[发明专利]基于数据包转发验证的软件定义网络（SDN）

说明书

本公开涉及一种用于验证在具有SDN控制器和多个交换机的软件定义网络(SDN)中转发的数据包的准确性的系统和方法。所述方法包括：生成并向第一交换机和第二交换机发送命令，以返回网络流的第一检测数据和第二检测数据；接收该第一检测数据和该第二检测数据，该第一检测数据是来自该网络流的由该第一和第二交换机上报的具有第一标签的数据包的数量，且该第二检测数据是与来自该网络流的由该第一和第二交换机上报的具有该第一标签的所述数据包相关的内容；对该第一和第二检测数据执行分析；以及如果对该第一和第二检测数据的分析失败，提出动作标签。

技术领域

本公开涉及一种用于验证在网络中转发的数据包的准确性的方法和系统。更具体地，本公开涉及一种用于验证在网络中的数据包的转发路径不一致性或恶意篡改的方法和系统。

背景技术

软件定义网络(SDN)是一种新的网络系统。与传统网络系统相比，SDN物理隔离网络的控制层和数据层。控制层负责为数据包计算路由，而数据层负责转发数据包。在传统网络中，采用分布式算法计算路由，且路由器或交换机同时包括控制层和数据层。这使得网络配置和管理非常复杂。与此相反，SDN将这两层物理隔离。更具体地，控制层在名为SDN控制器的集中式服务器中实现，而数据层保留在交换机上(术语路由器不再用于SDN)。SDN使网络配置变得简单。网络管理员只需要配置SDN控制器，以管理网络。

图1示出了SDN 100的架构。实质上，SDN具有三层，即数据层130、控制层120和应用层110。数据层130包括用于转发数据包的设备，即交换机。控制层120为控制数据层提供接口。应用层110负责高层逻辑。控制层和数据层之间的接口称为南向接口150，而控制层和应用层之间的接口称为北向接口140。

通过SDN的南向接口150，控制层120控制数据层130中的转发，且数据层130将其状态上报给控制层120。有几种南向接口150协议，如OpenFlow、ForCES、PCE-P等。其中，OpenFlow是最成熟和最常用的。

图2示出了基于OpenFlow协议的流程。OpenFlow标准控制交换机应该有一个或多个流表以及一个组表。每个流表可以有多个流表项。一个项定义一个特定的网络流，且描述该流上的动作。网络流是一组共享一个或多个数据包字段或共享一些比特的数据包。例如，项可以将具有给定目的地IP(如10.0.1.2)的数据包定义为流。这些动作可能包括以下任意项：将数据包输出到给定的输出端口，将数据包输出到流表，将数据包输出到组表，将数据包发送到控制器，修改该流中每个数据包的包头，以及记录该流中处理的数据包的数量。组表包括多个动作桶。与流表项相同，一个桶定义一个或多个对数据包的动作。有多种类型的组表：所有(all)、选择(select)和快速故障切换(fast failover)。间接类型与流表项非常相似，但其可以应用于多个流表项。所有类型将执行所有桶内动作。基于所有桶的配置权重，选择类型将随机选择要执行的桶的动作。选择桶的概率优先于桶的权重。快速故障切换类型将执行第一个可执行的桶的动作。每个组表甚至组表中的每个桶都可以统计由组表或桶转发的数据包或字节的数量。每个流项可以附于组表。在数据包进入交换机后，该数据包与第一个流表中的流项相匹配。在执行相应动作后，该流项可以直接将该数据包输出到组表、交换机端口或后续的流表。如果该数据包被输出到该组表，则按照该组表的逻辑转发该数据包。如果该数据包被输出到该输出端口，交换机直接输出该数据包。如果该数据包被输出到后续的流表，则按照原始转发逻辑继续转发该数据包。

在当前网络中，误路由攻击和数据篡改攻击是网络管理员面临的两种攻击。这些攻击都与数据路由的可信度有关。误路由攻击会导致路由器/交换机将数据包转发到不正确的端口。换而言之，当发生误路由攻击时，数据包没有在期望路径中转发。数据篡改攻击可能导致路由器/交换机篡改其转发的数据。换而言之，当数据包在期望路径中转发时，原始数据包可能被篡改。这些攻击会给用户带来严重的安全风险，例如隐私数据泄露。攻击者可以将网络流转发到该攻击者控制的机器上，以窃听用户流量，或直接篡改用户的数据包，以注入恶意代码。