亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        SDN網(wǎng)絡(luò)安全規(guī)則及OpenFlow協(xié)議的安全分析

        2016-06-16 08:53:37許明元
        廣東通信技術(shù) 2016年5期
        關(guān)鍵詞:安全控制攻擊者交換機(jī)

        [許明元]

        ?

        SDN網(wǎng)絡(luò)安全規(guī)則及OpenFlow協(xié)議的安全分析

        [許明元]

        摘要全球正在掀起一股SDN的熱潮,主流運(yùn)營(yíng)商紛紛將目光投向這一市場(chǎng),目前各大運(yùn)營(yíng)商已逐步開始部署SDN網(wǎng)絡(luò)。SDN特定的網(wǎng)絡(luò)架構(gòu)及其可編程特性,為網(wǎng)絡(luò)安全帶來新的技術(shù)推動(dòng)力。文章對(duì)SDN的安全規(guī)則和需求進(jìn)行了探討,并針對(duì)ONF關(guān)鍵協(xié)議OpenFlow 協(xié)議潛在安全問題和應(yīng)對(duì)措施方面進(jìn)行探討與研究。

        關(guān)鍵詞:SDN OpenFlowNFV

        許明元

        男,移動(dòng)通信工程師,本科。廣東省電信規(guī)劃設(shè)計(jì)院有限公司。主要從事通信設(shè)備研發(fā)、測(cè)試、技術(shù)支持、規(guī)劃設(shè)計(jì)等工作,熟悉3G UMTS、4G LTE無線網(wǎng)及核心網(wǎng)技術(shù),具有有豐富的移動(dòng)通信工作經(jīng)驗(yàn),并積極學(xué)習(xí)和研究SDN、5G等相關(guān)通信新技術(shù)。

        引言

        SDN網(wǎng)絡(luò)面臨的安全挑戰(zhàn)不同于傳統(tǒng)網(wǎng)絡(luò),SDN邏輯上的集中控制方式使攻擊者能夠直接進(jìn)入系統(tǒng)的控制平面通過A-CPI接口攻擊SDN系統(tǒng)。 面對(duì)SDN安全挑戰(zhàn),ONF安全討論組建議制定一套SDN網(wǎng)絡(luò)的安全原則,該安全準(zhǔn)則覆蓋不同方面的安全問題(如SDN協(xié)議安全、SDN網(wǎng)元安全、SDN接口安全),以確保SDN 網(wǎng)絡(luò)在實(shí)際運(yùn)行環(huán)境具有足夠的處理各種安全隱患的能力。

        本文首先介紹SDN應(yīng)遵循的安全規(guī)則和需求,然后對(duì)ONF關(guān)鍵協(xié)議 OpenFlow 交換規(guī)范V1.3.4進(jìn)行安全分析。

        1 SDN架構(gòu)簡(jiǎn)述

        SDN采用與傳統(tǒng)網(wǎng)絡(luò)截然不同的控制架構(gòu),將網(wǎng)絡(luò)控制平面和數(shù)據(jù)平面分離,采用集中控制替代原有分布式控制,并通過開放和可編程接口實(shí)現(xiàn)“軟件定義”。SDN整體架構(gòu)如圖1。

        SDN采用應(yīng)用平面(Application plane)、控制平面(Controller plane)和數(shù)據(jù)平面(Data plane)三層架構(gòu),SDN架構(gòu)的基本概念是控制平面和數(shù)據(jù)平面分離,將控制平面從數(shù)據(jù)平面分離出來,網(wǎng)絡(luò)交換設(shè)備成為單一的數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備,控制由邏輯上的集中控制器完成(實(shí)際應(yīng)用中,基于可靠性考慮,控制器在物理上可以分布布置),SDN控制器與數(shù)據(jù)平面通過D-CPI(Data-Controller plane Interface)通信、應(yīng)用平面與控制器通過A-CPI(Application-Controllers plane Interface)通信,OSS通過管理接口與SDN控制器通信,SDN架構(gòu)的可編程性和靈活性,使新的算法和應(yīng)用能夠高效地實(shí)現(xiàn),該架構(gòu)能夠支持處理多方的高層應(yīng)用。

        圖1 SDN架構(gòu)

        SDN 的可編程、靈活性強(qiáng)、支持第三方應(yīng)用等特性,使其能夠大大提高網(wǎng)絡(luò)的功能,同時(shí)也將帶來新的安全問題。

