CN105072101B - 基于入侵容忍的sdn控制器端系统和安全通信方法 - Google Patents
基于入侵容忍的sdn控制器端系统和安全通信方法 Download PDFInfo
- Publication number
- CN105072101B CN105072101B CN201510455076.8A CN201510455076A CN105072101B CN 105072101 B CN105072101 B CN 105072101B CN 201510455076 A CN201510455076 A CN 201510455076A CN 105072101 B CN105072101 B CN 105072101B
- Authority
- CN
- China
- Prior art keywords
- sdn controller
- preposition
- message
- agency
- openflow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于入侵容忍的SDN控制器端系统和安全通信方法。该系统包括SDN控制器群组、交换机和至少一个前置代理;所述前置代理位于SDN控制器群组和交换机之间,负责将交换机发出的Openflow请求消息发往SDN控制器群组中的多个SDN控制器,并提取各个SDN控制器发出的Openflow应答消息中的流规则,对提取的流规则进行比对,如果比对结果满足预设的入侵容忍策略,则向交换机转发正确的Openflow应答消息。本发明能够提高SDN控制器的可用性和可靠性,为SDN网络提供安全保证。
Description
技术领域
本发明涉及SDN安全领域。更为具体的,本发明涉及一种基于前置代理群组和SDN控制器群组的具有入侵容忍能力的SDN控制器端系统,以及采用该系统的安全通信方法,以提高SDN控制器的可用性和可靠性,为SDN网络提供安全保证。
背景技术
SDN网络(Software Defined Network,软件定义网络)是一种新型网络创新架构,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制。与传统网络相比,SDN网络的基本特征有三点:其一是控制与转发分离,转发平面由受控转发的设备组成,转发方式以及业务逻辑由运行在分离出去的控制面上的控制应用所控制;其二是控制平面与转发平面之间的开放接口,SDN为控制平面提供开放可编程接口,通过这种方式,控制应用只需要关注自身逻辑,而不需要关注底层更多的实现细节;其三是逻辑上的集中控制,逻辑上集中的控制平面可以控制多个转发面设备,也就是控制整个物理网络,因而可以获得全局的网络状态视图,并根据该全局网络状态视图实现对网络的优化控制。
由于在SDN网络中,控制平面和转发平面的分离,网络控制统一集中到网络控制器,交换机与控制器之间通过Openflow协议进行通信,这使得网络控制器成为SDN网络的安全焦点,网络控制器的可用性和可靠性直接关系到整个网络的安全性。在现有的部署模式和安全手段下,由于安全攻击的不可预知,难以保证SDN控制器的安全性。
上述问题的根源在于安全攻击手段的无法预知,而SDN控制器对于底层网络具有完整的控制能力,所以只有对未知攻击具有一定的容忍能力才能保证SDN控制器的安全性,才能保证底层网络的安全性。
发明内容
针对在现有单一SDN控制器的局限,本发明提供了一种基于入侵容忍的SDN控制器7AEF系统,以及采用该系统的安全通信方法,能够提高SDN控制器的可用性和可靠性,为SDN网络提供安全保证。
为实现上述目的,本发明采用如下技术方案:
一种基于入侵容忍的SDN控制器端系统,包括SDN控制器群组、交换机和至少一个前置代理;所述前置代理位于SDN控制器群组和交换机之间,负责将交换机发出的Openflow请求消息发往SDN控制器群组中的多个SDN控制器,并提取各个SDN控制器发出的Openflow应答消息中的流规则,对提取的流规则进行比对,如果比对结果满足预设的入侵容忍策略,则向交换机转发正确的Openflow应答消息。
进一步地,所述SDN控制器群组中的各个SDN控制器运行不同的软件环境栈;所述前置代理为多个时,各个前置代理两两之间运行不同的软件环境栈。
进一步地,所述前置代理为多个,任意时刻只有一个活动的前置代理处于工作状态,剩余的前置代理处于备用状态,同时对活动的前置代理进行检测,一旦发现其行为异常,则从剩余的前置代理中选举出新的活动代理。
进一步地,所述入侵容忍策略表示为m/n,表示从至少n个SDN控制器中收到m个包含相同流规则的Openflow消息。
进一步地,所述前置代理将发送了可疑消息的SDN控制器移除出SDN控制器群组;如果不存在符合入侵容忍策略的Openflow消息,则前置代理向管理员预警,由管理员通过重新初始化系统进行恢复。
进一步地,所述前置代理以反向代理模式分别和SDN控制器和交换机数据连接。
一种采用上述系统的基于入侵容忍的SDN安全通信方法,其步骤包括:
1)前置代理收到交换机发出的Openflow请求消息时,对消息进行复制,同时发往多个SDN控制器;
