本發明公開了一種面向SDN網絡流規則安全保障的區塊鏈及方法，該區塊鏈的構成如下：在每一個SDN子網設置一個安全網關，由安全網關創建第一個區塊，作為初始區塊，其他網絡節點能夠通過訪問這個初始區塊，通過Pow共識機制產生新區塊，涉及SDN網絡安全的流規則信息作為事務保存在區塊中；從第二個區塊開始在每個區塊中設置一個區塊頭用來保存節點數字簽名或者時間戳信息，并在區塊頭中設置一個哈希值，新產生區塊的區塊頭部哈希值基于上一區塊存儲的事務和頭部哈希值，由哈希函數生成；通過這種方式使得保存SDN網絡流規則的區塊構成鏈狀，區塊鏈形成。本發明解決了保證SDN網絡流規則完整性和接入認證過于集中的問題。

技術領域

本發明涉及區塊鏈技術領域和軟件定義網絡(SDN)技術領域，具體涉及一種在SDN網絡中，增強網絡安全性的區塊鏈及其方法。

背景技術

在SDN網絡中，由網絡管理員或者類似于OpenFlow應用程序等第三方程序制定流規則，通過控制器以流表的形式下發到交換機和各種網絡設備去執行，由于交換機等網絡設備對交換機下發流規則絕對信任，因此不具備選擇執行流規則的能力，一旦有攻擊者惡意注入或篡改流規則，會對SDN網絡安全造成嚴重威脅，因此在保證網絡安全的工作中，必須保證流規則的完整性。

除此之外，目前在SDN網絡中，設備接入是由控制器為核心的集中式的認證方式，這種過于集中的認證架構下，網絡的脆弱性較高，一旦控制器受到攻擊會導致整個網絡受到影響。

發明內容

本發明的目的是提供一種面向SDN網絡流規則安全保障的區塊鏈及方法，以解決上述保證SDN網絡流規則完整性和接入認證過于集中的問題。

為解決上述技術問題，本發明采用的技術方案為：

一種面向SDN網絡流規則安全保障的區塊鏈，該區塊鏈的構成如下：

在每一個SDN子網設置一個安全網關，由安全網關創建第一個區塊，作為初始區塊，其他網絡節點能夠通過訪問這個初始區塊，通過Pow共識機制產生新區塊，涉及SDN網絡安全的流規則信息作為事務保存在區塊中；從第二個區塊開始在每個區塊中設置一個區塊頭用來保存節點數字簽名或者時間戳信息，并在區塊頭中設置一個哈希值，新產生區塊的區塊頭部哈希值基于上一區塊存儲的事務和頭部哈希值，由哈希函數生成；通過這種方式使得保存SDN網絡流規則的區塊構成鏈狀，區塊鏈形成。

一種基于區塊鏈的SDN網絡安全保障方法，包括以下兩個方面：

(1)控制器將網絡的全局視圖以及流量信息作為事務存儲到區塊中，同時交換機也將控制器下發的流表作為事務存儲區塊中；隨著網絡不斷運行，SDN網絡中各項設備不斷更新自身承載流規則的各項信息并不斷保存到新產生的區塊上，區塊鏈保證作為事務保存的SDN各項網絡信息不會被攻擊者惡意篡改；

(2)SDN網絡在基于區塊鏈的基礎上由原來單一的集中式認證改善為分布式認證，由其他相鄰節點完成。

所述(1)的具體流程如下：

步驟1.1，安全網關產生初始區塊，保存SDN網絡最初的流規則和控制器的信息；

步驟1.2，區塊鏈節點通過訪問初始區塊，挖礦產生新的區塊，后產生的區塊頭中有哈希值，哈希值基于前一區塊事務和上一個區塊頭中的哈希值，由哈希函數生成；

步驟1.3，新的流規則產生或者有新合法設備接入，控制器下發相應流表給相應交換機或路由器，然后更新本身的網絡信息，然后將更新后的網絡信息作為事務保存到新產生的區塊上；

步驟1.4，交換機或者路由器接收控制器下發的流表，更新本身流表信息并執行，然后將更新后的流表信息作為事務保存到新產生的區塊上；

步驟1.5，區塊鏈網絡節點通過Pow共識機制挖礦不斷產生新的區塊，其中區塊頭中的哈希值是基于上一區塊事務和上一個區塊頭中的哈希值，由哈希函數生成；