        2 SDN網(wǎng)絡(luò)的安全挑戰(zhàn)

        SDN全新的網(wǎng)絡(luò)架構(gòu)和特性也帶來比之前網(wǎng)絡(luò)更大的安全挑戰(zhàn),SDN的安全挑戰(zhàn)主要表現(xiàn)在以下方面:

        (1)網(wǎng)絡(luò)架構(gòu)

        在SDN網(wǎng)絡(luò)中,一個(gè)提供商的SDN控制器可以直接接入和控制其他廠家的SDN交換設(shè)備,給攻擊者提供了冒充控制器操縱其它SDN控制器的可能;SDN架構(gòu)需要不同域之間通過I-CPI接口進(jìn)行互通,域間必須具有建立信任、確定授權(quán)級(jí)別的機(jī)制,以防止濫用或搶占信道。

        (2)SDN新特性

        SDN的集中控制特性,使得控制器的安全至關(guān)重要,如果控制器受到攻擊,攻擊者可能惡意操縱網(wǎng)絡(luò)服務(wù)甚至控制整個(gè)網(wǎng)絡(luò)。

        SDN的可編程特性也可能帶來新的安全挑戰(zhàn),必須采取措施保證系統(tǒng)的完整性,確保第三方數(shù)據(jù)和開放接口安全可靠,主要有以下幾方面:

        ① 業(yè)務(wù)和資源分離

        運(yùn)營(yíng)商必須保證一個(gè)實(shí)體的業(yè)務(wù)管理和實(shí)時(shí)控制信息與其它實(shí)體完全分離,業(yè)務(wù)和資源分離以避免它們之間的干擾和錯(cuò)誤使用。

        ②第三方應(yīng)用和控制器間的信任問題

        可編程功能是一把雙刃劍,它能靈活實(shí)現(xiàn)市場(chǎng)驅(qū)動(dòng)新引入的應(yīng)用,但同時(shí)也給惡意攻擊應(yīng)用打開了大門。在應(yīng)用注冊(cè)點(diǎn)必須進(jìn)行認(rèn)證和不同級(jí)別的鑒權(quán),以避免控制器暴露。

        ③A-CPI和I-CPI接口的安全保護(hù)

        SDN系統(tǒng)一個(gè)控制器可以被上級(jí)控制器控制,或者需要與同級(jí)的其它控制器協(xié)同工作,這些接口缺乏安全保護(hù),攻擊者可通過A-CPI和I-CPI攻擊SDN網(wǎng)絡(luò),因此,在A-CPI和I-CPI接口必須增加安全保護(hù)。

        此外,SDN接口和協(xié)議的開發(fā)主要是在原有協(xié)議的基礎(chǔ)上,根據(jù)S DN的需要進(jìn)行更新或升級(jí),將安全能力加入到現(xiàn)有的技術(shù)(如 DNS、BGP)中。

        3 SDN安全規(guī)則

        針對(duì)SDN面對(duì)的安全挑戰(zhàn),ONF成立了SDN安全組,討論和制定SDN相關(guān)安全規(guī)則,以下8個(gè)SDN安全規(guī)則適用于SDN架構(gòu)的所有協(xié)議、網(wǎng)元和接口。

        3.1清晰定義安全依賴性和信任邊界

        SDN網(wǎng)絡(luò)中的不同網(wǎng)元間的安全相依性必須清晰,避免迂回的相依性,信任界限必須清晰。

        3.2確保健壯的身份識(shí)別

        安全的基礎(chǔ)是網(wǎng)絡(luò)中所有網(wǎng)元和用戶具有唯一的身份識(shí)別,以進(jìn)行有效的鑒權(quán)、認(rèn)證和審計(jì)

        健壯的身份識(shí)別應(yīng)具有以下特性:

        (1)在預(yù)先定力的范圍內(nèi),具有從其它實(shí)體識(shí)別實(shí)體擁有者的能力;

        (2)具備產(chǎn)生、修改和撤銷的能力;

        (3)通過加密機(jī)制,防止冒名頂替。

        應(yīng)用的場(chǎng)景:SDN 外部網(wǎng)元通過定義的接口訪問系統(tǒng)的一部分資源,必須進(jìn)行接入控制,通過不同權(quán)限級(jí)別對(duì)外部實(shí)體進(jìn)行鑒權(quán)和認(rèn)證。

