本發明公開了一種基于SDN的中間設備路徑認證方法，可以檢驗并強制數據包按照用戶既定的順序和規則經過SDN網絡中的各個中間設備。本發明在每個數據包上寫入標簽來代表數據包的網絡路徑狀態，并在每個中間設備上添加標簽生成和標簽檢測模塊。每一個中間設備上分布式地檢測標簽的正確性，即可確保數據包的實際路徑合法性。考慮到出口交換機需要最終認證數據包的實際路徑，本發明結合映射表和多級流表的技術，使得出口交換機可以在使用較少內存的情況下，模擬加密運算以實現路徑認證。本發明具有細粒度，實時性，硬件兼容性等現有方法所不具備的優點，有助于在實際中進行推廣。

技術領域

本發明涉及網絡路徑管控領域，具體涉及一種基于SDN的中間設備路徑認證方法。

背景技術

比起普通的路由轉發設備，中間設備(Middlebox)是可以提供諸如流量工程(Traffic Engineering)和包檢測(Packet Inspection)等高級功能的特殊網絡設備。由于能夠提供眾多的針對性功能，彌補了傳統網絡中的不足，中間設備在目前已經得到了廣泛的應用。但是在傳統網絡當中，配置中間設備之間的轉發規則是一個復雜而繁瑣的過程，因為用戶需要逐一手工配置不同中間設備和交換機上的轉發規則，因而直接導致了以下的難點：中間設備的規則管理費時費力，平均來說，每十個中間設備就需要一個6至25人的專業小組負責管理；中間設備的規則配置和維護過程中也極易發生錯誤，超過50％的管理員認為配置錯誤是造成中間設備宕機的最為普遍的原因。針對這些不足，Sherry(Makingmiddleboxes someone else’s problem:network processingas a cloud service,SIGCOMM,2012年)等人率先提出將中間設備向外轉移到云中來降低管理成本。Sekar(Designand implementation of a consolidated middlebox architecture,in NSDI,2012年)等人在另一個創新性的方法中提出將中間設備不同的功能整合到一個服務器當中，在降低成本的同時，也消除了一些中間設備的冗余模塊。然而這些方法在實際當中并未得到廣泛應用，這是由于它們需要對現有的中間設備進行根本性的改變而難以實施。

軟件定義網絡(Software-Defined Networking,SDN)技術卻可以在不用改變原有設備的前提下更靈活高效地設置中間設備的規則。與傳統網絡不同，一個含有中間設備的SDN網絡包含三種主要的實體：控制器，交換機和中間設備。控制器集中了網絡的控制權，保存有網絡拓撲、路由和網絡統計數據等全局信息，并與交換機和中間設備之間均有雙向的網絡通路。在SDN中配置中間設備的網絡規則，用戶只需要面向控制器提供的接口設置規則，控制器上的應用會將用戶提供的規則拆分成交換機可讀的轉發規則，然后安裝在相應的交換機上，最終使得數據包以用戶指定的順序和方式通過各個中間設備。相比于傳統網絡，SDN提供的統一的規則設置接口大大提高了用戶友好性。然而這樣的配置方式可能會使交換機的轉發產生歧義：交換機上的規則只能簡單地匹配數據包頭中的某些域以及數據包的進入接口，而中間設備的存在可能會使得某些數據包通過相同的接口兩次進入到相同的交換機，根據用戶制定的規則，這兩次轉發的下一跳應該是不同的，但是交換機卻難以區分它們。此外，諸如網絡地址轉換(Network Address Translation,NAT)中間設備還會改寫數據包的包頭，使得轉發歧義的問題更加嚴重。Fayazbakhsh(Enforcing network-widepolicies in the presence of dynamic middleboxactions using flowtags,in NSDI,2014年)等人提出在數據包頭上用一個特定的標簽標記一個數據包在中間設備中的處理情況，交換機可以根據這個標簽將上述情況中相同的數據包發往不同的下一跳，避免了歧義的產生。該方法要求改動中間設備的程序使其能夠標記數據包，但是引入的改動較小，是一種易于部署的輕量級方法。