SDN流表数据保护方案的研究与实现

发布时间：2020-11-07 13:12

　　 软件定义网络作为一种新型的网络架构,其核心思想是将传统网络分成控制平面和数据平面,优化传统网络架构,提高网络的运维和管理的效率。但是新型的网络架构在带来便利的同时,在安全方面也同样带来了新的挑战。尤其是将网络的控制权限高度集中到控制平面后,控制平面拥有调度和管理数据平面的能力。其通过南向通信与数据平面的物理转发设备进行交互,通过下发流表来控制网络中数据流量的走向,流表便成为了新型网络架构中最重要的敏感数据,也是攻击者关注的焦点。但目前对于流表的安全保护的并没有引起业界足够的重视,甚至被很多网络设备生产厂商直接忽略。本文通过研究流表在软件定义网络中流转的每一个环节中的安全威胁,包括从在OpenFlow控制器中产生到在南向通信信道中传输再到OpenFlow交换机中使用,提出了一套流表数据保护方案。该方案不仅安全强度较现有方案有一定的提升,而且软件兼容性好、运行效率高。首先,本文借鉴Kerberos认证思想,提出了在通信数据源头处进行加密的防护方案。此方案不仅在不安全信道上完成了通信双方的身份认证和会话密钥分配,而且使用高效的AES对称加密算法,确保消息在到达终点前一直以密文的形式存在,实现了对通信数据端到端的安全防护。最后,用转发代理的形式对此方案进行了实现,并用CBench测试工具对Floodlight控制器进行性能测试。结果表明,本文提出的源加密方案不仅能够对通信数据进行端到端加密,而且相对于单独启用TLS增加控制器约8%的响应延时,源加密部分仅增加约4%。其次,由于OpenFlow交换机中流表数据需要进行高速频繁查询操作,流表数据都以明文的方式保存在交换机的内存中。本文针对可能的攻击手段,提出了一种流表数据防篡改的方案。该方案基于Open vSwitch的开源实现,修改其部分代码并配合自己开发的外置程序,将方案进行了工程开发。实现了流表的下发记录审计和防篡改功能。最后,本文研究并实现了一套SDN流表保护原型系统,开发了身份认证和密钥分发模块、流表的源加密转发模块、流表的防篡改模块和一套完整的状态显示和操作调度的用户界面。在完成对流表信息保护的功能外,简化管理员的操作过程,提高了工作效率。
【学位单位】：北京邮电大学
【学位级别】：硕士
【学位年份】：2019
【中图分类】：TP393.0
【部分图文】：

启用ＴＬＳ将成为严重的安全隐患。因为我们无法保证ＳＤＮ控制器与交换机之间??的通信路径中所有的通信设备都是安全可信的，攻击者可以通过会话劫持、ＤＮＳ??欺骗、端口镜像等方式发起中间人攻击。如图１－１所示，攻击者可以窃听、拦截、??篡改通信数据，比如冒充控制器向交换机发送ＦＬＯＷ＿ＭＯＤ消息，篡改交换机中??的流表来控制交换机中数据流向，甚至直接使整个网络瘫痪。而且这种攻击在交??换机和控制器看来与正常的传输没有任何差异，很难被察觉。在［８］中这种攻击己??经被实践验证是可行的。??２??

图２－１软件定义网络的三层架构图??软件定义网络是一种创新性的网络架构，其架构主要分为三层：应用层、控??制层和物理设备层［２５］，如图２－１所示。其中应用层包括了各种各样的业务和应??用；控制层包括了各种各样的ＳＤＮ控制应用，他们负责处理数据平面的资源调??度和使用、维护ＳＤＮ网络状态信息等；基础设施层是真正处理网络数据的一层，??在这一层的各种ＳＤＮ网络设备根据流表对网络数据包进行处理、转发和状态收??集。应用层与控制层之间实现了北向接口，通过调用这些ＡＰＩ接口，应用层中的??各种业务应用可以实现与ＳＤＮ控制软件交互。而控制层和基础设施层之间实现??７??