        3.3建立基于開放標(biāo)準(zhǔn)的安全體系

        使用開放標(biāo)準(zhǔn)有利于移植和實(shí)現(xiàn)互操作。

        盡量采用已經(jīng)驗(yàn)證的的協(xié)議和方法,比如在加密、認(rèn)證、鑒權(quán)及完整性保護(hù)可采用現(xiàn)有的協(xié)議和算法,在現(xiàn)有存在的協(xié)議不能實(shí)現(xiàn)的情況下,才建議采用新的協(xié)議和算法。

        3.4保護(hù)信息安全三元組

        安全控制能提高系統(tǒng)的機(jī)密性、完整性和有效性,但引入安全機(jī)制時(shí),應(yīng)從整個(gè)系統(tǒng)架構(gòu)角度評(píng)估,需要考慮引入安全機(jī)制后,是否會(huì)減低整個(gè)系統(tǒng)的安全性能、是否帶來新的安全漏洞等問題。

        例如,如果引入新的集中安全控制服務(wù)器,需要評(píng)估引入的服務(wù)器是否易遭受DOS攻擊、是否影響系統(tǒng)性能、是否增加系統(tǒng)的復(fù)雜度和降低系統(tǒng)的性能,同時(shí)應(yīng)綜合考慮對(duì)安全需求、成本和維護(hù)方面的影響。

        3.5保護(hù)操作維護(hù)數(shù)據(jù)

        有效的安全控制直接受數(shù)據(jù)完整性的影響(如憑證或序列碼),它是下發(fā)操作維護(hù)指令的關(guān)鍵,不正確的數(shù)據(jù)將帶來預(yù)期以外的行為,失去機(jī)密性、完整性和有效性 。

        相關(guān)數(shù)據(jù)必須在狀態(tài)轉(zhuǎn)移和整個(gè)系統(tǒng)生命周期內(nèi)能夠安全地生成、處理、維護(hù)和傳送,例如在系統(tǒng)初始化、系統(tǒng)操作、系統(tǒng)備份、系統(tǒng)失效、系統(tǒng)恢復(fù)以及這些狀態(tài)之間的轉(zhuǎn)換。

        3.6使系統(tǒng)處于默認(rèn)的安全狀態(tài)

        安全控制應(yīng)能提供多種安全級(jí)別以滿足系統(tǒng)使用情況的需要,系統(tǒng)應(yīng)默認(rèn)定義一個(gè)最低限度的安全級(jí)別并自動(dòng)開啟主要的安全控制功能,并且這些安全控制功能能夠以某種方式進(jìn)行配置。例如,當(dāng)實(shí)現(xiàn)鑒權(quán)控制,確保默認(rèn)開啟鑒權(quán)功能。

        3.7安全控制應(yīng)具備可追溯性

        對(duì)系統(tǒng)安全而言,所有安全控制應(yīng)具備對(duì)所有狀態(tài)和行為的可審查功能,記錄數(shù)據(jù)應(yīng)包括足夠的信息,根據(jù)記錄的數(shù)據(jù),不僅能夠識(shí)別發(fā)生此安全行為的實(shí)體,而且能找出與之關(guān)聯(lián)的行為。

        3.8安全控制的可管理特性除上述7個(gè)安全規(guī)則外,當(dāng)新的架構(gòu)和標(biāo)準(zhǔn)引如新的安全控制時(shí),還需要考慮以下特性:

        (1)設(shè)計(jì)或引入新的安全控制時(shí),安全對(duì)象應(yīng)該很清晰;

        (2)引入新的安全控制,需考慮其可擴(kuò)展性,能后向兼容,或者能夠通過升級(jí),使現(xiàn)有的安全控制和傳統(tǒng)的能夠共存。

        (3)安全控制應(yīng)易于實(shí)現(xiàn),維護(hù)和操作;安全控制應(yīng)能自動(dòng)配置生效,具備監(jiān)控、故障處理、調(diào)試等功能。

        4 ONF協(xié)議的安全需求

        根據(jù)以上安全規(guī)則,開發(fā)或設(shè)計(jì)SDN ONF 協(xié)議相關(guān)的安全需求主要有以下幾方面:

        4.1清晰定義安全依賴性和信任邊界

        在安全應(yīng)用場(chǎng)景中,在每個(gè)信任邊界的雙方網(wǎng)元,信令數(shù)據(jù)交換前,必須執(zhí)行鑒權(quán)和認(rèn)證,信令分組必須提供分組級(jí)別的安全保護(hù),主要包括:

