推荐星级:
  • 1
  • 2
  • 3
  • 4
  • 5

软件定义网络及安全防御技术研究

更新时间:2019-12-25 12:13:28 大小:1M 上传用户:zhiyao6查看TA发布的资源 标签:软件定义网络 下载积分:1分 评价赚积分 (如何评价?) 打赏 收藏 评论(0) 举报

资料介绍

软件定义网络(SDN,software-defined networking)将传统网络控制平面与转发平面分离,形成集中式的控制器,开放了网络编程接口,简化网络管理,促进网络创新,优化网络运行。然而,SDN的“三层两接口”架构增加了网络攻击表面,导致诸多新的安全问题。首先,介绍SDN发展、特点及其工作原理,继而从应用层、北向接口、控制层、南向接口、数据层等5个层次归纳存在的安全问题,分析产生的原因;其次,针对各类安全问题讨论最新研究进展及现有解决方案;最后,总结SDN当前和未来的安全挑战,并展望未来SDN安全发展方向。


部分文件列表

文件名 大小
软件定义网络及安全防御技术研究.pdf 1M

部分页面预览

(完整内容请下载后查看)
38 卷第 11 期  
2017 11 月  
Vol.38 No.11  
Journal on Communications  
November 2017  
doi:10.11959/j.issn.1000-436x.2017221  
软件定义网络及安全防御技术研究  
王涛,陈鸿昶,程国振  
(国家数字交换系统工程技术研究中心,河南 郑州 450003)  
:软件定义网络(SDN, software-defined networking)将传统网络控制平面与转发平面分离,形成集中式的  
控制器放了网络编程接口化网络管理进网络创新化网络运行SDN 三层两接口” 架  
构增加了网络攻击表面,导致诸多新的安全问题。首先,介绍 SDN 发展、特点及其工作原理,继而从应用层、  
北向接口、控制层、南向接口、数据层等 5 个层次归纳存在的安全问题,分析产生的原因;其次,针对各类安全  
问题讨论最新研究进展及现有解决方案;最后,总结 SDN 当前和未来的安全挑战,并展望未来 SDN 安全发展方  
向。  
关键词:软件定义网络;OpenFlow;网络安全;SDN 安全  
中图分类号TP309  
文献标识码A  
Research on software-defined network and  
the security defense technology  
WANG Tao, CHEN Hong-chang, CHENG Guo-zhen  
(National Digital Switching System Engineering and Technological Research Center, Zhengzhou 450003, China)  
Abstract: Software-defined network (SDN) separated the traditional control plane from the data plane, formed a central-  
ized controller, opened up the network programming interface, simplified network management, promoted network in-  
novation and optimized network operation. However, SDN's “three-layer two-interface” architecture increased the net-  
work attack surface, resulting in many new security issues. The development, characteristics and working principle of  
SDN were first introduced, and the existing security problems from the application layer, the northbound interface, the  
control plane, the southbound interface, the data plane were summarized respectively. Secondly, the latest research pro-  
gress and existing solutions were discussed. Finally, SDN current and future security challenges were summarized, and  
the future SDN security development direction was looked forward to.  
Key words: SDN, OpenFlow, network security, SDN security  
活地、成规模地开发部署新协议,延长了理论到技  
1 引言  
术的过渡时间。  
随着信息时代的不断发展,互联网络技术得到  
极大的普及,上网用户数量不断增长,互联网流量  
也随之急剧上升,这对运营商提出了巨大挑战。为  
了满足各种用户需求,各种新型服务不断出现,传  
统网络的层次结构弊端逐渐显现。传统封闭的网络  
设备增加了运营商的运维成本,科研人员也无法灵  
软件定义网络是由美国斯坦福大学 Clean  
Slate[1]研究组提出的新型网络创新架构,其本质思  
想是将传统的控制平面与数据平面分离,使控制平  
面的控制器具有逻辑中心化和可编程性,通过开放  
的通信协议活地配置网络和部署新协议。  
SDN 的数据平面仅需快速匹配控制平面下发的流  
收稿日期2017-04-26修回日期2017-09-21  
