国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      基于區(qū)塊鏈的軟件定義網(wǎng)絡(luò)控制層安全機(jī)制構(gòu)建方法與流程

      文檔序號(hào):11206323閱讀:575來(lái)源:國(guó)知局
      基于區(qū)塊鏈的軟件定義網(wǎng)絡(luò)控制層安全機(jī)制構(gòu)建方法與流程

      本發(fā)明屬于網(wǎng)絡(luò)空間安全技術(shù)領(lǐng)域,尤其涉及一種基于區(qū)塊鏈技術(shù)的軟件定義網(wǎng)絡(luò)控制層安全機(jī)制的構(gòu)建方法。



      背景技術(shù):

      軟件定義網(wǎng)絡(luò)(sdn)將傳統(tǒng)網(wǎng)絡(luò)硬件設(shè)備的控制層和數(shù)據(jù)層分離,相對(duì)于傳統(tǒng)網(wǎng)絡(luò)提供了兩大優(yōu)勢(shì),控制層中心化的sdn控制器提供數(shù)據(jù)層資源的全網(wǎng)視圖,sdn控制器應(yīng)用使數(shù)據(jù)層設(shè)備的網(wǎng)絡(luò)流配置具有可編程性。然而,sdn的兩大優(yōu)勢(shì)同時(shí)也帶來(lái)了許多傳統(tǒng)網(wǎng)絡(luò)未有的安全問(wèn)題,這些安全威脅都有可能使整個(gè)網(wǎng)絡(luò)發(fā)生故障。如:中心化控制器引發(fā)的單點(diǎn)故障問(wèn)題,可編程性給惡意的網(wǎng)絡(luò)流配置提供了注入入口,全網(wǎng)設(shè)備資源的對(duì)外暴露潛藏著資源訪問(wèn)的安全威脅等等。

      為此,我們引入?yún)^(qū)塊鏈技術(shù)來(lái)解決這一問(wèn)題。區(qū)塊鏈技術(shù)是當(dāng)今一項(xiàng)十分具有影響力的技術(shù)。它最初源于數(shù)字貨幣(比特幣)技術(shù),因其去中心化,不可篡改,不依賴(lài)于信任機(jī)制而達(dá)到全網(wǎng)共識(shí)等特性受到廣泛的關(guān)注?,F(xiàn)介紹比特幣技術(shù)主要的組成要素:

      交易:交易是區(qū)塊鏈節(jié)點(diǎn)的參與者之間數(shù)字貨幣流通的具體體現(xiàn),交易貨幣的所有權(quán)由加鎖腳本和解鎖腳本決定。加鎖腳本記錄著交易的發(fā)起方將貨幣的所有權(quán)授權(quán)給接受方,即用接受方的公鑰進(jìn)行加密并用自己的私鑰進(jìn)行簽名。解鎖腳本是證明接受方擁有私鑰可以解密該交易的貨幣并獲得所有權(quán),其中,交易的正確性由發(fā)起方的簽名進(jìn)行了驗(yàn)證。

      礦工:將交易寫(xiě)入?yún)^(qū)塊,負(fù)責(zé)新區(qū)塊的生成。

      挖礦:礦工在區(qū)塊鏈激勵(lì)機(jī)制的驅(qū)動(dòng)下,通過(guò)計(jì)算一個(gè)所有節(jié)點(diǎn)共識(shí)的困難值(proofofwork算法,pow)競(jìng)爭(zhēng)獲得下一個(gè)區(qū)塊產(chǎn)生權(quán)的過(guò)程。區(qū)塊鏈的激勵(lì)機(jī)制是保證每一個(gè)獲得所有節(jié)點(diǎn)共識(shí)的區(qū)塊產(chǎn)生權(quán)得到一定的比特幣獎(jiǎng)勵(lì)。pow算法是指,每一個(gè)礦工耗費(fèi)計(jì)算力競(jìng)爭(zhēng)計(jì)算滿足條件的一個(gè)預(yù)定的hash困難值,從而得到區(qū)塊的產(chǎn)生權(quán)且獲得相應(yīng)的比特幣獎(jiǎng)勵(lì)。

