優(yōu)勝從選擇開始,我們是您最好的選擇!—— 中州期刊聯(lián)盟(新鄉(xiāng)市博翰文化傳媒有限公司)
0373-5939925
2851259250@qq.com
我要檢測 我要投稿 合法期刊查詢

基于OpenFlow的SDN網(wǎng)絡安全研究

作者:孔德武來源:《企業(yè)科技與發(fā)展》日期:2019-06-14人氣:2005

通過分離網(wǎng)絡的控制與數(shù)據(jù)平面,SDN網(wǎng)絡(軟件定義網(wǎng)絡)有效增加了網(wǎng)絡的可編程性與靈活性,網(wǎng)絡管理成本降低、新型網(wǎng)絡技術(shù)快速部署也由此獲得了可行的解決方案支持。但由于傳統(tǒng)網(wǎng)絡的部署和管理方式因SDN網(wǎng)絡具備的新架構(gòu)而顛覆,SDN網(wǎng)絡的大規(guī)模、廣泛化應用必須考慮新的安全問題,如軟件部署方式引發(fā)的程序異常、配置引發(fā)的數(shù)據(jù)平面安全問題。

1  基于OpenFlow的SDN網(wǎng)絡安全分析

1.1  對網(wǎng)絡安全的貢獻

在網(wǎng)絡安全層面,基于OpenFlow的SDN網(wǎng)絡具備兩大優(yōu)勢,即提供實時的流量管理與控制能力、實現(xiàn)智能化網(wǎng)絡自我管理,應用程序存在的動態(tài)性和高帶寬問題解決、管理和操作的復雜程度降低均可由此獲得有力支持。在多種粒度控制管理及全局視圖能力支持下,SDN網(wǎng)絡可更好感知網(wǎng)絡故障與網(wǎng)絡攻擊,并能夠較好為流量清洗、網(wǎng)絡溯源、負載均衡、故障排除提供支持??偟膩碚f,SDN網(wǎng)絡的流量控制能力可提供整個網(wǎng)絡的全局視圖,并能夠獨立網(wǎng)絡的流量控制能力實現(xiàn)集中管理,這使得SDN網(wǎng)絡在邊界流量控制、流量攻擊檢測方面表現(xiàn)優(yōu)秀;網(wǎng)絡控制能力則使得SDN網(wǎng)絡能夠提供更加便捷的審核與監(jiān)管機制,網(wǎng)絡安全問題的及時發(fā)現(xiàn)、分析并且進行及時處理可獲得有力支持。

1.2  自身存在的安全問題

雖然基于OpenFlow的SDN網(wǎng)絡為網(wǎng)絡安全開拓了新的局面,但隨著商業(yè)化探索的廣泛展開,SDN網(wǎng)絡存在的安全問題也逐漸暴露出來。深入分析可以發(fā)現(xiàn),SDN網(wǎng)絡的網(wǎng)絡安全問題主要出現(xiàn)在應用層、控制層、基礎(chǔ)設(shè)施層、南向接口、北向接口,而結(jié)合國內(nèi)外相關(guān)研究可以發(fā)現(xiàn),SDN網(wǎng)絡的數(shù)據(jù)層、控制層、控制層與數(shù)據(jù)層之間的接口最為容易受到網(wǎng)絡攻擊。其中數(shù)據(jù)層面臨的與傳統(tǒng)網(wǎng)絡轉(zhuǎn)發(fā)設(shè)備相同的安全問題,如假冒、非法訪問、DOS攻擊等,控制層安全則很容易受到集中式結(jié)構(gòu)的單點故障影響,南向接口的TLS協(xié)議安全通道加密也很容易引發(fā)安全隱患。此外,受到特殊架構(gòu)的影響,SDN網(wǎng)絡的控制器非法接入、數(shù)據(jù)層到控制層的飽和攻擊旺旺會對整個網(wǎng)絡造成較為嚴重的危害。

