發(fā)布時(shí)間：2018-02-25 07:08

  本文關(guān)鍵詞： 策略沖突 頭部空間解析 流表 標(biāo)記 訪(fǎng)問(wèn)控制列表　出處：《大連海事大學(xué)》2017年碩士論文　論文類(lèi)型：學(xué)位論文

【摘要】：SDN是一種新興的基于軟件的網(wǎng)絡(luò)架構(gòu)及技術(shù),最大的特點(diǎn)是具有松耦合控制平面與數(shù)據(jù)平面,使轉(zhuǎn)發(fā)平面和控制平面進(jìn)行分離。由于OpenFlow無(wú)狀態(tài)性,可以對(duì)數(shù)據(jù)包進(jìn)行自由修改,因此會(huì)導(dǎo)致與已知設(shè)定的防火墻策略發(fā)生沖突,使得數(shù)據(jù)流可以繞過(guò)既定的策略,會(huì)使得網(wǎng)絡(luò)安全性能降低,容易受到外部攻擊。本文針對(duì)這一問(wèn)題本提出了利用流表的轉(zhuǎn)發(fā)規(guī)則和流表的特性同時(shí)借助MPLS思想,制定以雙標(biāo)記的方式解決沖突發(fā)生。在SDN新型網(wǎng)絡(luò)中,本文對(duì)OpenFlow協(xié)議中流表進(jìn)行深入研究,了解流表的構(gòu)造以及轉(zhuǎn)發(fā)策略和規(guī)則。在出現(xiàn)策略沖突時(shí),運(yùn)用頭部空間解析算法進(jìn)行策略沖突的檢測(cè),通過(guò)頭部空間解析計(jì)算出流表項(xiàng)中每條路徑整合的起始和結(jié)束IP地址,并且與網(wǎng)絡(luò)中已經(jīng)設(shè)定存在的策略進(jìn)行對(duì)比,判斷出是否出現(xiàn)沖突策略,并由控制器下放流表對(duì)數(shù)據(jù)包進(jìn)行追蹤雙標(biāo)記,即對(duì)出現(xiàn)敏感源IP地址的數(shù)據(jù)包進(jìn)行標(biāo)記,同時(shí)追蹤出現(xiàn)敏感目的IP地址的數(shù)據(jù)包進(jìn)行標(biāo)記。如果同時(shí)出現(xiàn)雙標(biāo)記,則把數(shù)據(jù)包進(jìn)行統(tǒng)一處理。最后將防火墻的安全策略進(jìn)行部署下移,使用訪(fǎng)問(wèn)控制列表進(jìn)行優(yōu)化設(shè)置,避免了數(shù)據(jù)流與控制器交互,減輕控制器負(fù)擔(dān),在特定環(huán)境下,優(yōu)化了網(wǎng)絡(luò)設(shè)置并且提升控制器使用效率�；谠趹�(yīng)用層開(kāi)發(fā),定義了 4個(gè)模塊實(shí)現(xiàn)策略沖突發(fā)現(xiàn)和解決方案。各個(gè)模塊分別為:拓?fù)浣⒛K,沖突檢測(cè)與發(fā)現(xiàn)模塊,觸發(fā)機(jī)制模塊,以及流表下發(fā)模塊。并且用仿真工具M(jìn)ininet和Floodlight控制器進(jìn)行試驗(yàn)測(cè)試,通過(guò)對(duì)簡(jiǎn)單網(wǎng)絡(luò)和復(fù)雜網(wǎng)絡(luò)進(jìn)行對(duì)比,檢測(cè)是否可以有效的阻止策略沖突的發(fā)生并且通過(guò)控制器CPU的使用率來(lái)直觀(guān)的判斷增加訪(fǎng)問(wèn)控制列表對(duì)控制器效率的提升。
[Abstract]:SDN is a new software-based network architecture and technology. The most important feature is that it has loosely coupled control plane and data plane, which separates the forwarding plane from the control plane. Due to the stateless nature of OpenFlow, data packets can be modified freely. This can lead to conflicts with known firewall policies that allow data streams to bypass established policies and reduce network security performance. In order to solve this problem, this paper proposes to use the forwarding rules of stream table and the characteristics of stream table, and with the help of MPLS thought, to solve the conflict in a dual-label way. In the new SDN network, a new type of network is proposed. In this paper, we deeply study the stream table in OpenFlow protocol, understand the structure of the flow table and the forwarding policy and rules. When there is a policy conflict, we use the header space parsing algorithm to detect the policy conflict. The beginning and end IP addresses of each path integration in the stream table are calculated by header space analysis, and compared with the existing policies in the network, the conflict strategy is judged. The data packet is tagged by the flow table under the controller, that is, the packet with the sensitive source IP address is marked, and the packet with the sensitive destination IP address is tagged at the same time. Finally, the security policy of the firewall is deployed downwards, and the access control list is used to optimize the setup, which avoids the interaction between the data flow and the controller, lightens the burden of the controller, and in a specific environment, Based on the development of application layer, four modules are defined to realize policy conflict detection and solution. Each module is: topology building module, conflict detection and discovery module. The trigger mechanism module, and the flow table sending module. The simulation tool Mininet and Floodlight controller are used to test, and the simple network and complex network are compared. Detection can effectively prevent the occurrence of policy conflicts and through the controller CPU usage to directly determine the increase in access control list to improve the efficiency of the controller.
【學(xué)位授予單位】：大連海事大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2017
【分類(lèi)號(hào)】：TP393.0

