CN112235252B - 基于区块链的安全识别方法、安全识别系统及存储介质 - Google Patents

Abstract

本发明属于网络通信/区块链技术领域，公开了一种基于区块链的安全识别方法、安全识别系统及存储介质，域内各个网络转发设备产生新的网络信息；域内SDN控制器共识各设备提交的网络信息；跨域SDN控制器共识各域提交的网络信息；跨域SDN控制器将共识结果存储到区块链并将下发给各域内SDN控制器。本发明利用区块链分布式特征，耦合多SDN控制器混合分布式架构。本发明利用区块链链上数据不可更改的特征，确保流表信息的不可否认性，避免了篡改等攻击。本发明利用联盟链实施基于区块链的混合软件定义网络系统，保障系统的性能。本发明解决上述问题，最终实现提高基于区块链的混合软件定义网络系统安全性和高效性的技术效果。

Description

基于区块链的安全识别方法、安全识别系统及存储介质

技术领域

本发明属于网络通信/区块链技术领域，尤其涉及一种基于区块链的安全识别方法、安全识别系统及存储介质，具体涉及一种基于区块链的混合软件定义网络系统及多控制器的方法。

背景技术

目前，5G及其相关技术已经逐渐被人们应用。作为5G相关技术之一的软件定义网络(SDN)也已经受到业界的广发关注和研究。SDN是一种网络虚拟化的实现方式，通过将传统网络传输设备中的控制功能和转发功能解耦，形成中心化的控制平面，来灵活地控制网络流量，使得网络管理更加智能、高效。在SDN架构下，网络管理员能够通过控制层实现对SDN网络设备、流量等的灵活控制。然而，中心化的SDN控制器(组)带来了严重的中心化问题，例如单点故障、恶意内部管理员等。随着对SDN架构的深入和对中心化问题的解决，分布式的多SDN控制器架构已经被设计。多SDN控制器架构一般分为垂直架构和水平架构。垂直多SDN控制器架构对SDN控制器分级，通常有一个主SDN控制器和多个普通SDN控制器；水平多SDN控制器架构中，每个SDN控制器功能相同，不分主从。但是，分布式的多SDN控制器架构中，网络信息(例如流表)的一致性受到质疑，即数据可靠性受到质疑。因此，区块链的引入成为解决这一问题的可行方法之一。区块链是一种混合技术，包括分布式数据库技术、P2P网络技术，分布式共识技术、密码学原理及技术等。区块链中的数据分布式地存储在各个节点，通过共识协议维护链上数据的一致性，实现去中心的数据真实性和可靠性。

通过上述分析，现有技术存在的问题及缺陷为：

(1)多SDN控制器架构存在严重的中心化问题，例如单点故障和恶意内部管理员，这一问题使得控制器中记录的流表信息可靠性、可信性受到质疑，而且现有解决方案还不能确保流表信息的不可否认性，不能避免篡改等攻击；现有技术网络系统安全性和高效性的效果差。

(2)现有区块链依赖的共识协议(例如PoW/PoS、PBFT)处理数据效率低，且存储能力有限，这使得不能满足网络信息的全部及时处理和存储上链；现有技术系统性能低和效果差。

解决以上问题及缺陷的难度为：

首先，针对多SDN控制器架构存在严重的中心化问题，现有的垂直多SDN控制器架构将多个SDN控制器分级，网络管理员能够主SDN控制器能够控制普通SDN控制器，但是这种控制依旧存在严重的中性化问题(例如管理员通过主控制器作恶)；现有的水平多SDN控制器架构每个控制器功能相同，不存在中心化问题，但是这种架构无法保证各个控制器中存储的网络信息一致，因此容易受到其他的网络攻击(例如利用信息不一致作恶)。在这两种独立架构下，单纯的区块链技术不能很好地解决上述问题。因此，我们需要通过混合架构，即融合垂直多SDN控制器架构和水平多SDN控制器架构，来解决上述技术难题。

