浅析SDN安全需求和安全实现

首先对SDN和网络安全相关的架构(如SANE、Ethane)进行了调研;其次,分析了SDN的安全需求和安全应用的现状,包括应用层和控制层之间、控制层和转发平面之间的安全需求研究现状以及在SDN上实现安全应用的现状;最后,探讨了SDN应用的认证、授权的解决方案,并对策略冲突消解、网络安全应用实现的现状进行了总结.     

基于SDN的物联网安全架构研究

随着物联网技术的广泛应用,大量的RFID和无线传感器需要接入网络,海量的关键信息数据需要通过网络传递,使得物联网相比较传统网络对网络安全提出了更高的要求,因此提出了一种基于SDN的物联网安全架构,利用SDN技术控制与转发相分离、网络虚拟化等特点,整合网络安全资源,从网络全局角度分析安全风险、执行安全策略,将物联网各层面的安全问题进行集中分析处理,简化物联网末端安全设施的部署。在给出基于SDN的物联网安全架构基础上,分析介绍了应用层、控制层、感知层的安全模块和安全策略,最后给出了下一步开展研究工作的重点和方向。     

一种SDN中基于熵值计算的异常流量检测方法

摘要：软件定义网络（software defined networking,SDN）是一种新型网络创新架构,其分离了控制平面与转发平面,使得网络管理更为灵活。借助SDN控制与转发分离的思想,在SDN基础上引入一个集中式安全中心,在数据平面设备上采集数据,用于对网络流量进行分析,通过熵值计算和分类算法判断异常流量行为。对于检测到的网络异常情况,安全中心通过与SDN控制器的接口通告SDN控制器上的安全处理模块,进行流表策略的下发,进而缓解网络异常行为。通过本系统可以在不影响SDN控制器性能的情况下,快速检测网络中的异常行为,并通过SDN下发流表策略对恶意攻击用户进行限制,同时对SDN控制器进行保护。     

OVS的编程扩展技术

OVS (open vSwitch)作为一款开源的SDN软件交换机,得到了广泛关注.但在复杂多变的网络环境下,易出现数据层失去控制器控制和流表项学习老化等故障问题,严重制约了SDN性能.针对以上问题,研究设计了OVS的编程扩展技术架构,包含链接状态处理、故障感知、二三层自学习转发等核心功能的扩展,使OVS实现自动快速恢复、流表表项及时更新,保障了SDN吞吐量,从而减小了控制器失联对通信的影响,增强了SDN的稳定性和可靠性.     

LONWORKS与RS—485互连适配器的设计

随着计算机在工业控制领域的广泛应用,控制局域网也深入应用到各种控制系统中。现行的控制系统往往是多机系统,即采用控制网络技术,将众多控制系统单机有机地连成一体,构成分布式控制系统。 目前我国较为流行的现场通信网络有RS232、RS485、HART、PROFIELBUS、CAN、LONWORKS等。由于LONWORKS现场总线在网络通信方面的突出优点：它的网络应用层采用“网络变量”这一全新概念,使复杂的网络通信程序设计变成了简单的“网络变量”定义和捆绑;它的网络物理层支持多种通信介质：双绞线、电力线、无线电、红外线、同轴电…     

基于SDN的物联网架构分析

随着近年来物联网的快速发展,越来越多的设备组成了一个庞大的物理网络,其中沿用大量交换机和路由器来控制数据转发的网络架构变得越来越复杂和低效。针对此问题,文章将SDN(Software Defined Networking)网络架构引入物联网中,提出一种具有感知层、转发层、控制层和应用层的4层物联网体系架构参考模型,并对各部分实现的主要功能进行讨论。最后,选择了Open Flow协议作为南向接口协议,分析了数据在体系架构中的转发过程。通过控制面与数据面分离的参考模型,使得物联网的网络部署和管理更加方便。     

软件定义网络中基于密码标识的报文转发验证机制

针对软件定义网络(SDN)中缺乏安全高效的数据来源验证机制问题,该文提出基于密码标识的报文转发验证机制。首先,建立基于密码标识的报文转发验证模型,将密码标识作为IP报文进出网络的通行证。其次,设计SDN批量匿名认证协议,将SDN控制器的验证功能下放给SDN交换机,由SDN交换机进行用户身份验证和密码标识验证,快速过滤伪造、篡改等非法报文,提高SDN控制器统一认证与管理效率,同时可为用户提供条件隐私保护。提出基于密码标识的任意节点报文抽样验证方案,任何攻击者无法通过推断采样来绕过报文检测,确保报文的真实性的同时降低其处理延迟。最后,进行安全性分析和性能评估。结果表明该机制能快速检测报文伪造和篡改及抵抗ID分析攻击,但同时引入了大约9.6%的转发延迟和低于10%的通信开销。     