ＯｐｅｎＦｌｏｗ是目前实现软件定义网络的最典型的方式，它实现了控制与传输??分离的特点［２６］。其架构分为三个部分：控制器、交换机和协议［２７］。它的架构图??如图２－２所示．？??数据平面??Ｍ?ＯｐｅｎＦｌｏｊｖ?交换＾／?Ｔ?：：．：－??％?．?！?＼?Ｉ?—??］?ＯｐｅｎＦｌｏ［ｖ交换机丨?Ｉ??控制平面丨?丨?ｉ?ｖ?＇?■?－?ｆ?＇??，?Ｉ?；?ｉ??Ｉ?ＯｐｅｎＨｏｗ协议丨?＞＾４＇?｜?…??ＯｐｅｎＦＩｏｗ控制器??图２－２?ＯｐｅｎＦＩｏｗ架构图??随着ＯｐｅｎＦＩｏｗ不断地被从业人员接受，渴望ＯｐｅｎＦＩｏｗ标准化的呼声也越??来越高，开放网络基金会（ＯｐｅｎＮｅｔｗｏｒｋｉｎｇＦｏｕｎｄａｔｉｏｎ，简称ＯＮＦ）成立。在开??放网络基金会的努力下，南向ＯｐｅｎＦＩｏｗ协议的功能不断完善。??ＯｐｅｎＦＩｏｗ交换机通过南向通信信道与ＯｐｅｎＦＩｏｗ控制器通信，采用??ＯｐｅｎＦＩｏｗ协议，为控制器管理调度ＳＤＮ网络资源传送消息。ＯｐｅｎＨｏｗ是基于??软件定义网络的数据控制和转发分离的思想而设计的，ＯｐｅｎＦＩｏｗ交换机本身没??有控制功能
【相似文献】

相关期刊论文 前10条

1 王铮;曾萨;安金肖;黄菁茹;;欧盟《一般数据保护条例》指导下的数据保护官制度解析与启示[J];图书与情报;2018年05期

2 石贤泽;;英国脱欧与英欧数据保护关系的新构建[J];欧洲研究;2019年02期

3 王融;余春芳;;2018年数据保护政策年度观察:政策全景[J];信息安全与通信保密;2019年04期

4 何波;;英国新数据保护法案介绍与评析[J];中国电信业;2017年11期

5 刘卓军;;数据保护的重要意义[J];中关村;2018年04期

6 何波;;英国个人数据保护立法改革进展及分析[J];通信管理与技术;2018年02期

7 吴沈括;霍文新;;欧盟个人数据保护新发展:爱尔兰《2018数据保护法案》初读[J];华北水利水电大学学报(社会科学版);2018年03期

8 刘正伟;;德国等欧洲国家安全生产大数据应用与数据保护[J];劳动保护;2017年01期

9 姚雪芳;丁锦希;任宏业;;美国生物制品数据保护制度的立法演变与成因分析[J];中国药房;2017年10期

10 都婧;;各国数据保护政策比较研究[J];中国信息安全;2017年05期

相关博士学位论文 前5条

1 李旭;系统级数据保护技术研究[D];华中科技大学;2008年

2 顾瑜;云计算环境下数据保护关键技术研究[D];清华大学;2014年

3 伍江江;面向服务应急响应的数据保护关键技术研究[D];国防科学技术大学;2012年

4 李磊;基于RRNS和均衡的深亚微米VLSI中的数据保护技术研究[D];电子科技大学;2010年

5 杨靖;基于数据块的数据保护技术研究[D];华中科技大学;2013年

相关硕士学位论文 前10条

1 王岩磊;SDN流表数据保护方案的研究与实现[D];北京邮电大学;2019年

2 李智敏;论被遗忘权的引入及其实施[D];厦门大学;2018年

3 蔡博斐;被遗忘权本土化的法律构建[D];福建师范大学;2017年

4 爱斯玛;建立中国数据保护法[D];北京邮电大学;2018年

5 王昕;我国个人数据保护立法问题初探[D];山东大学;2018年

6 熊成娟;德国及欧盟数据保护法中的事先同意规则在社交网络中的适用[D];南京大学;2016年

7 关伟明;欧美个人数据保护制度及对我国的启示[D];广西大学;2014年

8 诸葛明;中国药品数据保护的研究[D];中国社会科学院研究生院;2012年

9 康晋颖;论英国个人数据保护制度[D];对外经济贸易大学;2005年

10 刘敏敏;欧盟《个人数据保护指令》的改革及启示[D];西南政法大学;2014年

本文编号：2873995