CN117650953B

CN117650953B - 一种应用于软件定义网络的轻量级路径验证方法

Info

Publication number: CN117650953B
Application number: CN202410126816.2A
Authority: CN
Inventors: 毕远国; 胡兵; 师一鸣; 黄子烜; 汪美荃; 刘雨霏
Original assignee: 东北大学
Priority date: 2024-01-30
Filing date: 2024-01-30
Publication date: 2024-05-10
Anticipated expiration: 2044-01-30
Also published as: CN117650953A

Abstract

本发明属于软件定义网络安全范畴技术领域，公开了一种应用于软件定义网络的轻量级路径验证方法。针对现有路径验证过程中的高带宽消耗、过多的存储需求以及控制器的大量计算资源消耗问题，本发明的核心在于采用一种不可交换计算的方法保持验证头部的尺寸不随路径长度的变化而改变，从而大幅降低路径验证过程中的带宽消耗。此外，本发明通过实现基于网络流的路径验证，而非依赖于单个数据包的验证，显著降低了数据平面的存储需求以及控制器执行路径验证时的计算资源消耗。这一轻量级的路径验证方案不仅提高了验证效率，而且降低了网络运行的整体成本，适用于各种大规模和动态变化的网络环境，具有广泛的应用潜力。

Description

一种应用于软件定义网络的轻量级路径验证方法

技术领域

本发明涉及软件定义网络安全范畴技术领域，尤其涉及一种应用于软件定义网络的轻量级路径验证方法。

背景技术

路径验证是网络安全和管理中的一个基本概念，在软件定义网络（Software-Defined Networks，SDN）这样的现代复杂网络架构中尤为关键。它涉及验证数据包在网络中的传输路径的完整性和正确性。这一过程对于确保数据不仅通过最高效的路径传输，而且通过绕开被攻击或恶意节点，避免潜在的安全威胁至关重要。它作为防御各种网络攻击（如中间人攻击或数据包篡改）的保障措施，在维护网络整体健康和安全方面发挥着重要作用。随着网络在复杂性和规模上的增长，强大的路径验证机制的重要性变得至关重要，以确保数据传输的顺畅和安全。

现有的路径验证方法主要分为传统网络和软件定义网络（SDN）两种。然而，传统网络中的路径验证方法并不适用于SDN环境，这是因为SDN拥有更加动态和灵活的网络架构，而传统方法通常是针对静态或者较少变化的网络设计的。SDN中已有的路径验证方法存在明显的局限性。首先，它们往往需要大量的存储空间来跟踪和记录网络中的每一条可能的路径，这导致了巨大的存储代价。其次，这些方法需要在数据包中添加验证头部，并利用该验证头部记录数据包的经过路径的交换机信息，会占用大量的带宽资源，特别是在数据流量大或网络规模广的情况下，这种带宽消耗尤为明显。最后，现有SDN路径验证方法在执行验证过程时，需要大量消耗控制器的计算资源。由于控制器的计算能力是有限的，这种高计算需求很容易造成瓶颈，影响整个网络的性能和效率。

发明内容

考虑到现有路径验证方法中存在的问题，特别是在添加额外的验证头部和单独验证每个数据包时，所导致的数据传输过程中的高带宽消耗、数据平面的大量存储需求以及控制器计算资源的显著消耗，本发明提出了一种应用于软件定义网络的轻量级路径验证方法，协助软件定义网络中的路径验证。这种方法的核心创新在于，它允许数据包的验证头部大小保持恒定，不会随着路径长度的变化而发生变化。更重要的是，此方法实现了基于网络流的验证机制，而非传统的基于每个数据包的验证。这一改进显著减少了路径验证过程中所需的带宽资源，同时降低了数据平面的存储代价和控制器在执行路径验证时所需的计算资源。本发明的方法不仅提高了验证效率，还降低了网络运行的整体成本，使得其在大规模和动态变化的网络环境中具有更广泛的应用前景。

