异构SDN控制器架构北向接口访问控制研究

来源 :西安电子科技大学 | 被引量 : 0次 | 上传用户:cooltom
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
软件定义网络(Software-defined networking,SDN)作为一种新型网络架构,其灵活控制、可编程的特点受到业界青睐。为减少同构控制器间可能造成的攻击感染,近年来有人将动态异构冗余的思想引入SDN控制层,提出了异构SDN控制器架构。最近,异构SDN控制器架构已经被应用于云数据中心、车联网及智能电网等场景中。不同于传统SDN网络只有部署在控制器本地的应用程序,越来越多的控制器应用程序部署在远程的云端,这对应用程序的访问控制提出了新的需求。通常,应用程序通过调用北向接口(Northbound Interface,NBI)来访问控制器上的网络资源,从而实现网络可编程。然而,缺少加密、认证和授权管理等机制的北向接口会带来许多安全问题,例如资源暴露和配置篡改等。针对这些问题,研究者们针对不同的控制器开发了特定的访问控制系统。然而,这会存在以下问题:(1)异构SDN控制器架构中存在着多种不同种类的控制器,并且各类控制器在系统架构和编程语言等方面区别较大。当安全需求发生变动时,不同控制器上的访问控制系统都要进行重写;(2)现有系统多使用API挂钩技术实现对控制器内部SDN应用程序的访问控制,但这种方式无法实现架构中更常见的外部应用程序的访问控制。针对以上问题,我们提出将访问控制任务进行抽象,将访问控制功能交由给一个控制器外部的通用平台或模块,来解决异构控制器架构下的访问控制问题。本文将在异构SDN控制器架构下,设计两种通用的北向接口访问控制方案。本文主要工作如下:(1)针对单个应用程序访问的应用场景,我们提出一种基于SGX的中间代理访问控制方案。首先,我们结合SGX技术,提出一种可信的中间代理访问控制模型。在所提模型中,代理位于应用层和控制层之间并运行于可信执行环境中,控制器将访问控制任务委托给可信代理层完成,从而实现对异构控制器的通用访问控制。其次,为减轻控制器的工作负载和安全地传输策略、资源等敏感数据,我们结合SGX的远程认证和密封存储特性,设计了一种轻量级安全协议,其中包括代理、应用程序与控制器三者间的身份认证、密钥协商以及消息代理转发过程。在协议的实现过程中,控制器仅需要执行简单的AES加密。最后,我们通过理论分析和仿真实验表明,本方案具有较低的计算开销及网络开销,并且具有较好的实用性。(2)针对多个应用程序协同访问的应用场景,我们提出一种基于信任属性的广播加密方案。首先,我们采用与门结构,结合混合阶双线性群、椭圆曲线加密算法和双系统加密技术,来实现一种属性广播加密模型。该模型仅需安装一个通用于异构控制器的加解密模块,即可实现对应用程序访问控制的同时,对网络资源加密传输。相较于其他同类的属性广播加密方法,我们在模型中引入基于中间人属性基加密技术和哈希技术,实现外包存储和可验证外包解密,减少了用户私钥的存储开销和解密的计算开销。其次,为解决合法应用程序可能被入侵而造成越权或非法访问的问题,我们引入信任评估模型,来动态调整应用程序的访问权限。模型依据应用程序历史交互行为,评估其未来一定时间内的可信程度,据此为其分配访问权限。最后,我们通过理论分析和对比实验表明,方案的计算开销和存储开销较小,可伸缩性强,并且通过仿真实验验证信任评估方法的有效性。
其他文献
在群论研究中,由局部来刻画整体是一种常用的方法.其中,由某些子群的特性来研究群的结构一直是有限群论研究的热点.可解群,p-超可解群,p-幂零群作为有限群的基本而且重要的群类,通过不同的子群特性来进行研究尤为常见.在这些子群中,半CAP*-子群以及TI-子群已被一些学者研究.本文将继续研究这两类子群及其推广子群对有限群可解性、p-超可解性、p-幂零性的影响.第三章,我们主要研究某些半CAP*-子群对
