本发明专利技术公开一种基于FPGA的SDN网络策略合法性的验证方法,通过在应用平面和控制器平面中间加入基于FPGA计算设备的验证平面来验证SDN网络策略的合法性,利用FPGA并行处理和快速计算的优势,降低应用程序的身份验证时延,减少了控制器的计算负载,并在合法性的验证过程中对网络应用程序对控制器的信任度进行评估,有效的防止了恶意应用程序的网络策略对控制器的攻击,快速的验证SDN网络下发策略的合法性。法性。法性。
【技术实现步骤摘要】
一种基于FPGA的SDN网络策略合法性的验证方法
[0001]本专利技术涉及SDN(Software Defined Networking软件定义网络)
,具体涉及一种基于FPGA的SDN网络策略合法性的验证方法。
技术介绍
[0002]SDN是一种新型的网络架构,其将控制平面和转发平面分离,提供了网络的开放性和可编程性。随着网络规模的不断增大,SDN使用多个控制器将整个网络划分为多个域,每个控制器负责控制管理一个域的交换机,不仅能够降低每个控制器的负载,而且能够满足大规模流量处理需求。
[0003]在SDN中,操作人员通过应用程序以制定网络策略,通过控制器以流规则形式下发到底层交换设备中,网络数据包根据交换设备中的流表项进行转发处理,实现对应的网络策略。由于控制器开放了其北向接口,网络应用程序无论是否经过验证都可以向控制器发送网络策略,所以应用程序的网络策略的合法性需要控制器验证。此外,还需要在应用程序发送合法的网络策略过程中,避免攻击者窃听或篡改网络报文信息。为此,对应用程序制定的网络策略的合法性进行验证,能够防止恶意应用的非法的网络策略的执行,保障SDN网络的正确运行。
[0004]目前很多文献使用复杂的算法来保证网络策略的合法性,但在大量网络策略集中发送的情况下,控制器的计算负载和网络策略的合法性验证的时延非常大。随着网络规模的不断增大,迫切的需要一种合理的网络策略合法性验证方法,既能防止消息在传输过程中被篡改,也能够保证在较短的时间内完成网络策略的合法性验证。
技术实现思路
r/>[0005]本专利技术所要解决的是现有SDN网络策略合法性方法在面对大规模网络和大量网络策略集中发送的情况下存在时延大的问题,提供一种基于FPGA的SDN网络策略合法性的验证方法。
[0006]为解决上述问题,本专利技术是通过以下技术方案实现的:
[0007]一种基于FPGA的SDN网络策略合法性的验证方法,包括步骤如下:
[0008]步骤1、SDN网络的应用程序先将网络策略信息使用哈希算法生成信息摘要,并使用应用程序私钥对信息摘要进行加密生成数字签名;再将网络策略信息和数字签名封装为策略签名消息,并将策略签名消息通过基于FPGA计算设备的验证平面发送至SDN网络的控制器;
[0009]步骤2、基于FPGA计算设备的验证平面的FPGA计算设备接收应用程序发送至控制器的策略签名消息,解析并提取其网络策略信息和数字签名信息;
[0010]步骤3、FPGA计算设备先将网络策略信息使用与步骤1相同的哈希算法生成策略摘要信息,同时使用应用程序的公钥对数字签名信息解密得到签名摘要信息;再判断策略摘要信息和签名摘要信息是否相同:
[0011]如果两者相同,则认定应用程序发送到控制器的策略签名消息是完整的,并转至步骤4;
[0012]如果两者不相同,则认定应用程序发送到控制器的策略签名消息在传输过程中被篡改,并拒绝此次应用程序对控制器的访问请求;
[0013]步骤4、FPGA计算设备依据解密数字签名信息的公钥确定应用程序的身份,并查询应用程序对控制器的当前信任值:
[0014]若当前信任值高于设定的信任阈值,则认定应用程序通过验证,并转至步骤5;
[0015]若当前信任值低于等于设定的信任阈值,则认定应用程序未通过验证,拒绝此次应用程序对控制器的访问请求;
[0016]步骤5、FPGA计算设备依据其所存储的各控制器对不同应用程序的授予的权限集,对应用程序进行权限检查:
[0017]若权限检查通过,则将应用程序的网络策略信息发送至控制器执行,同时探测此次应用程序下发的网络策略对其他网络策略转发行为有无影响,以判定此次应用程序对控制器的访问行为是正常访问或非法访问,并将探测结果写入应用程序的行为记录中,并转至步骤6;
[0018]若权限检查未通过,则认定此次应用程序对控制器的访问为越权操作,并拒绝此次应用程序对控制器的访问请求;
[0019]步骤6:FPGA计算设备依据应用程序的行为记录对应用程序对控制器的当前信任值进行更新,即:当此次应用程序对控制器的访问行为是正常访问时,则令应用程序对控制器的当前信任值增加;当此次应用程序对控制器的访问行为是非法访问时,则令应用程序对控制器的当前信任值减少;
