基于密碼標識的SDN安全控制轉發方法

秦晰，唐國棟，常朝穩,2

?

基于密碼標識的SDN安全控制轉發方法

秦晰1，唐國棟1，常朝穩1,2

（1. 信息工程大學三院，河南 鄭州 450001；2. 鄭州信大先進技術研究院，河南 鄭州 450001）

針對軟件定義網絡（SDN, software defined networking）中匹配域范圍有限和缺乏有效的數據來源驗證機制問題，提出基于密碼標識的SDN安全控制轉發方法。首先，根據用戶身份、文件屬性或業務內容等特征信息生成密碼標識，為數據流打上密碼標識并用基于密碼標識的私鑰簽名。其次，在其進出網絡時驗證簽名，確保數據的真實性，同時將密碼標識設計為轉發設備能識別的匹配項，基于密碼標識定義網絡轉發行為，形成基于人、物、業務流等細粒度網絡控管能力。最后，通過實驗分析驗證該方法的有效性。

軟件定義網絡；密碼標識；安全控制轉發；流表匹配

1 引言

軟件定義網絡[1]是由美國斯坦福大學提出的一種邏輯控制和數據轉發分離的新型網絡架構[2]，被稱為未來網絡的重要發展方向。其集中管理和開放可編程等特性有效簡化網絡管理工作，可為用戶提供個性的定制化服務，但降低了對SDN的攻擊門檻，給其帶來一系列安全威脅與挑戰[3]。目前，針對SDN中存在的安全問題已有一些解決方案[4~7]，但轉發設備流表匹配時缺乏有效數據來源驗證機制，不能有效監測數據分組偽造等攻擊行為且攻擊者可對其行為否認，此外，現有的OpenFlow協議只能根據網絡前4層特征信息控制數據轉發行為，控制粒度有限，難以滿足網絡業務精確控制的需求。

結合SDN的特點，研究網絡空間密碼標識理論與技術，提出一種基于密碼標識的SDN安全控制轉發方法，在數據分組進出網絡時對其來源進行驗證，確保用戶的不可否認性和數據分組的真實性，基于密碼標識控制數據轉發，從應用層、控制層和數據層全方位進行網絡流的安全控制，形成基于人、物、業務流等細粒度網絡控管能力，為實現SDN數據流的安全控制轉發提供一種有效方法。

2 相關工作

流表匹配時，現有2種解決方案驗證數據的來源，防止數據分組偽造。一種解決思路是在控制器開發安全模塊，由控制器直接進行實時監控和檢測。Yao等[8]提出VAVE安全框架，在控制器中嵌入源地址驗證模塊，由控制器過濾偽造地址，實現敏捷靈活的源地址驗證操作；Casado等[9]提出Ethane架構，通過中央控制器向基于流的以太網交換機下發策略，統一管理流的準入，并由控制器完成對主機入網和用戶入網的認證；Shin等[10]提出一種面向SDN控制器的可組合安全模塊開發框架FRESCO，在SDN控制器中加入一個安全模塊，允許網絡管理人員創建新的模塊化庫，整合和擴展安全功能，使用SDN控制器、硬件控制和管理流量，快速實現部署多個通用網絡安全功能，可替代防火墻和IDS等檢測工具。然后在控制器開發安全模塊，由控制器直接進行實時監控和檢測會增加控制器負擔，增大控制器遭受DDoS攻擊的概率。另一種解決思路是依托SDN架構，將SDN交換機作為數據分組攔截或重定向平臺，根據網絡安全態勢將網絡流量重定向到安全設備中進行檢測和監控。Ballard等[11]提出OpenSAFE，研究在大規模網絡中通過SDN交換機線速重定向網絡流量，將流路由到監測設備進行安全檢查；Wundsam等[l2]提出的OFRewind也實現了類似功能，并支持多種粒度，而不僅是對整個OpenFlow進行記錄；Shin等[13]提出了一種云環境下的SDN流量監控方法CloudWatcher，將網絡流量自動導入相應的安全設備，以實現必要的網絡分組檢查。然而利用SDN將流量重定向到安全設備實現數據來源驗證復雜，需要綜合考慮安全設備的位置、不同安全設備的協作水平和SDN流量控制的粒度等多方面因素。其中主要是SDN流量控制粒度，但目前SDN支持的匹配字段僅限于網絡前4層中一些常用的協議，控制粒度有限[14]。當安全設備檢測出攻擊者的分組特征，由于攻擊者偽造的分組與合法分組的頭部前4層一樣，SDN不能區分攻擊者與合法者的分組，若將符合攻擊者分組特征的分組全部丟棄或交由安全設備篩選都會影響合法者分組的正常傳輸。因此，目前缺乏一種實用數據來源驗證機制且SDN控制粒度有限。

