所有提交的EM系统将被重定向到网上投稿系统.作者被要求将文章直接提交给网上投稿系统各自的日志。

SDN网络体系结构与安全问题综述

Gagandeep Garg1罗帕利·加格2
  1. 研究学者,印度昌迪加尔大学理工学院信息技术系
  2. 协调员,IT部,u.i.e.t., PU,昌迪加尔,印度
  3. <
有关文章载于Pubmed谷歌学者

更多相关文章请访问国际计算机与通信工程创新研究杂志

摘要

软件定义网络(SDN)是一种新兴的网络技术,它将数据流的控制逻辑与网络设备相分离。SDN使用单一的高级程序以编程方式修改网络设备的功能和行为。它将控制平面和数据平面分离,提供集中控制。SDN提供了几个好处,包括网络和服务的可定制性,改进的运营和更好的性能。但是有一些安全问题需要注意。本文介绍了SDN作为一种重要的新型网络技术的出现。主要重点是探讨SDN相关的安全问题。此外,本文还对SDN的显著特征进雷竞技苹果下载行了回顾和评价。

关键字

软件定义的网络、架构、OpenFlow、虚拟化、安全性。

介绍

软件定义网络是一种不断发展的技术,它将网络智能(即控制)与转发网络设备(如交换机、路由器、集线器等)分离开来。它将数据平面和控制平面分开。它通过单个高级程序以编程方式控制数据流。软件定义网络于2008年由加州大学伯克利分校和斯坦福大学的研究提出。一些社区,如Open Networking Foundation、OpenFlow等,都是为了推广SDN而建立的。SDN架构使网络控制成为直接可编程。它使用虚拟化使底层物理基础设施对应用程序和网络服务完全隐藏。高层控制程序使用OpenFlow等安全传输协议从控制平面传输到数据平面。OpenFlow是目前应用最广泛的SDN-Controller协议,用于安全控制流[1]。SDN的主要特点之一是将网络集中起来,提高了网络的灵活性和利用率。 Using SDN, we can easily infer the behaviour of our network. Abstraction in SDN keeps the complexity of data-paths hidden from operators that’s why SDN is easy to operate and maintain [2]. SDN provides reusability as single high level program can be implemented for multiple data-transfers. SDN provides rapid innovation by eliminating the dependence of hardware embedded services. SDN uses multiple controllers to provide reliability and handle the traffic-load in the network. Due to all these beneficial factors, several cloud service providers and big data centres are looking forward to SDN.
第二部分,我们回顾了SDN的历史,找出了它的概念从何而来。在第3部分,我们讨论了SDN架构和不同的平面。在4中,我们回顾了SDN的某些特征及其对当前传统技术的主导地位。5,讨论了SDN的安全性,以及不同的研究为SDN的安全提供的机制。最后,在6中,我们总结了本文,并讨论了SDN安全的未来工作。

背景与出现

SDN出现于2008年,但它起源于20世纪80年代末的早期技术。SDN是对网络控制点(Network Control Point)、主动网络(Active Networks)、路由控制平台(Routing Control Platform)等技术的改进而产生的。最初在分布式网络中,网络管理员发现网络配置可能有很多错误和不可预测。为了克服这个问题,人们使用了低级配置文件,并试图推断网络行为。但这是非常困难和耗时的。因此,他们在2004年开发了一个逻辑集中的控制平台,称为rcp -路由控制平台[3]。RCP使用现有协议作为控制通道,代表路由器计算路由。然后将这些路由通过现有协议(如域间bgp -边界网关协议)传输到转发设备,如图1所示。
但是,RCP的问题是控制的转移受到现有协议支持[4]的限制。因此在2005年,对其进行了进一步的修改,将RCP推广为4D架构,即数据、发现、传播和控制,如图2所示。数据部分只包含转发设备;发现部分检查数据传输资源的可用性;传播部分发现数据传输所遵循的网络拓扑结构;决策部分为转移过程中的控制提供了逻辑。
这种体系结构允许更好、更健壮的控制。但它非常复杂,响应时间也非常长。由于它的低效率,在2007年建立了一个新的架构,被称为“乙烷”。在乙烷中,定制硬件与域控制器一起使用。域控制器根据网络访问控制策略[5]计算流表项。然后将这些条目转移到定制的硬件设备。乙烷结构如图3所示。现在,乙烷的问题是它需要自定义开关作为其工作的转发元素。因此,实现全新硬件的成本非常高。它不提供与现有硬件的向后兼容性。 Finally people were looking forward to develop an architecture which could be able to provide backward compatibility; also could be able to implement the whole procedure and policies with centralized controller. In 2008, OpenFlow provided such architecture. OpenFlow provided a secure interface between controller and networking devices. This interface is compatible with both i.e. new policies of SDN controller and existing switch hardware’s flow-rule updating. OpenFlow is shown in Fig.4.
使用OpenFlow的体系结构被认为是迄今为止最合适的体系结构,因为它提供了从控制平面到数据平面[6]的安全控制传输。它根据高级控制程序的逻辑更新转发元素的流表项。2009年,SDN一词被创造出来并被广泛接受。OpenFlow只是SDN的一个实例,它提供了使用类似API的进程来配置交换机的协议。而SDN体系结构为高级自动化控制提供了可编程接口。

