發(fā)布時間：2020-11-07 13:12

　　 軟件定義網絡作為一種新型的網絡架構,其核心思想是將傳統(tǒng)網絡分成控制平面和數據平面,優(yōu)化傳統(tǒng)網絡架構,提高網絡的運維和管理的效率。但是新型的網絡架構在帶來便利的同時,在安全方面也同樣帶來了新的挑戰(zhàn)。尤其是將網絡的控制權限高度集中到控制平面后,控制平面擁有調度和管理數據平面的能力。其通過南向通信與數據平面的物理轉發(fā)設備進行交互,通過下發(fā)流表來控制網絡中數據流量的走向,流表便成為了新型網絡架構中最重要的敏感數據,也是攻擊者關注的焦點。但目前對于流表的安全保護的并沒有引起業(yè)界足夠的重視,甚至被很多網絡設備生產廠商直接忽略。本文通過研究流表在軟件定義網絡中流轉的每一個環(huán)節(jié)中的安全威脅,包括從在OpenFlow控制器中產生到在南向通信信道中傳輸再到OpenFlow交換機中使用,提出了一套流表數據保護方案。該方案不僅安全強度較現(xiàn)有方案有一定的提升,而且軟件兼容性好、運行效率高。首先,本文借鑒Kerberos認證思想,提出了在通信數據源頭處進行加密的防護方案。此方案不僅在不安全信道上完成了通信雙方的身份認證和會話密鑰分配,而且使用高效的AES對稱加密算法,確保消息在到達終點前一直以密文的形式存在,實現(xiàn)了對通信數據端到端的安全防護。最后,用轉發(fā)代理的形式對此方案進行了實現(xiàn),并用CBench測試工具對Floodlight控制器進行性能測試。結果表明,本文提出的源加密方案不僅能夠對通信數據進行端到端加密,而且相對于單獨啟用TLS增加控制器約8%的響應延時,源加密部分僅增加約4%。其次,由于OpenFlow交換機中流表數據需要進行高速頻繁查詢操作,流表數據都以明文的方式保存在交換機的內存中。本文針對可能的攻擊手段,提出了一種流表數據防篡改的方案。該方案基于Open vSwitch的開源實現(xiàn),修改其部分代碼并配合自己開發(fā)的外置程序,將方案進行了工程開發(fā)。實現(xiàn)了流表的下發(fā)記錄審計和防篡改功能。最后,本文研究并實現(xiàn)了一套SDN流表保護原型系統(tǒng),開發(fā)了身份認證和密鑰分發(fā)模塊、流表的源加密轉發(fā)模塊、流表的防篡改模塊和一套完整的狀態(tài)顯示和操作調度的用戶界面。在完成對流表信息保護的功能外,簡化管理員的操作過程,提高了工作效率。
【學位單位】：北京郵電大學
【學位級別】：碩士
【學位年份】：2019
【中圖分類】：TP393.0
【部分圖文】：

啟用ＴＬＳ將成為嚴重的安全隱患。因為我們無法保證ＳＤＮ控制器與交換機之間??的通信路徑中所有的通信設備都是安全可信的，攻擊者可以通過會話劫持、ＤＮＳ??欺騙、端口鏡像等方式發(fā)起中間人攻擊。如圖１－１所示，攻擊者可以竊聽、攔截、??篡改通信數據，比如冒充控制器向交換機發(fā)送ＦＬＯＷ＿ＭＯＤ消息，篡改交換機中??的流表來控制交換機中數據流向，甚至直接使整個網絡癱瘓。而且這種攻擊在交??換機和控制器看來與正常的傳輸沒有任何差異，很難被察覺。在［８］中這種攻擊己??經被實踐驗證是可行的。??２??

圖２－１軟件定義網絡的三層架構圖??軟件定義網絡是一種創(chuàng)新性的網絡架構，其架構主要分為三層：應用層、控??制層和物理設備層［２５］，如圖２－１所示。其中應用層包括了各種各樣的業(yè)務和應??用；控制層包括了各種各樣的ＳＤＮ控制應用，他們負責處理數據平面的資源調??度和使用、維護ＳＤＮ網絡狀態(tài)信息等；基礎設施層是真正處理網絡數據的一層，??在這一層的各種ＳＤＮ網絡設備根據流表對網絡數據包進行處理、轉發(fā)和狀態(tài)收??集。應用層與控制層之間實現(xiàn)了北向接口，通過調用這些ＡＰＩ接口，應用層中的??各種業(yè)務應用可以實現(xiàn)與ＳＤＮ控制軟件交互。而控制層和基礎設施層之間實現(xiàn)??７??