為解決上述問題，將密碼標識引入SDN，提出一種基于密碼標識的SDN安全控制轉發方法，利用密碼標識的3個屬性確保數據流在SDN中安全控制轉發。其主要有3個方面貢獻。1) 根據用戶身份、文件屬性或業務內容等特征信息生成密碼標識，基于密碼標識定義網絡行為，形成基于人、物、業務流等細粒度網絡控管能力。2) 使用SDN交換機驗證數據來源，確保上傳給SDN控制器的分組都是真實的，減少控制器遭受DDoS攻擊的概率。3) 在網絡的入口與出口驗證基于密碼標識的簽名，確保目的設備收到的都是真實且未篡改的分組。

3 基于密碼標識的SDN安全控制轉發方法

3.1 基本原理

針對匹配域范圍有限、不能滿足網絡業務精確控制的需求和轉發設備流表匹配時缺乏有效的數據來源驗證機制等問題，為確保數據的真實性，滿足網絡業務精確控制需求，提出基于密碼標識的SDN安全控制轉發方法，利用密碼標識的3個屬性來保證數據流的安全控制轉發。密碼標識的3個屬性分別指身份屬性、標簽屬性和密碼屬性。身份屬性指密碼標識與重要對象的身份綁定，可通過密碼標識驗證其身份，利用該屬性，根據用戶、設備、文件等重要對象的特征信息設計密碼標識；標簽屬性指可根據密碼標識進行數據轉發，利用該屬性，將密碼標識作為轉發設備能識別的匹配項，基于密碼標識定義網絡轉發行為；密碼屬性指可通過密碼標識鑒別數據真實性，利用該屬性，在數據分組進出網絡時驗證密碼標識，確保用戶的不可否認性和數據的真實性。3種屬性相輔相成，共同構建基于密碼標識控制網絡的安全防護體系。

3.2 體系結構

如圖1所示，該體系結構由密碼標識和密鑰管理中心、應用層、控制層和數據轉發層4個部分組成。在密碼標識和密鑰管理中心的支持下，上層應用可根據密碼標識制訂控制策略，控制層中的控制器將控制策略編譯為流規則并下發給數據轉發層中的轉發設備，轉發設備根據收到的流規則進行匹配和轉發數據流，從應用層、控制層和數據層全方位進行網絡流的安全控制，從而實現粒度更細的安全控制轉發。

圖1 體系結構

3.2.1 密碼標識和密鑰管理中心

負責密碼標識和密鑰的管理工作，主要是審核申請者身份、管理密碼標識、根據密碼標識生成公私鑰對和制作并分發ID證書。同時，將新生成、剛更新、剛注銷的密碼標識同步到控制器的密碼標識數據庫中。其中，ID證書包括密碼標識、私鑰、有效期和安全域等信息。

3.2.2 基于密碼標識的控制層

控制層中的控制器是整個網絡邏輯控制的核心，通過收集整個網絡的信息資源形成全網拓撲，同時通過南向通道實現對轉發設備的管控和配置。控制器的主要功能模塊有密碼標識鑒別模塊、密碼標識映射模塊、流規則生成模塊、密碼標識數據庫等。重點研究密碼標識鑒別模塊和密碼標識映射模塊。

