• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      淺析SDN安全需求和安全實現(xiàn)

      2019-11-08 06:14:10李建新
      中小企業(yè)管理與科技 2019年29期
      關(guān)鍵詞:客戶機(jī)子網(wǎng)架構(gòu)

      李建新

      (中國電信股份有限公司寧夏分公司網(wǎng)絡(luò)監(jiān)控維護(hù)中心,銀川 750001)

      1 引言

      2007年,斯坦福大學(xué)的教授提出了SANE網(wǎng)絡(luò)體系結(jié)構(gòu)和Ethane網(wǎng)絡(luò)體系結(jié)構(gòu)[1],同時,為了使得企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理隨著科技的發(fā)展而不斷進(jìn)步,這種網(wǎng)絡(luò)體系結(jié)構(gòu)就應(yīng)運而生,這種網(wǎng)絡(luò)架構(gòu)憑借自身的技術(shù)優(yōu)勢和有效增強(qiáng)的技術(shù),被稱為網(wǎng)絡(luò)定義軟件,即網(wǎng)絡(luò)體系結(jié)構(gòu)作為傳統(tǒng)的網(wǎng)絡(luò)體系結(jié)構(gòu)的替代品,有效地解決了當(dāng)前和未來的網(wǎng)絡(luò)爆炸對網(wǎng)絡(luò)技術(shù)變革的需求。而在目前,隨著網(wǎng)絡(luò)安全事件的不斷發(fā)生,SDN網(wǎng)絡(luò)體系結(jié)構(gòu)和技術(shù)的不斷地發(fā)展,人們意識到網(wǎng)絡(luò)安全問題應(yīng)得到足夠的重視。近年來,許多學(xué)者對SDN網(wǎng)絡(luò)的安全需求和安全需求的實現(xiàn)進(jìn)行了研究[2]。

      2 SDN安全性簡介

      2.1 SANE架構(gòu)

      SANE是初期提出的一個比較理想化的網(wǎng)絡(luò)架構(gòu),這個網(wǎng)絡(luò)原型只運行了一個月。SANE網(wǎng)絡(luò)架構(gòu)中有一個集中控制器,內(nèi)部的交換機(jī)和主機(jī)都要根據(jù)控制需要進(jìn)行改造,才能支持這種網(wǎng)絡(luò)架構(gòu)的正常運行,SANE網(wǎng)絡(luò)架構(gòu)如圖1所示。

      圖1 SANE的架構(gòu)和流程

      集中控制器可以實現(xiàn)認(rèn)證網(wǎng)元、解析域名、全網(wǎng)拓?fù)鋵W(xué)習(xí)和權(quán)能生成功能,權(quán)能是SANE中的一種數(shù)據(jù)類型,指的是經(jīng)過加密的通信路徑信息。如圖1所示,首先,客戶機(jī)A和服務(wù)器B都要先在集中控制器處進(jìn)行認(rèn)證,從而獲得密鑰;隨后,服務(wù)器B向集中控制器發(fā)布服務(wù),客戶機(jī)A允許被訪問;接著,客戶機(jī)A向集中控制器請求訪問服務(wù)器B,集中控制器計算通信路徑,將計算結(jié)果和權(quán)能返回給客戶機(jī)A;最后,客戶機(jī)A就能訪問服務(wù)機(jī)B,每次權(quán)能有效時長為幾分鐘,如果客戶機(jī)A要再次對服務(wù)機(jī)B進(jìn)行訪問,則需要重新申請權(quán)能。綜上所述,SANE網(wǎng)絡(luò)架構(gòu)的數(shù)據(jù)傳輸效率和處理效率都比較低,不適合實際應(yīng)用,所以就有學(xué)者提出了Ethane網(wǎng)絡(luò)架構(gòu)。

      2.2 Ethane架構(gòu)

      相比于SANE網(wǎng)絡(luò)架構(gòu),Ethane是一個更適合實際應(yīng)用的網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)架構(gòu),不同于SANE網(wǎng)絡(luò)架構(gòu)中將控制報文頭加密進(jìn)行橫向傳輸,Ethane網(wǎng)絡(luò)架構(gòu)是將加密控制信息進(jìn)行縱向傳輸,也就是集中控制器和交換機(jī)之間使用安全信道來傳輸控制信息。Ethane網(wǎng)絡(luò)架構(gòu)中的集中控制器可以實現(xiàn)網(wǎng)元和用戶認(rèn)證、檢查通行許可、通信路徑計算、交換機(jī)管理功能。Ethane網(wǎng)絡(luò)架構(gòu)并不要求使用規(guī)定的認(rèn)證方法,也不需要交換機(jī)檢查權(quán)能,相比之下傳輸效率會更高,更適合實際應(yīng)用。

