软件定义网络的若干安全问题的研究
发布时间:2020-08-03 13:49
【摘要】:传统网络体系架构已经不能很好地满足诸如云计算、数据中心等相关业务对网络灵活管控的需求,学术界近年来提出了基于OpenFlow的软件定义网络(Software Defined Networking,SDN),即OpenFlow-SDN。与传统网络相比,OpenFlow-SDN将控制平面与数据平面解耦合,从而使得网络管理变得便捷。当然,与传统网络的发展轨迹类似,OpenFlow-SDN的发展同样避不开安全保障问题。.而且由于其自身网络架构的特点,使得其中的安全问题呈现出更加多样化的形式——管理平面、控制平面和数据平面以及各个开放接口都面临着新型安全威胁。论文首先对OpenFlow-SDN架构展开了分析,进而提出了与其架构相关的若干安全问题,并着重对所提出的安全问题提出了相应的解决方案、途径与方法。论文的研究旨在一定程度上提高OpenFlow-SDN网络的安全性,主要针对以下三个问题开展了研究:1.针对数据平面上的网络设备通常是静态配置因而容易招致蠕虫繁殖攻击的问题,借鉴MTD(Moving Target Defense)思想提出了一种主动防御蠕虫繁殖攻击的方案:即基于OpenFlow-SDN的自适应IP地址跳变。该方案根据网络系统本身的状态来动态改变IP地址跳变频率,并使得在对攻击进行防御的同时,能平衡好网络的性能。仿真结果表明,该方法能够有效地防御蠕虫繁殖,同时兼顾了系统的性能;2.针对OpenFlow-SDN网络架构由于其本身设计部署的不合理性所引发的诸如扫描攻击等安全隐患的问题,论文提出了 OpenFlow-SDN网络架构中端到端的时延性能分析模型。在对控制器与交换机分别建模的基础上,对控制器与交换机之间的交互行为进行了建模方法研究,应用网络演算理论、以端到端时延指标为例,对模型进行了设计与分析。实验结果表明,该方法可以快速得到端到端最差的时延界限,从而为网络架构设计人员提供了一种参考方法,避免由于网络本身设计部署的不合理性引入新的安全威胁;3.针对OpenFlow-SDN网络架构本身容易招致泛洪攻击的问题,论文设计了通过共享OpenFlow-SDN网络中空闲缓存来抵御泛洪攻击的PBUF算法。在泛洪攻击发生时,PBUF将失匹配包暂时转发至仍有空闲缓存的交换机上,随后交换机再以缓慢的速率将失匹配包传至控制器进行处理。实验结果表明,PBUF算法通过OpenFlow-SDN网络中空闲缓存交换机间的协作,有效缓解交换机缓存溢出导致的安全问题,同时防止控制器由于数据量过大而发生过载的安全问题。论文的研究主要依托国家973项目“可重构信息通信基础网络体系结构”、863项目“支持资源弹性调度的软件定义网络(SDN)关键技术研究与设备研制”、国家重点研发计划重点项目“网络空间拟态防御技术机制研究”。本文基于以上三个关键内容进行研究所取得的一些初步成果,为后续其他OpenFlow-SDN网络安全问题的进一步研究夯实了基础、提供了新的方法与参考。
【学位授予单位】:浙江大学
【学位级别】:博士
【学位授予年份】:2018
【分类号】:TP393.08
【图文】:
基于传统网络体系架构设计的缺陷,斯坦福大学的Mckeown在2006年提出一种控逡逑制平面与数据平面解耦的网络体系架构:SDN邋(Software邋DefinedNetwork)m。SDN的出逡逑现给改变现今传统网络体系架构的窘境带来一丝希望。图1.2展示了邋SDN的网络架构。从逡逑本质上来看,它将网络设备的控制平面与转发平面相分离,并且在两层之间提供一些开逡逑放的标准接口用于交互。由于控制平面和数据平面可以通过许多标准协议进行通信,控逡逑制平面通过南向接口向数据平面下发规则,而数据平面只需要按照收到的规则执行对相逡逑关数据进行操作即可,这样就在逻辑上实现了控制平面的集中控制,并实现网络资源的逡逑灵活调度和网络能力的按需调用。在传统网络架构中,某个网}a设备的某一个平面的升逡逑级和更新都需要考虑到整个网络设备的升级和更新。但SDN架构将控制平面和数据平面逡逑的相分离,其软件的分发模式改变,任意一个平面都可以相互独立进行升级和更新。两逡逑者相较,SDN网络架构使网络管理变得更为灵活简便。举例来说,如需在SDN架构的数逡逑3逡逑