SDN架构

SDN架构包含应用、控制和数据三个独立的平面。这些不同的平面由不同的CPI(控制平面接口)连接。控制平面位于应用平面和数据平面之间。它通过这些CPI的[7]与它们进行通信。SDN的架构如图5所示,不同平面通过南向接口和北向接口连接。

数据平面:

在SDN的数据平面中,呈现不同的物理网络资源。这些可以是路由器、交换机、集线器、网桥等。数据平面包含提供网络资源视图的Agent,称为资源信息模型。数据平面通过D-CPI (Data- control Plane interface,数据控制平面接口)连接到SDN控制平面,也称为南向接口。数据平面通过D-CPI接收来自SDN控制器的控制信号。根据这些信号,网络设备在网络中进行包转发。数据平面的协调器与开放支持系统(Open Support System,开放支持系统)进行动态管理,处理可用的网络资源。

控制平面:

SDN的控制平面是SDN体系结构的核心部分。它包含SDN控制器,提供集中控制。所有关于数据包转发、网络交换决策和网络路由的编程逻辑都应该在SDN-Controller中动态编写。然后通过D-CPI或南向接口(如OpenFlow)将这个高级程序传输到数据平面。在分布式环境下,控制平面可以包含多个同步工作的sdn controller。控制平面agent通过A-CPI(应用控制平面接口)[4]将SDN控制逻辑连接到应用平面。A-CPI为应用程序和其他sdn - controller提供网络中可用网络资源的虚拟视图。控制平面中的协调器与数据平面中的协调器具有类似的管理功能。

应用平面:

SDN的应用平面包括安全系统、IDS、监控服务等应用,以及需要接入网络设备的一般应用。应用程序通过A-CPI连接到SDN控制器代理,并查看控制器代理提供的可用资源的虚拟视图。然后应用程序要求SDN控制器对这些资源进行服务以传输数据。SDN控制器通过程序确定有效的流量逻辑,并将控制发送到数据平面进行实际数据传输并确认应用。应用程序平面的协调器还管理分配给不同应用程序的资源。
除了SDN架构的数据与控制分离的范式外,SDN还克服了传统组网[8]的不同失败,这些失败包括:
•简单的技术能力无法处理现代大型数据中心
•与数据中心的其他设备相比,网络设备的成本较高。
•与创新速度不匹配。
SDN引入了服务器虚拟化,允许数据中心达到传统网络技术无法持续的规模。

SDN特性

SDN具有几个有助于增强网络和提高网络效率的特性,这使它成为网络和大数据中心有前途的未来技术。[9]的一些突出特性可以讨论为:

集中控制

网络智能在逻辑上集中在SDN控制平面,使我们对网络有一个全局的视野,整个网络看起来就像一个逻辑上的应用交换机。使用SDN,网络管理员从一个逻辑点获得对整个网络的独立于供应商的控制,这极大地简化了网络操作和设计。集中控制在分布式组网场景中非常有用。

抽象和虚拟化:

SDN在SDN架构中使用的分层方法的每一层上都采用了抽象转发,隐藏了网络中流量的复杂性。SDN通过提供网络可用资源的逻辑视图,抽象实际的流量控制逻辑,将网络的复杂性从应用程序中隐藏。路由器可以被划分成不同的虚拟网络,在这些网络上实现不同的程序逻辑。

可编程性:

SDN让我们可以自由地编写即时程序逻辑,动态地控制数据流。在传统网络中,交换机、路由器等网络设备会自行计算流量的最佳路径。因此,由于网络设备只进行数据包转发,从而最大限度地减少了网络设备内部路径计算的延迟,从而提高了数据流的速度。

快速创新:

SDN有助于新业务部署的快速创新。在目前的传统网络设备中,服务已经嵌入到硬件中。这些设备自行执行路径计算等操作。因此,新应用程序的部署仅限于嵌入在硬件中的服务。而在SDN中,由于网络设备只进行报文转发,控制平面和数据平面的分离可以让我们快速部署无限的业务。
开放:
SDN提供了开放标准,因此一些开源社区,如OpenFlow、open Networking Foundation、ON。实验室等正致力于SDN的发展。SDN包含开放的编程API,任何网络管理员都可以根据自己的基础设施需求编写流量控制逻辑。这种开放性允许新的网络技术的灵活性和更快的增长。

