基于密码标识的SDN安全控制转发方法

秦晰，唐国栋，常朝稳,2



基于密码标识的SDN安全控制转发方法

秦晰1，唐国栋1，常朝稳1,2

（1. 信息工程大学三院，河南 郑州 450001；2. 郑州信大先进技术研究院，河南 郑州 450001）

针对软件定义网络（SDN, software defined networking）中匹配域范围有限和缺乏有效的数据来源验证机制问题，提出基于密码标识的SDN安全控制转发方法。首先，根据用户身份、文件属性或业务内容等特征信息生成密码标识，为数据流打上密码标识并用基于密码标识的私钥签名。其次，在其进出网络时验证签名，确保数据的真实性，同时将密码标识设计为转发设备能识别的匹配项，基于密码标识定义网络转发行为，形成基于人、物、业务流等细粒度网络控管能力。最后，通过实验分析验证该方法的有效性。

软件定义网络；密码标识；安全控制转发；流表匹配

1 引言

软件定义网络[1]是由美国斯坦福大学提出的一种逻辑控制和数据转发分离的新型网络架构[2]，被称为未来网络的重要发展方向。其集中管理和开放可编程等特性有效简化网络管理工作，可为用户提供个性的定制化服务，但降低了对SDN的攻击门槛，给其带来一系列安全威胁与挑战[3]。目前，针对SDN中存在的安全问题已有一些解决方案[4~7]，但转发设备流表匹配时缺乏有效数据来源验证机制，不能有效监测数据分组伪造等攻击行为且攻击者可对其行为否认，此外，现有的OpenFlow协议只能根据网络前4层特征信息控制数据转发行为，控制粒度有限，难以满足网络业务精确控制的需求。

结合SDN的特点，研究网络空间密码标识理论与技术，提出一种基于密码标识的SDN安全控制转发方法，在数据分组进出网络时对其来源进行验证，确保用户的不可否认性和数据分组的真实性，基于密码标识控制数据转发，从应用层、控制层和数据层全方位进行网络流的安全控制，形成基于人、物、业务流等细粒度网络控管能力，为实现SDN数据流的安全控制转发提供一种有效方法。

2 相关工作

流表匹配时，现有2种解决方案验证数据的来源，防止数据分组伪造。一种解决思路是在控制器开发安全模块，由控制器直接进行实时监控和检测。Yao等[8]提出VAVE安全框架，在控制器中嵌入源地址验证模块，由控制器过滤伪造地址，实现敏捷灵活的源地址验证操作；Casado等[9]提出Ethane架构，通过中央控制器向基于流的以太网交换机下发策略，统一管理流的准入，并由控制器完成对主机入网和用户入网的认证；Shin等[10]提出一种面向SDN控制器的可组合安全模块开发框架FRESCO，在SDN控制器中加入一个安全模块，允许网络管理人员创建新的模块化库，整合和扩展安全功能，使用SDN控制器、硬件控制和管理流量，快速实现部署多个通用网络安全功能，可替代防火墙和IDS等检测工具。然后在控制器开发安全模块，由控制器直接进行实时监控和检测会增加控制器负担，增大控制器遭受DDoS攻击的概率。另一种解决思路是依托SDN架构，将SDN交换机作为数据分组拦截或重定向平台，根据网络安全态势将网络流量重定向到安全设备中进行检测和监控。Ballard等[11]提出OpenSAFE，研究在大规模网络中通过SDN交换机线速重定向网络流量，将流路由到监测设备进行安全检查；Wundsam等[l2]提出的OFRewind也实现了类似功能，并支持多种粒度，而不仅是对整个OpenFlow进行记录；Shin等[13]提出了一种云环境下的SDN流量监控方法CloudWatcher，将网络流量自动导入相应的安全设备，以实现必要的网络分组检查。然而利用SDN将流量重定向到安全设备实现数据来源验证复杂，需要综合考虑安全设备的位置、不同安全设备的协作水平和SDN流量控制的粒度等多方面因素。其中主要是SDN流量控制粒度，但目前SDN支持的匹配字段仅限于网络前4层中一些常用的协议，控制粒度有限[14]。当安全设备检测出攻击者的分组特征，由于攻击者伪造的分组与合法分组的头部前4层一样，SDN不能区分攻击者与合法者的分组，若将符合攻击者分组特征的分组全部丢弃或交由安全设备筛选都会影响合法者分组的正常传输。因此，目前缺乏一种实用数据来源验证机制且SDN控制粒度有限。

