基于IKE的IPSec技术在软件定义切片网络中的安全应用

发布时间：2020-09-10 19:33

　　随着互联网技术的蓬勃发展,其实现的服务种类及业务复杂度也随之增加,复杂多变的网络状态成了扼制通信网络进一步发展的关键因素。而第五代移动通信(5G)网络切片技术的提出,为重新划分通信网络格局开辟了新的思路,各大通信网络公司都纷纷投入巨大的人力财力进行新领域的研究。而与此同时,当下已经较为成熟的软件定义网络(Software Defined Network,SDN)架构的数据层与控制层分离的理念以及SDN交换机强大的包处理能力都处处体现了与该技术的相融之处。即便如此,切片网络中的通信安全依然存在着一些潜在的安全隐患。本文利用SDN架构控制功能与转发功能分离的特性与对网络可编程的能力,以及对切片网络的易划分和可操作性的优势,设计并实现了一种基于密钥交换(Internet Key Exchange,IKE)的互联网安全(Internet Protocol Security,IPSec)技术的软件定义切片网络安全通信的系统架构。该系统架构的核心思想是利用哈希加密验证技术改进当下IPSec加密机制,并辅以IKE协商机制,提高了系统的可操作性和稳定性。该项技术的改进,旨在保障发送方发送的敏感信息数据包能安全准确的到达接收方,避免传输过程中的数据截获或欺诈数据包的入侵,全方位保证了安全通道的通信安全。本文的主要研究工作有:(1)引入了IPSec加密与IKE协商机制。IPSec加密的机制需要人工选择解析协议或者验证字段,操作繁琐且易出错,一旦选择了加密方式则短时间内不会做出新的更改,这也带来了一定的安全风险的,给攻击者很大的破解缓冲时间,而IKE的优势在于是动态的自主随机选择库中的解析协议或者验证字段,建立起安全联盟,且配置全部依赖于程序自主运作,基本上解放了开发人员;(2)设计并实现了一种路由生成算法。该功能主要是基于带宽利用率的动态选路算法,利用SDN控制器时刻掌握着整个网络拓扑状态,能更好地应对实时环境中的网络链路情况,既可以保证时延,又可以保证链路负载均衡;(3)实现随机数哈希加密认证。单纯依赖于IKE协商建立起来的IPSec加密体系,依然有被在有限时间内攻破的可能性,为此我们添加了动态改变的随机数哈希加密认证技术。在间隔时间内依据随机字符串哈希加密之后镶嵌在控制器下发的验证流表中,大大增强了通信通道的安全性。最后,本文对基于IKE的IPSec技术在软件定义切片网络安全通信体系架构进行了测试。根据测试结果分析可以证明该系统架构设计的有效性,且拥有更高的安全性、易部署性。
【学位单位】：华中科技大学
【学位级别】：硕士
【学位年份】：2019
【中图分类】：TN929.5;TP393.08
【部分图文】：

协议体系结构,传输模式

图 2-1 IPSec 协议体系结构PSec 协议的本质是隧道协议[25]。参考文献[26]给出了 IPSec 协议的传输模式和式的安全保障机制，在这里不做深入探讨。IPSec 报文的具体内容如图 2-2 所示图 2-2 IPSec 传输模式与隧道模式的报文封装 ESP 协议

隧道模式,传输模式,报文,安全保障机制

图 2-1 IPSec 协议体系结构IPSec 协议的本质是隧道协议[25]。参考文献[26]给出了 IPSec 协议的传输模式和隧道模式的安全保障机制，在这里不做深入探讨。IPSec 报文的具体内容如图 2-2 所示。

表项,动态选路,控制器,带宽利用率

图 5-4 控制器基于 Dijkstra 算法产生的流表项根据图 5-4 的流表信息可知，只有 S1、S3、S4 成功安装了流表。2）当变量 UseBWU 的逻辑值被设为 TRUE 时，代表了控制器使用基于链路带宽利用率动态选路算法来确定路由信息。我们启动控制器和 Mininet，然后调用 Floodlight拓扑模块所提供的REST接口来查看交换机S1的端口3到交换机S4的端口3的路由，输入上面命令，由图 5-5 可知控制器基于带宽利用率动态选路算法产生的路由为 S1-S2-S4。图 5-5 控制器基于带宽利用率动态选路算法产生的路由这里基于带宽利用率动态选路算法产生的路由带宽利用率为 10%，是路径里面最

【相似文献】