本发明的技术方案如下：一种应用于软件定义网络的轻量级路径验证方法，包括初始化模块、验证头部更新模块、验证头部暂存模块、路径验证模块和路径划分模块；

当软件定义网络中产生新的网络流时，控制器为所述网络流分配传输路径，并指定传输路径中的第一跳交换机、中继交换机和最后一跳交换机，为最后一跳交换机分配辅助信息；

当所述第一跳交换机接收到软件定义网络的数据包后，向数据包添加额外的验证头部；所述验证头部包括三个验证域：；所述初始化模块，对验证头部中的每一个验证域进行初始化，经过初始化的验证域于验证头部更新模块中更新；

所述验证头部更新模块在交换机接收到数据包后对数据包的验证头部进行更新信息，除第一跳交换机以外的所有交换机均根据验证头部更新模块对验证域进行更新；

更新验证头部信息后的数据包转发至最后一跳交换机时，该最后一跳交换机将同一个网络流的验证信息通过验证头部暂存模块暂存；当最后一跳交换机接收到来自控制器的路径验证请求时，最后一跳交换机将暂存的网络流的验证信息发送给控制器；

路径验证模块存储于控制器内，路径验证模块根据待验证的网络流，向待验证的网络流传输路径的最后一跳交换机发送验证信息，并接收待验证的网络流的验证信息；判定所述待验证的网络流是否沿指定的路径传输；

路径划分模块，通过选择关键交换机划分数据包的传输路径，使传输路径的重合部分不重复验证，路径划分模块独立于另外四个模块，在网络拓扑发生变化时进行路径划分，比如有新的交换机加入。

所述初始化模块对每一个验证域初始化过程如下：

其中，为接收数据包的交换机的标识，/>为接收数据包的交换机接收该数据包时的时间，/>为接收数据包的交换机的密钥，/>为接收数据包的交换机接收该数据包对应端口的密钥，/>表示异或操作。

所述验证头部更新模块定义非交换性加运算进行更新运算；所述非交换性加运算/>的具体运算过程定义为：

当中继交换机接收来自另一个交换机的数据包时，更新该数据包验证头部的信息，具体更新方法如下：

其中，为接收数据包的第i个交换机标识，/>为接收数据包的第i个交换机的密钥，/>为接收数据包的i个交换机接收该数据包对应端口的密钥。

所述验证头部暂存模块在运行时，交换机在处理网络流的第一个数据包时申请一个验证变量，该验证变量为所述网络流的验证信息，所述验证变量有三个子验证域；

当交换机接收到某个网络流的数据包时，压缩网络流数据包中的验证头部，压缩过程的计算表达式为：

其中均为交换机本地的子验证域，/>为控制器分配给当前网络流的传输路径的辅助信息，/>为第/>个数据包的验证头部的验证域，的欧拉函数。

所述路径验证模块根据自身的全局拓扑信息计算网络流理论验证域的值，其计算过程如下：

为控制器所维护的接收数据包的交换机的标识、/>为控制器所维护的接收数据包的第/>个交换机标识、/>为控制器所维护的接收数据包的第/>个交换机的密钥、为控制器所维护的接收数据包的/>个交换机接收该数据包对应端口的密钥；和/>为计算过程中的中间变量、/>代表/>直至/>的异或累加操作、/>代表/>为1至/>为/>的异或累加操作、/>代表/>至/>的异或累加操作；

路径验证模块根据网络流理论验证域的计算结果以及从数据平面接收到的验证信息判定当前的网络流是否沿指定路径传输，当控制器计算出的理论子验证域与从数据平面接收到的验证变量中的子验证域相等，即时，表明该网络流的传输路径未经恶意修改。

所述路径划分模块为每一个交换机定义策略中心性指标pc，用于表明交换机的重要性，具体定义如下：

式中，S为中继交换机，表示从第一跳交换机/>到最后一跳交换机/>的路径中经过中继交换机/>的路径数量；选择策略中心性指标排名最高的交换机作为关键交换机，关键交换机用于划分当前软件定义网络的数据包传输路径；

控制器利用其集中控制能力在数据平面的网络拓扑中寻找关键交换机，记网络拓扑中从第一跳交换机到最后一跳交换机/>的路径集合为/>，路径集/>，初始化关键交换机集/>。

所述路径集通过抽样方法降低其大小；保证抽样结果计算出的策略中心性指标值与实际策略中心性指标值/>之差满足/>的概率不低于/>的情况，/>表示预测使用抽样结果计算出的策略中心性值与真实的策略中心性值的差距，/>表示预测出错的概率；抽样的样本数满足以下条件：

