SDN北向资源访问安全方案研究与实现
发布时间:2021-08-07 05:38
软件定义网络(Software defined network)将传统封闭的网络体系解耦为数据平面,控制平面和应用平面。这种松耦合的控制平面与数据平面,支持集中化的网络状态控制,实现底层网络设施对上层应用的透明。其中SDN北向接口是指通过控制器向上层业务应用开放的接口,其目标是使得业务应用能够便利的调用底层的的网络资源和能力。但是北向接口的的控制器和应用程序之间所建立的依赖关系非常脆弱,攻击者可利用北向接口的开放性和可编程性,对控制器中的某些重要资源进行任意的调用和访问。目前北向接口面临的安全问题主要包括非法访问、数据泄露、消息篡改、身份假冒、应用程序自身的漏洞以及不同应用程序在合作时引入的新漏洞等。本文首先对目前的主流控制器北向接口的安全问题进行调研和实验,通过分析前人在北向控制器安全的研究成果和不足,结合目前SDN北向接口资源访问威胁的实际需求,提出了一种扩展性强,更为细粒度的动态访问控制方案。同时,本文根据OF应用的行为特点,提出了一套访问策略模板,特别针对OF应用随意下发流规则操作,威胁控制器的问题提出了一种流表阈值预测算法,通过分析预测输入流的特征,动态的改变OF应用的访问阈...
【文章来源】:北京邮电大学北京市 211工程院校 教育部直属院校
【文章页数】:76 页
【学位级别】:硕士
【部分图文】:
图2-1?SDN架构??7??
2.1.2?SDN北向接口以及研究现状??2.1.2.1?REST?API?介绍??从SDN北向接口的设计目标来看,它应该具有开放性,高效性和可编程性,??从目前技术实现上看,RESTAPI是目前业内比较有影响力的控制器普遍支持的??方式。??REST?API翻译为表述性状态转移,源自Roy?Thomas?Fielding博士在2000??年发表的一篇学术论文[25]。REST之父在该论文中提出了?REST的6个特点:??客户端-服务器的,无状态的,可缓存的,统一接口,分层系统和按需编码。接??下来我们对着六种架构约束进行简单的介绍:??(1)客户端-服务器:由于REST是针对分布式系统的,它使得客户端(浏??览器)与服务器之间不受影响,当客户端发出请求的时候,服务器会对这种请求??进行响应。客户端和服务器端可以按需进行变换。??(2)无状态:无状态的意思是指每次的请求不会对之前或者之后的请求出??现影响。因此每一个请求的信息都必须包括服务器处理该请求所需的所有信息。??这样就降低了服务器资源的使用,提高了可靠性。??
值两个指标分析这条新插入的流表和每一条流表的关联度,如果出现了与它关联??度大的流表项,则这两个流表就合并。如果这条流表和每一条流表的关联度都为??0,那么这条流表将作为一条新流表存入交换机中。该流表创建流程如图2-7所??示:????ismmimmm?<???S&illS?I??否i?v?否??皇?s?I皇??y?L?v??合翻最大输麵表更鉄联度???天驗的表项繼吞賴??图2-3流表关联算法流程图??流表停滞超时时间的方案的核心思想是通过修改流表的停滞时间,清除历史??流表项从而给新输入的流表项增加空间。从而解决的因为交换机流规则己满而造??成数据包匹配规则不被存入交换机中造成数据包的丢失。文献[18][34]首先分析??每次流表的到达数量,使用预测算法[35]例如AR算法根据威布尔分布估计下一??时刻流表的到达数量,接着通过基于缓存的超时预测模块和基于负载感知的反??馈控制模块,结合我们的预测值对流表的停滞时间进行调整。该模块如图2-8所??示设置了两个临界值FBstart和FBpeak用以控制该系统对流表的操作。当存入流??表占流表空间较小的时候,即流表空间小于FBstart时,则允许流表存入交换机,??并且不对历史流表的超时时间进行控制,当流表空间大于FBstart小于FBpeak??时则说明需要调整历史数据的流表超时时间,通过动态的控制保证交换机的流表??12??
