本发明专利技术公开了一种基于SDN的中间设备路径认证方法,可以检验并强制数据包按照用户既定的顺序和规则经过SDN网络中的各个中间设备。本发明专利技术在每个数据包上写入标签来代表数据包的网络路径状态,并在每个中间设备上添加标签生成和标签检测模块。每一个中间设备上分布式地检测标签的正确性,即可确保数据包的实际路径合法性。考虑到出口交换机需要最终认证数据包的实际路径,本发明专利技术结合映射表和多级流表的技术,使得出口交换机可以在使用较少内存的情况下,模拟加密运算以实现路径认证。本发明专利技术具有细粒度,实时性,硬件兼容性等现有方法所不具备的优点,有助于在实际中进行推广。
【技术实现步骤摘要】
一种基于SDN的中间设备路径认证方法
本专利技术涉及网络路径管控领域,具体涉及一种基于SDN的中间设备路径认证方法。
技术介绍
比起普通的路由转发设备,中间设备(Middlebox)是可以提供诸如流量工程(TrafficEngineering)和包检测(PacketInspection)等高级功能的特殊网络设备。由于能够提供众多的针对性功能,弥补了传统网络中的不足,中间设备在目前已经得到了广泛的应用。但是在传统网络当中,配置中间设备之间的转发规则是一个复杂而繁琐的过程,因为用户需要逐一手工配置不同中间设备和交换机上的转发规则,因而直接导致了以下的难点:中间设备的规则管理费时费力,平均来说,每十个中间设备就需要一个6至25人的专业小组负责管理;中间设备的规则配置和维护过程中也极易发生错误,超过50%的管理员认为配置错误是造成中间设备宕机的最为普遍的原因。针对这些不足,Sherry(Makingmiddleboxessomeoneelse’sproblem:networkprocessingasacloudservice,SIGCOMM,2012年)等人率先提出将中间设备向外转移到云中来降低管理成本。Sekar(Designandimplementationofaconsolidatedmiddleboxarchitecture,inNSDI,2012年)等人在另一个创新性的方法中提出将中间设备不同的功能整合到一个服务器当中,在降低成本的同时,也消除了一些中间设备的冗余模块。然而这些方法在实际当中并未得到广泛应用,这是由于它们需要对现有的中间设备进行根本性的改变而难以实施。软件定义网络(Software-DefinedNetworking,SDN)技术却可以在不用改变原有设备的前提下更灵活高效地设置中间设备的规则。与传统网络不同,一个含有中间设备的SDN网络包含三种主要的实体:控制器,交换机和中间设备。控制器集中了网络的控制权,保存有网络拓扑、路由和网络统计数据等全局信息,并与交换机和中间设备之间均有双向的网络通路。在SDN中配置中间设备的网络规则,用户只需要面向控制器提供的接口设置规则,控制器上的应用会将用户提供的规则拆分成交换机可读的转发规则,然后安装在相应的交换机上,最终使得数据包以用户指定的顺序和方式通过各个中间设备。相比于传统网络,SDN提供的统一的规则设置接口大大提高了用户友好性。然而这样的配置方式可能会使交换机的转发产生歧义:交换机上的规则只能简单地匹配数据包头中的某些域以及数据包的进入接口,而中间设备的存在可能会使得某些数据包通过相同的接口两次进入到相同的交换机,根据用户制定的规则,这两次转发的下一跳应该是不同的,但是交换机却难以区分它们。此外,诸如网络地址转换(NetworkAddressTranslation,NAT)中间设备还会改写数据包的包头,使得转发歧义的问题更加严重。Fayazbakhsh(Enforcingnetwork-widepoliciesinthepresenceofdynamicmiddleboxactionsusingflowtags,inNSDI,2014年)等人提出在数据包头上用一个特定的标签标记一个数据包在中间设备中的处理情况,交换机可以根据这个标签将上述情况中相同的数据包发往不同的下一跳,避免了歧义的产生。该方法要求改动中间设备的程序使其能够标记数据包,但是引入的改动较小,是一种易于部署的轻量级方法。采用此种方法会在没有安全措施的情况下信任标签,使得中间设备绕过攻击成为可能——网络中被攻击者控制的交换机,可以在包头标记后直接转发给下一跳的交换机而不经过相应的中间设备,下一跳交换机却仍然相信这些数据包已经经过了中间设备的处理。绕过中间设备违反了用户制定的规则,并可能引发网络性能下降以及严重的安全威胁。在已有的文献当中,有的研究提出了能够检测SDN网络中恶意交换机的方法,这些方法主要分为两类:一类是基于网络探针的方法,例如由Chiu等(Rapiddetectionofdisobedientforwardingoncompromisedopenflowswitches,inICNC,2017年)以及Chi等(Howtodetectacompromisedsdnswitch,inNetSoft,2015年)提出的,通过将探针数据包放入SDN网络,根据探针经过的路径是否和预期路径相符,来判断和找出网络中的恶意交换机。然而对于中间设备绕过攻击来说,这种方法是不起作用的。恶意交换机仅仅试图绕过中间设备,而探针仅仅能探测到交换机层面上的路径,因此无法准确判断出路径是否经过了制定的中间设备。此外,恶意交换机也可能在特定的数据包上进行恶意操作,而对探针包进行正常转发,这种情况使得该类方法可能出现假阴性,达不到安全标准的高精确度。另一类方法像Dhawan等(Sphinx:Detectingsecurityattacksinsoftware-definednetworks,inNDSS,2015年)和Kamisiński等(Flowmon:Detectingmaliciousswitchesinsoftware-definednetworks,inSafeConfig,2015年)等所提出的,采用网络流的统计数据分析的手段。恶意丢包或者恶意延迟数据包的交换机上的统计数据往往进出包数量不一致,或者是平均延迟更长,然而中间设备绕过攻击当中,交换机路径上的统计数据并不会产生上述的浮动。此外,该类方法不能达到包级别的检测粒度以及高度的实时性。
