属性密码保护的SDN精细转发控制

"基于身份属性的SDN控制转发方法，由祝现威、常朝稳、朱智强和秦晰于2019年在《通信学报》发表，主要解决SDN中数据流转发验证机制不足和OpenFlow协议匹配字段限制的问题。文章提出了一种利用属性密码技术的转发控制架构，通过设备属性生成属性标识和属性签名，增强转发安全性与访问控制的粒度。" 在软件定义网络（SDN）中，传统的数据流转发机制往往缺乏有效的转发验证，而OpenFlow协议的匹配字段数量有限，这对网络的安全性和灵活性构成了挑战。为了解决这些问题，该研究提出了一种基于身份属性的SDN控制转发新方法。这种方法利用属性密码技术，将设备的属性转化为属性标识和属性签名，这两个元素随后被封装在数据包头部。 当数据流经过网络时，尤其是在离开网络时，转发设备会使用这些属性信息对数据进行验证，以确认数据的来源和有效性，防止非法篡改或中间人攻击。同时，通过将属性标识作为流表的匹配字段，可以更加灵活地定义和控制网络中的数据转发行为。这样，不仅能够实现更细粒度的访问控制，还能有效地扩展OpenFlow协议的匹配能力。 属性标识作为流表匹配字段的应用，使得网络管理员可以根据不同的属性条件来设置转发策略，如设备类型、用户权限、时间窗口等，极大地提高了网络策略的灵活性和安全性。结合属性签名的验证机制，这一方法能提供一种更为强大的安全控制层，确保只有具备特定属性的数据流才能被正确转发。 实验结果显示，采用这种基于身份属性的SDN控制转发方法，能够成功实现数据流的细粒度转发认证，并且其转发粒度优于现有的同类方案。这表明，这种方法在提高网络安全性的同时，也提升了SDN的转发效率和控制精度。 该研究对SDN领域具有重要的实践意义，它为解决SDN转发控制和安全问题提供了新的思路，并可能对未来SDN网络的设计和优化产生积极影响。同时，这种方法也展示了属性密码在网络安全中的潜在应用价值，对于提升网络访问控制的精细度和适应性具有显著作用。