本文選題：軟件定義網(wǎng)絡 + OpenFlow　； 參考：《計算機學報》2015年04期

【摘要】：軟件定義網(wǎng)絡SDN(Software-Defined Networking)是由美國斯坦福大學Clean Slate研究組提出的一種新型網(wǎng)絡創(chuàng)新架構,可通過軟件編程的形式定義和控制網(wǎng)絡,其控制平面和轉發(fā)平面分離及開放性可編程的特點,為新型互聯(lián)網(wǎng)體系結構研究提供了新的實驗途徑,也極大地推動了下一代互聯(lián)網(wǎng)的發(fā)展.OpenFlow是SDN的主要協(xié)議,定義了SDN控制器與交換機之間的通信標準.目前,很多基于OpenFlow的SDN設備已經(jīng)在實際中得到了部署.但是,基于OpenFlow的SDN卻面臨很多安全挑戰(zhàn).其中一個重要的挑戰(zhàn)是如何建立一個安全可靠的SDN防火墻應用.由于OpenFlow協(xié)議的無狀態(tài)性,現(xiàn)有的SDN防火墻可以被通過改寫交換機中的流表項輕松繞過.針對這一安全威脅,作者提出了基于Flowpath的實時動態(tài)策略沖突檢測與解決方法.通過獲取實時的SDN網(wǎng)絡狀態(tài),能夠準確地檢測防火墻策略的直接和間接違反,并且一旦發(fā)現(xiàn)沖突,可以基于Flowpath進行自動化和細粒度的沖突解決.最后,作者在開源控制器Floodlight上實現(xiàn)了一個安全增強的防火墻應用FlowVerifier,并基于Mininet對FlowVerifier的性能進行了評估.結果表明FlowVerifier能夠檢測和自動化地解決SDN網(wǎng)絡中由于流表改寫而引入的策略沖突及其帶來的安全威脅.
[Abstract]:SDN(Software-Defined networking is a new network innovation framework proposed by Clean Slate team of Stanford University, USA. It can define and control network by software programming, and its control plane and forwarding plane are separated and open programmable.It provides a new experimental approach for the study of new Internet architecture and greatly promotes the development of next generation Internet. OpenFlow is the main protocol of SDN and defines the communication standard between SDN controller and switch.At present, many SDN devices based on OpenFlow have been deployed in practice.However, SDN based on OpenFlow faces many security challenges.One of the important challenges is how to build a secure and reliable SDN firewall application.Due to the stateless nature of the OpenFlow protocol, existing SDN firewalls can be easily bypassed by overwriting stream table entries in the switch.Aiming at this security threat, the author proposes a real-time dynamic policy conflict detection and resolution method based on Flowpath.By acquiring real-time SDN network state, the direct and indirect violations of firewall policies can be detected accurately, and once conflicts are detected, automatic and fine-grained conflict resolution can be carried out based on Flowpath.Finally, the author implements a secure enhanced firewall application named flow Verifier on the open source controller Floodlight, and evaluates the performance of FlowVerifier based on Mininet.The results show that FlowVerifier can detect and automatically resolve the policy conflicts and the security threats caused by the rewriting of stream tables in SDN networks.
【作者單位】： 武漢大學計算機學院;教育部空天信息安全與可信計算重點實驗室;克萊姆森大學;
【基金】：國家“九七三”重點基礎研究發(fā)展規(guī)劃項目基金(2014CB340600) 國家自然科學基金(61173138,61402342,61003628)資助~~
【分類號】：TP393.08

【相似文獻】

相關期刊論文 前10條

1 王曉賀;蔡國永;;基于描述邏輯的策略沖突檢測方法研究及實現(xiàn)[J];計算機工程與科學;2008年06期

2 王哲;賀思德;;一種防火墻規(guī)則沖突檢測算法[J];計算機與數(shù)字工程;2010年05期

3 宮鼎;;防火墻規(guī)則間的沖突檢測與消解技術的分析與探討[J];電腦知識與技術;2014年05期

4 趙波;秦濤;張新有;;嵌入式防火墻規(guī)則沖突檢測算法的實現(xiàn)[J];實驗科學與技術;2009年06期

5 曲延盛;羅軍舟;李偉;王鵬;譚晶;;可信可控網(wǎng)絡資源控制的沖突檢測機制[J];通信學報;2010年10期

6 袁博;汪斌強;孔維功;單心悅;;可重構柔性網(wǎng)絡中網(wǎng)絡資源控制的沖突檢測機制[J];中國科技論文;2012年07期

7 盧濤;劉曉伶;;普適服務沖突檢測方法研究[J];哈爾濱工程大學學報;2013年11期

8 蔣康麗,熊齊邦;策略網(wǎng)管中規(guī)則沖突檢測算法的研究[J];計算機應用;2004年10期

9 蔣康麗,熊齊邦;策略網(wǎng)管中規(guī)則沖突檢測算法的研究[J];計算機工程與設計;2005年01期

10 孫美鳳;龔儉;;網(wǎng)絡入侵檢測規(guī)則的沖突檢測和解決[J];東南大學學報(自然科學版);2006年04期

相關碩士學位論文 前10條

1 王毅;防火墻規(guī)則沖突檢測研究與實現(xiàn)[D];中國工程物理研究院;2012年

2 姜琳;基于概念格的策略分類與沖突檢測研究[D];吉林大學;2006年

3 李冠;云安全策略沖突檢測機制研究[D];長春工業(yè)大學;2011年

4 李新星;容侵系統(tǒng)中策略沖突檢測與消解方法研究[D];南華大學;2011年

5 羅楊;網(wǎng)絡與應用相融沖突檢測技術的研究與實現(xiàn)[D];北京航空航天大學;2014年

6 王永亮;網(wǎng)絡安全設備策略沖突檢測與消解技術研究[D];解放軍信息工程大學;2008年

7 李建國;網(wǎng)絡安全管理中的策略沖突檢測與解決[D];北京信息控制研究所;2005年

8 李添翼;多策略支持下的策略沖突檢測與消解研究[D];華中科技大學;2011年

9 莊冠夏;防火墻規(guī)則沖突檢測和次序優(yōu)化的研究與實現(xiàn)[D];華東師范大學;2008年

10 梅芳;PBNM系統(tǒng)中策略沖突檢測與消解機制的研究[D];吉林大學;2005年

，

本文編號：1735495