SCT-V:针对支持SDN的物联网网络的状态变化触发式一致性验证机制
《Computer Communications》:SCT-V: State-change-triggered consistency validation for SDN-enabled IoT networks
【字体:
大
中
小
】
时间:2026年03月09日
来源:Computer Communications 4.3
编辑推荐:
物联网环境下SDN网络控制平面与数据平面不一致性检测框架SCT-V及Voting Sketch设计
雷苏|王健|张立强|严飞|李冰
教育部航空航天信息安全与可信计算重点实验室,武汉大学网络科学与工程学院,武汉,430072,中国
摘要
软件定义网络(SDN)在物联网(IoT)中的日益广泛应用使得流量管理更加灵活,并能快速适应不断变化的环境。然而,IoT网络极易受到控制平面与数据平面不一致性的影响,这威胁到了数据转发的正确性和服务的可靠性。现有的验证方案会带来过高的每包开销,并且对不一致性的类型覆盖范围有限,限制了其在大规模IoT部署中的可扩展性。为了解决这些问题,我们提出了SCT-V,一个用于控制平面与数据平面一致性验证的可扩展框架。SCT-V利用状态变化触发机制和分层设计,在数据包、流和网络层面系统地检测不一致性。为了高效管理状态数据,我们设计了Voting Sketch这种内存效率高的数据结构,其误报率低于传统的哈希数组。我们使用基于P4的可编程数据平面实现了SCT-V,并通过真实世界流量痕迹(包括IoT网络痕迹)进行了广泛的实验。实验结果表明,在稳定流条件下,SCT-V在数据平面内部验证流量中减少了高达的冗余每包开销;同时,通过使用Voting Sketch,误报率降低了一个数量级,显著优于现有的验证方法。这些发现表明,SCT-V为提高基于SDN的IoT基础设施的可靠性提供了一种实用且可扩展的方法。
引言
物联网(IoT)在智能城市、工业自动化、医疗保健和车辆网络等领域得到了迅速应用[1]、[2]、[3]、[4]、[5]、[6]。IoT基础设施的特点是设备数量庞大、资源受限、流量异构以及拓扑结构高度动态。频繁的设备更换、移动性和不稳定的无线链接进一步复杂化了IoT网络的管理。这些特性在确保IoT网络的可扩展性、可靠性和安全性方面带来了严峻挑战[7]、[8]。
软件定义网络(SDN)作为一种有前景的解决方案应运而生[9]、[10]、[11]。通过将控制平面与数据平面分离,SDN提供了集中控制、可编程性和全局优化能力。逻辑上集中的控制器(例如ONOS [12]和OpenDaylight [13])维护全局网络视图,使用集中算法和网络策略计算最优路由,并将路由信息库(RIB)编译成转发信息库(FIB)条目,然后通过OpenFlow [14]或P4Runtime [15]分发到数据平面交换机。交换机根据流表条目转发数据包。虽然这种架构增强了可扩展性和灵活性,但它本质上引入了控制平面预期状态与数据平面实际运行状态之间不一致的风险。在动态IoT网络中,由于频繁的拓扑变化和不稳定的无线链接,即使是短暂的不一致性也可能干扰关键任务应用(如自动驾驶和工业自动化),使得IoT环境比传统的企业或数据中心网络更容易受到一致性错误的影响。
在实践中,控制平面与数据平面之间的不一致性可能源于多种原因。控制器中的软件错误可能会破坏RIB到FIB的编译过程[16];控制通道的故障或安全漏洞(例如数据包丢失和篡改)可能会阻止正确的FIB更新[17];交换机之间的实现差异(例如流条目的优先级处理不正确)以及硬件故障(例如三态内容可寻址存储器(TCAM)中的比特翻转)也可能扭曲运行状态[16]、[18]。一旦在数据包转发过程中出现这些不一致性,可能会导致数据包丢失、转发循环或错误的路由路径,从而产生严重后果。
为了监控这些不一致性,已经提出了多种方法。数据平面验证技术[19]、[20]、[21]、[22]、[23]静态分析编译后的FIB以检测逻辑错误(例如转发循环或黑洞),但无法捕获部署后的运行时偏差。路径验证技术[24]、[25]、[26]、[27]、[28]、[29]、[30]、[31]、[32]则动态验证数据包的实际转发路径是否与控制器意图一致,从而能够检测到绕行、交换机旁路和伪造的传输路径。现有的路径验证方法大致可以分为三类:
- 1.
基于探测的验证 [24]、[25]方法会主动注入探测数据包,但开销较高,且覆盖范围有限,可能无法反映真实的网络行为。
- 2.
基于流统计的验证 [26]、[27]、[28]方法监控每个流的计数器,但在数据包丢失的情况下可靠性会降低。
- 3.
