本文選題：軟件定義網(wǎng)絡(luò) + OpenFlow��； 參考：《計(jì)算機(jī)學(xué)報(bào)》2015年04期

【摘要】：軟件定義網(wǎng)絡(luò)SDN(Software-Defined Networking)是由美國(guó)斯坦福大學(xué)Clean Slate研究組提出的一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu),可通過(guò)軟件編程的形式定義和控制網(wǎng)絡(luò),其控制平面和轉(zhuǎn)發(fā)平面分離及開放性可編程的特點(diǎn),為新型互聯(lián)網(wǎng)體系結(jié)構(gòu)研究提供了新的實(shí)驗(yàn)途徑,也極大地推動(dòng)了下一代互聯(lián)網(wǎng)的發(fā)展.OpenFlow是SDN的主要協(xié)議,定義了SDN控制器與交換機(jī)之間的通信標(biāo)準(zhǔn).目前,很多基于OpenFlow的SDN設(shè)備已經(jīng)在實(shí)際中得到了部署.但是,基于OpenFlow的SDN卻面臨很多安全挑戰(zhàn).其中一個(gè)重要的挑戰(zhàn)是如何建立一個(gè)安全可靠的SDN防火墻應(yīng)用.由于OpenFlow協(xié)議的無(wú)狀態(tài)性,現(xiàn)有的SDN防火墻可以被通過(guò)改寫交換機(jī)中的流表項(xiàng)輕松繞過(guò).針對(duì)這一安全威脅,作者提出了基于Flowpath的實(shí)時(shí)動(dòng)態(tài)策略沖突檢測(cè)與解決方法.通過(guò)獲取實(shí)時(shí)的SDN網(wǎng)絡(luò)狀態(tài),能夠準(zhǔn)確地檢測(cè)防火墻策略的直接和間接違反,并且一旦發(fā)現(xiàn)沖突,可以基于Flowpath進(jìn)行自動(dòng)化和細(xì)粒度的沖突解決.最后,作者在開源控制器Floodlight上實(shí)現(xiàn)了一個(gè)安全增強(qiáng)的防火墻應(yīng)用FlowVerifier,并基于Mininet對(duì)FlowVerifier的性能進(jìn)行了評(píng)估.結(jié)果表明FlowVerifier能夠檢測(cè)和自動(dòng)化地解決SDN網(wǎng)絡(luò)中由于流表改寫而引入的策略沖突及其帶來(lái)的安全威脅.
[Abstract]:SDN(Software-Defined networking is a new network innovation framework proposed by Clean Slate team of Stanford University, USA. It can define and control network by software programming, and its control plane and forwarding plane are separated and open programmable.It provides a new experimental approach for the study of new Internet architecture and greatly promotes the development of next generation Internet. OpenFlow is the main protocol of SDN and defines the communication standard between SDN controller and switch.At present, many SDN devices based on OpenFlow have been deployed in practice.However, SDN based on OpenFlow faces many security challenges.One of the important challenges is how to build a secure and reliable SDN firewall application.Due to the stateless nature of the OpenFlow protocol, existing SDN firewalls can be easily bypassed by overwriting stream table entries in the switch.Aiming at this security threat, the author proposes a real-time dynamic policy conflict detection and resolution method based on Flowpath.By acquiring real-time SDN network state, the direct and indirect violations of firewall policies can be detected accurately, and once conflicts are detected, automatic and fine-grained conflict resolution can be carried out based on Flowpath.Finally, the author implements a secure enhanced firewall application named flow Verifier on the open source controller Floodlight, and evaluates the performance of FlowVerifier based on Mininet.The results show that FlowVerifier can detect and automatically resolve the policy conflicts and the security threats caused by the rewriting of stream tables in SDN networks.
【作者單位】： 武漢大學(xué)計(jì)算機(jī)學(xué)院;教育部空天信息安全與可信計(jì)算重點(diǎn)實(shí)驗(yàn)室;克萊姆森大學(xué);
【基金】：國(guó)家“九七三”重點(diǎn)基礎(chǔ)研究發(fā)展規(guī)劃項(xiàng)目基金(2014CB340600) 國(guó)家自然科學(xué)基金(61173138,61402342,61003628)資助~~
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 王曉賀;蔡國(guó)永;;基于描述邏輯的策略沖突檢測(cè)方法研究及實(shí)現(xiàn)[J];計(jì)算機(jī)工程與科學(xué);2008年06期

