高效安全的软件定义网络拓扑发现协议

• Published in: 网络与信息安全学报 Vol. 9; no. 6; pp. 20 - 33
• Main Authors: 李冬, 于俊清, 谷永普, 赵鹏程
• Format: Journal Article
• Language: Chinese
• Published: 华中科技大学网络与计算中心,湖北 武汉 430074%华中科技大学网络与计算中心,湖北 武汉 430074 25.12.2023; 华中科技大学网络空间安全学院,湖北 武汉 430074%华中科技大学网络空间安全学院,湖北 武汉 430074
• Subjects: 网络拓扑; 软件定义网络; software defined network; network security; network topology; 网络安全
• ISSN: 2096-109X
• DOI: 10.11959/j.issn.2096-109x.2023080

TP309; 基于OpenFlow的软件定义网络(SDN,software defined network)控制器主要采用OFDP(OpenFlow discovery protocol)发现网络拓扑,现有研究表明,OFDP存在网络拓扑信息更新效率低、容易遭受网络拓扑污染攻击等问题,为了提高网络拓扑发现协议的效率和安全性,对OFDP的网络拓扑发现机理和安全问题进行了深入研究,详细分析了软件定义网络拓扑建立和更新阶段的特点,基于图论的最小顶点覆盖问题提出了一种改进的OpenFlow网络拓扑发现协议——Im-OFDP(improved OpenFlow discovery protocol).Im-OFDP基于OFDP网络拓扑发现的先验信息构建端口信息表和链路信息表,然后建立网络拓扑图模型,基于最小顶点覆盖算法筛选支撑网络拓扑的交换机,再根据网络拓扑结构设计网络拓扑发现的多级流表,由控制器下发至相应交换机.控制器发出的网络拓扑发现报文经多级流表转发处理后上报给控制器,进而获取网络拓扑信息.针对安全问题,Im-OFDP一方面基于拓扑发现获取的信息在LLDP(link layer discovery protocol)报文中采用动态检验码检测链路的真实性,另一方面基于主机和交换机等网络设备的拓扑信息建立验证机制,确保网络设备可信.实验结果表明,部署Im-OFDP后,控制器在网络拓扑发现的消息数量、带宽开销、CPU资源负载显著降低,节点失效响应时间、节点失效后链路恢复时间明显较短,能够防御链路伪造、交换机伪造等多种形式的网络拓扑污染攻击.Im-OFDP能够显著提高SDN拓扑发现的效率和安全性.