基于哈希链的软件定义网络路径安全

摘要

针对软件定义网络中,控制器无法保证下发的网络策略能够在转发设备上得到正确执行的安全问题,提出一种新的转发路径监控安全方案.首先以控制器的全局视图能力为基础,设计了基于OpenFlow协议的路径凭据交互处理机制;然后采用哈希链和消息验证码作为生成和处理转发路径凭据信息的关键技术;最后在此基础上,对Ryu控制器和Open vSwitch开源交换机进行深度优化,添加相应处理流程,建立轻量级的路径安全机制.测试结果表明,该机制能够有效保证数据转发路径安全,吞吐量消耗比SDN数据层可信转发方案(SDNsec)降低20％以上,更适用于路径复杂的网络环境,但时延和CPU使用率的浮动超过15％,有待进一步优化.