軟件定義網(wǎng)絡(luò)作為一種新型的網(wǎng)絡(luò)架構(gòu),其核心思想是將傳統(tǒng)網(wǎng)絡(luò)分成控制平面和數(shù)據(jù)平面,優(yōu)化傳統(tǒng)網(wǎng)絡(luò)架構(gòu),提高網(wǎng)絡(luò)的運維和管理的效率。但是新型的網(wǎng)絡(luò)架構(gòu)在帶來便利的同時,在安全方面也同樣帶來了新的挑戰(zhàn)。尤其是將網(wǎng)絡(luò)的控制權(quán)限高度集中到控制平面后,控制平面擁有調(diào)度和管理數(shù)據(jù)平面的能力。其通過南向通信與數(shù)據(jù)平面的物理轉(zhuǎn)發(fā)設(shè)備進行交互,通過下發(fā)流表來控制網(wǎng)絡(luò)中數(shù)據(jù)流量的走向,流表便成為了新型網(wǎng)絡(luò)架構(gòu)中最重要的敏感數(shù)據(jù),也是攻擊者關(guān)注的焦點。但目前對于流表的安全保護的并沒有引起業(yè)界足夠的重視,甚至被很多網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商直接忽略。本文通過研究流表在軟件定義網(wǎng)絡(luò)中流轉(zhuǎn)的每一個環(huán)節(jié)中的安全威脅,包括從在OpenFlow控制器中產(chǎn)生到在南向通信信道中傳輸再到OpenFlow交換機中使用,提出了一套流表數(shù)據(jù)保護方案。該方案不僅安全強度較現(xiàn)有方案有一定的提升,而且軟件兼容性好、運行效率高。首先,本文借鑒Kerberos認證思想,提出了在通信數(shù)據(jù)源頭處進行加密的防護方案。此方案不僅在不安全信道上完成了通信雙方的身份認證和會話密鑰分配,而且使用高效的AES對稱加密算法,確保消息在到達終點前一直以密文的形式存在,實現(xiàn)了對通信數(shù)據(jù)端到端的安全防護。最后,用轉(zhuǎn)發(fā)代理的形式對此方案進行了實現(xiàn),并用CBench測試工具對Floodlight控制器進行性能測試。結(jié)果表明,本文提出的源加密方案不僅能夠?qū)νㄐ艛?shù)據(jù)進行端到端加密,而且相對于單獨啟用TLS增加控制器約8%的響應(yīng)延時,源加密部分僅增加約4%。其次,由于OpenFlow交換機中流表數(shù)據(jù)需要進行高速頻繁查詢操作,流表數(shù)據(jù)都以明文的方式保存在交換機的內(nèi)存中。本文針對可能的攻擊手段,提出了一種流表數(shù)據(jù)防篡改的方案。該方案基于Open vSwitch的開源實現(xiàn),修改其部分代碼并配合自己開發(fā)的外置程序,將方案進行了工程開發(fā)。實現(xiàn)了流表的下發(fā)記錄審計和防篡改功能。最后,本文研究并實現(xiàn)了一套SDN流表保護原型系統(tǒng),開發(fā)了身份認證和密鑰分發(fā)模塊、流表的源加密轉(zhuǎn)發(fā)模塊、流表的防篡改模塊和一套完整的狀態(tài)顯示和操作調(diào)度的用戶界面。在完成對流表信息保護的功能外,簡化管理員的操作過程,提高了工作效率。
【學(xué)位單位】：北京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位年份】：2019
【中圖分類】：TP393.0
【部分圖文】：

啟用ＴＬＳ將成為嚴重的安全隱患。因為我們無法保證ＳＤＮ控制器與交換機之間??的通信路徑中所有的通信設(shè)備都是安全可信的，攻擊者可以通過會話劫持、ＤＮＳ??欺騙、端口鏡像等方式發(fā)起中間人攻擊。如圖１－１所示，攻擊者可以竊聽、攔截、??篡改通信數(shù)據(jù)，比如冒充控制器向交換機發(fā)送ＦＬＯＷ＿ＭＯＤ消息，篡改交換機中??的流表來控制交換機中數(shù)據(jù)流向，甚至直接使整個網(wǎng)絡(luò)癱瘓。而且這種攻擊在交??換機和控制器看來與正常的傳輸沒有任何差異，很難被察覺。在［８］中這種攻擊己??經(jīng)被實踐驗證是可行的。??２??

