面向SDN的流规则冲突检测方法研究

作     者：周胜 

作者单位：安徽大学 

学位级别：硕士

导师姓名：仲红;崔杰

授予年度：2019年

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：软件定义网络 OpenFlow 流规则冲突 网络安全 

摘      要：软件定义网络(SDN)给计算机网络带来了巨大的活力。它主要将传统分布式网络的控制平面和数据平面彻底解耦,并使用一个逻辑集中的控制器来控制整个分布式的数据平面,从而实现集中式的网络管理和配置,提高了网络管理的效率并降低了网络配置的复杂度。SDN可以让上层应用程序灵活的控制和修改数据平面中的数据包。当网络规模越来越大,各种不同的应用程序都会同时在一个网络上工作。此时多个不同的应用有可能在同一时间对同一个数据包进行控制和操作,从而造成该数据包处理的混乱。在SDN中,上层应用程序是通过制定流规则并部署到数据平面中来控制和操作数据包的,因此我们将上述数据包处理混乱的情况称之为流规则冲突。本文围绕SDN中流规则冲突问题进行研究,充分调研了国内外的研究现状,并针对发现的问题进行详细分析,提出了以下两个解决方案。(1)基于事务的流规则冲突检测与解决方案。SDN中流规则冲突可能造成不同网络功能相互干扰和失效问题,本文针对该问题提出了基于事务的流规则冲突检测与解决方案(TCDR)。TCDR提出了一个流规则事务的概念,一个流规则事务表示一个完成某一网络功能的流规则集合,并且这个流规则集合在操作上呈现原子性,即一同部署、一同更新、一同删除。在流规则事务的基础上,TCDR采用了一个基于事务的流规则冲突分析算法(TRCA),保障了网络功能的独立性。除此之外,恶意应用程序会主动生成带有冲突的流规则来攻击网络,因此加强应用层安全也是减少流规则冲突的一个重要途径。TCDR对此提出了一个基于事务的认证方案,对应用程序以及更加细粒度的网络功能进行认证,保障了流规则来源的安全性。本文在开源的Floodlight控制器的基础上,实现了TCDR系统原型,并通过实验测试和性能评估证明了本方案有良好的可行性与有效性。(2)可查询的流规则冲突检测方案。由于流规则冲突检测主要在控制器中完成,当网络规模越来越大,流规则数量也越来越多时,不可避免给控制器带来越来越大的负担。针对该问题,本文随后提出了一个可查询的流规则冲突检测方案(QCDR)。QCDR主要建立在控制器中并将网络中的流规则及其相互作用转化成一个流规则文本,然后为上层应用程序提供一个查询接口,允许上层应用程序使用正则表达式有针对性地对网络中的流规则进行查询。控制器在接收到上层应用的查询时,将正则表达式转换成相应的确定性有限状态自动机,然后对流规则文本进行匹配,其匹配到的结果对应的流规则即为上层应用程序想要查询的流规则。在此基础上,上层应用在制定流规则时,即可主动查询网络中与之相关的流规则,在应用程序本地即可进行流规则冲突的检测。这可以使得应用程序有能力尽可能地避免向控制器下发带有冲突的流规则,大大降低了控制器在流规则冲突检测所带来的负担。本文在TCDR系统原型的基础上,进一步实现了QCDR的相关模型并进行了实验测试和性能评估。实验表明,在流规则数量增多时,QCDR能够有效地抑制控制器在流规则冲突检测过程中资源消耗的增长。