其次，针对现有区块链共识效率低、存储能力有限的问题，我们设计面向网络控制信息格式的存储，而不是存储网络中所有的数据报，从而减少需要存储的信息量，同时网络控制信息通常不会频繁变更，因此对系统吞吐量性能不会提出过高的要求。

解决以上问题及缺陷的意义为：通过构建多SDN控制器架构来规避SDN网络单点故障等中心化问题已经成为业界研究和应用SDN网络的共识。然而，多SDN控制器的使用不可避免地带来了分布式一致性等问题。使用区块链技术实现分布式的多SDN控制器架构，从而保证网络信息的可靠性和真实性正逐渐成为学术界和行业的关注点。基于区块链技术内生的分布式一致性、链上数据可靠性/不可否认性等特点，可以有效地解决上述问题。分析现有垂直多SDN控制器架构和水平多SDN控制器架构的优缺点及实现方式，构建基于区块链技术的混合多SDN控制器架构，能够高效地实现SDN网络的性能。本发明旨在构建基于区块链的混合软件定义网络系统，利用区块链技术自身特征和整合两种多SDN控制器架构优点，有效且高效地解决多SDN控制器架构分布式一致性问题和基于区块链的多SDN控制器架构效率低问题，希望为区块链和SDN的相关行业提供一定的技术支持。