        (1)運(yùn)行ONF協(xié)議的兩個(gè)SDN網(wǎng)元間應(yīng)支持永久的鑒權(quán)。

        (2)當(dāng)一個(gè)SDN網(wǎng)元需要訪問或控制另一個(gè)SDN網(wǎng)元時(shí),SDN 安全協(xié)議應(yīng)提供認(rèn)證功能。

        (3)在交換協(xié)議分組前,SDN協(xié)議處理單元需對(duì)安全相關(guān)數(shù)據(jù)協(xié)商一致(如密鑰,算法等)。

        (4)為防止協(xié)議交換數(shù)據(jù)被攻擊者獲取,應(yīng)提供完整性保護(hù)和私密保護(hù)的安全機(jī)制。

        4.2健壯的身份識(shí)別

        (1)每個(gè)運(yùn)行ONF協(xié)議的實(shí)體(SDN設(shè)備或用戶),必須有一個(gè)明確標(biāo)識(shí)所有者身份的ID,該ID在認(rèn)證過程中應(yīng)通過加密進(jìn)行保護(hù)。

        (2)ONF協(xié)議中,在ID的生命周期內(nèi),需要考慮ID的管理問題(生成、分配、維護(hù)、撤銷等),在ONF安全方案中,ID管理應(yīng)作為一個(gè)基本的功能。

        4.3建立基于開放標(biāo)準(zhǔn)的安全體系

        (1)應(yīng)首先采用現(xiàn)有存在的安全協(xié)議和機(jī)制。

        (2)避免采用非標(biāo)準(zhǔn)或易受攻擊的算法、協(xié)議。如MD5和SHA-1易受攻擊,不建議使用。

        (3)具有清晰區(qū)分處理格式錯(cuò)誤和損壞的分組數(shù)據(jù)。ONF協(xié)議應(yīng)能正確處理實(shí)體間通信的格式錯(cuò)誤和損壞的數(shù)據(jù)。

        4.4保護(hù)信息安全三元組

        (1)SDN協(xié)議的安全方案應(yīng)考慮多層產(chǎn)生的安全問題;例如,應(yīng)正確保護(hù)下層傳輸協(xié)議的分組頭和信令消息。

        (2)協(xié)議規(guī)范應(yīng)在控制/數(shù)據(jù)層提供相關(guān)管理和速率控制機(jī)制,以應(yīng)對(duì)潛在的DOS/DDOS攻擊。

        (3)SDN控制協(xié)議應(yīng)能應(yīng)對(duì)未來網(wǎng)絡(luò)新出現(xiàn)的攻擊方式,易于擴(kuò)展以支持附加的信令消息。

        (4)安全控制協(xié)議應(yīng)使每條協(xié)議消息具有足夠的信息,以指示接收者能正確處理,如接受者能驗(yàn)證信息的完整性。

        4.5保護(hù)操作維護(hù)數(shù)據(jù)

        丟棄或不正確的某些操作維護(hù)數(shù)據(jù)會(huì)導(dǎo)致安全風(fēng)險(xiǎn),這些信息必須受到安全保護(hù),且只能被授權(quán)的實(shí)體訪問,這類信息包括接入控制策略、證書、私有密鑰、服務(wù)描述等。

        4.6使系統(tǒng)處于默認(rèn)的安全狀態(tài)

        (1)ONF協(xié)議安全方案需要規(guī)定各種不同的缺省配置,以便在系統(tǒng)更新、故障恢復(fù)和重啟中確保網(wǎng)絡(luò)設(shè)備的安全,這些默認(rèn)的信息包括缺省的行為、算法、密鑰長(zhǎng)度、證書類型和預(yù)先定義的接入控制策略等。

        (2)需要強(qiáng)制規(guī)范加密算法和安全協(xié)議。

        4.7安全控制應(yīng)具備可追溯性

        (1)設(shè)計(jì)ONF協(xié)議時(shí),關(guān)鍵的事件或故障需要記錄保存,以便審查分析。

        (2)所有來自不同SDN網(wǎng)元的記錄數(shù)據(jù)必須安全存儲(chǔ)(進(jìn)行完整性保護(hù)),當(dāng)需要傳送到遠(yuǎn)端服務(wù)器時(shí),需要對(duì)數(shù)據(jù)進(jìn)行加密和完整性保護(hù)。

