多域SDN網路安全高效拓撲發現機制研究

安全高效的拓撲發現是多域SDN網路成功部署的前提條件。SDN網路架構的集中控制模式、新型拓撲攻擊手段及網路動態性和多域性為安全高效拓撲發現設計帶來了新的挑戰，現有的安全機制無法完全適用。本項目嘗試利用區塊鏈技術開展多域SDN安全拓撲發現機制研究，著力解決拓撲發現中的鏈路欺詐、控制器欺詐和DDoS攻擊：（１）建立安全拓撲發現區塊鏈框架，設計拓撲信息的鏈式區塊結構、多控制器組織架構、拓撲信息互動協定；（２）研究偽鏈路識別方法和DDoS檢測和緩解技術及自動化智慧型契約機制，保證拓撲信息真實性和可用性；（3）研究安全機制與拓撲發現效率均衡策略。預期成果將建立基於區塊鏈技術的安全高效拓撲發現關鍵技術和方法體系，具有較強的科學意義和套用價值。

軟體定義網路（Software-Defined Networking, SDN）是一種極具創新性的網路架構，該架構解耦了數據平面和控制平面，具有全局的網路視圖和可程式的靈活特性。本項目主要有以下四個方面的貢獻： （1）高效安全鏈路發現及控制器最佳化部署：控制器通過拓撲發現的基礎服務獲取網路視圖，域內鏈路發現機制存在鏈路欺詐威脅和效率低下的問題，另外多控制器作為在大範圍網路中實現高效網路管理的有效手段，控制器部署策略會影響多域拓撲發現的效率。我們提出了基於連線埠分類技術的域內鏈路發現機制，通過減少冗餘數據包減少發包數量以提高鏈路發現效率；通過對鏈路發現數據包的合法性驗證解決了鏈路欺詐問題。另外，基於節點間的關聯性對網路進行區域劃分，繼而綜合考慮控制器間網路以及交換機到控制器的時延設計控制器部署策略，從而降低全網拓撲發現的時延。 （2）拒絕服務攻擊的檢測與防禦：針對控制器的拒絕服務攻擊會導致數據平面和控制平面之間的信道擁塞以致控制器超負荷，最終會導致網路癱瘓。我們提出了利用多控制器以及可疑流量遷移的安全保護策略，將可疑流量遷移至從控制器緩解了主控制器的信道擁塞，從控制器利用請求快取和請求轉發緩解了主控制器的超負荷問題。 （3）鏈路和控制器故障恢復機制：針對鏈路故障，我們結合預備式和反應式的故障恢復策略提出了協同式恢復機制。既保證了故障後的恢復時間又提高資源利用率。針對控制器故障，我們提出了基於控制器負載感知的恢復機制，我們設計了一種啟發式算法解決此問題，實現了恢復時間和控制器負載的有效平衡。 （4）多控制器SDN架構下控制層的伸縮性：多控制器的SDN架構存在負載不均等伸縮性問題。為此，我們首先提出了一種高效精確的負載不均檢測方案來觸發交換機遷移，然後基於非合作博弈，將交換機遷移轉換成控制器之間的博弈問題，最大化控制器的總收益即最大化控制器的資源利用率。 本項目的研究成果大大促進了SDN的發展，這期間我們共發表6篇高水平層次的論文，取得了良好成果。