【摘要】：傳統(tǒng)網(wǎng)絡(luò)體系架構(gòu)已經(jīng)不能很好地滿足諸如云計(jì)算、數(shù)據(jù)中心等相關(guān)業(yè)務(wù)對(duì)網(wǎng)絡(luò)靈活管控的需求,學(xué)術(shù)界近年來(lái)提出了基于OpenFlow的軟件定義網(wǎng)絡(luò)(Software Defined Networking,SDN),即OpenFlow-SDN。與傳統(tǒng)網(wǎng)絡(luò)相比,OpenFlow-SDN將控制平面與數(shù)據(jù)平面解耦合,從而使得網(wǎng)絡(luò)管理變得便捷。當(dāng)然,與傳統(tǒng)網(wǎng)絡(luò)的發(fā)展軌跡類似,OpenFlow-SDN的發(fā)展同樣避不開(kāi)安全保障問(wèn)題。.而且由于其自身網(wǎng)絡(luò)架構(gòu)的特點(diǎn),使得其中的安全問(wèn)題呈現(xiàn)出更加多樣化的形式——管理平面、控制平面和數(shù)據(jù)平面以及各個(gè)開(kāi)放接口都面臨著新型安全威脅。論文首先對(duì)OpenFlow-SDN架構(gòu)展開(kāi)了分析,進(jìn)而提出了與其架構(gòu)相關(guān)的若干安全問(wèn)題,并著重對(duì)所提出的安全問(wèn)題提出了相應(yīng)的解決方案、途徑與方法。論文的研究旨在一定程度上提高OpenFlow-SDN網(wǎng)絡(luò)的安全性,主要針對(duì)以下三個(gè)問(wèn)題開(kāi)展了研究:1.針對(duì)數(shù)據(jù)平面上的網(wǎng)絡(luò)設(shè)備通常是靜態(tài)配置因而容易招致蠕蟲(chóng)繁殖攻擊的問(wèn)題,借鑒MTD(Moving Target Defense)思想提出了一種主動(dòng)防御蠕蟲(chóng)繁殖攻擊的方案:即基于OpenFlow-SDN的自適應(yīng)IP地址跳變。該方案根據(jù)網(wǎng)絡(luò)系統(tǒng)本身的狀態(tài)來(lái)動(dòng)態(tài)改變IP地址跳變頻率,并使得在對(duì)攻擊進(jìn)行防御的同時(shí),能平衡好網(wǎng)絡(luò)的性能。仿真結(jié)果表明,該方法能夠有效地防御蠕蟲(chóng)繁殖,同時(shí)兼顧了系統(tǒng)的性能;2.針對(duì)OpenFlow-SDN網(wǎng)絡(luò)架構(gòu)由于其本身設(shè)計(jì)部署的不合理性所引發(fā)的諸如掃描攻擊等安全隱患的問(wèn)題,論文提出了 OpenFlow-SDN網(wǎng)絡(luò)架構(gòu)中端到端的時(shí)延性能分析模型。在對(duì)控制器與交換機(jī)分別建模的基礎(chǔ)上,對(duì)控制器與交換機(jī)之間的交互行為進(jìn)行了建模方法研究,應(yīng)用網(wǎng)絡(luò)演算理論、以端到端時(shí)延指標(biāo)為例,對(duì)模型進(jìn)行了設(shè)計(jì)與分析。實(shí)驗(yàn)結(jié)果表明,該方法可以快速得到端到端最差的時(shí)延界限,從而為網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)人員提供了一種參考方法,避免由于網(wǎng)絡(luò)本身設(shè)計(jì)部署的不合理性引入新的安全威脅;3.針對(duì)OpenFlow-SDN網(wǎng)絡(luò)架構(gòu)本身容易招致泛洪攻擊的問(wèn)題,論文設(shè)計(jì)了通過(guò)共享OpenFlow-SDN網(wǎng)絡(luò)中空閑緩存來(lái)抵御泛洪攻擊的PBUF算法。在泛洪攻擊發(fā)生時(shí),PBUF將失匹配包暫時(shí)轉(zhuǎn)發(fā)至仍有空閑緩存的交換機(jī)上,隨后交換機(jī)再以緩慢的速率將失匹配包傳至控制器進(jìn)行處理。實(shí)驗(yàn)結(jié)果表明,PBUF算法通過(guò)OpenFlow-SDN網(wǎng)絡(luò)中空閑緩存交換機(jī)間的協(xié)作,有效緩解交換機(jī)緩存溢出導(dǎo)致的安全問(wèn)題,同時(shí)防止控制器由于數(shù)據(jù)量過(guò)大而發(fā)生過(guò)載的安全問(wèn)題。論文的研究主要依托國(guó)家973項(xiàng)目“可重構(gòu)信息通信基礎(chǔ)網(wǎng)絡(luò)體系結(jié)構(gòu)”、863項(xiàng)目“支持資源彈性調(diào)度的軟件定義網(wǎng)絡(luò)(SDN)關(guān)鍵技術(shù)研究與設(shè)備研制”、國(guó)家重點(diǎn)研發(fā)計(jì)劃重點(diǎn)項(xiàng)目“網(wǎng)絡(luò)空間擬態(tài)防御技術(shù)機(jī)制研究”。本文基于以上三個(gè)關(guān)鍵內(nèi)容進(jìn)行研究所取得的一些初步成果,為后續(xù)其他OpenFlow-SDN網(wǎng)絡(luò)安全問(wèn)題的進(jìn)一步研究夯實(shí)了基礎(chǔ)、提供了新的方法與參考。
【學(xué)位授予單位】：浙江大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位授予年份】：2018
【分類號(hào)】：TP393.08
【圖文】：

