軟件定義網(wǎng)絡(luò)中安全控制方法研究緒論,計算機網(wǎng)絡(luò)論文

軟件定義網(wǎng)絡(luò)中安全控制方法研究緒論,計算機網(wǎng)絡(luò)論文本篇論文目錄導(dǎo)航：【題目】【第一章】軟件定義網(wǎng)絡(luò)中安全控制方式方法研究緒論【第二章】【第三章】【第四章】【第五章】【總結(jié)/以下為參考文獻】第一章緒論本章闡述了SDN〔SoftwareDefinedNetworking,軟件定義網(wǎng)絡(luò)〕中安全策略研究工作的背景和意義，首先分析了SDN網(wǎng)絡(luò)安全性現(xiàn)在狀況，從架構(gòu)和策略兩方面描繪敘述出現(xiàn)安全問題的原因和解決問題的思路，其次是論文的主要研究內(nèi)容，最后是章節(jié)布置。1.1研究背景和意義隨著近年來網(wǎng)絡(luò)服務(wù)遭到拒絕服務(wù)攻擊的威脅持續(xù)增大和網(wǎng)絡(luò)安全漏洞的不斷增加，網(wǎng)絡(luò)管理員不得不制定愈加全面有效的應(yīng)對方案。故障排除作為網(wǎng)絡(luò)管理員最常用的應(yīng)對手段之一，由于其技術(shù)水平客觀上仍處在一個非常原始的階段，因而要求網(wǎng)絡(luò)管理員從管理層面上制定愈加有效的網(wǎng)絡(luò)安全策略。在傳統(tǒng)的網(wǎng)絡(luò)中，網(wǎng)絡(luò)管理員使用如ping,traceroute,tcpdump,nmap,NetFlow和SNMP等通用工具來統(tǒng)計分析和設(shè)計故障排除系統(tǒng)，但是管理一個復(fù)雜的網(wǎng)絡(luò)，使用這些通用工具是不夠的。對于復(fù)雜網(wǎng)絡(luò)，網(wǎng)絡(luò)管理員使用如X-trace[1],Netreplay[2]等框架工具時，固然一定程度上加強了故障排除的功能，但考慮到網(wǎng)絡(luò)基礎(chǔ)設(shè)施的復(fù)雜性和異構(gòu)性，導(dǎo)致框架工具的使用范圍仍然是很局限的。每當網(wǎng)絡(luò)環(huán)境發(fā)生變化時，網(wǎng)絡(luò)管理員都需要修改網(wǎng)絡(luò)配置，而且由于網(wǎng)絡(luò)中客觀存在的不同類型設(shè)備、芯片技術(shù)和供給商提供的特定組件，成功的配置經(jīng)歷體驗難以移植到其他生產(chǎn)環(huán)境中?；ヂ?lián)網(wǎng)架構(gòu)的創(chuàng)新從網(wǎng)絡(luò)出現(xiàn)開場就一直處于研究和探尋求索的中心位置。機構(gòu)和研究小組不斷探尋求索怎樣改善互聯(lián)網(wǎng)架構(gòu)，甚至重新設(shè)計互聯(lián)網(wǎng)，尤其注重關(guān)于網(wǎng)絡(luò)可編程性的問題。主動網(wǎng)絡(luò)是美國國防高級研究計劃局在90年代中期時的一個研究項目，給用戶和網(wǎng)絡(luò)運營商提供編程接口控制數(shù)據(jù)層面的網(wǎng)絡(luò)元素，歐盟主動網(wǎng)絡(luò)項目研究也含有類似的工作目的。ForCES[4]〔ForwardingandControlElementSeparation,轉(zhuǎn)發(fā)和控制元素分離〕是2002年提出的支持用戶使用靈敏的建模語言操作流表和數(shù)據(jù)流的項目，并且允許流級別的網(wǎng)絡(luò)編程。固然ForCES網(wǎng)絡(luò)可編程性的前景很吸引人，但是在當時沒有被任何生產(chǎn)網(wǎng)絡(luò)所采用。美國國家科學(xué)基金會發(fā)起的將來互聯(lián)網(wǎng)體系構(gòu)造項目，探尋求索建立GEN〔IGlobalEnvironmentforNetworkInnovation,全球基礎(chǔ)設(shè)施創(chuàng)新環(huán)境〕，同時呼吁網(wǎng)絡(luò)創(chuàng)新，目的是21世紀中期在全球范圍內(nèi)開發(fā)下一代網(wǎng)絡(luò)架構(gòu)和測試的實驗環(huán)境。SDN[5]〔SoftwareDefinedNetworks,軟件定義網(wǎng)絡(luò)〕是一種新型的搭建網(wǎng)絡(luò)的框架。