基于OpenFlow的SDN網絡安全研究
通過分離網絡的控制與數據平面,SDN網絡(軟件定義網絡)有效增加了網絡的可編程性與靈活性,網絡管理成本降低、新型網絡技術快速部署也由此獲得了可行的解決方案支持。但由于傳統(tǒng)網絡的部署和管理方式因SDN網絡具備的新架構而顛覆,SDN網絡的大規(guī)模、廣泛化應用必須考慮新的安全問題,如軟件部署方式引發(fā)的程序異常、配置引發(fā)的數據平面安全問題。
1 基于OpenFlow的SDN網絡安全分析
1.1 對網絡安全的貢獻
在網絡安全層面,基于OpenFlow的SDN網絡具備兩大優(yōu)勢,即提供實時的流量管理與控制能力、實現智能化網絡自我管理,應用程序存在的動態(tài)性和高帶寬問題解決、管理和操作的復雜程度降低均可由此獲得有力支持。在多種粒度控制管理及全局視圖能力支持下,SDN網絡可更好感知網絡故障與網絡攻擊,并能夠較好為流量清洗、網絡溯源、負載均衡、故障排除提供支持??偟膩碚f,SDN網絡的流量控制能力可提供整個網絡的全局視圖,并能夠獨立網絡的流量控制能力實現集中管理,這使得SDN網絡在邊界流量控制、流量攻擊檢測方面表現優(yōu)秀;網絡控制能力則使得SDN網絡能夠提供更加便捷的審核與監(jiān)管機制,網絡安全問題的及時發(fā)現、分析并且進行及時處理可獲得有力支持。
1.2 自身存在的安全問題
雖然基于OpenFlow的SDN網絡為網絡安全開拓了新的局面,但隨著商業(yè)化探索的廣泛展開,SDN網絡存在的安全問題也逐漸暴露出來。深入分析可以發(fā)現,SDN網絡的網絡安全問題主要出現在應用層、控制層、基礎設施層、南向接口、北向接口,而結合國內外相關研究可以發(fā)現,SDN網絡的數據層、控制層、控制層與數據層之間的接口最為容易受到網絡攻擊。其中數據層面臨的與傳統(tǒng)網絡轉發(fā)設備相同的安全問題,如假冒、非法訪問、DOS攻擊等,控制層安全則很容易受到集中式結構的單點故障影響,南向接口的TLS協(xié)議安全通道加密也很容易引發(fā)安全隱患。此外,受到特殊架構的影響,SDN網絡的控制器非法接入、數據層到控制層的飽和攻擊旺旺會對整個網絡造成較為嚴重的危害。
2 SDN網絡安全威脅攻擊處理策略及安全優(yōu)化路徑
2.1 網絡攻擊威脅快速溯源
為應對外部的惡意攻擊威脅,如SDN網絡面臨的基于OpenFlow交換機數據流的攻擊,這類攻擊一旦出現即可判斷SDN網絡的薄弱環(huán)節(jié)節(jié)點存在防御薄弱問題,這類節(jié)點將因此成為后續(xù)攻擊源。為盡可能降低外部惡意攻擊對SDN網絡造成的威脅,網絡攻擊威脅快速溯源方案的合理選擇需要得到重視,輔以數據流分析法、節(jié)點監(jiān)測,即可較好探尋攻擊源頭,SDN網絡的安全水平也將實現長足提升。
鏈路測試法屬于較為常用的SDN網絡攻擊溯源策略,基于該方法的數據包源頭識別主要采用向前回溯的方式,由此判定數據包是否存在疑似攻擊數據。在全局視圖支持下,基于SDN網絡的攻擊溯源需提取交換機轉發(fā)規(guī)則信息,但考慮到當前應用環(huán)境下SDN網絡面臨的龐大數據量,不斷開展的ID對比會直接影響數據包與轉發(fā)規(guī)則提取的效率,巨量數據帶來的大規(guī)模信息處理使得向前回溯的傳統(tǒng)方式失去了應用價值。為解決傳統(tǒng)方法存在的不足,本文建議采用重新描述節(jié)點場景、重新定義不同節(jié)點特性的方法實現SDN網絡攻擊的快速溯源。SDN網絡的不同節(jié)點存在不同的安全特性,如遭受過威脅的節(jié)點存在防御能力不足問題,因此必須將這類節(jié)點作為重點監(jiān)視對象,即設定為監(jiān)測節(jié)點。