軟件定義網絡中訪問控制列表關鍵技術的研究.pdf

1、訪問控制列表（Access Control List，ACL）是一種網絡安全保障技術，提供了網絡流量過濾功能。然而，在傳統(tǒng)網絡中實現(xiàn)ACL技術存在著一些弊端，如網絡設備成本較高，對ACL的設計、配置與維護非常繁瑣且易出錯等，以上弊端產生的根本原因在于傳統(tǒng)網絡采用了分布式的方式來實現(xiàn)ACL技術。相比于傳統(tǒng)網絡，軟件定義網絡（Software-Defined Networking，SDN）提供了一個更加合適的架構來實現(xiàn)ACL技術。SDN將網

2、絡設備中的控制邏輯與轉發(fā)邏輯分離，并提供了SDN控制器以一種集中式的方式對網絡設備的轉發(fā)行為進行管理。
　　本文基于SDN設計并實現(xiàn)了一種訪問控制列表CLACK，該訪問控制列表在邏輯上集中，工作在由用戶驅動的主動方式下，實現(xiàn)對SDN中網絡數(shù)據包的過濾功能。該訪問控制列表提供了一個集中式的管理接口以供用戶定義訪問控制列表，它從全局網絡視圖中提取出抽象網絡視圖，并基于該視圖實時響應用戶的訪問控制列表更新請求，通過操作底層OpenFlo

3、w交換機中的流表項實現(xiàn)訪問控制列表中規(guī)定的高層網絡安全策略。該訪問控制列表還能夠對網絡視圖更新事件作出動態(tài)響應，及時更新底層OpenFlow交換機中的流表，確保高層網絡安全策略被正確實現(xiàn)。與SDN中現(xiàn)有的訪問控制列表相比，本文提出的訪問控制列表能夠減少網絡數(shù)據包轉發(fā)時延，節(jié)約控制平面的處理資源及控制與數(shù)據平面之間的帶寬，并避免了因無法及時管理交換機中的流表導致出現(xiàn)違背網絡安全策略的現(xiàn)象。
　　本文將CLACK訪問控制列表實現(xiàn)為單控

4、制器版本（基于Floodlight控制器）與多控制器版本（基于ONOS控制器）。兩個版本CLACK的源代碼現(xiàn)已被Floodlight與ONOS開源項目所采納，被官方提供的最新版本控制器源碼所集成。文中對CLACK進行了功能測試，驗證了其能夠正確的提供ACL功能。文中還通過大量實驗比較了兩個版本CLACK與Floodlight控制器防火墻應用的性能，實驗結果表示CLACK擁有較好的性能。
　　除此之外，本文還基于CLACK相關工作提