基于区块链的软件定义网络数据帧安全验证机制

doi:10.11772/j.issn.1001-9081.2021081450

《计算机应用》唯一官方网站 ›› 2022, Vol. 42 ›› Issue (10): 3074-3083.DOI: 10.11772/j.issn.1001-9081.2021081450

• 网络空间安全 • 上一篇

基于区块链的软件定义网络数据帧安全验证机制

陈何雄¹, 罗宇薇²^,³, 韦云凯²^,³, 郭威¹, 杭菲璐¹, 毛正雄¹, 张振红¹, 何映军¹, 罗震宇¹, 谢林江¹, 杨宁³

^1.云南电网有限责任公司信息中心, 昆明 650011
^2.电子科技大学长三角研究院(衢州), 浙江衢州 324003
^3.电子科技大学信息与通信工程学院, 成都 611731

收稿日期:2020-08-16 修回日期:2021-11-20 接受日期:2021-11-21 发布日期:2022-01-07 出版日期:2022-10-10
通讯作者: 韦云凯
作者简介:第一联系人：陈何雄（1984—），男，云南曲靖人，工程师，硕士，主要研究方向：网络安全运维
罗宇薇（1998—），女，广东清远人，硕士研究生，主要研究方向：物联网安全、区块链
韦云凯（1979—），男，山东临沭人，副教授，博士，主要研究方向：物联网安全、人工智能、区块链。ykwei@uestc.edu.cn
基金资助:
国家自然科学基金资助项目(61620106011);云南电网科技项目(YNKJXM20200168);衢州科技专项(2021D013)

Blockchain-based data frame security verification mechanism in software defined network

Hexiong CHEN¹, Yuwei LUO²^,³, Yunkai WEI²^,³, Wei GUO¹, Feilu HANG¹, Zhengxiong MAO¹, Zhenhong ZHANG¹, Yingjun HE¹, Zhenyu LUO¹, Linjiang XIE¹, Ning YANG³

^1.Information Center，Yunnan Power Grid Company Limited，Kunming Yunnan 650011，China
^2.Yangtze Delta Region Institute （Quzhou），University of Electronic Science and Technology of China，Quzhou Zhejiang 324003，China
^3.School of Information and Communication Engineering，University of Electronic Science and Technology of China，Chengdu Sichuan 611731，China

Received:2020-08-16 Revised:2021-11-20 Accepted:2021-11-21 Online:2022-01-07 Published:2022-10-10
Contact: Yunkai WEI
About author:CHEN Hexiong， born in 1984， M. S. ， engineer. His research interests include network security operation and maintenance.
LUO Yuwei，born in 1998， M. S. candidate. Her research interests include internet of things security， blockchain.
WEI Yunkai， born in 1979， Ph. D. ， associate professor. His research interests include internet of things security， artificial Intelligence， blockchain.
Supported by:
National Natural Science Foundation of China(61620106011);Yunnan Power Grid Technology Project(YNKJXM20200168);Municipal Government Project of Quzhou(2021D013)

摘要/Abstract

摘要：

为构建安全高效的网络环境，必须对伪造、受篡改数据帧进行有效的识别与过滤。然而，在软件定义网络（SDN）中，现有的安全验证机制通常在验证设备受到攻击或恶意控制时无法有效运行。为解决上述问题，提出了基于区块链的SDN数据帧安全验证机制。首先，设计帧转发证明（PoFF）共识算法并以此为基础建立轻量型区块链系统；然后，基于该系统构建针对SDN数据帧的安全验证体系；最后，提出可灵活调节的半随机选择验证模式以兼顾验证效率与资源开销。仿真结果表明，在同等比例的交换机被恶意控制情况下，所提机制的漏检概率较基于哈希链的验证机制有明显降低。其中，当受控交换机占比为40%时，降低效果尤其显著：此时所提机制在基本验证模式下的漏检概率低于32%，在辅助以半随机验证后可进一步降到7%，均远低于基于哈希链的验证机制72%的漏检概率；且所提机制引入的资源开销与通信代价在合理范围内。此外，即使在SDN控制器完全失效情况下，所提机制仍可保持良好的验证性能与效率。

