本发明专利技术涉及计算机技术和网络领域,尤其涉及一种基于SDN控制器的安全流过滤器及过滤方法。本发明专利技术可以让来自各种类型的未知流量信息在写入SDN控制器中流表之前,在流的必经之处建立安全流过滤器,让其进行流的分析处理,识别各种攻击或者嗅探流量,保证流表中数据的合法性,弥补防火墙带来的不足。本发明专利技术对现有网络是透明的,不需要修改现有网络的任何网元和架构,而且使用DPDK驱动程序使得流量过滤效率极高,不影响网络性能。本发明专利技术在不修改已经存在的SDN网络的前期下,利用最小的投资,加固整个网络的安全性。
【技术实现步骤摘要】
本专利技术涉及计算机技术和网络领域,尤其涉及软件定义网络(SDN)和网络安全控制领域。
技术介绍
对于创新的新技术而言,人们很容易忽略安全问题。专利技术人在部署SDN时注意到几个安全问题,使得SDN技术面临诸多挑战,如恶意数据流、交换机流表篡改,应用程序漏洞、数据管理机密性与可用性威胁等,这些都是传统网络中常见的攻击,在SDN网络中依然存在。大多数软件定义网络的安全问题主要围绕控制器本身,控制器可以被认为是交换/路由的“大脑”,它允许来自每个系统的控制平面得到集中管理。控制器一旦失效,整个网络就会崩溃。对于安全管理人员而言,SDN的最大挑战是不惜一切代价地保护控制器。现在“大脑”已经从路由器或交换机中取出,并使用新的控制器来替代。一个很重要的安全问题是了解和审核谁访问过控制器以及控制器在网络中的位置,访问控制器可能让攻击者完全控制,因此,必须保护控制器的安全。网络信息在控制器上的维护,通常依赖开辟专门的存储模块。控制器及应用程序根据网络状态下发策略。控制器维护的网络信息分为静态和动态两种。由于可控制器根据网络信息在网络中执行相应功能,当信息被非法写入时才会对网络传输产生破坏,因此控制器上网络信息维护的安全问题主要指数据完整性和可用性被破坏。数据信息被恶意程序或者攻击者篡改,是传统网络中常见的问题。在多控制器系统工作时,被篡改的控制器可以通过东西向接口修改其他控制器的信息,也可通过南北向的接口修改SDN交换机和应用程序的信息,扰乱正确的控制逻辑和用户数据。多控制器协同管理是存在数据可用性问题,比如,一个控制器节点出现错误导致与之协商的所有控制器都得到错误的网络信息,影响最终数据流向的策略。应用程序通过控制器提供的北向接口接入控制器,调用控制器管理资源,如果没有身份认证、权限管理、日志管理等功能模块,依然会出现传统网络中常见的非法应用程序接入、应用程序越权操作、绕过审计追踪等安全问题。此外,多个应用程序同时运行时可能由于控制逻辑完备性的缺失,导致策略不一致,主要表现为策略冲突和局部策略失效等问题。攻击者可能会将攻击目标锁定为网络中的网元。理论上,攻击者能够非法获取对网络的物理或虚拟访问权,或是威胁到已与SDN连接的主机,然后发动攻击破坏网元的稳定性。这种攻击类似于拒绝服务(DoS)攻击,或是一种企图攻击网元的模糊攻击。目前控制器与网元之间的通信使用了大量的API(应用程序编程接口)和通信协议。SDN南向通信可能会用到OpenFlow(OF)、OpenvSwitch数据库管理协议(OVSDB)、路径计算单元通信协议(PCEP)、路由系统接口(I2RS)、BGP-LS、OpenStackNeutron、开放管理基础设施(OMI)、Puppet、Chef、Diameter、Radius、NETCONF、可扩展消息处理现场协议(XMPP)、定位/标识分离协议(LISP)、简单网络管理协议(SNMP)、CLI、嵌入式事件管理器(EEM)、思科onePK、应用中心基础设施(ACI)、Opflex等协议。这些协议各自都有着一些确保与网络单元通信安全的方法。尽管如此,许多协议都非常新,部署者们可能并没有以最安全的方式设置它们。在目前的SDN安全攻击中,攻击者可以利用这些协议尝试着将一些新流实例化至设备的流表中。攻击者会企图伪造一些新流,以让不应当通过网络的流量被允许通过。尽管流量定向负责指导流量通过防火墙,但如果攻击者能够创建一个可绕开流量定向的流,攻击者将会攻击成功。如果攻击者能够控制流量转向自己设定的方向,那么他们可能会尝试利用这一功能对流量进行嗅探,然后发动“中间人(MITM)”攻击。由于目前SDN网络的安全性管理使用的技术大多和传统网络的技术大同小异,还没有形成专门针对SDN网络进行防护的技术和设备,而传统的技术过于复杂冗余,维护成本也非常的高,在目前SDN网络还不具有相当规模的情况下,适用程度不高。随着SDN网络安全性问题的日益显著,各种针对SDN网络的安全协议也会不断出现,传统的安全技术可扩展能力不足,也失去了软件定义(SoftwareDefine)的精髓。
技术实现思路
针对
技术介绍