逦if逦;逦执行数据的转发逡逑图1.1传统网络体系架构逡逑由此可见,传统的网络体系架构并不能很好地满足现今的新兴网络需求,而且这种逡逑控制平面和数据平面相}伓ǖ姆桨副旧淼母丛有圆唤龃炊钔獾脑宋蚕拗屏送义下绲牧榛钚院涂衫┱剐浴R虼素叫枰恢窒噶6取⒖杀喑獭⒘榛疃拇葱碌耐缣逑导苠义瞎梗源痈旧辖饩霾⑶衣阏庑┬滦说耐缧枨蟆e义希保保保残滦屯缣逑导芄瑰义匣诖惩缣逑导芄股杓频娜毕荩固垢4笱У模停悖耄澹铮鳎钤冢玻埃埃赌晏岢鲆恢挚劐义现破矫嬗胧萜矫娼怦畹耐缣逑导芄梗海樱模五澹ǎ樱铮妫簦鳎幔颍邋澹模澹妫椋睿澹洌危澹簦鳎铮颍耄怼#樱模蔚某鲥义舷指谋湎纸翊惩缣逑导芄沟木骄炒匆凰肯MM迹保舱故玖隋澹樱模蔚耐缂芄埂4渝义媳局噬侠纯矗缟璞傅目刂破矫嬗胱⑵矫嫦喾掷耄⑶以诹讲阒涮峁┮恍┛义戏诺谋曜冀涌谟糜诮换ァS捎诳刂破矫婧褪萜矫婵梢酝ü矶啾曜夹榻型ㄐ牛劐义现破矫嫱ü舷蚪涌谙蚴萜矫嫦路⒐嬖颍萜矫嬷恍枰凑帐盏降墓嬖蛑葱卸韵噱义瞎厥萁胁僮骷纯
本文编号:2779720
【学位授予单位】:浙江大学
【学位级别】:博士
【学位授予年份】:2018
【分类号】:TP393.08
【图文】:
基于传统网络体系架构设计的缺陷,斯坦福大学的Mckeown在2006年提出一种控逡逑制平面与数据平面解耦的网络体系架构:SDN邋(Software邋DefinedNetwork)m。SDN的出逡逑现给改变现今传统网络体系架构的窘境带来一丝希望。图1.2展示了邋SDN的网络架构。从逡逑本质上来看,它将网络设备的控制平面与转发平面相分离,并且在两层之间提供一些开逡逑放的标准接口用于交互。由于控制平面和数据平面可以通过许多标准协议进行通信,控逡逑制平面通过南向接口向数据平面下发规则,而数据平面只需要按照收到的规则执行对相逡逑关数据进行操作即可,这样就在逻辑上实现了控制平面的集中控制,并实现网络资源的逡逑灵活调度和网络能力的按需调用。在传统网络架构中,某个网}a设备的某一个平面的升逡逑级和更新都需要考虑到整个网络设备的升级和更新。但SDN架构将控制平面和数据平面逡逑的相分离,其软件的分发模式改变,任意一个平面都可以相互独立进行升级和更新。两逡逑者相较,SDN网络架构使网络管理变得更为灵活简便。举例来说,如需在SDN架构的数逡逑3逡逑
逦if逦;逦执行数据的转发逡逑图1.1传统网络体系架构逡逑由此可见,传统的网络体系架构并不能很好地满足现今的新兴网络需求,而且这种逡逑控制平面和数据平面相}伓ǖ姆桨副旧淼母丛有圆唤龃炊钔獾脑宋蚕拗屏送义下绲牧榛钚院涂衫┱剐浴R虼素叫枰恢窒噶6取⒖杀喑獭⒘榛疃拇葱碌耐缣逑导苠义瞎梗源痈旧辖饩霾⑶衣阏庑┬滦说耐缧枨蟆e义希保保保残滦屯缣逑导芄瑰义匣诖惩缣逑导芄股杓频娜毕荩固垢4笱У模停悖耄澹铮鳎钤冢玻埃埃赌晏岢鲆恢挚劐义现破矫嬗胧萜矫娼怦畹耐缣逑导芄梗海樱模五澹ǎ樱铮妫簦鳎幔颍邋澹模澹妫椋睿澹洌危澹簦鳎铮颍耄怼#樱模蔚某鲥义舷指谋湎纸翊惩缣逑导芄沟木骄炒匆凰肯MM迹保舱故玖隋澹樱模蔚耐缂芄埂4渝义媳局噬侠纯矗缟璞傅目刂破矫嬗胱⑵矫嫦喾掷耄⑶以诹讲阒涮峁┮恍┛义戏诺谋曜冀涌谟糜诮换ァS捎诳刂破矫婧褪萜矫婵梢酝ü矶啾曜夹榻型ㄐ牛劐义现破矫嫱ü舷蚪涌谙蚴萜矫嫦路⒐嬖颍萜矫嬷恍枰凑帐盏降墓嬖蛑葱卸韵噱义瞎厥萁胁僮骷纯
本文编号:2779720
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2779720.html