关键词: 软件定义网络, 区块链, 安全验证, 共识算法, 数字签名

Abstract:

Forged and tampered data frames should be identified and filtered out to ensure network security and efficiency. However， the existing schemes usually fail to work when verification devices are attacked or maliciously controlled in the Software Defined Network （SDN）. To solve the above problem， a blockchain-based data frame security verification mechanism was proposed. Firstly， a Proof of Frame Forwarding （PoFF） consensus algorithm was designed and used to build a lightweight blockchain system. Then， an efficient data frame security verifying scheme for SDN data frame was proposed on the basis of this blockchain system. Finally， a flexible semi-random verifying scheme was presented to balance the verification efficiency and the resource cost. Simulation results show that compared with the hash chain based verifying scheme， the proposed scheme decreases the missed detection rate significantly when an equal proportion of switches are maliciously controlled. Specifically， when the proportion is 40%， the decrease effect is very obvious， the missed detection rate can still be kept no more than 32% in the basic verification mode， and can be further reduced to 7% with the assistance of the semi-random verifying scheme. Both are much lower than the missed detection rate of 72% in the hash chain based verifying scheme， and the resource overhead and communication cost introduced by the proposed mechanism are within a reasonable range. Additionally， the proposed scheme can still maintain good verification performance and efficiency even when the SDN controller is completely unable to work.

Key words: Software Defined Network (SDN), blockchain, security verification, consensus algorithm, digital signature

中图分类号:

TN918.91

陈何雄, 罗宇薇, 韦云凯, 郭威, 杭菲璐, 毛正雄, 张振红, 何映军, 罗震宇, 谢林江, 杨宁. 基于区块链的软件定义网络数据帧安全验证机制[J]. 计算机应用, 2022, 42(10): 3074-3083.

Hexiong CHEN, Yuwei LUO, Yunkai WEI, Wei GUO, Feilu HANG, Zhengxiong MAO, Zhenhong ZHANG, Yingjun HE, Zhenyu LUO, Linjiang XIE, Ning YANG. Blockchain-based data frame security verification mechanism in software defined network[J]. Journal of Computer Applications, 2022, 42(10): 3074-3083.

图/表 11

图1 基于区块链的软件定义网络数据帧安全验证机制

Fig. 1 Blockchain-based data frame security verification mechanism in software defined network

图2 基于帧转发证明的共识算法

Fig. 2 Consensus algorithm based on proof of frame forwarding

图3 低开销弹性验证示意图

Fig. 3 Schematic diagram of low overhead elastic verification

图4 基于区块链的验证信息维护示意图

Fig. 4 Schematic diagram of blockchain-based verification information maintenance

图5 不同模式下的漏检概率对比

Fig. 5 Comparison for possibility of missed detection under different patterns

图6 不同模式下的平均转发延迟对比

Fig. 6 Comparison for average forwarding delay under different patterns

图7 交换机的算力占用率

Fig. 7 Ratio of switch computing power utilization

图8 不同网络规模下的区块链存储开销（1年）

Fig. 8 Blockchain storage overhead at different network scales （1 year）

表1 故障时间内密钥的破解概率

Tab. 1 Probability of key cracking during failure time

故障时间	破解概率	故障时间	破解概率
$1 T u p d$ （120 s）	$6.00 × 10 - 12$	$720 T u p d$ （24 h）	$4.32 × 10 - 9$
$30 T u p d$ （1 h）	$1.80 × 10 - 10$	$5 040 T u p d$ （7 d）	$3.03 × 10 - 8$

表1 故障时间内密钥的破解概率

Tab. 1 Probability of key cracking during failure time

故障时间	破解概率	故障时间	破解概率
$1 T u p d$ （120 s）	$6.00 × 10 - 12$	$720 T u p d$ （24 h）	$4.32 × 10 - 9$
$30 T u p d$ （1 h）	$1.80 × 10 - 10$	$5 040 T u p d$ （7 d）	$3.03 × 10 - 8$

