为构建安全高效的网络环境，必须对伪造、受篡改数据帧进行有效的识别与过滤。然而，在软件定义网络（SDN）中，现有的安全验证机制通常在验证设备受到攻击或恶意控制时无法有效运行。为解决上述问题，提出了基于区块链的SDN数据帧安全验证机制。首先，设计帧转发证明（PoFF）共识算法并以此为基础建立轻量型区块链系统；然后，基于该系统构建针对SDN数据帧的安全验证体系；最后，提出可灵活调节的半随机选择验证模式以兼顾验证效率与资源开销。仿真结果表明，在同等比例的交换机被恶意控制情况下，所提机制的漏检概率较基于哈希链的验证机制有明显降低。其中，当受控交换机占比为40%时，降低效果尤其显著：此时所提机制在基本验证模式下的漏检概率低于32%，在辅助以半随机验证后可进一步降到7%，均远低于基于哈希链的验证机制72%的漏检概率；且所提机制引入的资源开销与通信代价在合理范围内。此外，即使在SDN控制器完全失效情况下，所提机制仍可保持良好的验证性能与效率。

• 单位
  电子科技大学; 云南电网有限责任公司