基于数据包头的验证 [29]、[30]、[31]、[32]方法在每个数据包中嵌入带内验证字段。虽然对路径完整性有效,但会产生大量的监控流量,并且无法检测到网络内部数据包丢失(例如转发循环和黑洞)情况下的不一致性。
在IoT环境中,这些缺点更加明显,因为流量模式与传统网络有很大不同。为了指导高效验证框架的设计,我们分析了两个代表性的IoT流量数据集:来自加拿大网络安全研究所的CIC IoT数据集[33]和来自新南威尔士大学悉尼分校的TON IoT数据集[34]。这两个数据集都是从包含工业传感器、IoT终端和支持基础设施的异构网络中收集的。我们得出以下两个发现:首先,IoT设备生成大量小型、周期性的数据包,使得每包验证效率极低,因为验证字段占据了数据包的很大比例。如图1所示,在TON IoT数据集中,超过63%的数据包小于100字节;在CIC IoT数据集中,超过70%的数据包小于100字节,主要是由于周期性的心跳或状态数据包。其次,IoT设备通常与固定目的地(例如网关或云服务器)通信,导致流的数量较少。例如,在的数据包中,CIC IoT数据集仅观察到769个流,TON IoT数据集观察到44个流。这种低流数量使得流级别的转发状态能够高效维护,并且只有在转发行为发生变化时才触发验证。
基于这些见解,我们提出了< />
本文的主要贡献总结如下:
- •
我们设计了,一个针对IoT流量模式的状态变化触发一致性验证框架。通过仅在转发变化后验证流的首个数据包,SCT-V减少了验证开销。
- •
我们提出了,一种用于记录流转发状态的概率数据结构。与传统哈希数组相比,它实现了更低的误报率和漏报率,从而提高了检测精度并降低了存储开销。
- •
我们将基于数据包头的验证方法扩展到检测转发循环和黑洞,同时保持了线速处理性能。
- •
我们实现了SCT-V并进行了广泛的评估。实验结果表明,SCT-V有效减少了数据平面内部和控制平面的通信开销,最小化了控制器的工作负载,并保持了低延迟和小的内存占用。
部分片段
数据平面验证
已有大量研究致力于验证数据平面的正确性,即确保交换机的配置不会引入转发循环或黑洞等不一致性。早期方法依赖于对全网配置快照的静态分析。虽然这些方法对于离线审计很有用,但无法及时响应实时的FIB更新,从而限制了它们检测短暂不一致性的能力。
为了实现实时验证,后续
方法论
在详细介绍具体的验证机制之前,我们在表2中总结了本节中使用的所有关键数学符号和符号。
实现
我们在P4 [15]中实现了所提出的一致性验证框架,涵盖了从数据包级别到网络级别的一致性验证。实现包括插入和更新验证字段、检测转发端口变化,以及管理Voting Sketch的存储和查询操作。Voting Sketch使用多个寄存器数组来记录转发端口信息,并使用独立的哈希函数。
安全分析和威胁模型
为了明确SCT-V的安全保障,我们假设SDN控制器和安全控制通道(例如P4Runtime)是完全可信的,而数据平面可能受到恶意终端主机或被篡改的交换机的攻击,这些攻击者能够注入数据包或修改规则。SCT-V通过其非交换的加密更新来严格防范验证头部的伪造,这些更新依赖于安全分布的交换机特定()和路径特定()密钥。没有这些密钥的攻击者
结论
本文提出了SCT-V,一个用于验证基于SDN的IoT网络中控制平面与数据平面一致性的可扩展框架。鉴于以往方法的局限性和IoT网络流量的特点,SCT-V结合了状态变化触发验证和分层验证设计,以检测数据包、流和网络层面的一致性。所提出的Voting Sketch数据结构通过减少漏报率进一步提高了验证效率
CRediT作者贡献声明
雷苏:撰写——原始草稿、验证、软件、方法论、概念化。王健:撰写——审阅与编辑、可视化、监督、项目管理、资金获取。张立强:撰写——审阅与编辑。严飞:撰写——审阅与编辑。李冰:撰写——审阅与编辑、监督、项目管理、资金获取。
利益冲突声明
作者声明他们没有已知的财务利益或个人关系可能影响本文报告的工作。
致谢
本工作得到了国家自然科学基金(编号:62572362)的支持。
生物通微信公众号
生物通新浪微博
今日动态 |
人才市场 |
新技术专栏 |
中国科学人 |
云展台 |
BioHot |
云讲堂直播 |
会展中心 |
特价专栏 |
技术快讯 |
免费试用
版权所有 生物通
Copyright© eBiotrade.com, All Rights Reserved
联系信箱:
粤ICP备09063491号
