软件定义网络中应用程序的信任管理架构

摘要

随着计算机网络技术的快速发展，传统网络体系架构已经无法满足实际应用需求。特别是，通过打补丁的方式来适应云计算、网络功能虚拟化等新型网络服务，已经让整个网络系统臃肿不堪。相比这种渐进式的改进思路，我们需要重新研究并定义新型网络体系结构。作为一种新的网络体系结构，软件定义网络（Software-defined-networking, SDN）已经掀起一场新的网络技术浪潮。
　　SDN建立了新的网络抽象模型，为用户提供了一套完整的通用应用程序接口(Application Program Interface, API)。SDN中控制层与数据层的解耦合性使它们之间不再相互依赖，可以独立完成体系结构的演进。另外它还具备可编程的特性，使得用户可以在控制器上自主实现对网络的配置、控制以及管理，由此加快网络业务部署的进程。SDN除了有集中控制和网络可编程等先进的属性，也引入很多安全挑战。控制器无法判断应用程序是否可信，应用程序下发的流规则的冲突检测和消除都是目前SDN面临的巨大挑战。为了充分利用SDN，必须突出强调这些挑战，以便主动采取适当的安全措施。
　　通过分析SDN的特性及其安全问题，我们发现在应用程序和控制器之间缺乏信任评估和管理机制，合法的应用程序也可能遭受侵害导致下发错误的流规则。另外，控制器上可能同时运行着多个自定义或第三方提供的应用程序，这些应用程序下发的流规则可能会相互竞争、彼此覆盖。我们针对以上问题提出我们的信任管理框架，我们的框架主要包括网络监控模块和信任评估模块。网络监控模块包含大量用来监控应用程序下发的流规则执行期间丢包率、时延和带宽等网络参数变化的探针。网络信任模块根据探针提供的参数进行信任值的计算。但是我们需要保证这些网络探针必须是安全且可信的。在我们的方案中，应用程序的信任值主要由两部分信任值加权得到：一个是和该应用程序有过交流的控制器的反馈信任值，另外一个是通过监控网络参数计算的信任值。我们根据应用程序的信任值决定应用程序下发流规则的优先级。信任值越高的应用程序下发的流规则的优先级越高。
　　根据提出的方案，我们进一步完成了仿真实现并进行了测试。在实现中，我们首先设计了三种性能不同的应用程序，实际测试并获得这些应用程序运行时的丢包率、时延和带宽值等参数；通过将这些值与我们设定的门限值作对比并按照我们提出的算法计算出基于网络监控的信任值分量。由网络信任模块收集控制器的反馈计算基于反馈的信任值分量。最后，我们按照方案中的算法整合得到其综合信任值。对于应用程序和控制器之间缺乏信任评估和信任管理机制的问题，我们针对每个应用程序有唯一可变的信任值，信任值低的应用程序禁止接入控制器；针对应用程序在运行过程中被篡改且导致应用程序的信任值发生改变的问题，我们可以实时更新应用程序信任值，及时发现恶意应用程序；对于控制器中流规则冲突的问题，我们每个应用程序都有对应的信任值，信任值高的应用程序对应的流规则的优先级相对高，相比现有的方案，我们的方案更细粒度。
　　通过对实验结果的分析，证明了我们的方案比现有的方案更细粒度的对流规则的优先级进行了划分,且可以有效的实现流规则的冲突检测和消除，成功的帮助控制器选择和实施合适的流规则。

目录

声明

插图索引

表格索引

符号对照表

缩略语对照表

第一章 绪论

1.1. 传统网络的局限性

1.2. 研究背景及意义

1.3. 论文内容和组织结构

第二章 相关工作

2.1. 信任评估和管理

2.2. SDN架构

2.3. OpenFlow网络

2.4. SDN安全问题及现有解决方案

2.5. 本章小结

第三章 信任架构

3.1. SDN安全挑战

3.2. 系统架构

3.3. 基于信任的流规则选择

3.4. 值得信赖的网络行为监测

3.5. 数据收集和信任评估

3.6. 数据收集的标签

3.7. 本章小结

第四章 方案实现与测试

4.1. 环境搭建

4.2. 方案具体实现和测试

4.3. 本章小结

第五章 总结与展望

5.1. 总结

5.2. 展望

参考文献

致谢

作者简介