密碼標識鑒別模塊主要負責鑒別密碼標識的有效性。通過與密碼標識數據庫交互，建立密碼標識黑名單，并通過查詢未匹配的密碼標識是否處于黑名單中判斷其有效性，防止失效的密碼標識進出網絡。

密碼標識映射模塊通過隨機散列算法建立密碼標識映射表，并在數據分組進出網絡時通過查詢密碼標識映射表對密碼標識進行映射與逆映射。密碼標識映射與逆映射的相互轉換，實現密碼標識的透明傳輸，防止其成為網絡攻擊的靶子。

密碼標識數據庫負責存儲全網密碼標識信息。

流規則生成模塊主要負責控制策略編譯成流規則并下發給底層的轉發設備。

3.2.3 基于密碼標識的數據轉發層

數據轉發層主要由轉發設備組成，可分為接入轉發設備和中心轉發設備，其中，接入轉發設備指位于骨干網與接入網之間的轉發設備，中心轉發設備指位于骨干網中的轉發設備。

接入轉發設備主要由數據鑒別模塊和流表匹配模塊2個部分組成。數據鑒別模塊通過驗證密碼標識的簽名鑒別數據真實性，防止非法的數據分組進出網絡；流表匹配模塊通過流表匹配的方式驗證密碼標識有效性，完成密碼標識映射與逆映射的相互轉換，將合法的數據流轉發到指定位置。

中心轉發設備只有流表匹配模塊，且該模塊直接匹配和轉發收到數據流。

以用戶U訪問服務器1為例，分析在該方法下的網絡通信過程，如圖2所示。其中，用戶U默認為已收到ID證書。

3) 中心轉發設備收到數據分組后，直接進行匹配與轉發。

3.3 實現方案

圖2 基于密碼標識的SDN通信流程

由于組合公鑰密碼體制（CPK, combined public key cryptosystem）具有密鑰產生規模化、計算速度快、認證效率高、認證流程相對簡單等特點，采用CPK v8.0[15]設計密碼標識和密鑰管理中心，為申請者分配密碼標識，根據密碼標識生成相應的公私鑰對；當數據分組進出網絡時，設計數據鑒別模塊驗證基于密碼標識的簽名，確保終端用戶的不可否認性和數據分組的真實性；將密碼標識設計為轉發設備能識別的匹配項，并結合SDN流表匹配特點，重新設計流表匹配模塊，通過流表匹配的方式鑒別密碼標識的有效性，在數據分組進入網絡時將密碼標識轉換成其映射值，在數據分組離開網絡時將密碼標識還原成初始值，實現密碼標識透明傳輸，如果流表匹配失敗，交由控制器處理。

3.3.1 密碼標識和密鑰管理

密碼標識和密鑰管理中心負責管理密碼標識，結合CPK v8.0，根據密碼標識生成相應的公私鑰對，生成與分發ID證書。

1) 管理密碼標識

密碼標識的管理是指密碼標識生成、更新和注銷全周期的管理。其中，密碼標識是根據用戶的身份、文件的屬性或業務的內容等特征信息生成，包括編號、申請人姓名、特征信息、安全域、有效期等內容；密碼標識的更新是指更新密碼標識中除了特征信息以外的其他內容，如角色、安全域、有效期等；密碼標識的注銷是指將密碼標識中所有內容注銷。同時，將新生成、剛更新、剛注銷密碼標識信息同步到控制器的密碼標識數據庫中。

2) 生成組合密鑰

基于橢圓曲線上離散對數難題的數學原理構建公私鑰矩陣，采用散列函數與密碼變換將密碼標識映射為矩陣的行坐標與列坐標序列，選取并組合矩陣中元素，生成數量巨大的公私鑰對。具體步驟如下。

