第一章 绪论
本章阐述了 SDN(Software Defined Networking,软件定义网络)中安全策略研究工作的背景和意义,首先分析了 SDN 网络安全性现状,从架构和策略两方面描述出现安全问题的原因和解决问题的思路,其次是论文的主要研究内容,最后是章节安排。
1.1 研究背景和意义
随着近年来网络服务受到拒绝服务攻击的威胁持续增大和网络安全漏洞的不断增多,网络管理员不得不制定更加全面有效的应对方案。故障排除作为网络管理员最常用的应对手段之一,由于其技术水平客观上仍处在一个非常原始的阶段,因此要求网络管理员从管理层面上制定更加有效的网络安全策略。在传统的网络中,网络管理员使用如 ping,traceroute,tcpdump,nmap,NetFlow 和 SNMP 等通用工具来统计分析和设计故障排除系统,但是管理一个复杂的网络,使用这些通用工具是不够的。对于复杂网络,网络管理员使用如 X-trace[1],Netreplay[2]等框架工具时,虽然一定程度上增强了故障排除的功能,但考虑到网络基础设施的复杂性和异构性,导致框架工具的使用范围仍然是很局限的。每当网络环境发生变化时,网络管理员都需要修改网络配置,而且由于网络中客观存在的不同类型设备、芯片技术和供应商提供的特定组件,成功的配置经验难以移植到其他生产环境中。
互联网架构的创新从网络出现开始就一直处于研究和探索的中心位置。政府机构和研究小组不断探索如何改善互联网架构,甚至重新设计互联网,尤其注重关于网络可编程性的问题。“主动网络”是美国国防高级研究计划局在 90 年代中期时的一个研究项目,给用户和网络运营商提供编程接口控制数据层面的网络元素,欧盟主动网络项目研究也含有类似的工作目标。ForCES[4](Forwarding and Control Element Separation,转发和控制元素分离)是 2002年提出的支持用户使用灵活的建模语言操作流表和数据流的项目,并且允许流级别的网络编程。虽然 ForCES 网络可编程性的前景很吸引人,但是在当时没有被任何生产网络所采用。
美国国家科学基金会发起的未来互联网体系结构项目,探索建立GEN(IGlobal Environment forNetwork Innovation,全球基础设施创新环境),同时呼吁网络创新,目标是 21 世纪中期在全球范围内开发下一代网络架构和测试的实验环境。
SDN[5](Software Defined Networks,软件定义网络)是一种新型的搭建网络的框架。通过转发平面和控制平面的分离,具有物理上分布式组网和逻辑上集中控制的特点,目的是使复杂的网络管理简单化,更好地支持网络创新和网络演化,希望解决传统互联网根本的“僵化”问题。因为 SDN 支持网络状态控制,所以开发人员能够利用 SDN 提供的接口进行细粒度网络编程,加强了网络的自动化管理和控制能力。
尽管 SDN 技术开始只是提供给研究人员在校园中进行网络实验,但在其从接口开发到成功部署的经验已经引起全行业的显着关注。大多数商用交换机的供应商在数据层开始提供SDN 南向接口 OpenFlow[6]的技术支持。SDN 的发展促使谷歌、Facebook、雅虎、微软、Verizon和德国电信等跨国公司和运营商联合成立 ONF[7](Open Networking Foundation,开放网络基金会),目的是通过开放标准推动 SDN 在生产网络中的发展。SDN 的部署难题由最初理论研究到提出可扩展性解决方案,特别是控制器逻辑上的集中控制所隐含的物理上分布式部署,SDN 的部署也逐渐从一个学术活动开始演变到商业上成功运营。谷歌公司在全球互联的数据中心里成功部署 SDN 就是一个例子,这次部署帮助公司显着提高了运营效率,同时还降低了网络维护的成本。Cisco 公司作为全球最大的 IT 企业之一,最近也加入 ONF,而由其领导的OpenDaylight[8]开源控制器项目的成功研发经验再次说明 SDN 商业上的重要性。
1.2 研究现状
