軟件定義網(wǎng)絡(luò)作為一種新型的網(wǎng)絡(luò)架構(gòu),其核心思想是將傳統(tǒng)網(wǎng)絡(luò)分成控制平面和數(shù)據(jù)平面,優(yōu)化傳統(tǒng)網(wǎng)絡(luò)架構(gòu),提高網(wǎng)絡(luò)的運(yùn)維和管理的效率。但是新型的網(wǎng)絡(luò)架構(gòu)在帶來(lái)便利的同時(shí),在安全方面也同樣帶來(lái)了新的挑戰(zhàn)。尤其是將網(wǎng)絡(luò)的控制權(quán)限高度集中到控制平面后,控制平面擁有調(diào)度和管理數(shù)據(jù)平面的能力。其通過(guò)南向通信與數(shù)據(jù)平面的物理轉(zhuǎn)發(fā)設(shè)備進(jìn)行交互,通過(guò)下發(fā)流表來(lái)控制網(wǎng)絡(luò)中數(shù)據(jù)流量的走向,流表便成為了新型網(wǎng)絡(luò)架構(gòu)中最重要的敏感數(shù)據(jù),也是攻擊者關(guān)注的焦點(diǎn)。但目前對(duì)于流表的安全保護(hù)的并沒(méi)有引起業(yè)界足夠的重視,甚至被很多網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商直接忽略。本文通過(guò)研究流表在軟件定義網(wǎng)絡(luò)中流轉(zhuǎn)的每一個(gè)環(huán)節(jié)中的安全威脅,包括從在OpenFlow控制器中產(chǎn)生到在南向通信信道中傳輸再到OpenFlow交換機(jī)中使用,提出了一套流表數(shù)據(jù)保護(hù)方案。該方案不僅安全強(qiáng)度較現(xiàn)有方案有一定的提升,而且軟件兼容性好、運(yùn)行效率高。首先,本文借鑒Kerberos認(rèn)證思想,提出了在通信數(shù)據(jù)源頭處進(jìn)行加密的防護(hù)方案。此方案不僅在不安全信道上完成了通信雙方的身份認(rèn)證和會(huì)話密鑰分配,而且使用高效的AES對(duì)稱加密算法,確保消息在到達(dá)終點(diǎn)前一直以密文的形式存在,實(shí)現(xiàn)了對(duì)通信數(shù)據(jù)端到端的安全防護(hù)。最后,用轉(zhuǎn)發(fā)代理的形式對(duì)此方案進(jìn)行了實(shí)現(xiàn),并用CBench測(cè)試工具對(duì)Floodlight控制器進(jìn)行性能測(cè)試。結(jié)果表明,本文提出的源加密方案不僅能夠?qū)νㄐ艛?shù)據(jù)進(jìn)行端到端加密,而且相對(duì)于單獨(dú)啟用TLS增加控制器約8%的響應(yīng)延時(shí),源加密部分僅增加約4%。其次,由于OpenFlow交換機(jī)中流表數(shù)據(jù)需要進(jìn)行高速頻繁查詢操作,流表數(shù)據(jù)都以明文的方式保存在交換機(jī)的內(nèi)存中。本文針對(duì)可能的攻擊手段,提出了一種流表數(shù)據(jù)防篡改的方案。該方案基于Open vSwitch的開(kāi)源實(shí)現(xiàn),修改其部分代碼并配合自己開(kāi)發(fā)的外置程序,將方案進(jìn)行了工程開(kāi)發(fā)。實(shí)現(xiàn)了流表的下發(fā)記錄審計(jì)和防篡改功能。最后,本文研究并實(shí)現(xiàn)了一套SDN流表保護(hù)原型系統(tǒng),開(kāi)發(fā)了身份認(rèn)證和密鑰分發(fā)模塊、流表的源加密轉(zhuǎn)發(fā)模塊、流表的防篡改模塊和一套完整的狀態(tài)顯示和操作調(diào)度的用戶界面。在完成對(duì)流表信息保護(hù)的功能外,簡(jiǎn)化管理員的操作過(guò)程,提高了工作效率。
【學(xué)位單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位年份】：2019
【中圖分類】：TP393.0
【部分圖文】：

