位置:成果数据库 > 期刊 > 期刊详情页
一种基于OpenFlow的SDN访问控制策略实时冲突检测与解决方法
  • ISSN号:0254-4164
  • 期刊名称:《计算机学报》
  • 时间:0
  • 分类:TP309[自动化与计算机技术—计算机系统结构;自动化与计算机技术—计算机科学与技术]
  • 作者机构:[1]武汉大学计算机学院,武汉430072, [2]教育部空天信息安全与可信计算重点实验室,武汉430072, [3]克莱姆森大学,克莱姆森29634美国
  • 相关基金:本课题得到国家“九七三”重点基础研究发展规划项目基金(2014CB340600)、国家自然科学基金(61173138,61402342,61003628)资助.
作者: 王鹃[1,2], 王江[1], 焦虹阳[1], 王勇[1], 陈诗雅[1], 刘世辉[1], 胡宏新[3]
关键词: 软件定义网络, OpenFlow, 策略, 冲突检测与解决, 访问控制, software-defined networking, OpenFlow, policy, conflict detection and resolution, access control
中文摘要:

软件定义网络SDN(Software-Defined Networking)是由美国斯坦福大学Clean Slate研究组提出的一种新型网络创新架构,可通过软件编程的形式定义和控制网络,其控制平面和转发平面分离及开放性可编程的特点,为新型互联网体系结构研究提供了新的实验途径,也极大地推动了下一代互联网的发展.OpenFlow是SDN的主要协议,定义了SDN控制器与交换机之间的通信标准.目前,很多基于OpenFlow的SDN设备已经在实际中得到了部署.但是,基于OpenFlow的SDN却面临很多安全挑战.其中一个重要的挑战是如何建立一个安全可靠的SDN防火墙应用.由于OpenFlow协议的无状态性,现有的SDN防火墙可以被通过改写交换机中的流表项轻松绕过.针对这一安全威胁,作者提出了基于Flowpath的实时动态策略冲突检测与解决方法.通过获取实时的SDN网络状态,能够准确地检测防火墙策略的直接和间接违反,并且一旦发现冲突,可以基于Flowpath进行自动化和细粒度的冲突解决.最后,作者在开源控制器Floodlight上实现了一个安全增强的防火墙应用FlowVerifier,并基于Mininet对FlowVerifier的性能进行了评估.结果表明FlowVerifier能够检测和自动化地解决SDN网络中由于流表改写而引入的策略冲突及其带来的安全威胁.

英文摘要:

Software-Defined Networking (SDN) is an innovational network framework introduced by Clean Slate at Stanford University. It enables programmers to control and define the networks by software programming. Additionally, SDN separates data plane and control plane in the networks, and it provides open API and programmability. All of these features provide a new way for the study of new Internet architecture, and have greatly promoted the development of Internet. OpenFlow is a standard protocol of SDN, which defines the communication protocol between SDN controllers and switches. Nowadays, many SDN devices based on OpenFlow have been deployed. However, it is faced with many security challenges and one of the most critical challenges is how to implement a secure and reliable SDN firewall application. Due to the statelessness of OpenFlow protocol, the existing firewall security policy for SDN could be easily bypassed by rewriting the flow entries in the switches. To address such a threat, we present a novel approach for real-time policy conflict detection and resolution based on Flowpath. Our approach can accurately detect and effectively resolve policy conflicts through acquiring the network state of SDN in real time. In addition, we present FlowVerifier architecture and implement the SDN firewall application based on our proposed approach in Floodlight. We also evaluate the performance and effectiveness of FlowVerifier in Mininet. Our evaluation results demonstrate that FlowVerifier can automatically detect and resolve the threats of policy conflicts induced by rewriting flow entries.