      交易不可篡改:區(qū)塊鏈中的區(qū)塊其實(shí)記錄著鏈條上的每一筆交易,每一個(gè)區(qū)塊不僅記錄著當(dāng)前塊中所有交易hash組成的merkelroot,也記錄著上一個(gè)區(qū)塊的hash值,所有的hash值串成一條鏈,保證了區(qū)塊上每一筆交易的不可篡改性。另外,當(dāng)一個(gè)區(qū)塊的后續(xù)區(qū)塊超過(guò)5個(gè)區(qū)塊,則該區(qū)塊上的交易被確保有效,具有不可篡改性。

      去中心化:區(qū)塊鏈的每個(gè)參與節(jié)點(diǎn)都可以擁有一份完整的區(qū)塊鏈數(shù)據(jù),所有參與節(jié)點(diǎn)不需要信任任何第三方,每一個(gè)節(jié)點(diǎn)可以確認(rèn)每一筆交易合法性,節(jié)點(diǎn)可以同步網(wǎng)絡(luò)公開(kāi)的區(qū)塊,獲得最新的區(qū)塊鏈數(shù)據(jù)。

      共識(shí)機(jī)制:區(qū)塊鏈的共識(shí)機(jī)制不依賴(lài)任何第三方,而是基于密碼學(xué)技術(shù)。所有區(qū)塊鏈上的交易hash組成的merkelroot保證交易可靠性,決定區(qū)塊鏈下一個(gè)區(qū)塊產(chǎn)生的pow算法具備計(jì)算困難性,它是需要礦工通過(guò)將本身的所有交易加上一個(gè)區(qū)塊的hash值,加上一個(gè)隨機(jī)數(shù),通過(guò)遍歷隨機(jī)數(shù),生成小于某個(gè)固定數(shù)值的hash值,pow算法是區(qū)塊鏈所有節(jié)點(diǎn)共識(shí)新有效區(qū)塊的保證。



      技術(shù)實(shí)現(xiàn)要素:

      為了解決現(xiàn)有技術(shù)所存在的問(wèn)題,本發(fā)明提供基于區(qū)塊鏈的軟件定義網(wǎng)絡(luò)控制層安全機(jī)制構(gòu)建方法,提供一個(gè)主要由多個(gè)控制器組成的控制層,構(gòu)建了網(wǎng)絡(luò)流可認(rèn)證,應(yīng)用網(wǎng)絡(luò)流及網(wǎng)絡(luò)狀態(tài)資源可審計(jì)追蹤,多個(gè)控制器可達(dá)成全網(wǎng)狀態(tài)資源共識(shí)和網(wǎng)絡(luò)狀態(tài)資源安全訪問(wèn)控制一體化的新型sdn控制層。

      本發(fā)明是這樣實(shí)現(xiàn)的:基于區(qū)塊鏈的軟件定義網(wǎng)絡(luò)控制層安全機(jī)制構(gòu)建方法,軟件定義網(wǎng)絡(luò)控制層包括數(shù)據(jù)層、區(qū)塊鏈層、控制層及應(yīng)用層,數(shù)據(jù)層設(shè)有多個(gè)交換機(jī),應(yīng)用層設(shè)有多個(gè)sdn應(yīng)用,控制層包括多個(gè)控制器,區(qū)塊鏈層部署于控制層與數(shù)據(jù)層之間,控制層的控制器與區(qū)塊鏈進(jìn)行交互,而區(qū)塊鏈對(duì)于數(shù)據(jù)層的交換機(jī)和應(yīng)用層的sdn應(yīng)用是透明的,sdn應(yīng)用、控制器和交換機(jī)為網(wǎng)絡(luò)實(shí)體;構(gòu)建方法包括以下步驟:

      s1、形成可認(rèn)證的sdn網(wǎng)絡(luò)流,認(rèn)證通過(guò)的sdn網(wǎng)絡(luò)流作用于交換機(jī),該網(wǎng)絡(luò)流以及網(wǎng)絡(luò)流作用后的交換機(jī)狀態(tài)分別形成網(wǎng)絡(luò)流交易和網(wǎng)絡(luò)狀態(tài)交易,被記錄于區(qū)塊鏈中;

      s2、運(yùn)用區(qū)塊鏈上的數(shù)據(jù)具有不可篡改的特性,通過(guò)審計(jì)網(wǎng)絡(luò)流交易及網(wǎng)絡(luò)狀態(tài)交易數(shù)據(jù),對(duì)網(wǎng)絡(luò)進(jìn)行排查和追蹤;

      s3、依賴(lài)區(qū)塊鏈共識(shí)機(jī)制,在控制器之間達(dá)成對(duì)控制器網(wǎng)絡(luò)狀態(tài)資源的一致性共識(shí);

      s4、網(wǎng)絡(luò)狀態(tài)資源由控制器針對(duì)與其連接的sdn應(yīng)用身份和類(lèi)別應(yīng)用基于屬性加密的密碼工具設(shè)置資源訪問(wèn)控制策略,從而實(shí)現(xiàn)網(wǎng)絡(luò)資源的細(xì)粒度訪問(wèn)控制。

