[发明专利]一种软件定义网络下的流规则合法性认证方法有效

专利信息
申请号: 201510388661.0 申请日: 2015-07-03
公开(公告)号: CN105072085B 公开(公告)日: 2018-08-03
发明(设计)人: 刘建伟;王蒙蒙;毛剑;陈杰;毛可飞;刘哲;邱修峰 申请(专利权)人: 北京航空航天大学
主分类号: H04L29/06 分类号: H04L29/06
代理公司: 北京清亦华知识产权代理事务所(普通合伙) 11201 代理人: 张大威
地址: 100191*** 国省代码: 北京;11
权利要求书: 查看更多 说明书: 查看更多
摘要:
搜索关键词: 一种 软件 定义 网络 规则 合法性 认证 方法
【说明书】:

发明公开了一种软件定义网络下的流规则合法性认证方法,包括应用程序的流规则生成权限集构造、应用程序身份和权限审核、流规则签名‑验证机制三部分。本发明首先对参与流规则生成服务的应用程序权限进行细化,构造应用程序的有效流规则生成权限集、待分配流规则生成权限集和流规则生成权限全集。其次,应用程序向可信第三方申请用于流规则生成服务的合法身份,并将其身份信息和流规则生成权限集提交至控制器审核。最后,应用程序采用基于身份的签名算法对其生成的流规则进行签名,控制器校验签名的合法性并将合法流规则更新至流规则库。本发明可有效防止虚假流规则对控制器的恶意攻击,并及时过滤合法应用程序生成的越权流规则,应用前景广阔。

技术领域

本发明属于计算机应用领域,具体涉及一种软件定义网络下的流规则合法性认证方法。

背景技术

软件定义网络(Software Defined Networking,SDN)是典型的流规则驱动型网络,流规则SDN是基础设施层执行转发、数据包处理等操作的重要依据;同时,网络中的信息流是否流经某个网络设备以及何时经过该设备,均由控制器下发的流规则决定,物理的安全设备自身并不具有决定权。因此,在由流规则驱动的SDN网络中,对流规则的合法性和正确性进行认证,防止恶意和非法流规则的扩散,将是保障SDN网络安全运行的关键。

SDN中的流规则通常由系统管理员、OpenFlow应用程序、安全服务类应用程序和其他一些辅助应用程序共同参与制定,并通过控制器下发至基础设施层的网络设备中。流规则在生成和下发的过程中,可能被恶意篡改或伪造,不同的流规则之间也可能相互冲突,而SDN基础设施层的网络设备对控制器下发的流规则完全信任,一旦由虚假控制器或恶意应用程序生成的非法流规则被执行,将会给SDN网络带来严重威胁。

由于流规则是SDN基础设施层执行转发、数据包处理等操作的主要依据,攻击者一旦能够伪造或篡改SDN中的部分流规则,将可能控制整个SDN网络;可编程性是SDN实现统一管理、配置网络设备的重要依托,但它也降低了攻击者对SDN中流规则的攻击门槛,使得攻击者仅通过软件编程即可实现对网络的攻击。攻击者如果能够伪装成一些具有流规则生成权限的合法应用程序,或对合法应用程序的部分流规则生成权限加以篡改,便可能破坏SDN中正常的流规则生成机制,使得攻击者的一些非法数据包绕开SDN中部署的各种安全设备,从而导致SDN中预先部署的各种安全服务失效。

此外,由于现有的大多数控制器如NOX、POX、Floodlight、OpenDaylight、Beacon、Onix、Ryu NOS、ONOS等,在设计和开发之初,研究人员主要关注的是网络资源的调度和控制,如链路发现、拓扑管理、流规则下发等功能,基本没有对流规则的合法性问题详加考虑。

针对SDN中流规则的合法性检测与认证问题,现有的研究方案主要包括两种思路:(1)基于应用程序的角色和优先级,对流规则的等级进行划分;(2)采用形式化分析的方法,对不同流规则之间的一致性和冲突进行匹配和分析。

第一种研究思路首先对参与制定SDN流规则的应用程序进行角色和优先级的划分,如将应用程序划分为系统管理员级、安全应用级和其他应用程序三类,各应用程序根据自身的角色对其生成的流规则进行签名。当流规则被插入控制器流规则库时,控制器便根据流规则的签名信息对其合法性进行判断。这种方法仅将生成流规则的实体划分为管理员、安全类应用程序和其它应用程序三类角色,而实际情况中,参与流规则制定的实体角色更为复杂。如多个同为安全类应用的程序实体,采用基于角色的流规则来源划分方法时,将无法对生成某个流规则的具体应用程序进行识别;同时,由于同一角色的应用程序生成的流规则优先级相同,但这些流规则之间又可能相互冲突,这些因素均给流规则的更新和认证带来了诸多问题。因此,需要采用更细粒度的流规则认证和优先级划分机制,来对流规则合法性进行约束。

下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。

该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京航空航天大学,未经北京航空航天大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服

本文链接:http://www.vipzhuanli.com/pat/books/201510388661.0/2.html,转载请声明来源钻瓜专利网。

×

专利文献下载

说明:

1、专利原文基于中国国家知识产权局专利说明书;

2、支持发明专利 、实用新型专利、外观设计专利(升级中);

3、专利数据每周两次同步更新,支持Adobe PDF格式;

4、内容包括专利技术的结构示意图流程工艺图技术构造图

5、已全新升级为极速版,下载速度显著提升!欢迎使用!

请您登陆后,进行下载,点击【登陆】 【注册】

关于我们 寻求报道 投稿须知 广告合作 版权声明 网站地图 友情链接 企业标识 联系我们

钻瓜专利网在线咨询

周一至周五 9:00-18:00

咨询在线客服咨询在线客服
tel code back_top