基于地址重载的SDN分组转发验证

针对软件定义网络(SDN)中现有转发验证机制大多通过加入新的安全通信协议实现分组逐跳转发验证,出现通信与计算开销的问题,提出了一种基于地址重载的SDN分组转发验证机制.入口交换机通过重载分组地址信息将流运行时间划分为连续随机的时间间隔,各后继节点基于重载的地址信息转发分组;控制器采样间隔内流入口与出口交换机的转发分组,...     

融合DDoS威胁过滤与路由优化的SDN通信质量保障策略

提出了将DDoS威胁识别与路由优化有机结合的软件定义网络(SDN)通信质量保障策略,即在DDoS攻击造成部分网络链路拥塞的情况下,对异常数据分组进行识别过滤,同时生成最优路径,以保障网络通信质量.首先,设计了一种SDN架构下的分布式入侵检测系统,实现了对欺骗报文、异常报文以及破坏报文3类DDoS威胁的检测识别和过滤处理.其次,实现了一种最优路径的生成算法.实验测试结果表明,部署了通信质量保障策略的SDN可有效识别并滤除DDoS攻击数据分组,且处理过程中网络平均传输时延无激增.     

网络入侵后最优节点通信组网选择技术的研究

网络在受到病毒入侵后,需要进行路由节点的优化通信组网选择,保障网络通信的稳定性和鲁棒性。提出一种基于VMEBus总线轮换调度控制的网络入侵后最优节点通信组网选择技术,结合嵌入式控制技术,进行网络入侵后的节点通信组网选择控制系统的优化设计。通过串口、VXI总线、CAN总线构建人机通信模块,采用时钟同步技术进行通信节点组网的程控控制和自适应组网调控,对环形RAM缓冲区内的恶意节点进行层次化网格调度。系统的硬件模块设计中重点对A/D采样滤波电路、复位电路、时钟触发电路、中央控制电路和外围接口电路等进行设计描述。在嵌入式平台上进行系统的软件开发,实现了网络入侵后最优节点通信组网选择优化控制。仿真结果表明,该系统进行节点通信组网优化部署控制,能提高对网络入侵的抗干扰能力,降低了节点进行网络数据传输的误码率,保障了网络安全。     

基于SDN网络的防火墙系统设计与实现

软件定义网络（SDN）作为新的网络技术,能很好地满足现在对网络规模和性能的要求。为了进一步提升SDN网络的安全性,文章对SDN网络的防火墙系统进行了研究,利用控制平面与数据平面分离的特点,采用控制平面对网络集中进行实时监控与网络管理,在SDN控制器中实现数据包过滤与入侵监测,通过自定义数据转发和安全策略,实现集中式安全控制,最终实现网络安全性能提升。     

复杂通信网络的链路重传方法分析与研究

在复杂网络通信场景中,网络具有规模大、窄带不稳定、易被干扰等特点.针对复杂通信网络应用场景,设计一种具备链路重传机制的网络通信方法,主要包括链路重传IP报文的构造、全局链路重传参数的配置方法、链路重传报文转发以及超时重传控制等部分,基于IP网络交换转发设备来保证应用层数据的可靠转发.     

多传感器分布式检测系统的跨层优化设计

目标检测就是判断被监测对象是否出现,是无线传感器网络应用的首要前提.由于传感器节点协作执行检测任务,因此,应用于通信网中的解耦和最大吞吐量的网络设计不能使系统检测性能最优.提出了集成物理层、MAC层和应用层的跨层设计,设计了感知信息质量、信道状态和有效能量协同的传输控制策略,该传输策略可以有效地调节节点和融合中心的通信使系统的检测性能最优.最后,通过解决非线性约束优化问题分别为ALOHA和TDMA传感器网络得到最优的设计变量,并与典型的解耦和最大吞吐量设计比较检测性能增益.     