      優(yōu)選地,步驟s1過(guò)程為:首先,每一網(wǎng)絡(luò)實(shí)體的注冊(cè)事件形成注冊(cè)交易,每一個(gè)網(wǎng)絡(luò)實(shí)體包含唯一標(biāo)識(shí)和實(shí)體描述信息,被寫(xiě)于區(qū)塊鏈上;在網(wǎng)絡(luò)實(shí)體的注冊(cè)過(guò)程中,利用部署于區(qū)塊鏈上的注冊(cè)合約判斷某一網(wǎng)絡(luò)實(shí)體是否已形成注冊(cè)交易記錄來(lái)認(rèn)證網(wǎng)絡(luò)實(shí)體,若已有網(wǎng)絡(luò)實(shí)體注冊(cè)交易則拒絕該網(wǎng)絡(luò)實(shí)體連接網(wǎng)絡(luò);

      然后,將注冊(cè)交易用于認(rèn)證流進(jìn)sdn的網(wǎng)絡(luò)流,當(dāng)一條網(wǎng)絡(luò)流交易記錄形成時(shí),對(duì)部署于區(qū)塊鏈上的網(wǎng)絡(luò)流檢測(cè)安全協(xié)議發(fā)起消息,利用網(wǎng)絡(luò)流檢測(cè)安全協(xié)議審查網(wǎng)絡(luò)流是否由已注冊(cè)的sdn應(yīng)用發(fā)起和網(wǎng)絡(luò)流是否被篡改,若審查不通過(guò)則拒絕該網(wǎng)絡(luò)流流入網(wǎng)絡(luò);若審查通過(guò),即網(wǎng)絡(luò)流由已注冊(cè)的sdn應(yīng)用發(fā)出且網(wǎng)絡(luò)流沒(méi)有被重復(fù)發(fā)送則形成網(wǎng)絡(luò)流交易,記錄于區(qū)塊鏈上,網(wǎng)絡(luò)流被注入對(duì)應(yīng)的交換機(jī)后引起的交換機(jī)狀態(tài)變更事件形成網(wǎng)絡(luò)狀態(tài)交易,同樣記錄于區(qū)塊鏈上。

      優(yōu)選地,步驟s2過(guò)程為:在網(wǎng)絡(luò)流交易形成過(guò)程中,當(dāng)兩條由不同sdn應(yīng)用發(fā)送的網(wǎng)絡(luò)流發(fā)生沖突時(shí),控制器對(duì)沖突的網(wǎng)絡(luò)流做出仲裁,仲裁結(jié)果通過(guò)判斷最終哪一條網(wǎng)絡(luò)流被生成網(wǎng)絡(luò)流交易得到,向未被仲裁的sdn應(yīng)用發(fā)出流采用失敗消息;通過(guò)審查當(dāng)前的前一段時(shí)間內(nèi)形成的網(wǎng)絡(luò)狀態(tài)交易,審查網(wǎng)絡(luò)狀態(tài)交易的發(fā)出源和目的地的描述字段,若某一控制器在超過(guò)網(wǎng)絡(luò)可容忍的時(shí)間閾值外都沒(méi)有參與網(wǎng)絡(luò)運(yùn)行的活動(dòng),則判斷該控制器發(fā)生故障,繼續(xù)審查區(qū)塊鏈上該控制器的注冊(cè)記錄得到該控制器管理的所有交換機(jī)注冊(cè)記錄,相應(yīng)得到這些交換機(jī)的實(shí)體信息,向連接該控制器的交換機(jī)發(fā)出警告和發(fā)送網(wǎng)絡(luò)中存活的控制器列表,使得交換機(jī)連接其他存活的控制器,及時(shí)得到網(wǎng)絡(luò)響應(yīng)。