[0020]步骤7、FPGA计算设备将应用程序对控制器的当前信任值并发送至应用程序。
[0021]上述步骤5中,当应用程序下发的网络策略对其他网络策略转发行为无影响时,则判定此次应用程序对控制器的访问行为是正常访问;当应用程序下发的网络策略对其他网络策略转发行为有影响时,则判定此次应用程序对控制器的访问行为是非法访问。
[0022]上述步骤6,当前信任值的更新公式为:
[0023][0024]式中,表示更新前即第t次应用程序i对控制器j访问的信任值,表示更新后即第t+1次应用程序i对控制器j访问的信任值,f
t
为第t次返回的评估值,当第t次应用程序i对控制器j的访问是正常访问时,第t次返回的评估值f
t
为正值,当第t次应用程序i对控制器j的访问是非法访问时,第t次返回的评估值f
t
为负值。
[0025]上述方案中,每次返回的评估值f
t
的绝对值为固定值或可变值。
[0026]与现有技术相比,本专利技术通过在应用平面和控制器平面中间加入基于FPGA计算设备的验证平面来验证SDN网络策略的合法性,利用FPGA并行处理和快速计算的优势,降低应用程序的身份验证时延,减少了控制器的计算负载,并在合法性的验证过程中对网络应用程序对控制器的信任度进行评估,有效的防止了恶意应用程序的网络策略对控制器的攻击,快速的验证SDN网络下发策略的合法性。
附图说明
[0027]图1为基于FPGA的SDN网络策略合法性验证系统框架图。
[0028]图2为基于FPGA的SDN网络策略合法性验证方法流程图。
[0029]图3为应用程序网络策略的权限集示意图。
具体实施方式
[0030]为使本专利技术的目的、技术方案和优点更加清楚明白,以下结合具体实例,对本专利技术进一步详细说明。
[0031]参见图1,本专利技术通过在应用平面和控制器平面中间加入基于FPGA计算设备的验证平面来验证SDN网络策略的合法性,其所实现的一种基于FPGA的SDN网络策略合法性的验证方法,如图2所示,其具体包括步骤如下:
[0032]步骤1:SDN网络的应用程序先将网络策略信息使用MD5哈希算法计算生成信息摘要,并使用应用程序的私钥对信息摘要进行加密生成数字签名;SDN网络的应用程序先再将网络策略信息和数字签名封装为策略签名消息,并将策略签名消息通过基于FPGA计算设备的验证平面发送至SDN网络的控制器。
[0033]步骤2:基于FPGA计算设备的验证平面的FPGA计算设备接收应用程序发送至控制器的策略签名消息,解析并提取其网络策略信息和数字签本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于FPGA的SDN网络策略合法性的验证方法,其特征是,包括步骤如下:步骤1、SDN网络的应用程序先将网络策略信息使用哈希算法生成信息摘要,并使用应用程序私钥对信息摘要进行加密生成数字签名;再将网络策略信息和数字签名封装为策略签名消息,并将策略签名消息通过基于FPGA计算设备的验证平面发送至SDN网络的控制器;步骤2、基于FPGA计算设备的验证平面的FPGA计算设备接收应用程序发送至控制器的策略签名消息,解析并提取其网络策略信息和数字签名信息;步骤3、FPGA计算设备先将网络策略信息使用与步骤1相同的哈希算法生成策略摘要信息,同时使用应用程序的公钥对数字签名信息解密得到签名摘要信息;再判断策略摘要信息和签名摘要信息是否相同:如果两者相同,则认定应用程序发送到控制器的策略签名消息是完整的,并转至步骤4;如果两者不相同,则认定应用程序发送到控制器的策略签名消息在传输过程中被篡改,并拒绝此次应用程序对控制器的访问请求;步骤4、FPGA计算设备依据解密数字签名信息的公钥确定应用程序的身份,并查询应用程序对控制器的当前信任值:若当前信任值高于设定的信任阈值,则认定应用程序通过验证,并转至步骤5;若当前信任值低于等于设定的信任阈值,则认定应用程序未通过验证,拒绝此次应用程序对控制器的访问请求;步骤5、FPGA计算设备依据其所存储的各控制器对不同应用程序的授予的权限集,对应用程序进行权限检查:若权限检查通过,则将应用程序的网络策略信息发送至控制器执行,同时探测此次应用程序下发的网络策略对其他网络策略转发行为有无影响,以判定此次应用程序对控制器的访问行为是正常访问或非法访问,并将探测结果写入应用程序的行为记...
【专利技术属性】
技术研发人员:王勇,吴晓亮,刘玉明,
申请(专利权)人:桂林电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。