5G非地面网络安全研究

首先介绍了5G非地面网络（Non-Terrestrial Networks,NTN）的几种典型应用场景,包括多重连接、固定平台网络连接、移动平台连接和低密度地区补充服务;其次分析了5G NTN系统的透明架构和星上处理架构的系统组成、部署方式、协议栈情况;再次剖析了5G非地面网络分别在物理层、数据链路层、网络层、传输层和应用层面临的安全威胁以及相应的防护技术;最后对系统所面临的网络入侵及通信干扰、通信监听及伪装欺骗、大量物联网设备通过卫星接入等突出安全问题进行了探讨,并提出了可行的解决思路。     

基于OVS的SDN移动自组网络架构设计及实现

在SDN移动自组网络中,控制转发策略集中于控制器中,使得基于流表匹配的数据转发变得简单高效。但是,由于移动自组网环境复杂多变、无线信号不稳定和网络拓扑多变等原因,容易出现数据层面失去控制器控制和流表学习老化等问题,这严重制约网络性能。针对以上问题,设计了一种基于Open v Switch的SDN移动自组网络架构,架构包含状态处理与应用感知等核心功能。状态处理服务实现控制器与交换机连接状态的跟踪检测、Open Flow协议的状态匹配字段拓展和数据包在不同状态场景下进行感知处理等功能,应用感知服务实现转发策略在数据层面被灵活调度的功能。在Open v Switch和Ryu开源控制器上进行协议开发和原型系统搭建。实验结果表明,控制器连发生接故障后,业务恢复时延低于100 ms,流表项可以及时更新,这可以保障网络吞吐量的稳定性。因此,设计的架构有效减小控制器失连故障对通信的影响,增强了基于SDN的移动自组网络的稳定性和可靠性。     

基于Mininet的SDN网络拓扑带宽性能分析

软件定义网络(SDN)是计算机网络领域的巨大创新,该技术实现了由软件来控制转发路由数据包。SDN控制器可以实现使用控制平面来管理各种虚拟交换转发设备,从而节约了大量经费,并缩短SDN的开发测试周期。由于SDN交换机种类少,并且价格昂贵,使用Mininet对计算机网络进行仿真,为SDN研究提供有效的技术支撑,其实验结果几乎可以不做任何修改直接部署到真实的硬件环境中去。     

软件定义网络在电力数据通信网中的应用研究

软件定义网络(Software Defined Network,SDN)是一种全新的网络架构,它的设计理念是将网络的控制平面与数据转发平面分离,并实现可编程化控制。Openflow由美国斯坦福大学于2007年提出,它提供了标准化的接口,采用流表控制方式,将传统网络通信设备的数据转发和路由控制功能分离,是实现SDN的关键技术。从技术内涵、设备模型等方面对SDN进行了深入研究,同时研究了电力数据通信网的实际需求和现存问题,最后对软件定义网络在电力数据通信网中的应用进行了讨论。     

基于Octeon多核网络处理器的IPv6联动IPS研究与设计

对基于Octeon多核网络处理器的新一代IPv6高速网络联动入侵防御系统进行研究,设计了新型联动入侵防御原型.系统基于Octeon多核的高速处理,并结合了IPv6网络中入侵的新特点.在基于入侵检测规则库规则匹配技术的基础上,运用新型的协议分析技术和基于流的检测技术,在Octeon多核间分配控制层与数据层的不同执行,采用命名块机制进行多核间通信,通过数据层核向控制层核的反馈,实现了流处理及协议分析模块与控制模块的高速联动.系统实现了Gbps级的高速入侵检测与联动防御处理.     

基于SDN的IP组播研究

为提高组播网络的安全性和可控性提出一种创新性的组播传输机制——基于SDN的一种新型网络架构。通过SDN数据和控制平面相分离的特性,可以把处理组播组事件,计算组播转发树等功能集成到contrlloer的组播模块,路由转发设备只需负责数据转发任务即可。     

软件定义网络在电力数据通信网中的应用研究

软件定义网络（Software Defined Network,SDN）是一种全新的网络架构,它的设计理念是将网络的控制平面与数据转发平面分离,并实现可编程化控制.Openflow由美国斯坦福大学于2007年提出,它提供了标准化的接口,采用流表控制方式,将传统网络通信设备的数据转发和路由控制功能分离,是实现SDN的关键技术.从技术内涵、设备模型等方面对SDN进行了深入研究,同时研究了电力数据通信网的实际需求和现存问题,最后对软件定义网络在电力数据通信网中的应用进行了讨论.