软件定义网络:安全模型、机制及研究进展

软件定义网络(software defined networking,简称SDN)初步实现了网络控制面与数据面分离的思想,然而在提供高度开放性和可编程性的同时,网络自身也面临着诸多安全问题,从而限制了SDN在很多场景下的大规模部署和应用.首先对SDN的架构和安全模型进行分析;其次,从"SDN特有/非特有的典型安全问题"和"SDN各层/接口面临的安全威胁"两方面,对SDN中存在的典型安全威胁和安全问题进行分析和归纳;随后从6个方面对现有SDN安全问题的主要解决思路及其最新研究进展分别进行探讨,包括SDN安全控制器的开发、控制器可组合安全模块库的开发和部署、控制器Do S/DDo S攻击防御方法、流规则的合法性和一致性检测、北向接口的安全性和应用程序安全性;最后对SDN安全方面的标准化工作进行了简要分析,并对SDN安全方面未来的研究趋势进行了展望.     

面向SDN网络的QoS优化解决方案综述

SDN是一种蓬勃发展的新型网络体系结构,复杂的网络业务流量组成对多样QoS的需求给SDN网络路由造成了巨大挑战.为了解决SDN的QoS优化问题,学术界与工业界在SDN诞生之初进行了深入研究,提出了很多建设性的解决方案.通过深入调研,介绍SDN的基本架构,汇总并对比主流量的SDN控制器;分析SDN控制器中集成的QoS相关模块和参数;分析并归纳目前比较有影响且具有创新性的QoS优化方案;提出目前SDN网络QoS优化方案尚未解决的问题和在大规模数据中心网络、5 G移动网络等新型SDN网络场景中的发展趋势.     

面向软件定义网络的两级DDoS攻击检测与防御

分布式拒绝服务(DDoS)攻击一直是互联网的主要威胁之一,在软件定义网络(SDN)中会导致控制器资源耗尽,影响整个网络正常运行。针对SDN网络中的DDoS攻击问题,文章设计并实现了一种两级攻击检测与防御方法。基于控制器北向接口采集交换机流表数据并提取直接特征和派生特征,采用序贯概率比检验(Sequential Probability Ratio Test,SPRT)和轻量级梯度提升机(LightGBM)设计两级攻击检测算法,快速定位攻击端口和对攻击类型进行精准划分,通过下发流表规则对攻击流量进行实时过滤。实验结果表明,攻击检测模块能够快速定位攻击端口并对攻击类型进行精准划分,分类准确率达到98%,攻击防御模块能够在攻击发生后2 s内迅速下发防御规则,对攻击流量进行过滤,有效保护SDN网络的安全。     

基于NFV的分布式SDN控制器节能机制

SDN架构通过控制器集中管理交换机以维护网络全局视图,因此SDN控制器是影响网络性能的关键部件。SDN控制器分为集中式控制器和分布式控制器,分布式控制器有效地解决了集中式控制器中存在的单点失效等问题,但控制器之间需要频繁交互以维护全局视图。随着网络规模扩大,其通信开销导致的能耗不断增加,且控制器的过量部署也会消耗大量能量。为了解决该问题,文章提出了一种基于NFV的SDN控制器节能机制,根据控制器负载大小分别选择启用虚拟控制器数量自适应调整算法,以及开启物理控制器频率缩放策略以减少网络能耗。同时,为了解决虚拟控制器负载不均问题,提出虚拟控制器负载自适应调整算法。当网络负载过低时,为最大限度地降低能耗,提出了基于节能和时延优化的控制器休眠算法。     

基于软件定义网络的边缘控制部署机制

针对软件定义网络（software-defined Networking,SDN）中单一控制器容易发生过载导致较长时延的问题,提出一种基于SDN的边缘控制模型,该模型采取分层部署方式将边缘计算集成到SDN中,每个边缘控制器控制其覆盖范围内部署的所有子边缘控制器和交换机,负责区域内网络设备的通信量。为了方便管理边缘控制器之间的交互,该模型引入一个控制器代理模块,将设备请求转发给父控制器或将路由信息发送给子控制器来协调控制器之间的工作。实验结果表明,与基于SDN的传统网络相比,该方法依托部署在网络设备边缘的计算和存储服务,减轻了SDN主控制器上的负载,降低了转发平面和控制平面之间的延时,显著地改善了总处理延时和带宽使用情况。     