      2.3 SDN架構(gòu)

      和上述兩種網(wǎng)絡(luò)架構(gòu)相比,SDN網(wǎng)絡(luò)架構(gòu)具有更好的擴(kuò)展性,支持更加靈活的網(wǎng)絡(luò)部署方案、能實現(xiàn)更加精細(xì)高效的數(shù)據(jù)流控制。SDN網(wǎng)絡(luò)架構(gòu)支持對網(wǎng)絡(luò)設(shè)備進(jìn)行集中、自動化管理以及統(tǒng)一策略執(zhí)行,相比之下更為安全。除此之外,利用SDN集中控制器的API方式可以將傳統(tǒng)的網(wǎng)絡(luò)安全應(yīng)用集成到SDN網(wǎng)絡(luò)構(gòu)架中。

      圖2 SDN架構(gòu)

      綜上所述,SDN網(wǎng)絡(luò)架構(gòu)構(gòu)建了一個平臺,可以提供網(wǎng)絡(luò)安全服務(wù)來保證網(wǎng)絡(luò)安全。當(dāng)前的研究均認(rèn)為,現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)完全可以滿足SDN網(wǎng)絡(luò)架構(gòu)的安全需求,但是具體如何實施還在研究之中。

      3 SDN的安全需求

      一些研究人員認(rèn)為,SDN網(wǎng)絡(luò)體系結(jié)構(gòu)的安全需求主要集中在應(yīng)用和控制層面,一般用于授權(quán)、認(rèn)證控制層和基礎(chǔ)設(shè)施層,由于只有一個交換機(jī)和一個集中控制器,安全管理相對容易,現(xiàn)有控制方案的接口經(jīng)過一定改造后可以滿足網(wǎng)絡(luò)架構(gòu)的安全要求。如果交換機(jī)和控制器較多,網(wǎng)絡(luò)安全管理就比較復(fù)雜,應(yīng)充分考慮控制器之間的權(quán)限和控制器對交換機(jī)的訪問控制,而現(xiàn)有控制方案的接口無法滿足這種情況下的安全需求,如何在SDN網(wǎng)絡(luò)體系結(jié)構(gòu)中實現(xiàn)傳統(tǒng)的網(wǎng)絡(luò)安全應(yīng)用,如訪問控制、防火墻、入侵檢測和防御等,是值得研究的。安全應(yīng)用應(yīng)該在SDN網(wǎng)絡(luò)的體系結(jié)構(gòu)中實現(xiàn),與上述兩種網(wǎng)絡(luò)體系結(jié)構(gòu)相比,SDN網(wǎng)絡(luò)體系結(jié)構(gòu)可以降低成本,更靈活地實現(xiàn)一些傳統(tǒng)的應(yīng)用,甚至開發(fā)新的網(wǎng)絡(luò)安全應(yīng)用。

      4 基于SDN架構(gòu)的入侵檢測方案

      基于SDN架構(gòu)的新型入侵檢測方案中,包括兩層入侵檢測系統(tǒng),如圖3所示。

      圖3 基于SDN架構(gòu)的入侵檢測架構(gòu)

      Centernode入侵分析模塊由數(shù)據(jù)采集模塊、數(shù)據(jù)分析模塊等多個子模塊組成,通常采用中心監(jiān)控模式對邏輯子網(wǎng)中的數(shù)據(jù)進(jìn)行監(jiān)控和分析。

      數(shù)據(jù)分析模塊是Centernode的核心。由于WSN節(jié)點以相同的頻率發(fā)送數(shù)據(jù),因此,在同一時間段內(nèi)收集的數(shù)據(jù)量應(yīng)該相等。

      ①子網(wǎng)中的每個節(jié)點都將收集到的信息發(fā)送到Centernode,因此,從節(jié)點Centernode接收到的數(shù)據(jù)總量在同一時期不會有太大的變化。此時,可以計算一次中心節(jié)點處的最大值。如果計算出的Hurst值在0.5到1之間,可以說數(shù)據(jù)流模型符合自相似特性,然后可以判斷邏輯節(jié)點入侵有沒有發(fā)生在相應(yīng)的子網(wǎng)中。如果Hurst值不在0.5到1的范圍內(nèi),則一個或多個節(jié)點在子網(wǎng)中可能會被入侵。