其中，是一个常量，取值0.5，/>表示网络拓扑的直径。所述路径划分模块，包括以下步骤：

步骤一：从路径集中抽取交换机集，并对交换机集中的每一个交换机，获得经过该交换机的路径集/>；

步骤二：计算的元素数量/>，该值为交换机/>的策略中心性指标值，将交换机集/>中的交换机依据该策略中心性指标值降序排序；

步骤三：依次选择排序后的中继交换机，并判定是否作为关键交换机，能作为关键交换机则将其加入关键交换机集/>，将所有经过所述中继交换机/>的路径移出路径集/>；

步骤四：控制器依据步骤三的路径集重新计算交换机集/>和经过该交换机的路径集/>，并返回步骤二，不断重复以上各步骤，直到没有符合条件的关键交换机；

步骤五：返回关键交换机集。

本发明的有益效果是：针对现有路径验证过程中的高带宽消耗、过多的存储需求以及控制器的大量计算资源消耗问题，本发明的核心在于采用一种不可交换计算的方法保持验证头部的尺寸不随路径长度的变化而改变，从而大幅降低路径验证过程中的带宽消耗。此外，本发明通过实现基于网络流的路径验证，而非依赖于单个数据包的验证，显著降低了数据平面的存储需求以及控制器执行路径验证时的计算资源消耗。这一轻量级的路径验证方案不仅提高了验证效率，而且降低了网络运行的整体成本，适用于各种大规模和动态变化的网络环境，具有广泛的应用潜力。

附图说明

图1为应用于软件定义网络的轻量级路径验证方法的架构图；

图2为测试在不同路径长度时本方法与其他方法在有效负载比指标上的对比；

图3为测试在处理不同数量数据包时本方法与其他方法在数据平面的传输时延的对比；

图4(a)为测试在处理不同数量的网络流时本方法与其他方法在控制器中处理时延的对比；

图4(b)为测试在处理不同数量的数据包时本方法与其他方法在控制器中处理时延的对比；

图5为测试在不同拓扑下本方法中采取路径划分与不采取路径划分方法时数据平面的存储消耗对比；

图6为测试在不同拓扑下采取抽样和不采用抽样时需要验证的路径数量对比；

图7为测试抽样时采用不同的参数对需要验证的路径数量的影响；

图8为测试在处理不同数量的数据包时本方法中控制器分配给交换机的不同的辅助信息值对处理时延的影响。

具体实施方式

一种应用于软件定义网络的轻量级路径验证方法，如图1所示，包括初始化模块、验证头部更新模块、验证头部暂存模块、路径验证模块和路径划分模块：

具体步骤如下：

（一）、初始化模块，用于初始化路径信息，并对数据包验证头部中的每一个验证域进行初始化；

步骤1.1、当软件定义网络中有新的网络流产生时，控制器会为这个网络流分配传输路径，与此同时，指定传输路径中的第一跳交换机，中继交换机和最后一跳交换机，并为最后一跳交换机分配辅助信息；

步骤1.2、当第一跳交换机接收到软件定义网络的数据包后，向数据包添加额外的验证头部，该验证头部包括三个验证域：；

步骤1.3、对新加的验证头部初始化，其每一个验证域初始化过程如下：

其中，为接收数据包的交换机的标识，/>为该交换机接收该数据包时的时间，/>为接收数据包的交换机的密钥，/>为该交换机接收该数据包对应端口的密钥，/>表示异或操作；

（二）、验证头部更新模块，用于对从交换机接收的数据包更新验证包头；

步骤2.1、定义验证头部信息的更新运算，为本发明提出的非交换性加运算，该非交换性加运算的作用是将数据包经过的路径信息记录在验证头部，并在记录过程中保证验证信息的大小不随路径长度变化而变化，/>的具体运算过程定义为：

步骤2.2、当中继交换机接收来自另一个交换机的数据包时，更新该数据包验证头部的信息，具体更新方法如下：

其中，为接收数据包的第i个交换机的标识，/>为该第i个交换机的密钥，/>为该第i个交换机接收该数据包对应端口的密钥。

（三）、验证头部暂存模块，用于在交换机中暂存某一个网络流的验证信息；

步骤3.1、在将数据包转发给控制器之前，通常是最后一跳交换机，将同一个网络流的验证信息暂存在数据平面，该交换机在处理网络流的第一个数据包时申请一个验证变量，该验证变量为所述网络流的验证信息，所述验证变量有三个子验证域；

