软件定义网络:安全模型、机制及研究进展

软件定义网络(software defined networking,简称SDN)初步实现了网络控制面与数据面分离的思想,然而在提供高度开放性和可编程性的同时,网络自身也面临着诸多安全问题,从而限制了SDN在很多场景下的大规模部署和应用.首先对SDN的架构和安全模型进行分析;其次,从"SDN特有/非特有的典型安全问题"和"SDN各层/接口面临的安全威胁"两方面,对SDN中存在的典型安全威胁和安全问题进行分析和归纳;随后从6个方面对现有SDN安全问题的主要解决思路及其最新研究进展分别进行探讨,包括SDN安全控制器的开发、控制器可组合安全模块库的开发和部署、控制器Do S/DDo S攻击防御方法、流规则的合法性和一致性检测、北向接口的安全性和应用程序安全性;最后对SDN安全方面的标准化工作进行了简要分析,并对SDN安全方面未来的研究趋势进行了展望.     

A trusted access method in software-defined network

In software-defined networks (SDN), most controllers do not have an established control function for endpoint users and access terminals to access network, which may lead to many attacks. In order to address the problem of security check on access terminals, a secure trusted access method in SDN is designed and implemented in this paper. The method includes an access architecture design and a security access authentication protocol. The access architecture combines the characteristics of the trusted access technology and SDN architecture, and enhances the access security of SDN. The security access authentication protocol specifies the specific structure and implementation of data exchange in the access process. The architecture and protocol implemented in this paper can complete the credibility judgment of the access device and user's identification. Furthermore, it provides different trusted users with different network access permissions. Experiments show that the proposed access method is more secure than the access method that is based on IP address, MAC address and user identity authentication only, thus can effectively guarantee the access security of SDN.     

一种支持细粒度并行的SDN虚拟化编程框架

软件定义网络(software defined network,简称SDN)通过集中式的控制器提高了网络的可编程性,成为近年来网络领域非常热门的话题。以Openflow网络为代表的软件定义网络将逻辑控制与数据转发相隔离,为网络虚拟化技术提供了良好的平台。集中式的抽象与控制使得SDN虚拟化框架的处理效率成为主要瓶颈。现有的SDN虚拟化框架由于缺乏对细粒度并行的支持,为编程人员充分利用多核/众核资源、控制更大规模的网络带来了极大的挑战。为了提高SDN虚拟化框架的处理效率,提出一种新的SDN虚拟化编程框架,通过新颖的API和运行时,在框架内部支持细粒度的并行处理。该框架通过对网络中流和网络资源进行抽象,使开发人员可以直接通过划分流空间来定义不同的虚拟网络,利用无锁的编程方式对共享的网络资源和流进行操作。实验结果表明,该框架在逻辑控制的执行效率方面具有良好的可扩展性,可以创建出更大规模的虚拟网络,并对其进行更为复杂的控制。     

REST API设计分析及实证研究

REST API已成为访问和使用Web服务的重要途径, 为开发基于服务架构的应用系统提供了可复用接口. 但是, REST API的设计质量参差不齐, 因此有效、合理的设计指导规范对于规范和提高REST API设计质量具有现实意义和应用价值. 首先, 基于REST API的本质内涵, 建立了一个多维度、两层次的REST API设计指导规范分类体系RADRC (REST API design rule catalog), 并对当前主流的25条设计指导规范进行分类. 其次, 针对已有规范提出相应的检测方法, 并实现了REST API设计指导规范遵循情况的分析与检测工具RESTer. 最后, 使用RESTer开展REST API设计实证研究, 分析了APIs.guru收录的近2000个真实REST API的文档, 从中分析提取相应的REST API信息, 进一步检测并统计当前REST API的设计特征和设计指导规范遵循情况. 研究发现不同应用类别的REST API在资源和操作模式上存在差异, 使得不同类别REST API在设计规则和总体架构方面各有特点. 实证研究结果有助于深入了解当前REST API及其设计规则的特征、现状和不足, 对于提高REST API设计质量和改进设计指导规范具有实际意义.     

基于API调用管理的SDN应用层DDoS攻击防御机制

软件定义网络(SDN,software defined network)针对北向接口安全研究少,加之缺乏严格的访问控制、身份认证及异常调用检测等机制,导致攻击者有机会开发恶意的应用程序,造成北向应用程序接口(API,application programming interface)的滥用,不利于SDN的全面推广.针对...     

