本文關鍵詞：軟件定義網(wǎng)絡多粒度安全架構(gòu)研究及實現(xiàn)

  更多相關文章： 軟件定義網(wǎng)絡 安全架構(gòu) 身份認證 安全通信

【摘要】：軟件定義網(wǎng)絡(Software Defined Networking,SDN)將網(wǎng)絡的控制功能從基礎轉(zhuǎn)發(fā)設備中分離出來,以軟件定義的方式對網(wǎng)絡進行管控。在傳統(tǒng)網(wǎng)絡結(jié)構(gòu)顯現(xiàn)出諸多不足的情況下,SDN為未來網(wǎng)絡的發(fā)展提供了新的思路。而由于徹底的架構(gòu)改變,帶來優(yōu)勢的同時也帶來的新的安全問題。同時在較大規(guī)模的SDN網(wǎng)絡中,域間的通信也是實現(xiàn)SDN大范圍應用的研究熱點。而在SDN多域網(wǎng)絡中,控制平面之間的遠距離使得控制器間無法直接通信,域間的信息交換也存在安全隱患。如果想要將SDN管理集中、配置靈活等優(yōu)勢發(fā)揮出來,將SDN大范圍應用,那么安全問題是不可回避的重點。本文的工作主要包含兩部分:第一,分析了基于OpenFlow協(xié)議的SDN的安全問題,包括控制器中南向和北向的安全威脅、流表安全問題和可靠性問題,設計了多粒度安全控制器架構(gòu)。該架構(gòu)分為基礎控制模塊和多粒度安全定制模塊�；A控制模塊遵循SDN架構(gòu)要求實現(xiàn)基本功能,而多粒度安全定制模塊實現(xiàn)在控制器中可自定義的安全功能。多粒度的安全管理基于粒計算思想,將安全服務劃分,為網(wǎng)絡管理者靈活的提供基于需求的安全服務。安全控制器對網(wǎng)絡流量進行檢測和過濾,并將流表進行統(tǒng)一管理,同時為北向接口提供保護,以此對SDN網(wǎng)絡提供域內(nèi)安全防護。第二,研究了針對大規(guī)模多域SDN網(wǎng)絡的域間通信方式,提出了一種以邊界交換機作為域間代理的分布式控制器安全通信機制,實現(xiàn)了通信機制的原型。在該機制中,控制器采用專用數(shù)據(jù)包將消息下發(fā)安全隧道傳輸,并基于域間代理和數(shù)字證書完成兩步認證。其中域間代理認證方案以挑戰(zhàn)響應的方式對針對控制器的攻擊進行防御,控制器的合法身份可以通過數(shù)字證書完成驗證。通過實驗測試表明,安全控制器架構(gòu)能夠成為有效的提高SDN安全性,對網(wǎng)絡傳輸性能的影響也較低。分布式控制器安全通信機制也能夠提供域間控制器的可信認證和信息的安全交互。
【關鍵詞】：軟件定義網(wǎng)絡 安全架構(gòu) 身份認證 安全通信
【學位授予單位】：重慶郵電大學
【學位級別】：碩士
【學位授予年份】：2016
【分類號】：TP393.0
【目錄】：

• 摘要3-4
• Abstract4-9
• 第1章 引言9-15
• 1.1 研究背景9-10
• 1.2 研究現(xiàn)狀10-13
• 1.2.1 域內(nèi)安全10-11
• 1.2.2 域間互聯(lián)11-13
• 1.3 主要研究工作13-14
• 1.4 論文組織結(jié)構(gòu)14-15
• 第2章 相關技術介紹15-24
• 2.1 SDN體系結(jié)構(gòu)15-17
• 2.2 Open Flow協(xié)議17-21
• 2.2.1 Open Flow體系結(jié)構(gòu)17-19
• 2.2.2 Open Flow消息類型19-21
• 2.3 SDN安全技術21-23
• 2.3.1 域內(nèi)安全技術21-22
• 2.3.2 域間安全技術22-23
• 2.4 本章小結(jié)23-24
• 第3章 多粒度安全控制器架構(gòu)24-42
• 3.1 安全問題分析24-26
• 3.1.1 控制器安全問題24-25
• 3.1.2 流表安全問題25-26
• 3.1.3 應用安全問題26
• 3.1.4 南向接口安全問題26
• 3.2 控制器架構(gòu)設計26-32
• 3.2.1 安全方案26-28
• 3.2.2 整體架構(gòu)28-29
• 3.2.3 模塊設計29-30
• 3.2.4 運行機制30-32
• 3.3 多粒度安全服務32-36
• 3.3.1 粒計算理論32-33
• 3.3.2 安全服務�；�33-35
• 3.3.3 多粒度安全管理模型35-36
• 3.4 實驗和測試36-41
• 3.4.1 測試環(huán)境36-39
• 3.4.2 攻擊測試39-40
• 3.4.3 性能測試40-41
• 3.5 本章小結(jié)41-42
• 第4章 分布式控制器安全通信42-65
• 4.1 控制平面互聯(lián)分析42-45
• 4.1.1 互聯(lián)需求42
• 4.1.2 互聯(lián)機制42-44
• 4.1.3 問題分析44-45
• 4.2 安全通信架構(gòu)45-48
• 4.2.1 基本通信架構(gòu)45-46
• 4.2.2 增強的安全控制器46-48
• 4.2.3 域間代理48
• 4.3 安全通信機制48-53
• 4.3.1 消息格式48-49
• 4.3.2 鄰居發(fā)現(xiàn)49-50
• 4.3.3 兩步認證50-52
• 4.3.4 隧道建立52-53
• 4.4 安全性分析53-56
• 4.4.1 認證安全性53-56
• 4.4.2 消息安全性56
• 4.5 實現(xiàn)和測試56-64
• 4.5.1 功能設計56-61
• 4.5.2 運行測試61-64
• 4.6 本章小結(jié)64-65
• 第5章 總結(jié)和展望65-66
• 參考文獻66-70
• 致謝70-71
• 攻讀碩士學位期間從事的科研工作及取得的成果71

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前5條

1 王鵑;王江;焦虹陽;王勇;陳詩雅;劉世輝;胡宏新;;一種基于OpenFlow的SDN訪問控制策略實時沖突檢測與解決方法[J];計算機學報;2015年04期

2 裘曉峰;趙糧;高騰;;VSA和SDS:兩種SDN網(wǎng)絡安全架構(gòu)的研究[J];小型微型計算機系統(tǒng);2013年10期

3 黎松;諸葛建偉;李星;;BGP安全研究[J];軟件學報;2013年01期

4 王國胤;張清華;胡軍;;粒計算研究綜述[J];智能系統(tǒng)學報;2007年06期

5 卿斯?jié)h ,蔣建春 ,馬恒太 ,文偉平 ,劉雪飛;入侵檢測技術研究綜述[J];通信學報;2004年07期

，

本文編號：954721