同期刊论文项目
 云计算安全基础理论与方法研究
期刊论文 60
面向云环境的动态可信SDN防火墙关键理论与技术研究
期刊论文 3
虚拟化环境安全缺陷分析及安全性增强方法研究
期刊论文 79 会议论文 3
同项目期刊论文
An optimized program analysis based on constraint logic programming
Research on hardware security of embedded system in cloud environment
DPTSV:A Dynamic Priority Task Scheduling Strategy for TSSDeadlock based on Value Evaluation
基于可信模块的面向云存储用户的密钥管理机制研究
一种基于OpenFlow的SDN访问控制策略实时冲突检测与解决方法
嵌入式系统的安全启动机制研究与实现
面向IaaS的TRSAC访问控制策略研究与实现
适用于虚拟化环境的进程隔离方法研究与实现
TPM 2.0策略授权机制的安全缺陷及其改进方案
TPM2.0密钥复制安全性增强方案研究
Trusted Mobile Payment Environment Based on Trusted Com-puting and Virtualization Technologies
 A Formal Analysis of TPM 2.0 HMAC Authorization under DRM Scenario
 Multi-bit LWE-based Encryption Scheme without Decryption Errors
Security risk analysis of IaaS based on the Abstract State Machine model
An Efficient Anonymous Remote Attestation Scheme for Trusted Computing based on Improved CPK
Dynamic Measurement Protocol in Infrastructure as a Service
A Resistant Quantum Key Exchange Protocol and Its Corresponding Encryption Scheme
A security-Improved Scheme for Virtual TPM Based on KVM
Extensionimplementation of TCM in the embedded system based on FPGA
基于动态协同双向映射的相似执行路径生成方法
Research on Softwareprotection method based on USBKey
Formal Analysis ofInformation Card Federated Identity-Management Protocol
云GIS中远程证明通信机制的研究
基于可信模块的云存储用户密钥管理机制研究
基于结构熵的IaaS平台耦合度计算方法
面向IaaS云的TRSAC访问控制策略研究与实现
TPM 2.0密钥复制安全性增强方案
基于扩展LS2的VMM动态度量形式化分析
An optimized memory integrity verification mechanism based on advanced hot window Hash tree
一种面向IaaS租户的资源完整性度量协议
基于结构熵的IaaS平台耦合度计算方法研究
Dynamic Measurement Protocol in Infrastructure as a Service
An Improved vTPM-VM Live Migration Protocol
An insecure information flow path search method in decentralized information flow controlsystem
TPM2.0策略授权机制的安全缺陷及其改进方案
TPM2.0密钥复制安全性增强方案
一种面向IaaS租户的资源完整性度量协议
Effect:An Operational View Mechanism for Decentralized Information Flow Control
一种基于改进Fuzzing架构的工业控制设备漏洞挖掘框架
IaaS下虚拟机的安全存储和可信启动
基于k近邻最弱前置条件的程序多路径验证方法
虚拟机环境下并行信任关系研究与实现
一种云平台可信性分析模型建立方法
相关路径静态分析中协同式逆向推理方法
Ng-vTPM:新一代TPM虚拟化框架设计
基于谓词抽象的测试用例约简生成方法
Hiding Information in MPEG Sequences by Using of B-Frames
基于污点跟踪的固件漏洞定位研究
信任关系辅助的隐反馈Web服务推荐研究
基于SMM的密钥传输方案的设计与实现
基于信誉权值策略的多重第三方远程证明机制
SHA-3算法安全性的代数分析
DPTSV:A Dynamic Priority Task Scheduling Strategy for TSS Deadlock Based on Value Evaluation
用于虚拟化环境的进程隔离方法研究与实现
ATrusted Mobile Payment Environment Based on Trusted Computing and Virtualization Technology
一种基于VT-d技术的虚拟机安全隔离框架研究
C-TNC:适用于Openstack的可信云接入协议
基于信任扩展的可信云执行环境
Survey on Key Technology Development and Application in Trusted Computing