软件定义网络的测量方法研究

测量技术是状态监测、性能管理、安全防御等网络研究的基础,在网络研究领域具有重要地位.相较于传统网络,软件定义网络在标准性、开放性、透明性等方面的优势给网络测量研究带来了新的机遇.测量数据平面和测量控制平面的分离,启发了通用和灵活的测量架构的设计与实现;标准化的编程接口,使得测量任务可以快速地开发和部署,中心化的网络控制可以基于反馈的测量结果实时地优化数据平面的硬件配置和转发策略,数据平面基于流表规则的处理机制支持对流量更加精细化地测量.但是,软件定义网络测量中额外部署的测量机制造成的资源开销与网络中有限的计算资源、存储资源、带宽资源产生了矛盾,中心化的控制平面也存在一定的性能瓶颈,这是软件定义网络测量研究中的主要问题和挑战.分别从测量架构、测量对象两方面对当前软件定义网络测量研究成果进行了归纳和分析,总结了软件定义网络测量的主要研究问题.最后,基于现有研究成果讨论了未来的研究趋势.     

软件定义网络架构下的安全问题综述

随着网络业务的多元化与网络基础服务能力的不断提升,企业网、云计算、数据中心等大量新兴应用场景迅速丰富,传统网络已不能满足其不断涌现的可扩展性、可管理性及安全保障等新需求,这一现状有力地推动以SDN为代表的当代网络架构的发展。然而随着学术界与产业界对SDN技术的研究及其设备的普及,安全问题逐渐成为制约其进一步发展的关键因素之一。针对SDN架构的技术发展背景进行分析,然后简析SDN技术的核心架构原理及目前的发展现状;结合SDN架构特点,针对其安全特性及其所面临的安全威胁进行详细分析,并深入讨论SDN网络安全研究的范畴与新兴发展方向。     

基于拜占庭容错的软件定义网络控制面的抗攻击性研究

软件定义网络（SDN）的集中化控制面给网络管理带来了很大的便利,但也引入了很多安全隐患。针对控制器的单点故障、未知的漏洞和后门、静态配置等安全性问题,提出一种基于拜占庭协议的安全结构,控制器之间执行拜占庭协议,每个交换设备由一个控制器视图管理,多控制器裁决后给出控制信息。此外,将动态性、异构性引入到结构中,打破了攻击链,增强了网络的主动防御能力;通过对控制器异构性的量化,设计了两阶段控制器视图的选举算法,保证了网络的可用性和视图的安全性。仿真结果表明,与传统结构相比,所提结构的抗攻击能力更强。     

REST API自动化测试综述

REST API已经成为访问和使用云服务、Web、移动应用程序的重要途径,如何对这些API进行自动化测试以保证服务的安全性和可靠性是亟待解决的问题。目前虽然关于REST API自动化测试的研究成果众多,但仍缺少对测试技术全面的分析和总结。梳理了该领域近10年的代表性成果,首先总结了REST API自动化测试的发展历程;然后结合REST API自动化测试特征,提炼了测试的通用流程;接着分别从预处理、测试用例生成、测试用例执行与监测、结果分析四个环节阐述现有成果的技术特征,对比分析其优缺点;最后论述当前研究存在的不足,讨论可能的解决思路,展望了下一步研究方向。     

软件定义网络中资源消耗型攻击及防御综述

在传统网络中,集成多种网络功能的控制平面和负责转发数据包的数据平面是紧密耦合的,并且通常嵌入在一个专用设备中,这严重限制了网络管理的灵活性和网络服务的创新性。软件定义网络（Software-Defined Networking,SDN）作为一种新型的网络范式,通过将控制平面与数据平面解耦克服了传统网络架构的不足。研究人员凭借全网视图可见性以及对网络设备直接编程的能力提出了诸多SDN应用场景,如数据中心网络、云和广域网。然而SDN带来的灵活性、可管理性以及可编程性等优点是以引入新的安全挑战为代价。本文聚焦SDN网络中的资源消耗型攻击,首先分层整理了SDN网络中的关键资源以及攻击目标,然后对控制平面、控制通道和数据平面存在的多种资源消耗型攻击以及现有防御机制做出了详细的分析和归纳,最后对未来的研究工作进行了展望,并提出了一些潜在的研究方向。     

软件定义网络安全问题研究综述

软件定义网络是一种新型的网络体系结构,其通过OpenFlow技术来实现网络控制面与数据面的分离,从而达到对网络流量的灵活控制,目前已成为下一代互联网的研究热点.随着SDN的发展及广泛应用,其安全问题已成为亟待解决的重要研究内容.近年来,国内外学者在SDN安全研究领域取得了一定的成果,文中针对SDN的3层架构分别对各层所...     

