软件定义网络数据平面安全综述

软件定义网络将数据平面与控制平面解耦,旨在更快地引入网络创新,并从根本上实现大型网络的自动化管理。架构创新带来了挑战与机遇,安全问题限制了软件定义网络的广泛采用。针对数据平面的攻击可能会损毁整个软件定义网络,首先介绍了数据平面结构与发展趋势;然后分析了数据平面安全风险,指出漏洞,确定潜在的攻击场景,并给出2种具体解决方案,讨论其意义与局限性;最后展望未来的安全研究方向。     

软件定义网络控制平面可扩展性研究进展

软件定义网络（software-defined networking,简称SDN）遵循控制转发分离的设计原则,其控制平面采用集中的控制逻辑,在提供灵活高效的网络控制的同时,也面临着严重的可扩展性问题.对SDN控制平面可扩展性相关工作进行综述.首先分析控制平面可扩展性的影响因素并给出改善思路;在此基础上,从数据平面缓存优化、高性能控制器、分布式控制平面和控制资源优化分配4种技术路线出发,论述了主要的解决方案和研究进展.最后,给出总结并展望了未来的研究工作.     

我所理解的“软件定义的网络”

<正>因特网运行了几十年,获得了大发展,如今已面临许多问题。所以,下一代互联网,大家都关心。前几年,以内容为中心的网络曾经风行过,方案很多。最近,看见国内许多权威人士在各种场合大谈SDN,介绍SDN,看来在国际上已有一定影响,已经得到产业界的高度重视[1,2]。但是,看了国内的一些介绍,总是不甚了了,都是比较宏观,比较笼统抽象,看不出来与现在的因特网有什么不同。介绍一个新东西,有两种方法。一种     

软件定义网络控制平面的研究综述

软件定义网络(Software-defined network,SDN)作为一种新兴的网络范式,通过解耦控制平面与数据转发平面,集中控制并且聚集全网视图,在控制平面与数据平面建立开放接口,启用外部应用使得网络具有可编程性,从而弥补当前网络架构所存在的不足与限制。其中,控制器作为SDN中重要的组成部分,成为了研究的热点。针对软件定义网络控制平面控制器的研究,首先总结了当前SDN控制平面控制器技术发展的现状并对其进行归类;其次着重分析了当前控制器存在的一致性、可扩展性、负载均衡等一系列问题;最后探讨了软件定义网络技术未来的研究发展方向及趋势。     

软件定义网络安全问题研究综述

软件定义网络是一种新型的网络体系结构,其通过OpenFlow技术来实现网络控制面与数据面的分离,从而达到对网络流量的灵活控制,目前已成为下一代互联网的研究热点.随着SDN的发展及广泛应用,其安全问题已成为亟待解决的重要研究内容.近年来,国内外学者在SDN安全研究领域取得了一定的成果,文中针对SDN的3层架构分别对各层所...     

软件定义网络的故障诊断技术研究浅谈

软件定义网络架构是一种将控制与数据分离的新型网络架构,传统网络的故障诊断技术已经无法适应越来越复杂的网络架构。本文从SDN架构的特性分析了其可能存在的故障点,并对现有故障的检测方法和研究成果进行介绍。     

无线软件定义网络研究前景展望

软件定义网络是一种新型网络创新架构,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,为核心网络及应用的创新提供了良好的平台。软件定义网络能够改变现有的数据发送规则,由转发设备决定的僵硬模式能够显著提高数据发送的服务质量。目前软件定义网络的无线网络条件下应用的研究还处于起步阶段,本文分析了无线网络中实现软件定义网络可能遇到的困难与机遇。     

面向软件定义网络的入侵容忍控制器架构及实现

针对软件定义网络(SDN)这一集中式网络控制环境中控制平面存在单点失效问题,提出一种基于入侵容忍思想的控制器架构,通过冗余、多样的中央控制器平台来提高网络可用性与可靠性。该架构利用一种控制器消息的比对方法来检测被入侵的控制器。首先,规定了需比对的关键消息类型和字段;其次,运用一致性裁决算法对不同控制器消息进行比对;最后,将消息异常的控制器进行网络隔离并重启恢复。基于Mininet的入侵容忍可靠性测试表明,该入侵容忍控制器架构可检测并过滤异常控制器消息。基于Mininet的控制器响应延迟测试表明,当容忍度设置为1和3时,下层网络请求延时分别增加16%和42%。基于Cbench的控制器响应延迟和吞吐量测试表明,该入侵容忍控制器性能处在各个子控制器(Ryu,Floodlight)性能水平之间,且向性能高的子控制器趋近。在实际应用中,可根据应用场景的安全级别配置子控制器的数量和类型,以满足对响应速度和入侵容忍度的要求。     

