基于屬性加密的軟件定義網絡域間訪問控制方法①

周 波 王樹磊

(*南京信息職業技術學院電子信息學院 南京 210023) (**常州工學院民航飛行學院 常州 213032)

0 引 言

軟件定義網絡[1](software defined network，SDN)是一種區別于傳統計算機網絡的新型網絡架構模式，自提出以來得到了學術界乃至工業界的廣泛關注。SDN吸取了ForCES架構[2]的思想，將網絡的控制層與數據層分離，該設計不僅有利于降低網絡當中的硬件成本，還使得網絡管理員能夠方便地對來自不同廠商的設備進行集中化的調試和管理。相比傳統計算機網絡，SDN具備前者所沒有的性能優勢，但SDN的一系列安全問題[3]卻成為了阻礙其進一步廣泛應用的難題。其中最關鍵的問題之一就是，如何在遠程控制環境下保證由SDN控制器掌控的用戶和設備敏感信息不被攻擊者竊取[4]。SDN的控制器負責管理流表，而流表包含敏感的控制信息，對于數據的轉發起到了決定性的作用。然而當前的SDN架構允許應用程序接口輕易地調用流表而無需權限認證。更為嚴重的是相當一部分接口具備公開信息的權限。因此SDN控制器必須保證只有經過授權的設備才能獲取以上的敏感信息。如今許多大型的SDN架構都采用了多控制器管理域間通信，控制器除了與數據轉發設備進行交互，還要與各個控制器之間保證規則統一與信息同步。因此在SDN當中必須采用一種機制，該機制不僅能夠保證SDN流表的安全性還必須對流表的訪問權限進行靈活、細粒度的控制。

Ethane系統[5]作為SDN前身提供了集中化的網絡安全管理方案?！?br>