基于统计学的Web论坛增量更新策略研究
嵌入式系统的安全启动机制研究与实现
矩阵分解在密码中应用研究
一种基于纠错码的数字签名协议
S-Tracker:基于栈异常的shellcode检测方法
A security-Improved Scheme for Virtual TPM Based on KVM
基于结构熵的IaaS平台耦合度计算方法
面向IaaS云的TRSAC访问控制策略研究与实现
基于扩展LS2的VMM动态度量形式化分析
Dynamic Measurement Protocol in Infrastructure as a Service
An Improved vTPM-VM Live Migration Protocol
Fine-grained and Heterogeneous Proxy Re-Encryption for Secure Cloud Storage
TPM2.0策略授权机制的安全缺陷及其改进方案
TPM2.0密钥复制安全性增强方案
一种面向IaaS租户的资源完整性度量协议
HBROP:基于硬件性能计数器的函数级ROP检测
IaaS下虚拟机的安全存储和可信启动
基于k近邻最弱前置条件的程序多路径验证方法
基于软件定义网络的非集中式信息流控制系统——S-DIFC
一种云平台可信性分析模型建立方法
Ng-vTPM:新一代TPM虚拟化框架设计
破解R.S.Bhalerao公钥加密方案
HKKS密钥交换协议分析
量子计算复杂性理论综述
Cryptanalysis of Schemes Based on Pseudoinverse Matrix
Cryptanalysis of Public Key Cryptosystems Based on Non-Abelian Factorization Problems
Dependence-Induced Risk: Security Metrics and Their Measurement Framework
软件二进制代码重用技术综述
基于污点跟踪的固件漏洞定位研究
信任关系辅助的隐反馈Web服务推荐研究
基于SMM的密钥传输方案的设计与实现
基于信誉权值策略的多重第三方远程证明机制
SHA-3算法安全性的代数分析
DPTSV:A Dynamic Priority Task Scheduling Strategy for TSS Deadlock Based on Value Evaluation
用于虚拟化环境的进程隔离方法研究与实现
A Private User Data Protection Mechanism in TrustZone Architecture Based on Identity Authentication
Survey on Key Technology Development and Application in Trusted Computing
ATrusted Mobile Payment Environment Based on Trusted Computing and Virtualization Technology
可搜索加密的研究进展
Design and Implementation of Weibo Sentiment Analysis Based on LDA and Dependency Parsing
基于Docker的可信容器
基于P2P网络模型的Web搜索引擎用户隐私保护
一种改进的MP3被动篡改定位检测算法
基于SGX的虚拟机动态迁移安全增强方法
一种基于KVM的vTPM虚拟机动态迁移方案
一种TrustZone架构下的密钥管理机制
基于无证书公钥密码的HCE移动支付方案
TSSP:一种TrustZone架构中的会话调度方案
Building a Secure Block Ciper on Small and Non- Binary Domain
虚拟可信平台模块动态信任扩展方法
Software Watermarking Scheme Based on Multivariate Public Key Cryptosystem
基于差分隐私的大数据隐私保护
Dependability Analysis for Fault-Tolerant Computer Systems Using Dynamic Fault Graphs
一种基于VT-d技术的虚拟机安全隔离框架研究
C-TNC:适用于Openstack的可信云接入协议
基于信任扩展的可信云执行环境
Key Exchange Protocol Based on Tensor Decomposition Problem
UiLog: Improving Log-Based Fault Diagnosis by Log Analysis
多变量密码体制软件水印技术
Mitigating ROP Attacks via ARM-Specific In-Place Instruction Randomization
期刊信息
  • 《计算机学报》
  • 北大核心期刊(2011版)
  • 主管单位:中国科学院
  • 主办单位:中国计算机学会 中国科学院计算技术研究所
  • 主编:孙凝晖
  • 地址:北京中关村科学院南路6号
  • 邮编:100190
  • 邮箱:cjc@ict.ac.cn
  • 电话:010-62620695
  • 国际标准刊号:ISSN:0254-4164
  • 国内统一刊号:ISSN:11-1826/TP
  • 邮发代号:2-833
  • 获奖情况:
  • 中国期刊方阵“双效”期刊
  • 国内外数据库收录:
  • 美国数学评论(网络版),荷兰文摘与引文数据库,美国工程索引,美国剑桥科学文摘,日本日本科学技术振兴机构数据库,中国中国科技核心期刊,中国北大核心期刊(2004版),中国北大核心期刊(2008版),中国北大核心期刊(2011版),中国北大核心期刊(2014版),中国北大核心期刊(2000版)
  • 被引量:48433