軟件定義網(wǎng)絡(luò)作為一種新型的網(wǎng)絡(luò)架構(gòu),其核心思想是將傳統(tǒng)網(wǎng)絡(luò)分成控制平面和數(shù)據(jù)平面,優(yōu)化傳統(tǒng)網(wǎng)絡(luò)架構(gòu),提高網(wǎng)絡(luò)的運(yùn)維和管理的效率。但是新型的網(wǎng)絡(luò)架構(gòu)在帶來便利的同時,在安全方面也同樣帶來了新的挑戰(zhàn)。尤其是將網(wǎng)絡(luò)的控制權(quán)限高度集中到控制平面后,控制平面擁有調(diào)度和管理數(shù)據(jù)平面的能力。其通過南向通信與數(shù)據(jù)平面的物理轉(zhuǎn)發(fā)設(shè)備進(jìn)行交互,通過下發(fā)流表來控制網(wǎng)絡(luò)中數(shù)據(jù)流量的走向,流表便成為了新型網(wǎng)絡(luò)架構(gòu)中最重要的敏感數(shù)據(jù),也是攻擊者關(guān)注的焦點。但目前對于流表的安全保護(hù)的并沒有引起業(yè)界足夠的重視,甚至被很多網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商直接忽略。本文通過研究流表在軟件定義網(wǎng)絡(luò)中流轉(zhuǎn)的每一個環(huán)節(jié)中的安全威脅,包括從在OpenFlow控制器中產(chǎn)生到在南向通信信道中傳輸再到OpenFlow交換機(jī)中使用,提出了一套流表數(shù)據(jù)保護(hù)方案。該方案不僅安全強(qiáng)度較現(xiàn)有方案有一定的提升,而且軟件兼容性好、運(yùn)行效率高。首先,本文借鑒Kerberos認(rèn)證思想,提出了在通信數(shù)據(jù)源頭處進(jìn)行加密的防護(hù)方案。此方案不僅在不安全信道上完成了通信雙方的身份認(rèn)證和會話密鑰分配,而且使用高效的AES對稱加密算法,確保消息在到達(dá)終點前一直以密文的形式存在,實現(xiàn)了對通信數(shù)據(jù)端到端的安全防護(hù)。最后,用轉(zhuǎn)發(fā)代理的形式對此方案進(jìn)行了實現(xiàn),并用CBench測試工具對Floodlight控制器進(jìn)行性能測試。結(jié)果表明,本文提出的源加密方案不僅能夠?qū)νㄐ艛?shù)據(jù)進(jìn)行端到端加密,而且相對于單獨啟用TLS增加控制器約8%的響應(yīng)延時,源加密部分僅增加約4%。其次,由于OpenFlow交換機(jī)中流表數(shù)據(jù)需要進(jìn)行高速頻繁查詢操作,流表數(shù)據(jù)都以明文的方式保存在交換機(jī)的內(nèi)存中。本文針對可能的攻擊手段,提出了一種流表數(shù)據(jù)防篡改的方案。該方案基于Open vSwitch的開源實現(xiàn),修改其部分代碼并配合自己開發(fā)的外置程序,將方案進(jìn)行了工程開發(fā)。實現(xiàn)了流表的下發(fā)記錄審計和防篡改功能。最后,本文研究并實現(xiàn)了一套SDN流表保護(hù)原型系統(tǒng),開發(fā)了身份認(rèn)證和密鑰分發(fā)模塊、流表的源加密轉(zhuǎn)發(fā)模塊、流表的防篡改模塊和一套完整的狀態(tài)顯示和操作調(diào)度的用戶界面。在完成對流表信息保護(hù)的功能外,簡化管理員的操作過程,提高了工作效率。
【學(xué)位單位】：北京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位年份】：2019
【中圖分類】：TP393.0
【部分圖文】：

啟用ＴＬＳ將成為嚴(yán)重的安全隱患。因為我們無法保證ＳＤＮ控制器與交換機(jī)之間??的通信路徑中所有的通信設(shè)備都是安全可信的，攻擊者可以通過會話劫持、ＤＮＳ??欺騙、端口鏡像等方式發(fā)起中間人攻擊。如圖１－１所示，攻擊者可以竊聽、攔截、??篡改通信數(shù)據(jù)，比如冒充控制器向交換機(jī)發(fā)送ＦＬＯＷ＿ＭＯＤ消息，篡改交換機(jī)中??的流表來控制交換機(jī)中數(shù)據(jù)流向，甚至直接使整個網(wǎng)絡(luò)癱瘓。而且這種攻擊在交??換機(jī)和控制器看來與正常的傳輸沒有任何差異，很難被察覺。在［８］中這種攻擊己??經(jīng)被實踐驗證是可行的。??２??

