[发明专利]一种基于区块链的可信软件定义网络构建方法

说明书

本发明提供一种基于区块链的可信软件定义网络构建方法，包括北桥接口和南桥接口，北桥接口负责连接应用层与控制层，南桥接口用于连接控制层与数据层；控制层主要负责网络控制，进行协议相关的处理与计算，并提供区块链相关功能，参与区块链共识过程，负责存储区块链数据；数据层是数据的转发平面，根据流表对数据包进行转发。其优点在于，本发明维护了软件定义网络的“控制层‑数据层”分离的特性；本发明的核心贡献就在于将区块链引入控制层，并与控制器紧密结合，共同维护软件定义网络架构，提供安全可信的操作环境。

技术领域

本申请属于计算机网络构建领域，具体为一种基于区块链的可信软件定义网络构建方法。

背景技术

软件定义网络(Software Defined Network，SDN)：对于软件定义网络目前没有确切定义，可以将SDN理解为一种网络架构，拥有多种实现方式，例如：OpenFlow。SDN技术使得应用软件可以参与对网络的控制管理，满足上层业务需求，通过自动化业务部署简化网络运维。为满足上述功能，一般而言SDN满足三种特性：控制与数据分离、有开放的编程接口、集中式的控制。一直以来，SDN技术的安全性是SDN应用面临的重要问题之一，例如流量异常、控制器出错等均会影响SDN的运行，因此如何保证SDN的安全性是一个重要的问题。

区块链是一种利用密码学方法、计算机网络和分布式存储等技术综合实现的复合型技术。它能提供或创造一个可信计算或交易环境，其中的数据和针对数据的操作不可被恶意操纵或篡改。区块链系统可保证数据的可追溯性，不可伪造性和不可篡改性，籍此可以实现区块链防伪、存证、追溯、数字资产等新型应用。区块链系统的三个核心组成部分是分布式网络架构、共识算法和分布式账本结构。分布式网络架构是由节点组成的去中心化拓扑结构，为区块链系统运行提供架构基础；区块链的更新由共识算法驱动，保证了账本全局一致性；分布式账本结构设计利用了密码学技术，可以安全存储区块链中的数据。

发明内容

基于上述问题，本申请提供一种“控制层-数据层”分离、将区块链引入控制层，并与控制器紧密结合，能提供安全可信的操作环境的基于区块链的可信软件定义网络构建方法。其技术方案为，

一种基于区块链的可信软件定义网络构建方法，其特征在于，包括北桥接口和南桥接口，北桥接口负责连接应用层与控制层，南桥接口用于连接控制层与数据层；

控制层主要负责网络控制，进行协议相关的处理与计算，并提供区块链相关功能，参与区块链共识过程，负责存储区块链数据；

数据层是数据的转发平面，根据流表对数据包进行转发。

进一步的，所述数据层是交换机、路由器、线路构成的基础转发网络，负责对数据包的转发，数据转发过程中所需的流表是由控制层负责生成并下发。

进一步的，数据层分配一个控制节点集群，用于提供基于多节点决策的安全性；数据层可向控制层发送两类信息：流表请求信息，控制节点分配请求信息，当数据层需要进行数据转发但缺少对应流表项时，数据层会向控制器发送流表请求信息；当数据层检测发现到拜占庭节点时，数据层会向控制器发送控制节点分配请求信息，请求剔除拜占庭节点并分配新的控制节点。

进一步的，控制层是由多个控制节点组成的网络，每个控制节点具备一定的计算和存储资源，负责运行一个控制器和一个区块链系统；控制器负责通过南桥接口与数据层链接，用于处理来自数据层的请求信息，计算请求结果。

进一步的，每个数据层设备分配一个控制节点集群，数据层设备的请求信息由控制节点集群共同处理与决策；每个节点运行的区块链系统负责对信息处理进行全过程的记录；区块链系统可对流表请求信息或控制节点分配请求信息进行验证，将请求消息、计算结果、时间戳等信息打包成交易，将交易广播至全网；仅当交易被成功打包进区块并被记录在区块链上时，该请求消息得到成功的处理，请求消息对应的处理结果可在区块链查询。

进一步的，网络运行流程为，