步骤3.2、当交换机接收到某个网络流的数据包时，压缩该网络流数据包中的验证头部，压缩过程的计算表达式为：

其中均为交换机本地的子验证域，/>为控制器分配给当前网络流的传输路径的辅助信息，/>为第/>个数据包的验证头部的验证域，的欧拉函数；

步骤3.3、当交换机接收到来自控制器的路径验证请求时，该交换机再将暂存的验证信息发送给控制器。

（四）、路径验证模块，该模块路径验证存在于控制器，用于向数据平面中的最后一跳发送验证请求，并对接收到的信息进行验证，从而判定数据平面的网络流是否沿指定的路径传输；

步骤4.1、控制器根据需要验证的网络流，向数据平面该网络流传输路径的最后一跳交换机发送验证信息，并接收到来自数据平面对应该网络流的验证信息；

步骤4.2、控制器根据自身的全局拓扑信息计算该网络流的理论的验证域的值，对于在控制器中的计算结果以及控制器维护的变量通过添加一个上标来表示区别，比如表示由控制器计算出的验证域/>的值，其计算过程如下：

步骤4.3、控制器根据本地的计算结果以及从数据平面接收到的信息判定当前的网络流是否沿指定路径转发，当子验证域时，表明该网络流的传输路径未经恶意修改。

（五）、路径划分模块，通过选择关键交换机划分数据包的传输路径，让传输路径的重合部分不重复验证，从而降低路径验证过程中对数据平面的存储消耗；

步骤5.1、定义策略中心 (policy centrality, pc) 性指标，该指标表明这个交换机的重要性，具体定义如下：

上式中为交换机，/>表示从交换机/>到交换机/>的路径中经过交换机/>的路径数量。策略中心性指标用于体现这个交换机在当前拓扑中的重要性，如果较高就可以将该交换机选择作为关键交换机，从而划分当前网络的数据包传输路径；

步骤5.2、寻找网络拓扑中的关键交换机，记网络拓扑中从交换机到交换机/>的路径集合为/>，路径集/>，初始化关键交换机集/>；

所述路径划分模块，包括以下步骤：

步骤二：计算的元素数量/>，该值即为交换机/>的策略中心性指标值，将交换机集/>中的交换机依据该值降序排序；

步骤三：依次选择排序后的交换机，并判定是否可以作为关键交换机，若可以则将其加入关键交换机集/>，将所有经过/>的交换机移出路径集/>；

步骤四：控制器依据路径集重新计算集合/>和集合/>，并返回步骤二，不断重复以上各步骤，直到没有合适的关键交换机；

步骤五：返回关键交换机集。

通过抽样方法降低路径集的大小，在保证利用抽样结果计算出的策略中心性指标值与实际中心性指标值之差满足/>的概率不低于/>的情况下，抽样的样本数需要满足：

其中，是一个常量，通常取值0.5，/>表示网络拓扑的直径。

本发明仿真实现使用ovs作为SDN中的交换机，使用RYU作为SDN中控制器，在用于模拟网络拓扑的操作系统为Ubuntu 18.04，主机配置为Intel(R) Xeon(R) Gold 5117 CPU@ 2.00GHz and 32G RAM；验证头部长度为16字节，其中为域分配2字节，/>分配4字节，分配8字节，记录验证头部长度的域/>分配2字节。同时在本发明的仿真实验中设置了对比算法和消融实验，对比实验采用的指标为有效负载比率，数据包的额外传输时间，控制器验证路径时的时间消耗，对比对象为当前主流算法EPIC-L1，OSV和REV-F。

图2显示了当路径长度增加时不同路径验证算法的有效负载比率的变化对比，可见本发明中提出的方法L-PVS效果一直是最优的，这是由于在路径验证中使用了本发明提出的不可交换计算方法来更新数据包的验证头部而不是简单地将交换机信息保留在验证头部，从而使得验证头部尺寸不随路径长度增加而增加；此外本发明中的验证头部舍去了不相关的相信，因此本发明中的方法能够始终保持最高的有效负载比率。

