软件定义网络中基于密码标识的报文转发验证机制

针对软件定义网络(SDN)中缺乏安全高效的数据来源验证机制问题,该文提出基于密码标识的报文转发验证机制。首先,建立基于密码标识的报文转发验证模型,将密码标识作为IP报文进出网络的通行证。其次,设计SDN批量匿名认证协议,将SDN控制器的验证功能下放给SDN交换机,由SDN交换机进行用户身份验证和密码标识验证,快速过滤伪造、篡改等非法报文,提高SDN控制器统一认证与管理效率,同时可为用户提供条件隐私保护。提出基于密码标识的任意节点报文抽样验证方案,任何攻击者无法通过推断采样来绕过报文检测,确保报文的真实性的同时降低其处理延迟。最后,进行安全性分析和性能评估。结果表明该机制能快速检测报文伪造和篡改及抵抗ID分析攻击,但同时引入了大约9.6%的转发延迟和低于10%的通信开销。     

基于可编程数据平面的南向协议研究

由于传统网络设备固化且依赖于物理基础设施,难以适应智能化网络的需求。为提高网络的智能化,开放网络的可编程能力,软件定义网络和可编程数据平面应运而生。文章介绍了软件定义网络、可编程数据平面,及其所对应的南向协议,包括OpenFlow协议及其所存在的问题,P4Runtime协议的优势。然后用Mininet软件搭建了网络仿真对P4Runtime的优势进行验证。仿真实验表明,在可编程数据平面协议无关的基础上,P4Runtime作为控制平面和数据平面之间的南向协议,提供了基于Python的交互式和脚本两种下流表方式,与SDN传统下流表方式相比具有更高的灵活性和扩展性,更易于管理人员对网络进行统一管理。为运营商、数据中心等应用场景提供了新的控制管理方案。     

可编程数据平面技术综述

在软件定义网络中,可编程数据平面提供的编程能力是网络功能虚拟化的基石。可编程数据平面技术的核心是可编程能力与数据包处理性能。首先从数据平面的可编程性出发,探讨现有数据平面的数据包处理抽象。然后,分别对数据平面实施的目标平台与对应平台上的主要流表算法进行介绍,详细论述现有数据平面技术。最后,探讨了高性能数据平面技术存在的关键挑战。     

软件定义网络中转发技术专利分析

现有网络设备支持的协议体系庞大,导致高度复杂,不仅限制了IP网络的技术发展,更无法满足当前云计算、大数据和服务器虚拟化等应用趋势。软件定义网络(Software Define Network,SDN)作为一种最新网络架构,对网络设备控制面、转发面和应用层功能进行重新定义抽象,使得网络设备可编程,有望改变上述局面。本文分析了国内外有关SDN中转发技术的专利申请情况,从申请的年度分布、申请人等方面进行分析,总结出相关专利技术的一些规律,为我国SDN中转发技术的发展提供信息参考。     

基于FPGA的vBRAS转发平面架构设计与实现

为了解决vBRAS存在的缺陷,并进一步降低使用成本,设计了vBRAS的新转发层及其北向接口。开发采用了基于FPGA的SDN开源交换机和开源控制器,并对Openflow 1.3协议中的Experimenter扩展消息进行了自定义。现网测试表明,新转发层在不同用户数和流量组合的情况下都能实现交换机端口全线速转发。新转发层设计可以让vBRAS承载大流量业务,摆脱对传统BRAS的依赖,降低运营商采购成本,加快vBRAS的集中化部署、资源池化演进思路的实现。     

一种高可扩展的软件定义网络控制平面架构

作为一种新型网络创新架构,软件定义网络(SDN)为研发新的网络应用和未来互联网架构提供了一种新的解决方案。目前,基于Open Flow协议的SDN架构已被越来越多的机构成功部署。随着网络规模的增大和业务需求的不断增加,控制平面的可扩展性需求越来越明显。为此,文中采用互联网分层、分割、集群、缓存的架构思想,提出了一种高可用性、高扩展性的控制平面架构方案。从数据请求、应用处理、以及全局网络视图三个抽象层次剖析了该方案,最后通过模拟实验证明了方案的可行性。     