ＯｐｅｎＦｌｏｗ是目前實現(xiàn)軟件定義網絡的最典型的方式，它實現(xiàn)了控制與傳輸??分離的特點［２６］。其架構分為三個部分：控制器、交換機和協(xié)議［２７］。它的架構圖??如圖２－２所示．？??數據平面??Ｍ?ＯｐｅｎＦｌｏｊｖ?交換＾／?Ｔ?：：．：－??％?．?！?＼?Ｉ?—??］?ＯｐｅｎＦｌｏ［ｖ交換機丨?Ｉ??控制平面丨?丨?ｉ?ｖ?＇?■?－?ｆ?＇??，?Ｉ?；?ｉ??Ｉ?ＯｐｅｎＨｏｗ協(xié)議丨?＞＾４＇?｜?…??ＯｐｅｎＦＩｏｗ控制器??圖２－２?ＯｐｅｎＦＩｏｗ架構圖??隨著ＯｐｅｎＦＩｏｗ不斷地被從業(yè)人員接受，渴望ＯｐｅｎＦＩｏｗ標準化的呼聲也越??來越高，開放網絡基金會（ＯｐｅｎＮｅｔｗｏｒｋｉｎｇＦｏｕｎｄａｔｉｏｎ，簡稱ＯＮＦ）成立。在開??放網絡基金會的努力下，南向ＯｐｅｎＦＩｏｗ協(xié)議的功能不斷完善。??ＯｐｅｎＦＩｏｗ交換機通過南向通信信道與ＯｐｅｎＦＩｏｗ控制器通信，采用??ＯｐｅｎＦＩｏｗ協(xié)議，為控制器管理調度ＳＤＮ網絡資源傳送消息。ＯｐｅｎＨｏｗ是基于??軟件定義網絡的數據控制和轉發(fā)分離的思想而設計的，ＯｐｅｎＦＩｏｗ交換機本身沒??有控制功能
【相似文獻】

相關期刊論文 前10條

1 王錚;曾薩;安金肖;黃菁茹;;歐盟《一般數據保護條例》指導下的數據保護官制度解析與啟示[J];圖書與情報;2018年05期

2 石賢澤;;英國脫歐與英歐數據保護關系的新構建[J];歐洲研究;2019年02期

3 王融;余春芳;;2018年數據保護政策年度觀察:政策全景[J];信息安全與通信保密;2019年04期

4 何波;;英國新數據保護法案介紹與評析[J];中國電信業(yè);2017年11期

5 劉卓軍;;數據保護的重要意義[J];中關村;2018年04期

6 何波;;英國個人數據保護立法改革進展及分析[J];通信管理與技術;2018年02期

7 吳沈括;霍文新;;歐盟個人數據保護新發(fā)展:愛爾蘭《2018數據保護法案》初讀[J];華北水利水電大學學報(社會科學版);2018年03期

8 劉正偉;;德國等歐洲國家安全生產大數據應用與數據保護[J];勞動保護;2017年01期

9 姚雪芳;丁錦希;任宏業(yè);;美國生物制品數據保護制度的立法演變與成因分析[J];中國藥房;2017年10期

10 都婧;;各國數據保護政策比較研究[J];中國信息安全;2017年05期

相關博士學位論文 前5條

1 李旭;系統(tǒng)級數據保護技術研究[D];華中科技大學;2008年

2 顧瑜;云計算環(huán)境下數據保護關鍵技術研究[D];清華大學;2014年

3 伍江江;面向服務應急響應的數據保護關鍵技術研究[D];國防科學技術大學;2012年

4 李磊;基于RRNS和均衡的深亞微米VLSI中的數據保護技術研究[D];電子科技大學;2010年

5 楊靖;基于數據塊的數據保護技術研究[D];華中科技大學;2013年

相關碩士學位論文 前10條

1 王巖磊;SDN流表數據保護方案的研究與實現(xiàn)[D];北京郵電大學;2019年

2 李智敏;論被遺忘權的引入及其實施[D];廈門大學;2018年

3 蔡博斐;被遺忘權本土化的法律構建[D];福建師范大學;2017年

4 愛斯瑪;建立中國數據保護法[D];北京郵電大學;2018年

5 王昕;我國個人數據保護立法問題初探[D];山東大學;2018年

6 熊成娟;德國及歐盟數據保護法中的事先同意規(guī)則在社交網絡中的適用[D];南京大學;2016年

7 關偉明;歐美個人數據保護制度及對我國的啟示[D];廣西大學;2014年

8 諸葛明;中國藥品數據保護的研究[D];中國社會科學院研究生院;2012年

9 康晉穎;論英國個人數據保護制度[D];對外經濟貿易大學;2005年

10 劉敏敏;歐盟《個人數據保護指令》的改革及啟示[D];西南政法大學;2014年

本文編號：2873995