通過轉(zhuǎn)發(fā)平面和控制平面的分離，具有物理上分布式組網(wǎng)和邏輯上集中控制的特點，目的是使復(fù)雜的網(wǎng)絡(luò)管理簡單化，更好地支持網(wǎng)絡(luò)創(chuàng)新和網(wǎng)絡(luò)演化，希望解決傳統(tǒng)互聯(lián)網(wǎng)根本的僵化問題。由于SDN支持網(wǎng)絡(luò)狀態(tài)控制，所以開發(fā)人員能夠利用SDN提供的接口進行細粒度網(wǎng)絡(luò)編程，加強了網(wǎng)絡(luò)的自動化管理和控制能力。盡管SDN技術(shù)開場只是提供應(yīng)研究人員在校園中進行網(wǎng)絡(luò)實驗，但在其從接口開發(fā)到成功部署的經(jīng)歷體驗已經(jīng)引起全行業(yè)的顯著關(guān)注。大多數(shù)商用交換機的供給商在數(shù)據(jù)層開場提供SDN南向接口OpenFlow[6]的技術(shù)支持。SDN的發(fā)展促使谷歌、Facebook、雅虎、微軟、Verizon和德國電信等跨國公司和運營商聯(lián)合成立ONF[7]〔OpenNetworkingFoundation,開放網(wǎng)絡(luò)基金會〕，目的是通過開放標準推動SDN在生產(chǎn)網(wǎng)絡(luò)中的發(fā)展。SDN的部署難題由最初理論研究到提出可擴展性解決方案，十分是控制器邏輯上的集中控制所隱含的物理上分布式部署，SDN的部署也逐步從一個學(xué)術(shù)活動開場演變到商業(yè)上成功運營。谷歌公司在全球互聯(lián)的數(shù)據(jù)中心里成功部署SDN就是一個例子，這次部署幫助公司顯著提高了運營效率，同時還降低了網(wǎng)絡(luò)維護的成本。Cisco公司作為全球最大的IT企業(yè)之一，近期也參加ONF,而由其領(lǐng)導(dǎo)的OpenDaylight[8]開源控制器項目的成功研發(fā)經(jīng)歷體驗再次講明SDN商業(yè)上的重要性。1.2研究現(xiàn)在狀況隨著ForCES[4],SANE[9],Ethane[10]和4D[11]〔Decision,Dissemination,Discovery,andData〕等項目的不斷提出，2007年基于OpenFlow的SDN架構(gòu)初具規(guī)模，其主要部署在斯坦福大學(xué)的校園網(wǎng)和美國國家科學(xué)基金會的GENI網(wǎng)絡(luò)環(huán)境中。OpenFlow的成功部署經(jīng)歷體驗講明無論在校園網(wǎng)或生產(chǎn)網(wǎng)絡(luò)，SDN相比于傳統(tǒng)網(wǎng)絡(luò)都有很多優(yōu)點：〔1〕網(wǎng)絡(luò)可編程性使網(wǎng)絡(luò)管理員能夠更細粒度地管理校園網(wǎng)絡(luò)。〔2〕SDN架構(gòu)解決了數(shù)據(jù)層的異構(gòu)性問題，推動網(wǎng)絡(luò)創(chuàng)新，便于在校園網(wǎng)或生產(chǎn)網(wǎng)絡(luò)里面大規(guī)模試驗部署?！?〕網(wǎng)絡(luò)切片允許在一樣基礎(chǔ)設(shè)施中存在多個并發(fā)實驗，提供研究人員真實的網(wǎng)絡(luò)環(huán)境進行實驗研究，得到愈加可信的網(wǎng)絡(luò)實驗結(jié)果。這些早期研究項目的一樣點是主張數(shù)據(jù)平面和控制平面分離，具有邏輯上的集中控制。在安全方面影響力最大的是Ethane,2006年Ethane項目就演示了怎樣在校園網(wǎng)絡(luò)中進行部署，以及配置訪問控制所需要的安全策略。Ethane項目允許網(wǎng)絡(luò)管理員定義基于全局網(wǎng)絡(luò)視圖的安全策略，這些策略由控制平面自動下發(fā)給交換機，作為處理網(wǎng)絡(luò)流量的規(guī)則。除了早期在安全性方面研究內(nèi)容，下面本節(jié)從架構(gòu)安全性和策略安全性兩方面介紹在SDN網(wǎng)絡(luò)中的研究現(xiàn)在狀況。1.2.1SDN安全架構(gòu)現(xiàn)在狀況Shin等人在文獻[12]提出CloudWatcher安全架構(gòu)，華而不實在控制器的內(nèi)部沒有任何的安全模塊，而是使用外圍的安全設(shè)備如入侵檢測系統(tǒng)。