软件定义网络控制层安全策略可靠性研究

摘要

软件定义网络（software defined network，简称SDN）是一种新型的网络架构，将传统的网络解耦为应用平面、控制平面、数据平面，具有开放性和和编程性的特点。以控制器为核心的SDN技术能对网络进行集中控制，目前已在数据中心、无线局域网、云计算等领域得以运用。但随着SDN的不断发展，其自身安全问题也不断突显，本文主要关注的是控制层安全策略可靠性的问题。基于OpenFlow协议的SDN环境中防火墙策略与流表策略密切相关，一方面，保证流表策略的一致性是作为构建可靠防火墙安全策略的基础；另一方面，OpenFlow协议的无状态性能造成SDN防火墙规则的失效，使安全策略变得不可靠。本文针对以上两方面存在问题进行研究与探讨。
　　对于流表策略一致性问题，本文从行为一致性这一点切入，采用路径标签技术监测控制平面与数据平面的流表策略一致性状态，数据平面流表策略失效情况能够及时反馈到管理员，为建立逻辑一致的安全策略调度机制提供帮助。安全策略主要由流表策略与防火墙策略共同构成。对于攻击者利用流表项中Set-Field操作篡改数据包的包头信息，从而绕开防火墙安全策略的情况，本文采用别名集与路径回溯双重检测机制，来保证安全策略冲突检测的高可靠性。最后，实验结果验证了本文中流表策略一致性检测方法和安全策略冲突检测的方法的有效性，在构建高效可靠的控制层安全策略方面能够提供一些思路与方法，对控制器在网络安全异常状况的监测能力有一定提升。

目录

声明

第一章 绪论

1.2研究现状

1.3论文主要研究内容

第二章 相关背景知识介绍

2.2OpenFlow协议特性

2.3SDN防火墙特性

2.4本章小结

第三章 OpenFlow安全策略可靠性分析

3.2策略一致性

3.3SDN防火墙安全

3.4本章小结

第四章 基于路径标签的策略一致性检测方法

4.2数据层路径标签

4.3策略一致性验证

4.4实验

4.5本章小结

第五章 基于路径回溯的安全策略冲突检测方法

5.2安全策略空间集

5.3路径回溯描述

5.4实验

5.5本章小结

第六章 总结与展望

6.2未来工作展望

参考文献

附录1攻读硕士学位期间撰写的论文

致谢