基金项目:国家自然科学基金资助项目(No.61521003, No.61602509国家重点研发计划基金资助项目(No.2016YFB0800100,  
No.2016YFB0800101)  
Foundation Items: The National Natural Science Foundation of China (No.61521003, No.61602509), The National Key Research  
and Development Program of China (No.2016YFB0800100, No.2016YFB0800101)  
2017221-1  
·134·  
38 卷  
[10]的思想是 SDN 的雏形,转发抽象使传统交换  
机的控制与转发分离,控制权交于控制器行使,控  
制器将网络设备状态抽象为全网视图,用户再通过  
应用接口对控制层进行配置,从而完成控制转发任  
务,因此,转发抽象、分布状态抽象和配置抽象[11]  
也成为 SDN 最为显著的特征。  
行简单的数据转发功能SDN 交换机  
结构简单,便于统一规格参数。OpenFlow[2]定义了  
控制器与交换机的通信标准,控制层与数据层采用  
开放的统一接口,有利于规范控制器下发流表和交  
换机的规则执行SDN 技术有效降低了网络  
运维成本,为新型互联网体系结构研究提供了新的  
实验途径,也极大地推动了下一代互联网的发展,  
MIT 列为“改变世界的十大创新技术之一”[3]。  
SDN 的优势在许多企业和数据中心得到体  
现,如谷歌的 B4[4]。但是,逻辑中心化的控制器  
和开放的可编程接口在增强管理灵活性的同时,  
也为网络攻击者提供了便利SDN 大规  
模应用之前,仍需要解决很多问题[5],最重要的  
就是 SDN 安全问题,主要体现在:1) SDN 技术  
目前还处于初级发展阶段,相关技术人员仍以资  
源调度及策略下发等功能为主要研究点SDN  
安全关注不够,当然,SDN 体系结构有利于构建  
相对安全的网络环境,逻辑中心化的控制器能够  
良好地掌握整个网络情况,实时获取网络状态的  
全局信息,利用安全监控、流量分析等应用模块  
能够较好地进行安全评估,并根据实际情况制定  
相应的安全策略,通过南向接口下发部署安全策  
2) 逻辑中心化的控制器颠覆了传统网络的管  
理和部署方式,也会带来相应的网络安全威胁和  
挑战,如 OpenFlow 作为南向接口发展尚不完善,  
北向接口尚未统一,其架构自身的可扩展性、安  
全性等有待进一步发展和验证SDN 不能在  
安全方面有所突破,其他相关技术(如 NFV[6])  
也会受到限制。  
为满足不同市场需求,各种组织相继提出相应  
SDN 架构,最具有代表性的是开放式网络基金  
ONFopen networking foundation提出的 SDN  
架构,该机构不断地丰富 SDN 内涵、规范南/北向  
接口,为 SDN 的发展和标准化做出了较大贡献。  
除此之外,欧洲电信标准化组织(ETSI)的 NFV  
架构[6]以及 OpenDaylight[12]也具有重要影响力,占  
有一定市场份额。ONF 组织于 2013 年发布最新版  
[13]SDN 架构如图 1 所示ONF 提出的 SDN  
的典型架构分为 3 层,由上至下(由南至北)分别  
为应用层、控制层、数据层。最上层的应用层包括  
不同的业务和应用,能够满足不同用户的不同业务  
需求,用户可通过简单的编程以实现应用的快速部  
署,这也是体现 SDN 可编程性的重要方面;中间  
的控制层主要负责处理数据平面资源的编排,维护  
网络拓扑、状态信息等;最下层的数据层由 SDN  
交换机等基础设施构成,主要负责数据处理、转发  
和状态收集等底层工作。另外,控制层与数据层之  
间的南向接口(CDPI, control-data-plane interface)  
和应用层与控制层之间的北向接northbound API,  
northbound application programming interface)实现  
了应用到控制器再到网络基础设施的无缝集成,在  
整个 SDN 体系中占据重要地位前, ONF 在南  
向接口上定义了开放的 OpenFlow 标准北向接口  
则没有统一标准。随着 SDN 规模不断扩大,单控制  
器的 SDN 在性能等方面逐渐不能满足现有需求,  
SDN 逐渐从单控制器模型向多控制器模型(或分布  
式控制器模型年来对 SDN /西向  
接口的研究也成为研究的重点之一。  
2 SDN 架构概述  
SDN 解决了传统网络管理配置复杂度较高等  
诸多问题[7],降低网络运维成本,加速网络相关产  
业的发展,这使 SDN 成为当前最热门的网络技术  
之一。本节简要论述 SDN 发展背景,探讨 SDN 主  
流体系结构及工作原理,为进一步安全分析奠定理  
论基础。  
2.2 基于 OpenFlow SDN 工作流程  
OpenFlow 协议作为 SDN 事实上的协议标准基  
本实现了 SDN 的原型设计思想,是 SDN 领域的重  
要实例有举足轻重的地位OpenFlow  
协议工作流程分析是对 SDN 安全模型脆弱性分析  
的重要基础。  
2.1 SDN 体系结构  
可编程网络的相关研究为 SDN 的发展提供理  
论支持[8],主动网络[9]能够使网络设备自动执行用  
户数据分组所含的配置程序,从而达到灵活动态配  
置网络的目的,然而由于市场需求及兼容性等问  
题,主动网络并没有得到大规模部署。4D 网络架  
数据平面由交换机等基础网络元素组成 SDN  
数据通路,控制平面主要由逻辑中心的控制器构  
2017221-2  

全部评论(0)

暂无评论

上传资源 上传优质资源有赏金

  • 打赏
  • 30日榜单

推荐下载