基于SDN的源地址认证和匿名通信系统的设计与实现

摘要

随着计算机技术的发展，对通信安全和匿名保护的要求越来越高。然而，传统网络作为一种分布式体系结构，很难掌握并控制网络全局资源，而且基于传统网络设备的转发与控制功能是紧耦合的。所以，解决这些问题的同时会使得网络设备的负担变大。因此，得益于软件定义网络（Software Defined Network，SDN）转发与控制分离的思想以及其可编程接口所提供的开发便利性，基于SDN对通信安全和匿名保护问题进行如下研究： （1）针对通信安全问题，本文设计了两种源地址认证方案来检测发起端主机是否合法。一种是改进传统MAC、IP绑定方法，通过绑定主机源IP、源MAC、连接主机的交换机入端口PORT三元组流表来进行源地址合法性认证；另一种改进传统域内集中计算路径过滤（Calculating Path Forwarding，CPF）算法，通过SDN控制器的拓扑管理模块维护全局网络拓扑确定转发路径，将转发路径中途径交换机数据包的源IP、目的IP、交换机入端口、出端口执行四元组流表绑定来进行源地址合法认证。 （2）针对匿名保护问题，本文利用地址跳变技术即通过SDN交换机节点对数据包中IP地址的不断更改，令攻击方难以获取通信双方的信息。为了保证使用地址跳变技术之后所生成的地址能够唯一标识当前数据流，改进了一种基于SDN环境的地址生成算法（M-Address Generation Algorithm，MAGA），解决了原MAGA算法中所不能保证的匿名完全性，以及在此算法基础上提出一种针对需要匿名保护的数据流执行更改IP和MAC的算法，减少了计算开销并提高了匿名通信的安全性。 （3）针对SDN控制器中所默认的最短路径选路算法可能会出现热点链路的情况，本文在最短路径基础上融合了通过测量链路带宽利用率并将其作为选路过程的一个权重向量，以解决默认选路算法出现链路负载过重导致数据丢包率和时延受到影响的缺陷。 最后，本文设计和实现了基于SDN的源地址认证和匿名通信的系统架构，并对该架构进行测试，以证明本文研究方案的有效性和匿名通信过程中的安全性，与传统网络下的解决方案相比更加高效、更便于部署。

目录

声明

第一章 绪论

1.1研究背景介绍

1.2.1 SDN研究现状

1.2.2源地址认证研究现状

1.2.3匿名通信研究现状

1.3论文主要内容

1.4本文组织结构

第二章 相关技术介绍

2.1软件定义网络介绍

2.2 Floodlight控制器介绍

2.2.1 Floodlight架构介绍

2.2.2 Floodlight模块概述

2.3 OpenFlow分析

2.3.1 OpenFlow网络架构

2.3.2 OpenFlow交换机

2.3.3 OpenFlow协议

2.4源地址认证技术

2.5匿名通信研究

2.6本章小结

第三章 一种基于带宽利用率动态选择的路由算法

3.1 Floodlight中自带路由算法和缺陷

3.2基于带宽利用率动态选路算法

3.2.1基于带宽利用率动态选路算法描述

3.2.2基于带宽利用率动态选路算法设计

3.3实验仿真

1、实验环境

2、实验结果分析

3.4本章小结

第四章 源地址认证方法研究

4.1获取MAC、IP、PORT三元组

4.2集中计算路径过滤CPF方案

4.3本章小结

第五章 匿名通信方法研究

5.1 MAGA地址生成算法描述

5.2 MAGA算法局限性及改进

5.3 Improved-MAGA算法步骤

5.4实验仿真

一、分析所确定链路的带宽利用率

二、分析非匿名流之间的传输延迟

三、分析匿名流抗DDos攻击能力

5.5本章小结

第六章 系统架构的设计和实现

6.1系统架构

6.2.1 Packet_In消息解析模块

6.2.2路由生成模块

6.2.3绑定MAC、IP、PORT三元组模块

6.2.4注册匿名服务映射表模块

6.2.5更改IP和MAC模块

6.2.6绑定源IP与目的IP模块

6.2.7集中计算路径过滤CPF模块

6.3本章小结

第七章 系统仿真和功能测试

7.1仿真环境搭建

一、安装Floodlight

二、安装Mininet

三、SendIP发包工具

四、Wireshark抓包工具

7.2功能测试

7.2.1基于带宽利用率动态选路算法路由生成测试

7.2.2源地址认证测试

7.2.3 Improved-MAGA匿名通信算法生成测试

7.3本章小结

第八章 工作总结与展望

8.1 工作总结

8.2 工作展望

致谢

参考文献

攻读硕士学位期间取得的成果