SDN的安全性

确保SDN的安全是非常关键的领域,必须注意;因为SDN提供全局视图和可编程性来控制。与现有的传统网络相比,它还增强了我们SDN网络可能遭受的攻击威胁。这引起了我们对确保突出的SDN安全机制的关注。SDN集中控制包括某些好处,也包括我们网络上潜在的拒绝服务(DOS)攻击威胁的增加。攻击者只专注于攻击或发送虚假的多个服务需求请求的中心部分,这可能会导致流表项溢出或满,并导致拒绝服务。
为了应对这种威胁,SDN中定义了一些认证和信任规则。2006年,网络企业安全体系结构SANE (Secure architecture for Networked Enterprise)问世,该体系结构负责对主机进行身份验证。但它的实施需要对网络环境和基础设施进行极端的改变,这并不适用于所有组织。因此,提出了另一种不需要如此大的变化的架构,称为乙烷,具有可验证控制器。OpenFlow目前提供安全的网络控制传输。但这些方法仍存在一定的缺陷,仍面临一定的安全威胁,如流量泛滥、南向接口恶意注入数据等。入侵者的恶意编程逻辑实现也会造成更大的威胁,从而调用对编程的验证需求。所有这些方面都是集中研究软件定义网络安全的重要要求。
目前的安全研究在SDN的不同层引入了大量的虚拟化场景,使得攻击者无法了解我们的实际物理网络。同时,SDN对内部数据流进行了抽象,减少了入侵者[10]带来的恶意网络注入和流量泛滥。每一层的抽象都会造成重要的影响,并为攻击者提供难以突破的场景。在之前的SDN安全研究中提供的一些安全机制有:
•[11]中提出的调查显示了与SDN架构中定义的SDN分层框架相关的各种类型的安全威胁。这定义了不同的安全攻击,如数据泄漏,即欺骗,未经授权的访问,数据修改,拒绝服务,恶意应用程序等,可能在SDN框架的不同部分。
•SDN Scanner[12]利用网络报头字段变化扫描,扫描网络作为变化的报头字段,并记录每个数据包的响应时间。它比较响应时间,然后使用统计测试。利用SDN的指纹结果,可以以85.7%的准确率对SDN进行资源消耗攻击。因此,需要设计新的防御解决方案来克服这种威胁。
•AvantGuard[13]提出了新的架构作为数据平面扩展,以保护我们的网络免受控制平面饱和攻击,从而中断网络操作。avantguard引入了连接迁移,在数据平面现有的统计数据收集服务上执行触发器。它提供了对数据平面内不断变化的流动态的检测和响应。通过连接迁移,数据平面可以保护控制平面不受这种饱和攻击的影响。AvantGuard提高了对威胁的可伸缩性和响应能力,连接延迟开销为1%。
AMQ[14]提出了一种在数据中心检测和隔离不安全网络设备的技术,以免它们对网络产生负面影响。在发现潜在威胁时,AMQ会自动识别问题并下载解决问题所需的补丁。它自动允许设备重新加入网络的决议。在AMQ中,控制器上托管的两个主要安全网络服务模块(NSM)。首先,Bot-Hunter监控网络并实时检测恶意软件感染的主机。其次,威胁响应器NSM指示控制器启动隔离程序以隔离威胁。当主机被隔离时,Web代理通知器将被激活,以通知受感染主机上的用户安全性已受到损害。它只能用于中速链接。
•OpenWatch[15]提出了一种在待测流量聚合中执行自适应缩放的方法。它为异常检测器提供了更加灵活和交互式的界面,可以像端口扫描一样检测异常。该方法利用SDN网络的集中式视图,提供了一种在多个交换机之间智能分配流量计数任务的算法,以降低单个交换机的开销。提出了一种基于线性预测控制计数函数时空聚集的自适应算法。
OpenFlow网络社区(包括其他一些组织)正在每一层实现不同的抽象和虚拟化规则,以增强SDN的安全性。使用已有的协议,并设计新的协议,如实现中间箱和动态威胁怀疑监控系统。中间箱转换,检查,过滤和操作流量,包括防火墙,nat网络地址转换器等。在这些安全机制的基础上,通过在SDN集中控制下实施入侵检测系统(IDS)和流量分析、数据流审计等检测手段,进一步探索SDN网络的安全威胁。

结论及未来工作

平面分离和SDN的各种特性使其成为非常高效的技术,这将是网络的未来。SDN的重要性在于它的特点是通过编程控制,包括集中控制,提供灵活性,有助于处理整个网络。在分布式SDN网络同步工作的情况下,它变得更加有利。此外,它还有助于控制、提供可伸缩性和管理大型数据中心的数据。资源的抽象和虚拟化有助于网络的安全和隐藏复杂性。还有不同的领域需要注意,比如SDN控制平面的安全,因为SDN的整个控制都集中在控制平面;因此,控制平面的安全是非常重要的,防止多次攻击是主要关注的领域。此外,SDN系统的开放性允许人们编写控制程序,因此必须设计一些协议或有效地使用现有协议,在实施之前检查编程逻辑的正确性,即检查身份验证和授权,以防止网络内部数据碰撞导致拥塞。南向接口的安全性需要特别注意,因为控制通过该接口进行传输。为防止DOS攻击而设计的程序。 Different anomalies in fuzzy logic need to handle which are causing obstructions to wide deployment of SDN.

数字一览

图1 图2 图3 图4 图5
图1 图2 图3 图4 图5

参考文献
















全球科技峰会