      從上述技術(shù)方案可知,本發(fā)明將區(qū)塊鏈應(yīng)用于構(gòu)建軟件定義網(wǎng)絡(luò)控制層安全機(jī)制,控制層安全機(jī)制包括:可認(rèn)證的網(wǎng)絡(luò)流,可審計(jì)的網(wǎng)絡(luò)流和網(wǎng)絡(luò)狀態(tài)資源,多個(gè)控制器之間達(dá)成全網(wǎng)狀態(tài)資源的共識(shí),網(wǎng)絡(luò)狀態(tài)資源的安全訪問(wèn)控制。首先,控制器,sdn應(yīng)用和交換機(jī)等網(wǎng)絡(luò)實(shí)體連接網(wǎng)絡(luò)時(shí),連接記錄形成注冊(cè)交易并記錄于區(qū)塊鏈,隨后基于已有的注冊(cè)交易認(rèn)證連接網(wǎng)絡(luò)的實(shí)體,如果實(shí)體在區(qū)塊鏈已經(jīng)存在認(rèn)證記錄,則拒絕實(shí)體進(jìn)入網(wǎng)絡(luò)。其次,sdn應(yīng)用發(fā)出網(wǎng)絡(luò)流通過(guò)認(rèn)證后由控制器將網(wǎng)絡(luò)流注入對(duì)應(yīng)的交換機(jī),形成網(wǎng)絡(luò)流交易以及因該網(wǎng)絡(luò)流作用而引起的網(wǎng)絡(luò)狀態(tài)交易,記錄于區(qū)塊鏈中;當(dāng)交換機(jī)設(shè)備向控制器提供的網(wǎng)絡(luò)狀態(tài)或發(fā)出網(wǎng)絡(luò)請(qǐng)求時(shí),這類(lèi)網(wǎng)絡(luò)事件形成網(wǎng)絡(luò)狀態(tài)交易也記錄于區(qū)塊鏈。依據(jù)區(qū)塊鏈的運(yùn)行機(jī)制,區(qū)塊鏈記錄的最新網(wǎng)絡(luò)狀態(tài)交易存在于最新的區(qū)塊中,基于區(qū)塊鏈的bft(byzantinefaulttolerance)共識(shí)協(xié)議算法,隨著最新區(qū)塊的生成,區(qū)塊的這些最新網(wǎng)絡(luò)狀態(tài)交易被公開(kāi)且每個(gè)控制器都獲得這些網(wǎng)絡(luò)狀態(tài)交易,從而所有控制器總能對(duì)當(dāng)前網(wǎng)絡(luò)狀態(tài)資源達(dá)成一致共識(shí)。另一方面,應(yīng)用基于屬性加密算法abe,根據(jù)sdn應(yīng)用身份和類(lèi)別以及其在該網(wǎng)的連接關(guān)系,設(shè)置網(wǎng)絡(luò)狀態(tài)資源安全訪問(wèn)控制策略,每一個(gè)sdn應(yīng)用可以訪問(wèn)它所滿足的訪問(wèn)策略的網(wǎng)絡(luò)資源而非全網(wǎng)資源。

      與現(xiàn)有技術(shù)相比,本發(fā)明具有如下有益效果:

      1、因?yàn)閰^(qū)塊鏈由分布式節(jié)點(diǎn)共同維護(hù),鏈上數(shù)據(jù)公開(kāi),具有不可篡改且可追溯的特性,所以本發(fā)明實(shí)現(xiàn)了多個(gè)控制器對(duì)多個(gè)sdn應(yīng)用及其網(wǎng)絡(luò)策略的統(tǒng)一認(rèn)證,而非獨(dú)立于每一個(gè)控制器實(shí)現(xiàn)認(rèn)證。

      2、區(qū)塊鏈基于bft(byzantinefaulttolerance)共識(shí)協(xié)議,實(shí)現(xiàn)了多個(gè)控制器之間的網(wǎng)絡(luò)狀態(tài)同步,每個(gè)控制器獲得一致的網(wǎng)絡(luò)狀態(tài)資源。

      3、利用區(qū)塊鏈平臺(tái)部署多個(gè)實(shí)現(xiàn)安全協(xié)議的智能合約,從而加固整個(gè)sdn網(wǎng)絡(luò),加固sdn安全的協(xié)議的實(shí)現(xiàn)依賴(lài)于區(qū)塊鏈?zhǔn)且惑w式的而非多個(gè)分離的安全模塊。