      ②在子網(wǎng)中,Centernode計算每個節(jié)點發(fā)送的數(shù)據(jù)流量的Hurst值,以確定哪個節(jié)點受到了入侵。

      ③Centernode以兩種方式響應(yīng)入侵:被動響應(yīng)和主動響應(yīng)。被動響應(yīng)通常包括報警、修改網(wǎng)絡(luò)日志和向上層發(fā)送信息。主動響應(yīng)在處理入侵時更有效,包括切斷入侵源和中斷當(dāng)前進(jìn)程。為了減少入侵造成的邏輯子網(wǎng)損失,當(dāng)入侵者數(shù)量較少時,Centernode可以隔離這些節(jié)點。如果有更多的入侵者,Centernode必須更改本地網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)并動態(tài)更改數(shù)據(jù)流傳輸協(xié)議。

      ④在基于SDN體系結(jié)構(gòu)的無線傳感器網(wǎng)絡(luò)入侵檢測系統(tǒng)中,Masternode可以提供用戶界面,具有很強(qiáng)的可編程性和可擴(kuò)展性。用戶可以根據(jù)網(wǎng)絡(luò)情況實現(xiàn)自定義的檢測規(guī)則和實時檢測算法。Masternode支持整個WSN網(wǎng)絡(luò)的通信管理、邏輯控制和數(shù)據(jù)融合三重功能,是入侵檢測系統(tǒng)的邏輯控制中心。插入網(wǎng)絡(luò)的中心節(jié)點,將把每個邏輯子網(wǎng)絡(luò)的信息返回給主節(jié)點。主節(jié)點中的邏輯控制模塊、響應(yīng)模塊、分析模塊和通信模塊共同完成對信息的綜合分析和評價。Masternode將遵循Centprederno算法基于定義的檢測策略,首先計算接收到的總數(shù)據(jù)流的Hurst值,以確定邏輯子網(wǎng)是否被入侵。如果邏輯子網(wǎng)已被入侵,入侵檢測將被傳遞到邏輯子網(wǎng)。邏輯子網(wǎng)根據(jù)中心的入侵檢測模式執(zhí)行檢測算法。

      5 結(jié)語

      綜上所述,在當(dāng)今的時代,一定要對網(wǎng)絡(luò)的安全性予以高度的重視,本文對SDN網(wǎng)絡(luò)安全架構(gòu)進(jìn)行了分析,探討了SDN的安全需求和實現(xiàn)措施,希望能給相關(guān)工作的開展提供一定的理論參考。

      猜你喜歡
      客戶機(jī)子網(wǎng)架構(gòu)
      Reducing the global cancer burden with gastrointestinal screening: China’s 30 years practice
      一種簡單子網(wǎng)劃分方法及教學(xué)案例*
      基于FPGA的RNN硬件加速架構(gòu)
      功能架構(gòu)在電子電氣架構(gòu)開發(fā)中的應(yīng)用和實踐
      汽車工程(2021年12期)2021-03-08 02:34:30
      子網(wǎng)劃分問題研究及應(yīng)用
      LSN DCI EVPN VxLAN組網(wǎng)架構(gòu)研究及實現(xiàn)
      子網(wǎng)劃分的簡易方法
      一種基于FPGA+ARM架構(gòu)的μPMU實現(xiàn)
      基于安全協(xié)議的虛擬專用子網(wǎng)研究
      河南科技(2014年16期)2014-02-27 14:13:04
      瘦客戶機(jī):安全與便捷的選擇
      色达县| 克拉玛依市| 思南县| 德州市| 西充县| 临泉县| 文成县| 兴海县| 交城县| 襄汾县| 紫金县| 金溪县| 砀山县| 晋中市| 东明县| 宝清县| 高碑店市| 拜城县| 仪征市| 万荣县| 收藏| 太保市| 鹤山市| 玛多县| 惠来县| 临西县| 化州市| 北碚区| 江北区| 黄骅市| 黔江区| 凉城县| 出国| 石城县| 黎城县| 金坛市| 兴安县| 登封市| 潍坊市| 商丘市| 大余县|