        (3)需記錄不同SDN網(wǎng)元的關(guān)鍵狀態(tài)和計(jì)數(shù)器的信息,進(jìn)行監(jiān)控,以便檢測(cè)針對(duì)不同SDN網(wǎng)元的惡意活動(dòng)。

        4.8安全控制的可管理性

        除以上需求外,ONF協(xié)議的安全機(jī)制還需滿足以下需求:

        (1)安全機(jī)制應(yīng)支持各種各樣的安全算法,以便用戶可以選擇其滿意的安全算法,用戶可以根據(jù)不同的對(duì)象選擇不同的安全級(jí)別。

        (2)安全機(jī)制應(yīng)具備較強(qiáng)的可擴(kuò)展性,支持后續(xù)可方便引入新的算法或安全功能。

        (3)安全機(jī)制應(yīng)支持自動(dòng)的密鑰、證書管理功能。

        5 OpenFlow Switch 規(guī)范安全分析

        根據(jù)上述SDN ONF協(xié)議的安全原則和需求,下面對(duì)OpenFlow交換機(jī)規(guī)范(V1.3.4)進(jìn)行安全分析。

        主要從OpenFlow交換機(jī)、OpenFlow連接過程、加密、多控制器幾個(gè)方面進(jìn)行安全分析。

        5.1OpenFlow交換機(jī)安全分析

        OpenFlow交換機(jī)包括端口和流表兩個(gè)組件。各環(huán)節(jié)安全潛在問題和應(yīng)對(duì)方案分析如下:

        (1)端口

        OpenFlow交換機(jī)端口包括物理端口、邏輯端口和保留端口。

        ① 物理端口:

        潛在的安全問題:基于流量監(jiān)控的需要,OpenFLOw交換機(jī)的物理端口可以增加或修改,攻擊者可能通過修改交換機(jī)的物理端口發(fā)動(dòng)網(wǎng)絡(luò)攻擊。

        應(yīng)對(duì)方案:SDN控制器實(shí)時(shí)監(jiān)測(cè)OpenFlow交換機(jī)端口MAC地址或鏈路狀態(tài)的改變,防止攻擊者對(duì)交換機(jī)端口進(jìn)行惡意修改。

        ② 邏輯端口

        潛在的安全問題:OpenFlow交換機(jī)規(guī)范(V1.3.4)在端口統(tǒng)計(jì)消息中,沒有提供隧道ID(Tunnel ID)。

        應(yīng)對(duì)方案:端口統(tǒng)計(jì)消息增加隧道ID,控制器通過相關(guān)邏輯端口的隧道ID,準(zhǔn)確區(qū)分邏輯端口的統(tǒng)計(jì)信息.

        ③ 保留端口

        潛在的安全問題:應(yīng)用程序無法收集保留端口的統(tǒng)計(jì)信息。

        應(yīng)對(duì)方案:確??刂破髂苁盏奖A舳丝诘慕y(tǒng)計(jì)信息。

        (2)流表

        流表存在于OpenFlow交換機(jī),指示如何處理進(jìn)入交換機(jī)的流量,每個(gè)流表中條目包括數(shù)據(jù)頭、計(jì)數(shù)器和操作。

        ① 流表匹配的潛在安全問題:按照OpenFlow協(xié)議,任何進(jìn)入交換機(jī)的數(shù)據(jù)包都要與數(shù)據(jù)頭某一特定值進(jìn)行匹配,以確定數(shù)據(jù)包流的下一步操作,當(dāng)流表中沒有條目可以匹配的時(shí)候,默認(rèn)的操作是封裝數(shù)據(jù)包并發(fā)往控制器。然而,協(xié)議中沒有說明數(shù)據(jù)包格式錯(cuò)誤時(shí),如何處理。攻擊者可能利用這一漏洞,向交換機(jī)發(fā)送格式錯(cuò)誤的數(shù)據(jù)包,達(dá)到攻擊網(wǎng)絡(luò)的目的。

        應(yīng)對(duì)方案:建立檢查OpenFlow控制數(shù)據(jù)包格式錯(cuò)誤或數(shù)據(jù)錯(cuò)誤的機(jī)制,丟棄所有格式錯(cuò)誤或數(shù)據(jù)錯(cuò)誤的數(shù)據(jù)包。