而對于造成SDN網絡安全破壞的節(jié)點(出現受攻擊反應),則需要將其設定為疑似攻擊節(jié)點,其余節(jié)點為普通節(jié)點。通過描述節(jié)點場景,監(jiān)測和溯源的節(jié)點范圍可得到進一步控制,快速溯源可獲得充足的時間支持。在快速溯源過程中,需開展網絡飽和攻擊的控制器監(jiān)測,并采用數據流形式將PACKET-IN報文傳送至監(jiān)測點,由此借助算法實現對于交換機的命令,疑似攻擊節(jié)點便能夠通過交換機覆蓋,配合PACKET-IN消息,即可實現攻擊源頭的獲取。
2.2 基于OpenFlow的加密保護
SDN網絡的安全水平優(yōu)化需得到OpenFlow的支持,通過該技術強調的安全通道、流表、協(xié)議,交換機設備的均衡負載功能可較好得以實現。在SDN網絡服務時,網絡防火墻設置需通過交換機需借助若干個元組實現,數據加密規(guī)則的持續(xù)優(yōu)化需基于防火墻完成,并以此生成專門的加密算法,數據傳輸過程中SDN網絡的安全即可得到更好保障。以SDN云服務訴求為例,在計算網絡環(huán)境下,SDN的安全分析需針對性選擇網絡安全變量,包括信息資源調度參與情況、網絡數據特征及數量、用戶資源信息等,SDN網絡在當前數據條件下的安全屬性可由此明確。在OpenFlow技術的具體應用中,網絡安全優(yōu)化的實現需得到數據信息資源加密調整方式的支持,但同時需考慮網絡大環(huán)境對SDN網絡內部資源特征的影響?;贠penFlow的安全優(yōu)化需借助交換機控制數據傳輸,結合管理標準參數與監(jiān)測指數,即可開展針對性、有效性更高的防火墻加密。通過以數據平均分配作為目標,針對性選用加密處理功能及算法,即可建立較為實用的安全管理模型,而通過讀寫數據信息、傳輸環(huán)節(jié)的數據加密與壓縮、全面的安全監(jiān)察,即可更好保證SDN網絡的安全,并且能夠促使其在運行過程當中更加穩(wěn)定、有效。
2.3 基于OpenFlow的優(yōu)化管理
通過應用OpenFlow的數據傳輸加密,可有效優(yōu)化SDN網絡數據服務的安全水平,配合組建優(yōu)化管理模式,SDN網絡的數據受損幾率也能夠實現有效控制。對于SDN網絡來說,其自調節(jié)系統(tǒng)、數據信息、信息匹配、信息統(tǒng)計、交互的穩(wěn)定性參數應分別控制為0.72、0.66、0.83、0.81、0.57,處理相應時間分別為4.1s、4.3s、5.7s、3.8s、5.1s。在SDN網絡的優(yōu)化管理設計中,需整合OpenFlow控制器與交換機的連接方式,以及南向接口協(xié)議方式,控制器對交換機的實時監(jiān)控實現需得到TCP/IP網絡傳輸接口協(xié)議的支持,配合集中管理方式,控制器還能夠較好服務于SDN網絡的安全管理預命令,控制器的指令時間與內容設置需通過流表設置方式實現,SDN網絡的監(jiān)視、管理全面性可由此實現長足提升。OpenFlow交換機配置可通過重新設置接口實現,控制器可由此根據收獲到的事件數據傳輸數據包。在數據加密技術支持下,SDN網絡可較好識別訪客身份,安全問題的發(fā)生幾率可進一步得到控制。
3 基于OpenFlow的SDN網絡負載均衡模塊設計
3.1 層次設計
