软件定义网络是一种逻辑控制和数据转发分离的新型网络架构,具有集中控制、开放性、灵活性和可编程性等特征,被称为未来互联网的主流发展方向。然而SDN网络面临着用户身份伪造带来的安全威胁,如非法入侵和拒绝服务攻击等。而现有安全防护技术缺乏体系化,网络安全防御基本处于被动应对状态。如何在保证SDN网络高效互通的基础上,实现动态、统一的网络安全防御,满足SDN网络对数据流的快速、高效的验证需求,是目前SDN网络亟待解决的问题。本文将密码标识引入SDN网络,基于用户密码标识设计严格的网络审核机制,进行网络安全控制与转发,形成基于用户密码标识的细粒度网络管控能力,为未来互联网安全提供一种全新的方法和手段。主要研究工作如下:1.从网络管控的角度出发,提出基于密码标识的SDN安全控制转发架构。该架构采用无证书公钥密码体制,根据用户身份设计密码标识,基于密码标识进行网络安全控制与转发;SDN控制器负责用户统一认证和管理,并自适应选择SDN交换机进行用户身份验证和消息验证,形成基于用户标识的细粒度的网络管控能力,实现统一、动态和高效的数据流安全控制转发。2.针对SDN网络多用户接入控制问题,提出基于SDN交换机辅助验证的多用户接入认证方法。将SDN控制器的验证功能下放给SDN交换机,由SDN交换机进行用户身份验证和消息验证,设计多用户批量接入认证协议和基于密码标识的消息认证方案,快速过滤伪造、篡改等非法数据分组,提高SDN控制器统一认证与管理效率,同时可为用户提供条件隐私保护。3.针对SDN交换机验证能力有限导致SDN交换机负载过重问题,提出基于验证能力感知的自适应转移验证方法。利用SDN网络集中控制的特性,由SDN控制器实时感知全网SDN交换机验证能力,形成全网验证能力态势图;基于验证能力态势图,提出SDN控制器自适应选择转移验证算法,由SDN控制器自适应选择最优的SDN交换机进行消息验证,从而提高SDN交换机的验证效率。4.针对基于密码标识的数据分组处理的具体实现问题,提出基于多级流表的安全控制转发机制。利用密码标识的身份属性,将用户标识扩展为SDN能识别的匹配字段,克服用户与源IP地址绑定的缺点;由于单级流表存在违反“先验证再转发”的处理逻辑情况,结合多用户接入认证和自适应转移验证需求,提出基于多级流表的数据分组统一处理算法,形成“匹配-验证-转发”的数据分组处理机制。