图9 SDN控制器单点故障下的平均转发延迟

Fig. 9 Average forwarding delay under single point of failure of SDN controller

图10 SDN控制器异常下的漏检概率

Fig. 10 Possibility of missed detection under abnormal SDN controller

参考文献 28

1	GAO S， LI Z C， XIAO B， et al. Security threats in the data plane of software-defined networks［J］. IEEE Network， 2018， 32（4）： 108-113. 10.1109/mnet.2018.1700283
2	ANEROUSIS N， CHEMOUIL P， LAZAR A A， et al. The origin and evolution of open programmable networks and SDN［J］. IEEE Communications Surveys and Tutorials， 2021， 23（3）： 1956-1971. 10.1109/comst.2021.3060582
3	Open Networking Foundation. Software-defined networking： the new norm for networks［R/OL］. （2012-04-13）［2021-07-03］.. 10.18411/a-2017-023
4	李兆斌，刘梦甜，魏占祯，等. 软件定义网络可信连接设计与实现［J］. 计算机应用研究， 2019， 36（3）：911-917. 10.19734/j.issn.1001-3695.2017.10.0939
	LI Z B， LIU M T， WEI Z Z， et al. Design and realization of SDN trusted connection［J］. Application Research of Computers， 2019， 36（3）： 911-917. 10.19734/j.issn.1001-3695.2017.10.0939
5	陈亮，李峰，任保全，等. 软件定义物联网研究综述［J］. 电子学报， 2021， 49（5）： 1019-1032. 10.12263/DZXB.20200561
	CHEN L， LI F， REN B Q， et al. Software-defined internet of things： a survey［J］. Acta Electronica Sinica， 2021， 49（5）： 1019-1032. 10.12263/DZXB.20200561
6	吴海涛，华铭轩，曹帅，等. SDN网络安全研究热点与演进趋势［J］. 通信技术， 2021， 54（6）：1492-1501. 10.3969/j.issn.1002-0802.2021.06.032
	WU H T， HUA M X， CAO S， et al. SDN network security research hotspots and evolution trend［J］. Communications Technology， 2021， 54（6）： 1492-1501. 10.3969/j.issn.1002-0802.2021.06.032
7	祝现威，常朝稳.朱智强，等. 基于身份属性的SDN控制转发方法［J］. 通信学报， 2019， 40（11）：1-18. 10.11959/j.issn.1000-436x.2019232
	ZHU X W， CHANG C W， ZHU Z Q， et al. SDN control and forwarding method based on identity attribute［J］. Journal on Communications， 2019， 40（11）： 1-18. 10.11959/j.issn.1000-436x.2019232
8	左志斌，常朝稳，祝现威. 一种基于数据平面可编程的软件定义网络报文转发验证机制［J］. 电子与信息学报， 2020， 42（5）：1110-1117. 10.11999/JEIT190381
	ZUO Z B， CHANG C W， ZHU X W. A software-defined networking packet forwarding verification mechanism based on programmable data plane［J］. Journal of Electronics and Information Technology， 2020， 42（5）： 1110-1117. 10.11999/JEIT190381
9	王首一，李琦，张云. 轻量级的软件定义网络数据包转发验证［J］. 计算机学报， 2019， 42（1）：176-189. 10.11897/SP.J.1016.2019.00176
	WANG S Y， LI Q， ZHANG Y. LPV： lightweight packet forwarding verification in SDN［J］. Chinese Journal of Computers， 2019， 42（1）： 176-189. 10.11897/SP.J.1016.2019.00176
10	SASAKI T， PAPPAS C， LEE T， et al. SDNsec： forwarding accountability for the SDN data plane［C］// Proceeding of the 25th International Conference on Computer Communication and Networks. Piscataway： IEEE， 2016： 1-10. 10.1109/icccn.2016.7568569
11	李兆斌，刘泽一，魏占祯，等. 基于哈希链的软件定义网络路径安全［J］. 计算机应用， 2019， 39（5）：1368-1373. 10.11772/j.issn.1001-9081.2018091857
	LI Z B， LIU Z Y， WEI Z Z， et al. Software defined network path security based on Hash chain［J］. Journal of Computer Applications， 2019， 39（5）： 1368-1373. 10.11772/j.issn.1001-9081.2018091857
12	秦晰，唐国栋，常朝稳，等. 软件定义网络中基于密码标识的报文转发验证机制［J］. 电子与信息学报， 2018， 40（9）：2042-2049. 10.11999/JEIT171226
