http://www.jsjkx.com DOI:10.11896/jsjkx.200300119 到稿日期:2020G03G20 返修日期:2020G08G30 基金项目:河南省科技攻关项目(192102210125) ThisworkwassupportedbytheKeyScienceandTechnologyProgramofHenanProvince,China(192102210125). 通信作者:董仕(njbsok@163.com)软件定义网络安全问题研究综述 董 仕 周口师范学院计算机科学与技术学院 河南周口466001   摘 要 软件定义网络是一种新型的网络体系结构,其通过OpenFlow技术来实现网络控制面与数据面的分离,从而达到对网 络流量的灵活控制,目前已成为下一代互联网的研究热点.随着SDN的发展及广泛应用,其安全问题已成为亟待解决的重要 研究内容.近年来,国内外学者在SDN安全研究领域取得了一定的成果,文中针对SDN的3层架构分别对各层所面临的安全 问题及其解决方案进行了系统总结.首先给出了SDN的定义和3层框架;接着依次总结了数据层、控制层和应用层的安全问 题以及相应的解决方案;然后分析并讨论了传统网络安全与SDN安全的异同;最后对软件定义网络安全问题未来研究可能面 临的挑战进行了展望. 关键词:软件定义网络;数据层;控制层;应用层;OpenFlow 中图法分类号 TP391   SurveyonSoftwareDefinedNetworksSecurity DONGShi SchoolofComputerScienceandTechnology,ZhoukouNormalUniversity,Zhoukou,Henan466001,China   Abstract SoftwareGdefinednetworks(SDN)isanewnetworkarchitecture,whichenablesseparatenetworkcontrolplanefrom dataplanesthroughOpenFlowtechnology,thusthenetworktrafficcanbeflexiblecontrolled.SDNhasbecomeahottopicinthe nextgenerationofInternet.WiththedevelopmentandwideapplicationofSDN,itssecurityproblemhasbecomeanimportantreG searchtopicandsomeachievementshavebeenmadebythedomesticandforeignscholarsinrecentyears.BasedonthreeGlayerarG chitectureofSDN,thesecurityproblemsandsolutionsofeachlayeraresummarized.Firstly,thedefinitionandthreeframeworks ofSDNarepresented;thensecurityissuesandcorrespondingsolutionsareoutlinedunderthedatalayer,thecontrollayerandapG plicationlayer;innext,thesecurityofsimilaritiesanddifferencesbetweentraditionalnetworkandSDNarediscussed;andfinally, theresearchchallengesinfutureareprposed. Keywords Softwaredefinednetworks,Dataplane,Controlplane,Applicationplane,OpenFlow     软件定义网络(SoftwareDefinedNetworks,SDN)是一种 新型网络创新架构,最初由斯坦福大学研究团队发起,其通过 OpenFlow[1]技术将网络设备控制面与数据面分离,并利用网 络控制与转发解耦合构建开放可编程的网络体系结构.随着 开放性SDN的发展及其广泛的部署和应用,SDN将面临诸 多新的安全问题.与传统的网络架构不同,SDN作为一种创 新架构,其特殊的分层特征将衍生出不同的攻击方法及安全 问题,相应地也会产生很多安全防范措施. 本文着重对已有的SDN安全问题及对策进行综述研究. SDN的安全问题是当前SDN研究领域中的一个重要课题. 随着新的SDN应用的不断涌现以及研究人员对SDN架构研 究的日益深入,近年来有关SDN安全问题的研究取得了大量 的成果,其安全架构设计以及攻击防御等成为了判断一个SDN 系统是否可以交付使用的重要依据.因此,针对该问题的深入 研究对提高和保障SDN软件产品的质量具有重要意义.本文第1节介绍了SDN的概念及系统架构;第2节总结 了已有的SDN安全问题;第3节对已有SDN安全问题的解 决方法进行了总结;第4节比较并总结了传统网络和SDN的 安全问题;第5节对未来值得关注的研究方向进行了初步探 讨;最后总结全文. 