軟件定義網(wǎng)絡(luò)（Software defined network）將傳統(tǒng)封閉的網(wǎng)絡(luò)體系解耦為數(shù)據(jù)平面,控制平面和應(yīng)用平面。這種松耦合的控制平面與數(shù)據(jù)平面,支持集中化的網(wǎng)絡(luò)狀態(tài)控制,實(shí)現(xiàn)底層網(wǎng)絡(luò)設(shè)施對(duì)上層應(yīng)用的透明。其中SDN北向接口是指通過控制器向上層業(yè)務(wù)應(yīng)用開放的接口,其目標(biāo)是使得業(yè)務(wù)應(yīng)用能夠便利的調(diào)用底層的的網(wǎng)絡(luò)資源和能力。但是北向接口的的控制器和應(yīng)用程序之間所建立的依賴關(guān)系非常脆弱,攻擊者可利用北向接口的開放性和可編程性,對(duì)控制器中的某些重要資源進(jìn)行任意的調(diào)用和訪問。目前北向接口面臨的安全問題主要包括非法訪問、數(shù)據(jù)泄露、消息篡改、身份假冒、應(yīng)用程序自身的漏洞以及不同應(yīng)用程序在合作時(shí)引入的新漏洞等。本文首先對(duì)目前的主流控制器北向接口的安全問題進(jìn)行調(diào)研和實(shí)驗(yàn),通過分析前人在北向控制器安全的研究成果和不足,結(jié)合目前SDN北向接口資源訪問威脅的實(shí)際需求,提出了一種擴(kuò)展性強(qiáng),更為細(xì)粒度的動(dòng)態(tài)訪問控制方案。同時(shí),本文根據(jù)OF應(yīng)用的行為特點(diǎn),提出了一套訪問策略模板,特別針對(duì)OF應(yīng)用隨意下發(fā)流規(guī)則操作,威脅控制器的問題提出了一種流表閾值預(yù)測(cè)算法,通過分析預(yù)測(cè)輸入流的特征,動(dòng)態(tài)的改變OF應(yīng)用的訪問閾... 

【文章來源】：北京郵電大學(xué)北京市 211工程院校 教育部直屬院校

【文章頁數(shù)】：76 頁

【學(xué)位級(jí)別】：碩士

【部分圖文】：

圖２－１?ＳＤＮ架構(gòu)??７??

２．１．２?ＳＤＮ北向接口以及研究現(xiàn)狀??２．１．２．１?ＲＥＳＴ?ＡＰＩ?介紹??從ＳＤＮ北向接口的設(shè)計(jì)目標(biāo)來看，它應(yīng)該具有開放性，高效性和可編程性，??從目前技術(shù)實(shí)現(xiàn)上看，ＲＥＳＴＡＰＩ是目前業(yè)內(nèi)比較有影響力的控制器普遍支持的??方式。??ＲＥＳＴ?ＡＰＩ翻譯為表述性狀態(tài)轉(zhuǎn)移，源自Ｒｏｙ?Ｔｈｏｍａｓ?Ｆｉｅｌｄｉｎｇ博士在２０００??年發(fā)表的一篇學(xué)術(shù)論文［２５］。ＲＥＳＴ之父在該論文中提出了?ＲＥＳＴ的６個(gè)特點(diǎn)：??客戶端－服務(wù)器的，無狀態(tài)的，可緩存的，統(tǒng)一接口，分層系統(tǒng)和按需編碼。接??下來我們對(duì)著六種架構(gòu)約束進(jìn)行簡(jiǎn)單的介紹：??（１）客戶端－服務(wù)器：由于ＲＥＳＴ是針對(duì)分布式系統(tǒng)的，它使得客戶端（瀏??覽器）與服務(wù)器之間不受影響，當(dāng)客戶端發(fā)出請(qǐng)求的時(shí)候，服務(wù)器會(huì)對(duì)這種請(qǐng)求??進(jìn)行響應(yīng)�？蛻舳撕头⻊�(wù)器端可以按需進(jìn)行變換。??（２）無狀態(tài)：無狀態(tài)的意思是指每次的請(qǐng)求不會(huì)對(duì)之前或者之后的請(qǐng)求出??現(xiàn)影響。因此每一個(gè)請(qǐng)求的信息都必須包括服務(wù)器處理該請(qǐng)求所需的所有信息。??這樣就降低了服務(wù)器資源的使用，提高了可靠性。??