基于拟态防御的SDN控制层安全机制研究

软件定义网络（Software-Defined Networking,SDN）的集中式管控为网络带来了创新与便利,但主控制器被赋予了足够的管理权限,仅依赖其自身内部的防御技术,难以确保其不发生异常,以独裁的能力来危害整个网络。本文提出基于拟态防御的SDN控制层安全机制,以一种多样化民主监督的方式,使用多个异构的等价控制器同时处理数据层的请求,通过对比它们的流表项来检测主控制是否存在恶意行为。其中,重点研究了如何在语义层面对比多个异构控制器的流表项,以解决它们在语法上的差异化问题。该安全机制不依赖于对恶意行为的先验知识,实验结果验证了它检测恶意行为是有效的,同时具有较好的性能。     

MAP-SDN: a metaheuristic assignment and provisioning SDN framework for cloud datacenters

Software-defined networking (SDN) introduces a new method in networking that by offering programmability and centralization, it can dynamically control and configure networks. In traditional networks, data plane did the whole forwarding process, but SDN decouples data plane and control plane by using programmable software controllers for deciding how to forward different flows. By implementing control plane in a software-based independent layer, the network management will become much easier and new policies can be applied to the network by changing a few lines of code. Since the resource allocation and meeting the required service-level agreement are really important in large-scale networks such as cloud datacenters, using SDN can be very useful. In these networks, one logically centralized controller cannot handle the whole network traffic and it will become network bottleneck. Therefore, multiple distributed controllers should be allocated in different regions of the network. Since the request rate of switches varies in time, by dynamic allocation of controllers, network resources will be allocated efficiently and this approach can also reduce power consumption. In this paper, we are going to propose a framework for provisioning software controllers in cloud datacenters by using metaheuristic algorithms. These algorithms can be less accurate compared to other kinds, but their main characteristics like simplicity, flexibility, derivation free, and local optimum avoidance make them a good nominee for solving controller provisioning problem and controller placement problem. Our framework improves computation time and reaches better results compared to other allocation techniques, but it is less accurate in some scenarios. Therefore, we believe metaheuristic approach can be very useful in developing new technologies for SDN in the future.     

软件定义网络可信连接设计与实现

软件定义网络（software defined networking,SDN）将控制层和数据转发层分离,由控制层对数据转发层进行统一管理。目前控制层及数据转发层设备间完整性认证机制尚不完善,若平台完整性损坏的设备接入网络,会给整个SDN网络带来严重的安全问题。为确保双方设备在完整可信的前提下建立连接,进而在源头上保障设备安全、网络可信,提出了一种新的SDN可信连接方案。该方案以可信网络远程设备认证技术为基础,利用可信平台模块作为可信支撑,在SDN数据转发设备与控制器的连接过程中添加完整性认证环节。测试分析表明,该方案有效可行,符合实际应用。     

Network resource management mechanisms in SDN enabled WSNs: A comprehensive review

Wireless technologies usually have very limited computing, memory, and battery power that require the optimal management of network resources to increase network performance. The optimization of these network resources provides an efficient network topology, traffic control, routing, and data aggregation. This study presents a qualitative and quantitative investigation to evaluate the efficient network resource management mechanisms for software defined wireless sensor networks (SDN-enabled WSNs) from the beginning of network design to reliable data delivery. In this paper, a taxonomy of network resource management research studies is proposed. A detailed analysis of SDN-enabled WSNs architecture, SDN controllers, topology discovery, routing approaches, flow rules installation, and data aggregation is also discussed. Furthermore, the comparative analysis of resource provisioning methods along with various simulation tools is presented. Moreover, this review outlines open research challenges and prospective future directions for network resource management in SDN-enabled WSNs.     