密碼標識的組合公鑰由各網絡實體自行計算為

3) ID證書的生成與分發

密碼標識和密鑰管理中心將密碼標識、私鑰、公鑰查詢函數、有效期、配置信息等內容制成ID證書，通過安全信道或媒介發送給申請者。

3.3.2 數據真實性鑒別

數據鑒別模塊通過驗證數據分組中的簽名，檢驗數據分組的真實性和完整性，防止偽造或遭篡改的數據分組進出網絡，從網絡攻擊的源頭入手，限制網絡安全風險范圍。具體的處理流程如圖3所示。

圖3 數據鑒別模塊的處理流程

3.3.3 基于密碼標識的流表匹配

將密碼標識設計為流表匹配模塊能識別的匹配項，增加一個轉換動作用于密碼標識的映射與逆映射，并基于多級流表設計了多級流表流水線處理流程，可通過流表匹配的方式鑒別密碼標識的有效性，完成密碼標識的映射與逆映射的相互轉換，將合法的數據流轉發到指定位置。

1) 流規則的基本結構

結合OpenFlow v1.3協議，采用TLV格式，將匹配域中實驗字段OFPXMC_EXPERIMENTER擴展為密碼標識ID；修改OpenFlow協議中Flow-Mod消息體，使匹配域包含密碼標識ID的流規則可被接入轉發設備和中心轉發設備識別并無排斥的插入在相應流表中。然后自定義新動作——轉換，作用是將密碼標識轉換為映射值，或將密碼標識映射值轉換為原始值；修改OpenFlow協議中Flow-Mod消息體，使接入轉發設備能夠解析該動作并寫入動作庫。因此，本文使用南向協議是兼容OpenFlow1.3協議，支持現有的OpenFlow1.3協議的控制器可以與接入轉發設備和中心轉發設備正常通信，但該控制器不能下發匹配域包含密碼標識ID的流規則。通過將密碼標識ID自定義新的匹配項，添加一個轉換動作，形成新的流規則結構，具體如圖4所示。

圖4 流規則結構

2) 端口分類

接入轉發設備是數據流進出網絡的門戶，當數據流到達接入轉發設備時，共有3種流向：1) 從源終端接收后直接轉發到目的終端；2) 從源終端接收后再轉發到網絡中；3) 從網絡中接收后再轉發到目的終端。不同流向的數據流其流表匹配方式存在差異，如從源終端接收的數據流無須進行密碼標識映射直接轉發到目的終端。為識別不同數據流的流向，對端口分類，如圖5所示。

圖5 轉發設備的端口分類

接入轉發設備的端口主要分為接入端口、路由端口、鑒別端口和控制端口，其中，接入端口指與終端相連的端口，路由端口指與轉發設備相連的端口，鑒別端口指與數據鑒別模塊相連的端口，控制端口指與控制器相連的端口。而中心轉發設備的端口主要分為路由端口和控制端口。因此，數據流的不同流向可通過端口來描述，共有3種類型：①從接入端口進從接入端口出；②從接入端口進從路由端口出；③從路由端口進從接入端口出。類型①對應從源終端接收后直接轉發到目的終端；類型②對應從源終端接收后再轉發到網絡中；類型③對應從網絡中接收后再轉發到目的終端。

轉發設備在與控制器開始建立連接時，通過OFPT_MULTIPART_REPLY向控制器發送端口分類信息，如哪些端口屬于接入端口，哪些端口屬于路由端口，哪些端口屬于鑒別端口等，方便控制器識別不同數據流向，正確下發流規則。當端口分類信息發生變化，轉發設備通過OFPT_PORT_MOD主動向控制器報告端口分類變更情況。

3) 多級流表流水線處理

由于不同流向的數據流處理方式存在差異，基于多級流表提出多級流表流水線處理流程，根據入端口的類型為不同流向的數據流選擇合適的處理方式，通過流表匹配的方式鑒別密碼標識的有效性，通過流表匹配的方式實現密碼標識的透明傳輸，若流表匹配失敗，交由控制器處理。