的不足,本专利技术可以让来自各种类型的未知流量信息在写入SDN控制器中流表之前,在流的必经之处建立安全流过滤器,让其进行流的分析处理,识别各种攻击(中间人、Dos等)或者嗅探流量,保证流表中数据的合法性,弥补防火墙带来的不足。同时本专利技术能够处理和控制SDN交换机ACL,能够组建全局中的流视图、各类策略库、规则库和日志库等,能够动态实时管理安全设备,根据策略协调安全设施。本专利技术的技术方案是:一种基于SDN控制器的安全流过滤器,包括流监测器、流用户管理模块、流生成器、策略规则管理模块、安全设备管理模块、安全信息库,其特征在于:所述的流用户管理模块获得用户信息,在经过策略规则管理模块审核通过后,将用户信息写入安全信息库;如果审核未通过,属于非法用户,直接向OrchestrationLayer层的管理模块发送报警信息;流监测器:使用DPDK架构和驱动程序,监控SDN网络北向应用程序和东西向SDN控制器发送的各种流,根据策略规则管理模块提交的信息对流是否合法进行审核,如果合法则将该流发送至流生成器模块进行转发,否则发送报警信息;流生成器:使用DPDK驱动程序,向网络中某个SDN控制器转发流信息;流生成器解析流监控器提供的流信息,获得该流需要发送的目标对象,根据目标对象信息从安全性信息库中查询目标控制器北向或东西向接口标准化数据,然后对其进行标准协议的解析,重新包装该流使其和发送对象控制器一致,对于源和目的地标准相同的流,该模块只进行透传策略规则管理模块:该模块定义SDN网络中的安全策略和规范,只有符合这些策略和规则的流才是合法的;安全设备管理模块:该模块管理现网的传统安全设备,并记录到安全信息库中;安全信息库:用户存储整个SDN网络的数据信息。根据如上所述的基于SDN控制器的安全流过滤器,其特征在于:所述的流用户管理模块获得的用户信息为:连接SDN网络的北向应用程序和东西向的SDN控制器,对SDN网络中已知的应用服务和相邻的SDN控制器进行注册,获得北向应用程序和东西向的SDN控制器发来的用户信息。一种基于SDN控制器的安全流过滤方法,其特征在于:它包括如下步骤:流用户管理模块根据接收到的流信息自动探测网络中具有已知的北向应用程序和东西向的SDN控制器信息,并将这些信息记录到安全信息库中;安全设备管本文档来自技高网...
【技术保护点】
一种基于SDN控制器的安全流过滤器,包括流监测器、流用户管理模块、流生成器、策略规则管理模块、安全设备管理模块、安全信息库,其特征在于:所述的流用户管理模块获得用户信息,在经过策略规则管理模块审核通过后,将用户信息写入安全信息库;如果审核未通过,属于非法用户,直接向Orchestration Layer层的管理模块发送报警信息;流监测器:使用DPDK架构和驱动程序,监控SDN网络北向应用程序和东西向SDN控制器发送的各种流,根据策略规则管理模块提交的信息对流是否合法进行审核,如果合法则将该流发送至流生成器模块进行转发,否则发送报警信息;流生成器:使用DPDK驱动程序,向网络中某个SDN控制器转发流信息;流生成器解析流监控器提供的流信息,获得该流需要发送的目标对象,根据目标对象信息从安全性信息库中查询目标控制器北向或东西向接口标准化数据,然后对其进行标准协议的解析,重新包装该流使其和发送对象控制器一致,对于源和目的地标准相同的流,该模块只进行透传策略规则管理模块:该模块定义SDN网络中的安全策略和规范,只有符合这些策略和规则的流才是合法的;安全设备管理模块:该模块管理现网的传统安全设备,并记录到安全信息库中;安全信息库:用户存储整个SDN网络的数据信息。...
【技术特征摘要】
1.一种基于SDN控制器的安全流过滤器,包括流监测器、流用户管理模块、流生成器、
策略规则管理模块、安全设备管理模块、安全信息库,其特征在于:
所述的流用户管理模块获得用户信息,在经过策略规则管理模块审核通过后,将用户信
息写入安全信息库;如果审核未通过,属于非法用户,直接向OrchestrationLayer层的管理模
块发送报警信息;
流监测器:使用DPDK架构和驱动程序,监控SDN网络北向应用程序和东西向SDN控
制器发送的各种流,根据策略规则管理模块提交的信息对流是否合法进行审核,如果合法则
将该流发送至流生成器模块进行转发,否则发送报警信息;
流生成器:使用DPDK驱动程序,向网络中某个SDN控制器转发流信息;流生成器解
析流监控器提供的流信息,获得该流需要发送的目标对象,根据目标对象信息从安全性信息
库中查询目标控制器北向或东西向接口标准化数据,然后对其进行标准协议的解析,重新包
装该流使其和发送对象控制器一致,对于源和目的地标准相同的流,该模块只进行透传
策略规则管理模块:该模块定义SDN网络中的安全策略和规范,只有符合这些策略和规
则的流才是合法的;
安全设备管理模块:该模块管理现网的传统安全设备,并记录到安全信息库中;
...
【专利技术属性】
技术研发人员:陈亮,何炜,张新全,蔡鸣,
申请(专利权)人:武汉邮电科学研究院,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。