啟用ＴＬＳ將成為嚴(yán)重的安全隱患。因?yàn)槲覀儫o(wú)法保證ＳＤＮ控制器與交換機(jī)之間??的通信路徑中所有的通信設(shè)備都是安全可信的，攻擊者可以通過(guò)會(huì)話劫持、ＤＮＳ??欺騙、端口鏡像等方式發(fā)起中間人攻擊。如圖１－１所示，攻擊者可以竊聽(tīng)、攔截、??篡改通信數(shù)據(jù)，比如冒充控制器向交換機(jī)發(fā)送ＦＬＯＷ＿ＭＯＤ消息，篡改交換機(jī)中??的流表來(lái)控制交換機(jī)中數(shù)據(jù)流向，甚至直接使整個(gè)網(wǎng)絡(luò)癱瘓。而且這種攻擊在交??換機(jī)和控制器看來(lái)與正常的傳輸沒(méi)有任何差異，很難被察覺(jué)。在［８］中這種攻擊己??經(jīng)被實(shí)踐驗(yàn)證是可行的。??２??

圖２－１軟件定義網(wǎng)絡(luò)的三層架構(gòu)圖??軟件定義網(wǎng)絡(luò)是一種創(chuàng)新性的網(wǎng)絡(luò)架構(gòu)，其架構(gòu)主要分為三層：應(yīng)用層、控??制層和物理設(shè)備層［２５］，如圖２－１所示。其中應(yīng)用層包括了各種各樣的業(yè)務(wù)和應(yīng)??用；控制層包括了各種各樣的ＳＤＮ控制應(yīng)用，他們負(fù)責(zé)處理數(shù)據(jù)平面的資源調(diào)??度和使用、維護(hù)ＳＤＮ網(wǎng)絡(luò)狀態(tài)信息等；基礎(chǔ)設(shè)施層是真正處理網(wǎng)絡(luò)數(shù)據(jù)的一層，??在這一層的各種ＳＤＮ網(wǎng)絡(luò)設(shè)備根據(jù)流表對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行處理、轉(zhuǎn)發(fā)和狀態(tài)收??集。應(yīng)用層與控制層之間實(shí)現(xiàn)了北向接口，通過(guò)調(diào)用這些ＡＰＩ接口，應(yīng)用層中的??各種業(yè)務(wù)應(yīng)用可以實(shí)現(xiàn)與ＳＤＮ控制軟件交互。而控制層和基礎(chǔ)設(shè)施層之間實(shí)現(xiàn)??７??

ＯｐｅｎＦｌｏｗ是目前實(shí)現(xiàn)軟件定義網(wǎng)絡(luò)的最典型的方式，它實(shí)現(xiàn)了控制與傳輸??分離的特點(diǎn)［２６］。其架構(gòu)分為三個(gè)部分：控制器、交換機(jī)和協(xié)議［２７］。它的架構(gòu)圖??如圖２－２所示．？??數(shù)據(jù)平面??Ｍ?ＯｐｅｎＦｌｏｊｖ?交換＾／?Ｔ?：：．：－??％?．?！?＼?Ｉ?—??］?ＯｐｅｎＦｌｏ［ｖ交換機(jī)丨?Ｉ??控制平面丨?丨?ｉ?ｖ?＇?■?－?ｆ?＇??，?Ｉ?；?ｉ??Ｉ?ＯｐｅｎＨｏｗ協(xié)議丨?＞＾４＇?｜?…??ＯｐｅｎＦＩｏｗ控制器??圖２－２?ＯｐｅｎＦＩｏｗ架構(gòu)圖??隨著ＯｐｅｎＦＩｏｗ不斷地被從業(yè)人員接受，渴望ＯｐｅｎＦＩｏｗ標(biāo)準(zhǔn)化的呼聲也越??來(lái)越高，開(kāi)放網(wǎng)絡(luò)基金會(huì)（ＯｐｅｎＮｅｔｗｏｒｋｉｎｇＦｏｕｎｄａｔｉｏｎ，簡(jiǎn)稱ＯＮＦ）成立。在開(kāi)??放網(wǎng)絡(luò)基金會(huì)的努力下，南向ＯｐｅｎＦＩｏｗ協(xié)議的功能不斷完善。??ＯｐｅｎＦＩｏｗ交換機(jī)通過(guò)南向通信信道與ＯｐｅｎＦＩｏｗ控制器通信，采用??ＯｐｅｎＦＩｏｗ協(xié)議，為控制器管理調(diào)度ＳＤＮ網(wǎng)絡(luò)資源傳送消息。ＯｐｅｎＨｏｗ是基于??軟件定義網(wǎng)絡(luò)的數(shù)據(jù)控制和轉(zhuǎn)發(fā)分離的思想而設(shè)計(jì)的，ＯｐｅｎＦＩｏｗ交換機(jī)本身沒(méi)??有控制功能
【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 王錚;曾薩;安金肖;黃菁茹;;歐盟《一般數(shù)據(jù)保護(hù)條例》指導(dǎo)下的數(shù)據(jù)保護(hù)官制度解析與啟示[J];圖書(shū)與情報(bào);2018年05期

