软件定义网络(Software Defined Networks,SDN)具有通过控制器来管理网络的能力,高效且灵活,被越来越多地应用在云数据中心中。近年来,云技术在各行业应用广泛,不同组织之间不乏有跨云数据中心交互数据的需求,这便需要各数据中心内的SDN控制器协同管理云网络,跨不同管理域来路由数据包。控制器协作的前提是彼此信任,而现有的分布式控制器协作路由方案,均需第三方信任中心来为控制器建立信任关系,但信任中心和已认证实体都存在被攻击的威胁,因此现有方案中控制器之间的信任关系是脆弱的;更进一步,现有路由机制下,只要一个控制器经过认证,其他控制器便会信任该控制器计算的路由规则,协助其完成路由,而由于SDN中恶意应用程序、控制器单点失效等威胁的存在,认证过的控制器也会产生不可靠的路由规则,因此现有方案并不能保证跨域路由可信,无法建立安全的跨域路由;除此之外,当前互联网协议下,数据包头部源、目的地址等信息都是公开的,攻击者能轻易获得通信双方的身份标识,实现消息的追踪和溯源,进而暴露源、目的通信方更多的隐私,因此通信过程中双方身份的隐私保护非常重要,匿名通信便是针对这一问题提出的研究,然而传统方案和新型针对SDN的匿名通信方案,难以权衡路由效率和匿名性,均不能很好地应用于分布式控制架构的SDN之中。本文受区块链以去中心化方式在全网节点之间达成共识的相关技术的启发,对SDN的跨域路由展开研究,分别提出了基于区块链的SDN可信跨域路由方案和匿名路由方案,以实现对SDN跨域路由过程中安全性和隐私性的保护。(1)本文首先设计了基于区块链的分布式SDN控制架构,架构中控制器与区块链节点同处于一个物理节点上,二者之间通过API交互。定义了区块所存储的跨域路由交易、网络状态更新交易的具体内容。此外,提出了基于滑动窗口机制的区块链更新方式,节点之间通过共识机制来确认彼此共享的信息是否可信任,同时滑动窗口机制可定时清理账本中积累大量无用的网络状态变更事件。本架构使得系统以较低的存储开销,以去中心化的方式达成对系统状态认知的一致性,摆脱了对中心化信任机构的依赖。(2)在上述架构的基础上,为解决跨域路由的安全问题,提出了可信跨域路由机制。首先定义了初始化阶段和状态更新阶段两种不同阶段下控制器之间同步网络状态信息的方法,将各控制节点对全局网络状态信息的一致认知作为控制器跨域协作路由的前提。在确保控制器拥有对网络可靠的一致认知后,提出了控制器跨域协作路由的具体方案,包括跨域路由请求、模拟执行请求、收集背书、排序、同步区块、获取路由规则六个步骤。(3)为解决跨域路由中源、目的节点匿名通信问题,提出了基于假名变化的SDN跨域匿名路由机制。通过将匿名数据包的包头地址修改为由控制器生成的假地址,以实现通信双方身份的隐私保护。在具体实现过程中,考虑到SDN依靠匹配包头信息来路由,若不同数据包假名变换后的地址信息相同,会带来路由冲突,因此本文还提出哈希校验的方法来避免假地址冲突这一关键挑战。更进一步,针对流量分析攻击设计了基于幻影路由思想、多播机制的增强的匿名方案,为通信双方提供更强的匿名性保护。(4)从安全性、匿名性以及能效等方面全面分析和评估了所提方案。具体地,针对本方案的安全性,从分布式控制器基于联盟链的可信关系的建立以及路由机制的安全两个方面给出了详细的安全性分析;针对本方案的匿名性,从匿名通信的隐私保护需求出发,结合威胁模型进行了详尽分析,并通过实验模拟验证本方案可保证假名数量充足,且增强方案可有效提升匿名性;针对本方案的性能,从存储性能、时间性能、带宽开销等方面进行实验模拟,验证了本方案在保证安全性和匿名性的同时,具备良好性能。