为解决上述问题，将密码标识引入SDN，提出一种基于密码标识的SDN安全控制转发方法，利用密码标识的3个属性确保数据流在SDN中安全控制转发。其主要有3个方面贡献。1) 根据用户身份、文件属性或业务内容等特征信息生成密码标识，基于密码标识定义网络行为，形成基于人、物、业务流等细粒度网络控管能力。2) 使用SDN交换机验证数据来源，确保上传给SDN控制器的分组都是真实的，减少控制器遭受DDoS攻击的概率。3) 在网络的入口与出口验证基于密码标识的签名，确保目的设备收到的都是真实且未篡改的分组。

3 基于密码标识的SDN安全控制转发方法

3.1 基本原理

针对匹配域范围有限、不能满足网络业务精确控制的需求和转发设备流表匹配时缺乏有效的数据来源验证机制等问题，为确保数据的真实性，满足网络业务精确控制需求，提出基于密码标识的SDN安全控制转发方法，利用密码标识的3个属性来保证数据流的安全控制转发。密码标识的3个属性分别指身份属性、标签属性和密码属性。身份属性指密码标识与重要对象的身份绑定，可通过密码标识验证其身份，利用该属性，根据用户、设备、文件等重要对象的特征信息设计密码标识；标签属性指可根据密码标识进行数据转发，利用该属性，将密码标识作为转发设备能识别的匹配项，基于密码标识定义网络转发行为；密码属性指可通过密码标识鉴别数据真实性，利用该属性，在数据分组进出网络时验证密码标识，确保用户的不可否认性和数据的真实性。3种属性相辅相成，共同构建基于密码标识控制网络的安全防护体系。

3.2 体系结构

如图1所示，该体系结构由密码标识和密钥管理中心、应用层、控制层和数据转发层4个部分组成。在密码标识和密钥管理中心的支持下，上层应用可根据密码标识制订控制策略，控制层中的控制器将控制策略编译为流规则并下发给数据转发层中的转发设备，转发设备根据收到的流规则进行匹配和转发数据流，从应用层、控制层和数据层全方位进行网络流的安全控制，从而实现粒度更细的安全控制转发。

图1 体系结构

3.2.1 密码标识和密钥管理中心

负责密码标识和密钥的管理工作，主要是审核申请者身份、管理密码标识、根据密码标识生成公私钥对和制作并分发ID证书。同时，将新生成、刚更新、刚注销的密码标识同步到控制器的密码标识数据库中。其中，ID证书包括密码标识、私钥、有效期和安全域等信息。

3.2.2 基于密码标识的控制层

控制层中的控制器是整个网络逻辑控制的核心，通过收集整个网络的信息资源形成全网拓扑，同时通过南向通道实现对转发设备的管控和配置。控制器的主要功能模块有密码标识鉴别模块、密码标识映射模块、流规则生成模块、密码标识数据库等。重点研究密码标识鉴别模块和密码标识映射模块。

密码标识鉴别模块主要负责鉴别密码标识的有效性。通过与密码标识数据库交互，建立密码标识黑名单，并通过查询未匹配的密码标识是否处于黑名单中判断其有效性，防止失效的密码标识进出网络。

密码标识映射模块通过随机散列算法建立密码标识映射表，并在数据分组进出网络时通过查询密码标识映射表对密码标识进行映射与逆映射。密码标识映射与逆映射的相互转换，实现密码标识的透明传输，防止其成为网络攻击的靶子。

密码标识数据库负责存储全网密码标识信息。

流规则生成模块主要负责控制策略编译成流规则并下发给底层的转发设备。

3.2.3 基于密码标识的数据转发层

数据转发层主要由转发设备组成，可分为接入转发设备和中心转发设备，其中，接入转发设备指位于骨干网与接入网之间的转发设备，中心转发设备指位于骨干网中的转发设备。

接入转发设备主要由数据鉴别模块和流表匹配模块2个部分组成。数据鉴别模块通过验证密码标识的签名鉴别数据真实性，防止非法的数据分组进出网络；流表匹配模块通过流表匹配的方式验证密码标识有效性，完成密码标识映射与逆映射的相互转换，将合法的数据流转发到指定位置。