【参考文献】:
期刊论文
[1]一种基于预测与动态调整负载因子的SDN流表优化算法[J]. 史少平,庄雷,杨思锦. 计算机科学. 2017(01)
[2]智能交通系统(ITS)中的智能汽车技术研究[J]. 谭黎丽. 技术与市场. 2016(04)
[3]软件定义网络:安全模型、机制及研究进展[J]. 王蒙蒙,刘建伟,陈杰,毛剑,毛可飞. 软件学报. 2016(04)
[4]基于资源复用的Openflow流表存储优化方案[J]. 李向文,吉萌,曹敏,戴锦友. 光通信研究. 2014(02)
硕士论文
[1]软件定义网络北向REST接口安全防御关键技术研究[D]. 任开磊.解放军信息工程大学 2017
[2]OpenFlow流表优化技术的研究[D]. 史少平.郑州大学 2016
[3]SDN中面向北向的控制器关键技术的研究[D]. 程显雯.北京邮电大学 2015
本文编号:3327187
【文章来源】:北京邮电大学北京市 211工程院校 教育部直属院校
【文章页数】:76 页
【学位级别】:硕士
【部分图文】:
图2-1?SDN架构??7??
2.1.2?SDN北向接口以及研究现状??2.1.2.1?REST?API?介绍??从SDN北向接口的设计目标来看,它应该具有开放性,高效性和可编程性,??从目前技术实现上看,RESTAPI是目前业内比较有影响力的控制器普遍支持的??方式。??REST?API翻译为表述性状态转移,源自Roy?Thomas?Fielding博士在2000??年发表的一篇学术论文[25]。REST之父在该论文中提出了?REST的6个特点:??客户端-服务器的,无状态的,可缓存的,统一接口,分层系统和按需编码。接??下来我们对着六种架构约束进行简单的介绍:??(1)客户端-服务器:由于REST是针对分布式系统的,它使得客户端(浏??览器)与服务器之间不受影响,当客户端发出请求的时候,服务器会对这种请求??进行响应。客户端和服务器端可以按需进行变换。??(2)无状态:无状态的意思是指每次的请求不会对之前或者之后的请求出??现影响。因此每一个请求的信息都必须包括服务器处理该请求所需的所有信息。??这样就降低了服务器资源的使用,提高了可靠性。??
值两个指标分析这条新插入的流表和每一条流表的关联度,如果出现了与它关联??度大的流表项,则这两个流表就合并。如果这条流表和每一条流表的关联度都为??0,那么这条流表将作为一条新流表存入交换机中。该流表创建流程如图2-7所??示:????ismmimmm?<???S&illS?I??否i?v?否??皇?s?I皇??y?L?v??合翻最大输麵表更鉄联度???天驗的表项繼吞賴??图2-3流表关联算法流程图??流表停滞超时时间的方案的核心思想是通过修改流表的停滞时间,清除历史??流表项从而给新输入的流表项增加空间。从而解决的因为交换机流规则己满而造??成数据包匹配规则不被存入交换机中造成数据包的丢失。文献[18][34]首先分析??每次流表的到达数量,使用预测算法[35]例如AR算法根据威布尔分布估计下一??时刻流表的到达数量,接着通过基于缓存的超时预测模块和基于负载感知的反??馈控制模块,结合我们的预测值对流表的停滞时间进行调整。该模块如图2-8所??示设置了两个临界值FBstart和FBpeak用以控制该系统对流表的操作。当存入流??表占流表空间较小的时候,即流表空间小于FBstart时,则允许流表存入交换机,??并且不对历史流表的超时时间进行控制,当流表空间大于FBstart小于FBpeak??时则说明需要调整历史数据的流表超时时间,通过动态的控制保证交换机的流表??12??
【参考文献】:
期刊论文
[1]一种基于预测与动态调整负载因子的SDN流表优化算法[J]. 史少平,庄雷,杨思锦. 计算机科学. 2017(01)
[2]智能交通系统(ITS)中的智能汽车技术研究[J]. 谭黎丽. 技术与市场. 2016(04)
[3]软件定义网络:安全模型、机制及研究进展[J]. 王蒙蒙,刘建伟,陈杰,毛剑,毛可飞. 软件学报. 2016(04)
[4]基于资源复用的Openflow流表存储优化方案[J]. 李向文,吉萌,曹敏,戴锦友. 光通信研究. 2014(02)
硕士论文
[1]软件定义网络北向REST接口安全防御关键技术研究[D]. 任开磊.解放军信息工程大学 2017
[2]OpenFlow流表优化技术的研究[D]. 史少平.郑州大学 2016
[3]SDN中面向北向的控制器关键技术的研究[D]. 程显雯.北京邮电大学 2015
本文编号:3327187
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3327187.html
