【技术实现步骤摘要】
一种基于FPGA的SDN网络策略合法性的验证方法
[0001]本专利技术涉及SDN(Software Defined Networking软件定义网络)
,具体涉及一种基于FPGA的SDN网络策略合法性的验证方法。
技术介绍
[0002]SDN是一种新型的网络架构,其将控制平面和转发平面分离,提供了网络的开放性和可编程性。随着网络规模的不断增大,SDN使用多个控制器将整个网络划分为多个域,每个控制器负责控制管理一个域的交换机,不仅能够降低每个控制器的负载,而且能够满足大规模流量处理需求。
[0003]在SDN中,操作人员通过应用程序以制定网络策略,通过控制器以流规则形式下发到底层交换设备中,网络数据包根据交换设备中的流表项进行转发处理,实现对应的网络策略。由于控制器开放了其北向接口,网络应用程序无论是否经过验证都可以向控制器发送网络策略,所以应用程序的网络策略的合法性需要控制器验证。此外,还需要在应用程序发送合法的网络策略过程中,避免攻击者窃听或篡改网络报文信息。为此,对应用程序制定的网络策略的合法性进行验证,...
【技术保护点】
【技术特征摘要】
1.一种基于FPGA的SDN网络策略合法性的验证方法,其特征是,包括步骤如下:步骤1、SDN网络的应用程序先将网络策略信息使用哈希算法生成信息摘要,并使用应用程序私钥对信息摘要进行加密生成数字签名;再将网络策略信息和数字签名封装为策略签名消息,并将策略签名消息通过基于FPGA计算设备的验证平面发送至SDN网络的控制器;步骤2、基于FPGA计算设备的验证平面的FPGA计算设备接收应用程序发送至控制器的策略签名消息,解析并提取其网络策略信息和数字签名信息;步骤3、FPGA计算设备先将网络策略信息使用与步骤1相同的哈希算法生成策略摘要信息,同时使用应用程序的公钥对数字签名信息解密得到签名摘要信息;再判断策略摘要信息和签名摘要信息是否相同:如果两者相同,则认定应用程序发送到控制器的策略签名消息是完整的,并转至步骤4;如果两者不相同,则认定应用程序发送到控制器的策略签名消息在传输过程中被篡改,并拒绝此次应用程序对控制器的访问请求;步骤4、FPGA计算设备依据解密数字签名信息的公钥确定应用程序的身份,并查询应用程序对控制器的当前信任值:若当前信任值高于设定的信任阈值,则认定应用程序通过验证,并转至步骤5;若当前信任值低于等于设定的信任阈值,则认定应用程序未通过验证,拒绝此次应用程序对控制器的访问请求;步骤5、FPGA计算设备依据其所存储的各控制器对不同应用程序的授予的权限集,对应用程序进行权限检查:若权限检查通过,则将应用程序的网络策略信息发送至控制器执行,同时探测此次应用程序下发的网络策略对其他网络策略转发行为有无影响,以判定此次应用程序对控制器的访问行为是正常访问或非法访问,并将探测结果写入应用程序的行为记...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。