中心转发设备只有流表匹配模块，且该模块直接匹配和转发收到数据流。

以用户U访问服务器1为例，分析在该方法下的网络通信过程，如图2所示。其中，用户U默认为已收到ID证书。

3) 中心转发设备收到数据分组后，直接进行匹配与转发。

3.3 实现方案

图2 基于密码标识的SDN通信流程

由于组合公钥密码体制（CPK, combined public key cryptosystem）具有密钥产生规模化、计算速度快、认证效率高、认证流程相对简单等特点，采用CPK v8.0[15]设计密码标识和密钥管理中心，为申请者分配密码标识，根据密码标识生成相应的公私钥对；当数据分组进出网络时，设计数据鉴别模块验证基于密码标识的签名，确保终端用户的不可否认性和数据分组的真实性；将密码标识设计为转发设备能识别的匹配项，并结合SDN流表匹配特点，重新设计流表匹配模块，通过流表匹配的方式鉴别密码标识的有效性，在数据分组进入网络时将密码标识转换成其映射值，在数据分组离开网络时将密码标识还原成初始值，实现密码标识透明传输，如果流表匹配失败，交由控制器处理。

3.3.1 密码标识和密钥管理

密码标识和密钥管理中心负责管理密码标识，结合CPK v8.0，根据密码标识生成相应的公私钥对，生成与分发ID证书。

1) 管理密码标识

密码标识的管理是指密码标识生成、更新和注销全周期的管理。其中，密码标识是根据用户的身份、文件的属性或业务的内容等特征信息生成，包括编号、申请人姓名、特征信息、安全域、有效期等内容；密码标识的更新是指更新密码标识中除了特征信息以外的其他内容，如角色、安全域、有效期等；密码标识的注销是指将密码标识中所有内容注销。同时，将新生成、刚更新、刚注销密码标识信息同步到控制器的密码标识数据库中。

2) 生成组合密钥

基于椭圆曲线上离散对数难题的数学原理构建公私钥矩阵，采用散列函数与密码变换将密码标识映射为矩阵的行坐标与列坐标序列，选取并组合矩阵中元素，生成数量巨大的公私钥对。具体步骤如下。

密码标识的组合公钥由各网络实体自行计算为

3) ID证书的生成与分发

密码标识和密钥管理中心将密码标识、私钥、公钥查询函数、有效期、配置信息等内容制成ID证书，通过安全信道或媒介发送给申请者。

3.3.2 数据真实性鉴别

数据鉴别模块通过验证数据分组中的签名，检验数据分组的真实性和完整性，防止伪造或遭篡改的数据分组进出网络，从网络攻击的源头入手，限制网络安全风险范围。具体的处理流程如图3所示。

图3 数据鉴别模块的处理流程

3.3.3 基于密码标识的流表匹配

将密码标识设计为流表匹配模块能识别的匹配项，增加一个转换动作用于密码标识的映射与逆映射，并基于多级流表设计了多级流表流水线处理流程，可通过流表匹配的方式鉴别密码标识的有效性，完成密码标识的映射与逆映射的相互转换，将合法的数据流转发到指定位置。

1) 流规则的基本结构

结合OpenFlow v1.3协议，采用TLV格式，将匹配域中实验字段OFPXMC_EXPERIMENTER扩展为密码标识ID；修改OpenFlow协议中Flow-Mod消息体，使匹配域包含密码标识ID的流规则可被接入转发设备和中心转发设备识别并无排斥的插入在相应流表中。然后自定义新动作——转换，作用是将密码标识转换为映射值，或将密码标识映射值转换为原始值；修改OpenFlow协议中Flow-Mod消息体，使接入转发设备能够解析该动作并写入动作库。因此，本文使用南向协议是兼容OpenFlow1.3协议，支持现有的OpenFlow1.3协议的控制器可以与接入转发设备和中心转发设备正常通信，但该控制器不能下发匹配域包含密码标识ID的流规则。通过将密码标识ID自定义新的匹配项，添加一个转换动作，形成新的流规则结构，具体如图4所示。