由OpenFlow的控制器捕獲網(wǎng)絡(luò)到達的數(shù)據(jù)包，并將其轉(zhuǎn)發(fā)到其連接的的安全設(shè)備。FRESCO[13]是為控制器提供安全應(yīng)用的框架，同時其安全模塊為開發(fā)人員提供了基于腳本語言的檢測、保衛(wèi)等功能。假如網(wǎng)絡(luò)管理員試圖在沒有額外空間的情況下安裝一個流表項，控制器管理流表項的安全模塊發(fā)現(xiàn)后執(zhí)行垃圾收集程序，自動回收沒有通過安全模塊安裝的流表項。Kumar等人在文獻[14]提出的安全構(gòu)架在OpenFlow交換機上配備入侵檢測功能。交換機有一個擴展的流表，不同于標準的OpenFlow交換機的流表，擴展內(nèi)容包括帶有攻擊者的源IP〔InternetProtocol,網(wǎng)際協(xié)議〕地址標簽的黑名單。交換機在使用正常的流表進行數(shù)據(jù)包匹配前，先檢查數(shù)據(jù)包能否出如今黑名單中，然后直接將發(fā)現(xiàn)異常的數(shù)據(jù)包丟棄。胡章豐等人在文獻[15]提出新型SDN安全架構(gòu)并應(yīng)用在云環(huán)境中，概括為3個層次?！?〕SecurityviaSDN,即利用SDN來構(gòu)建安全系統(tǒng)；〔2〕SecurityforSDN,即用SDN來傳遞安全服務(wù)；〔3〕SecurityofSDN,即SDN本身的安全性。提出SDN安全性的研究內(nèi)容集中在SDN應(yīng)用的安全性和本身的安全性，SDN應(yīng)用程序的漏洞也會成為SDN網(wǎng)絡(luò)安全的主要威脅之一。Yao等人在文獻[16]提出VAVE〔VirtualsourceAddressValidationEdge,虛擬源地址驗證邊緣〕安全框架用來防止源IP地址欺騙。在控制器中嵌入源地址驗證模塊，該模塊檢測到Packet-in消息時，與有效的源IP地址的白名單作比照。安全框架還通過在OpenFlow交換機上面安裝流規(guī)則提早檢測和丟棄無效的數(shù)據(jù)包來減輕處理負荷。1.2.2SDN安全策略現(xiàn)在狀況SDN安全策略[5]分為兩個研究方向，一個是使用SDN提高網(wǎng)絡(luò)安全性，另一個提高SDN本身的安全性。大部分安全策略是由應(yīng)用程序強迫執(zhí)行安全檢查來實現(xiàn)的，例如傳統(tǒng)網(wǎng)絡(luò)中在網(wǎng)絡(luò)入口點〔以太網(wǎng)的交換機〕進行的強迫安全檢查。在SDN環(huán)境中，安全策略通過可編程設(shè)備在更廣泛的網(wǎng)絡(luò)范圍內(nèi)施行，在惡意數(shù)據(jù)包進入網(wǎng)絡(luò)的關(guān)鍵區(qū)域之前阻止。使用SDN來提高網(wǎng)絡(luò)安全性，比方用于檢測DDoS的洪泛攻擊[17]和主動安全[18].由于OpenFlow交換機能夠及時收集各種來自網(wǎng)絡(luò)的信息，因而利用SDN設(shè)計檢測DDoS的洪泛攻擊的算法非常方便。主動安全[18]利用SDN收集并統(tǒng)計數(shù)據(jù)信息的能力，通過應(yīng)用程序主動地編程轉(zhuǎn)發(fā)設(shè)備，構(gòu)成主動的和智能的安全策略的施行技術(shù)。這種主動安全方式方法提出了一種新穎的反應(yīng)回路，以提高基礎(chǔ)設(shè)施的安全防御能力，并提出五個核心能力：保衛(wèi)、感悟、調(diào)節(jié)、收集、計數(shù)。在安全策略的實現(xiàn)方面，主動安全提供了一個編程接口用于檢測攻擊和整合不同來源的攻擊，并將整合后的數(shù)據(jù)發(fā)送到收集設(shè)備上，由控制器執(zhí)行安全策略進行阻止攻擊。當前還有很多關(guān)于SDN的安全策略的研究工作，比方加強網(wǎng)絡(luò)安全性和可靠性的研究項目[19][20][21].早期的研究項目[19]嘗試運用簡單的技術(shù)，如應(yīng)用程序的分級機制和優(yōu)先級的方式，以確保由安全應(yīng)用生成的高優(yōu)先級的規(guī)則不會被較低優(yōu)先級的規(guī)則覆蓋。其他的研究項目[22][23][24]嘗試更進一步通過提供制定與安全策略相關(guān)的應(yīng)用程序的框架。