圖２－１軟件定義網(wǎng)絡(luò)的三層架構(gòu)圖??軟件定義網(wǎng)絡(luò)是一種創(chuàng)新性的網(wǎng)絡(luò)架構(gòu)，其架構(gòu)主要分為三層：應(yīng)用層、控??制層和物理設(shè)備層［２５］，如圖２－１所示。其中應(yīng)用層包括了各種各樣的業(yè)務(wù)和應(yīng)??用；控制層包括了各種各樣的ＳＤＮ控制應(yīng)用，他們負(fù)責(zé)處理數(shù)據(jù)平面的資源調(diào)??度和使用、維護(hù)ＳＤＮ網(wǎng)絡(luò)狀態(tài)信息等；基礎(chǔ)設(shè)施層是真正處理網(wǎng)絡(luò)數(shù)據(jù)的一層，??在這一層的各種ＳＤＮ網(wǎng)絡(luò)設(shè)備根據(jù)流表對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行處理、轉(zhuǎn)發(fā)和狀態(tài)收??集。應(yīng)用層與控制層之間實現(xiàn)了北向接口，通過調(diào)用這些ＡＰＩ接口，應(yīng)用層中的??各種業(yè)務(wù)應(yīng)用可以實現(xiàn)與ＳＤＮ控制軟件交互。而控制層和基礎(chǔ)設(shè)施層之間實現(xiàn)??７??

ＯｐｅｎＦｌｏｗ是目前實現(xiàn)軟件定義網(wǎng)絡(luò)的最典型的方式，它實現(xiàn)了控制與傳輸??分離的特點［２６］。其架構(gòu)分為三個部分：控制器、交換機(jī)和協(xié)議［２７］。它的架構(gòu)圖??如圖２－２所示．？??數(shù)據(jù)平面??Ｍ?ＯｐｅｎＦｌｏｊｖ?交換＾／?Ｔ?：：．：－??％?．?！?＼?Ｉ?—??］?ＯｐｅｎＦｌｏ［ｖ交換機(jī)丨?Ｉ??控制平面丨?丨?ｉ?ｖ?＇?■?－?ｆ?＇??，?Ｉ?；?ｉ??Ｉ?ＯｐｅｎＨｏｗ協(xié)議丨?＞＾４＇?｜?…??ＯｐｅｎＦＩｏｗ控制器??圖２－２?ＯｐｅｎＦＩｏｗ架構(gòu)圖??隨著ＯｐｅｎＦＩｏｗ不斷地被從業(yè)人員接受，渴望ＯｐｅｎＦＩｏｗ標(biāo)準(zhǔn)化的呼聲也越??來越高，開放網(wǎng)絡(luò)基金會（ＯｐｅｎＮｅｔｗｏｒｋｉｎｇＦｏｕｎｄａｔｉｏｎ，簡稱ＯＮＦ）成立。在開??放網(wǎng)絡(luò)基金會的努力下，南向ＯｐｅｎＦＩｏｗ協(xié)議的功能不斷完善。??ＯｐｅｎＦＩｏｗ交換機(jī)通過南向通信信道與ＯｐｅｎＦＩｏｗ控制器通信，采用??ＯｐｅｎＦＩｏｗ協(xié)議，為控制器管理調(diào)度ＳＤＮ網(wǎng)絡(luò)資源傳送消息。ＯｐｅｎＨｏｗ是基于??軟件定義網(wǎng)絡(luò)的數(shù)據(jù)控制和轉(zhuǎn)發(fā)分離的思想而設(shè)計的，ＯｐｅｎＦＩｏｗ交換機(jī)本身沒??有控制功能
【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 王錚;曾薩;安金肖;黃菁茹;;歐盟《一般數(shù)據(jù)保護(hù)條例》指導(dǎo)下的數(shù)據(jù)保護(hù)官制度解析與啟示[J];圖書與情報;2018年05期

