SDN数据安全处理机制关键模块的研究与实现

摘要

针对软件定义网络(SDN)的数据平面数据泄露问题、提出一种新的基于OpenFlow协议的数据安全处理机制.首先,重构OpenFlow协议的流表结构,设计实现包括安全匹配字段、安全动作在内的OpenFlow数据安全策略;然后,设计中心化管理控制器,通过开发的多个功能模块使控制器及时感知网络变化,有效管控全局网络,维护和下发数据加(解)密密钥、数据安全策略;其次,深度重构开放虚拟交换机OVS架构,设计实现数据安全策略匹配和数据安全处理的完整流程,编写数据净载信息提取接口,通过开发的多个功能模块使OVS能够根据数据安全策略细粒度匹配数据包,并对匹配成功的数据包进行完整数据安全处理操作;最后,搭建软硬件平台,对该机制的加解密处理结果和延时、吞吐量以及CPU使用率进行测试.实验结果表明:该机制可以准确对数据进行加解密操作,延时和吞吐量均处于正常水平;但CPU使用率在45％-60％浮动,开销较大,有待后续优化.