軟件定義網(wǎng)絡(luò)中訪問控制列表關(guān)鍵技術(shù)的研究.pdf

1、訪問控制列表（Access Control List，ACL）是一種網(wǎng)絡(luò)安全保障技術(shù)，提供了網(wǎng)絡(luò)流量過濾功能。然而，在傳統(tǒng)網(wǎng)絡(luò)中實現(xiàn)ACL技術(shù)存在著一些弊端，如網(wǎng)絡(luò)設(shè)備成本較高，對ACL的設(shè)計、配置與維護非常繁瑣且易出錯等，以上弊端產(chǎn)生的根本原因在于傳統(tǒng)網(wǎng)絡(luò)采用了分布式的方式來實現(xiàn)ACL技術(shù)。相比于傳統(tǒng)網(wǎng)絡(luò)，軟件定義網(wǎng)絡(luò)（Software-Defined Networking，SDN）提供了一個更加合適的架構(gòu)來實現(xiàn)ACL技術(shù)。SDN將網(wǎng)

2、絡(luò)設(shè)備中的控制邏輯與轉(zhuǎn)發(fā)邏輯分離，并提供了SDN控制器以一種集中式的方式對網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)行為進行管理。
　　本文基于SDN設(shè)計并實現(xiàn)了一種訪問控制列表CLACK，該訪問控制列表在邏輯上集中，工作在由用戶驅(qū)動的主動方式下，實現(xiàn)對SDN中網(wǎng)絡(luò)數(shù)據(jù)包的過濾功能。該訪問控制列表提供了一個集中式的管理接口以供用戶定義訪問控制列表，它從全局網(wǎng)絡(luò)視圖中提取出抽象網(wǎng)絡(luò)視圖，并基于該視圖實時響應(yīng)用戶的訪問控制列表更新請求，通過操作底層OpenFlo

3、w交換機中的流表項實現(xiàn)訪問控制列表中規(guī)定的高層網(wǎng)絡(luò)安全策略。該訪問控制列表還能夠?qū)W(wǎng)絡(luò)視圖更新事件作出動態(tài)響應(yīng)，及時更新底層OpenFlow交換機中的流表，確保高層網(wǎng)絡(luò)安全策略被正確實現(xiàn)。與SDN中現(xiàn)有的訪問控制列表相比，本文提出的訪問控制列表能夠減少網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)時延，節(jié)約控制平面的處理資源及控制與數(shù)據(jù)平面之間的帶寬，并避免了因無法及時管理交換機中的流表導(dǎo)致出現(xiàn)違背網(wǎng)絡(luò)安全策略的現(xiàn)象。
　　本文將CLACK訪問控制列表實現(xiàn)為單控

4、制器版本（基于Floodlight控制器）與多控制器版本（基于ONOS控制器）。兩個版本CLACK的源代碼現(xiàn)已被Floodlight與ONOS開源項目所采納，被官方提供的最新版本控制器源碼所集成。文中對CLACK進行了功能測試，驗證了其能夠正確的提供ACL功能。文中還通過大量實驗比較了兩個版本CLACK與Floodlight控制器防火墻應(yīng)用的性能，實驗結(jié)果表示CLACK擁有較好的性能。
　　除此之外，本文還基于CLACK相關(guān)工作提