软件定义网络可信连接设计与实现

软件定义网络（software defined networking,SDN）将控制层和数据转发层分离,由控制层对数据转发层进行统一管理。目前控制层及数据转发层设备间完整性认证机制尚不完善,若平台完整性损坏的设备接入网络,会给整个SDN网络带来严重的安全问题。为确保双方设备在完整可信的前提下建立连接,进而在源头上保障设备安全、网络可信,提出了一种新的SDN可信连接方案。该方案以可信网络远程设备认证技术为基础,利用可信平台模块作为可信支撑,在SDN数据转发设备与控制器的连接过程中添加完整性认证环节。测试分析表明,该方案有效可行,符合实际应用。     

SDN多控制器共识机制研究综述

【背景】伴随着区块链逐渐应用于新一代互联网络的域名、路由、公钥等基础设施,其重要性日益彰显。作为区块链以及整个分布式系统领域的核心技术,共识机制直接影响着区块链的处理能力、可扩展性及安全性,也影响着其在互联网基础设施中的根基。【目的】对软件定义网络SDN(Software Defined Network)中用于实现多控制器之间数据共享的共识机制设计进行综述,分析当前设计中存在的问题并提出解决方案,为相关研究工作提供参考。【方法】本文首先对共识机制的研究现状进行了概述,然后重点对SDN多控制器共识机制设计的研究现状进行了综述,对其中存在的问题进行了分析,并基于区块链技术提出了解决方案,介绍了当前将区块链技术应用于SDN网络的研究现状。【结果】当前SDN多控制器共识机制在实际部署中多采用以Raft为代表的宕机容错类共识机制,无法应对控制器或交换机等恶意行为,现有研究尝试引入拜占庭容错类共识解决该问题,并针对共识机制在SDN网络中的应用进行自适应设计以提高系统运行性能,但当前的SDN控制层中的用于实现控制器间数据共享的共识机制设计仍存在着共识网络部署不灵活、控制器运行共识机制带来巨大开销方面的问题。【结论】本文提出的基于区块链的控制器层数据共享第三方服务具有安全、可信、部署灵活等方面的优势,可为上述问题提供解决方案。本文提出的基于区块链的SDN网络可信基础设施作为数据共享服务的扩展架构,可为SDN提供多种安全可信服务。     

基于OpenFlow的SDN网络安全分析与研究

基于Open Flow的SDN技术将网络的数据平面和控制平面相分离,通过部署中央控制器来实现对网络的管控,为未来网络的发展提供了一种新的解决思路。然而,这种新型网络管控方法与传统网络在分布式控制平面上通过封闭网络设备进行管控的方法有着根本区别,因而在实现集中化管理的同时将引入新的管理和安全问题。文章首先介绍了其三层架构的自身缺陷和可能存在的安全问题,并从SDN架构的基础设施层、南向接口、控制层、北向接口和应用层等几个方面分别进行分析,总结出SDN不同层次存在安全问题的原因;随后,文章从认证机制、控制层的备份和恢复、网络异常识别和防御机制、应用隔离和权限管理等四个方面总结了当前的相关研究进展和研究思路,并提出了可行的解决方案;最后,对全文进行总结和展望。     

基于组策略的SDN多粒度流量检测系统

为提升软件定义网络(SDN)的网络控制力和安全性,通常利用SDN集中管控及流表控制特性开发大量安全应用,但此类安全应用实现功能单一、防护粒度粗,无法对整个网络形成综合防护。针对该问题,设计多粒度流量检测系统。借鉴组策略(GBP)的分组思想对基础设施层进行分组管理,基于模块链实现安全检测功能由硬件设备向软件服务的转型,定义安全检测模块的概念并将其划分为统计型检测、关联匹配型检测以及正则匹配型检测3类模块。利用GBP生成模块链,由模块链调动不同的安全检测模块组合,从而实现多粒度安全检测。通过实验验证了该系统在SDN环境下的可用性,并表明其具有检测粒度细、可扩展性好等特点。     

分布式SDN控制器放置问题研究

软件定义网络(Software-Defined Networking,SDN)通过控制平面与数据平面的分离和逻辑集中的控制构建了新的网络范式。考虑性能、可扩展性和可靠性等方面的需求,大规模网络通常采用分布式SDN控制平面,即通过放置多个控制器共同管理整个网络。这需要确定控制器的放置数量、放置位置以及交换机到控制器的分配,从而实现网络的性能、可靠性、成本与能耗等方面的优化,这就是控制器放置问题。本文系统研究了分布式SDN控制器放置问题。首先,对控制器放置问题的各种优化指标进行详细介绍;其次,根据优化目标以及目标之间的权衡方式对已有研究提出的控制器放置方案进行归类、分析与总结;最后,讨论控制器放置问题的未来研究趋势。     

