[发明专利]一种云环境下SDN网络状态一致性验证方法

摘要

本发明公开了一种云环境下SDN网络状态一致性验证方法，从网络更新请求和响应两个方面进行验证，包括请求验证、安全规则验证和转发层路径验证；在网络更新请求阶段，通过解析网络状态元数据形成约束空间，并解析安全策略形成安全空间，解析网络更新请求并依次与约束空间和安全空间进行快速验证，实时检测出恶意请求，确保控制器维护正确的全局网络视图，同时保证控制器向转发层下发的流规则与安全策略一致；在网络状态更新响应阶段，通过SDN控制器主动发送探测数据包验证流转发路径，采用OpenFlow的组表方式在探测数据包头部添加标签标记数据包在转发层的实际转发路径，实现了轻量级的数据包转发路径验证及异常路径定位。

主权项

1.一种云环境下SDN网络状态一致性验证方法，其特征在于，包括以下步骤：步骤1：通过控制器全局网络视图获取当前网络中虚拟机的IP‑MAC绑定信息、网络拓扑状态、交换机链路连接及端口信息，将这些信息解析形成约束空间；调用应用程序编程接口获取网络中的安全策略，解析形成安全空间；步骤2：控制器收到流规则请求消息Packet‑In时，提取请求数据包中的元数据与约束空间进行对比，如果有冲突，则控制器拒绝该请求；步骤3：约束空间验证通过后，控制器计算请求数据包的转发路径，在流规则下发前将转发路径信息与安全空间进行对比验证，验证请求的转发路径是否与网络当前的安全策略有冲突，有冲突则验证不通过，控制器不下发流规则，并向管理员发出恶意请求告警；步骤4：若约束空间验证和安全空间验证都通过，则控制器向转发层下发流规则，同时将流转发路径和根据流转发路径计算出的流转发路径标签存储在流路径表中，存储格式为<header,path(f),tag(f)>，其中header为流f请求的数据包包头信息，path(f)是解析出的流f的路径端口序列，tag(f)是根据路径端口序列计算出的哈希值；步骤5：构建控制器探测数据包，控制器构造探测数据包需满足两个条件，其一，控制器构造探测数据包的头部匹配域字段要与转发路径请求流的匹配域字段完全一致，其二，探测数据包需要用数据包头部的保留字段标识，且该保留字段必须不属于OpenFlow协议中规定的匹配域；步骤6：交换机在转发层对流数据包添加流转发路径标签，从而标记流数据包的转发路径；即在入口交换机上为数据包添加流转发路径标签来记录流转发路径信息，在中间交换机上更新流转发路径标签，当数据包转发到出口交换机时，交换机触发Packet‑In事件，将探测数据包包头和流转发路径标签上报给控制器；步骤7：控制器收到出口交换机报告的探测数据包时，快速解析探测数据包头部信息，通过探测数据包头部中的流转发路径标签值与流路径表中tag值进行对比验证，若tag值一致，则验证成功；若控制层接收不到探测数据包的流转发路径标签值且超过设置时间，则判断该流转发路径不一致，将流转发路径标记成异常路径。