基于傳統(tǒng)網(wǎng)絡(luò)體系架構(gòu)設(shè)計(jì)的缺陷，斯坦福大學(xué)的Ｍｃｋｅｏｗｎ在２００６年提出一種控逡逑制平面與數(shù)據(jù)平面解耦的網(wǎng)絡(luò)體系架構(gòu)：ＳＤＮ邋（Ｓｏｆｔｗａｒｅ邋ＤｅｆｉｎｅｄＮｅｔｗｏｒｋ）ｍ。ＳＤＮ的出逡逑現(xiàn)給改變現(xiàn)今傳統(tǒng)網(wǎng)絡(luò)體系架構(gòu)的窘境帶來(lái)一絲希望。圖１．２展示了邋ＳＤＮ的網(wǎng)絡(luò)架構(gòu)。從逡逑本質(zhì)上來(lái)看，它將網(wǎng)絡(luò)設(shè)備的控制平面與轉(zhuǎn)發(fā)平面相分離，并且在兩層之間提供一些開(kāi)逡逑放的標(biāo)準(zhǔn)接口用于交互。由于控制平面和數(shù)據(jù)平面可以通過(guò)許多標(biāo)準(zhǔn)協(xié)議進(jìn)行通信，控逡逑制平面通過(guò)南向接口向數(shù)據(jù)平面下發(fā)規(guī)則，而數(shù)據(jù)平面只需要按照收到的規(guī)則執(zhí)行對(duì)相逡逑關(guān)數(shù)據(jù)進(jìn)行操作即可，這樣就在邏輯上實(shí)現(xiàn)了控制平面的集中控制，并實(shí)現(xiàn)網(wǎng)絡(luò)資源的逡逑靈活調(diào)度和網(wǎng)絡(luò)能力的按需調(diào)用。在傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中，某個(gè)網(wǎng)}a設(shè)備的某一個(gè)平面的升逡逑級(jí)和更新都需要考慮到整個(gè)網(wǎng)絡(luò)設(shè)備的升級(jí)和更新。但ＳＤＮ架構(gòu)將控制平面和數(shù)據(jù)平面逡逑的相分離，其軟件的分發(fā)模式改變，任意一個(gè)平面都可以相互獨(dú)立進(jìn)行升級(jí)和更新。兩逡逑者相較，ＳＤＮ網(wǎng)絡(luò)架構(gòu)使網(wǎng)絡(luò)管理變得更為靈活簡(jiǎn)便。舉例來(lái)說(shuō)，如需在ＳＤＮ架構(gòu)的數(shù)逡逑３逡逑

邐ｉｆ邐；邐執(zhí)行數(shù)據(jù)的轉(zhuǎn)發(fā)逡逑圖１．１傳統(tǒng)網(wǎng)絡(luò)體系架構(gòu)逡逑由此可見(jiàn)，傳統(tǒng)的網(wǎng)絡(luò)體系架構(gòu)并不能很好地滿足現(xiàn)今的新興網(wǎng)絡(luò)需求，而且這種逡逑控制平面和數(shù)據(jù)平面相}伓ǖ姆槳副舊淼母叢有圓喚齟炊鍆獾腦宋�，倚Q拗屏送義下緄牧榛钚院涂衫┱剮�。因此亟需一种细粒度、繗⑧倡H⒘榛疃拇蔥碌耐縑逑導(dǎo)苠義瞎�，以窗b舊轄餼霾⑶衣閼廡┬灤說(shuō)耐縲棖�。辶x希保保保殘灤屯縑逑導(dǎo)芄瑰義匣詿懲縑逑導(dǎo)芄股杓頻娜畢藎固垢４笱У模停悖耄澹錚鰨鈐冢玻埃埃賭晏岢鲆恢摯劐義現(xiàn)破矯嬗?xùn)V萜矯娼怦畹耐縑逑導(dǎo)芄梗海櫻模五澹ǎ櫻錚媯簦鰨幔潁邋澹模澹媯椋睿澹洌危澹簦鰨錚潁耄懟＃櫻模蔚某鰣義舷指謀湎紙翊懲縑逑導(dǎo)芄溝木驕炒匆凰肯Ｍ�。哇E保艙故玖隋澹櫻模蔚耐緙芄�。从辶x媳局噬俠純�，它将网驴c璞傅目刂破矯嬗胱⑵矯嫦嚳擲�，并且哉屩v闃涮峁┮恍┛義戲諾謀曜冀涌謨糜誚換�。由诱N刂破矯婧褪萜矯嬋梢醞ü磯啾曜夾榻型ㄐ牛劐義現(xiàn)破矯嬙ü舷蚪涌諳蚴萜矯嫦路⒐嬖潁萜矯嬤恍枰湊帳盞降墓嬖蛑蔥卸韻噱義瞎厥萁脅僮骷純

本文編號(hào)：2779720