如圖6所示，將接入轉發設備的多級流表分為端口表、密碼標識鑒別表、密碼標識映射表和基本轉發表4類。端口表根據入端口的類型決定數據流的處理方式，其中，入端口類型包括接入端口、鑒別端口、路由端口3種類型；密碼標識鑒別流表用于鑒別密碼標識的有效性，其匹配項為失效的密碼標識，若匹配成功表明該密碼標識已失效；密碼標識映射流表用于密碼標識的映射和逆映射；基本轉發流表用于匹配轉發收到的數據流。具體流程如圖7所示。

圖6 多級流表流水線處理流程

流表匹配模塊收到數據流后，首先匹配端口表，根據入端口類型決定數據流的處理方式。若入端口類型為接入端口，其流表匹配處理過程如下。

① 將元數據設置為01，再將數據流轉發到數據鑒別模塊進行密碼標識真實性鑒別。

② 數據鑒別模塊將通過鑒別的數據流返回給流表匹配模塊。

③ 再次匹配端口表，若匹配項為鑒別端口且元數據為01，將該數據流轉發到密碼標識鑒別表。

④ 匹配密碼標識鑒別表。若匹配成功，丟棄該類型的數據流，表明其攜帶的密碼標識已失效，否則，轉發到密碼標識映射流表。

⑤ 匹配密碼標識映射表。若匹配成功，按指令對該數據流進行相應的處理，若指令為直接轉發到基本轉發表，表明該數據流的流向是從接入端口進從接入端口出，若指令為將密碼標識轉化為映射值，再轉發到基本轉發流表，表明該數據流的流向是從接入端口進從路由端口出；若匹配失敗，將該數據流的首包封裝到Packet-In再交由到控制器處理。

⑥匹配基本轉發表，按匹配成功的指令進行相應的處理。

⑦控制器收到未匹配的數據分組后，會根據處理結果會下發相應的流規則指示接入轉發設備如何對其進行處理。

若入端口類型為路由端口，表明該數據流的流向是從路由端口進從接入端口出，其數據分組處理過程如下。

①將元數據設置為10，再將數據流轉發到密碼標識映射表。

②匹配密碼標識映射表，根據匹配結果進行相應的密碼標識逆映射，再將數據流轉發到數據鑒別模塊進行密碼標識真實性鑒別。

③數據鑒別模塊將通過鑒別的數據流返回給流表匹配模塊。

④再次匹配端口表，根據匹配項為入端口類型為鑒別端口且元數據為10，將該數據流轉發到基本轉發表。

⑤匹配基本轉發表，按匹配成功的指令對該數據流進行相應的處理。

中心轉發設備的流表匹配模塊與一般的SDN交換機的匹配方式相似，直接進行匹配轉發即可，這里不再贅述。

3.3.4 控制器流規則生成

在流表匹配過程中，控制器負責處理未匹配成功的數據流，通過密碼標識鑒別模塊鑒別標識的有效性，通過密碼標識映射模塊將密碼標識進行轉換，通過流規則生成模塊為其生成相應的流規則，并下發到相關的轉發設備中。

1) 密碼標識鑒別模塊

為防止失效的密碼標識進入網絡，在控制器中開發密碼標識鑒別模塊，通過與密碼標識數據庫進行交互，將失效的密碼標識放入黑名單，監聽密碼標識數據庫更新，并隨時更新黑名單內容。通過檢驗密碼標識是否處于黑名單來判斷其有效性，若處于黑名單中，通知流規則生成模塊下發相應的流規則拒絕所有帶有該密碼標識的數據流進入網絡，否則交由密碼標識映射模塊做進一步處理。

圖7 流表匹配的處理流程

2) 密碼標識映射模塊

為實現密碼標識的透明傳輸，防止其成為網絡攻擊的靶子，在控制器中開發密碼標識映射模塊，通過隨機散列算法建立密碼標識映射表，為密碼標識查找其映射值，若查找失敗，該模塊為其生成映射值，同時存儲該映射關系，方便再次處理相同的密碼標識。