随着 ForCES[4],SANE[9],Ethane[10]和 4D[11](Decision, Dissemination, Discovery, and Data)等项目的不断提出,2007 年基于 OpenFlow 的 SDN 架构初具规模,其主要部署在斯坦福大学的校园网和美国国家科学基金会的 GENI 网络环境中。OpenFlow 的成功部署经验说明无论在校园网或生产网络,SDN 相比于传统网络都有许多优点:(1)网络可编程性使网络管理员可以更细粒度地管理校园网络。(2)SDN 架构解决了数据层的异构性问题,推动网络创新,便于在校园网或生产网络里面大规模试验部署。(3)网络切片允许在相同基础设施中存在多个并发实验,提供研究人员真实的网络环境进行实验研究,得到更加可信的网络实验结果。这些早期研究项目的相同点是主张数据平面和控制平面分离,具有逻辑上的集中控制。
在安全方面影响力最大的是Ethane,2006年Ethane项目就演示了如何在校园网络中进行部署,以及配置访问控制所需要的安全策略。Ethane 项目允许网络管理员定义基于全局网络视图的安全策略,这些策略由控制平面自动下发给交换机,作为处理网络流量的规则。除了早期在安全性方面研究内容,下面本节从架构安全性和策略安全性两方面介绍在 SDN 网络中的研究现状。
1.2.1 SDN 安全架构现状
Shin 等人在文献[12]提出 CloudWatcher 安全架构,其中在控制器的内部没有任何的安全模块,而是使用外围的安全设备如入侵检测系统。由 OpenFlow 的控制器捕获网络到达的数据包,并将其转发到其连接的的安全设备。FRESCO[13]是为控制器提供安全应用的框架,同时其安全模块为开发人员提供了基于脚本语言的检测、保护等功能。如果网络管理员试图在没有额外空间的情况下安装一个流表项,控制器管理流表项的安全模块发现后执行垃圾收集程序,自动回收没有通过安全模块安装的流表项。Kumar 等人在文献[14]提出的安全构架在OpenFlow 交换机上配备入侵检测功能。交换机有一个扩展的流表,不同于标准的 OpenFlow交换机的流表,扩展内容包括带有攻击者的源 IP(Internet Protocol,网际协议)地址标签的黑名单。交换机在使用正常的流表进行数据包匹配前,先检查数据包是否出现在黑名单中,然后直接将发现异常的数据包丢弃。
胡章丰等人在文献[15]提出新型 SDN 安全架构并应用在云环境中,概括为 3 个层次。(1)Security via SDN,即利用 SDN 来构建安全系统;(2)Security for SDN,即用 SDN 来传递安全服务;(3)Security of SDN,即 SDN 自身的安全性。提出 SDN 安全性的研究内容集中在SDN 应用的安全性和自身的安全性,SDN 应用程序的漏洞也会成为 SDN 网络安全的主要威胁之一。Yao 等人在文献[16]提出 VAVE(Virtual sourceAddress Validation Edge,虚拟源地址验证边缘)安全框架用来防止源 IP 地址欺骗。在控制器中嵌入源地址验证模块,该模块检测到Packet-in 消息时,与有效的源 IP 地址的白名单作对比。安全框架还通过在 OpenFlow 交换机上面安装流规则提前检测和丢弃无效的数据包来减轻处理负荷。
1.2.2 SDN 安全策略现状
SDN 安全策略[5]分为两个研究方向,一个是使用 SDN 提高网络安全性,另一个提高 SDN自身的安全性。大部分安全策略是由应用程序强制执行安全检查来实现的,例如传统网络中在网络入口点(以太网的交换机)进行的强制安全检查。在 SDN 环境中,安全策略通过可编程设备在更广泛的网络范围内实施,在恶意数据包进入网络的关键区域之前阻止。
使用 SDN 来提高网络安全性,比如用于检测 DDoS 的洪泛攻击[17]和主动安全[18].因为OpenFlow 交换机能够及时收集各种来自网络的信息,因此利用 SDN 设计检测 DDoS 的洪泛攻击的算法非常方便。主动安全[18]利用 SDN 收集并统计数据信息的能力,通过应用程序主动地编程转发设备,形成主动的和智能的安全策略的实施技术。这种主动安全方法提出了一种新颖的反馈回路,以提高基础设施的安全防御能力,并提出五个核心能力:保护、感知、调节、收集、计数。在安全策略的实现方面,主动安全提供了一个编程接口用于检测攻击和整合不同来源的攻击,并将整合后的数据发送到收集设备上,由控制器执行安全策略进行阻止攻击。目前还有很多关于 SDN 的安全策略的研究工作,比如增强网络安全性和可靠性的研究项目[19][20][21].早期的研究项目[19]尝试运用简单的技术,如应用程序的分级机制和优先级的方式,以确保由安全应用生成的高优先级的规则不会被较低优先级的规则覆盖。其他的研究项目[22][23][24]尝试更进一步通过提供制定与安全策略相关的应用程序的框架。
