浅析SDN安全需求和安全实现

来源: 万方数据
2013/12/12 9:45:14
鉴于互联网技术的发展历程经验,人们广泛意识到,网络设计的初期就应该考虑到其中的安全问题。于是近年来,也有不少对SDN的安全需求分析、安全解决方案提出,但是这一切都刚刚开始,本文对近年来的SDN安全进展做一个初步总结,对其中的解决方案做一个初步分析。

分享到: 新浪微博 腾讯微博
本文关键字: 网络 安全 SDN 信息

1.引言

2007年,作为斯坦福大学Clean State的项目成员,Casado M等人提出了SANE网络架构和Ethane网络架构,用于提供企业网络中的安全管理。由于技术本身的优势和相应的技术推广,这种网络架构被重新命名为软件定义网络(software defined networking,SDN ),并被认为是替代传统层次网络架构、解决当前和未来网络爆炸性需求的一种革新技术y。有意思的是,目前的SDN版本,例如基于OpenFlow的SDN对网络安全却很少提及。

鉴于互联网技术的发展历程经验,人们广泛意识到,网络设计的初期就应该考虑到其中的安全问题。于是近年来,也有不少对SDN的安全需求分析、安全解决方案提出,但是这一切都刚刚开始,本文对近年来的SDN安全进展做一个初步总结,对其中的解决方案做一个初步分析。

2.SDN安全性简介

2.1 SANE架构

SANE Casado M等人提出的一个理想的网络架构,原型实现后,在7个主机构成的Ethernet上运行了一个月。SANE的网络架构主要包含一个集中控制器(DC),其中的交换机、主机均要做相应改造,以支持这种架构,如图1所示。

\

图1 SANE的架构和流程

集中控制器的功能主要包括:认证所有网元、名称解析、全网拓扑学习、权能生成。其中权能(capability)是SANE引人的一个数据类型,即加密的路径信息。集中控制器和每个网元之间共享一个唯一密钥,为任意两个网元之间的通信计算路径,并根据路径上的网元和网元的密钥生成一个权能,每个数据报文都携带一个权能,途径上的每个交换机通过检查权能决定是否允许通行。

如图1所示,第1步,服务器B和客户机A都进行集中控制器认证,获得共享的密钥;第2步,服务器B发布服务,设置访问控制列表,其中客户机A被允许访问;第3步,客户机A向集中控制器请求访问服务器B,集中控制器从服务器B的访问控制列表中查到A的权限,计算A到B的路径,生成路径上的权能,发给客户机A;第4步,客户机A访问服务器B,每个Ethernet报文中都包含权能,权能有效期(设计为几分钟)后,客户机A如果要继续访问服务器B,就需要再次申请权能。

如上所述,SANE架构的效率比较低,不适合在实际中使用,因此Casado M等人又提出了Ethane架构。

2.2 Ethane架构

Ethane是个比较实用的提供集中网络安全管理的网络架构,它把SANE架构中横向传输的加密的控制报文头,变为纵向传输的加密控制信息—集中控制器和交换机之间通过安全信道传输控制信息。

共2页: 上一页1 [2]
责编:王雅京
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map