基于openflow技术的增强型网络安全设计方法.docx
文本预览下载声明
基于openflow技术的增强型网络安全设计方法
0 基于提出和验证的关键技术开发方法
flat是一种解决方案,用于定义网络(sdn),这显著提高了网络的灵活性。它是以在实际环境中测试新协议为初衷而开发的新技术。Open Flow在使用新协议时不打断原有网络的正常运行, 并且使用Open Flow的网络转发设备 (Switch) 实现了与控制器 (Controller) 的标准接口, 新的协议、转发方式不必重新开发网络转发设备, 从而减少了不必要的麻烦 (如厂家不愿意开放其技术细节, 导致第三方无法进行对设备的灵活升级、使用) 。Open Flow技术使得网络更加灵活, 已经成为软件定义网络的解决方案之一。现在已有的研究成果中, 已出现了以Open Flow技术实现Qo S、路由算法等的方法, 针对如何使用Open Flow技术解决网络安全问题还是一个新的课题。
本文以Open Flow技术为基础, 开展新型网络安全体系结构设计方法的探索。主要研究了Open Flow技术;并为采用隧道技术改进的Open Flow网络安全设计方法进行了探索;给出了基于Open Flow技术的增强型网络安全设计方法;最后为Open Flow技术在未来网络安全中的应用进行了展望。
1 系统的软件设计
Open Flow是斯坦福大学Clean Slate计划资助的一个开放式协议标准, 同时也作为GENI计划的一个子项目, 主要用于在现有网络上部署新的协议和新的业务应用。Open Flow技术主要由Open Flow交换机、控制器Controller和虚拟化Flow Visor组成。Open Flow交换机完成数据转发;控制器Controller完成转发策略的判断;虚拟化Flow Visor提供一个虚拟化层, 使得多个控制器可以控制同一个交换机。
为了简单起见, 先不考虑网络虚拟化问题, 那么一个基本的Open Flow技术组网结构如图1所示, 它包括Open Flow交换机 (Switch) 和Open Flow控制器 (Controller) 。当第一个数据包到达Switch后, 由Switch使用Open Flow协议通过安全通道 (Secure Channel) 将它转发至Controller, Controller上的软件进行转发决策, 将转发决策下发到Switch的流表 (Flow Table) 中, 后续数据包按Flow Table规则转发。安全通道是基于SSL协议的, 保证了控制器及系统的安全。它在设备与控制器之间采用证书认证的方式来进行合法设备的识别, 以防未授权设备的接入, 从而保证控制器和系统本身不受攻击。
图2所示是Open Flow交换机的流表。它包括三个部分, 分别是Match Fields (表示匹配的流信息元组) 、Counters (是一个数据包字节统计) 、Instructions (表示针对这个流的处理方式) 。每个流表项包括了一组Instructions, 它们在当数据流匹配到这个表项时被执行。在Instructions中定义了一系列Action行为, 如Apply-Actions、Clear-Actions、Write-Actions等。这些行为中可根据Action Set的内容具体执行。Action Set中有几个“必须”Action, 分别是Output、Drop和Group。
2 网络安全设计
如果实现网络安全设计, 需要Controller进行逐包检测而不是按流转发 (如上所述) , 因为按流转发只能完成最简单的包过滤防火墙的功能。为了结合目前最新的网络安全技术, 如深度包/流检测, 以达到对网络更细粒度的保护, 需要改变按流转发的策略为按包检测。这样做在Open Flow技术实现上是可行的, 但按包检测进行转发会使网络传输速率下降, 使得网络规模不会很大。
本解决方案是将流转发至一个线速的包处理器Net FPGA进行网络安全分析, 以便在进行网络安全检查的同时提高转发速率, 图3所示是基于Open Flow技术的网络安全设计图。如果发起从PC1到PC2的访问, 其过程又需要网络安全的保证, 那么流量首先经过交换机, 然后控制器更新交换机的流表, 于是流量就从交换机通过隧道技术转发给了Net FPGA, 由它来为转发的流进行安全性检测。如果通过, 则将流解隧道封装转发到目的地PC2;不通过则丢弃。采用隧道技术进行传输的优势有三点:首先, 隧道封装后不会丢失原始流的信息, 以防直接改写流表造成原始流目的地址丢失;其次, 隧道封装后形成新流, 不会使新流和原始流 (刚进入系统且未经检查的流) 混淆;最后, 隧道封装后有利于与传统设备 (非Open Flow设备) 的兼容, 以便实现第3部分将要提出的增强型
显示全部