基于SDN架构的网络接入控制功能的设计与实现

摘要

随着互联网日益发展，给我们的工作带来诸多方便，然而也为我们信息的安全带来的新的挑战，信息安全在今天，无论对于校园还是企业都有着举足轻重的地位。现实中我们总面临这样的需求，不同的部门间需要实现网络隔离，来保护部门间的资源，提高网络的安全性。但由传统接入控制通常以分布式部署，不能集中管理配置，一旦更新换代，或者需要适应新业务需求做出调整，往往成本较高，因此难以适应快速发展的今天。而软件定义网络（SDN），可以利用控制器在数据层就实现接入控制，以集中控制的方式管理网络，又具有可编程性，可以根据不同需求编写应用灵活而间接管理网络，于是为这样的需求提供了一个解决方案。
　　本文分为两个部分，第一部分介绍了如何在SDN架构上，基于流表来实现网络接入控制、构建多网络环境并根据用户身份做出可配置的隔离。
　　应用开发中，涉及到数据库设计，控制器端应用逻辑设计，登录服务器页面设计，服务器与控制器交互逻辑设计。数据库完成对所有用户数据及状态的保存，由控制器与服务器共享。控制器完成对交换机的间接控制，实现接入控制与隔离。登录服务器提供用户注册登录页面，并与控制器交互共同构建这个多网络环境。为了提高用户体验，系统做了免登功能，用户在该系统构建的多网络区域任意位置可以实现任意交换机上的断线重连，不受ip地址改变的限制。
　　针对免登带来的安全威胁，本文的第二部分，对现有识别技术进行了解分析，利用流统计，获取用户行为数据。挖掘用户上网特征向量，构造用户特征指纹，完成用户识别，针对通过免登方式登录成功的用户，采取二次校验来提高免登的安全性。再校验部分涉及二次校验框架设计、用户特征向量提取算法设计。二次校验框架分两次识别，一次基于用户上网时间及流量进行模糊识别；第二次基于用户上网行为，运用RBF神经网络提取用户特征指纹来做识别。
　　最后通过系统测试，验证系统可以实现用户隔离以及接入控制，并给出基于用户行为进行合法性验证/再校验的仿真结果，验证二次校验对提高免登安全性有一定效果。

目录

封面

声明

中文摘要

英文摘要

目录

缩略词表

第一章 绪论

1.1网络接入控制发展现状

1.2软件定义网络发展现状

1.3本文主要工作

1.4本文的目录章节和内容安排

第二章 软件定义网络及其架构分析

2.1传统接入控制介绍

2.2 SDN架构介绍

2.3 OpenFlow协议介绍

2.4 Floodlight控制器介绍

2.5本章小结

第三章 接入控制系统的部署及构建多网络环境

3.1接入控制系统架构

3.2基于流的接入控制方法设计

3.3实现部门隔离和安全访问

3.4本章小结

第四章 基于用户行为的合法性再校验

4.1对现有识别技术分析

4.2合法性再校验框架

4.3数据预处理模块设计

4.4特征提取模块设计

4.5相似性匹配模块设计

4.6本章小结

第五章 系统测试与仿真结果分析

5.1用户接入控制，访问隔离，免登测试

5.2用户合法性再校验仿真结果分析

5.3本章小结

第六章 总结与展望

6.1全文总结

6.2未来展望

致谢

参考文献

攻硕期间取得的研究成果