本發明涉及一種軟件定義網絡(SDN)控制層安全機制構建方法，首先形成可認證的網絡流，認證通過的網絡流作用于交換機，該網絡流及其作用后的交換機狀態分別形成網絡流交易和網絡狀態交易，被記錄于區塊鏈中；運用區塊鏈上的數據具有不可篡改的特性，通過審計SDN應用的網絡流交易及網絡狀態交易數據，對網絡進行排查和追蹤；依賴區塊鏈共識機制，在控制器之間達成對網絡狀態資源的一致性共識；由控制器針對與其連接的SDN應用身份和類別應用基于屬性加密的密碼工具(ABE)設置資源訪問控制策略，實現網絡資源的細粒度訪問控制。本發明加強了SDN控制層的安全性，使得流向SDN的網絡流可認證，網絡流和網絡狀態可追蹤審計，實現網絡資源的安全訪問控制。

技術領域

本發明屬于網絡空間安全技術領域，尤其涉及一種基于區塊鏈技術的軟件定義網絡控制層安全機制的構建方法。

背景技術

軟件定義網絡(SDN)將傳統網絡硬件設備的控制層和數據層分離，相對于傳統網絡提供了兩大優勢，控制層中心化的SDN控制器提供數據層資源的全網視圖，SDN控制器應用使數據層設備的網絡流配置具有可編程性。然而，SDN的兩大優勢同時也帶來了許多傳統網絡未有的安全問題，這些安全威脅都有可能使整個網絡發生故障。如：中心化控制器引發的單點故障問題，可編程性給惡意的網絡流配置提供了注入入口，全網設備資源的對外暴露潛藏著資源訪問的安全威脅等等。

為此，我們引入區塊鏈技術來解決這一問題。區塊鏈技術是當今一項十分具有影響力的技術。它最初源于數字貨幣(比特幣)技術，因其去中心化，不可篡改，不依賴于信任機制而達到全網共識等特性受到廣泛的關注?，F介紹比特幣技術主要的組成要素：

交易：交易是區塊鏈節點的參與者之間數字貨幣流通的具體體現，交易貨幣的所有權由加鎖腳本和解鎖腳本決定。加鎖腳本記錄著交易的發起方將貨幣的所有權授權給接受方，即用接受方的公鑰進行加密并用自己的私鑰進行簽名。解鎖腳本是證明接受方擁有私鑰可以解密該交易的貨幣并獲得所有權，其中，交易的正確性由發起方的簽名進行了驗證。

礦工：將交易寫入區塊，負責新區塊的生成。

挖礦：礦工在區塊鏈激勵機制的驅動下，通過計算一個所有節點共識的困難值(Proof of Work算法,POW)競爭獲得下一個區塊產生權的過程。區塊鏈的激勵機制是保證每一個獲得所有節點共識的區塊產生權得到一定的比特幣獎勵。POW算法是指，每一個礦工耗費計算力競爭計算滿足條件的一個預定的HASH困難值，從而得到區塊的產生權且獲得相應的比特幣獎勵。

交易不可篡改：區塊鏈中的區塊其實記錄著鏈條上的每一筆交易，每一個區塊不僅記錄著當前塊中所有交易hash組成的Merkel root，也記錄著上一個區塊的hash值，所有的hash值串成一條鏈，保證了區塊上每一筆交易的不可篡改性。另外，當一個區塊的后續區塊超過5個區塊，則該區塊上的交易被確保有效，具有不可篡改性。

去中心化：區塊鏈的每個參與節點都可以擁有一份完整的區塊鏈數據，所有參與節點不需要信任任何第三方，每一個節點可以確認每一筆交易合法性，節點可以同步網絡公開的區塊，獲得最新的區塊鏈數據。

共識機制：區塊鏈的共識機制不依賴任何第三方，而是基于密碼學技術。所有區塊鏈上的交易hash組成的Merkel root保證交易可靠性，決定區塊鏈下一個區塊產生的POW算法具備計算困難性，它是需要礦工通過將本身的所有交易加上一個區塊的hash值，加上一個隨機數，通過遍歷隨機數，生成小于某個固定數值的hash值，POW算法是區塊鏈所有節點共識新有效區塊的保證。

發明內容

為了解決現有技術所存在的問題，本發明提供基于區塊鏈的軟件定義網絡控制層安全機制構建方法，提供一個主要由多個控制器組成的控制層，構建了網絡流可認證，應用網絡流及網絡狀態資源可審計追蹤，多個控制器可達成全網狀態資源共識和網絡狀態資源安全訪問控制一體化的新型SDN控制層。