发明内容

针对现有技术存在的问题，本发明提供了一种基于区块链的安全识别方法、安全识别系统及存储介质。

本发明是这样实现的，一种基于区块链的混合软件定义网络系统及多控制器安全识别方法，方法包括如下步骤：

S1：域内各个网络转发设备产生新的网络信息；

S2：域内SDN控制器共识各设备提交的网络信息；

S3：跨域SDN控制器共识各域提交的网络信息；

S4：跨域SDN控制器将共识结果存储到区块链并将其下发给各域内SDN控制器。

进一步，系统维护一条记录所有网络信息的区块链。

进一步，所述S1中新的网络信息包括链路发现信息和流表发布信息等。

进一步，所述S2中域内包括多个SDN控制器和控制器相连的大量的网络转发设备，这些控制器和转发设备负责管理和处理一部分网络信息。

进一步，所述S2中域内SDN控制器包括一个主SDN控制器和多个从属SDN控制器，这些控制器以垂直结构部署。

负责打包域内网络信息，上传网络打包后的网络信息给跨域水平结构SDN控制器，处理和共识跨域网络信息，存储和下发跨域网络信息给域内控制器。

负责处理和共识域内网络信息并将结果上交给域内主SDN控制器，存储域内主SDN控制器下发的跨域网络信息，按照存储的网络信息转发网络流量。

进一步，所述S3-S4中跨域SDN控制器由各个域的主SDN控制器组成，负责处理、共识、存储和下发各域上交的跨域网络信息，这些控制器以垂直结构部署。

进一步，所述S3跨域包括多个结构和功能相同的网络域，这些网络域中分别存储一部分网络信息，所有网络域存储的网络信息构成整个系统中的完整网络信息。

进一步所述基于区块链的混合软件定义网络多控制器安全识别方法进一步包括链路发现，包括以下步骤：

(1)发现新链路：当一个系的网络设备出现，该网络域域内控制器监测到一些新链路；

(2)域内共识：发现新链路后，该网络域域内所有控制器在主控制器领导下处理链路信息并达成共识；

(3)跨域共识：各网络域主控制器交换、处理域内共识后的链路信息并再次达成共识；

(4)存储链路信息到区块链：跨域共识后，各域主控制器节点将共识后的结果存储到系统中唯一维护的区块链并广播给所有网络域中的控制器；

(5)查询链路：各个控制器管理员可以通过区块链查询链路信息。

进一步，所述基于区块链的混合软件定义网络多控制器安全识别方法进一步包括流表发布，包括以下步骤：

1)配置流表项：网络管理员可以通过控制器配置新的流表项；

2)域内共识：收到新流表项后，该网络域域内所有控制器在主控制器领导下处理流表项信息并达成共识；

3)跨域共识：各网络域主控制器交换、处理域内共识后的流表项信息并再次达成共识；

4)存储流表项到区块链：跨域共识后，各域主控制器节点将共识后的结果存储到系统中唯一维护的区块链并将其广播给所有网络域中的控制器；

5)查询流表项：各个控制器通过区块链查询流表项信息。

本发明的另一目的在于提供一种基于区块链的混合软件定义网络系统及多控制器的安全识别系统，包括：

在控制层由多SDN控制器水平结构与多SDN控制器垂直结构混合构建而成；

所述多SDN控制器水平结构存在于一个网络域内，所述网络域包括一个主SDN控制器和多个从属SDN控制器以及大量的网络转发设备，所述网络域负责系统内一部分网络的管理和操作；

所述多SDN控制器水平结构跨网络域存在，共同管理和操作整个系统中的网络信息。

进一步，所述的基于区块链的混合软件定义网络系统包括：

4个网络域，每个网络域结构相同；

每个网络域设置4个SDN控制器和若干网络转发设备；

所述4个SDN控制器包括1个主SDN控制器、3个从属SDN控制器。

本发明的另一目的在于提供一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行如下步骤：

域内各个网络转发设备产生新的网络信息；

域内SDN控制器共识各设备提交的网络信息；

跨域SDN控制器共识各域提交的网络信息；

跨域SDN控制器将共识结果存储到区块链并将下发给各域内SDN控制器。

结合上述的所有技术方案，本发明所具备的优点及积极效果为：

本发明提供的基于区块链的混合软件定义网络系统及多控制器的方法，进行：域内各个网络转发设备产生新的网络信息；域内SDN控制器共识各设备提交的网络信息；跨域SDN控制器共识各域提交的网络信息；跨域SDN控制器将共识结果存储到区块链并将其下发给各域内SDN控制器；系统维护一条记录所有网络信息的区块链；本发明利用区块链分布式特征，耦合多SDN控制器混合分布式架构；本发明利用区块链链上数据不可更改的特征，确保流表信息的不可否认性，避免了篡改等攻击；本发明利用联盟链实施基于区块链的混合软件定义网络系统，保障系统的性能，最终实现提高基于区块链的混合软件定义网络系统安全性和高效性的技术效果。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图做简单的介绍，显而易见地，下面所描述的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的基于区块链的混合软件定义网络系统及多控制器的安全识别方法

图2是本发明实施例提供的基于区块链的混合软件定义网络系统架构图。

图3是本发明实施例提供的基于区块链的混合软件定义网络多控制器安全识别方法中链路发现流程图。

图4是本发明实施例提供的基于区块链的混合软件定义网络多控制器安全识别方法中流表发布流程图。

图5是本发明实施例提供的基于区块链的混合软件定义网络多控制器安全识别方法中流表项和链路信息样例图。

图6是本发明实施例提供的基于区块链的混合软件定义网络多控制器安全识别方法中存储网络信息吞吐量实验结果图。

图7是本发明实施例提供的基于区块链的混合软件定义网络多控制器安全识别方法中存储网络信息时延实验结果图。

图8是本发明实施例提供的基于区块链的混合软件定义网络多控制器安全识别方法中存储网络信息内存资源使用实验结果图。

图9是本发明实施例提供的基于区块链的混合软件定义网络多控制器安全识别方法中存储网络信息CPU资源使用实验结果图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

现有多控制器SDN系统大多存在大量中心化安全问题，部分基于公有区块链的SDN系统存在系统性能问题，导致现有的多控制系统不够实用。本发明利用区块链的分布式、不可篡改的特征以及联盟链高性能的特征，最终实现提高基于区块链的混合软件定义网络系统安全性和高效性的技术效果。

