【技术实现步骤摘要】
一种云环境下SDN网络状态一致性验证方法
本专利技术涉及云环境下虚拟网络安全
,尤其是涉及一种云环境下SDN网络状态一致性验证方法。
技术介绍
软件定义网络(SoftwareDefinedNetworking,SDN)是一种将数据平面与控制平面解耦合,在逻辑上实现集中控制和管理的新型网络架构。SDN的出现为管理云环境下大规模虚拟网络提供了一种有效的解决方案。SDN中一个重要的挑战是保障高层定义的网络功能与底层转发设备配置的一致性,即保证控制层配置的网络功能和策略在转发层得到了相应的实现。SDN是典型的流规则驱动型网络,流规则的合法性和一致性是保证SDN正常且有效运行的基础,由于转发层的网络设备对控制器下发的流规则完全信任,一旦由恶意应用程序提供的流规则或被恶意攻击更改的流规则被执行,将使SDN的安全性面临严重威胁。因此,对流规则的合法性和一致性进行检查,防止恶意和非法流规则的扩散,并确保流规则的正确下发和执行对SDN的安全运行至关重要。在SDN网络状态更新的整个过程中,依次会面临控制器错误网络视图、流规则与安全规则冲突以及流表分布式拒绝服务(DDoS)攻击或...
【技术保护点】
1.一种云环境下SDN网络状态一致性验证方法,其特征在于,包括以下步骤:步骤1:通过控制器全局网络视图获取当前网络中虚拟机的IP‑MAC绑定信息、网络拓扑状态、交换机链路连接及端口信息,将这些信息解析形成约束空间;调用应用程序编程接口获取网络中的安全策略,解析形成安全空间;步骤2:控制器收到流规则请求消息Packet‑In时,提取请求数据包中的元数据与约束空间进行对比,如果有冲突,则控制器拒绝该请求;步骤3:约束空间验证通过后,控制器计算请求数据包的转发路径,在流规则下发前将转发路径信息与安全空间进行对比验证,验证请求的转发路径是否与网络当前的安全策略有冲突,有冲突则验证不...
【技术特征摘要】
1.一种云环境下SDN网络状态一致性验证方法,其特征在于,包括以下步骤:步骤1:通过控制器全局网络视图获取当前网络中虚拟机的IP-MAC绑定信息、网络拓扑状态、交换机链路连接及端口信息,将这些信息解析形成约束空间;调用应用程序编程接口获取网络中的安全策略,解析形成安全空间;步骤2:控制器收到流规则请求消息Packet-In时,提取请求数据包中的元数据与约束空间进行对比,如果有冲突,则控制器拒绝该请求;步骤3:约束空间验证通过后,控制器计算请求数据包的转发路径,在流规则下发前将转发路径信息与安全空间进行对比验证,验证请求的转发路径是否与网络当前的安全策略有冲突,有冲突则验证不通过,控制器不下发流规则,并向管理员发出恶意请求告警;步骤4:若约束空间验证和安全空间验证都通过,则控制器向转发层下发流规则,同时将流转发路径和根据流转发路径计算出的流转发路径标签存储在流路径表中,存储格式为<header,path(f),tag(f)>,其中header为流f请求的数据包包头信息,path(f)是解析出的流f的路径端口序列,tag(f)是根据路径端口序列计...
【专利技术属性】
技术研发人员:陈兴蜀,王小艳,朱毅,王毅桐,滑强,蔡顺婉,
申请(专利权)人:四川大学,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。