软件定义网络多粒度安全架构研究及实现
Research and Implementation of Multi-granularity Security Architecture of Software-Defined Networking
软件定义网络(Software Defined Networking,SDN)将网络的控制功能从基础转发设备中分离出来,以软件定义的方式对网络进行管控.在传统网络结构显现出诸多不足的情况下,SDN为未来网络的发展提供了新的思路.而由于彻底的架构改变,带来优势的同时也带来的新的安全问题.同时在较大规模的SDN网络中,域间的通信也是实现SDN大范围应用的研究热点.而在SDN多域网络中,控制平面之间的远距离使得控制器间无法直接通信,域间的信息交换也存在安全隐患.如果想要将SDN管理集中、配置灵活等优势发挥出来,将SDN大范围应用,那么安全问题是不可回避的重点.本文的工作主要包含两部分:第一,分析了基于OpenFlow协议的SDN的安全问题,包括控制器中南向和北向的安全威胁、流表安全问题和可靠性问题,设计了多粒度安全控制器架构.该架构分为基础控制模块和多粒度安全定制模块.基础控制模块遵循SDN架构要求实现基本功能,而多粒度安全定制模块实现在控制器中可自定义的安全功能.多粒度的安全管理基于粒计算思想,将安全服务划分,为网络管理者灵活的提供基于需求的安全服务.安全控制器对网络流量进行检测和过滤,并将流表进行统一管理,同时为北向接口提供保护,以此对SDN网络提供域内安全防护.第二,研究了针对大规模多域SDN网络的域间通信方式,提出了一种以边界交换机作为域间代理的分布式控制器安全通信机制,实现了通信机制的原型.在该机制中,控制器采用专用数据包将消息下发安全隧道传输,并基于域间代理和数字证书完成两步认证.其中域间代理认证方案以挑战响应的方式对针对控制器的攻击进行防御,控制器的合法身份可以通过数字证书完成验证.通过实验测试表明,安全控制器架构能够成为有效的提高SDN安全性,对网络传输性能的影响也较低.分布式控制器安全通信机制也能够提供域间控制器的可信认证和信息的安全交互.
- 作者:
- 付强
- 学位授予单位:
- 重庆邮电大学
- 专业名称:
- 计算机技术
- 授予学位:
- 硕士
- 学位年度:
- 2016年
- 导师姓名:
- 尚凤军
- 中图分类号:
- TP393.0
- 关键词:
- 软件定义网络;安全架构;身份认证;安全通信
- Software Defined Network; security architecture; identity authentication; secure communication;