|
浅析SDN安全需求和安全实现鉴于互联网技术的发展历程经验,人们广泛意识到,网络设计的初期就应该考虑到其中的安全问题。于是近年来,也有不少对SDN的安全需求分析、安全解决方案提出,但是这一切都刚刚开始,本文对近年来的SDN安全进展做一个初步总结,对其中的解决方案做一个初步分析。 1.引言 2007年,作为斯坦福大学Clean State的项目成员,Casado M等人提出了SANE网络架构和Ethane网络架构,用于提供企业网络中的安全管理。由于技术本身的优势和相应的技术推广,这种网络架构被重新命名为软件定义网络(software defined networking,SDN ),并被认为是替代传统层次网络架构、解决当前和未来网络爆炸性需求的一种革新技术y。有意思的是,目前的SDN版本,例如基于OpenFlow的SDN对网络安全却很少提及。 鉴于互联网技术的发展历程经验,人们广泛意识到,网络设计的初期就应该考虑到其中的安全问题。于是近年来,也有不少对SDN的安全需求分析、安全解决方案提出,但是这一切都刚刚开始,本文对近年来的SDN安全进展做一个初步总结,对其中的解决方案做一个初步分析。 2.SDN安全性简介 2.1 SANE架构 SANE Casado M等人提出的一个理想的网络架构,原型实现后,在7个主机构成的Ethernet上运行了一个月。SANE的网络架构主要包含一个集中控制器(DC),其中的交换机、主机均要做相应改造,以支持这种架构,如图1所示。 图1 SANE的架构和流程 集中控制器的功能主要包括:认证所有网元、名称解析、全网拓扑学习、权能生成。其中权能(capability)是SANE引人的一个数据类型,即加密的路径信息。集中控制器和每个网元之间共享一个唯一密钥,为任意两个网元之间的通信计算路径,并根据路径上的网元和网元的密钥生成一个权能,每个数据报文都携带一个权能,途径上的每个交换机通过检查权能决定是否允许通行。 如图1所示,第1步,服务器B和客户机A都进行集中控制器认证,获得共享的密钥;第2步,服务器B发布服务,设置访问控制列表,其中客户机A被允许访问;第3步,客户机A向集中控制器请求访问服务器B,集中控制器从服务器B的访问控制列表中查到A的权限,计算A到B的路径,生成路径上的权能,发给客户机A;第4步,客户机A访问服务器B,每个Ethernet报文中都包含权能,权能有效期(设计为几分钟)后,客户机A如果要继续访问服务器B,就需要再次申请权能。 如上所述,SANE架构的效率比较低,不适合在实际中使用,因此Casado M等人又提出了Ethane架构。 2.2 Ethane架构 Ethane是个比较实用的提供集中网络安全管理的网络架构,它把SANE架构中横向传输的加密的控制报文头,变为纵向传输的加密控制信息—集中控制器和交换机之间通过安全信道传输控制信息。 责编:王雅京 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|