图4 流规则结构

2) 端口分类

接入转发设备是数据流进出网络的门户，当数据流到达接入转发设备时，共有3种流向：1) 从源终端接收后直接转发到目的终端；2) 从源终端接收后再转发到网络中；3) 从网络中接收后再转发到目的终端。不同流向的数据流其流表匹配方式存在差异，如从源终端接收的数据流无须进行密码标识映射直接转发到目的终端。为识别不同数据流的流向，对端口分类，如图5所示。

图5 转发设备的端口分类

接入转发设备的端口主要分为接入端口、路由端口、鉴别端口和控制端口，其中，接入端口指与终端相连的端口，路由端口指与转发设备相连的端口，鉴别端口指与数据鉴别模块相连的端口，控制端口指与控制器相连的端口。而中心转发设备的端口主要分为路由端口和控制端口。因此，数据流的不同流向可通过端口来描述，共有3种类型：①从接入端口进从接入端口出；②从接入端口进从路由端口出；③从路由端口进从接入端口出。类型①对应从源终端接收后直接转发到目的终端；类型②对应从源终端接收后再转发到网络中；类型③对应从网络中接收后再转发到目的终端。

转发设备在与控制器开始建立连接时，通过OFPT_MULTIPART_REPLY向控制器发送端口分类信息，如哪些端口属于接入端口，哪些端口属于路由端口，哪些端口属于鉴别端口等，方便控制器识别不同数据流向，正确下发流规则。当端口分类信息发生变化，转发设备通过OFPT_PORT_MOD主动向控制器报告端口分类变更情况。

3) 多级流表流水线处理

由于不同流向的数据流处理方式存在差异，基于多级流表提出多级流表流水线处理流程，根据入端口的类型为不同流向的数据流选择合适的处理方式，通过流表匹配的方式鉴别密码标识的有效性，通过流表匹配的方式实现密码标识的透明传输，若流表匹配失败，交由控制器处理。

如图6所示，将接入转发设备的多级流表分为端口表、密码标识鉴别表、密码标识映射表和基本转发表4类。端口表根据入端口的类型决定数据流的处理方式，其中，入端口类型包括接入端口、鉴别端口、路由端口3种类型；密码标识鉴别流表用于鉴别密码标识的有效性，其匹配项为失效的密码标识，若匹配成功表明该密码标识已失效；密码标识映射流表用于密码标识的映射和逆映射；基本转发流表用于匹配转发收到的数据流。具体流程如图7所示。

图6 多级流表流水线处理流程

流表匹配模块收到数据流后，首先匹配端口表，根据入端口类型决定数据流的处理方式。若入端口类型为接入端口，其流表匹配处理过程如下。

① 将元数据设置为01，再将数据流转发到数据鉴别模块进行密码标识真实性鉴别。

② 数据鉴别模块将通过鉴别的数据流返回给流表匹配模块。

③ 再次匹配端口表，若匹配项为鉴别端口且元数据为01，将该数据流转发到密码标识鉴别表。

④ 匹配密码标识鉴别表。若匹配成功，丢弃该类型的数据流，表明其携带的密码标识已失效，否则，转发到密码标识映射流表。

⑤ 匹配密码标识映射表。若匹配成功，按指令对该数据流进行相应的处理，若指令为直接转发到基本转发表，表明该数据流的流向是从接入端口进从接入端口出，若指令为将密码标识转化为映射值，再转发到基本转发流表，表明该数据流的流向是从接入端口进从路由端口出；若匹配失败，将该数据流的首包封装到Packet-In再交由到控制器处理。