在全民健身的背景下健美健身的迅速发展,深受我国高校学生群体的喜爱。但是,女性学生不得不面对舞台上比赛服装过于暴露以及传统思想观念的抨击等问题,难免会给健美健身运动的开展带来困境。对增进我国各高校学生从事健美健身运动的基本心理需求和动机的理解,可以为更多的学生投入到健美健身运动当中提供理论支持和依据,有助于为各高校制定明确的人才培养计划,拓展自我决定理论在健美健身领域的应用。因此本研究从自我决定理论
学位
随着时代的发展,压力传感器在我们的生活中扮演着越来越重要的角色,而硅压阻式压力传感器应用更加广泛。但是其在应用中总是存在温度漂移的问题,所以许多温度补偿方法应运而生。近些年,神经网络成为了压力传感器温度补偿的一种重要方式,但绝大数人只是在Matlab软件和单片机上实现了神经网络对压力传感器的温度补偿,并没有发挥神经网络的并行特性,且补偿速度较慢,很难实现实时补偿。本设计是基于FPGA的BP神经网络
时标理论将连续分析与离散分析完美地统一结合,在现实生活中拥有广泛的应用.时标理论的研究有助于丰富非线性动力系统理论内容.动力学方程的非振荡解的存在性问题是时标理论的一个重要的研究课题,具有一定的理论价值和现实意义.本文,主要利用不动点定理来研究时标上的一类由一阶动力学方程构成的二维动力系统的非振荡解的存在性问题,并使用分类讨论,反证等方法得到该二维动力系统在S+和S-情况下非振荡解存在的充要条件以
资金是制约企业发展的重要因素之一,对于创业企业来说,风险投资是一种重要的融资方式。风险投资的出现,打破了传统融资方式的局限性,同时对于企业创新的推进具有重大的意义。
作为民族文化资源的富矿区,近年来,云南少数民族传统文化旅游业发展如火如荼,民族文化旅游已成为该省新的经济增长点。但是,目前对少数民族传统文化的保护主要采取行政手段,而民法手段和相应的法律制度存在空白。这不仅造成少数民族群体保护意识不强,保护动力不足,参与度不强,导致传统文化大量流失,也限制了民族文化的创新利用与少数民族传统文化旅游业的健康发展。在此背景下,研究运用知识产权制度,建立健全少数民族传统
随着电子信息技术的快速发展,人们获取的数据描述已经从过去的单视图描述演变成无处不在的多视图描述。与传统的单视图数据相比,多视图数据对于学习任务具有更好的表达能力,且隐藏在不同视图描述之间的互补信息可有效提高学习任务的稳定性和泛化能力,因此多视图数据在众多研究领域中具有着十分重要的意义和价值。在多视图学习领域中,多视图聚类是一个重要的研究内容。近年来,基于张量奇异值分解的低秩描述的多视图聚类算法因为
为促进我国农业现代化发展,解决农业“融资难”、“融资贵”的问题,国家财政部、农业部和银监会于2015年联合发文,要用三年的时间建立覆盖全国的、政策性、专注农业、相对独立的农业信贷担保体系,打消银行等资金供应者在农业信贷风险方面的顾虑、降低农业经营主体的综合融资成本,发挥衔接新型农业经营主体和资金供给者的“桥梁”和“纽带”作用,将更多金融活水引入农业农村发展领域。农业信贷担保体系是具有“政府+市场”
折射率是晶体的一个重要基本参数,是研究晶体光学性质的基础与前提。同一个晶体的折射率随传导波波长的变化而变化,所以晶体的折射率测量值对其所应用的系统起着至关重要的作用。对于新研制的材料来说,往往需要测量折射率等光学参数。一些传统的折射率测量方法对材料有种种方面的限制,例如尺寸、特殊形状等等,这些方法用于折射率测量时既费时费力,又会对材料造成浪费。还有一些方法有折射率测量范围的限制,这导致其不能对某些
羟基磷灰石(HA)具有优异的生物活性和骨诱导性,HA化学组成与结构和人体硬组织十分相似,是一种非常有应用价值的骨组织替代材料。HA材料的缺点是极易吸附蛋白质、氨基酸和其他有机质,导致细菌的滋生,此外其力学性能也尚有不足,这就很大程度上限制了它的使用。本研究采用水热法合成载银羟基磷灰石(Ag-HA)粉体,使HA粉体具有良好的抗菌性能。同时采用添加造孔剂法制备孔隙呈现梯度分布的梯度多孔载银羟基磷灰石(