SDN环境下基于UCON模型的跨域应用访问控制技术研究

作     者：常睿 

作者单位：北京邮电大学 

学位级别：硕士

导师姓名：林昭文

授予年度：2019年

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：软件定义网络 访问控制 使用控制 

摘      要：随着SDN技术的不断发展,其得到了愈发广泛的应用。SDN将网络控制层面与数据层面分离的核心思想和可编程特性为网络管理和控制带来了更好的便利性和更高的灵活性。然而,SDN技术在应用中仍存在北向接口安全性不足的问题。在目前常见的SDN框架及SDN控制层的实现中,北向接口通常缺乏访问控制特性,因此,当上层应用在发生错误、被恶意控制等异常情况下,其将会对网络安全造成难以预估的危害。因此,对SDN北向接口的访问控制存在其必要性。同时,随着网络规模的扩大和网络管理的复杂度提升,出于对网络性能和网络管理的考虑,多域网络的使用也变得更为普遍。在传统情况下,SDN北向接口可以对上层用户提供网络的全局视野,并可能有利于恶意应用利用网络信息伺机发起攻击。因此,研究SDN北向接口访问控制机制时,也需要进一步考虑提供跨域访问支持。基于以上问题,本文针对SDN北向接口的跨域访问控制这一领域进行了研究:(1)本文基于UCON使用控制模型和基于域元素和角色元素访问控制的机制,提出了包含域元素和角色元素扩展的MD-UCON访问控制模型。(2)引入了适用于MD-UCON模型的跨域角色映射机制,以实现跨域的授权访问支持,从而使得该模型能够应用于SDN北向接口的访问控制应用中。(3)本文设计并实现了一个适用于SDN北向接口的访问控制原型系统,对上述的访问控制模型和机制等进行了验证,测试结果表明,MD-UCON及其访问控制机制实现了针对北向接口的访问控制能力,并同时对跨域访问提供了良好的支持。