图3显示本发明中的方法与其他方法在传输路径长度为10时，使用路径验证方法后的额外传输时延的对比，从图3中可以看到当处理的数据包数量为1000时，本发明中的路径验证方法相较于当前最快的方法延迟减少25%，这是因为在本发明中采用的是横指运算而非加密运算来保存数据包路径的交换机信息，这可以大大地加快交换机对数据包的处理速度，从而减少处理时延。

图4中显示的为控制器在验证传输路径时所花的时间，图中只对比了本发明的方法L-PVS和REV-F，因为另两种方法是应用于传统IP网络而非SDN，传输统IP网络中并没有控制器。图4(a)中的展示的是控制器处理时延随网络流数量的变化，每个网络流分配10个数据包，图4(b)中展示的是当网络流数量为500时控制器验证时间随数据包数量变化的结果，结果表明本发明中的方法所消耗的控制器时间更少，因为本发明中使用的是基于网络流的路径验证方法，在控制器验证过程中对于同一个网络流只需计算一次验证信息而不是对每个数据包都计算一次，因此计算效率大大提高，计算时间大大降低；此外，本发明中在计算指数模时使用欧拉函数约简计算，进一步提高了控制器的验证速度。

图5中显示的为在使用全部数据平面的路径计算关键交换机最优结果(Optimal)，使用抽样数据平面路径计算关键交换机(With GKSS)以及不使用关键交换机(WithoutGKSS)时数据平面的存储消耗，图中结果表明在使用关键交换机后可以大大降低数据平面的存储消耗，这是由于使用了关键交换机后可以让多个网络流的重叠部分只验证一次，从而减少数据平面需要存储的网络流路径信息，因此大大减少数据平面的存储消耗。此外图中结果还表明相较于使用全部数据平面的传输路径而言，使用抽样的数据平面路径计算关键交换机，只会少量增加数据平面的存储代价。

图6中显示的为使用抽样方法与不使用抽样方法时计算关键交换机所需要的路径数量对比，结果表明使用抽样方法可以大大减少所需要的路径数量，这大大降低了关键交换机的计算代价。该结果结合图5中的结果可知，在使用抽样方法后可以在少量增加数据平面存储代价的情况下大大减少计算关键交换机的计算代价。

图7中的显示的是在Oxford拓扑中，计算关键交换机所需要的路径数量随计算准确率和计算结果近似程度/>的变化情况。结果表明计算结果的近似程度这个参数更能影响抽样数量，然而在实际计算关键交换机时我们只需要为交换机的策略中心性排序而不需要知道具体的策略中心性，因此对于近似程度这个参数可以做相对宽松的设置。

图8中显示的是本发明中数据平面对数据包的额外处理时延随控制器分配的辅助信息参数的变化情况。当选择一个更大的辅助信息/>值时可以实现较小的路径验证误报率，图8中结果表明较大的辅助信息/>值会导致更高的额外处理时延，当该值选择为/>时即可以实现较低的额外处理时延，也能有较低的验证误报率。

Claims

1.一种应用于软件定义网络的轻量级路径验证方法，其特征在于，所述应用于软件定义网络的轻量级路径验证方法包括初始化模块、验证头部更新模块、验证头部暂存模块、路径验证模块和路径划分模块；

当软件定义网络中产生新的网络流时，控制器为所述网络流分配传输路径，并指定传输路径中的第一跳交换机、中继交换机和最后一跳交换机，为最后一跳交换机分配辅助信息g，p；

当所述第一跳交换机接收到软件定义网络的数据包后，向数据包添加额外的验证头部；所述验证头部包括三个验证域：f_s，f_k，f_t；

所述初始化模块，对验证头部中的每一个验证域进行初始化，经过初始化的验证域于验证头部更新模块中更新；

更新验证头部信息后的数据包转发至最后一跳交换机时，该最后一跳交换机将同一个网络流的验证信息通过验证头部暂存模块暂存；当最后一跳交换机接收到来自控制器的路径验证请求时，最后一跳交换机将暂存的网络流的验证信息VI_s，VI_k和VI_t发送给控制器；