圖２－１軟件定義網(wǎng)絡(luò)的三層架構(gòu)圖??軟件定義網(wǎng)絡(luò)是一種創(chuàng)新性的網(wǎng)絡(luò)架構(gòu)，其架構(gòu)主要分為三層：應(yīng)用層、控??制層和物理設(shè)備層［２５］，如圖２－１所示。其中應(yīng)用層包括了各種各樣的業(yè)務(wù)和應(yīng)??用；控制層包括了各種各樣的ＳＤＮ控制應(yīng)用，他們負責(zé)處理數(shù)據(jù)平面的資源調(diào)??度和使用、維護ＳＤＮ網(wǎng)絡(luò)狀態(tài)信息等；基礎(chǔ)設(shè)施層是真正處理網(wǎng)絡(luò)數(shù)據(jù)的一層，??在這一層的各種ＳＤＮ網(wǎng)絡(luò)設(shè)備根據(jù)流表對網(wǎng)絡(luò)數(shù)據(jù)包進行處理、轉(zhuǎn)發(fā)和狀態(tài)收??集。應(yīng)用層與控制層之間實現(xiàn)了北向接口，通過調(diào)用這些ＡＰＩ接口，應(yīng)用層中的??各種業(yè)務(wù)應(yīng)用可以實現(xiàn)與ＳＤＮ控制軟件交互。而控制層和基礎(chǔ)設(shè)施層之間實現(xiàn)??７??

ＯｐｅｎＦｌｏｗ是目前實現(xiàn)軟件定義網(wǎng)絡(luò)的最典型的方式，它實現(xiàn)了控制與傳輸??分離的特點［２６］。其架構(gòu)分為三個部分：控制器、交換機和協(xié)議［２７］。它的架構(gòu)圖??如圖２－２所示．？??數(shù)據(jù)平面??Ｍ?ＯｐｅｎＦｌｏｊｖ?交換＾／?Ｔ?：：．：－??％?．?！?＼?Ｉ?—??］?ＯｐｅｎＦｌｏ［ｖ交換機丨?Ｉ??控制平面丨?丨?ｉ?ｖ?＇?■?－?ｆ?＇??，?Ｉ?；?ｉ??Ｉ?ＯｐｅｎＨｏｗ協(xié)議丨?＞＾４＇?｜?…??ＯｐｅｎＦＩｏｗ控制器??圖２－２?ＯｐｅｎＦＩｏｗ架構(gòu)圖??隨著ＯｐｅｎＦＩｏｗ不斷地被從業(yè)人員接受，渴望ＯｐｅｎＦＩｏｗ標(biāo)準化的呼聲也越??來越高，開放網(wǎng)絡(luò)基金會（ＯｐｅｎＮｅｔｗｏｒｋｉｎｇＦｏｕｎｄａｔｉｏｎ，簡稱ＯＮＦ）成立。在開??放網(wǎng)絡(luò)基金會的努力下，南向ＯｐｅｎＦＩｏｗ協(xié)議的功能不斷完善。??ＯｐｅｎＦＩｏｗ交換機通過南向通信信道與ＯｐｅｎＦＩｏｗ控制器通信，采用??ＯｐｅｎＦＩｏｗ協(xié)議，為控制器管理調(diào)度ＳＤＮ網(wǎng)絡(luò)資源傳送消息。ＯｐｅｎＨｏｗ是基于??軟件定義網(wǎng)絡(luò)的數(shù)據(jù)控制和轉(zhuǎn)發(fā)分離的思想而設(shè)計的，ＯｐｅｎＦＩｏｗ交換機本身沒??有控制功能
【相似文獻】