盡管安全框架和安全策略的技術(shù)水平一直在提高，但是網(wǎng)絡(luò)故障仍然隨時都會出現(xiàn)，因而故障排除作為安全框架和安全策略的一部分，在計算機基礎(chǔ)架構(gòu)、并行和分布式系統(tǒng)、嵌入式系統(tǒng)和桌面應(yīng)用程序中一直是重要的課題。故障排除策略主要分為兩類，分別是類似GDB〔GNUProjectDebugger,GNU項目調(diào)試器〕的運行時調(diào)試策略和使用跟蹤、重放與可視化的事后分析策略。隨著故障排除技術(shù)不斷進化和伴隨著新技術(shù)出現(xiàn)，故障排除的效率不斷地在提高，但當前這個領(lǐng)域還是存在很多研究問題。1.3論文主要研究內(nèi)容論文內(nèi)容主要是關(guān)于SDN中的安全策略在控制平面上的應(yīng)用研究。固然SDN具有全局視圖和集中控制的便利，用戶能夠根據(jù)需要靈敏地選擇拓撲和數(shù)據(jù)流，但是在加強了控制靈敏性的同時，網(wǎng)絡(luò)安全問題也成倍的增長，增加了網(wǎng)絡(luò)故障排除的難度。網(wǎng)絡(luò)管理員假如像對待傳統(tǒng)網(wǎng)絡(luò)那樣，根據(jù)經(jīng)歷體驗以對數(shù)據(jù)流進行逐步跟蹤，時間上難以接受。考慮到SDN的特殊性，既需要對網(wǎng)絡(luò)中的數(shù)據(jù)包進行狀態(tài)檢查，還需要對安全策略的施行進行檢查。固然安全策略能夠通過控制器提供的接口進行集中管理，但是在一定程度上增加了管理上的復(fù)雜性，因而論文方案的研究目的，是在通過擴展的安全策略降低現(xiàn)有故障排除方案的困難性，并且增加的管理上的復(fù)雜性是能夠?qū)崿F(xiàn)的。〔1〕研究現(xiàn)有SDN和OpenFlow協(xié)議面臨的安全性問題，總結(jié)故障排除技術(shù)上的異同點，從管理員的角度分析在傳統(tǒng)網(wǎng)絡(luò)和SDN中面臨這些問題后，借鑒傳統(tǒng)網(wǎng)絡(luò)中成熟的技術(shù)，研究適宜的安全策略解決SDN中的面臨的安全性問題?！?〕研究現(xiàn)有SDN安全策略的理論根據(jù)，主要是逆向轉(zhuǎn)發(fā)的數(shù)據(jù)包回溯技術(shù)和途徑查詢技術(shù)的實現(xiàn)方案，綜合分析兩種技術(shù)的優(yōu)缺點，具體講明兩種技術(shù)的主要研究內(nèi)容和缺乏之處，基于以上研究提出擴展的安全策略在SDN中應(yīng)用的可行性，講明降低技術(shù)方案的使用上的復(fù)雜度的同時改良其缺乏之處。〔3〕研究意向策略在數(shù)據(jù)包回溯中的作用，提出意向回溯方案和其詳細實現(xiàn)步驟，結(jié)合數(shù)據(jù)層和控制層的數(shù)據(jù)包回溯技術(shù)，提供愈加開放的網(wǎng)絡(luò)接口，方便用戶使用意向回溯方式方法開發(fā)和維護網(wǎng)絡(luò)應(yīng)用，使數(shù)據(jù)包回溯功能不限于網(wǎng)絡(luò)管理員的分析工具。〔4〕研究分類策略在現(xiàn)有故障排除方案中具有的作用，提出基于途徑查詢的故障排除框架，在發(fā)現(xiàn)、定位、測試故障經(jīng)過中，使用途徑查詢的原語捕獲數(shù)據(jù)包進行故障發(fā)現(xiàn)，結(jié)合故障排除算法進行定位，并在測試環(huán)境中進行故障類型使用安全策略進行分析。1.4論文章節(jié)布置全文共分為六個章節(jié)，詳細布置如下：第一章緒論。主要對SDN的背景進行了介紹，并對現(xiàn)有SDN安全狀況從架構(gòu)和策略兩方面進行介紹。分析現(xiàn)有安全策略的難點，并且提出論文的研究內(nèi)容，對全文的章節(jié)布置進行介紹。第二章相關(guān)背景知識介紹。主要介紹SDN網(wǎng)絡(luò)和OpenFlow背景下，給網(wǎng)絡(luò)安全策略研究帶來的便利。結(jié)合論文主要研究內(nèi)容數(shù)據(jù)包回溯技術(shù)和途徑跟蹤技術(shù)，進行重點分析和理論介紹。第三章基于SDN的安全策略擴展。首先從依靠關(guān)系和因果圖的角度介紹回溯策略和故障排除策略兩種現(xiàn)有SDN安全策略，以及這兩種事件分析方式方法的缺乏之處。提出擴展的安全策略的目的，最后介紹擴展的安全策略的底層技術(shù)支