面向SDN的移动目标防御技术研究进展

软件定义网络是基于开放标准的灵活架构,通过控制层管理网络功能和服务,具有控转分离、集中控制的特性;移动目标防御技术致力于构建一个不断变换的环境以提高网络系统的视在不确定性,需要灵活可定制、集中可控制的网络架构加以实施,因此将移动目标防御与软件定义网络相结合已成为更具应用价值研究热点。首先,分别介绍了软件定义网络和移动目标防御的基本概念,概括了软件定义网络所面临的安全威胁,阐述了面向SDN的移动目标防御的实现模型;其次,分别从SDN数据层、控制层和应用层归纳了移动目标防御的技术方法;最后,总结了现有SDN动态防御面临的挑战,对面向SDN的移动目标防御技术发展方向进行了展望。     

考虑拜占庭属性的SDN安全控制器多目标优化部署方案

通过赋予软件定义网络分布式控制平面拜占庭属性可以有效提高其安全性。在实现拜占庭属性过程中，控制器部署的数量、位置，以及交换机与控制器之间的连接关系会直接影响全局网络关键性能指标。为此，提出了一种考虑拜占庭属性的 SDN 安全控制器多目标优化部署方案。首先，构建了综合考量交互时延、同步时延、负载差异程度和控制器部署数量等优化指标的拜占庭控制器部署问题（MOSBCPP）模型；然后，针对该模型个性化设计了包括控制器部署策略初始化函数、变异函数，快速非支配排序函数及精英策略选择函数等在内的NASG-II求解算法。相关仿真结果表明，该部署方案能够在有效降低交互时延、同步时延、负载差异程度和控制器部署数量等性能指标的同时提高控制平面安全性。     

SDN多控制器容错机制的研究与设计

SDN提出将控制平面与转发平面解耦,并提供了对控制平面的可编程性以适应新的网络需求。集中化的控制器在带来诸多便利的同时,也伴随着许多新的挑战。其中,控制器单点故障就是一个不容忽视的问题。研究带内通信场景下多控制器容错与故障恢复。传统多控制器容错方案主要采用主从机制,某种程度上是对控制器资源的极大浪费。采用平面式的控制器架构,将多个控制器相连形成环状结构,相邻控制器间相互监听检测控制器故障。故障发生后,采用交换机簇划分和交换机重托管算法将故障域内的交换机托管到其余正常工作的控制器下,以完成网络的快速恢复。为应对网络中其余正常工作控制器总剩余容量小于故障域内交换机数量的极端情况,使用预定义的脚本动态添加控制器。     

面向智慧医疗云的SDN动态负载均衡方法

文中 引入软件定义网络(Software Defined Network,SDN)对智慧医疗云进行网络管理,并且针对传统SDN控制器存在单点失效和负载均衡的问题,设计了智慧医疗分布式SDN控制器系统。SDN控制系统分为SDN控制器集群、数据转发平面和智慧医疗云服务系统3层。在此基础上,提出一种实时负载动态自调节的快速负载均衡算法DAF(Dynamic Adaptive and Fast Load Balancing)。在该算法中,负载信息感知组件周期性地采集自己的负载信息,自动地进行控制器间的负载信息交互;控制器的负载值超过阈值时,会触发交换机迁移动作,以动态配置交换机与控制器之间的映射关系。实验结果表明,面向智慧医疗云的分布式SDN控制系统的性能良好,且DAF算法能够快速地实现SDN控制器间的负载均衡,提升了智慧医疗云的网络吞吐量。     

Improving the performance of load balancing in software-defined networks through load variance-based synchronization

Software-Defined Networking (SDN) is a new network technology that decouples the control plane logic from the data plane and uses a programmable software controller to manage network operation and the state of network components. In an SDN network, a logically centralized controller uses a global network view to conduct management and operation of the network. The centralized control of the SDN network presents a tremendous opportunity for network operators to refactor the control plane and to improve the performance of applications. For the application of load balancing, the logically centralized controller conducts Real-time Least loaded Server selection (RLS) for multiple domains, where new flows pass by for the first time. The function of RLS is to enable the new flows to be forwarded to the least loaded server in the entire network. However, in a large-scale SDN network, the logically centralized controller usually consists of multiple distributed controllers. Existing multiple controller state synchronization schemes are based on Periodic Synchronization (PS), which can cause undesirable situations. For example, frequent synchronizations may result in high synchronization overhead of controllers. State desynchronization among controllers during the interval between two consecutive synchronizations could lead to forwarding loops and black holes. In this paper, we propose a new type of controller state synchronization scheme, Load Variance-based Synchronization (LVS), to improve the load-balancing performance in the multi-controller multi-domain SDN network. Compared with PS-based schemes, LVS-based schemes conduct effective state synchronizations among controllers only when the load of a specific server or domain exceeds a certain threshold, which significantly reduces the synchronization overhead of controllers. The results of simulations show that LVS achieves loop-free forwarding and good load-balancing performance with much less synchronization overhead, as compared with existing schemes.