⑥匹配基本转发表，按匹配成功的指令进行相应的处理。

⑦控制器收到未匹配的数据分组后，会根据处理结果会下发相应的流规则指示接入转发设备如何对其进行处理。

若入端口类型为路由端口，表明该数据流的流向是从路由端口进从接入端口出，其数据分组处理过程如下。

①将元数据设置为10，再将数据流转发到密码标识映射表。

②匹配密码标识映射表，根据匹配结果进行相应的密码标识逆映射，再将数据流转发到数据鉴别模块进行密码标识真实性鉴别。

③数据鉴别模块将通过鉴别的数据流返回给流表匹配模块。

④再次匹配端口表，根据匹配项为入端口类型为鉴别端口且元数据为10，将该数据流转发到基本转发表。

⑤匹配基本转发表，按匹配成功的指令对该数据流进行相应的处理。

中心转发设备的流表匹配模块与一般的SDN交换机的匹配方式相似，直接进行匹配转发即可，这里不再赘述。

3.3.4 控制器流规则生成

在流表匹配过程中，控制器负责处理未匹配成功的数据流，通过密码标识鉴别模块鉴别标识的有效性，通过密码标识映射模块将密码标识进行转换，通过流规则生成模块为其生成相应的流规则，并下发到相关的转发设备中。

1) 密码标识鉴别模块

为防止失效的密码标识进入网络，在控制器中开发密码标识鉴别模块，通过与密码标识数据库进行交互，将失效的密码标识放入黑名单，监听密码标识数据库更新，并随时更新黑名单内容。通过检验密码标识是否处于黑名单来判断其有效性，若处于黑名单中，通知流规则生成模块下发相应的流规则拒绝所有带有该密码标识的数据流进入网络，否则交由密码标识映射模块做进一步处理。

图7 流表匹配的处理流程

2) 密码标识映射模块

为实现密码标识的透明传输，防止其成为网络攻击的靶子，在控制器中开发密码标识映射模块，通过随机散列算法建立密码标识映射表，为密码标识查找其映射值，若查找失败，该模块为其生成映射值，同时存储该映射关系，方便再次处理相同的密码标识。

3) 流规则生成模块

流规则生成模块主要将控制策略转化为转发设备能识别的流规则并下发给相应的转发设备，其下发的流规则分为预置流规则和实时流规则。

端口表中的流规则为预置流规则，当控制器收集完端口分类信息后，该模块根据入端口类型主动下发流规则到各接入转发设备的端口表中，决定数据流处理方式。

密码标识鉴别表中的流规则为实时流规则，该模块根据密码标识鉴别模块提供的密码标识失效策略下发流规则到指定接入转发设备的密码标识鉴别表中。

密码标识映射表中的流规则为实时流规则，该模块根据密码标识映射模块提供的密码标识映射与逆映射策略和数据流的流向下发相应的流规则到指定接入转发设备的密码标识映射表中。针对不同的数据流向，设计映射选择算法决定下发何种类型映射流规则。具体步骤如算法1所示。

算法1 映射选择算法

输出 映射流规则

1) if&&Î

2) 生成动作为直接转发到基本转发表的流规则

3) if&&Î

4) 生成动作为密码标识映射并转发到基本转发表的流规则

5) else

6) 生成动作为密码标识逆映射并转发到数据鉴别模块的流规则

基本转发表中的流规则为实时流规则，该模块调用全网视图（拓扑视图和资源视图）和结合应用层下发的相应控制策略最优化选取源地址到目的地址的路径，并下发流规则到指定转发设备的基本转发表中。

4 仿真实验与分析

4.1 实验环境

实验分别使用6台配置为i7-7700 CPU，16 GB内存，8网卡的联想A8800t搭载OpenDaylight控制器和Open vSwitch（简称OVS），8台扬天M4000e作为终端主机。实验拓扑如图8所示，OVS e1~e2充当接入转发设备，OVS a1~a3充当中心转发设备，h1~h8充当终端主机。

图8 实验拓扑

4.2 有效性验证

为验证所提方法的有效性，设计了3个实验。实验1用于验证该方法能否鉴别密码标识的真实性和有效性以及密码标识映射转换情况，实验2用来验证该方法能否基于密码标识定义网络转发行为，实验3用来验证映射选择算法的有效性。

4.2.1 不同数据分组访问网络

从图9可知，OVS e1数据分组到达数目约为OVS a1的4倍，同时通过查看e1、e2和a1中流规则的情况发现：1) e1中增加了2条流规则，一是将h2的数据分组丢弃，另一个是将h1的数据分组的密码标识进行转换；2) a1中无密码标识相关的流规则；3) e2中增加了一条流规则，内容为将e1中转换的密码标识还原成初始值，然后，使用wireshark在OVS a1抓取分组得出绝大多数IP分组来源于h1，原因在于接入转发设备能够识别密码标识是否失效，通过流表匹配将失效的密码标识丢弃，将有效的密码标识进行转换并在数据分组到达目的地址前将转换的密码标识还原成初始值，同时接入转发设备还能拒绝未携带密码标识或遭到篡改的数据分组进入网络。

