多域SDN网络安全高效拓扑发现机制研究

Secure and efficient topology discovery is a prerequisite for successful deployment of multi-domain Software Defined Networking (SDN). The problems caused by the network architecture bring new challenges for designing secure and efficient topology discovery mechanism, including the centralized control mode of SDN, new topology attacks and the dynamics of the network and the multi-domain mode. The existing security mechanisms cannot be directly applied..In this proposal, we will focus on resolving link fraud, controller fraud, and DDoS attacks in topology discovery, and attempt to establish a secure and efficient　topology discovery　mechanism for multi-domain SDN based on blockchain technology. Firstly, we will establish a secure and efficient topology discovery framework based on blockchain and design chain structure of topology information, multi-controller organization architecture　and topology information interaction protocol. Secondly, we will design the identification method of forged link attack on topology and DDoS detection and mitigation mechanism and automatic smart contract to guarantee the authenticity and availability of the topology information. Thirdly, the strategy to balance the security and the efficiency of topology discovery will be designed. .Expected outcomes will establish the key techniques and methodologies based on blockchain technology for secure and efficient topology discovery, generation and synchronization and bring a strong scientific significance and application value.

安全高效的拓扑发现是多域SDN网络成功部署的前提条件。SDN网络架构的集中控制模式、新型拓扑攻击手段及网络动态性和多域性为安全高效拓扑发现设计带来了新的挑战，现有的安全机制无法完全适用。本项目尝试利用区块链技术开展多域SDN安全拓扑发现机制研究，着力解决拓扑发现中的链路欺诈、控制器欺诈和DDoS攻击：（１）建立安全拓扑发现区块链框架，设计拓扑信息的链式区块结构、多控制器组织架构、拓扑信息交互协议；（２）研究伪链路识别方法和DDoS检测和缓解技术及自动化智能合约机制，保证拓扑信息真实性和可用性；（3）研究安全机制与拓扑发现效率均衡策略。预期成果将建立基于区块链技术的安全高效拓扑发现关键技术和方法体系，具有较强的科学意义和应用价值。

软件定义网络（Software-Defined Networking, SDN）是一种极具创新性的网络架构，该架构解耦了数据平面和控制平面，具有全局的网络视图和可编程的灵活特性。本项目主要有以下四个方面的贡献：.（1）高效安全链路发现及控制器优化部署：控制器通过拓扑发现的基础服务获取网络视图，域内链路发现机制存在链路欺诈威胁和效率低下的问题，另外多控制器作为在大范围网络中实现高效网络管理的有效手段，控制器部署策略会影响多域拓扑发现的效率。我们提出了基于端口分类技术的域内链路发现机制，通过减少冗余数据包减少发包数量以提高链路发现效率；通过对链路发现数据包的合法性验证解决了链路欺诈问题。另外，基于节点间的关联性对网络进行区域划分，继而综合考虑控制器间网络以及交换机到控制器的时延设计控制器部署策略，从而降低全网拓扑发现的时延。.（2）拒绝服务攻击的检测与防御：针对控制器的拒绝服务攻击会导致数据平面和控制平面之间的信道拥塞以致控制器超负荷，最终会导致网络瘫痪。我们提出了利用多控制器以及可疑流量迁移的安全保护策略，将可疑流量迁移至从控制器缓解了主控制器的信道拥塞，从控制器利用请求缓存和请求转发缓解了主控制器的超负荷问题。.（3）链路和控制器故障恢复机制：针对链路故障，我们结合预备式和反应式的故障恢复策略提出了协同式恢复机制。既保证了故障后的恢复时间又提高资源利用率。针对控制器故障，我们提出了基于控制器负载感知的恢复机制，我们设计了一种启发式算法解决此问题，实现了恢复时间和控制器负载的有效平衡。.（4）多控制器SDN架构下控制层的伸缩性：多控制器的SDN架构存在负载不均等伸缩性问题。为此，我们首先提出了一种高效精确的负载不均检测方案来触发交换机迁移，然后基于非合作博弈，将交换机迁移转换成控制器之间的博弈问题，最大化控制器的总收益即最大化控制器的资源利用率。.本项目的研究成果大大促进了SDN的发展，这期间我们共发表6篇高水平层次的论文，取得了良好成果。

内容获取失败，请点击重试