3430
第35卷
计算机应用
可匹及的优越性。如控制层可根据网络环境变化进行反应式
网络策略动态配置,实现了网络管理员/N务提供商、应用业
务、网络硬件设施之间的无缝连接。
应用下发的规则不能违反高级别的安全应用部署的规则。并
提出了一种规则冲突判断机制‘1“,以防范攻击者通过规则旁
路绕道,以间接的方式达到非法目的。文献[12]则介绍了一
种系统编程语言,允许程序员能够捕捉网络协议消息的结构、
强制性规则,识别并消除网络协议存在的漏洞。
应用层圃
北向接u
由于集中式控制器存在单点失效问题【1“,另一部分研究
从分布式控制器人手,通过冗余和多样性保护网络安全。
I控制软件I塑堕竖箜rl
黼恨嚼磊虱
Network
Pankaj等‘141提出开源的开放网络操作系统(Open
控制层与数据层接口
Operating System,ONOS)架构,通过冗余的多个控制器,提丹
网络可用性。当主控制器无法工作时,利用Zookeeper进行控
制器切换,将备份控制器转换为主控制器,替代其工作。
基础匦圈匦圈匝圈
设施层匝耍圈匝耍圈
图1 SDN架构
Koponen等。15。提出的Onix,以及Yazici等。16。提出的一种基于
集群的分布式控制架构,则主要考虑控制器在处理大量数据
流时,工作负荷过重而导致的单点失效问题,利用多个控制器
协调工作,均衡负载,增大网络控制层的可扩展性。
以上分布式控制器的研究,主要考虑网络负荷过重而给
控制层面带来的系统崩溃和网络故障问题,较少地考虑攻击
入侵对整个网络的影响。下面阐述入侵容忍思想在SDN网
络中的应用,当控制层遭受篡改时,系统入侵可被检测并恢
复。
然而,SDN的分层架构、可编程特性也暴露出了不同于传
统网络的威胁¨ 1。文献[5]提出了SDN网络中7个主要的威
胁向量,其中,控制器自身脆弱性成为SDN网络最大的隐患。
由于中间层控制器既承担着下发网络规则、修改网络策略的
任务,又扮演着为应用层搜集网络设备信息、为数据层提交数
据流转发请求的代理角色。在传统网络里需要多个攻击者跨
设备联合部署的攻击行为,在SDN网络里,只需通过攻陷并
接管控制器即可轻易实现。正因如此,控制层成为了攻击者
的首要目标。
2入侵容忍概念及其在SDN中的应用
例如,攻击者利用应用层与控制层之间缺乏信任机制,通
过恶意应用对控制层实施非法控制bo,另外,SDN应用之间
缺乏流表项冲突检测管理。61,普通应用下发的流表规则可能
会干扰网络中部署的安全策略。攻击者一旦探测到有漏洞的
应用,即可篡改其工作逻辑、覆盖安全规则,操纵F层网络。
除此以外,人为操作导致的策略部署错误、硬件故障导致
的服务器中断,以及控制器代码或上层应用代码错误而引发
的系统崩溃,也会严重影响网络正常运转一1。
传统的安全三要素为完整性、可用性和机密性,其安全范
式包含防止攻击发生、消除系统存在的脆弱性以及杜绝由脆
弱性引发的系统入侵等范畴。其中,完整性则意味着防御系
统遭到篡改,机密性意味着防止任何的数据泄漏。然而,从系
统保护所需付出的代价、系统脆弱性级别、系统遭受攻击的可
能性等方面来考虑,出现了另一个安全保护的入侵容忍范
式¨ “:允许系统存在一定程度的脆弱性,允许系统部分组件
遭受攻击,但确保整个系统仍然保持正常运行。
综上,为保障控制层安全、保护控制权不被非法掌控,需
要一套威胁防御与检测、系统恢复的有效方案。目前,针对
SDN网络控制的相关安全研究侧重于预防攻击的发生,在攻
击或者错误发生前、发生时进行检测并阻止,较少能在事后对
系统恢复与还原,难以保障系统受攻击后的可用性。
2.1入侵容忍的概念
文献[18]提出入侵容忍的基本概念:允许系统内部存在
漏洞(软件代码错误、人为配置失误等),攻击者可通过以上
漏洞对系统造成危害(组件级威胁等),但系统具备错误应对
机制(防御、消除、预测等),可防止系统崩溃性故障,保障系
统行使基本工作任务。
由于SDN网络控制层遭受的攻击类型和方式变化多样
且不断更新,相应的防御策略难以被及时提出并部署,所以
SDN的控制器架构应具备对未知入侵的容忍能力。本文从入
侵容忍的角度,提出一种面向SDN网络的入侵容忍控制器架
构,依靠多样性和冗余性来保障SDN网络控制安全。
文献[18]认为,系统存在入侵的风险几率来源于系统所
暴露出来的缺陷以及该缺陷体现的脆弱性程度。而系统遭受
入侵后的危害大小取决于所需要付出的代价(政治、经济方
面)。当致力于将系统安全风险降低至零所需付出的代价高
昂,且技术实施难度过于复杂时,则应该构建符合需求的入侵
容忍模型,允许可接受的风险,保障一定程度的安全。
2.2入侵容忍在SDN中的应用
1
SDN平台相关安全工作
针对控制器安全、控制权保护两个方面的安全研究,可以
根据控制器架构的主流分类方式:集中式与分布式,来分类归
纳。
入侵容忍思想已被运用到了SDN网络中的控制层、数据
层,以及控制层与数据层的通信通道。
集中式控制器的安全工作主要从控制器应用人手。文献
[8]提出了一种基于容器的架构——miero—NOS,通过隔离措
施来保障应用安全,避免系统错误影响整个SDN栈。文献
[9]提出了基于OpenFlow的安全应用开发框架FRESCO,允
许安全研究人员实现、分享、组合不同的用于威胁检测、消除
的功能模块。Porras等¨ 驯提出了基于Floodlight的安全强制
内核层,对应用层各类应用进行角色分级控制,低级别的普通
在控制层,主要通过控制器冗余来实现入侵容忍。文献
[19]提出了一种基于拜占庭可用性安全的多控制器架构,根
据交换机在网络中的地位以及其安全需求,为其分配不同数
量的控制器。文献[7]基于OpenFlowl.3协议,面向中小型网
络提出了主从控制器架构,同一时间网络只有一个主控制器
与下层交换机通信,当主控制器出现故障时,从备份的从控制
器中选出一个成为新的主控制器。
万方数据
全部评论(0)