所述验证头部暂存模块在运行时，交换机在处理网络流的第一个数据包时申请一个验证变量VI，该验证变量为所述网络流的验证信息，所述验证变量有三个子验证域VI_s，VI_k和VI_t；

其中VI_s，VI_k和VI_t均为交换机本地验证变量的子验证域，g，p为控制器分配给当前网络流的传输路径的辅助信息，为第i个数据包的验证头部的验证域，/>为p的欧拉函数；

路径验证模块存储于控制器内，路径验证模块根据待验证的网络流，向待验证的网络流传输路径的最后一跳交换机发送验证信息，并接收待验证的网络流的验证信息VI_s，VI_k和VI_t；判定所述待验证的网络流是否沿指定的路径传输；

s′为控制器所维护的接收数据包的交换机的标识、s_i′为控制器所维护的接收数据包的第i个交换机标识、k_j′为控制器所维护的接收数据包的第j个交换机的密钥、为控制器所维护的接收数据包的第j个交换机接收该数据包对应端口的密钥；Δ_m(s′)和k′为计算过程中的中间变量、/>代表j＝1直至j＝m-1的异或累加操作、/>代表i为1至i为j的异或累加操作、/>代表j＝1至j＝m的异或累加操作；

路径验证模块根据网络流理论验证域的计算结果以及从数据平面接收到的验证信息判定当前的网络流是否沿指定路径传输，当控制器计算出的理论子验证域与从数据平面接收到的验证变量中的子验证域相等，即VI_k′＝VI_k时，表明该网络流的传输路径未经恶意修改；

路径划分模块，通过选择关键交换机划分数据包的传输路径，使传输路径的重合部分不重复验证，路径划分模块独立于另外四个模块，网络拓扑发生变化时进行路径划分；所述初始化模块对每一个验证域初始化过程如下：

f_s←s，

f_t←t,

其中，S为接收数据包的交换机的标识，t为接收数据包的交换机接收该数据包时的时间，k为接收数据包的交换机的密钥，k_in为接收数据包的交换机接收该数据包对应端口的密钥，表示异或操作；所述验证头部更新模块定义非交换性加运算/>进行更新运算；所述非交换性加运算/>的具体运算过程定义为：

其中，s_i为接收数据包的第i个交换机标识，k_i为接收数据包的第i个交换机的密钥，为接收数据包的第i个交换机接收该数据包对应端口的密钥；所述路径划分模块为每一个交换机定义策略中心性指标pc，用于表明交换机的重要性，具体定义如下：

式中，S为中继交换机，表示从第一跳交换机i到最后一跳交换机j的路径中经过中继交换机S的路径数量；选择策略中心性指标排名最高的交换机作为关键交换机，关键交换机用于划分当前软件定义网络的数据包传输路径；

控制器利用其集中控制能力在数据平面的网络拓扑中寻找关键交换机，记网络拓扑中从第一跳交换机i到最后一跳交换机j的路径集合为路径集/>初始化关键交换机集/>

2.根据权利要求1所述的应用于软件定义网络的轻量级路径验证方法，其特征在于，所述路径集通过抽样方法降低其大小；保证抽样结果计算出的策略中心性指标值与实际策略中心性指标值/>之差满足/>的概率不低于1-δ的情况，∈表示预测结果与真实结果差的绝对值，δ表示预测出错的概率；抽样的样本数满足以下条件：

其中，c是一个常量，取值0.5，d表示网络拓扑的直径。

3.根据权利要求2所述的应用于软件定义网络的轻量级路径验证方法，其特征在于，所述路径划分模块，包括以下步骤：

步骤一：从路径集中抽取交换机集并对交换机集中的每一个交换机，获得经过该交换机的路径集/>

步骤二：计算的元素数量/>该值为交换机S的策略中心性指标值，将交换机集中的交换机依据该策略中心性指标值降序排序；

步骤三：依次选择排序后的中继交换机S，并判定是否作为关键交换机，能作为关键交换机则将其加入关键交换机集将所有经过所述中继交换机S的路径移出路径集/>

步骤四：控制器依据步骤三的路径集重新计算交换机集/>和经过该交换机的路径集并返回步骤二，不断重复以上各步骤，直到没有符合条件的关键交换机；

步骤五：返回关键交换机集