POF协议解析器

针对SDN的安全问题,传统的防火墙、防病毒软件能在一定程度上防止外部非法入侵,但是对于防御非法修改交换机/控制器配置和流规则造成的重要信息泄露等内部威胁的效果甚微。POF协议作为SDN的南向接口协议,实现了控制器对网络的配置管理。通过解析POF消息可监控SDN网络通信内容,从而发掘内部安全问题。本文对POF协议进行详细的研究和分析,并基于网络安全审计系统设计POF协议解析器。该协议解析器能够在线解析识别POF消息类型及其关键字段,并生成会话日志和操作日志进行存储展示,有助于及时发掘非法行为,并可在网络安全事件发生后协助溯源取证。通过实验测试,系统集成POF协议解析器后在满足不丢包情况下至少能达到30000的每秒并发连接数、460 Mbps的吞吐以及每秒处理53万个数据包的性能。     

面向服务传输的SDN移动网络脆弱性评估模型

针对现有的脆弱性评估算法无法直接应用于软件定义网络（Software Defined Network, SDN）,以及评估技术普遍偏向于网络连通,无法针对服务与传输性能对SDN进行脆弱性分析等问题,提出一种面向服务传输的SDN移动网络脆弱性评估模型与算法,设计基于SDN的移动网络脆弱性评估框架。提出一种对基于SDN的移动网络服务器节点与网络设备进行安全脆弱性分析的方法,将静态配置信息和动态运行信息融合评估节点设备的脆弱性,使评估更加全面准确;针对SDN移动网络的服务与传输特性,从传输拓扑和SDN节点活跃度2个方面,计算面向服务与传输的基于SDN的移动网络节点重要度;最后融合节点设备的安全脆弱性和重要度来对基于SDN的移动网络进行脆弱性评估,得到评估结果。通过实例和仿真实验验证了所提算法的有效性,相比同类算法可达到更高的评估准确性。     

基于软件定义网络的云平台入侵防御方案设计与实现

针对传统的入侵防御系统是串联在网络环境中,处理能力有限且易造成网络拥塞的问题,面向云计算应用,设计了一种基于软件定义网络（SDN）的入侵防御方案。首先,在OpenStack平台中集成了SDN控制器。然后,利用控制器的可编程特性,设计了入侵检测和控制器的联动机制,实现了入侵防御功能。联动机制实现原理是在入侵检测系统检测到入侵时把入侵信息传给控制器,控制器下发安全策略到虚拟交换机,达到过滤入侵流量、动态阻止入侵行为的目的。最后,通过实验将所提方案与传统入侵防御方案相比较,对比分析结果表明,相比传统方案能成功检测85%入侵（攻击速率为12000 packet/s）,所提方案的入侵检测效率在90%以上（攻击效率为40000 packet/s）,可以用于提高云环境下入侵防御的检测效率。     

基于SDN网络的安全设备路由研究

SDN（Software Defined Networking,软件定义网络）是一种新型的网络架构,是网络实现自动化部署灵活管理的一个重要方式。SDN技术将网络的数据平面和控制平面相分离,从而实现了网络流量的灵活控制。因此,基于SDN技术提出了一种基于SDN网络的安全设备路由模型,该模型结合改进的内嵌式安全设备最短路由算法和旁路式最短路由算法及神经网络最短路由算法,得到一种高效的安全设备路由策略,并且在此基础上构建了一个网络安全服务调度系统,能够在安全设备混合部署的复杂网络环境中,按用户需求提供个性化的安全服务;同时,通过计算较低网络成本的最短安全路径,提高了网络的路由效率和资源利用率。     

一种路由交换阵列节点芯片及其系统的设计与实现

介绍一种面向大数据处理数据中心应用的计算/控制/网络存储的路由交换阵列节点芯片及其所组成的安全交换阵列原型机的设计与实现;该路由交换阵列系统通过因特网远程使用软件定义网络(SDN)方式对高速安全交换网络的内部路由控制和安全等模块进行集中编程控制,满足数据中心对数据传输带宽容量的需求;同时并行计算过程中消除网络传输瓶颈,避免了数据中心网络等资源的长期占用浪费,为下一代数据中心解决方案的形成打下基础。另外还简述了其在金融交易系统领域大数据应用尝试的研究近况。     

基于API调用管理的SDN应用层DDoS攻击防御机制

软件定义网络(SDN,software defined network)针对北向接口安全研究少,加之缺乏严格的访问控制、身份认证及异常调用检测等机制,导致攻击者有机会开发恶意的应用程序,造成北向应用程序接口(API,application programming interface)的滥用,不利于SDN的全面推广.针对...     