	QIN X， TANG G D， CHANG C W， et al. Packet forwarding authentication mechanism based on cipher identification in software-defined network［J］. Journal of Electronics and Information Technology， 2018， 40（9）： 2042-2049. 10.11999/JEIT171226
13	DIFFIE W， HELLMAN M. New directions in cryptography［J］. IEEE Transactions on Information Theory， 1976， 22（6）： 644-654. 10.1109/tit.1976.1055638
14	RIVEST R L， SHAMIR A， ADLEMAN L. A method for obtaining digital signatures and public-key cryptosystems［J］. Communications of the ACM， 1978， 21（2）： 120-126. 10.1145/359340.359342
15	程朝辉. 数字签名技术概览［J］. 信息安全与通信保密， 2020（7）：48 - 62. 10.3969/j.issn.1009-8054.2020.07.008
	CHENG Z H. An overview of digital signature technology［J］. Information Security and Communications Privacy， 2020（7）： 48-62. 10.3969/j.issn.1009-8054.2020.07.008
16	李晖，牛少彰. 无线通信安全理论与技术［M］. 北京：北京邮电大学出版社， 2011：128-129.
	LI H， NIU S Z. Wireless Communication Security Theory and Technology［M］. Beijing： Beijing University of Posts and Telecommunications Press， 2011： 128-129.
17	NAKAMOTO S. Bitcoin： a peer-to-peer electronic cash system［EB/OL］. ［2021-07-03］.. 10.2139/ssrn.3977007
18	CHENG Y， HU X H， ZHANG J G. An improved scheme of proof-of-stake consensus mechanism［C］// Proceedings of the 4th International Conference on Mechanical， Control and Computer Engineering. Piscataway： IEEE， 2019： 826-829. 10.1109/icmcce48743.2019.00189
19	袁勇，王飞跃. 区块链技术发展现状与展望［J］. 自动化学报， 2016， 42（4）：481-494. 10.16383/j.aas.2016.c160158
	YUAN Y， WANG F Y. Blockchain： the state of the art and future trends［J］. Acta Automatica Sinica， 2016， 42（4）： 481-494. 10.16383/j.aas.2016.c160158
20	杨武，玄世昌，王巍. 基于区块链技术的数据共享应用发展与挑战（英文）［J］. 广州大学学报（自然科学版）， 2020， 19（3）：1-25.
	YANG W， XUAN S C， WANG W. Development and challenge of data sharing based on block chain technology［J］. Journal of Guangzhou University （Natural Science Edition）， 2020， 19（3）： 1-25.
21	廖晓峰，张迪. 基于可编辑区块链的数据隐私安全［J］. 广州大学学报（自然科学版）， 2021， 20（3）：1-8. 10.3969/j.issn.1671-4229.2021.03.001
	LIAO X F， ZHANG D. Data privacy security based on redactable blockchain［J］. Journal of Guangzhou University （Natural Science Edition）， 2021， 20（3）： 1-8. 10.3969/j.issn.1671-4229.2021.03.001
22	FAN C X， GHAEMI S， KHAZAEI H， et al. Performance evaluation of blockchain systems： a systematic survey［J］. IEEE Access， 2020， 8： 126927-126950. 10.1109/access.2020.3006078
23	KING S， NADAL S. PPCoin： peer-to-peer crypto-currency with proof-of-stake［EB/OL］. （2012-08-19）［2021-07-03］..
24	DZIEMBOWSKI S， FAUST S， KOLMOGOROV V， et al. Proofs of space［C］// Proceedings of the 2015 Annual International Cryptology Conference， LNCS 9216. Berlin： Springer， 2015： 585-605.
25	MATSUMOTO M， NISHIMURA T. Mersenne twister： a 623-dimensionally equidistributed uniform pseudo-random number generator［J］. ACM Transactions on Modeling and Computer Simulation， 1998， 8（1）： 3-30. 10.1145/272991.272995
26	NETBERG. LEAF/TOR SWITCHES Aurora 420［EB/OL］. ［2021-07-03］.. 10.1109/ppc40517.2021.9733144
27	LOCHTER M， MERKLE J. Elliptic Curve Cryptography （ECC） brainpool standard curves and curve generation ［EB/OL］. ［2021-07-03］.. 10.17487/rfc5639
28	BARKER E. Recommendation for key management： part 1 - general： NIST special publication 800-57 part 1， revision 5［EB/OL］. ［2021-07-03］..

