本站原创
摘 要:提出了一种采用隧道技术改进OpenFlow的方法,并使其应用在网络安全领域,以满足增强型网络安全设计的需要。同时,对OpenFlow在未来网络安全中的应用进行了展望。
关键词:OpenFlow;SDN;网络安全;网络体系结构;云计算
2095-1302(2013)09-0065-03
0 引 言
OpenFlow是一种软件定义网络(SDN)的解决方案,它使得网络的灵活性大大增加。它是以在实际环境中测试新协议为初衷而开发的新技术。OpenFlow在使用新协议时不打断原有网络的正常运行,并且使用OpenFlow的网络转发设备(Switch)实现了与控制器(Controller)的标准接口,新的协议、转发方式不必重新开发网络转发设备,从而减少了不必要的麻烦(如厂家不愿意开放其技术细节,导致第三方无法进行对设备的灵活升级、使用)。OpenFlow技术使得网络更加灵活,已经成为软件定义网络的解决方案之一。现在已有的研究成果中,已出现了以OpenFlow技术实现QoS[1-3]、路由算法[4]等的方法,针对如何使用OpenFlow技术解决网络安全问题还是一个新的课题。
本文以OpenFlow技术为基础,开展新型网络安全体系结构设计方法的探索。主要研究了OpenFlow技术;并为采用隧道技术改进的OpenFlow网络安全设计方法进行了探索;给出了基于OpenFlow技术的增强型网络安全设计方法;最后为OpenFlow技术在未来网络安全中的应用进行了展望。
图1 OpenFlow 技术组网结构
为了简单起见,先不考虑网络虚拟化问题,那么一个基本的OpenFlow技术组网结构如图1所示,它包括OpenFlow交换机(Switch)和OpenFlow控制器(Controller)。当第一个数据包到达Switch后,由Switch使用OpenFlow协议通过安全通道(Secure Channel)将它转发至Controller,Controller上的软件进行转发决策,将转发决策下发到Switch的流表(FlowTable)中,后续数据包按FlowTable规则转发。安全通道是基于SSL协议的,保证了控制器及系统的安全。它在设备与控制器之间采用证书认证的方式来进行合法设备的识别,以防未授权设备的接入,从而保证控制器和系统本身不受攻击。
图2所示是OpenFlow交换机的流表。它包括三个部分,分别是Match Fields(表示匹配的流信息元组)、Counters(是一个数据包字节统计)、Instructions(表示针对这个流的处理方式)。每个流表项包括了一组Instructions,它们在当数据流匹配到这个表项时被执行。在Instructions中定义了一系列Action行为,如Apply-Actions、Clear-Actions、Write-Actions等。这些行为中可根据Action Set的内容具体执行。Action Set中有几个“必须”Action,分别是Output、Drop和Group。
图2 OpenFlow交换机的流表
本解决方案是将流转发至一个线速的包处理器NetFPGA进行网络安全分析,以便在进行网络安全检查的同时提高转发速率,图3所示是基于OpenFlow技术的网络安全设计图。如果发起从PC1到PC2的访问,其过程又需要网络安全的保证,那么流量首先经过交换机,然后控制器更新交换机的流表,于是流量就从交换机通过隧道技术转发给了NetFPGA,由它来为转发的流进行安全性检测。如果通过,则将流解隧道封装转发到目的地PC2;不通过则丢弃。采用隧道技术进行传输的优势有三点:首先,隧道封装后不会丢失原始流的信息,以防直接改写流表造成原始流目的地址丢失;其次,隧道封装后形成新流,不会使新流和原始流(刚进入系统且未经检查的流)混淆;最后,隧道封装后有利于与传统设备(非OpenFlow设备)的兼容,以便实现第3部分将要提出的增强型网络安全设计架构。至于NetFPGA的实现,则会有多种多样,可以将现有网络安全设备的研究成果用在这里。采用了基于OpenFlow技术的网络安全设计使得网络中的每个转发设备都具备安全性功能,因为它们在转发时要考虑控制器和NetFPGA的转发策略,而这些策略是通过网络安全技术人员精心设置的。例如,为了实现基于OpenFlow技术的网络安全设计,应对原始OpenFlow技术进行扩充。以下是笔者提出的具体改进方案:
图3 基于OpenFlow技术的网络安全设计
首先是在流表的Instruction的Action Set中增加check行为和tunnel_encap行为。给check行为定义三个值,分别是00(未进行安全检查)、11(安全检查完毕,确保安全)、10(安全检查完毕,不安全);同时也给tunnel_encap定义三个值,分别是00(不需要隧道封装)、11(需要隧道封装)、10(解封装)。
关键词:OpenFlow;SDN;网络安全;网络体系结构;云计算
2095-1302(2013)09-0065-03
0 引 言