3) 流規則生成模塊

流規則生成模塊主要將控制策略轉化為轉發設備能識別的流規則并下發給相應的轉發設備，其下發的流規則分為預置流規則和實時流規則。

端口表中的流規則為預置流規則，當控制器收集完端口分類信息后，該模塊根據入端口類型主動下發流規則到各接入轉發設備的端口表中，決定數據流處理方式。

密碼標識鑒別表中的流規則為實時流規則，該模塊根據密碼標識鑒別模塊提供的密碼標識失效策略下發流規則到指定接入轉發設備的密碼標識鑒別表中。

密碼標識映射表中的流規則為實時流規則，該模塊根據密碼標識映射模塊提供的密碼標識映射與逆映射策略和數據流的流向下發相應的流規則到指定接入轉發設備的密碼標識映射表中。針對不同的數據流向，設計映射選擇算法決定下發何種類型映射流規則。具體步驟如算法1所示。

算法1 映射選擇算法

輸出 映射流規則

1) if&&?

2) 生成動作為直接轉發到基本轉發表的流規則

3) if&&?

4) 生成動作為密碼標識映射并轉發到基本轉發表的流規則

5) else

6) 生成動作為密碼標識逆映射并轉發到數據鑒別模塊的流規則

基本轉發表中的流規則為實時流規則，該模塊調用全網視圖（拓撲視圖和資源視圖）和結合應用層下發的相應控制策略最優化選取源地址到目的地址的路徑，并下發流規則到指定轉發設備的基本轉發表中。

4 仿真實驗與分析

4.1 實驗環境

實驗分別使用6臺配置為i7-7700 CPU，16 GB內存，8網卡的聯想A8800t搭載OpenDaylight控制器和Open vSwitch（簡稱OVS），8臺揚天M4000e作為終端主機。實驗拓撲如圖8所示，OVS e1~e2充當接入轉發設備，OVS a1~a3充當中心轉發設備，h1~h8充當終端主機。

圖8 實驗拓撲

4.2 有效性驗證

為驗證所提方法的有效性，設計了3個實驗。實驗1用于驗證該方法能否鑒別密碼標識的真實性和有效性以及密碼標識映射轉換情況，實驗2用來驗證該方法能否基于密碼標識定義網絡轉發行為，實驗3用來驗證映射選擇算法的有效性。

4.2.1 不同數據分組訪問網絡

從圖9可知，OVS e1數據分組到達數目約為OVS a1的4倍，同時通過查看e1、e2和a1中流規則的情況發現：1) e1中增加了2條流規則，一是將h2的數據分組丟棄，另一個是將h1的數據分組的密碼標識進行轉換；2) a1中無密碼標識相關的流規則；3) e2中增加了一條流規則，內容為將e1中轉換的密碼標識還原成初始值，然后，使用wireshark在OVS a1抓取分組得出絕大多數IP分組來源于h1，原因在于接入轉發設備能夠識別密碼標識是否失效，通過流表匹配將失效的密碼標識丟棄，將有效的密碼標識進行轉換并在數據分組到達目的地址前將轉換的密碼標識還原成初始值，同時接入轉發設備還能拒絕未攜帶密碼標識或遭到篡改的數據分組進入網絡。

圖9 接入轉發設備e1的數據分組到達統計

4.2.2 基于密碼標識的控制轉發

圖10 中心轉發設備a3的端口流量統計

從圖10可知，a3-eth2和a3-eth3端口流量大致相同，a3-eth1端口流量約為a3-eth2和a1-eth3的3倍。然后，通過查看端口連接情況，得知：1) a3-eth1與a1相連；2) a3-eth2與a2相連；3) a3-eth3與e2相連。再通過wireshark在a2和e2上進行分組抓取，得知：1) a2收到數據分組攜帶用戶B的密碼標識；2) e2收到數據分組攜帶用戶C的密碼標識。原因在于，密碼標識與用戶的身份綁定，控制器可基于密碼標識為不同的用戶制定不同的轉發策略。