图9 接入转发设备e1的数据分组到达统计

4.2.2 基于密码标识的控制转发

图10 中心转发设备a3的端口流量统计

从图10可知，a3-eth2和a3-eth3端口流量大致相同，a3-eth1端口流量约为a3-eth2和a1-eth3的3倍。然后，通过查看端口连接情况，得知：1) a3-eth1与a1相连；2) a3-eth2与a2相连；3) a3-eth3与e2相连。再通过wireshark在a2和e2上进行分组抓取，得知：1) a2收到数据分组携带用户B的密码标识；2) e2收到数据分组携带用户C的密码标识。原因在于，密码标识与用户的身份绑定，控制器可基于密码标识为不同的用户制定不同的转发策略。

4.2.3 映射选择算法有效性验证

为验证接入转发是否能根据数据流的流向选择不同的处理方式，通过h1 ping h2模拟流向为从接入端口进、从接入端口出的数据流，通过h1 ping h8模拟流向为从接入端口进、从路由端口出和从路由端口进、从接入端口出的数据流。

4.3 性能分析

通过实验分析转发设备的处理时延与控制器的CPU利用率，计算增加的相关模块对转发设备和控制器的影响。

4.3.1 转发设备的处理时延

在主机h1和h2上分别使用hping3向网络持续注入合法的数据分组，数据分组发送速率分别为50 Mbit/s、100 Mbit/s、150 Mbit/s、200 Mbit/s、250 Mbit/s、300 Mbit/s、350 Mbit/s、400 Mbit/s、450 Mbit/s、500 Mbit/s，数据分组的源地址、目的地址、源端口、目的端口均不重复（通过hping3命令参数设置）。在不同场景下，分别测试接入转发设备、中心转发设备和正常的OVS在不同数据分组发送速率的处理时延，重复10次，每次实验取最高结果，再把10次实验数据取平均，实验结果如图11所示。其中，各转发设备都已预置了相关流规则可直接匹配转发。

图11 转发设备的处理时延

4.3.2 控制器的CPU利用率

测试多种情况下原版OpenDaylight控制器和二次开发的OpenDaylight控制器在CPU利用率上的差异，在主机h1上使用hping3向网络持续注入合法的数据分组，数据分组的源地址、目的地址、源端口、目的端口均不重复（通过hping3命令参数设置）。每种情形进行了10次重复实验，每次实验取最高结果，再把10次实验数据取平均，测试结果如图12所示。

由图12可知，在不同情形下实验使用的OpenDaylight控制器的CPU占用率比原版OpenDaylight控制器略高，但两者差异不是很大，在可接受的范围内。

5 结束语

针对匹配域范围有限、不能满足网络业务精确控制的需求和转发设备流表匹配时缺乏有效的数据来源验证方法等问题，融合软件定义网络和网络空间密码标识技术，利用密码标识的3个属性，设计基于密码标识的SDN安全控制转发方法，在数据流进出网络时对其来源进行验证，限制网络安全风险范围，根据密码标识定义网络转发行为，能够对网络进行灵活的动态规划和管理，形成基于人、物、业务流等细粒度网络管控能力。未来的工作将研究基于密码标识的控制策略的快速编译与执行问题，进一步验证所提方法的可扩展性。

图12 控制器的CPU占用率

[1] MCKEOWN N. Software-defined networking[C]//IEEE International Conference on Computer Communications. 2009: 30-32.

[2] 左青云, 陈鸣, 赵广松, 等.基于OpenFlow的SDN技术研究[J].软件学报,2013(5):1078-1097.

ZUO Q Y, CHEN M, ZHAO G S, et al. Research on OpenFlow-based SDN technologies[J]. Journal of Software, 2013(5):1078-1097.

[3] 王蒙蒙, 刘建伟, 陈杰, 等. 软件定义网络:安全模型、机制及研究进展[J].软件学报,2016,27(4):969-992.