2 王哲;賀思德;;一種防火墻規(guī)則沖突檢測(cè)算法[J];計(jì)算機(jī)與數(shù)字工程;2010年05期

3 宮鼎;;防火墻規(guī)則間的沖突檢測(cè)與消解技術(shù)的分析與探討[J];電腦知識(shí)與技術(shù);2014年05期

4 趙波;秦濤;張新有;;嵌入式防火墻規(guī)則沖突檢測(cè)算法的實(shí)現(xiàn)[J];實(shí)驗(yàn)科學(xué)與技術(shù);2009年06期

5 曲延盛;羅軍舟;李偉;王鵬;譚晶;;可信可控網(wǎng)絡(luò)資源控制的沖突檢測(cè)機(jī)制[J];通信學(xué)報(bào);2010年10期

6 袁博;汪斌強(qiáng);孔維功;單心悅;;可重構(gòu)柔性網(wǎng)絡(luò)中網(wǎng)絡(luò)資源控制的沖突檢測(cè)機(jī)制[J];中國(guó)科技論文;2012年07期

7 盧濤;劉曉伶;;普適服務(wù)沖突檢測(cè)方法研究[J];哈爾濱工程大學(xué)學(xué)報(bào);2013年11期

8 蔣康麗,熊齊邦;策略網(wǎng)管中規(guī)則沖突檢測(cè)算法的研究[J];計(jì)算機(jī)應(yīng)用;2004年10期

9 蔣康麗,熊齊邦;策略網(wǎng)管中規(guī)則沖突檢測(cè)算法的研究[J];計(jì)算機(jī)工程與設(shè)計(jì);2005年01期

10 孫美鳳;龔儉;;網(wǎng)絡(luò)入侵檢測(cè)規(guī)則的沖突檢測(cè)和解決[J];東南大學(xué)學(xué)報(bào)(自然科學(xué)版);2006年04期

相關(guān)碩士學(xué)位論文 前10條

1 王毅;防火墻規(guī)則沖突檢測(cè)研究與實(shí)現(xiàn)[D];中國(guó)工程物理研究院;2012年

2 姜琳;基于概念格的策略分類與沖突檢測(cè)研究[D];吉林大學(xué);2006年

3 李冠;云安全策略沖突檢測(cè)機(jī)制研究[D];長(zhǎng)春工業(yè)大學(xué);2011年

4 李新星;容侵系統(tǒng)中策略沖突檢測(cè)與消解方法研究[D];南華大學(xué);2011年

5 羅楊;網(wǎng)絡(luò)與應(yīng)用相融沖突檢測(cè)技術(shù)的研究與實(shí)現(xiàn)[D];北京航空航天大學(xué);2014年

6 王永亮;網(wǎng)絡(luò)安全設(shè)備策略沖突檢測(cè)與消解技術(shù)研究[D];解放軍信息工程大學(xué);2008年

7 李建國(guó);網(wǎng)絡(luò)安全管理中的策略沖突檢測(cè)與解決[D];北京信息控制研究所;2005年

8 李添翼;多策略支持下的策略沖突檢測(cè)與消解研究[D];華中科技大學(xué);2011年

9 莊冠夏;防火墻規(guī)則沖突檢測(cè)和次序優(yōu)化的研究與實(shí)現(xiàn)[D];華東師范大學(xué);2008年

10 梅芳;PBNM系統(tǒng)中策略沖突檢測(cè)與消解機(jī)制的研究[D];吉林大學(xué);2005年

，

本文編號(hào)：1735495