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 朱敏華;淺談網(wǎng)絡(luò)運(yùn)行預(yù)警[J];電信技術(shù);2004年12期

2 ;華為3Com“安全滲透網(wǎng)絡(luò)”解決方案正式發(fā)布[J];電力信息化;2005年04期

3 孫德和;業(yè)務(wù)融合網(wǎng)絡(luò)的魅力[J];信息安全與通信保密;2005年04期

4 單濾斌;中國(guó)聯(lián)通本地傳輸網(wǎng)絡(luò)的優(yōu)化[J];電信技術(shù);2003年07期

5 ;計(jì)算機(jī)與網(wǎng)絡(luò)[J];軍民兩用技術(shù)與產(chǎn)品;2005年04期

6 劉明輝;;合理架構(gòu)校園網(wǎng)絡(luò)的分析與研究[J];長(zhǎng)春大學(xué)學(xué)報(bào);2010年12期

7 周方方;;如何做好專(zhuān)網(wǎng)光網(wǎng)絡(luò)建設(shè)維護(hù)[J];信息通信;2013年10期

8 林曉霞;;本地電層傳輸網(wǎng)絡(luò)的優(yōu)化思路淺析[J];沿海企業(yè)與科技;2008年07期

9 邊鋒;網(wǎng)絡(luò),決戰(zhàn)于“安全”[J];中國(guó)計(jì)算機(jī)用戶(hù);2005年11期

10 崔海東;;移動(dòng)網(wǎng)絡(luò)IP化的趨勢(shì)、內(nèi)涵和策略[J];現(xiàn)代電信科技;2008年04期

相關(guān)會(huì)議論文 前6條

1 黃建玉;;淺談3G的網(wǎng)絡(luò)安全規(guī)劃[A];2007中國(guó)科協(xié)年會(huì)——通信與信息發(fā)展高層論壇論文集[C];2007年

2 葉作亮;高千惠;代麗;張夢(mèng);;回文網(wǎng)絡(luò)——探析Web信息的結(jié)構(gòu)和形成機(jī)制[A];第六屆（2011）中國(guó)管理學(xué)年會(huì)——信息管理分會(huì)場(chǎng)論文集[C];2011年

3 商宗雁;;光網(wǎng)絡(luò)發(fā)展展望[A];黑龍江省通信學(xué)會(huì)學(xué)術(shù)年會(huì)論文集[C];2005年

4 陳鋼;;MSTP技術(shù)在3G傳輸網(wǎng)絡(luò)建設(shè)中的重要意義及其發(fā)展趨勢(shì)[A];中國(guó)通信學(xué)會(huì)信息通信網(wǎng)絡(luò)技術(shù)委員會(huì)2005年年會(huì)論文集[C];2005年

5 陳文雄;;OTN技術(shù)在城域光網(wǎng)絡(luò)的應(yīng)用分析[A];第十屆中國(guó)科協(xié)年會(huì)信息化與社會(huì)發(fā)展學(xué)術(shù)討論會(huì)分會(huì)場(chǎng)論文集[C];2008年

6 馬潤(rùn)斌;;IP網(wǎng)絡(luò)發(fā)展的基石——服務(wù)質(zhì)量(QoS)[A];中國(guó)通信學(xué)會(huì)信息通信網(wǎng)絡(luò)技術(shù)委員會(huì)2005年年會(huì)論文集[C];2005年