1 软件定义网络的概念及系统架构 狭义的SDN特指基于OpenFlow南向接口的网络,广义 的SDN则指具备这种理念的所有网络.SDN与传统网络的 最大差别在于网络控制模式,其将底层网络分成控制层与数 据层(转发层).控制层采用集中式控制器管控不同的网络设 备,让比特流在数据层顺利传输,这样网络更容易被控制与管 理.控制器通过安全通道与OpenFlow交换机进行通信,下 发流表与控制规则来决定流量的流向,以实现路由机制、封包 分析、网络虚拟化等功能.可编程性作为SDN的一个重要特征,为开发者提供了诸多便利条件.然而,其作用范围一直局 限于控制层,直到P4编程语言[2G3]出现,才打破了硬件设备对 数据转发平面的限制,使“软件定义”延伸到硬件层面,同时也 标志着SDN进入了SDN2.0时代.P2可以通过编程控制数 据包的解析和转发流程,使SDN快速实现可编程化.SDN 针对不同的使用需求,建立了服务层级协议,为使用者构建应 有的存取服务保障.SDN的三层架构如图1所示. 图1 软件定义网络3层框架图 Fig.1 Softwaredefinednetworksarchitecture 尽管OpenFlow是SDN控制平面和数据平面之间的多 种通信协议之一,但实际上,OpenFlow因其良好的灵活性、规 范性已被看作SDN通信协议事实上的标准.该标准类似于 TCP/IP协议,是互联网的通信标准[4],目前大部分安全系统 的研究都是基于OpenFlow的.OpenFlow协议是控制器与 SDN交换机进行通信的桥梁,传统网络中由交换机或路由器 完成的报文转发功能,现在由控制器和交换机共同完成.协 议规定网络设备中需要维护一个流表,且所有的流量需要通 过流表进行报文处理.而流表自身的生成、维护及规则的下 发完全由控制器来实现.OpenFlow协议主要通过对不同类 型的信息进行处理来实现控制器和交换机之间的路由控制和 交换.目前OpenFlow协议主要支持3种消息类型,分别是 controllerGtoGswitch,symmetric(对称型消息)以及asynG chronous(异步消息类型).如图1[5]所示,基于OpenFlow的 3层架构分别由应用层、控制层和数据层构成.下文将详细 介绍基于OpenFlow的3层架构. (1)SDN应用层.该层包含提供管理及云端虚拟化等服 务,主要为用户提供SLA、QoE、监控、负载均衡、拓扑发现、安 全与防火墙等网络服务功能,这些服务最终都以应用程序的 方式表现,通过北向接口[6]与SDN控制层进行数据交互. (2)SDN控制层.该层以远端控制器为主,并搭配SDN 控制软件,处于SDN中间层,能通过北向接口和南向接口分 别与上层的应用层和下层的数据层进行互通.采用集中式管 理架构,依靠编程方式实现对SDN交换机的集中控制.一个 SDN中可以有多个控制器,控制器之间可以是主从关系也可 以是对等关系.通过SDN交换机下发流规则使每个控制器可以控制多台设备,每台设备也可以被多个控制器控制. (3)SDN数据层.交换机、路由器及网络芯片是数据层 的核心元素,数据层主要负责网络数据包的转发功能,交换机 和路由器中的端口和流表主要完成与上层控制器的数据通道 的建立以及向控制层下达转发规则.当有新报文发送到 SDN交换机后,首先匹配流表中的流表项,若匹配失败,则需 要上报给上层控制层,等待控制层下达转发规则给数据层,规 则一旦下发,报文将匹配流表项完成报文转发功能. 2 SDN安全问题 本节将依据SDN分层结构,详细介绍每层所面临的安全 问题. 2.1 应用层安全问题 SDN采用可编程的方式可有效地管理网络设备资源,集 中体现了以控制器为中心的管理模式,但这种模式会给各种 恶意应用软件带来相应的攻击机会.尽管OpenFlow可以提 供一些基于流的安全检测算法[7],但其潜在的假设是在SDN 中应用软件未受到恶意攻击或北向接口未受到破坏的前提条 件下,这会对SDN起到一定的安全保护作用,但对DDoS攻 击却束手无策.一旦SDN应用层的应用软件或北向接口受 到一定的攻击或破坏,后果将不堪设想.这也是应用层非常 关注的问题.针对SDN应用层安全问题,我们将从以下两个 方面进行分析. 2.1.1 身份认证 SDN应用层与控制层之间

pdf文档 计算机科学 软件定义网络安全问题研究综述

安全报告 > 其他 > 文档预览
中文文档 12 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共12页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
计算机科学 软件定义网络安全问题研究综述 第 1 页 计算机科学 软件定义网络安全问题研究综述 第 2 页 计算机科学 软件定义网络安全问题研究综述 第 3 页
下载文档到电脑,方便使用
本文档由 思安2023-01-26 17:30:52上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。