可编程网络数据平面技术进展

网络数据平面执行数据包处理转发,是网络性能的决定性因素之一。大带宽、低时延、可持续演进的网络基础设施需要构建高效可编程的网络数据平面。首先,介绍数据包处理转发模型,并以此为基础概述网络数据平面在性能与可编程性面临的关键挑战。然后,从数据包查找算法理论与软/硬件协同实现机制出发,详细论述其基本思路及关键核心技术进展以应对上述关键挑战。最后,探讨高效可编程数据平面的未来发展趋势与技术演进路线。     

一种解析与执行联动的SDN可编程数据平面

当前互联网技术发展迅速,新型网络协议的不断出现,要求网络转发设备能够及时提供对新协议的支持.目前,软件定义网络要兼顾可编程协议解析和数据转发性能仍然面临诸多困难.对此,本文提出了基于解析和执行联动结构的可编程数据平面（CLIPE）,通过在硬件的解析器上部署用户可定义模块,可实时更新硬件中解析逻辑中的协议多叉树,从而实现协议解析的用户定制性;并且,通过解析器和动作执行器联动的创新结构,减少了整个处理架构的冗余性,从而减小动作执行时延,提高了硬件资源利用率,与现有方案相比,节约了11%的逻辑资源和24%的BRAM资源.最后,本文基于NetFPGA-10G板卡完成了本方案的原型机实现.     

基于软件定义网络的安全态势感知方式分析

本文首先分别详细地阐述了软件定义网络和态势感知的概念,随后又分别全面的分析了软件定义网络和态势感知的重点技术,通过对于这些技术要点的重点分析,为以后进一步深入研究网络的安全态势感知这项技术,提供了一个良好的借鉴作用.     

应用于协议无感知转发交换机的流缓存方法

协议无感知转发支持任意协议的解析和处理,增强了软件定义网络的可编程能力。为提高转发性能,该文提出一种应用于协议无感知转发交换机的流缓存方法,通过识别匹配和动作的依赖关系,得到匹配字段的绝对位置,用以预先解析报文。为确保流缓存的加速效果,根据匹配类型与表项数量选择应用流缓存的流表。此外,该文对比了单流表缓存与多流表缓存对转发性能的提升,并提出了根据网络流量实际情况的自适应切换策略。通过扩展POFSwitch实现所提方法,并用实际规则与骨干网流量进行验证,应用流缓存后,交换机报文转发速率提升了220%。流缓存可以为可编程数据平面提供更高的转发性能。     

基于流量工程的软件定义网络控制资源优化机制

针对软件定义网络(SDN)分布式控制平面中由于网络分域管理所引发的控制扩张问题,该文提出了一种基于流量工程的SDN控制资源优化(TERO)机制。首先基于数据流的路径特征对流请求的控制资源消耗进行分析,指出通过调整控制器和交换机的关联关系可以降低控制资源消耗。然后将控制器关联过程分为两个阶段：先设计了最小集合覆盖算法来快速求解大规模网络中控制器关联问题;在此基础上,引入联合博弈策略来优化控制器和交换机的关联关系以减少控制资源消耗和控制流量开销。仿真结果表明,与现有的控制器和交换机就近关联机制相比,该文机制能在保证较低控制流量开销的前提下,节省约28%的控制资源消耗。

     

