軟件定義網(wǎng)絡(luò)中訪問(wèn)控制列表關(guān)鍵技術(shù)的研究.pdf

1、訪問(wèn)控制列表（Access Control List，ACL）是一種網(wǎng)絡(luò)安全保障技術(shù)，提供了網(wǎng)絡(luò)流量過(guò)濾功能。然而，在傳統(tǒng)網(wǎng)絡(luò)中實(shí)現(xiàn)ACL技術(shù)存在著一些弊端，如網(wǎng)絡(luò)設(shè)備成本較高，對(duì)ACL的設(shè)計(jì)、配置與維護(hù)非常繁瑣且易出錯(cuò)等，以上弊端產(chǎn)生的根本原因在于傳統(tǒng)網(wǎng)絡(luò)采用了分布式的方式來(lái)實(shí)現(xiàn)ACL技術(shù)。相比于傳統(tǒng)網(wǎng)絡(luò)，軟件定義網(wǎng)絡(luò)（Software-Defined Networking，SDN）提供了一個(gè)更加合適的架構(gòu)來(lái)實(shí)現(xiàn)ACL技術(shù)。SDN將網(wǎng)

2、絡(luò)設(shè)備中的控制邏輯與轉(zhuǎn)發(fā)邏輯分離，并提供了SDN控制器以一種集中式的方式對(duì)網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)行為進(jìn)行管理。
　　本文基于SDN設(shè)計(jì)并實(shí)現(xiàn)了一種訪問(wèn)控制列表CLACK，該訪問(wèn)控制列表在邏輯上集中，工作在由用戶(hù)驅(qū)動(dòng)的主動(dòng)方式下，實(shí)現(xiàn)對(duì)SDN中網(wǎng)絡(luò)數(shù)據(jù)包的過(guò)濾功能。該訪問(wèn)控制列表提供了一個(gè)集中式的管理接口以供用戶(hù)定義訪問(wèn)控制列表，它從全局網(wǎng)絡(luò)視圖中提取出抽象網(wǎng)絡(luò)視圖，并基于該視圖實(shí)時(shí)響應(yīng)用戶(hù)的訪問(wèn)控制列表更新請(qǐng)求，通過(guò)操作底層OpenFlo

3、w交換機(jī)中的流表項(xiàng)實(shí)現(xiàn)訪問(wèn)控制列表中規(guī)定的高層網(wǎng)絡(luò)安全策略。該訪問(wèn)控制列表還能夠?qū)W(wǎng)絡(luò)視圖更新事件作出動(dòng)態(tài)響應(yīng)，及時(shí)更新底層OpenFlow交換機(jī)中的流表，確保高層網(wǎng)絡(luò)安全策略被正確實(shí)現(xiàn)。與SDN中現(xiàn)有的訪問(wèn)控制列表相比，本文提出的訪問(wèn)控制列表能夠減少網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)時(shí)延，節(jié)約控制平面的處理資源及控制與數(shù)據(jù)平面之間的帶寬，并避免了因無(wú)法及時(shí)管理交換機(jī)中的流表導(dǎo)致出現(xiàn)違背網(wǎng)絡(luò)安全策略的現(xiàn)象。
　　本文將CLACK訪問(wèn)控制列表實(shí)現(xiàn)為單控

4、制器版本（基于Floodlight控制器）與多控制器版本（基于ONOS控制器）。兩個(gè)版本CLACK的源代碼現(xiàn)已被Floodlight與ONOS開(kāi)源項(xiàng)目所采納，被官方提供的最新版本控制器源碼所集成。文中對(duì)CLACK進(jìn)行了功能測(cè)試，驗(yàn)證了其能夠正確的提供ACL功能。文中還通過(guò)大量實(shí)驗(yàn)比較了兩個(gè)版本CLACK與Floodlight控制器防火墻應(yīng)用的性能，實(shí)驗(yàn)結(jié)果表示CLACK擁有較好的性能。
　　除此之外，本文還基于CLACK相關(guān)工作提