面向SDN的源地址驗證方法研究.pdf

1、源地址欺騙是指通過偽造源IP地址假冒他人身份進行網(wǎng)絡通信，常被攻擊者用來進行如IP Spoofing、SYN Floods等分布式拒絕服務（Distributed Denial of Service，DDoS)攻擊，不僅危害巨大，還可以達到隱藏自身的目的，此類攻擊已經(jīng)成為如今互聯(lián)網(wǎng)上最大安全威脅之一。對數(shù)據(jù)包源地址進行真實性驗證是防御源地址欺騙最有效的方法。國內(nèi)外研究者已經(jīng)提出多種源地址驗證方案，然而在當前的網(wǎng)絡條件下，進行源地址驗證面

2、臨許多的困難。軟件定義網(wǎng)絡(Software-Defined Networking，SDN)是近幾年提出的新型網(wǎng)絡架構(gòu)，將控制功能從網(wǎng)絡設備中分離出來，向上集成操作系統(tǒng)，靈活的實現(xiàn)不同的網(wǎng)絡策略，向下通過南向接口統(tǒng)一管理網(wǎng)絡設備。這種網(wǎng)絡架構(gòu)增加了網(wǎng)絡的靈活性、可擴展性，成為當前的熱點概念，并為探索新的源地址驗證實現(xiàn)方式提供了契機，本文便在真實源地址驗證體系的基礎上提出兩種面向SDN的源地址驗證方法。
　　文章首先介紹了課題研究背

3、景和現(xiàn)狀，通過分析各種源地址驗證技術，依據(jù)原理不同將其分為三類，并闡述其原理和不足。得益于SDN帶來的網(wǎng)絡革新和可編程接口提供的開發(fā)便利，改進傳統(tǒng)MAC、IP綁定方法和域內(nèi)集中計算路徑過濾（Calculating PathForwarding，CPF）算法，利用可編程控制器對其進行二次開發(fā)，實現(xiàn)兩種面向SDN的源地址驗證方案：方案一將主機源IP地址、MAC地址以及相連的交換機端口PORT綁定起來，生成形如的三元