针对现有技术存在的问题，本发明提供了一种基于区块链的安全识别方法、安全识别系统及存储介质，下面结合附图对本发明作详细的描述。

如图1所示，本发明提供一种基于区块链的混合软件定义网络系统及多控制器安全识别方法，包括如下步骤：

S101：域内各个网络转发设备产生新的网络信息。

S102：域内SDN控制器共识各设备提交的网络信息。

S103：跨域SDN控制器共识各域提交的网络信息。

S104：跨域SDN控制器将共识结果存储到区块链并将其下发给各域内SDN控制器。

下面结合具体实施例对本发明作进一步描述。

实施例

本发明实施例提供的基于区块链的混合软件定义网络系统架构如图2所示，与传统的多控制器SDN系统相比，该结构在控制层由多SDN控制器水平结构与多SDN控制器垂直结构混合构建而成。其中多SDN控制器水平结构存在于一个网络域内，该网络域包括一个主SDN控制器和多个从属SDN控制器以及大量的网络转发设备，该域负责系统内一部分网络的管理和操作。多SDN控制器水平结构跨网络域存在，这些控制器结构和功能相同，共同管理和操作整个系统中的网络信息。本发明实施例中，一共设置4个网络域，每个网络域结构相同。每个网络域设置4个SDN控制器和若干网络转发设备(交换机)，其中1个主SDN控制器、3个从属SDN控制器。

本发明实施例提供的基于区块链的混合软件定义网络多控制器安全识别方法主要展示两种网络信息操作过程：链路发现和流表发布。其中，本发明实施例提供的基于区块链的混合软件定义网络多控制器安全识别方法中链路发现流程如图3所示，包括以下步骤：

(1)发现新链路：当一个系的网络设备出现，该网络域域内控制器监测到一些新链路。

(2)域内共识：发现新链路后，该网络域域内所有控制器在主控制器领导下处理链路信息并达成共识。

(3)跨域共识：各网络域主控制器交换、处理域内共识后的链路信息并再次达成共识。

(4)存储链路信息到区块链：跨域共识后，各域主控制器节点将共识后的结果存储到系统中唯一维护的区块链并将其广播给所有网络域中的控制器。

(5)查询链路：各个控制器管理员可以通过区块链查询链路信息。

其中，该条链路信息在区块链上存储的链路信息样例如图5所示，包括设备名称、设备IP、设备归属的网络域等信息。

本发明实施例提供的基于区块链的混合软件定义网络多控制器安全识别方法中流表发布流程如图4所示，包括以下步骤：

1).配置流表项：网络管理员可以通过控制器配置新的流表项。

2).域内共识：收到新流表项后，该网络域域内所有控制器在主控制器领导下处理流表项信息并达成共识。

3).跨域共识：各网络域主控制器交换、处理域内共识后的流表项信息并再次达成共识。

4).存储流表项到区块链：跨域共识后，各域主控制器节点将共识后的结果存储到系统中唯一维护的区块链并将其广播给所有网络域中的控制器。

5).查询流表项：各个控制器管理员可以通过区块链查询流表项信息。

其中，该条流表项信息在区块链上存储的流表项信息样例如图4所示，包括源IP、目的IP、流表项归属的网络域、是否跨域、优先级、活跃时间。

本发明实施例提供的基于区块链的混合软件定义网络多控制器安全识别方法中存储网络信息吞吐量实验结果如图6所示，本发明吞吐量测试以产生流表项信息为例测试数据存储上链时的系统吞吐量性能；本发明实施例提供的基于区块链的混合软件定义网络系统以交易的形式处理流表项信息；本发明实施例提供的基于区块链的混合软件定义网络系统最多总共产生2500条新的流表项信息，产生流表项信息的速率分别为50条/秒、100条/秒、150条/秒。如图6所示，在流表项信息存储上链的过程中(流表项信息以交易的形式处理)，系统吞吐量分别随总共产生新的流表项信息的数量和产生流表项信息的速率的增加而增加，且增幅分别随二者的增加而减小。

