[发明专利]一种软件定义网络下的流规则合法性认证方法有效
申请号: | 201510388661.0 | 申请日: | 2015-07-03 |
公开(公告)号: | CN105072085B | 公开(公告)日: | 2018-08-03 |
发明(设计)人: | 刘建伟;王蒙蒙;毛剑;陈杰;毛可飞;刘哲;邱修峰 | 申请(专利权)人: | 北京航空航天大学 |
主分类号: | H04L29/06 | 分类号: | H04L29/06 |
代理公司: | 北京清亦华知识产权代理事务所(普通合伙) 11201 | 代理人: | 张大威 |
地址: | 100191*** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 软件 定义 网络 规则 合法性 认证 方法 | ||
本发明公开了一种软件定义网络下的流规则合法性认证方法,包括应用程序的流规则生成权限集构造、应用程序身份和权限审核、流规则签名‑验证机制三部分。本发明首先对参与流规则生成服务的应用程序权限进行细化,构造应用程序的有效流规则生成权限集、待分配流规则生成权限集和流规则生成权限全集。其次,应用程序向可信第三方申请用于流规则生成服务的合法身份,并将其身份信息和流规则生成权限集提交至控制器审核。最后,应用程序采用基于身份的签名算法对其生成的流规则进行签名,控制器校验签名的合法性并将合法流规则更新至流规则库。本发明可有效防止虚假流规则对控制器的恶意攻击,并及时过滤合法应用程序生成的越权流规则,应用前景广阔。
技术领域
本发明属于计算机应用领域,具体涉及一种软件定义网络下的流规则合法性认证方法。
背景技术
软件定义网络(Software Defined Networking,SDN)是典型的流规则驱动型网络,流规则SDN是基础设施层执行转发、数据包处理等操作的重要依据;同时,网络中的信息流是否流经某个网络设备以及何时经过该设备,均由控制器下发的流规则决定,物理的安全设备自身并不具有决定权。因此,在由流规则驱动的SDN网络中,对流规则的合法性和正确性进行认证,防止恶意和非法流规则的扩散,将是保障SDN网络安全运行的关键。
SDN中的流规则通常由系统管理员、OpenFlow应用程序、安全服务类应用程序和其他一些辅助应用程序共同参与制定,并通过控制器下发至基础设施层的网络设备中。流规则在生成和下发的过程中,可能被恶意篡改或伪造,不同的流规则之间也可能相互冲突,而SDN基础设施层的网络设备对控制器下发的流规则完全信任,一旦由虚假控制器或恶意应用程序生成的非法流规则被执行,将会给SDN网络带来严重威胁。
由于流规则是SDN基础设施层执行转发、数据包处理等操作的主要依据,攻击者一旦能够伪造或篡改SDN中的部分流规则,将可能控制整个SDN网络;可编程性是SDN实现统一管理、配置网络设备的重要依托,但它也降低了攻击者对SDN中流规则的攻击门槛,使得攻击者仅通过软件编程即可实现对网络的攻击。攻击者如果能够伪装成一些具有流规则生成权限的合法应用程序,或对合法应用程序的部分流规则生成权限加以篡改,便可能破坏SDN中正常的流规则生成机制,使得攻击者的一些非法数据包绕开SDN中部署的各种安全设备,从而导致SDN中预先部署的各种安全服务失效。
此外,由于现有的大多数控制器如NOX、POX、Floodlight、OpenDaylight、Beacon、Onix、Ryu NOS、ONOS等,在设计和开发之初,研究人员主要关注的是网络资源的调度和控制,如链路发现、拓扑管理、流规则下发等功能,基本没有对流规则的合法性问题详加考虑。
针对SDN中流规则的合法性检测与认证问题,现有的研究方案主要包括两种思路:(1)基于应用程序的角色和优先级,对流规则的等级进行划分;(2)采用形式化分析的方法,对不同流规则之间的一致性和冲突进行匹配和分析。
第一种研究思路首先对参与制定SDN流规则的应用程序进行角色和优先级的划分,如将应用程序划分为系统管理员级、安全应用级和其他应用程序三类,各应用程序根据自身的角色对其生成的流规则进行签名。当流规则被插入控制器流规则库时,控制器便根据流规则的签名信息对其合法性进行判断。这种方法仅将生成流规则的实体划分为管理员、安全类应用程序和其它应用程序三类角色,而实际情况中,参与流规则制定的实体角色更为复杂。如多个同为安全类应用的程序实体,采用基于角色的流规则来源划分方法时,将无法对生成某个流规则的具体应用程序进行识别;同时,由于同一角色的应用程序生成的流规则优先级相同,但这些流规则之间又可能相互冲突,这些因素均给流规则的更新和认证带来了诸多问题。因此,需要采用更细粒度的流规则认证和优先级划分机制,来对流规则合法性进行约束。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京航空航天大学,未经北京航空航天大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201510388661.0/2.html,转载请声明来源钻瓜专利网。
- 上一篇:一种改进的比较加密的首价密封拍卖方法
- 下一篇:一种停车场车位探测装置