一种基于数据平面可编程的软件定义网络报文转发验证机制

发布时间：2022-02-13 20:19

　　针对软件定义网络（SDN）中OpenFlow协议匹配字段固定且数量有限,数据流转发缺少有效的转发验证机制等问题,该文提出一种基于数据平面可编程的软件定义网络报文转发验证机制。通过为数据报文添加自定义密码标识,将P4转发设备加入基于OpenFlow的软件定义网络,在不影响数据流正常转发的基础上,对网络业务流精确控制和采样。控制器验证采样业务报文完整性,并针对异常报文下发流规则至OpenFlow转发设备,对恶意篡改、伪造等异常数据流进行转发控制。最后,构建基于开源BMv2的P4转发设备和基于OpenFlow的Open vSwitch转发设备的转发验证原型,并构建仿真网络进行实验。实验结果表明,该机制能够有效检测业务报文篡改、伪造等转发异常行为,与同类验证机制相比,在安全验证处理开销保持不变的情况下,能够实现更细粒度的业务流精确控制采样和更低的转发时延。 

【文章来源】：电子与信息学报. 2020,42(05)北大核心EICSCD

【文章页数】：8 页

【部分图文】：

体系结构

tions首部添加在IPv4_base首部之后，故解析顺序为Ethernet,Vlan,IPv4_base,Options。根据IPv4_base.ihl值可以判断Options首部的有效性。当IPv4_base.ihl值为0x05时，即IPv4首部长度为20个字节，未携带Options首部，故不解析Options首部，跳转到后续进行解析；当IPv4_base.ihl值不为0x05时，即携带Options首部，故解析Options首部后跳转到后续进行解析。所有的解析均从start状态开始，并在stop状态或者错误之后结束。解析器将字节流的信息解析为对应图2密码标识结构图1112电子与信息学报第42卷

??Ryu发送自定义事件，以便与其他应用模块通信，这些事件由Ryu进行转发[17]。异常监听模块继承自ryu.base.app_manager.RyuApp。该模块通过AF_UNIX通信机制监听与安全验证模块的连接。在Ryu正常通信阶段(main_dispatcher阶段)中，当从安全验证模块收到未通过验证的异常数据报时，生成自定义异常报文告警事件EventAlert，并使用send_event_to_observers命令将该事件发送给控制器Ryu。由Ryu控制器将该事件传递给注册该事件的转发处理模块调用处理函数进行处理。图3转发验证过程第5期左志斌等：一种基于数据平面可编程的软件定义网络报文转发验证机制1113

【参考文献】：
期刊论文
[1]软件定义网络中基于密码标识的报文转发验证机制[J]. 秦晰,唐国栋,常朝稳,王瑞云.  电子与信息学报. 2018(09)
[2]轻量级的软件定义网络数据包转发验证[J]. 王首一,李琦,张云.  计算机学报. 2019(01)



本文编号：3623854