本发明实施例提供的基于区块链的混合软件定义网络多控制器安全识别方法中存储网络信息时延实验结果如图6所示，本发明时延测试以产生流表项信息为例测试数据存储上链时的系统时延性能；本发明实施例提供的基于区块链的混合软件定义网络系统以交易的形式处理流表项信息；本发明实施例提供的基于区块链的混合软件定义网络系统最多总共产生2500条新的流表项信息，产生流表项信息的速率分别为50条/秒、100条/秒、150条/秒。如图7所示，在流表项信息存储上链的过程中(流表项信息以交易的形式处理)，系统时延分别随总共产生新的流表项信息的数量和产生流表项信息的速率的增加而增加。

本发明实施例提供的基于区块链的混合软件定义网络多控制器安全识别方法中存储网络信息内存资源使用实验结果如图8所示，本发明内存资源使用测试以产生流表项信息为例测试数据存储上链时的系统内存资源使用性能；本发明实施例提供的基于区块链的混合软件定义网络系统以交易的形式处理流表项信息；本发明实施例提供的基于区块链的混合软件定义网络系统最多总共产生2500条新的流表项信息，产生流表项信息的速率分别为50条/秒、100条/秒、150条/秒。如图8所示，在流表项信息存储上链的过程中(流表项信息以交易的形式处理)，系统内存资源使用分别随总共产生新的流表项信息的数量和产生流表项信息的速率的增加而增加。

本发明实施例提供的基于区块链的混合软件定义网络多控制器安全识别方法中存储网络信息CPU资源使用实验结果如图9所示，本发明CPU资源使用测试以产生流表项信息为例测试数据存储上链时的系统CPU资源使用性能；本发明实施例提供的基于区块链的混合软件定义网络系统以交易的形式处理流表项信息；本发明实施例提供的基于区块链的混合软件定义网络系统最多总共产生2500条新的流表项信息，产生流表项信息的速率分别为50条/秒、100条/秒、150条/秒。如图8所示，在流表项信息存储上链的过程中(流表项信息以交易的形式处理)，系统CPU资源使用随总共产生新的流表项信息的数量的增加而增加。

本发明利用区块链分布式特征，耦合多SDN控制器混合分布式架构。

本发明利用区块链链上数据不可更改的特征，确保流表信息的不可否认性，避免了篡改等攻击。

本发明利用联盟链实施基于区块链的混合软件定义网络系统，保障系统的性能。

本发明解决上述问题，最终实现提高基于区块链的混合软件定义网络系统安全性和高效性的技术效果。

应当注意，本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现；软件部分可以存储在存储器中，由适当的指令执行系统，例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现，例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现，也可以用由各种类型的处理器执行的软件实现，也可以由上述硬件电路和软件的结合例如固件来实现。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，都应涵盖在本发明的保护范围之内。

Claims (9)

1.一种基于区块链的混合软件定义网络系统，其特征在于，所述基于区块链的混合软件定义网络系统网络结构呈混合型，具体包括：多个垂直结构的网络域；

所述的网络域包括一个主SDN控制器和多个从属SDN控制器以及大量的网络转发设备；

多SDN控制器水平结构跨网络域存在；

所述系统中的主SDN控制器和从SDN属控制器都作为区块链节点并执行区块链操作；

所述主SDN控制器负责打包域内网络信息，上传网络打包后的网络信息给跨域水平结构SDN控制器，处理和共识跨域网络信息，存储和下发跨域网络信息给域内控制器；

所述从属SDN控制器负责处理和共识域内网络信息并将结果上交给域内主SDN控制器，存储域内主SDN控制器下发的跨域网络信息，按照存储的网络信息转发网络流量。

2.如权利要求1所述基于区块链的混合软件定义网络系统，其特征在于，所述基于区块链的混合软件定义网络系统中SDN控制器执行的区块链操作包括：配置流表项、域内共识、跨域共识、存储流表项到区块链以及查询流表项。