[1]	郭阳楠, 蒋文保, 叶帅. 可监管的区块链匿名交易系统模型[J]. 《计算机应用》唯一官方网站, 2022, 42(9): 2757-2764.
[2]	刘炜, 张聪, 佘维, 宋轩, 田钊. 基于Merkle山脉的数据可信溯源方法[J]. 《计算机应用》唯一官方网站, 2022, 42(9): 2765-2771.
[3]	田洪亮, 王佳玥, 李晨曦. 基于混合算法区块链和节点身份认证的数据存储方案[J]. 《计算机应用》唯一官方网站, 2022, 42(8): 2481-2486.
[4]	王旭, 申玉民, 熊晓芸, 李鹏, 王金龙. 基于哈希图的建筑物联网数据管理方法[J]. 《计算机应用》唯一官方网站, 2022, 42(8): 2471-2480.
[5]	张杰, 许姗姗, 袁凌云. 基于区块链与边缘计算的物联网访问控制模型[J]. 《计算机应用》唯一官方网站, 2022, 42(7): 2104-2111.
[6]	汤春明, 陈雨晴, 张梓迪. 基于二项交换林和HotStuff的改进共识算法[J]. 《计算机应用》唯一官方网站, 2022, 42(7): 2112-2117.
[7]	许蕴韬, 朱俊武, 孙彬文, 孙茂圣, 陈四海. 选举供应链：基于区块链的供应链自治框架[J]. 《计算机应用》唯一官方网站, 2022, 42(6): 1770-1775.
[8]	李杨, 徐龙, 李研强, 李绍鹏. 基于智能合约的物联网访问控制架构与验证[J]. 《计算机应用》唯一官方网站, 2022, 42(6): 1922-1931.
[9]	狄筝, 曹一凡, 仇超, 罗韬, 王晓飞. 新型算力网络架构及其应用案例分析[J]. 《计算机应用》唯一官方网站, 2022, 42(6): 1656-1661.
[10]	任秀丽, 张雷. 基于实用拜占庭容错的改进的多主节点共识机制[J]. 《计算机应用》唯一官方网站, 2022, 42(5): 1500-1507.
[11]	刘向举, 路小宝, 方贤进, 尚林松. 软件定义网络环境下的低速率拒绝服务攻击检测方法[J]. 《计算机应用》唯一官方网站, 2022, 42(4): 1301-1307.
[12]	张立群, 林海涛, 郇文明, 毕文婷. 基于OpenFlow的软件定义网络流规则冲突检测系统[J]. 《计算机应用》唯一官方网站, 2022, 42(2): 528-533.
[13]	谢家贵, 李志平, 金键. 基于星火区块链的跨链机制[J]. 《计算机应用》唯一官方网站, 2022, 42(2): 519-527.
[14]	李莉, 吴怡, 杨祉坤, 陈云鹏. 基于分区型区块链医疗电子病历共享方案[J]. 《计算机应用》唯一官方网站, 2022, 42(1): 183-190.
[15]	林定康, 颜嘉麒, 巴楠登, 符朕皓, 姜皓晨. 门罗币匿名及追踪技术综述[J]. 《计算机应用》唯一官方网站, 2022, 42(1): 148-156.

基于区块链的软件定义网络数据帧安全验证机制

Blockchain-based data frame security verification mechanism in software defined network

RichHTML

PDF

可视化

摘要/Abstract

引用本文

使用本文

图/表 11

参考文献 28

相关文章 15

编辑推荐

Metrics