弹性协议可定制的网络数据平面结构及其映射算法

随着网络功能的不断扩展,新型网络协议的不断涌现,这些协议中的数据包具有新的格式定义,需要网络设备能够支持相应的解析和查找。软件定义网络(Software Defined Networking, SDN)基于流表的转发设计使得网络的创新变得简单,但是仍然难以支持任意协议的可编程解析和处理。该文联合考虑数据包的解析和查找过程,提出一种支持协议弹性定制的数据包查找硬件结构,通过比特粒度的解析和基于元操作的查找过程,使得任意协议能够在硬件结构上得到处理;此外,该文针对所提硬件结构提出一种基于多叉树的映射算法,将用户定制协议映射到硬件处理流水线和查找表中。通过实际的FPGA部署验证了所提结构能够支持多种协议的灵活定制,在硬件中的处理速度可以达到390 Gbps,与已有方案相比,其硬件资源利用率有明显降低。该结构对未来的软件定义网络的数据平面设计有重要的意义。     

基于嗅探技术的字段操纵攻击研究

软件定义网络(SDN)为网络基础设施提供灵活性、可管理性以及可编程性的同时,引入了诸多新型的攻击向量。该文介绍了攻击者针对OpenFlow关键字段发起的恶意操纵攻击,并设计了3种基于数据包转发时延的嗅探技术以保证字段操纵攻击在真实SDN网络中的可实施性。实验结果表明,字段操纵攻击严重消耗了SDN网络资源,进而导致合法用户之间的通信性能明显降低。     

一种软件定义网络的安全服务链动态组合机制

网络安全功能与硬件设备的紧耦合关系,造成传统网络安全服务模式静态僵化,难以满足未来业务发展的多样化安全需求。为此,基于软件定义网络环境,该文提出一种灵活可配的安全服务链动态组合机制。首先,介绍了该机制的总体结构,并建立了基于向量空间和整数规划的组合模型。其次,设计了启发式算法进行模型求解,并构建了该机制的实现原型。最后,实验结果表明所提组合算法在性能指标上优于对比算法,并且试验验证了该机制的优势。     

基于负载通告的SDN多控制器负载均衡机制

多控制器负载均衡是SDN网络部署研究中关注的问题之一。该文针对多控制器间负载均衡的时间效率问题,提出一种基于负载通告策略的负载均衡机制(LILB)。该机制包括负载测量、负载通告、均衡决策和交换机迁移4个核心功能组件。借助于负载通告的能力,每个控制器可以在过载后无需收集其他控制器的负载信息而尽快完成均衡决策。为了减少负载通告带来的通信负荷和处理负荷,该文提出一个抑制算法来降低负载通告的频率。此外,该文还提出了最重过载控制器、迁移交换机和目标控制器的决策方法,以及目标控制器接受迁移请求的判定策略来避免控制器的负载震荡;并为支持交换机迁移过程中控制器角色的平滑切换设计了一种交换机迁移的消息交互机制。最后,在基于Floodlight和Mininet的实验环境中验证了所提出方法的有效性。     

基于简单随机抽样的大数据可信性验证方法

针对大数据的可信性验证问题,本文提出了一种大数据可信性验证方法以验证数据来源和数据内容的可信性.本文首先通过验证数据属主的身份证书来实现数据来源可信性的验证,再在简单随机抽样和可聚合的广播签名方案的基础上,设计了一个交互式质询-应答协议,使得用户只需抽样少量数据就能以高置信率验证数据内容的可信性.理论分析和实验结果表明,本文方法是安全的,且性能开销在合理范围内,能够实现大数据的可信性验证.     

基于深度布隆过滤器的NDN网络三级名字查找方法

为提高命名数据网络(Name Data Networking, NDN)路由过程中内容名字查找的效率,该文提出一种基于深度布隆过滤器的3级名字查找方法。该方法使用长短记忆神经网络(Long Short Term Memory, LSTM)与标准布隆过滤器相结合的方法优化名字查找过程;采用3级结构优化内容名字在内容存储器(Content Store, CS)、待定请求表(Pending Interest Table, PIT)中的精确查找过程,提高查找精度并降低内存消耗。从理论上分析了3级名字查找方法的假阳性率,并通过实验验证了该方法能够有效节省内存、降低查找过程的假阳性。