4.2.3 映射選擇算法有效性驗證

為驗證接入轉發是否能根據數據流的流向選擇不同的處理方式，通過h1 ping h2模擬流向為從接入端口進、從接入端口出的數據流，通過h1 ping h8模擬流向為從接入端口進、從路由端口出和從路由端口進、從接入端口出的數據流。

4.3 性能分析

通過實驗分析轉發設備的處理時延與控制器的CPU利用率，計算增加的相關模塊對轉發設備和控制器的影響。

4.3.1 轉發設備的處理時延

在主機h1和h2上分別使用hping3向網絡持續注入合法的數據分組，數據分組發送速率分別為50 Mbit/s、100 Mbit/s、150 Mbit/s、200 Mbit/s、250 Mbit/s、300 Mbit/s、350 Mbit/s、400 Mbit/s、450 Mbit/s、500 Mbit/s，數據分組的源地址、目的地址、源端口、目的端口均不重復（通過hping3命令參數設置）。在不同場景下，分別測試接入轉發設備、中心轉發設備和正常的OVS在不同數據分組發送速率的處理時延，重復10次，每次實驗取最高結果，再把10次實驗數據取平均，實驗結果如圖11所示。其中，各轉發設備都已預置了相關流規則可直接匹配轉發。

圖11 轉發設備的處理時延

4.3.2 控制器的CPU利用率

測試多種情況下原版OpenDaylight控制器和二次開發的OpenDaylight控制器在CPU利用率上的差異，在主機h1上使用hping3向網絡持續注入合法的數據分組，數據分組的源地址、目的地址、源端口、目的端口均不重復（通過hping3命令參數設置）。每種情形進行了10次重復實驗，每次實驗取最高結果，再把10次實驗數據取平均，測試結果如圖12所示。

由圖12可知，在不同情形下實驗使用的OpenDaylight控制器的CPU占用率比原版OpenDaylight控制器略高，但兩者差異不是很大，在可接受的范圍內。

5 結束語

針對匹配域范圍有限、不能滿足網絡業務精確控制的需求和轉發設備流表匹配時缺乏有效的數據來源驗證方法等問題，融合軟件定義網絡和網絡空間密碼標識技術，利用密碼標識的3個屬性，設計基于密碼標識的SDN安全控制轉發方法，在數據流進出網絡時對其來源進行驗證，限制網絡安全風險范圍，根據密碼標識定義網絡轉發行為，能夠對網絡進行靈活的動態規劃和管理，形成基于人、物、業務流等細粒度網絡管控能力。未來的工作將研究基于密碼標識的控制策略的快速編譯與執行問題，進一步驗證所提方法的可擴展性。

圖12 控制器的CPU占用率

[1] MCKEOWN N. Software-defined networking[C]//IEEE International Conference on Computer Communications. 2009: 30-32.

[2] 左青云, 陳鳴, 趙廣松, 等.基于OpenFlow的SDN技術研究[J].軟件學報,2013(5):1078-1097.

ZUO Q Y, CHEN M, ZHAO G S, et al. Research on OpenFlow-based SDN technologies[J]. Journal of Software, 2013(5):1078-1097.

[3] 王蒙蒙, 劉建偉, 陳杰, 等. 軟件定義網絡:安全模型、機制及研究進展[J].軟件學報,2016,27(4):969-992.

WANG M M, LIU J W, CHEN J, et al. Software defined networking: security model, threats and mechanism[J]. Journal of Software, 2016, 27(4): 969-992.

[4] LIU H H, WU X, ZHANG M, et al. zUpdate: updating data center networks with zero loss[J]. Computer Communication Review, 2013, 43(4):411-422.