OpenFlow是一种软件定义网络(SDN)的解决方案,它使得网络的灵活性大大增加。它是以在实际环境中测试新协议为初衷而开发的新技术。OpenFlow在使用新协议时不打断原有网络的正常运行,并且使用OpenFlow的网络转发设备(Switch)实现了与控制器(Controller)的标准接口,新的协议、转发方式不必重新开发网络转发设备,从而减少了不必要的麻烦(如厂家不愿意开放其技术细节,导致第三方无法进行对设备的灵活升级、使用)。OpenFlow技术使得网络更加灵活,已经成为软件定义网络的解决方案之一。现在已有的研究成果中,已出现了以OpenFlow技术实现QoS[1-3]、路由算法[4]等的方法,针对如何使用OpenFlow技术解决网络安全问题还是一个新的课题。
本文以OpenFlow技术为基础,开展新型网络安全体系结构设计方法的探索。主要研究了OpenFlow技术;并为采用隧道技术改进的OpenFlow网络安全设计方法进行了探索;给出了基于OpenFlow技术的增强型网络安全设计方法;最后为OpenFlow技术在未来网络安全中的应用进行了展望。
1 OpenFlow技术
OpenFlow 是斯坦福大学Clean Slate 计划资助的一个开放式协议标准, 同时也作为GENI 计划的一个子项目,主要用于在现有网络上部署新的协议和新的业务应用[5]。OpenFlow技术主要由OpenFlow交换机、 控制器Controller和虚拟化FlowVisor组成。OpenFlow交换机[6]完成数据转发;控制器Controller完成转发策略的判断;虚拟化FlowVisor提供一个虚拟化层,使得多个控制器可以控制同一个交换机。图1 OpenFlow 技术组网结构
为了简单起见,先不考虑网络虚拟化问题,那么一个基本的OpenFlow技术组网结构如图1所示,它包括OpenFlow交换机(Switch)和OpenFlow控制器(Controller)。当第一个数据包到达Switch后,由Switch使用OpenFlow协议通过安全通道(Secure Channel)将它转发至Controller,Controller上的软件进行转发决策,将转发决策下发到Switch的流表(FlowTable)中,后续数据包按FlowTable规则转发。安全通道是基于SSL协议的,保证了控制器及系统的安全。它在设备与控制器之间采用证书认证的方式来进行合法设备的识别,以防未授权设备的接入,从而保证控制器和系统本身不受攻击。
图2所示是OpenFlow交换机的流表。它包括三个部分,分别是Match Fields(表示匹配的流信息元组)、Counters(是一个数据包字节统计)、Instructions(表示针对这个流的处理方式)。每个流表项包括了一组Instructions,它们在当数据流匹配到这个表项时被执行。在Instructions中定义了一系列Action行为,如Apply-Actions、Clear-Actions、Write-Actions等。这些行为中可根据Action Set的内容具体执行。Action Set中有几个“必须”Action,分别是Output、Drop和Group。
图2 OpenFlow交换机的流表
2 采用隧道技术改进的OpenFlow网络安全设计
如果实现网络安全设计,需要Controller进行逐包检测而不是按流转发(如上所述),因为按流转发摘自:毕业论文目录www.udooo.com
只能完成最简单的包过滤防火墙的功能。为了结合目前最新的网络安全技术,如深度包/流检测,以达到对网络更细粒度的保护,需要改变按流转发的策略为按包检测。这样做在OpenFlow技术实现上是可行的,但按包检测进行转发会使网络传输速率下降,使得网络规模不会很大。本解决方案是将流转发至一个线速的包处理器NetFPGA进行网络安全分析,以便在进行网络安全检查的同时提高转发速率,图3所示是基于OpenFlow技术的网络安全设计图。如果发起从PC1到PC2的访问,其过程又需要网络安全的保证,那么流量首先经过交换机,然后控制器更新交换机的流表,于是流量就从交换机通过隧道技术转发给了NetFPGA,由它来为转发的流进行安全性检测。如果通过,则将流解隧道封装转发到目的地PC2;不通过则丢弃。采用隧道技术进行传输的优势有三点:首先,隧道封装后不会丢失原始流的信息,以防直接改写流表造成原始流目的地址丢失;其次,隧道封装后形成新流,不会使新流和原始流(刚进入系统且未经检查的流)混淆;最后,隧道封装后有利于与传统设备(非OpenFlow设备)的兼容,以便实现第3部分将要提出的增强型网络安全设计架构。至于NetFPGA的实现,则会有多种多样,可以将现有网络安全设备的研究成果用在这里。采用了基于OpenFlow技术的网络安全设计使得网络中的每个转发设备都具备安全性功能,因为它们在转发时要考虑控制器和NetFPGA的转发策略,而这些策略是通过网络安全技术人员精心设置的。例如,为了实现基于OpenFlow技术的网络安全设计,应对原始OpenFlow技术进行扩充。以下是笔者提出的具体改进方案:
图3 基于OpenFlow技术的网络安全设计
首先是在流表的Instruction的Action Set中增加check行为和tunnel_encap行为。给check行为定义三个值,分别是00(未进行安全检查)、11(安全检查完毕,确保安全)、10(安全检查完毕,不安全);同时也给tunnel_encap定义三个值,分别是00(不需要隧道封装)、11(需要隧道封装)、10(解封装)。
源于:毕业论文致谢范文www.udooo.com
源于:电大毕业论文www.udooo.com