【技术实现步骤摘要】
一种基于Hash-Trie的流规则冲突检测方法
本专利技术属于SDN网络中的流规则冲突检测
,具体涉及一种基于Hash-Trie的流规则冲突检测方法。
技术介绍
近年来,随着网络流量的大规模增长和数据中心的不断扩大,传统的网络架构暴露出灵活性差、架构复杂和难以维护等问题,增加了网络建设和维护的成本。业内的企业和高效开始着手研究新的网络架构来满足未来网络发展。软件定义网络(SoftwareDefinedNetworking,SDN)的概念起源于斯坦福大学的CleanSlate项目组,NikeMiKeown教授等在2008年正式提出了OpenFlow的概念,并基于此建立了以OpenFlow协议为主的SDN网络架构。SDN网络有别于传统的网络架构,它基于控制平面和数据平面分离的思想,由统一且集中的控制平面来完成对网络的管控,网络中的交换机和路由器等网络设备只负责数据的转发。同时引入软件定义的概念,为控制平面提供丰富的编程接口,为多样化的网络管理和服务提供可扩展性。正是由于SDN网络具有的开放性、灵活性,提出之后受到了业内的广泛关注。企业和高校纷纷展开对SDN网络架构的研究。但是作为一种新兴的技术,SDN在带来便捷的同时,也引发了一些不容忽视的安全问题。正是由于其集中控制特点,使得针对控制平面的拒绝服务攻击成为可能,控制平面作为SDN架构的核心部分,一旦瘫痪,会对整个网络的功能造成影响。此外,SDN开放、可编程的网络接口为攻击者提供了便利。攻击者不仅能够这些接口发现控制器可能存在的安全漏洞,也利用这些接口通过开发恶意程序实施对控制平面和整个网络的攻击。控制平 ...
【技术保护点】
1.一种基于Hash‑Trie的流规则冲突检测方法,其特征在于,包括以下步骤:S1、在交换机中构建存储流规则的流规则存储结构;S2、根据控制器下发的Flow_Mod报文,进行流规则的解析并构建流规则;S3、判断流规则存储结构是否存在该流规则所在的流表table_id;若是,则进入步骤S4;若否,则进入步骤S6;S4、根据当前流规则存储结构,对该流规则进行匹配域匹配,进入步骤S5;S5、判断匹配后的流规则是否存在冲突;若是,则进入步骤S7;若否,则进入步骤S6;S6、将该流规则存储在流规则存储结构中对其进行更新,返回步骤S2;S7、确定该流规则的冲突类型,实现流规则的冲突检测。
【技术特征摘要】
1.一种基于Hash-Trie的流规则冲突检测方法,其特征在于,包括以下步骤:S1、在交换机中构建存储流规则的流规则存储结构;S2、根据控制器下发的Flow_Mod报文,进行流规则的解析并构建流规则;S3、判断流规则存储结构是否存在该流规则所在的流表table_id;若是,则进入步骤S4;若否,则进入步骤S6;S4、根据当前流规则存储结构,对该流规则进行匹配域匹配,进入步骤S5;S5、判断匹配后的流规则是否存在冲突;若是,则进入步骤S7;若否,则进入步骤S6;S6、将该流规则存储在流规则存储结构中对其进行更新,返回步骤S2;S7、确定该流规则的冲突类型,实现流规则的冲突检测。2.根据权利要求1所述的基于Hash-Trie的流规则冲突检测方法,其特征在于,所述步骤S1中流规则存储结构为五级存储结构,依次包括交换机datapath_id、流表table_id、优先级、匹配域和流表项flow_id;对于交换机datapath_id,在SDN网络中,每个交换机有唯一的交换机datapath_id,且每个datapath_id使用Hash表存储流表,在对应的Hash表中以流表table_id为键,以具体的流表对象为值;对于流表table_id,在同一交换机中,每个流表有唯一的流表table_id;对于优先级,所述优先级使用Hash表进行存储,在对应的Hash表中以优先级的数值为键,以具体的优先级对象为值,且每个优先级对象包括13个匹配字段;对于匹配域,所述匹配域包括精确匹配字段和范围匹配字段;所述精确匹配字段通过Hash表存储,在对应的Hash表中以匹配字段的值为键,以流表项flow_id构成的数组为值;所述范围匹配字段通过Trie树存储,在对应的Trie树中,叶子节点为IP地址,中间节点为包含子网掩码的IP地址,节点所在的树高为其掩码范围,每个节点有一个属性为流表项flow_id;对于流表项flow_id,每个流规则有唯一的流表项flow_id。3.根据权利要求2所述的基于Hash-Trie的流规则冲突检测方法,其特征在于,所述步骤S2具体为:S21、对Flow_Mod报文进行解析,提取其对应的流表table_id、优先级、匹配域和动作域字段;S22、将匹配域扩充为由13个匹配字段组成;S23、利用优先级、扩充后的匹配域和动作域字段构建流规则;S24、为构建的流规则分配其唯一标识流表项flow_id,完成流规则的解析。4.根据权利要求3所述的基于Hash-Trie的流规则冲突检测方法,其特征在于,所述步骤S2中构建的流规则R为:R={P,M,A}式中,P,M和A分别为Flow_Mod报文解析时获取的流规则的优先级、匹配域和动作域字段信息。5.根据权利要求2所述的基于Hash-Trie的流规则冲突检测方法,其特征在于,所述步骤S4具体为:S41、确定需要进行匹配域匹配的优先级;其中,需要进行匹配域匹配的优先级包括与流规则R优先级相同的优先级和流规则存储结构中当前流表table_id下比流规则R优先级更高的优先级;S42、在步骤S41确定的优先级下,将流规则R与流规则存储结构中的13个匹配字段依次进行匹配;其中,13个匹配字段包括精确匹配字段和范围匹配字段;S43、判断匹配时流规则R的当前字段是精确匹配字段还是范围匹配字段,若是精确匹配字段,则进入步骤S44;若是范围匹配字段,则...
【专利技术属性】
技术研发人员:虞红芳,柴林博,章雨鹏,孙罡,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。