2 石賢澤;;英國(guó)脫歐與英歐數(shù)據(jù)保護(hù)關(guān)系的新構(gòu)建[J];歐洲研究;2019年02期

3 王融;余春芳;;2018年數(shù)據(jù)保護(hù)政策年度觀察:政策全景[J];信息安全與通信保密;2019年04期

4 何波;;英國(guó)新數(shù)據(jù)保護(hù)法案介紹與評(píng)析[J];中國(guó)電信業(yè);2017年11期

5 劉卓軍;;數(shù)據(jù)保護(hù)的重要意義[J];中關(guān)村;2018年04期

6 何波;;英國(guó)個(gè)人數(shù)據(jù)保護(hù)立法改革進(jìn)展及分析[J];通信管理與技術(shù);2018年02期

7 吳沈括;霍文新;;歐盟個(gè)人數(shù)據(jù)保護(hù)新發(fā)展:愛(ài)爾蘭《2018數(shù)據(jù)保護(hù)法案》初讀[J];華北水利水電大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版);2018年03期

8 劉正偉;;德國(guó)等歐洲國(guó)家安全生產(chǎn)大數(shù)據(jù)應(yīng)用與數(shù)據(jù)保護(hù)[J];勞動(dòng)保護(hù);2017年01期

9 姚雪芳;丁錦希;任宏業(yè);;美國(guó)生物制品數(shù)據(jù)保護(hù)制度的立法演變與成因分析[J];中國(guó)藥房;2017年10期

10 都婧;;各國(guó)數(shù)據(jù)保護(hù)政策比較研究[J];中國(guó)信息安全;2017年05期

相關(guān)博士學(xué)位論文 前5條

1 李旭;系統(tǒng)級(jí)數(shù)據(jù)保護(hù)技術(shù)研究[D];華中科技大學(xué);2008年

2 顧瑜;云計(jì)算環(huán)境下數(shù)據(jù)保護(hù)關(guān)鍵技術(shù)研究[D];清華大學(xué);2014年

3 伍江江;面向服務(wù)應(yīng)急響應(yīng)的數(shù)據(jù)保護(hù)關(guān)鍵技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2012年

4 李磊;基于RRNS和均衡的深亞微米VLSI中的數(shù)據(jù)保護(hù)技術(shù)研究[D];電子科技大學(xué);2010年

5 楊靖;基于數(shù)據(jù)塊的數(shù)據(jù)保護(hù)技術(shù)研究[D];華中科技大學(xué);2013年

相關(guān)碩士學(xué)位論文 前10條

1 王巖磊;SDN流表數(shù)據(jù)保護(hù)方案的研究與實(shí)現(xiàn)[D];北京郵電大學(xué);2019年

2 李智敏;論被遺忘權(quán)的引入及其實(shí)施[D];廈門(mén)大學(xué);2018年

3 蔡博斐;被遺忘權(quán)本土化的法律構(gòu)建[D];福建師范大學(xué);2017年

4 愛(ài)斯瑪;建立中國(guó)數(shù)據(jù)保護(hù)法[D];北京郵電大學(xué);2018年

5 王昕;我國(guó)個(gè)人數(shù)據(jù)保護(hù)立法問(wèn)題初探[D];山東大學(xué);2018年

6 熊成娟;德國(guó)及歐盟數(shù)據(jù)保護(hù)法中的事先同意規(guī)則在社交網(wǎng)絡(luò)中的適用[D];南京大學(xué);2016年

7 關(guān)偉明;歐美個(gè)人數(shù)據(jù)保護(hù)制度及對(duì)我國(guó)的啟示[D];廣西大學(xué);2014年

8 諸葛明;中國(guó)藥品數(shù)據(jù)保護(hù)的研究[D];中國(guó)社會(huì)科學(xué)院研究生院;2012年

9 康晉穎;論英國(guó)個(gè)人數(shù)據(jù)保護(hù)制度[D];對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué);2005年

10 劉敏敏;歐盟《個(gè)人數(shù)據(jù)保護(hù)指令》的改革及啟示[D];西南政法大學(xué);2014年

本文編號(hào)：2873995