软件定义无线传感器网络研究综述

无线传感器网络（Wireless Sensor Network, WSN）经过长时间的发展,技术上已经有了很大进步,并广泛应用于很多领域,但其仍存在一些技术难点,影响应用效果。软件定义网络（Software-Defined Network, SDN）是一种新的网络架构,它采用了数据平面与控制平面解耦的思路,提供了网络架构发展的新方向。为了提升WSN的技术有效性,SDN架构被引入到WSN领域中,形成了新的软件定义无线传感器网络（Software-Defined Wireless Sensor Networks, SDWSN）。在分析软件定义无线传感器网络现有研究成果的基础上,阐述了WSN及SDN的发展现状;结合目前的研究进展,综述了SDWSN可行的技术方案;探讨了SDWSN未来的研究方向及发展趋势。     

基于软件定义网络的虚拟数据中心管理平台

针对已有虚拟数据中心（VDC）管理平台具有代码固化、后续升级困难等缺陷,设计和实现一种基于软件定义网络（SDN）的VDC管理平台。该平台由VDC管理子系统（VDCM）、VDC计算资源控制子系统（VDCCRC）和VDC网络资源控制子系统（VDCNRC）组成,子系统之间通过RESTful API交互建立起松耦合架构。VDCNRC通过SDN控制器管理数据中心网络资源,VDCCRC通过开源云平台管理数据中心计算资源,VDC管理子系统中内置VDC管理算法框架,可快速开发适用于实际生产环境的VDC管理算法。使用Mininet、Openstack、Floodlight搭建了测试环境,验证了该平台可通过Openstack来控制虚拟机的启动、迁移和删除,可通过Openflow控制器实现VDC网络带宽资源隔离,并支持VDC创建、删除和修改等操作。     

基于软件定义网络的可靠性虚拟网络映射保障机制

在软件定义网络（SDN）虚拟网络映射中,现有研究者主要考虑请求接受率方面,而忽视了SDN中底层资源失效的问题。为此,针对SDN中可靠性虚拟网络映射（SVNE）问题,提出了一种联合先验式保护和后验式恢复的虚拟网络映射保障机制。首先,在虚拟请求接受之前,对SDN物理网络区域性资源进行感知;然后,采用先验式保护机制为映射域内相对剩余资源变小的虚拟网络元素预留备份物理资源,并将此扩展虚拟网络通过D-ViNE算法映射至物理网络中;最后,在未备份虚拟网络元素发生故障时,采用后验式恢复算法完成故障的恢复,对节点和链路分别采用重映射和重路由的方法完成恢复。实验结果表明,与基于SDN的生存性虚拟网络映射算法（SDN-SVNE）相比,在虚拟请求接受率方面提高了21.9%。另外,该保护机制在虚拟级别故障恢复率、物理级别故障恢复率等方面也具有优势。     

面向软件定义网络架构的入侵检测模型设计与实现

针对传统入侵检测方法无法检测软件定义网络（SDN）架构的特有攻击行为的问题,设计一种基于卷积神经网络（CNN）的入侵检测模型。首先,基于SDN流表项设计了特征提取方法,通过采集SDN特有攻击样本形成攻击流表数据集;然后,采用CNN进行训练和检测,并针对SDN攻击样本量较小而导致的识别率低的问题,设计了一种基于概率的加强训练方法。实验结果表明,所提的入侵检测模型可以有效检测面向SDN架构的特有攻击,具有较高的准确率,所提的基于概率的加强学习方法能有效提升小概率攻击的识别率。     

软件定义网络中协同存储数据面快速转发

针对利用具备存储能力的网内节点进行协同存储需依据周边缓存状态快速转发数据包的问题,提出了一种数据面快速转发方法。该方法采用在交换机内对每一端口维护两个布隆过滤器（BF）的方式,实现在数据面对于周边缓存状态的维护;同时扩展了协议无感知转发指令,该指令直接查询BF,依据所查询结果,采用优化的转发流程转发数据包,实现依据周边缓存状态的快速转发。实验结果表明:依据控制器所维护状态进行转发在输入速率为80 Kb/s即达到性能瓶颈,而所提方法可在111 Mb/s时线速转发数据包,且转发效率略优于协议无感知转发原本的直接转发指令;所采用的BF维护的方式内存开销最多仅为流表项维护周边缓存状态方式内存开销的20%。在具备存储能力的软件定义网络（SDN）中,采用所提方法可在数据面维护周边缓存状态,提升协同存储依据周边缓存状态转发数据包的效率。     