3.如权利要求1所述的基于区块链的混合软件定义网络系统，其特征在于，所述系统的多控制器的安全识别方法包括新的网络信息包括链路发现信息和流表发布信息。

4.一种多控制器安全识别方法，基于权利要求3所述的基于区块链的混合软件定义网络系统，其特征在于，所述多控制器的安全识别方法进行域内和跨域共识，包括以下步骤：

域内各个网络转发设备产生新的网络信息；

域内SDN控制器共识各设备提交的网络信息；

跨域SDN控制器共识各域提交的网络信息；

跨域SDN控制器将共识结果存储到区块链并将下发给各域内SDN控制器。

5.一种多控制器安全识别方法，基于权利要求3所述的基于区块链的混合软件定义网络系统，所述的链路发现，具体包括以下步骤：

(1)发现新链路：当一个系的网络设备出现，该网络域域内控制器监测到一些新链路；

(2)域内共识：发现新链路后，该网络域域内所有控制器在主控制器领导下处理链路信息并达成共识；

(3)跨域共识：各网络域主控制器交换、处理域内共识后的链路信息并再次达成共识；

(4)存储链路信息到区块链：跨域共识后，各域主控制器节点将共识后的结果存储到系统中唯一维护的区块链并广播给所有网络域中的控制器；

(5)查询链路：各个控制器管理员可以通过区块链查询链路信息。

6.一种多控制器安全识别方法，基于权利要求3所述的基于区块链的混合软件定义网络系统，所述的流表发布，具体包括以下步骤：

1)配置流表项：网络管理员可以通过控制器配置新的流表项；

2)域内共识：收到新流表项后，该网络域域内所有控制器在主控制器领导下处理流表项信息并达成共识；

3)跨域共识：各网络域主控制器交换、处理域内共识后的流表项信息并再次达成共识；

4)存储流表项到区块链：跨域共识后，各域主控制器节点将共识后的结果存储到系统中唯一维护的区块链并将其广播给所有网络域中的控制器；

5)查询流表项：各个控制器通过区块链查询流表项信息。

7.一种基于区块链的混合软件定义网络系统，其特征在于，所述于区块链的混合软件定义网络系统包括：

在控制层由多SDN控制器水平结构与多SDN控制器垂直结构混合构建而成；

所述多SDN控制器水平结构存在于一个网络域内，所述网络域包括一个主SDN控制器和多个从属SDN控制器以及大量的网络转发设备，所述网络域负责系统内一部分网络的管理和操作；

所述多SDN控制器水平结构跨网络域存在，共同管理和操作整个系统中的网络信息；

所述系统中的主SDN控制器和从SDN属控制器都作为区块链节点并执行区块链操作；

所述主SDN控制器负责打包域内网络信息，上传网络打包后的网络信息给跨域水平结构SDN控制器，处理和共识跨域网络信息，存储和下发跨域网络信息给域内控制器；

所述从属SDN控制器负责处理和共识域内网络信息并将结果上交给域内主SDN控制器，存储域内主SDN控制器下发的跨域网络信息，按照存储的网络信息转发网络流量。

8.如权利要求7所述的基于区块链的混合软件定义网络系统，其特征在于，所述的基于区块链的混合软件定义网络系统包括：

4个网络域，每个网络域结构相同；

每个网络域设置4个SDN控制器和若干网络转发设备；

所述4个SDN控制器包括1个主SDN控制器、3个从属SDN控制器。

9.一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行如下步骤：

域内各个网络转发设备产生新的网络信息；

域内SDN控制器共识各设备提交的网络信息；

跨域SDN控制器共识各域提交的网络信息；

跨域SDN控制器将共识结果存储到区块链并将下发给各域内SDN控制器。

Images