软件定义网络中源地址验证绑定表安全

摘要

为了提高软件定义网络(SDN)中IPv6源地址验证(SAVI)绑定表的安全性,从地址分配机制(AAM)消息验证、绑定项更新和拒绝服务(DoS)攻击防御三方面对绑定表进行保护.基于SDN控制器构建AAM消息验证表,记录交换机端口、MAC地址、主机IP地址等信息;建立DHCPv6和SLAAC这2种地址配置报文的验证模型,下发流表监听路由器通告(RA)消息,获取DHCPv6 request/reply报文和NS/NA报文,基于AAM消息验证表验证报文中的地址信息;针对网络的动态变化建立绑定信息监听和更新机制,监听主机离线或者主机IP失效事件,及时更新绑定信息,保证绑定表和实际网络信息的一致性;基于OpenFlow多级流表建立交换机端口限速表,防止拒绝服务攻击.实验结果表明,本方案能够有效防御多种针对绑定表的伪造AAM报文攻击,及时更新绑定表信息,提高AAM消息的处理效率.