论文部分内容阅读
作为一种新兴的网络架构,软件定义网络(SDN,Software-Defined Networking)引起了学术和工业界的广泛关注。SDN体系结构的基本特征是控制平面与数据平面(或称转发平面)的物理分离,一个逻辑集中的控制平面可以收集信息、维护网络状态,并向数据平面提供指令,数据平面基于指令转发分组。控制平面与数据平面解耦的体系架构优势使得SDN动态、灵活的网络配置和新协议的快速部署成为可能。然而,SDN既面临传统网络的安全威胁,也面临其架构特有的安全威胁,安全问题已成为SDN大规模部署的掣肘,数据完整性以及通信的可信性与可靠性是网络安全的重要保证。SDN网络分组转发同样面临恶意节点攻击,如分组伪造与注入、分组篡改、分组丢弃与劫持;以及由于存在的软硬件缺陷、网络配置错误、流规则更新不一致等导致的分组实际传输路径与预期路径不一致的问题。SDN缺乏确保数据平面遵循策略或主动检查网络实际转发行为的工具,因此,对于数据平面节点的真实转发行为,控制平面为一无所知。现有SDN数据平面分组转发安全机制以分组转发安全验证、数据平面安全增强、分组转发异常检测以及路径一致性校验为代表的分组转发安全方案一定程度上增强了数据面分组转发安全,但面临如下几方面的挑战:一是现有分组转发安全机制通过移植传统网络分组转发安全思想——在分组头空间插入随分组转发路径长度增加而线性增加的密码验证字段,引入了较大的带宽与计算开销,降低了网络效率;二是分组转发验证及数据平面安全增强机制缺乏有效的网络异常定位机制;三是攻击者可以发动混合式攻击规避此类分组转发检测与防御机制;四是流分组转发路径一致性校验机制或向网络注入大量的非业务流量或插入与路径长度成线性比例的网络状态信息,增加了数据平面负载,降低了实际部署能力。全文将SDN数据平面分组转发安全作为重点研究对象,利用SDN架构所特有的集中控制、全局网络视图以及可编程的特性,针对SDN数据平面分组转发面临的安全威胁及分组传输路径一致性问题,为实现数据面分组转发可靠、可信以及可验证,提出了面向SDN数据平面分组转发若干高效的安全解决方案,本文主要研究工作如下:(1)提出了一种基于常量大小凭证的SDN数据平面分组转发验证方法带宽开销与计算开销是分组转发验证机制部署的制约因素。现有的SDN分组转发验证解决方案借鉴传统IP网络中的分组转发安全验证方法,向分组头空间中插入随传输路径增长而线性增加的密码标签字段,引入了较大的带宽开销与验证计算开销,增加了分组处理时延,降低了网络效率。本文提出了一种基于常量大小凭证的数据平面分组转发验证机制,保障了传输分组完整性与通信的可信性。机制基于布隆过滤器构造常量大小的分组验证凭证,其大小保持恒定且与流传输路径长度无关,交换机节点基于该凭证验证分组的完整性,控制器统计节点转发的分组计数信息,能有效定位网络异常。所提方法可有效防御恶意节点针对分组的攻击,与同类机制相比,其限制了插入的分组头字段开销,且验证操作次数更少,克服了现有机制线性增加分组头字段的缺点,降低了数据面节点验证开销与带宽开销。(2)提出基于端址重载的SDN数据平面分组转发安全增强机制为增强数据平面安全,保障SDN数据平面分组转发完整性、通信可信性并高效定位网络异常,提出了基于端址重载的数据平面分组转发安全增强机制。机制设计了一种信息“重载”技术,其核心思想在于分组概率验证与端址重载——摈弃了分组“原始”的数据完整性验证,采用基于短消息验证码的分组概率验证,利用短消息验证码重构网络流分组IP头中的地址和端口信息,实现分组端址信息重载,节点基于重载的端址信息验证分组完整性。与同类机制相比,基于信息“重载”技术,所提机制在增强数据平面分组转发安全的同时,无需插入额外的头空间字段,实现了无额外头空间开销,降低了插入额外头空间字段引入的带宽开销与转发时延,兼顾了安全与效率。此外,针对恶意的分组注入与丢弃攻击,理论分析了注入与丢弃攻击的异常检测阈值,实现了恶意攻击检测与异常定位,增强了数据平面安全。(3)提出了基于地址重载的SDN数据平面分组转发异常检测机制为解决控制器难以捕获针对分组实施的插入、删除、延迟、修改、重放、丢弃等复杂攻击,克服现有机制或基于计数器检测严格依赖于交换机时间同步问题、或通过为数据平面开发新的安全通信协议并嵌入额外的密码标签字段引入的计算与通信开销问题,通过引入有限的计算与通信开销实现高效分组转发,实时、准确检测分组传输过程中恶意的分组注入/篡改、丢弃/劫持等复杂攻击,提出了一种基于地址重载的SDN数据平面分组转发异常检测机制,其核心思想是传输分组的统计计数同步以及基于哈希的分组采样技术。机制借鉴移动目标防御中的地址跳变思想,设计了一种地址重载技术,克服了现有分组转发异常检测机制的缺点。基于地址重载,保证了流分组统计计数的同步;基于分组哈希采样,控制器能有效检测针对分组转发的复杂攻击行为;其最大优势是无需为数据平面开发额外的安全协议,对数据平面的修改很小,拥有较好的适用性,更易于实际部署。(4)提出了一种轻量级的基于带内网络遥测的分组转发路径一致性验证方法SDN存在的操作系统等软硬件漏洞、流规则更新不一致以及恶意节点非法篡改路径等问题,造成流分组传输会偏离控制器期望路径。而现有机制大多基于探针的方式或结合带内网络遥测技术验证路径一致性,引入了较大的网络开销。为避免引入过多的网络开销,减小数据平面通信负载,提出一个轻量级的基于带内网络遥测的SDN路径一致性验证机制。机制将分组转发和网络测量相结合,通过采样有效降低了网络开销:一是基于采样,减小遥测指令的嵌入,降低数据面负载开销;二是基于均匀遥测数据更新采样算法限制分组头空间开销;并通过启发式的流选择算法实现了全网的路径一致性验证。所提机制引入了很小的传输时延,兼顾了传输效率与路径验证开销之间的矛盾,有较好的近实时性与通用性。