值兩個(gè)指標(biāo)分析這條新插入的流表和每一條流表的關(guān)聯(lián)度，如果出現(xiàn)了與它關(guān)聯(lián)??度大的流表項(xiàng)，則這兩個(gè)流表就合并。如果這條流表和每一條流表的關(guān)聯(lián)度都為??０，那么這條流表將作為一條新流表存入交換機(jī)中。該流表創(chuàng)建流程如圖２－７所??示：????ｉｓｍｍｉｍｍｍ?＜???Ｓ＆ｉｌｌＳ?Ｉ??否ｉ?ｖ?否??皇?ｓ?Ｉ皇??ｙ?Ｌ?ｖ??合翻最大輸麵表更鉄聯(lián)度???天驗(yàn)的表項(xiàng)繼吞賴??圖２－３流表關(guān)聯(lián)算法流程圖??流表停滯超時(shí)時(shí)間的方案的核心思想是通過修改流表的停滯時(shí)間，清除歷史??流表項(xiàng)從而給新輸入的流表項(xiàng)增加空間。從而解決的因?yàn)榻粨Q機(jī)流規(guī)則己滿而造??成數(shù)據(jù)包匹配規(guī)則不被存入交換機(jī)中造成數(shù)據(jù)包的丟失。文獻(xiàn)［１８］［３４］首先分析??每次流表的到達(dá)數(shù)量，使用預(yù)測(cè)算法［３５］例如ＡＲ算法根據(jù)威布爾分布估計(jì)下一??時(shí)刻流表的到達(dá)數(shù)量，接著通過基于緩存的超時(shí)預(yù)測(cè)模塊和基于負(fù)載感知的反??饋控制模塊，結(jié)合我們的預(yù)測(cè)值對(duì)流表的停滯時(shí)間進(jìn)行調(diào)整。該模塊如圖２－８所??示設(shè)置了兩個(gè)臨界值ＦＢｓｔａｒｔ和ＦＢｐｅａｋ用以控制該系統(tǒng)對(duì)流表的操作。當(dāng)存入流??表占流表空間較小的時(shí)候，即流表空間小于ＦＢｓｔａｒｔ時(shí)，則允許流表存入交換機(jī)，??并且不對(duì)歷史流表的超時(shí)時(shí)間進(jìn)行控制，當(dāng)流表空間大于ＦＢｓｔａｒｔ小于ＦＢｐｅａｋ??時(shí)則說明需要調(diào)整歷史數(shù)據(jù)的流表超時(shí)時(shí)間，通過動(dòng)態(tài)的控制保證交換機(jī)的流表??１２??

【參考文獻(xiàn)】：
期刊論文
[1]一種基于預(yù)測(cè)與動(dòng)態(tài)調(diào)整負(fù)載因子的SDN流表優(yōu)化算法[J]. 史少平,莊雷,楊思錦.  計(jì)算機(jī)科學(xué). 2017(01)
[2]智能交通系統(tǒng)（ITS）中的智能汽車技術(shù)研究[J]. 譚黎麗.  技術(shù)與市場(chǎng). 2016(04)
[3]軟件定義網(wǎng)絡(luò):安全模型、機(jī)制及研究進(jìn)展[J]. 王蒙蒙,劉建偉,陳杰,毛劍,毛可飛.  軟件學(xué)報(bào). 2016(04)
[4]基于資源復(fù)用的Openflow流表存儲(chǔ)優(yōu)化方案[J]. 李向文,吉萌,曹敏,戴錦友.  光通信研究. 2014(02)

碩士論文
[1]軟件定義網(wǎng)絡(luò)北向REST接口安全防御關(guān)鍵技術(shù)研究[D]. 任開磊.解放軍信息工程大學(xué) 2017
[2]OpenFlow流表優(yōu)化技術(shù)的研究[D]. 史少平.鄭州大學(xué) 2016
[3]SDN中面向北向的控制器關(guān)鍵技術(shù)的研究[D]. 程顯雯.北京郵電大學(xué) 2015



本文編號(hào)：3327187