技术实现思路
本专利技术提供了一种基于SDN的中间设备路径认证方法,可以检验并强制数据包按照用户既定的顺序和规则经过SDN网络中的各个中间设备,不仅能有效检测SDN当中的中间设备绕过攻击,也能很好地预防此类攻击。一种基于SDN的中间设备路径认证方法,包括以下步骤:(1)控制器根据用户规则制定路径,路径上的每两个相邻设备Mi与Mi+1之间共享一个密钥keyi,i+1,路径上最后一个中间设备Mn与出口交换机E之间共享密钥keyn,e,其中1≤i<n;(2)当有数据包经过网络设备时,若该设备为出口交换机E,跳到步骤(3),若该设备为某一中间设备,跳到步骤(4);(3)通过自身的多级流表,模拟多段标签认证算法,若认证通过,跳到步骤(11),反之跳到步骤(10);(4)判断数据包是否设置了确定性标签dtag,若为真,跳到步骤(5),反之,跳到步骤(6);(5)调用标签认证算法TAGVERIFICATIONmd(·)验证确定性标签dtag以及或然性标签ptag,若通过验证,跳到步骤(6),反之,跳到步骤(10);(6)通过中间设备内部功能对数据包进行处理,生成确定性标签dtag并写入数据包头;(7)判断下一跳是否是出口交换机,若是,跳到步骤(8),反之,跳到步骤(9);(8)调用第一标签生成算法TAGGENERATIONeg(·)生成或然性标签,写入数据包后跳到步骤(11);(9)调用第二标签生成算法TAGGENERATIONmd(·)生成或然性标签,写入数据包后跳到步骤(11);(10)丢弃数据包,并告警通知用户;(11)将数据包送往下一跳。本专利技术需在每个本文档来自技高网...
【技术保护点】
1.一种基于SDN的中间设备路径认证方法,其特征在于,包括以下步骤:(1)控制器根据用户规则制定路径,路径上的每两个相邻设备Mi与Mi+1之间共享一个密钥keyi,i+1,路径上最后一个中间设备Mn与出口交换机E之间共享密钥keyn,e,其中1≤i<n;(2)当有数据包经过网络设备时,若该设备为出口交换机E,跳到步骤(3),若该设备为某一中间设备,跳到步骤(4);(3)通过自身的多级流表,模拟多段标签认证算法,若认证通过,跳到步骤(11),反之跳到步骤(10);(4)判断数据包是否设置了确定性标签,若为真,跳到步骤(5),反之,跳到步骤(6);(5)调用标签认证算法验证确定性标签以及或然性标签,若通过验证,跳到步骤(6),反之,跳到步骤(10);(6)通过中间设备内部功能对数据包进行处理,生成确定性标签并写入数据包头;(7)判断下一跳是否是出口交换机,若是,跳到步骤(8),反之,跳到步骤(9);(8)调用第一标签生成算法生成或然性标签,写入数据包后跳到步骤(11);(9)调用第二标签生成算法生成或然性标签,写入数据包后跳到步骤(11);(10)丢弃数据包,并告警通知用户;(11)将数据包送往下一跳。...
【技术特征摘要】
1.一种基于SDN的中间设备路径认证方法,其特征在于,包括以下步骤:(1)控制器根据用户规则制定路径,路径上的每两个相邻设备Mi与Mi+1之间共享一个密钥keyi,i+1,路径上最后一个中间设备Mn与出口交换机E之间共享密钥keyn,e,其中1≤i<n;(2)当有数据包经过网络设备时,若该设备为出口交换机E,跳到步骤(3),若该设备为某一中间设备,跳到步骤(4);(3)通过自身的多级流表,模拟多段标签认证算法,若认证通过,跳到步骤(11),反之跳到步骤(10);(4)判断数据包是否设置了确定性标签,若为真,跳到步骤(5),反之,跳到步骤(6);(5)调用标签认证算法验证确定性标签以及或然性标签,若通过验证,跳到步骤(6),反之,跳到步骤(10);(6)通过中间设备内部功能对数据包进行处理,生成确定性标签并写入数据包头;(7)判断下一跳是否是出口交换机,若是,跳到步骤(8),反之,跳到步骤(9);(8)调用第一标签生成算法生成或然性标签,写入数据包后跳到步骤(11);(9)调用第二标签生成算法生成或然性标签,写入数据包后跳到步骤(11);(10)丢弃数据包,并告警通知用户;(11)将数据包送往下一跳。2.根据权利要求1所述的基于SDN的中间设备路径认证方法,其特征在于,步骤(3)中,所述的多段标签认证算法,通过将流表设置成如下形式来实现:Table0:Tablej:Tablej+1×2l:…Tablej+(k-2)×2l:Tablej+(k-1)×2l:其中,Di表示第一标签生成算法中函数Samplei(·)采样的域,B表示输入的用于匹配的比特串,j表示当前流表的序号,函数表示采样函数Samplei(·)的采样长度,k表示样本数量,表示散列值进行Shuffle操作后在包头中所占的域,switchto操作表示跳转至某一序号的流表,forward表示将包发往下一跳,算子计算一个采样函数Samplei(·)的采样长度。3.根据权利要求1所述的基于SDN的中间设备路径认证方法,其特征在于,步骤(5)中,所述标签认证算法的具体运行过程如...
【专利技术属性】
技术研发人员:卜凯,杨昱天,郭梓轩,
申请(专利权)人:浙江大学,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。