2  SDN網(wǎng)絡安全威脅攻擊處理策略及安全優(yōu)化路徑

2.1  網(wǎng)絡攻擊威脅快速溯源

為應對外部的惡意攻擊威脅,如SDN網(wǎng)絡面臨的基于OpenFlow交換機數(shù)據(jù)流的攻擊,這類攻擊一旦出現(xiàn)即可判斷SDN網(wǎng)絡的薄弱環(huán)節(jié)節(jié)點存在防御薄弱問題,這類節(jié)點將因此成為后續(xù)攻擊源。為盡可能降低外部惡意攻擊對SDN網(wǎng)絡造成的威脅,網(wǎng)絡攻擊威脅快速溯源方案的合理選擇需要得到重視,輔以數(shù)據(jù)流分析法、節(jié)點監(jiān)測,即可較好探尋攻擊源頭,SDN網(wǎng)絡的安全水平也將實現(xiàn)長足提升。

鏈路測試法屬于較為常用的SDN網(wǎng)絡攻擊溯源策略,基于該方法的數(shù)據(jù)包源頭識別主要采用向前回溯的方式,由此判定數(shù)據(jù)包是否存在疑似攻擊數(shù)據(jù)。在全局視圖支持下,基于SDN網(wǎng)絡的攻擊溯源需提取交換機轉(zhuǎn)發(fā)規(guī)則信息,但考慮到當前應用環(huán)境下SDN網(wǎng)絡面臨的龐大數(shù)據(jù)量,不斷開展的ID對比會直接影響數(shù)據(jù)包與轉(zhuǎn)發(fā)規(guī)則提取的效率,巨量數(shù)據(jù)帶來的大規(guī)模信息處理使得向前回溯的傳統(tǒng)方式失去了應用價值。為解決傳統(tǒng)方法存在的不足,本文建議采用重新描述節(jié)點場景、重新定義不同節(jié)點特性的方法實現(xiàn)SDN網(wǎng)絡攻擊的快速溯源。SDN網(wǎng)絡的不同節(jié)點存在不同的安全特性,如遭受過威脅的節(jié)點存在防御能力不足問題,因此必須將這類節(jié)點作為重點監(jiān)視對象,即設(shè)定為監(jiān)測節(jié)點。而對于造成SDN網(wǎng)絡安全破壞的節(jié)點(出現(xiàn)受攻擊反應),則需要將其設(shè)定為疑似攻擊節(jié)點,其余節(jié)點為普通節(jié)點。通過描述節(jié)點場景,監(jiān)測和溯源的節(jié)點范圍可得到進一步控制,快速溯源可獲得充足的時間支持。在快速溯源過程中,需開展網(wǎng)絡飽和攻擊的控制器監(jiān)測,并采用數(shù)據(jù)流形式將PACKET-IN報文傳送至監(jiān)測點,由此借助算法實現(xiàn)對于交換機的命令,疑似攻擊節(jié)點便能夠通過交換機覆蓋,配合PACKET-IN消息,即可實現(xiàn)攻擊源頭的獲取。

2.2  基于OpenFlow的加密保護

SDN網(wǎng)絡的安全水平優(yōu)化需得到OpenFlow的支持,通過該技術(shù)強調(diào)的安全通道、流表、協(xié)議,交換機設(shè)備的均衡負載功能可較好得以實現(xiàn)。在SDN網(wǎng)絡服務時,網(wǎng)絡防火墻設(shè)置需通過交換機需借助若干個元組實現(xiàn),數(shù)據(jù)加密規(guī)則的持續(xù)優(yōu)化需基于防火墻完成,并以此生成專門的加密算法,數(shù)據(jù)傳輸過程中SDN網(wǎng)絡的安全即可得到更好保障。以SDN云服務訴求為例,在計算網(wǎng)絡環(huán)境下,SDN的安全分析需針對性選擇網(wǎng)絡安全變量,包括信息資源調(diào)度參與情況、網(wǎng)絡數(shù)據(jù)特征及數(shù)量、用戶資源信息等,SDN網(wǎng)絡在當前數(shù)據(jù)條件下的安全屬性可由此明確。在OpenFlow技術(shù)的具體應用中,網(wǎng)絡安全優(yōu)化的實現(xiàn)需得到數(shù)據(jù)信息資源加密調(diào)整方式的支持,但同時需考慮網(wǎng)絡大環(huán)境對SDN網(wǎng)絡內(nèi)部資源特征的影響?;贠penFlow的安全優(yōu)化需借助交換機控制數(shù)據(jù)傳輸,結(jié)合管理標準參數(shù)與監(jiān)測指數(shù),即可開展針對性、有效性更高的防火墻加密。通過以數(shù)據(jù)平均分配作為目標,針對性選用加密處理功能及算法,即可建立較為實用的安全管理模型,而通過讀寫數(shù)據(jù)信息、傳輸環(huán)節(jié)的數(shù)據(jù)加密與壓縮、全面的安全監(jiān)察,即可更好保證SDN網(wǎng)絡的安全,并且能夠促使其在運行過程當中更加穩(wěn)定、有效。