相關(guān)期刊論文 前10條

1 王錚;曾薩;安金肖;黃菁茹;;歐盟《一般數(shù)據(jù)保護條例》指導(dǎo)下的數(shù)據(jù)保護官制度解析與啟示[J];圖書與情報;2018年05期

2 石賢澤;;英國脫歐與英歐數(shù)據(jù)保護關(guān)系的新構(gòu)建[J];歐洲研究;2019年02期

3 王融;余春芳;;2018年數(shù)據(jù)保護政策年度觀察:政策全景[J];信息安全與通信保密;2019年04期

4 何波;;英國新數(shù)據(jù)保護法案介紹與評析[J];中國電信業(yè);2017年11期

5 劉卓軍;;數(shù)據(jù)保護的重要意義[J];中關(guān)村;2018年04期

6 何波;;英國個人數(shù)據(jù)保護立法改革進展及分析[J];通信管理與技術(shù);2018年02期

7 吳沈括;霍文新;;歐盟個人數(shù)據(jù)保護新發(fā)展:愛爾蘭《2018數(shù)據(jù)保護法案》初讀[J];華北水利水電大學(xué)學(xué)報(社會科學(xué)版);2018年03期

8 劉正偉;;德國等歐洲國家安全生產(chǎn)大數(shù)據(jù)應(yīng)用與數(shù)據(jù)保護[J];勞動保護;2017年01期

9 姚雪芳;丁錦希;任宏業(yè);;美國生物制品數(shù)據(jù)保護制度的立法演變與成因分析[J];中國藥房;2017年10期

10 都婧;;各國數(shù)據(jù)保護政策比較研究[J];中國信息安全;2017年05期

相關(guān)博士學(xué)位論文 前5條

1 李旭;系統(tǒng)級數(shù)據(jù)保護技術(shù)研究[D];華中科技大學(xué);2008年

2 顧瑜;云計算環(huán)境下數(shù)據(jù)保護關(guān)鍵技術(shù)研究[D];清華大學(xué);2014年

3 伍江江;面向服務(wù)應(yīng)急響應(yīng)的數(shù)據(jù)保護關(guān)鍵技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2012年

4 李磊;基于RRNS和均衡的深亞微米VLSI中的數(shù)據(jù)保護技術(shù)研究[D];電子科技大學(xué);2010年

5 楊靖;基于數(shù)據(jù)塊的數(shù)據(jù)保護技術(shù)研究[D];華中科技大學(xué);2013年

相關(guān)碩士學(xué)位論文 前10條

1 王巖磊;SDN流表數(shù)據(jù)保護方案的研究與實現(xiàn)[D];北京郵電大學(xué);2019年

2 李智敏;論被遺忘權(quán)的引入及其實施[D];廈門大學(xué);2018年

3 蔡博斐;被遺忘權(quán)本土化的法律構(gòu)建[D];福建師范大學(xué);2017年

4 愛斯瑪;建立中國數(shù)據(jù)保護法[D];北京郵電大學(xué);2018年

5 王昕;我國個人數(shù)據(jù)保護立法問題初探[D];山東大學(xué);2018年

6 熊成娟;德國及歐盟數(shù)據(jù)保護法中的事先同意規(guī)則在社交網(wǎng)絡(luò)中的適用[D];南京大學(xué);2016年

7 關(guān)偉明;歐美個人數(shù)據(jù)保護制度及對我國的啟示[D];廣西大學(xué);2014年

8 諸葛明;中國藥品數(shù)據(jù)保護的研究[D];中國社會科學(xué)院研究生院;2012年

9 康晉穎;論英國個人數(shù)據(jù)保護制度[D];對外經(jīng)濟貿(mào)易大學(xué);2005年

10 劉敏敏;歐盟《個人數(shù)據(jù)保護指令》的改革及啟示[D];西南政法大學(xué);2014年

本文編號：2873995