文献类型：期刊文章

作　　者：王鹃[1,2] 王江[1] 焦虹阳[1] 王勇[1] 陈诗雅[1] 刘世辉[1] 胡宏新[3]

机构地区：[1]武汉大学计算机学院,武汉430072 [2]教育部空天信息安全与可信计算重点实验室,武汉430072 [3]克莱姆森大学

出　　处：《计算机学报》

基　　金：国家"九七三"重点基础研究发展规划项目基金(2014CB340600);国家自然科学基金(61173138;61402342;61003628)资助~~

年　　份：2015

卷　　号：38

期　　号：4

起止页码：872-883

语　　种：中文

收录情况：BDHX、BDHX2014、CSA、CSA-PROQEUST、CSCD、CSCD2015_2016、EI(收录号：20151900826796)、IC、INSPEC、JST、MR、RCCSE、SCOPUS、ZGKJHX、核心刊

摘　　要：软件定义网络SDN(Software-Defined Networking)是由美国斯坦福大学Clean Slate研究组提出的一种新型网络创新架构,可通过软件编程的形式定义和控制网络,其控制平面和转发平面分离及开放性可编程的特点,为新型互联网体系结构研究提供了新的实验途径,也极大地推动了下一代互联网的发展.OpenFlow是SDN的主要协议,定义了SDN控制器与交换机之间的通信标准.目前,很多基于OpenFlow的SDN设备已经在实际中得到了部署.但是,基于OpenFlow的SDN却面临很多安全挑战.其中一个重要的挑战是如何建立一个安全可靠的SDN防火墙应用.由于OpenFlow协议的无状态性,现有的SDN防火墙可以被通过改写交换机中的流表项轻松绕过.针对这一安全威胁,作者提出了基于Flowpath的实时动态策略冲突检测与解决方法.通过获取实时的SDN网络状态,能够准确地检测防火墙策略的直接和间接违反,并且一旦发现冲突,可以基于Flowpath进行自动化和细粒度的冲突解决.最后,作者在开源控制器Floodlight上实现了一个安全增强的防火墙应用FlowVerifier,并基于Mininet对FlowVerifier的性能进行了评估.结果表明FlowVerifier能够检测和自动化地解决SDN网络中由于流表改写而引入的策略冲突及其带来的安全威胁.

关 键 词：软件定义网络  OpenFlow  策略  冲突检测与解决  访问控制

分 类 号：TP309]