[5] LI D, SHANG Y, CHEN C. Software defined green data center network with exclusive routing[C]//INFOCOM. 2014:1743-1751.

[6] DHAWAN M, PODDAR R, MAHAJAN K, et al. SPHINX: detecting security attacks in software-defined networks[C]//Network and Distributed System Security Symposium. 2015:1-15.

[7] 王首一, 李琦, 張云. 輕量級的軟件定義網絡數據分組轉發驗證[J].計算機學報,2017,40(7):9-26.

WANG S Y, LI Q, ZHANG Y. Lightweight packet forwarding verification in SDN[J]. Journal of Computers. 2017,40(7):9-26.

[8] YAO G, BI J, XIAO P. Source address validation solution with OpenFlow/NOX architecture[C]//IEEE International Conference on Network Protocols. 2011:7-12.

[9] CASADO M, FREEDMAN M J, PETTIT J, et al. Ethane: taking control of the enterprise[C]//ACM SIGCOMM Conference on Applications. 2007:1-12.

[10] SHIN S, PORRAS P, YEGNESWARAN V, et al. FRESCO: modular composable security services for software-defined networks[C]//Network & Distributed Security Symposium, 2013.

[11] BALLARD J R, RAE I, AKELLA A. Extensible and scalable network monitoring using OpenSAFE[C]//Internet Network Management Conference on Research on Enterprise Networking. 2010:8.

[12] WUNDSAM A, LEVIN D, SEETHARAMAN S, et al. OFRewind: enabling record and replay troubleshooting for networks[C]//Usenix Conference on Usenix Technical Conference. 2011:29.

[13] SHIN S, GU G. CloudWatcher: network security monitoring using OpenFlow in dynamic cloud networks [C]//IEEE International Conference on Network Protocols. 2012:1-6.

[14] 畢軍.SDN體系結構與未來網絡體系結構創新環境[J]. 電信科學, 2013, 29(8):6-15.

BI J. SDN architecture and future network innovation environment[J]. Telecommunications Science, 2013, 29(8):6-15.

[15] 南湘浩.CPK組合公鑰體制(v8.0)[J].金融電子化,2013(3):39-41.

NAN X H. CPK combined public key cryptosystem(v8.0)[J]. Financial Electronics, 2013(3):39-41.

SDN security control and forwarding method based on cipher identification

QIN Xi1, TANG Guodong1, CHANG Chaowen1,2

1. The Third Institute, Information Engineering University, Zhengzhou 450001, China 2. Zhengzhou Xinda Advanced Technology Research Institute, Zhengzhou 450001, China

Aimed at the limited matching fields and the lack of effective data source authentication mechanism in the software defined networking (SDN), a SDN security control forwarding method based on cipher identification was proposed. First, the cipher identification was generated according to the user identity, file attributes or business content and other characteristics, and the data stream was marked by the cipher identification and signed with the private key based on the cipher identification. Then, when the data stream entered and left the network, the forwarding device verified its signature to ensure the authenticity of the data. At the same time, the cipher identification was designed as a matching item recognized by the forwarding device, and the network forwarding behavior was defined based on the cipher identification, so a fine-grained network control capability could be formed based on people, things, and business flow. Finally, the validity of the method is verified by experimental analysis.

software defined networking, cipher identification, security control and forwarding, flow table matching

TP393

A

10.11959/j.issn.1000-436x.2018022

：2017-10-12；

2018-01-17

唐國棟，tgdhooping@163.com

國家自然科學基金資助項目（No. 61572517）

The National Natural Science Foundation of China (No. 61572517)

秦晰（1978-），女，河南焦作人，博士，信息工程大學副教授、碩士生導師，主要研究方向為SDN安全、可信計算。

唐國棟（1992-），男，湖南永州人，信息工程大學碩士生，主要研究方向為SDN安全。

常朝穩（1966-），男，河南滑縣人，博士，信息工程大學教授、博士生導師，主要研究方向為移動信息安全、物聯網安全。