【技术实现步骤摘要】
一种基于路径跟踪反馈的SDN网络可信路由调度方法
[0001]本专利技术属于可信网络
,特别是一种基于路径跟踪反馈的SDN网络可信路由调度方法。
技术介绍
[0002]互联网作为一个庞大的系统工程,聚集了难以计数的软件与硬件系统,任何网络设备存在的软硬件缺陷都有可能为攻击者提供可乘之机,从而给整个网络带来安全风险。同时,传统网络受制于分布式网络体系架构,网络设备的正常运行依赖于网络管理人员逐个的检查调试,网络组件之间的协作性较差。当网络遭受攻击或发生故障时,由于其缺少全局统一调度的管控机制,往往难以迅速准确地做出反应。
[0003]SDN(Software Defined Network,软件定义网络)凭借可编程和集中管理的优点,近年来在网络各个领域的应用中得到广泛认可,被认为是下一代互联网的核心技术之一。通过明确分离控制平面和数据平面,取代传统网络设备数据与控制的耦合机制,实现了对网络的集中控制,并以软件可编程的形式向上层应用提供接口。网络管理员可以自定义网络路由和传输规则策略,借助逻辑集中的控制器为数据平面的转发设备下发转发规则,加快了新网络服务的部署和开发,能够有效解决传统网络架构在可靠性、扩展性和灵活性方面存在的许多问题。
[0004]目前,基于SDN的研究与应用主要集中在借助控制平面的全局视野和可编程性实现对数据平面的灵活调度,而忽略了SDN中潜在的安全威胁,默认数据平面中的网络设备是可信任的,它们能够正确执行指定的网络转发策略。虽然SDN网络架构在发展过程中考虑了安全问题,但大多数S ...
【技术保护点】
【技术特征摘要】
1.一种基于路径跟踪反馈的SDN网络可信路由调度方法,其特征在于,所述方法包括以下步骤:步骤1,SDN控制器通过LLDP链路层发现协议发现并收集网络拓扑信息,基于路径跟踪反馈机制收集并更新SDN交换机的信任信息,包括各SDN交换机正确校验反馈的次数与转发校验信息的总次数信息;步骤2,根据步骤1得到的网络拓扑信息,SDN控制器计算源—目的节点对之间的所有可行路径并进行路径长度升序排序,得到可行路径集;步骤3,根据步骤1得到的SDN交换机信任信息,SDN控制器执行基于路径跟踪反馈的不相交多路径可信路由算法,从可信路径集中计算满足可信度要求的路径并基于路径跟踪反馈的方式校验其是否可信,若不可信,则根据更新后的SDN交换机信任信息重新进行路径计算与校验,直到得到两条通过可信校验的不相交路径;步骤4,根据源—目的节点对之间用于传输的两条不相交路径,SDN控制器对其进行可信评估,若两条路径均能满足可信度值大于可信度阈值,则采用并行转发的方式传输;否则,采用复制转发的传输方式;步骤5,SDN控制器将传输路径及传输方式这些路由信息,下发给SDN交换机,以进行数据可信转发。2.根据权利要求1所述的基于路径跟踪反馈的SDN网络可信路由调度方法,其特征在于,步骤1中基于路径跟踪反馈机制更新SDN交换机信任信息,具体过程包括:步骤1
‑
1,SDN控制器获取某次PACKET_IN消息传递的路由请求头部信息,并为其计算得到一条由若干个SDN交换机组成的待校验路径path;步骤1
‑
2,SDN控制器为所述待校验路径path中的每个SDN交换机计算对应的转发规则,同时在转发规则对应的匹配动作中添加向SDN控制器复制发送探测数据包的反馈动作,以流表的形式将转发规则下发到对应SDN交换机中;步骤1
‑
3,SDN控制器根据PACKET_IN消息传递的路由请求头部信息中的五元组信息实时计算相应的探测信息MSG
verify
,计算公式为:MSG
verify
=HASH(Header||Timestamp)式中,符号||表示连接;HASH是密码哈希函数;Header是路由请求头部包含的五元组信息;Timestamp是计算探测信息的时间戳,用于防止重放攻击;所述五元组信息包括源/目标IP、源/目标端口号和传输协议;步骤1
‑
4,SDN控制器向所述待校验路径path发送匹配对应流表规则且带有探测信息MSG
verify
的探测数据包用于实现路径跟踪反馈机制;步骤1
‑
5,SDN控制器收集所述待校验路径path反馈的探测数据包进行校验,若SDN交换机均能按序反馈探测数据包且携带的探测信息MSG
verify
与下发内容一致,则该待校验路径path被认为是可信的,各SDN交换机正确校验反馈的次数与转发校验信息的总次数均自增1,否则定位首个未反馈探测数据包或反馈的探测信息MSG
verify
与下发内容不一致的SDN交换机s
i
,将待校验路径path中位于s
i
之前的SDN交换机正确校验反馈的次数与转发校验信息的总次数均自增1,并且将s
i
的转发校验信息的总次数增加1。3.根据权利要求1或2所述的基于路径跟踪反馈的SDN网络可信路由调度方法,其特征在于,步骤3中所述基于路径跟踪反馈的不相交多路径可信路由算法,具体过程如下:
步骤3
‑
1,读取步骤1使用SDN控制器收集的网络拓扑信息、SDN交换机节点的正确校验反馈次数和转发校验信息的总次数信息;步骤3
‑
2,计算网络中当前所有SDN交换机节点的可信度值并计算平均值r
avg
,计算公式为:式中,N是网络中SDN交换机节点总数,r
i
表示SDN交换机s
i
的可信度值;步骤3
‑
3,按序遍历步骤2得到的可行路径集Paths中的每条路径,搜索首次路径可信度值C
path
大于等于路径可信度阈值的路径path,若找到,则跳转到步骤3
‑
5;步骤3
‑
4,挑选可行路径集Paths中路径可信度值C
path
最高的路径path作...
【专利技术属性】
技术研发人员:庄毅,高枫,顾晶晶,彭飞,
申请(专利权)人:南京航空航天大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。