软件定义网络中访问控制列表关键技术的研究

发布时间：2017-11-24 22:26

  本文关键词：软件定义网络中访问控制列表关键技术的研究

  更多相关文章： 访问控制列表 软件定义网络 OpenFlow 网络安全

【摘要】：访问控制列表(Access Control List,ACL)是一种网络安全保障技术,提供了网络流量过滤功能。然而,在传统网络中实现ACL技术存在着一些弊端,如网络设备成本较高,对ACL的设计、配置与维护非常繁琐且易出错等,以上弊端产生的根本原因在于传统网络采用了分布式的方式来实现ACL技术。相比于传统网络,软件定义网络(Software-Defined Networking,SDN)提供了一个更加合适的架构来实现ACL技术。SDN将网络设备中的控制逻辑与转发逻辑分离,并提供了SDN控制器以一种集中式的方式对网络设备的转发行为进行管理。本文基于SDN设计并实现了一种访问控制列表CLACK,该访问控制列表在逻辑上集中,工作在由用户驱动的主动方式下,实现对SDN中网络数据包的过滤功能。该访问控制列表提供了一个集中式的管理接口以供用户定义访问控制列表,它从全局网络视图中提取出抽象网络视图,并基于该视图实时响应用户的访问控制列表更新请求,通过操作底层OpenFlow交换机中的流表项实现访问控制列表中规定的高层网络安全策略。该访问控制列表还能够对网络视图更新事件作出动态响应,及时更新底层OpenFlow交换机中的流表,确保高层网络安全策略被正确实现。与SDN中现有的访问控制列表相比,本文提出的访问控制列表能够减少网络数据包转发时延,节约控制平面的处理资源及控制与数据平面之间的带宽,并避免了因无法及时管理交换机中的流表导致出现违背网络安全策略的现象。本文将CLACK访问控制列表实现为单控制器版本(基于Floodlight控制器)与多控制器版本(基于ONOS控制器)。两个版本CLACK的源代码现已被Floodlight与ONOS开源项目所采纳,被官方提供的最新版本控制器源码所集成。文中对CLACK进行了功能测试,验证了其能够正确的提供ACL功能。文中还通过大量实验比较了两个版本CLACK与Floodlight控制器防火墙应用的性能,实验结果表示CLACK拥有较好的性能。除此之外,本文还基于CLACK相关工作提出了一种访问控制列表安全性检测方法,该方法能够有效检测出恶意流绕开访问控制列表管理的现象,对CLACK的安全性提供了有力保障。文中对该安全性检测方法的功能进行了测试,验证了检测结果的正确性。
【学位授予单位】：大连理工大学
【学位级别】：硕士
【学位授予年份】：2016
【分类号】：TP393.08

【相似文献】

中国期刊全文数据库 前10条

1 吴庆祥;李盛兰;;访问控制列表应用策略探索[J];企业家天地;2009年12期

2 宋玲;;基于时间的访问控制列表的应用研究[J];考试周刊;2010年39期

3 闫涛,董梅;访问控制列表空间的扩充[J];平顶山工学院学报;2003年03期

4 周星,汪国安,张震;网络层访问控制列表的应用[J];河南大学学报(自然科学版);2004年03期

5 张良,蒋外文;联合使用自反与时间访问控制列表实现公司级网络控制[J];长沙铁道学院学报(社会科学版);2004年04期

6 温卫;;访问控制列表配置分析[J];计算机安全;2007年06期

7 王建峰;;访问控制列表的应用与研究[J];咸宁学院学报;2007年06期

8 白帆;罗进文;王U，

本文编号：1223851