基于Floodlight的SDN控制器研究

目前正在使用的网络架构已有30年的历史。在此架构下,交换机/路由器需要在超过6 000个分布式协议中使整个网络正常运行。这意味着只要有一个网元增加一种新的协议,其他网元都必须在结构上做出变更。SDN（Software Defined Network,软件定义网络）则打破了这种桎梏,它使得网络可编程,从而让网络在满足用户需求方面更具灵活性。SDN架构将控制和转发解耦,将控制功能集中到逻辑独立的控制环境之中,同时为应用层提供底层网络的抽象视图。结果就是SDN可以为用户提供可编程性极强的网络、网络自动化管理以及网络控制等功能,从而满足日益变化与丰富的网络需求。SDN控制器在SDN架构中的作用至关重要,它既要与基础设施层交互也需要与应用层经由API交互。首先分析了SDN架构的产生背景、原理和其发展现状;随后研究并分析了一个SDN控制器的开源项目Floodlight;最后通过对当前7种控制器的实验以及SDN相关原理对SDN控制器的特性进行了总结与分析。     

基于哈希链的软件定义网络路径安全

针对软件定义网络中，控制器无法保证下发的网络策略能够在转发设备上得到正确执行的安全问题，提出一种新的转发路径监控安全方案。首先以控制器的全局视图能力为基础，设计了基于OpenFlow协议的路径凭据交互处理机制；然后采用哈希链和消息验证码作为生成和处理转发路径凭据信息的关键技术；最后在此基础上，对Ryu控制器和Open vSwitch开源交换机进行深度优化，添加相应处理流程，建立轻量级的路径安全机制。测试结果表明，该机制能够有效保证数据转发路径安全，吞吐量消耗比SDN数据层可信转发方案（SDNsec）降低20%以上，更适用于路径复杂的网络环境，但时延和CPU使用率的浮动超过15%，有待进一步优化。     

云环境下SDN的流量异常检测性能分析

随着复杂的混合云网络逐渐成为云计算发展的瓶颈,软件定义网络(SDN)技术近年来成为学术界和工业界关注的热点。在网络安全领域,对于应用SDN来解决网络攻击的研究尚处于起步阶段,SDN是否能够高效检测来自内部的网络攻击尚无定论。针对该问题,在分析SDN技术框架的基础上,设计基于OpenStack的云环境实验方案。在传统云环境网络和SDN环境下同时测试2种流量异常检测算法,模拟Flood攻击和端口扫描攻击,分析SDN在检测攻击时的精确度和资源使用率。结果表明,在云环境下利用SDN检测内部威胁时比传统网络环境占用更少的物理内存而不影响精确度,但直接在SDN控制器上部署安全应用的方式也存在性能瓶颈。     

SDN数据安全处理机制关键模块的研究与实现

针对软件定义网络（SDN）的数据平面数据泄露问题、提出一种新的基于OpenFlow协议的数据安全处理机制。首先,重构OpenFlow协议的流表结构,设计实现包括安全匹配字段、安全动作在内的OpenFlow数据安全策略;然后,设计中心化管理控制器,通过开发的多个功能模块使控制器及时感知网络变化,有效管控全局网络,维护和下发数据加（解）密密钥、数据安全策略;其次,深度重构开放虚拟交换机OVS架构,设计实现数据安全策略匹配和数据安全处理的完整流程,编写数据净载信息提取接口,通过开发的多个功能模块使OVS能够根据数据安全策略细粒度匹配数据包,并对匹配成功的数据包进行完整数据安全处理操作;最后,搭建软硬件平台,对该机制的加解密处理结果和延时、吞吐量以及CPU使用率进行测试。实验结果表明：该机制可以准确对数据进行加解密操作,延时和吞吐量均处于正常水平;但CPU使用率在45%~60%浮动,开销较大,有待后续优化。