SDN網絡的安全離不開負載均衡的支持,因此本文基于OpenFlow開展了負載均衡模塊的設計,通過打造負載均衡環(huán)境,SDN網絡的安全水平可進一步提升?;谀K化語言,SDN網絡負載方式的構成邏輯由應用層、控制層以及數據層組成,應用層直接提供人機交互場景,并能夠提供控制端口進行負載均衡的實時調整??刂茖佑涉溌吩u分模塊構成,可通過評分的方式觀察和分析SDN網絡安全,并連接應用層web界面。數據層主要由數據采集模塊構成,通過網絡數據采集,連接控制層與OpenFlow接口,即可為負載均衡的實現奠定堅實基礎。在各個層級內部,OpenFlow控制器必須最大化發(fā)揮自身功能,統(tǒng)計和鏈路評分需圍繞傳輸速率、CPU占有率、端口占用率、mac地質、物理內存、交換機信息等全面展開,配合負載均衡程序進行實時評分,即可開展統(tǒng)一的網絡拓撲重組,并更好保障SDN網絡安全。
3.2 模塊功能設計
具體設計如下:(1)數據采集模塊設計?;贠penFlow協(xié)議、sflow代理,可實現多組控制器間的數據交換,網絡拓撲信息的交換也能夠在OpenFlow協(xié)議支持下實現,服務器之上的控制器可通過OVSDB交換機進行轉發(fā)。模塊中交換機單獨應用ASIC需得到sflwo標準的支持,業(yè)務流信息由此即可通過控制器進行查看。通過OpenFlow協(xié)議與sflow代理,數據采集模塊可實現流量監(jiān)控體系的組建,SDN網絡數據采集也能夠由此更高質量實現。(2)鏈路評分模塊。通過獨立的監(jiān)控系統(tǒng)和交換機進行數據采集,模塊可在控制器中實現端口信息的統(tǒng)計。數據采集模塊獲取的鏈路信息可通過接口寫入到本地數據庫,在本地數據庫的支持下,控制層的鏈路評分模塊即可圍繞帶寬、丟包、物理內存、CPU等使用率開展計算,并結合既定標準完成SDN應用情況評分,由此衡量網絡負載水平,即可實現SDN網絡的安全評價。在鏈路評分模塊支持下,詳細的數據支持與分析過程可明確SDN網絡所處的安全環(huán)境,安裝狀況判斷的準確率可由此得到較好保障。(3)負載均衡模塊。模塊的全局拓撲實現需得到控制器的支持,人機交互的回饋則需要應用負載均衡算法。API接口需與負載均衡模塊直接聯系,消息形式的策略下發(fā)、全局拓撲管理視野均可更好服務于SDN網絡安全控制。
4 結語
綜上所述,基于OpenFlow的SDN網絡安全保障需關注多方面因素影響,在此基礎上,本文涉及的網絡攻擊威脅快速溯源、加密保護、優(yōu)化管理、負載均衡等內容,則提供了可行性較高的SDN網絡安全保障路徑,為進一步推進SDN網絡發(fā)展,SDN網絡的認證機制、應用隔離、權限管理等同樣需要得到重視。
本文來源:《企業(yè)科技與發(fā)展》:http://m.xwlcp.cn/w/qk/21223.html
- 2025年中科院分區(qū)表已公布!Scientific Reports降至三區(qū)
- 官方認定!CSSCI南大核心首批191家“青年學者友好期刊名單”
- 2023JCR影響因子正式公布!
- 國內核心期刊分級情況概覽及說明!本篇適用人群:需要發(fā)南核、北核、CSCD、科核、AMI、SCD、RCCSE期刊的學者
- 我用了一個很復雜的圖,幫你們解釋下“23版最新北大核心目錄有效期問題”。
- 重磅!CSSCI來源期刊(2023-2024版)最新期刊目錄看點分析!全網首發(fā)!
- CSSCI官方早就公布了最新南核目錄,有心的人已經拿到并且投入使用!附南核目錄新增期刊!
- 北大核心期刊目錄換屆,我們應該熟知的10個知識點。
- 注意,最新期刊論文格式標準已發(fā)布,論文寫作規(guī)則發(fā)生重大變化!文字版GB/T 7713.2—2022 學術論文編寫規(guī)則
- 盤點那些評職稱超管用的資源,1,3和5已經“絕種”了