      附圖說(shuō)明

      圖1是本發(fā)明實(shí)施例提供的一種基于區(qū)塊鏈技術(shù)的sdn控制層安全機(jī)制流程圖;

      圖2是本發(fā)明實(shí)施例提供的一種基于區(qū)塊鏈技術(shù)的sdn控制層安全機(jī)制架構(gòu)圖。

      具體實(shí)施方式

      下面結(jié)合實(shí)施例和附圖對(duì)本發(fā)明做進(jìn)一步闡述,但本發(fā)明的實(shí)施方式不限于此。

      實(shí)施例

      本發(fā)明基于區(qū)塊鏈的軟件定義網(wǎng)絡(luò)控制層安全機(jī)制構(gòu)建方法,提供一個(gè)可認(rèn)證審計(jì)的應(yīng)用網(wǎng)絡(luò)流和網(wǎng)絡(luò)狀態(tài),控制層由多個(gè)控制器組成并維持全網(wǎng)資源視圖,全網(wǎng)資源具有安全訪問(wèn)控制策略的sdn控制層。所構(gòu)建的sdn控制層架構(gòu)如圖2所示,不同于傳統(tǒng)的sdn三層架構(gòu),區(qū)塊鏈層部署于控制層與數(shù)據(jù)層之間,控制層的控制器與區(qū)塊鏈進(jìn)行交互,而區(qū)塊鏈對(duì)于數(shù)據(jù)層的交換機(jī)和應(yīng)用層的sdn應(yīng)用是透明的,無(wú)感知的。

      本發(fā)明加強(qiáng)了sdn控制層的安全性,基于區(qū)塊鏈平臺(tái)和智能合約實(shí)現(xiàn)的sdn交易數(shù)據(jù)以及安全協(xié)議,包括:“authflowprotocol”協(xié)議,實(shí)現(xiàn)認(rèn)證sdn應(yīng)用所發(fā)出的網(wǎng)絡(luò)策略的功能,審查sdn應(yīng)用注冊(cè)交易記錄,認(rèn)證sdn應(yīng)用發(fā)出的網(wǎng)絡(luò)流。“flowreplyresistantprotocol”協(xié)議,實(shí)現(xiàn)控制器抵抗網(wǎng)絡(luò)策略的惡意重放攻擊的功能,審查sdn應(yīng)用網(wǎng)絡(luò)流記錄,抵抗控制器遭受網(wǎng)絡(luò)流的惡意重放攻擊?!皀otifyflowarbitrationprotocol”協(xié)議,用于實(shí)現(xiàn)發(fā)送了沖突流策略的app而在沖突流仲裁過(guò)程未被沖裁時(shí),審計(jì)未被仲裁的網(wǎng)絡(luò)流,并溯源其sdn應(yīng)用,對(duì)app發(fā)出提醒信號(hào)。“auditeventprotocol”協(xié)議,實(shí)現(xiàn)網(wǎng)絡(luò)事件的審計(jì)功能,審查網(wǎng)絡(luò)事件記錄,關(guān)聯(lián)網(wǎng)絡(luò)事件記錄和網(wǎng)絡(luò)流記錄,獲得網(wǎng)絡(luò)事件發(fā)生源和結(jié)果狀態(tài)記錄?!皀otifyfailedcontrollerprotocol”協(xié)議,實(shí)現(xiàn)對(duì)連接了出現(xiàn)故障控制器的交換機(jī)發(fā)出提醒信號(hào)的功能,監(jiān)聽(tīng)控制器的存活狀態(tài),若控制器出現(xiàn)故障,提醒控制器所管理的交換機(jī),連接其他活動(dòng)的控制器。

      本發(fā)明sdn控制層安全機(jī)制的構(gòu)建依賴(lài)于構(gòu)建在控制層上的基于bft(byzantinefaulttolerance)共識(shí)協(xié)議的區(qū)塊鏈,區(qū)塊鏈保證存儲(chǔ)數(shù)據(jù)的不可篡改、可審計(jì)、可追蹤以及實(shí)現(xiàn)多個(gè)控制器間對(duì)全網(wǎng)資源的統(tǒng)一共識(shí),應(yīng)用密碼原語(yǔ)abe算法實(shí)現(xiàn)全網(wǎng)資源的安全訪問(wèn)控制機(jī)制。如圖1所示,主要包括以下步驟:

      步驟一、形成可認(rèn)證的sdn網(wǎng)絡(luò)流,認(rèn)證通過(guò)的sdn網(wǎng)絡(luò)流作用于交換機(jī),該網(wǎng)絡(luò)流以及網(wǎng)絡(luò)流作用后的交換機(jī)狀態(tài)分別形成網(wǎng)絡(luò)流交易和網(wǎng)絡(luò)狀態(tài)交易,被記錄于區(qū)塊鏈中。

      首先,sdn部署時(shí),sdn應(yīng)用、控制器和交換機(jī)注冊(cè)事件會(huì)形成注冊(cè)交易,每一個(gè)網(wǎng)絡(luò)實(shí)體包含唯一標(biāo)識(shí)和實(shí)體描述信息,被寫(xiě)于區(qū)塊鏈上。在注冊(cè)過(guò)程中,利用部署于區(qū)塊鏈上的注冊(cè)合約判斷某一網(wǎng)絡(luò)實(shí)體是否已形成注冊(cè)交易記錄來(lái)認(rèn)證實(shí)體。由于部署于區(qū)塊鏈上的注冊(cè)合約具有審查各實(shí)體是否具有唯一性的控制邏輯,所以當(dāng)一個(gè)實(shí)體連接網(wǎng)絡(luò)并形成一條注冊(cè)交易記錄時(shí),會(huì)向該注冊(cè)合約發(fā)送一條交易消息,該合約被觸發(fā)運(yùn)行,合約如果判斷已有實(shí)體注冊(cè)交易,則拒絕該實(shí)體連接網(wǎng)絡(luò)。

      上述sdn應(yīng)用注冊(cè)交易可用于認(rèn)證流進(jìn)sdn的網(wǎng)絡(luò)流。當(dāng)一條sdn網(wǎng)絡(luò)流流進(jìn)網(wǎng)絡(luò)時(shí),流信息包括應(yīng)用標(biāo)識(shí)、網(wǎng)絡(luò)流標(biāo)識(shí)、sdn應(yīng)用對(duì)網(wǎng)絡(luò)流的簽名和網(wǎng)絡(luò)流的內(nèi)容。部署于區(qū)塊鏈上的網(wǎng)絡(luò)流檢測(cè)安全協(xié)議具有審查網(wǎng)絡(luò)流合法性的控制邏輯,當(dāng)一條網(wǎng)絡(luò)流交易記錄形成時(shí),對(duì)網(wǎng)絡(luò)流安全協(xié)議發(fā)起消息,該合約審核網(wǎng)絡(luò)流合法性,即審核是否由已注冊(cè)的sdn應(yīng)用發(fā)起和網(wǎng)絡(luò)流是否被篡改,若網(wǎng)絡(luò)流合法性的審核不通過(guò),拒絕該網(wǎng)絡(luò)流流入網(wǎng)絡(luò);接著,具有審計(jì)網(wǎng)絡(luò)流唯一性的合約開(kāi)始工作,該合約抵抗網(wǎng)絡(luò)應(yīng)用的惡意網(wǎng)絡(luò)流對(duì)某一個(gè)控制器發(fā)起重放攻擊的行為。若審核通過(guò),即該網(wǎng)絡(luò)由已注冊(cè)的sdn應(yīng)用發(fā)出且網(wǎng)絡(luò)流沒(méi)有被重復(fù)發(fā)送,則形成網(wǎng)絡(luò)流交易,記錄于區(qū)塊鏈上。該網(wǎng)絡(luò)流被注入對(duì)應(yīng)的交換機(jī)后引起的交換機(jī)狀態(tài)變更事件形成網(wǎng)絡(luò)狀態(tài)交易,同樣記錄于區(qū)塊鏈上。

      步驟二、運(yùn)用區(qū)塊鏈上的數(shù)據(jù)具有不可篡改的特性,通過(guò)審計(jì)sdn的網(wǎng)絡(luò)流交易及網(wǎng)絡(luò)狀態(tài)交易數(shù)據(jù),對(duì)網(wǎng)絡(luò)進(jìn)行排查和追蹤。

