返回
基于openflow网络安全技术探究

基于openflow网络安全技术探究

ID:5994723

大小:34.50 KB

页数:11页

时间:2017-12-30

基于openflow网络安全技术探究_第1页
基于openflow网络安全技术探究_第2页
基于openflow网络安全技术探究_第3页
基于openflow网络安全技术探究_第4页
基于openflow网络安全技术探究_第5页
资源描述:

《基于openflow网络安全技术探究》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、基于OpenFlow网络安全技术探究  摘要:提出了一种采用隧道技术改进OpenFlow的方法,并使其应用在网络安全领域,以满足增强型网络安全设计的需要。同时,对OpenFlow在未来网络安全中的应用进行了展望。关键词:OpenFlow;SDN;网络安全;网络体系结构;云计算中图分类号:TP393文献标识码:A文章编号:2095-1302(2013)09-0065-030引言11OpenFlow是一种软件定义网络(SDN)的解决方案,它使得网络的灵活性大大增加。它是以在实际环境中测试新协议为初衷而开发的新技术。OpenFlow在使用新协议时不打断原有网络的正常运行,并且使用Open

2、Flow的网络转发设备(Switch)实现了与控制器(Controller)的标准接口,新的协议、转发方式不必重新开发网络转发设备,从而减少了不必要的麻烦(如厂家不愿意开放其技术细节,导致第三方无法进行对设备的灵活升级、使用)。OpenFlow技术使得网络更加灵活,已经成为软件定义网络的解决方案之一。现在已有的研究成果中,已出现了以OpenFlow技术实现QoS[1-3]、路由算法[4]等的方法,针对如何使用OpenFlow技术解决网络安全问题还是一个新的课题。本文以OpenFlow技术为基础,开展新型网络安全体系结构设计方法的探索。主要研究了OpenFlow技术;并为采用隧道技术

3、改进的OpenFlow网络安全设计方法进行了探索;给出了基于OpenFlow技术的增强型网络安全设计方法;最后为OpenFlow技术在未来网络安全中的应用进行了展望。1OpenFlow技术OpenFlow是斯坦福大学CleanSlate计划资助的一个开放式协议标准,同时也作为GENI计划的一个子项目,主要用于在现有网络上部署新的协议和新的业务应用[5]。OpenFlow技术主要由OpenFlow交换机、控制器Controller和虚拟化FlowVisor组成[1]。OpenFlow交换机[6]完成数据转发;控制器Controller完成转发策略的判断;虚拟化FlowVisor提供一

4、个虚拟化层,使得多个控制器可以控制同一个交换机。图1OpenFlow技术组网结构为了简单起见,先不考虑网络虚拟化问题,那么一个基本的OpenFlow技术组网结构如图1所示,它包括OpenFlow交换机(Switch)和OpenFlow控制器(Controller)。当第一个数据包到达Switch后,由Switch使用OpenFlow协议通过安全通道(Secure11Channel)将它转发至Controller,Controller上的软件进行转发决策,将转发决策下发到Switch的流表(FlowTable)中,后续数据包按FlowTable规则转发。安全通道是基于SSL协议的,保

5、证了控制器及系统的安全。它在设备与控制器之间采用证书认证的方式来进行合法设备的识别,以防未授权设备的接入,从而保证控制器和系统本身不受攻击。图2所示是OpenFlow交换机的流表。它包括三个部分,分别是MatchFields(表示匹配的流信息元组)、Counters(是一个数据包字节统计)、Instructions(表示针对这个流的处理方式)。每个流表项包括了一组Instructions,它们在当数据流匹配到这个表项时被执行。在Instructions中定义了一系列Action行为,如Apply-Actions、Clear-Actions、Write-Actions等。这些行为中可

6、根据ActionSet的内容具体执行。ActionSet中有几个“必须”Action,分别是Output、Drop和Group。图2OpenFlow交换机的流表2采用隧道技术改进的OpenFlow网络安全设计11如果实现网络安全设计,需要Controller进行逐包检测而不是按流转发(如上所述),因为按流转发只能完成最简单的包过滤防火墙的功能。为了结合目前最新的网络安全技术,如深度包/流检测,以达到对网络更细粒度的保护,需要改变按流转发的策略为按包检测。这样做在OpenFlow技术实现上是可行的,但按包检测进行转发会使网络传输速率下降,使得网络规模不会很大。本解决方案是将流转发至一

7、个线速的包处理器NetFPGA进行网络安全分析,以便在进行网络安全检查的同时提高转发速率,图3所示是基于OpenFlow技术的网络安全设计图。如果发起从PC1到PC2的访问,其过程又需要网络安全的保证,那么流量首先经过交换机,然后控制器更新交换机的流表,于是流量就从交换机通过隧道技术转发给了NetFPGA,由它来为转发的流进行安全性检测。如果通过,则将流解隧道封装转发到目的地PC2;不通过则丢弃。采用隧道技术进行传输的优势有三点:首先,隧道封装后不会丢失原始流的信息,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。