2)前置代理收到控制器发出的Openflow应答消息时,对包含流规则的消息,提取其中的流规则进行比对,如果比对结果满足预设的入侵容忍策略,则向交换机转发正确的Openflow消息。
与现有技术相比,本发明的有益效果是:
本发明基于冗余和环境的多样性(软件环境栈的多样性)提供了具有一定入侵容忍能力的SDN控制器端系统方案,将前置Openflow代理群组透明接入到交换机和SDN控制器的交互过程中,实现对SDN控制器发往交换机的流规则的控制,通过保证SDN控制器端的可用性和可靠性为SDN网络提供安全保障。本发明能够实现对于少数SDN控制器被入侵进行容忍的同时,还具有良好的可扩展性。
附图说明
图1是本发明的基于入侵容忍的SDN控制器端系统示意图。
图2为前置代理处理Openflow请求消息和应答消息的示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面通过具体实施例和附图,对本发明做进一步说明。
图1是本发明的基于入侵容忍的SDN控制器端系统架构图。如图1所示,前置代理群组位于SDN控制器群组之前,在控制器之前接收来自交换机的Openflow消息(请求消息),然后复制转发给SDN控制器群组;在交换机之前接收到来自SDN控制器的Openflow消息(应答消息),分析比对其中的流规则,将包含了符合入侵容忍策略的Openflow消息转发给交换机。图2为前置代理处理Openflow消息的示意图。
上述方案中的入侵容忍能力依赖于冗余和软件环境栈的多样性,各个前置代理两两之间运行不同的软件环境栈(包括操作系统,运行环境和代理软件),各个SDN控制器两两之间运行不同的软件环境栈(包括操作系统,运行环境和SDN控制器软件);任意时刻只有一个活动的前置代理处于工作状态,剩余的前置代理处于备用状态,同时对活动的前置代理进行检测,一旦发现其行为异常,则从剩余的前置代理中选举出新的活动代理,前置代理以反向代理模式分别和所述交换机和多控制器建立连接,前置代理将交换机发往服务器的消息发往SDN控制器群组,然后将多控制器返回的消息中包含流规则的Openflow消息对其中的规则进行分析比对,如果符合入侵容忍策略则向交换机转发其中一份正确的消息,同时将发送了可疑消息的SDN控制器移除出群组;如果不存在符合入侵容忍策略的Openflow消息,则向管理员预警,管理员通过重新初始化系统进行恢复。
具体来说,整个方法的具体执行流程如下:
1)用户的网络控制逻辑需要在所有后端不同的SDN控制器环境上实现和部署。
2)用户配置所有前置代理的执行参数,包括入侵容忍策略、ID号、所有其他的前置代理的地址、所有后端SDN控制器地址、端口以及相关连接认证参数(如有必要)等,并与所有后端SDN控制器建立连接,并标记状态为“正常”。
其中,入侵容忍策略表示为m/n,表示前置代理从至少n个SDN控制器中收到m个包含相同流规则的Openflow消息,此时即判定为符合入侵容忍策略。也就是说,对于多控制器返回的消息中包含流规则的消息,前置代理对其中的规则进行比对,如果多数一致(比如m个一致)则判定为符合入侵容忍策略,即向交换机转发其中一份消息;同时还可将发送了不一致消息的SDN控制器移除出群组;如果不存在多数一致的消息,则向管理员预警,管理员通过重新初始化系统进行恢复。
3)用户配置SDN交换机的执行参数,包括后端前置代理的地址和端口,以及相关连接认证参数(如有必要)等,并与活动前置代理建立连接。
4)活动前置代理通过在前置代理群组中选举产生。
该步骤采用的选举方法是:在剩余的活动前置代理中,相互通报ID号,其中ID号最小的一个被选择出作为新的活动前置代理。
5)活动前置代理接收到来自某SDN控制器的Openflow消息,对于其中包含了流规则的消息如下处理,其他消息则进行转发:
a)如果其中包含的流规则未包含在现有会话中,则建立新的会话,设定定时器,等待其他SDN控制器的相关消息。
b)如果其中包含的流规则已包含在现有的会话中,而对该会话是否符合系统入侵容忍策略进行判定,如果已经符合该策略,则对当前的消息进行转发,同时继续等待直至收到所有SDN控制器下发该规则的消息时删除该会话。
c)对于超时的会话,如果该会话已被判定过符合系统入侵容忍策略,则对于该会话中被选择但未能收到包含对应流规则的SDN控制器,标记该SDN控制器的状态为“可疑”,并向管理员进行预警,管理员通过重新初始化系统进行恢复;如果该会话未被判定过符合系统容忍策略,则对于收到的包含对应流规则的SDN控制器,标志该SDN控制器的状态为“可疑”,并向管理员进行预警,管理员通过重新初始化系统进行恢复。
6)活动前置代理接收到来自交换机的Openflow消息,根据系统入侵容忍策略(m/n),在状态为“正常”的SDN控制器中选择至少n个控制器,复制该消息进行转发。
7)处于备用状态的非活动前置代理实时对活动代理进行检测,发现异常行为后在剩余代理中选择新的前置代理进行替换。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。
Claims (8)