      在步驟一網(wǎng)絡(luò)流交易形成過(guò)程,當(dāng)兩條由不同sdn應(yīng)用發(fā)送的網(wǎng)絡(luò)流發(fā)生沖突時(shí),控制器會(huì)對(duì)沖突的網(wǎng)絡(luò)流做出仲裁。網(wǎng)絡(luò)沖突流的仲裁結(jié)果可以通過(guò)判斷最終哪一條網(wǎng)絡(luò)流被生成網(wǎng)絡(luò)流交易得到,此時(shí)可以向未被仲裁的sdn應(yīng)用發(fā)出流采用失敗消息。除了步驟一描述的由于網(wǎng)絡(luò)流作用于交換機(jī)引起而網(wǎng)絡(luò)狀態(tài)變更事件會(huì)生成網(wǎng)絡(luò)狀態(tài)交易外,在網(wǎng)絡(luò)運(yùn)行時(shí),交換機(jī)也會(huì)向控制器發(fā)出網(wǎng)絡(luò)請(qǐng)求以及上傳網(wǎng)絡(luò)狀態(tài),這類(lèi)網(wǎng)絡(luò)事件都包含對(duì)網(wǎng)絡(luò)狀態(tài)發(fā)出源和目的地的描述,相應(yīng)形成時(shí)間上有序的網(wǎng)絡(luò)狀態(tài)交易,同樣記錄于區(qū)塊鏈上。

      通過(guò)審查當(dāng)前的前一段時(shí)間內(nèi)形成的網(wǎng)絡(luò)狀態(tài)交易,審查網(wǎng)絡(luò)狀態(tài)交易的發(fā)出源和目的地的描述字段,若某一控制器在超過(guò)網(wǎng)絡(luò)可容忍的時(shí)間閾值外都沒(méi)有參與網(wǎng)絡(luò)運(yùn)行的活動(dòng),則判斷該控制器很可能發(fā)生故障,繼續(xù)審查區(qū)塊鏈上該控制器的注冊(cè)記錄得到該控制器管理的所有交換機(jī)注冊(cè)記錄,相應(yīng)得到這些交換機(jī)的實(shí)體信息,向連接該控制器的交換機(jī)發(fā)出警告和發(fā)送網(wǎng)絡(luò)中存活的控制器列表,使得交換機(jī)可以連接其他存活的控制器,及時(shí)得到網(wǎng)絡(luò)響應(yīng)??傊瑓^(qū)塊鏈的交易具有不可篡改性,時(shí)間有序性,提供了可審計(jì)的網(wǎng)絡(luò)流和網(wǎng)絡(luò)狀態(tài),有助于網(wǎng)絡(luò)的排查和故障追蹤。

      步驟三、依賴(lài)區(qū)塊鏈bft(byzantinefaulttolerance)共識(shí)協(xié)議,在控制器之間達(dá)成對(duì)控制器網(wǎng)絡(luò)狀態(tài)資源的一致性共識(shí)。

      基于區(qū)塊鏈記錄的網(wǎng)絡(luò)狀態(tài)交易,區(qū)塊鏈充當(dāng)安全通信通道,使得所有控制器隨著新區(qū)塊的生成被最終公布而獲得一致的網(wǎng)絡(luò)狀態(tài)資源。也就是說(shuō),區(qū)塊鏈上記錄網(wǎng)絡(luò)狀態(tài)交易記錄,在一個(gè)區(qū)塊新生成時(shí),被公開(kāi)的網(wǎng)絡(luò)狀態(tài)交易記錄依賴(lài)區(qū)塊鏈的共識(shí)機(jī)制獲得的最終有效性,這些網(wǎng)絡(luò)狀態(tài)被所有控制器共享,從而使所有控制器獲得一致的網(wǎng)絡(luò)資源視圖。需要強(qiáng)調(diào)的是,所述區(qū)塊鏈的共識(shí)機(jī)制采用被廣泛研究的bft(byzantinefaulttolerance)共識(shí)協(xié)議,基于bft共識(shí)協(xié)議的ripple網(wǎng)絡(luò)區(qū)塊鏈技術(shù)可作為本發(fā)明的區(qū)塊鏈技術(shù)實(shí)現(xiàn)的基礎(chǔ)?;赽ft共識(shí)協(xié)議的區(qū)塊鏈技術(shù)不同于沿用比特幣的pow共識(shí)機(jī)制的區(qū)塊鏈技術(shù),它使交易具有最終有效性,提高了共識(shí)效率,增加了區(qū)塊鏈技術(shù)每秒處理的交易數(shù)量和網(wǎng)絡(luò)吞吐量,當(dāng)應(yīng)用該區(qū)塊鏈技術(shù)于sdn控制層時(shí),在保證該區(qū)塊鏈處理交易的數(shù)量大于sdn網(wǎng)絡(luò)狀態(tài)交易的數(shù)量后,可以使控制器之間維持一致的網(wǎng)絡(luò)狀態(tài)視圖。