        ② 流表不一致的潛在安全問題:當(dāng)交換機(jī)的流表被修改(如刪除)而沒有通知主控制器,交換機(jī)的流表信息與控制器掌握的不一致,將導(dǎo)致控制器和交換機(jī)不能正常處理數(shù)據(jù)包。

        應(yīng)對(duì)方案:交換機(jī)所有轉(zhuǎn)發(fā)狀態(tài)的改變必須通知控制器,確保交換機(jī)和控制器具有一致的轉(zhuǎn)發(fā)拓?fù)浣Y(jié)構(gòu),使交換機(jī)能夠正常轉(zhuǎn)發(fā)數(shù)據(jù)包。

        5.2OpenFlow連接過程的安全分析

        根據(jù)OpenFlow協(xié)議,OpenFlow控制器和交換機(jī)間連接建立過程如下:控制器和交換機(jī)間通過TCP三次握手過程建立連接,TCP連接建立后,控制器和交換機(jī)間互相發(fā)送Hello報(bào)文,當(dāng)Hello報(bào)文在交換機(jī)和控制器相互交換后,控制器與交換機(jī)之間就建立了連接,然后控制器向交換機(jī)的一條Openflow消息,目的是為了獲取交換機(jī)性能,功能以及一些系統(tǒng)參數(shù),交換機(jī)響應(yīng)功能請(qǐng)求報(bào)文(Feature Request)向控制器發(fā)送的功能響應(yīng)(Feature reply)報(bào)文,該報(bào)文中描述了OpenFlow交換機(jī)的詳細(xì)細(xì)節(jié)??刂破鳙@得交換機(jī)性能信息后,就可以開始OpenFlow協(xié)議特定操作。

        (1) 連接建立

        連接建立過程中潛在的安全問題:控制器和交換機(jī)間通過TCP三次握手過程建立連接,但是TLS消息沒有附加信息和對(duì)TCP頭的保護(hù)措施,也沒有管理認(rèn)證相關(guān)信息(如密鑰、證書等)。

        應(yīng)對(duì)方案:利用TCP-AQ等安全機(jī)制對(duì)TCP頭進(jìn)行保護(hù);增加管理認(rèn)證相關(guān)信息,例如,通過OF-Config協(xié)議配置和管理證書信息。

        (2)連接中斷

        連接中斷潛在的安全問題:當(dāng)交換機(jī)與控制器連接中斷后,交換機(jī)的安全級(jí)別可能會(huì)被降低。

        應(yīng)對(duì)方案:交換機(jī)發(fā)送一狀態(tài)改變消息通知控制器,控制器實(shí)時(shí)掌握交換機(jī)的當(dāng)前狀態(tài)。

        5.3加密

        加密潛在的安全問題:協(xié)議僅使用證書的認(rèn)證,未涉及基于預(yù)置共享密鑰消息的認(rèn)證。

        應(yīng)對(duì)方案:提供多種類型的認(rèn)證機(jī)制。OpenFlow 消息傳送時(shí),應(yīng)支持消息的完整性保護(hù)。

        5.4OpenFlow多控制器安全分析

        SDN架構(gòu)允許存在多個(gè)控制器,包括同等角色或主從關(guān)系多個(gè)控制器。

        同等角色的多控制器間可能存在潛在沖突,在控制器必須制于沖突解決機(jī)制或在規(guī)范增加附加的標(biāo)志位以檢測(cè)沖突流,如Check-OVERLAP;

        攻擊者試圖通過一個(gè)控制器操作控制另一控制器,或者試圖使從控制器請(qǐng)求成為主控制器,使合法的控制器更改為從控制器,從而控制整個(gè)網(wǎng)絡(luò)。必須采用嚴(yán)格的鑒權(quán)和認(rèn)證機(jī)制,避免攻擊者惡意操縱控制器。當(dāng)一個(gè)控制器試圖成為主控制器時(shí),需發(fā)送一個(gè)認(rèn)證消息給主控制器和其它所有控制器,以識(shí)別角色轉(zhuǎn)換,認(rèn)證通過,才能進(jìn)行角色更換。

        6 小結(jié)