WANG M M, LIU J W, CHEN J, et al. Software defined networking: security model, threats and mechanism[J]. Journal of Software, 2016, 27(4): 969-992.

[4] LIU H H, WU X, ZHANG M, et al. zUpdate: updating data center networks with zero loss[J]. Computer Communication Review, 2013, 43(4):411-422.

[5] LI D, SHANG Y, CHEN C. Software defined green data center network with exclusive routing[C]//INFOCOM. 2014:1743-1751.

[6] DHAWAN M, PODDAR R, MAHAJAN K, et al. SPHINX: detecting security attacks in software-defined networks[C]//Network and Distributed System Security Symposium. 2015:1-15.

[7] 王首一, 李琦, 张云. 轻量级的软件定义网络数据分组转发验证[J].计算机学报,2017,40(7):9-26.

WANG S Y, LI Q, ZHANG Y. Lightweight packet forwarding verification in SDN[J]. Journal of Computers. 2017,40(7):9-26.

[8] YAO G, BI J, XIAO P. Source address validation solution with OpenFlow/NOX architecture[C]//IEEE International Conference on Network Protocols. 2011:7-12.

[9] CASADO M, FREEDMAN M J, PETTIT J, et al. Ethane: taking control of the enterprise[C]//ACM SIGCOMM Conference on Applications. 2007:1-12.

[10] SHIN S, PORRAS P, YEGNESWARAN V, et al. FRESCO: modular composable security services for software-defined networks[C]//Network & Distributed Security Symposium, 2013.

[11] BALLARD J R, RAE I, AKELLA A. Extensible and scalable network monitoring using OpenSAFE[C]//Internet Network Management Conference on Research on Enterprise Networking. 2010:8.

[12] WUNDSAM A, LEVIN D, SEETHARAMAN S, et al. OFRewind: enabling record and replay troubleshooting for networks[C]//Usenix Conference on Usenix Technical Conference. 2011:29.

[13] SHIN S, GU G. CloudWatcher: network security monitoring using OpenFlow in dynamic cloud networks [C]//IEEE International Conference on Network Protocols. 2012:1-6.

[14] 毕军.SDN体系结构与未来网络体系结构创新环境[J]. 电信科学, 2013, 29(8):6-15.

BI J. SDN architecture and future network innovation environment[J]. Telecommunications Science, 2013, 29(8):6-15.

[15] 南湘浩.CPK组合公钥体制(v8.0)[J].金融电子化,2013(3):39-41.

NAN X H. CPK combined public key cryptosystem(v8.0)[J]. Financial Electronics, 2013(3):39-41.

SDN security control and forwarding method based on cipher identification

QIN Xi1, TANG Guodong1, CHANG Chaowen1,2

1. The Third Institute, Information Engineering University, Zhengzhou 450001, China 2. Zhengzhou Xinda Advanced Technology Research Institute, Zhengzhou 450001, China

Aimed at the limited matching fields and the lack of effective data source authentication mechanism in the software defined networking (SDN), a SDN security control forwarding method based on cipher identification was proposed. First, the cipher identification was generated according to the user identity, file attributes or business content and other characteristics, and the data stream was marked by the cipher identification and signed with the private key based on the cipher identification. Then, when the data stream entered and left the network, the forwarding device verified its signature to ensure the authenticity of the data. At the same time, the cipher identification was designed as a matching item recognized by the forwarding device, and the network forwarding behavior was defined based on the cipher identification, so a fine-grained network control capability could be formed based on people, things, and business flow. Finally, the validity of the method is verified by experimental analysis.

software defined networking, cipher identification, security control and forwarding, flow table matching

TP393

A

10.11959/j.issn.1000-436x.2018022

：2017-10-12；

2018-01-17

唐国栋，tgdhooping@163.com

国家自然科学基金资助项目（No. 61572517）

The National Natural Science Foundation of China (No. 61572517)

秦晰（1978-），女，河南焦作人，博士，信息工程大学副教授、硕士生导师，主要研究方向为SDN安全、可信计算。

唐国栋（1992-），男，湖南永州人，信息工程大学硕士生，主要研究方向为SDN安全。

常朝稳（1966-），男，河南滑县人，博士，信息工程大学教授、博士生导师，主要研究方向为移动信息安全、物联网安全。