|
浅析SDN安全需求和安全实现鉴于互联网技术的发展历程经验,人们广泛意识到,网络设计的初期就应该考虑到其中的安全问题。于是近年来,也有不少对SDN的安全需求分析、安全解决方案提出,但是这一切都刚刚开始,本文对近年来的SDN安全进展做一个初步总结,对其中的解决方案做一个初步分析。 集中控制器的功能包括认证网元和用户、许可检查、路由计算、交换机管理。Ethane并没有规定具体的认证方法,Casado M等人的原型实现中使用证书和SSL协议认证交换机和集中控制器,并用SSL加密集中控制器和交换机之间的通信。交换机不仅不需要检查权能,甚至不需要目前Ethernet交换机和3层交换机的一些功能。 2.3 SDN架构 SDN架构如图2所示,SDN具有如下优点:高可扩展性/高灵活性的网络部署、精细高效的数据流控制等。SDN提供对网络设备的集中式、自动化管理、统一的策略执行,和目前的网络架构相比提高了可靠性、安全性。而传统的网络安全应用,如访问控制、防火墙、人侵检测、人侵防御等也可利用SDN控制器的开放API实现或者方便地集成到SDN中。 图2 SDN架构 如上所述,SDN架构提供了一个平台,可以为它提供安全保障,并提供安全服务。大多数研究者认为,目前积累的网络安全技术完全能够胜任SDN的安全需求,如王淑玲等人提出的SDN安全技术架构和传统网络安全技术架构基本无差异。但是具体提供哪些安全机制,如何设计、实现。还在研究中。 3.SDN的安全需求 Hartman S和Wasserman M等人认为SDN的安全需求主要发生在应用层和控制层之间,包括应用的授权、认证、隔离以及策略冲突的消解。 控制层(或控制平面)和基础设施层(或转发平面)之间,在一个交换机被一个控制器控制的情况下,安全威胁模型比较简单,现有的OpenFlow中的相关规范经过细化后可以满足安全需求,而一个交换机被多个控制器控制的情况下,安全威胁模型比较复杂,需要考虑控制器之间的授权、增加控制器对交换机资源的细粒度的访问控制,这正是现有OpenFlow规范所缺乏的。 对于如何在SDN架构上实现传统的网络安全应用,如访问控制、防火墙、人侵检测、人侵防御等,或者如何定义SDN控制器的相关API以实现上述功能,也是一个值得研究的课题。 选择哪些网络安全应用在SDN架构上实现,也是要考虑的问题,一方面由于SDN API的局限,如基于DPI(深度报文检测)的安全应用不能作为SDN的一个应用实现;另一方面,放弃现有的软件实现而在SDN上重新实现,所花费的代价是否值得也是一个问题。SDN架构的优势在于低成本地、灵活地实现一些传统应用,甚至或许能够引出一些创新的网络安全应用服务。 责编:王雅京 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|