      步驟四、網(wǎng)絡(luò)狀態(tài)資源由控制器針對(duì)與其連接的sdn應(yīng)用身份和類(lèi)別應(yīng)用基于屬性加密的密碼工具設(shè)置資源訪問(wèn)控制策略,從而實(shí)現(xiàn)網(wǎng)絡(luò)資源的細(xì)粒度訪問(wèn)控制。

      控制器通過(guò)審查sdn應(yīng)用在區(qū)塊鏈的注冊(cè)交易記錄,得到應(yīng)用標(biāo)識(shí)、應(yīng)用類(lèi)別和對(duì)應(yīng)連接的控制器,根據(jù)應(yīng)用標(biāo)識(shí)、應(yīng)用類(lèi)別和sdn應(yīng)用與控制器連接關(guān)系對(duì)全網(wǎng)的網(wǎng)絡(luò)狀態(tài)設(shè)置細(xì)粒度的訪問(wèn)控制策略。例如,對(duì)于網(wǎng)絡(luò)拓?fù)滟Y源,應(yīng)用基于密鑰策略的屬性加密方案(abe),需要針對(duì)于流量工程類(lèi)別的應(yīng)用并基于應(yīng)用標(biāo)識(shí)和sdn應(yīng)用與控制器連接關(guān)系加密拓?fù)滟Y源,而滿足訪問(wèn)策略的應(yīng)用可以解密獲得拓?fù)滟Y源。首先,abe的setup算法生成公共參數(shù)和主密鑰,所有應(yīng)用類(lèi)別、應(yīng)用標(biāo)識(shí)、sdn應(yīng)用與控制器的連接關(guān)系作為用于加密的屬性集?,F(xiàn)加密第一網(wǎng)絡(luò)分區(qū)和第二網(wǎng)絡(luò)分區(qū)的交換機(jī)拓?fù)滟Y源,每個(gè)分區(qū)有一個(gè)控制器,分別為第一控制器和第二控制器,而一個(gè)流量工程類(lèi)別的第一應(yīng)用同時(shí)連接了第一控制器和第二控制器,在我們的訪問(wèn)策略控制中,該第一應(yīng)用可以獲得第一分區(qū)和第二分區(qū)的交換機(jī)的網(wǎng)絡(luò)拓?fù)滟Y源。應(yīng)用abe的encryption算法,第一加密分區(qū)和分去交換機(jī)的網(wǎng)絡(luò)拓?fù)滟Y源,加密的屬性集包括第一應(yīng)用的標(biāo)識(shí)、第一應(yīng)用與第一控制器的連接關(guān)系、第一應(yīng)用與第二控制器的連接關(guān)系、第一應(yīng)用的類(lèi)別,而關(guān)聯(lián)的屬性訪問(wèn)樹(shù)結(jié)構(gòu)b是以這些屬性集為葉子節(jié)點(diǎn),所有節(jié)點(diǎn)的父節(jié)點(diǎn)設(shè)置邏輯門(mén)值為and。然后,第一應(yīng)用具備這些屬性且滿足訪問(wèn)樹(shù)結(jié)構(gòu)b,訪問(wèn)樹(shù)結(jié)構(gòu)b作為keygeneration算法的輸入,生成解密密鑰給第一應(yīng)用。第一應(yīng)用使用解密密鑰通過(guò)算法descryption獲得相應(yīng)的拓?fù)滟Y源。

      上述實(shí)施例為本發(fā)明較佳的實(shí)施方式,但本發(fā)明的實(shí)施方式并不受上述實(shí)施例的限制,其他的任何未背離本發(fā)明的精神實(shí)質(zhì)與原理下所作的改變、修飾、替代、組合、簡(jiǎn)化,均應(yīng)為等效的置換方式,都包含在本發(fā)明的保護(hù)范圍之內(nèi)。

      當(dāng)前第1頁(yè)1 2 
      網(wǎng)友詢問(wèn)留言 已有0條留言
      • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1