2.3  基于OpenFlow的優(yōu)化管理

通過應用OpenFlow的數(shù)據(jù)傳輸加密,可有效優(yōu)化SDN網(wǎng)絡數(shù)據(jù)服務的安全水平,配合組建優(yōu)化管理模式,SDN網(wǎng)絡的數(shù)據(jù)受損幾率也能夠?qū)崿F(xiàn)有效控制。對于SDN網(wǎng)絡來說,其自調(diào)節(jié)系統(tǒng)、數(shù)據(jù)信息、信息匹配、信息統(tǒng)計、交互的穩(wěn)定性參數(shù)應分別控制為0.72、0.66、0.83、0.81、0.57,處理相應時間分別為4.1s、4.3s、5.7s、3.8s、5.1s。在SDN網(wǎng)絡的優(yōu)化管理設(shè)計中,需整合OpenFlow控制器與交換機的連接方式,以及南向接口協(xié)議方式,控制器對交換機的實時監(jiān)控實現(xiàn)需得到TCP/IP網(wǎng)絡傳輸接口協(xié)議的支持,配合集中管理方式,控制器還能夠較好服務于SDN網(wǎng)絡的安全管理預命令,控制器的指令時間與內(nèi)容設(shè)置需通過流表設(shè)置方式實現(xiàn),SDN網(wǎng)絡的監(jiān)視、管理全面性可由此實現(xiàn)長足提升。OpenFlow交換機配置可通過重新設(shè)置接口實現(xiàn),控制器可由此根據(jù)收獲到的事件數(shù)據(jù)傳輸數(shù)據(jù)包。在數(shù)據(jù)加密技術(shù)支持下,SDN網(wǎng)絡可較好識別訪客身份,安全問題的發(fā)生幾率可進一步得到控制。

3  基于OpenFlow的SDN網(wǎng)絡負載均衡模塊設(shè)計

3.1  層次設(shè)計

SDN網(wǎng)絡的安全離不開負載均衡的支持,因此本文基于OpenFlow開展了負載均衡模塊的設(shè)計,通過打造負載均衡環(huán)境,SDN網(wǎng)絡的安全水平可進一步提升。基于模塊化語言,SDN網(wǎng)絡負載方式的構(gòu)成邏輯由應用層、控制層以及數(shù)據(jù)層組成,應用層直接提供人機交互場景,并能夠提供控制端口進行負載均衡的實時調(diào)整。控制層由鏈路評分模塊構(gòu)成,可通過評分的方式觀察和分析SDN網(wǎng)絡安全,并連接應用層web界面。數(shù)據(jù)層主要由數(shù)據(jù)采集模塊構(gòu)成,通過網(wǎng)絡數(shù)據(jù)采集,連接控制層與OpenFlow接口,即可為負載均衡的實現(xiàn)奠定堅實基礎(chǔ)。在各個層級內(nèi)部,OpenFlow控制器必須最大化發(fā)揮自身功能,統(tǒng)計和鏈路評分需圍繞傳輸速率、CPU占有率、端口占用率、mac地質(zhì)、物理內(nèi)存、交換機信息等全面展開,配合負載均衡程序進行實時評分,即可開展統(tǒng)一的網(wǎng)絡拓撲重組,并更好保障SDN網(wǎng)絡安全。