相關(guān)重要報(bào)紙文章 前10條

1 ;滲透網(wǎng)絡(luò)演繹安全神話(huà)[N];中國(guó)計(jì)算機(jī)報(bào);2005年

2 王曉光;農(nóng)資營(yíng)銷(xiāo)網(wǎng)絡(luò)建設(shè)思路[N];農(nóng)資導(dǎo)報(bào);2005年

3 高國(guó)棟;堵住漏點(diǎn) 不留縫隙[N];中國(guó)計(jì)算機(jī)報(bào);2003年

4 湖北大學(xué)網(wǎng)絡(luò)中心 李超;易于管理的網(wǎng)絡(luò)[N];計(jì)算機(jī)世界;2005年

5 ;透視世界第一部網(wǎng)絡(luò)戰(zhàn)爭(zhēng)法規(guī)[N];中國(guó)航天報(bào);2011年

6 華為3Com 孫德和;業(yè)務(wù)融合網(wǎng)絡(luò)的魅力[N];中國(guó)電腦教育報(bào);2005年

7 CPW記者　張戈;華為3Com“安全滲透網(wǎng)絡(luò)”突破傳統(tǒng)思路[N];電腦商報(bào);2005年

8 孫保紅;3G UMTS網(wǎng)絡(luò)架構(gòu)建議[N];通信產(chǎn)業(yè)報(bào);2002年

9 本報(bào)記者　楊　谷;王之認(rèn)為： 網(wǎng)絡(luò)和制造是中國(guó)IT業(yè)的機(jī)會(huì)[N];光明日?qǐng)?bào);2000年

10 花榮軍;高樓平地起[N];中華合作時(shí)報(bào);2003年

相關(guān)博士學(xué)位論文 前9條

1 石海佳;基于復(fù)雜網(wǎng)絡(luò)的產(chǎn)業(yè)生態(tài)系統(tǒng)結(jié)構(gòu)復(fù)雜性研究[D];清華大學(xué);2015年

2 張蕊;網(wǎng)絡(luò)經(jīng)濟(jì)及其在中國(guó)的發(fā)展[D];四川大學(xué);2002年

3 禚釗;復(fù)雜網(wǎng)絡(luò)局域同步的實(shí)證、動(dòng)力學(xué)和若干應(yīng)用問(wèn)題研究[D];中國(guó)科學(xué)技術(shù)大學(xué);2012年

4 傅榮;商務(wù)網(wǎng)絡(luò)成因與演化——基于資源觀(guān)理論的分析[D];廈門(mén)大學(xué);2003年

5 熊巧;區(qū)域綜合交通網(wǎng)絡(luò)布局優(yōu)化與決策研究[D];西南交通大學(xué);2015年

6 陶洋;網(wǎng)絡(luò)性能提升技術(shù)研究[D];中國(guó)科學(xué)院研究生院（計(jì)算技術(shù)研究所）;2001年

7 童俊杰;服務(wù)網(wǎng)絡(luò)中若干關(guān)鍵問(wèn)題的研究[D];北京郵電大學(xué);2014年

8 柯文前;高速公路交通流網(wǎng)絡(luò)的時(shí)空特征與城市空間關(guān)聯(lián)研究[D];南京師范大學(xué);2015年

9 張瑩瑩;清開(kāi)靈多組分干預(yù)腦缺血模型蛋白質(zhì)網(wǎng)絡(luò)主要模塊的識(shí)別與比較[D];中國(guó)中醫(yī)科學(xué)院;2014年

相關(guān)碩士學(xué)位論文 前10條

1 鞏慶良;鏈路預(yù)測(cè)和符號(hào)網(wǎng)絡(luò)社區(qū)檢測(cè)研究[D];西安電子科技大學(xué);2014年

2 袁熹;高可靠網(wǎng)絡(luò)中實(shí)時(shí)性保障技術(shù)研究與應(yīng)用[D];南華大學(xué);2015年

3 黃炳杰;某中等職業(yè)技術(shù)學(xué)校校園網(wǎng)絡(luò)改造規(guī)劃和設(shè)計(jì)[D];華南理工大學(xué);2015年

4 徐浩;稅務(wù)關(guān)系網(wǎng)絡(luò)數(shù)據(jù)可視化研究[D];東南大學(xué);2015年

5 文強(qiáng);SDN網(wǎng)絡(luò)業(yè)務(wù)量工程技術(shù)研究[D];電子科技大學(xué);2016年

6 姚飛亞;頂點(diǎn)帶屬性網(wǎng)絡(luò)的鏈接預(yù)測(cè)[D];揚(yáng)州大學(xué);2016年

7 李聰;基于電信無(wú)線(xiàn)網(wǎng)的傳輸網(wǎng)絡(luò)優(yōu)化方案研究[D];長(zhǎng)春理工大學(xué);2016年

8 吳永亮;異質(zhì)網(wǎng)絡(luò)中重疊社區(qū)發(fā)現(xiàn)技術(shù)研究[D];蘭州交通大學(xué);2016年

9 張潔;網(wǎng)絡(luò)功能、有意識(shí)的知識(shí)溢出與知識(shí)創(chuàng)造關(guān)系研究[D];東北財(cái)經(jīng)大學(xué);2016年

10 杜丹;基于復(fù)雜網(wǎng)絡(luò)的和弦生成和歌詞創(chuàng)作算法的研究[D];東北大學(xué);2015年

，

本文編號(hào)：1533460