1.一种基于入侵容忍的SDN控制器端系统,其特征在于,包括SDN控制器群组、交换机和至少一个前置代理;所述前置代理位于SDN控制器群组和交换机之间,负责根据入侵容忍策略,在SDN控制器群组的状态为正常的SDN控制器中选择至少n个SDN控制器,将交换机发出的Openflow请求消息发往选择的至少n个SDN控制器,并提取各个SDN控制器发出的Openflow应答消息中的流规则,对提取的流规则进行比对,如果比对结果满足预设的入侵容忍策略,则向交换机转发正确的Openflow应答消息;所述前置代理为多个,任意时刻只有一个活动的前置代理处于工作状态,剩余的前置代理处于备用状态,同时对活动的前置代理进行检测,一旦发现其行为异常,则从剩余的前置代理中选举出新的活动代理;所述前置代理将发送了可疑消息的SDN控制器移除出SDN控制器群组,所述可疑消息是指与所述正确的Openflow应答消息不一致的消息。
2.如权利要求1所述的系统,其特征在于:所述SDN控制器群组中的各个SDN控制器运行不同的软件环境栈;所述前置代理为多个时,各个前置代理两两之间运行不同的软件环境栈。
3.如权利要求1所述的系统,其特征在于:所述入侵容忍策略表示为m/n,表示从至少n个SDN控制器中收到m个包含相同流规则的Openflow消息。
4.如权利要求1所述的系统,其特征在于:如果不存在符合入侵容忍策略的Openflow消息,则前置代理向管理员预警,由管理员通过重新初始化系统进行恢复。
5.如权利要求1所述的系统,其特征在于:所述前置代理以反向代理模式分别和SDN控制器和交换机进行连接。
6.一种采用权利要求1所述系统的基于入侵容忍的SDN安全通信方法,其步骤包括:
1)前置代理收到交换机发出的Openflow请求消息时,根据入侵容忍策略,在SDN控制器群组的状态为正常的SDN控制器中选择至少n个SDN控制器,对消息进行复制,同时发往选择的至少n个SDN控制器;
2)前置代理收到控制器发出的Openflow应答消息时,对包含流规则的消息,提取其中的流规则进行比对,如果比对结果满足预设的入侵容忍策略,则向交换机转发正确的Openflow消息。
7.如权利要求6所述的方法,其特征在于:所述入侵容忍策略表示为m/n,表示从至少n个SDN控制器中收到m个包含相同流规则的Openflow消息。
8.如权利要求6或7所述的方法,其特征在于:所述前置代理接收到来自某SDN控制器的Openflow消息后,对于其中包含了流规则的消息如下处理:
a)如果其中包含的流规则未包含在现有会话中,则建立新的会话,设定定时器,等待其他SDN控制器的相关消息;
b)如果其中包含的流规则已包含在现有的会话中,而对该会话是否符合系统入侵容忍策略进行判定,如果已经符合该策略,则对当前的消息进行转发,同时继续等待直至收到所有SDN控制器下发该规则的消息时删除该会话;
c)对于超时的会话,如果该会话已被判定过符合系统入侵容忍策略,则对于该会话中被选择但未能收到包含对应流规则的SDN控制器,标记该SDN控制器的状态为“可疑”,并向管理员进行预警,管理员通过重新初始化系统进行恢复;如果该会话未被判定过符合系统容忍策略,则对于收到的包含对应流规则的SDN控制器,标志该SDN控制器的状态为“可疑”,并向管理员进行预警,管理员通过重新初始化系统进行恢复。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510455076.8A CN105072101B (zh) | 2015-07-29 | 2015-07-29 | 基于入侵容忍的sdn控制器端系统和安全通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510455076.8A CN105072101B (zh) | 2015-07-29 | 2015-07-29 | 基于入侵容忍的sdn控制器端系统和安全通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105072101A CN105072101A (zh) | 2015-11-18 |
| CN105072101B true CN105072101B (zh) | 2018-11-30 |
Family
ID=54501382
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510455076.8A Active CN105072101B (zh) | 2015-07-29 | 2015-07-29 | 基于入侵容忍的sdn控制器端系统和安全通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105072101B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105515844A (zh) * | 2015-12-01 | 2016-04-20 | 国家电网公司 | 一种提高软件定义网络可靠性的系统 |
| CN105553689B (zh) * | 2015-12-03 | 2018-12-28 | 中国科学院信息工程研究所 | 一种openflow消息中流规则等价快速判定方法 |
