软件定义网络中安全控制方法研究绪论,计算机网络论文

软件定义网络中安全控制方法研究绪论,计算机网络论文本篇论文目录导航：【题目】【第一章】软件定义网络中安全控制方式方法研究绪论【第二章】【第三章】【第四章】【第五章】【总结/以下为参考文献】第一章绪论本章阐述了SDN〔SoftwareDefinedNetworking,软件定义网络〕中安全策略研究工作的背景和意义，首先分析了SDN网络安全性现在状况，从架构和策略两方面描绘叙述出现安全问题的原因和解决问题的思路，其次是论文的主要研究内容，最后是章节布置。1.1研究背景和意义随着近年来网络服务遭到拒绝服务攻击的威胁持续增大和网络安全漏洞的不断增加，网络管理员不得不制定愈加全面有效的应对方案。故障排除作为网络管理员最常用的应对手段之一，由于其技术水平客观上仍处在一个非常原始的阶段，因而要求网络管理员从管理层面上制定愈加有效的网络安全策略。在传统的网络中，网络管理员使用如ping,traceroute,tcpdump,nmap,NetFlow和SNMP等通用工具来统计分析和设计故障排除系统，但是管理一个复杂的网络，使用这些通用工具是不够的。对于复杂网络，网络管理员使用如X-trace[1],Netreplay[2]等框架工具时，固然一定程度上加强了故障排除的功能，但考虑到网络基础设施的复杂性和异构性，导致框架工具的使用范围仍然是很局限的。每当网络环境发生变化时，网络管理员都需要修改网络配置，而且由于网络中客观存在的不同类型设备、芯片技术和供给商提供的特定组件，成功的配置经历体验难以移植到其他生产环境中。互联网架构的创新从网络出现开场就一直处于研究和探寻求索的中心位置。机构和研究小组不断探寻求索怎样改善互联网架构，甚至重新设计互联网，尤其注重关于网络可编程性的问题。主动网络是美国国防高级研究计划局在90年代中期时的一个研究项目，给用户和网络运营商提供编程接口控制数据层面的网络元素，欧盟主动网络项目研究也含有类似的工作目的。ForCES[4]〔ForwardingandControlElementSeparation,转发和控制元素分离〕是2002年提出的支持用户使用灵敏的建模语言操作流表和数据流的项目，并且允许流级别的网络编程。固然ForCES网络可编程性的前景很吸引人，但是在当时没有被任何生产网络所采用。美国国家科学基金会发起的将来互联网体系构造项目，探寻求索建立GEN〔IGlobalEnvironmentforNetworkInnovation,全球基础设施创新环境〕，同时呼吁网络创新，目的是21世纪中期在全球范围内开发下一代网络架构和测试的实验环境。SDN[5]〔SoftwareDefinedNetworks,软件定义网络〕是一种新型的搭建网络的框架。通过转发平面和控制平面的分离，具有物理上分布式组网和逻辑上集中控制的特点，目的是使复杂的网络管理简单化，更好地支持网络创新和网络演化，希望解决传统互联网根本的僵化问题。由于SDN支持网络状态控制，所以开发人员能够利用SDN提供的接口进行细粒度网络编程，加强了网络的自动化管理和控制能力。尽管SDN技术开场只是提供应研究人员在校园中进行网络实验，但在其从接口开发到成功部署的经历体验已经引起全行业的显着关注。大多数商用交换机的供给商在数据层开场提供SDN南向接口OpenFlow[6]的技术支持。SDN的发展促使谷歌、Facebook、雅虎、微软、Verizon和德国电信等跨国公司和运营商联合成立ONF[7]〔OpenNetworkingFoundation,开放网络基金会〕，目的是通过开放标准推动SDN在生产网络中的发展。SDN的部署难题由最初理论研究到提出可扩展性解决方案，十分是控制器逻辑上的集中控制所隐含的物理上分布式部署，SDN的部署也逐步从一个学术活动开场演变到商业上成功运营。谷歌公司在全球互联的数据中心里成功部署SDN就是一个例子，这次部署帮助公司显着提高了运营效率，同时还降低了网络维护的成本。