络拥塞控制算法

针对采用软件定义网络(SDN)的数据中心网络拥塞的问题,提出一种基于流量调度的数据中心网络拥塞控制算法。当链路发生拥塞时,该算法首先判别拥塞链路中 链路上关键度最大的大流,然后对大流进行重路由计算,选择调度开销最小的流,并进行调度代价计算,最后对调度代价最小的流进行调度。实验结果表明,所提算法能够有效缓解网络拥塞,降低丢包率,提高链路利用率,使得网络性能更为稳定。     

Early Detection of DDoS Attacks Against Software Defined Network Controllers

Software Defined Network (SDN) is a new network architecture that has an operating system. Unlike conventional production networks, SDN allows more flexibility in network management using that operating system that is called the controller. The main advantage of having a controller in the network is the separation of the forwarding and the control planes, which provides central control over the network. Although central control is the major advantage of SDN, it is also a single point of failure if it is made unreachable by a Distributed Denial of Service (DDoS) attack. In this paper, that single point of failure is addressed by utilizing the controller to detect such attacks and protect the SDN architecture of the network in its early stages. The two main objectives of this paper are to (1) make use of the controller’s broad view of the network to detect DDoS attacks and (2) propose a solution that is effective and lightweight in terms of the resources that it uses. To accomplish these objectives, this paper examines the effect of DDoS attacks on the SDN controller and the way it can exhaust controller resources. The proposed solution to detect such attacks is based on the entropy variation of the destination IP address. Based on our experimental setup, the proposed method can detect DDoS within the first 250 packets of the attack traffic.     

软件定义网络中蚁群优化的负载均衡算法

软件定义网络因其特定的网络结构,有集中控制获取与分配全球网络资源等特点。针对软件定义网络中的负载均衡问题,在原有蚁群算法的基础上,提出了一种改进的蚁群优化负载均衡算法,主要思想如下:利用蚁群算法的搜索规则,将链路负载均衡度、流接受率、时延和丢包率作为蚂蚁选择下一节点的影响因素,在多个约束条件下,获得传输的最佳路径。理论分析及仿真结果说明,所提出的算法具有较好的负载平衡能力,而且可以提高网络的服务质量。     

SDN网络中基于业务划分的路由选择机制

软件定义网络(SDN)是一种新型的网络架构,其路径是根据全局网络拓扑计算得到的。然而,当前SDN网络中依然存在负载不均衡和不能满足网络流量QoS要求的问题。为此,根据SDN控制器掌握全局网络信息的特点,结合网络感知功能和基于流量的业务划分,利用K最短路径算法,提出一种基于业务划分的路由选择机制。实验结果表明,该机制能够为不同业务类型的数据流选择一条最能满足其QoS要求的路径,并使整个网络达到负载均衡,进而提高了底层网络资源的利用率。     

嵌入式网络软件体系结构研究及应用

该文从PC领域的软件体系结构出发,针对嵌入式应用的特殊性,对嵌入式领域的网络软件体系结构进行了系统的概述及总结,并提出了两种新型的体系结构:“HICP”、“XML&B/S”。“HICP”体系结构是基于自行设计的“HICP”协议及“HICP”代理服务器的一种新型体系结构,具有开发简单方便、效率高等优点;“XML&B/S”是从“B/S”框架发展而来,客户端与服务器端通信的数据采用“XML”格式。此外,该文还介绍了这两种新型的软件体系结构在实际系统中应用。