3.2  模塊功能設(shè)計

具體設(shè)計如下:(1)數(shù)據(jù)采集模塊設(shè)計?;贠penFlow協(xié)議、sflow代理,可實現(xiàn)多組控制器間的數(shù)據(jù)交換,網(wǎng)絡拓撲信息的交換也能夠在OpenFlow協(xié)議支持下實現(xiàn),服務器之上的控制器可通過OVSDB交換機進行轉(zhuǎn)發(fā)。模塊中交換機單獨應用ASIC需得到sflwo標準的支持,業(yè)務流信息由此即可通過控制器進行查看。通過OpenFlow協(xié)議與sflow代理,數(shù)據(jù)采集模塊可實現(xiàn)流量監(jiān)控體系的組建,SDN網(wǎng)絡數(shù)據(jù)采集也能夠由此更高質(zhì)量實現(xiàn)。(2)鏈路評分模塊。通過獨立的監(jiān)控系統(tǒng)和交換機進行數(shù)據(jù)采集,模塊可在控制器中實現(xiàn)端口信息的統(tǒng)計。數(shù)據(jù)采集模塊獲取的鏈路信息可通過接口寫入到本地數(shù)據(jù)庫,在本地數(shù)據(jù)庫的支持下,控制層的鏈路評分模塊即可圍繞帶寬、丟包、物理內(nèi)存、CPU等使用率開展計算,并結(jié)合既定標準完成SDN應用情況評分,由此衡量網(wǎng)絡負載水平,即可實現(xiàn)SDN網(wǎng)絡的安全評價。在鏈路評分模塊支持下,詳細的數(shù)據(jù)支持與分析過程可明確SDN網(wǎng)絡所處的安全環(huán)境,安裝狀況判斷的準確率可由此得到較好保障。(3)負載均衡模塊。模塊的全局拓撲實現(xiàn)需得到控制器的支持,人機交互的回饋則需要應用負載均衡算法。API接口需與負載均衡模塊直接聯(lián)系,消息形式的策略下發(fā)、全局拓撲管理視野均可更好服務于SDN網(wǎng)絡安全控制。

4  結(jié)語

綜上所述,基于OpenFlow的SDN網(wǎng)絡安全保障需關(guān)注多方面因素影響,在此基礎(chǔ)上,本文涉及的網(wǎng)絡攻擊威脅快速溯源、加密保護、優(yōu)化管理、負載均衡等內(nèi)容,則提供了可行性較高的SDN網(wǎng)絡安全保障路徑,為進一步推進SDN網(wǎng)絡發(fā)展,SDN網(wǎng)絡的認證機制、應用隔離、權(quán)限管理等同樣需要得到重視。



本文來源:《企業(yè)科技與發(fā)展》:http://m.00559.cn/w/qk/21223.html

網(wǎng)絡客服QQ: 沈編輯

投訴建議:0373-5939925????投訴建議QQ:

招聘合作:2851259250@qq.com (如您是期刊主編、文章高手,可通過郵件合作)

地址:河南省新鄉(xiāng)市金穗大道東段266號中州期刊聯(lián)盟 ICP備案號:豫ICP備2020036848

【免責聲明】:中州期刊聯(lián)盟所提供的信息資源如有侵權(quán)、違規(guī),請及時告知。

版權(quán)所有:中州期刊聯(lián)盟(新鄉(xiāng)市博翰文化傳媒有限公司)

關(guān)注”中州期刊聯(lián)盟”公眾號
了解論文寫作全系列課程

核心期刊為何難發(fā)?

論文發(fā)表總嫌貴?

職院單位發(fā)核心?

掃描關(guān)注公眾號

論文發(fā)表不再有疑惑

論文寫作全系列課程

掃碼了解更多

輕松寫核心期刊論文

在線留言