Cisco公司作为全球最大的IT企业之一，近期也参加ONF,而由其领导的OpenDaylight[8]开源控制器项目的成功研发经历体验再次讲明SDN商业上的重要性。1.2研究现在状况随着ForCES[4],SANE[9],Ethane[10]和4D[11]〔Decision,Dissemination,Discovery,andData〕等项目的不断提出，2007年基于OpenFlow的SDN架构初具规模，其主要部署在斯坦福大学的校园网和美国国家科学基金会的GENI网络环境中。OpenFlow的成功部署经历体验讲明无论在校园网或生产网络，SDN相比于传统网络都有很多优点：〔1〕网络可编程性使网络管理员能够更细粒度地管理校园网络。〔2〕SDN架构解决了数据层的异构性问题，推动网络创新，便于在校园网或生产网络里面大规模试验部署。〔3〕网络切片允许在一样基础设施中存在多个并发实验，提供研究人员真实的网络环境进行实验研究，得到愈加可信的网络实验结果。这些早期研究项目的一样点是主张数据平面和控制平面分离，具有逻辑上的集中控制。在安全方面影响力最大的是Ethane,2006年Ethane项目就演示了怎样在校园网络中进行部署，以及配置访问控制所需要的安全策略。Ethane项目允许网络管理员定义基于全局网络视图的安全策略，这些策略由控制平面自动下发给交换机，作为处理网络流量的规则。除了早期在安全性方面研究内容，下面本节从架构安全性和策略安全性两方面介绍在SDN网络中的研究现在状况。1.2.1SDN安全架构现在状况Shin等人在文献[12]提出CloudWatcher安全架构，华而不实在控制器的内部没有任何的安全模块，而是使用外围的安全设备如入侵检测系统。由OpenFlow的控制器捕获网络到达的数据包，并将其转发到其连接的的安全设备。FRESCO[13]是为控制器提供安全应用的框架，同时其安全模块为开发人员提供了基于脚本语言的检测、保卫等功能。假如网络管理员试图在没有额外空间的情况下安装一个流表项，控制器管理流表项的安全模块发现后执行垃圾收集程序，自动回收没有通过安全模块安装的流表项。Kumar等人在文献[14]提出的安全构架在OpenFlow交换机上配备入侵检测功能。交换机有一个扩展的流表，不同于标准的OpenFlow交换机的流表，扩展内容包括带有攻击者的源IP〔InternetProtocol,网际协议〕地址标签的黑名单。交换机在使用正常的流表进行数据包匹配前，先检查数据包能否出如今黑名单中，然后直接将发现异常的数据包丢弃。胡章丰等人在文献[15]提出新型SDN安全架构并应用在云环境中，概括为3个层次。〔1〕SecurityviaSDN,即利用SDN来构建安全系统；〔2〕SecurityforSDN,即用SDN来传递安全服务；〔3〕SecurityofSDN,即SDN本身的安全性。提出SDN安全性的研究内容集中在SDN应用的安全性和本身的安全性，SDN应用程序的漏洞也会成为SDN网络安全的主要威胁之一。Yao等人在文献[16]提出VAVE〔VirtualsourceAddressValidationEdge,虚拟源地址验证边缘〕安全框架用来防止源IP地址欺骗。在控制器中嵌入源地址验证模块，该模块检测到Packet-in消息时，与有效的源IP地址的白名单作比照。安全框架还通过在OpenFlow交换机上面安装流规则提早检测和丢弃无效的数据包来减轻处理负荷。1.2.2SDN安全策略现在状况SDN安全策略[5]分为两个研究方向，一个是使用SDN提高网络安全性，另一个提高SDN本身的安全性。大部分安全策略是由应用程序强迫执行安全检查来实现的，例如传统网络中在网络入口点〔以太网的交换机〕进行的强迫安全检查。在SDN环境中，安全策略通过可编程设备在更广泛的网络范围内施行，在恶意数据包进入网络的关键区域之前阻止。使用SDN来提高网络安全性，比方用于检测DDoS的洪泛攻击[17]和主动安全[18].由于OpenFlow交换机能够及时收集各种来自网络的信息，因而利用SDN设计检测DDoS的洪泛攻击的算法非常方便。