尽管安全框架和安全策略的技术水平一直在提高,但是网络故障仍然随时都会出现,因此故障排除作为安全框架和安全策略的一部分,在计算机基础架构、并行和分布式系统、嵌入式系统和桌面应用程序中一直是重要的课题。故障排除策略主要分为两类,分别是类似GDB(GNU Project Debugger,GNU 项目调试器)的运行时调试策略和使用跟踪、重放与可视化的事后分析策略。随着故障排除技术不断进化和伴随着新技术出现,故障排除的效率不断地在提高,但目前这个领域还是存在很多研究问题。
1.3 论文主要研究内容
论文内容主要是关于 SDN 中的安全策略在控制平面上的应用研究。虽然 SDN 具有全局视图和集中控制的便利,用户可以根据需要灵活地选择拓扑和数据流,但是在增强了控制灵活性的同时,网络安全问题也成倍的增长,增加了网络故障排除的难度。网络管理员如果像对待传统网络那样,根据经验以对数据流进行逐步跟踪,时间上难以接受。考虑到 SDN 的特殊性,既需要对网络中的数据包进行状态检查,还需要对安全策略的实施进行检查。虽然安全策略能够通过控制器提供的接口进行集中管理,但是在一定程度上增加了管理上的复杂性,因此论文方案的研究目标,是在通过扩展的安全策略降低现有故障排除方案的困难性,并且增加的管理上的复杂性是可以实现的。
(1)研究现有 SDN 和 OpenFlow 协议面临的安全性问题,总结故障排除技术上的异同点,从管理员的角度分析在传统网络和 SDN 中面临这些问题后,借鉴传统网络中成熟的技术,研究合适的安全策略解决 SDN 中的面临的安全性问题。
(2)研究现有 SDN 安全策略的理论依据,主要是逆向转发的数据包回溯技术和路径查询技术的实现方案,综合分析两种技术的优缺点,详细说明两种技术的主要研究内容和不足之处,基于以上研究提出扩展的安全策略在 SDN 中应用的可行性,说明降低技术方案的使用上的复杂度的同时改进其不足之处。
(3)研究意向策略在数据包回溯中的作用,提出意向回溯方案和其具体实现步骤,结合数据层和控制层的数据包回溯技术,提供更加开放的网络接口,方便用户使用意向回溯方法开发和维护网络应用,使数据包回溯功能不限于网络管理员的分析工具。
(4)研究分类策略在现有故障排除方案中具有的作用,提出基于路径查询的故障排除框架,在发现、定位、测试故障过程中,使用路径查询的原语捕获数据包进行故障发现,结合故障排除算法进行定位,并在测试环境中进行故障类型使用安全策略进行分析。
1.4 论文章节安排
全文共分为六个章节,具体安排如下:
第一章 绪论。主要对 SDN 的背景进行了介绍,并对现有 SDN 安全状况从架构和策略两方面进行介绍。分析现有安全策略的难点,并且提出论文的研究内容,对全文的章节安排进行介绍。
第二章 相关背景知识介绍。主要介绍 SDN 网络和 OpenFlow 背景下,给网络安全策略研究带来的便利。结合论文主要研究内容数据包回溯技术和路径跟踪技术,进行要点分析和理论介绍。
第三章 基于 SDN 的安全策略扩展。首先从依赖关系和因果图的角度介绍回溯策略和故障排除策略两种现有 SDN 安全策略,以及这两种事件分析方法的不足之处。提出扩展的安全策略的目标,最后介绍扩展的安全策略的底层技术支持,逆向转发技术、路径查询技术和网络分层技术。
第四章 基于逆向转发的意向回溯策略。提出 SDN 中的意向回溯策略,结合意向策略对数据包回溯,利用意向特征屏蔽 IP 地址和端口等底层信息,根据用户意向定义应用、控制器、移动设备特征的回溯过程,分析在网络拓扑中的实现过程。
第五章 基于路径查询的分类故障排除策略。提出 SDN 中的基于路径查询的故障排除框架,根据分类策略发现网络中可能存在的故障,结合故障排除算法定位故障,提高故障排除的效率,结合回溯策略在测试环境中确定故障类型。
第六章 总结和展望。总结了论文的研究内容,并对未来的工作进行展望。