基于软件定义网络的智能变电站网络架构设计

随着智能变电站二次装置标准化、智能化水平的提升,需要有一种更高效、智能的通信网络以满足变电站运行和维护要求,能够实现设备即插即用、智能监测、子网间安全隔离以及设备通用互换。针对智能站网络统一管理、子网间安全隔离以及设备兼容性、互换性的应用需求,提出了一种基于软件定义网络（SDN）技术的变电站网络架构,将IEC61850和OpenFlow协议用于网络架构设计,利用OpenFlow控制器管控和隔离各独立子网,以实现网络设备管理和子网安全隔离。实验结果表明,所提架构可实现流量基于业务类型的精准控制和数据的安全隔离,对于提升变电站运行和维护水平有着非常重要的应用价值。     

软件定义网络架构下基于流调度代价的数据中心网络拥塞控制路由算法

针对传统数据中心网络极易发生拥塞的问题,提出了在软件定义网络（SDN）的架构下设计基于流调度代价的拥塞控制路由算法加以解决。首先,进行拥塞链路上的大小流区分,并对所有大流的各条等价路径进行路径开销权重的计算,选择权重最小的路径作为可用调度路径;然后,使用调度后路径开销变化量和流占用带宽比例来共同定义流调度代价;最终选择调度代价最小的流进行调度。仿真结果表明,所提算法能在网络发生拥塞时降低了拥塞链路上的负荷,并且与仅进行流路径选择的拥塞控制算法相比,提高了链路利用率,减少了流传输时间,使得网络链路资源得到更好的利用。     

针对大规模软件定义网络的子域划分及控制器部署方法

针对大规模软件定义网络（SDN）的多控制器部署模型计算复杂度高的问题,定义了控制链路可靠性等多个衡量网络服务质量的指标,并提出一种针对大规模SDN的子域划分及控制器部署方法。首先,该方法利用改进的标签传播算法（LPA）将网络划分成多个子域,然后在子域中分别部署控制器。在考虑控制链路平均时延、可靠性以及控制器负载均衡等多个性能指标的基础上,将问题模型的计算复杂度降低至仅与网络规模呈线性关系。实验结果表明,所提算法与原始的LPA相比,控制器负载均衡性得到明显优化;与容量受限的控制器部署（CCP）算法相比,模型的计算复杂度和网络服务质量得到明显改善：在Internet2拓扑中,控制链路平均时延最多减小9%,控制链路可靠性最多增强10%。     

软件定义网络中交换机处理时延的仿真

针对目前的网络仿真工具在对软件定义网络(SDN)的仿真过程中,未考虑交换机的处理时延的问题,提出一种处理时延的仿真方法,目的是为了使仿真结果更加真实和准确。该方法首先将交换机的转发处理过程分解为对流表的查询操作和执行不同的动作;然后,利用交换机的处理器频率和访存周期,将查询流表和执行动作转换为处理时间。实验中测量了真实环境中不同配置的交换机处理时延,并与利用该方法仿真出的处理时延进行对比。实验结果表明,利用该方法仿真出的处理时延和真实交换机的处理时延基本一致,该方法能够较准确地仿真交换机处理时延。     

软件定义车联网的数据转发策略和路由选择技术

针对目前车联网（VANET）数据转发效率低的问题,提出了软件定义网络（SDN）的数据转发策略和路由选择技术。首先,采用了软件定义车联网的分层控制结构,由局部控制器和全局控制器组成,实现数据转发和控制分离,可灵活控制数据转发的方向;然后,设计了单条路段的车辆路由机制,该机制预测车辆节点位置并采用贪心策略,实现数据的稳定传输;其次,设计了多个需求间的路段路由机制,该机制采用广度优先搜索（BFS）算法和边集相结合的方式,实现多个需求间路径不相交,缓解带宽瓶颈问题;最后,通过仿真验证,对比无线自组网按需平面距离向量（AODV）路由,所提出的数据转发策略和路由选择算法在数据分组接收率上提高40%以上,平均延迟时间降低60%左右。实验结果表明,软件定义车联网的数据转发策略和路由选择技术能够提高数据转发效率,减少平均收包延时。     

基于软件定义网络的媒体分发网络的接入控制

针对软件定义网络（SDN）环境下的媒体分发网络的接入控制问题,提出了一种综合考虑服务节点和传输链路服务性能优化问题的接入控制方案。该方案利用SDN控制器对路由器的直接管控和对全网的感知能力,对应用层上服务节点服务性能和网络层上服务节点到用户之间的传输链路的服务性能进行联合优化,减少了链路拥塞对数据传输和用户服务质量的影响。首先,为SDN服务系统的接入控制过程建立部分可观Markov决策过程（POMDP）模型;然后,使用基于观测的随机策略作为系统的接入控制策略;最后,通过策略梯度算法对接入控制策略进行优化,求解出模型的最优策略。仿真结果表明,与尽力而为的服务策略相比,基于POMDP模型的最优接入控制策略使系统性能提高了10%,验证了所提方法的有效性。