主动安全[18]利用SDN收集并统计数据信息的能力，通过应用程序主动地编程转发设备，构成主动的和智能的安全策略的施行技术。这种主动安全方式方法提出了一种新颖的反应回路，以提高基础设施的安全防御能力，并提出五个核心能力：保卫、感悟、调节、收集、计数。在安全策略的实现方面，主动安全提供了一个编程接口用于检测攻击和整合不同来源的攻击，并将整合后的数据发送到收集设备上，由控制器执行安全策略进行阻止攻击。当前还有很多关于SDN的安全策略的研究工作，比方加强网络安全性和可靠性的研究项目[19][20][21].早期的研究项目[19]尝试运用简单的技术，如应用程序的分级机制和优先级的方式，以确保由安全应用生成的高优先级的规则不会被较低优先级的规则覆盖。其他的研究项目[22][23][24]尝试更进一步通过提供制定与安全策略相关的应用程序的框架。尽管安全框架和安全策略的技术水平一直在提高，但是网络故障仍然随时都会出现，因而故障排除作为安全框架和安全策略的一部分，在计算机基础架构、并行和分布式系统、嵌入式系统和桌面应用程序中一直是重要的课题。故障排除策略主要分为两类，分别是类似GDB〔GNUProjectDebugger,GNU项目调试器〕的运行时调试策略和使用跟踪、重放与可视化的事后分析策略。随着故障排除技术不断进化和伴随着新技术出现，故障排除的效率不断地在提高，但当前这个领域还是存在很多研究问题。1.3论文主要研究内容论文内容主要是关于SDN中的安全策略在控制平面上的应用研究。固然SDN具有全局视图和集中控制的便利，用户能够根据需要灵敏地选择拓扑和数据流，但是在加强了控制灵敏性的同时，网络安全问题也成倍的增长，增加了网络故障排除的难度。网络管理员假如像对待传统网络那样，根据经历体验以对数据流进行逐步跟踪，时间上难以接受。考虑到SDN的特殊性，既需要对网络中的数据包进行状态检查，还需要对安全策略的施行进行检查。固然安全策略能够通过控制器提供的接口进行集中管理，但是在一定程度上增加了管理上的复杂性，因而论文方案的研究目的，是在通过扩展的安全策略降低现有故障排除方案的困难性，并且增加的管理上的复杂性是能够实现的。〔1〕研究现有SDN和OpenFlow协议面临的安全性问题，总结故障排除技术上的异同点，从管理员的角度分析在传统网络和SDN中面临这些问题后，借鉴传统网络中成熟的技术，研究适宜的安全策略解决SDN中的面临的安全性问题。〔2〕研究现有SDN安全策略的理论根据，主要是逆向转发的数据包回溯技术和途径查询技术的实现方案，综合分析两种技术的优缺点，具体讲明两种技术的主要研究内容和缺乏之处，基于以上研究提出扩展的安全策略在SDN中应用的可行性，讲明降低技术方案的使用上的复杂度的同时改良其缺乏之处。〔3〕研究意向策略在数据包回溯中的作用，提出意向回溯方案和其详细实现步骤，结合数据层和控制层的数据包回溯技术，提供愈加开放的网络接口，方便用户使用意向回溯方式方法开发和维护网络应用，使数据包回溯功能不限于网络管理员的分析工具。〔4〕研究分类策略在现有故障排除方案中具有的作用，提出基于途径查询的故障排除框架，在发现、定位、测试故障经过中，使用途径查询的原语捕获数据包进行故障发现，结合故障排除算法进行定位，并在测试环境中进行故障类型使用安全策略进行分析。1.4论文章节布置全文共分为六个章节，详细布置如下：第一章绪论。主要对SDN的背景进行了介绍，并对现有SDN安全状况从架构和策略两方面进行介绍。分析现有安全策略的难点，并且提出论文的研究内容，对全文的章节布置进行介绍。第二章相关背景知识介绍。主要介绍SDN网络和OpenFlow背景下，给网络安全策略研究带来的便利。结合论文主要研究内容数据包回溯技术和途径跟踪技术，进行重点分析和理论介绍。第三章基于SDN的安全策略扩展。首先从依靠关系和因果图的角度介绍回溯策略和故障排除策略两种现有SDN安全策略，以及这两种事件分析方式方法的缺乏之处。提出扩展的安全策略的目的，最后介绍扩展的安全策略的底层技术支