        本文介紹的SDN應(yīng)遵循的安全規(guī)則,可應(yīng)用于基于ONF標(biāo)準(zhǔn)和結(jié)構(gòu)的SDN 設(shè)備中,使SDN設(shè)備具有統(tǒng)一實(shí)現(xiàn)安全的基本方式。根據(jù)安全規(guī)則,對(duì)SDN協(xié)議的安全需求進(jìn)行了分析,最后基于SDN的安全需求,對(duì)OpenFlow V1.3.4協(xié)議的安全問題和應(yīng)對(duì)措施進(jìn)行了探討和研究。

        參考文獻(xiàn)

        1[美]Thomas D.Nadeau,Ken Gray.軟件定義網(wǎng)絡(luò):SDN與OpenFlow解析[M].人民郵電出版社 ,2014-05

        2黃韜.軟件定義網(wǎng)絡(luò)核心原理與應(yīng)用實(shí)踐[M],人民郵電出版社,2014年9月

        3王淑玲,李濟(jì)漢,張?jiān)朴?,黃秉毅.SDN架構(gòu)及安全性研究[J],電信科學(xué),2013,3: 117-119

        4左青云,張海粟.基于OpenFlow的SDN網(wǎng)絡(luò)安全分析與研究[J],2015,(2):26-32

        5ONF TR-511.Principles and practices for securing softwaredefined networks_applied_to_OFv1.3.4_V1.0;http://www.opennetworking.org,January 2015

        6ONF.SDN security considerationsin the data center,http:// www.opennetworking.org,October 8 2015

        7ONF.OpenFlow switch specification Ver1.3.4,http://www.opennetworking.org,March 27,2014

        8ONF TR-504.SDN architecture overview,http://www.opennetworking.org,November,2014

        9ONF TR-518.Relationship of SDN and NFV.http://www.opennetworking.org,October 2015

        10ONF TR-516.Framework for SDN: Scope and requirements,http://www.opennetworking.org,June 2015

        DOI:10.3969/j.issn.1006-6403.2016.05.004

        收稿日期:(2016-03-07)

        猜你喜歡
        安全控制攻擊者交換機(jī)
        機(jī)械設(shè)計(jì)自動(dòng)化設(shè)備安全控制研究
        基于微分博弈的追逃問題最優(yōu)策略設(shè)計(jì)
        建筑施工現(xiàn)場(chǎng)的安全控制
        修復(fù)損壞的交換機(jī)NOS
        正面迎接批判
        愛你(2018年16期)2018-06-21 03:28:44
        使用鏈路聚合進(jìn)行交換機(jī)互聯(lián)
        有限次重復(fù)博弈下的網(wǎng)絡(luò)攻擊行為研究
        PoE交換機(jī)雷擊浪涌防護(hù)設(shè)計(jì)
        羅克韋爾自動(dòng)化交換機(jī)Allen-Bradley ArmorStratix 5700
        熱成像技術(shù)在食品質(zhì)量安全控制中的應(yīng)用
        欧美熟妇另类久久久久久多毛 | 国产精品成人一区二区不卡| 成人免费无码大片a毛片| 波多野结衣av手机在线观看| 亚洲国产美女在线观看| 国产网友自拍亚洲av| 亚洲自拍偷拍一区二区三区| 日韩精品专区av无码| 牛鞭伸入女人下身的真视频| 韩国女主播一区二区在线观看 | 国产精品99精品一区二区三区∴| 免费在线av一区二区| 亚洲三级视频一区二区三区| 久久香蕉国产线看观看精品yw| 国产精品-区区久久久狼| 久久无码中文字幕东京热| 91精品国产综合久久精品密臀| 国产精品无码一区二区三区电影| 亚洲精品人成无码中文毛片| 波多野结衣一区二区三区免费视频| 国产av一区二区三区天美| 亚洲人精品午夜射精日韩| 亚洲精品国偷自产在线99正片| 狠狠狠狠狠综合视频| 日本高清在线播放一区二区| 性欧美长视频免费观看不卡| 国产午夜精品久久久久免费视 | 热门精品一区二区三区| 在线精品国产亚洲av蜜桃| 亚洲人午夜射精精品日韩| 好爽受不了了要高潮了av| 人妻少妇激情久久综合| 日韩中文字幕有码午夜美女| 亚洲欧美成人一区二区在线电影 | 国产精品丝袜黑色高跟鞋| 蜜桃av多人一区二区三区| 国产国拍精品亚洲av在线观看| 人妻 色综合网站| 精品国产av无码一道| 免费国产不卡在线观看| 曰韩无码无遮挡a级毛片|