發(fā)布時(shí)間：2017-11-24 22:26

  本文關(guān)鍵詞：軟件定義網(wǎng)絡(luò)中訪問(wèn)控制列表關(guān)鍵技術(shù)的研究

  更多相關(guān)文章： 訪問(wèn)控制列表 軟件定義網(wǎng)絡(luò) OpenFlow 網(wǎng)絡(luò)安全

【摘要】：訪問(wèn)控制列表(Access Control List,ACL)是一種網(wǎng)絡(luò)安全保障技術(shù),提供了網(wǎng)絡(luò)流量過(guò)濾功能。然而,在傳統(tǒng)網(wǎng)絡(luò)中實(shí)現(xiàn)ACL技術(shù)存在著一些弊端,如網(wǎng)絡(luò)設(shè)備成本較高,對(duì)ACL的設(shè)計(jì)、配置與維護(hù)非常繁瑣且易出錯(cuò)等,以上弊端產(chǎn)生的根本原因在于傳統(tǒng)網(wǎng)絡(luò)采用了分布式的方式來(lái)實(shí)現(xiàn)ACL技術(shù)。相比于傳統(tǒng)網(wǎng)絡(luò),軟件定義網(wǎng)絡(luò)(Software-Defined Networking,SDN)提供了一個(gè)更加合適的架構(gòu)來(lái)實(shí)現(xiàn)ACL技術(shù)。SDN將網(wǎng)絡(luò)設(shè)備中的控制邏輯與轉(zhuǎn)發(fā)邏輯分離,并提供了SDN控制器以一種集中式的方式對(duì)網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)行為進(jìn)行管理。本文基于SDN設(shè)計(jì)并實(shí)現(xiàn)了一種訪問(wèn)控制列表CLACK,該訪問(wèn)控制列表在邏輯上集中,工作在由用戶驅(qū)動(dòng)的主動(dòng)方式下,實(shí)現(xiàn)對(duì)SDN中網(wǎng)絡(luò)數(shù)據(jù)包的過(guò)濾功能。該訪問(wèn)控制列表提供了一個(gè)集中式的管理接口以供用戶定義訪問(wèn)控制列表,它從全局網(wǎng)絡(luò)視圖中提取出抽象網(wǎng)絡(luò)視圖,并基于該視圖實(shí)時(shí)響應(yīng)用戶的訪問(wèn)控制列表更新請(qǐng)求,通過(guò)操作底層OpenFlow交換機(jī)中的流表項(xiàng)實(shí)現(xiàn)訪問(wèn)控制列表中規(guī)定的高層網(wǎng)絡(luò)安全策略。該訪問(wèn)控制列表還能夠?qū)W(wǎng)絡(luò)視圖更新事件作出動(dòng)態(tài)響應(yīng),及時(shí)更新底層OpenFlow交換機(jī)中的流表,確保高層網(wǎng)絡(luò)安全策略被正確實(shí)現(xiàn)。與SDN中現(xiàn)有的訪問(wèn)控制列表相比,本文提出的訪問(wèn)控制列表能夠減少網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)時(shí)延,節(jié)約控制平面的處理資源及控制與數(shù)據(jù)平面之間的帶寬,并避免了因無(wú)法及時(shí)管理交換機(jī)中的流表導(dǎo)致出現(xiàn)違背網(wǎng)絡(luò)安全策略的現(xiàn)象。本文將CLACK訪問(wèn)控制列表實(shí)現(xiàn)為單控制器版本(基于Floodlight控制器)與多控制器版本(基于ONOS控制器)。兩個(gè)版本CLACK的源代碼現(xiàn)已被Floodlight與ONOS開(kāi)源項(xiàng)目所采納,被官方提供的最新版本控制器源碼所集成。文中對(duì)CLACK進(jìn)行了功能測(cè)試,驗(yàn)證了其能夠正確的提供ACL功能。文中還通過(guò)大量實(shí)驗(yàn)比較了兩個(gè)版本CLACK與Floodlight控制器防火墻應(yīng)用的性能,實(shí)驗(yàn)結(jié)果表示CLACK擁有較好的性能。除此之外,本文還基于CLACK相關(guān)工作提出了一種訪問(wèn)控制列表安全性檢測(cè)方法,該方法能夠有效檢測(cè)出惡意流繞開(kāi)訪問(wèn)控制列表管理的現(xiàn)象,對(duì)CLACK的安全性提供了有力保障。文中對(duì)該安全性檢測(cè)方法的功能進(jìn)行了測(cè)試,驗(yàn)證了檢測(cè)結(jié)果的正確性。
【學(xué)位授予單位】：大連理工大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 吳慶祥;李盛蘭;;訪問(wèn)控制列表應(yīng)用策略探索[J];企業(yè)家天地;2009年12期

2 宋玲;;基于時(shí)間的訪問(wèn)控制列表的應(yīng)用研究[J];考試周刊;2010年39期

3 閆濤,董梅;訪問(wèn)控制列表空間的擴(kuò)充[J];平頂山工學(xué)院學(xué)報(bào);2003年03期

4 周星,汪國(guó)安,張震;網(wǎng)絡(luò)層訪問(wèn)控制列表的應(yīng)用[J];河南大學(xué)學(xué)報(bào)(自然科學(xué)版);2004年03期

5 張良,蔣外文;聯(lián)合使用自反與時(shí)間訪問(wèn)控制列表實(shí)現(xiàn)公司級(jí)網(wǎng)絡(luò)控制[J];長(zhǎng)沙鐵道學(xué)院學(xué)報(bào)(社會(huì)科學(xué)版);2004年04期

6 溫衛(wèi);;訪問(wèn)控制列表配置分析[J];計(jì)算機(jī)安全;2007年06期

7 王建峰;;訪問(wèn)控制列表的應(yīng)用與研究[J];咸寧學(xué)院學(xué)報(bào);2007年06期

8 白帆;羅進(jìn)文;王U，

本文編號(hào)：1223851