2 石賢澤;;英國脫歐與英歐數(shù)據(jù)保護(hù)關(guān)系的新構(gòu)建[J];歐洲研究;2019年02期

3 王融;余春芳;;2018年數(shù)據(jù)保護(hù)政策年度觀察:政策全景[J];信息安全與通信保密;2019年04期

4 何波;;英國新數(shù)據(jù)保護(hù)法案介紹與評析[J];中國電信業(yè);2017年11期

5 劉卓軍;;數(shù)據(jù)保護(hù)的重要意義[J];中關(guān)村;2018年04期

6 何波;;英國個人數(shù)據(jù)保護(hù)立法改革進(jìn)展及分析[J];通信管理與技術(shù);2018年02期

7 吳沈括;霍文新;;歐盟個人數(shù)據(jù)保護(hù)新發(fā)展:愛爾蘭《2018數(shù)據(jù)保護(hù)法案》初讀[J];華北水利水電大學(xué)學(xué)報(社會科學(xué)版);2018年03期

8 劉正偉;;德國等歐洲國家安全生產(chǎn)大數(shù)據(jù)應(yīng)用與數(shù)據(jù)保護(hù)[J];勞動保護(hù);2017年01期

9 姚雪芳;丁錦希;任宏業(yè);;美國生物制品數(shù)據(jù)保護(hù)制度的立法演變與成因分析[J];中國藥房;2017年10期

10 都婧;;各國數(shù)據(jù)保護(hù)政策比較研究[J];中國信息安全;2017年05期

相關(guān)博士學(xué)位論文 前5條

1 李旭;系統(tǒng)級數(shù)據(jù)保護(hù)技術(shù)研究[D];華中科技大學(xué);2008年

2 顧瑜;云計算環(huán)境下數(shù)據(jù)保護(hù)關(guān)鍵技術(shù)研究[D];清華大學(xué);2014年

3 伍江江;面向服務(wù)應(yīng)急響應(yīng)的數(shù)據(jù)保護(hù)關(guān)鍵技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2012年

4 李磊;基于RRNS和均衡的深亞微米VLSI中的數(shù)據(jù)保護(hù)技術(shù)研究[D];電子科技大學(xué);2010年

5 楊靖;基于數(shù)據(jù)塊的數(shù)據(jù)保護(hù)技術(shù)研究[D];華中科技大學(xué);2013年

相關(guān)碩士學(xué)位論文 前10條

1 王巖磊;SDN流表數(shù)據(jù)保護(hù)方案的研究與實現(xiàn)[D];北京郵電大學(xué);2019年

2 李智敏;論被遺忘權(quán)的引入及其實施[D];廈門大學(xué);2018年

3 蔡博斐;被遺忘權(quán)本土化的法律構(gòu)建[D];福建師范大學(xué);2017年

4 愛斯瑪;建立中國數(shù)據(jù)保護(hù)法[D];北京郵電大學(xué);2018年

5 王昕;我國個人數(shù)據(jù)保護(hù)立法問題初探[D];山東大學(xué);2018年

6 熊成娟;德國及歐盟數(shù)據(jù)保護(hù)法中的事先同意規(guī)則在社交網(wǎng)絡(luò)中的適用[D];南京大學(xué);2016年

7 關(guān)偉明;歐美個人數(shù)據(jù)保護(hù)制度及對我國的啟示[D];廣西大學(xué);2014年

8 諸葛明;中國藥品數(shù)據(jù)保護(hù)的研究[D];中國社會科學(xué)院研究生院;2012年

9 康晉穎;論英國個人數(shù)據(jù)保護(hù)制度[D];對外經(jīng)濟(jì)貿(mào)易大學(xué);2005年

10 劉敏敏;歐盟《個人數(shù)據(jù)保護(hù)指令》的改革及啟示[D];西南政法大學(xué);2014年

本文編號：2873995