随着信息化进程的深入,互联网产业快速创新发展,多样且新颖的网络服务大量涌现,数据流量出现爆发式增长。然而,传统网络架构由于体系僵化、结构复杂,无力应对互联网快速增长的创新与复杂多样的需求。对此,软件定义网络(Software-Defined Networking,SDN)架构将控制层面和数据层面解耦合,并引入网络可编程等特性以应对网络快速变化,使新技术的快速验证与部署成为可能,得到了学术界及产业界的认可,并被迅速推广。由于SDN初期设计时并没有过多地考虑安全问题,引入的诸多新特性在提供便利的同时也带来新的安全威胁。在SDN南向接口,由于控制层面与数据层面的分离,交换机对数据的转发方式需要通过控制流与外部节点交换控制信息获取,但控制流要流经的外部链路存在安全风险,即SDN控制器与交换机间的通信存在安全风险。SDN南向接口使用OpenFlow协议时,所采用的TLS(Transport Layer Security)协议虽然可以一定程度上保证通信安全,但TLS协议本身的脆弱性与ONF(Open Networking Foundation)组织为推广SDN/OpenFlow所做出妥协,取消对TLS的强制支持,使得基于OpenFlow的SDN南向接口变得不安全可靠。对此,本文采用IPsec(Internet Protocol Security)为SDN控制器与交换机间的通信提供安全保证。IPsec是IPv6的一部分和IPv4的可扩展支持项,使用IPsec从当前网络向IPv6演进的角度来看,不会带来额外的设备开销。同时,IPsec作为网络链路安全性的一部分,不会要求SDN控制器添加新的功能模块,不存在兼容性问题,可以无缝接入当前SDN网络架构。本文的主要研究工作如下:(1)针对SDN控制器与交换机通信的安全问题,使用IPsec来保证SDN控制器与交换机的通信安全。同时,针对IPsec默认支持的公开算法如AES、DES、3DES等的安全风险,实现为IPsec添加自定义加密算法,并在SDN/OpenFlow平台上验证自定义加密算法添加过程的正确性。此外,针对为IPsec添加自定义加密算法的复杂与困难,提出FTA(Free to Add)机制以简化IPsec自定义加密算法的添加过程,提高IPsec加密算法使用的灵活性与可用性。相较于传统的为IPsec添加自定义加密算法,FTA机制依据软件定义思维对灵活性与高可用性的强调,通过添加所提出的算法控制接口与子算法接口,更易完成新加密算法的添加与调用。通过调用子算法接口,用户可以灵活组合调用多种加密算法,实现混合加密算法,提高攻击者的破解成本。最后,实验结果表明FTA机制可用,基于FTA机制的添加新加密算法与混用加密算法的可行性与FTA机制的有效性也得到了验证。(2)针对IPsec加密带来的链路安全性与通信性能之间的矛盾,分析IPsec加解密过程对于网络延迟与吞吐量的影响,建立一个反馈调节模型,并提出IPsec加密算法的调用算法以平衡链路安全性与通信性能。在通信性能低时,调用安全性低、系统消耗少的加密算法,释放系统资源,提升通信性能;在通信性能好时,恢复原有加密算法。在检测到安全风险时,调用高安全性加密算法,保证链路安全性,无风险时则恢复原有加密算法。最后,通过仿真试验验证IPsec加密算法调度算法对于平衡链路安全与通信性能的有效性。(3)为验证使用IPsec保证SDN控制器与交换机通信安全方案的可行性与正确性,使用树莓派与PC机搭建物理实验平台,构建SDN/OpenFlow环境,并基于StrongSwan实现IPsec自定义加密算法的添加。在此基础上,设计完成FTA机制及控制模块的开发与验证。