一种基于SDN的流接入安全系统的设计与实现

为创建防范攻击和流监测功能为一体的网络安全环境，基于软件定义网络（SDN）分离网络数据平面和控制平面的天然特性，利用 OpenFlow 协议以流集中管控网络的方式综合接入控制和网络审计2种网络安全技术，提出了一种基于 SDN 的流接入安全系统（SDN-FASS）。设计了 SDN-FASS 体系结构，讨论了它提供接入控制和审计功能的工作过程，并研究了接入控制的安全策略及网络审计的流日志提取与分析几个关键技术。为测试 SDN-FASS 的接入控制和网络安全审计特性，搭建了一个原型系统，并进行了多维控制和流日志回溯分析的试验。结果表明，该系统具有灵活定义网络接入控制安全策略；在线高效获取流记录以及以毫秒级速度快速搜索海量流日志；不仅能够用于防范网络外部的攻击，而且能够用于监测网络内部的非法操作。