| CN105681193A (zh) * | 2016-03-02 | 2016-06-15 | 付宏伟 | 一个软件定义网络控制器系统 |
| CN106341396A (zh) * | 2016-08-24 | 2017-01-18 | 北京匡恩网络科技有限责任公司 | 一种具有入侵容忍的工业控制系统及安全防护方法 |
| CN107948217B (zh) * | 2016-10-12 | 2021-04-13 | 中国电信股份有限公司 | 交换机系统和通信方法 |
| CN108924085B (zh) * | 2018-05-24 | 2021-09-10 | 中国科学院计算机网络信息中心 | 网络调度方法、装置及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159539A (zh) * | 2007-11-20 | 2008-04-09 | 中国人民解放军信息工程大学 | 基于j2ee中间件规范的容忍入侵应用服务器及容忍入侵方法 |
| CN104125214A (zh) * | 2014-06-30 | 2014-10-29 | 北京邮电大学 | 一种实现软件定义安全的安全架构系统及安全控制器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150188893A1 (en) * | 2013-12-30 | 2015-07-02 | Arun Sood | Secure Gateway |
-
2015
- 2015-07-29 CN CN201510455076.8A patent/CN105072101B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159539A (zh) * | 2007-11-20 | 2008-04-09 | 中国人民解放军信息工程大学 | 基于j2ee中间件规范的容忍入侵应用服务器及容忍入侵方法 |
| CN104125214A (zh) * | 2014-06-30 | 2014-10-29 | 北京邮电大学 | 一种实现软件定义安全的安全架构系统及安全控制器 |
Non-Patent Citations (3)
| Title |
|---|
| 《The Design of a Generic Intrusion-Tolerant Architecture for Web Servers》;Ayda Saidane et al;《IEEE TRANSACTIONS ON DEPENDABLE AND SECURE COMPUTING》;20090331;第6卷(第1期);第4页-第8页,图3 * |
| 《一种基于入侵容忍技术的Web服务器系统设计》;龚榆桐;《MODERN COMPUTER》;20091031;全文 * |
| 《基于拜占庭协议的入侵容忍系统模型设计》;邹立新等;《计算机工程》;20050731;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105072101A (zh) | 2015-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105072101B (zh) | 基于入侵容忍的sdn控制器端系统和安全通信方法 | |
| US10181987B2 (en) | High availability of collectors of traffic reported by network sensors | |
| US7278055B2 (en) | System and method for virtual router failover in a network routing system | |
| WO2015188579A1 (zh) | 分布式虚拟防火墙装置、方法及防火墙控制器 | |
| WO2015109443A1 (zh) | 网络服务故障处理方法,服务管理系统和系统管理模块 | |
| WO2014131429A1 (en) | Traffic recovery in openflow networks | |
| CN104113428B (zh) | 一种设备管理装置和方法 | |
| JP2011091464A (ja) | ネットワーク構成の想定のための装置、システム | |
| CN105119820B (zh) | 路由协议多实例并行执行系统及其并行执行方法 | |
| CN105471610B (zh) | 一种使用多板卡保护HQoS的方法和装置 | |
| CN103810076B (zh) | 数据复制的监控方法及装置 | |
| CN103684922A (zh) | 基于sdn网络的出口信息保密检查检测平台系统及检测方法 | |
| WO2016082443A1 (zh) | 集群仲裁方法和多集群配合系统 | |
| CN102387028A (zh) | 网络系统、管理服务器及oam试验管理方法 | |
| CN103262046A (zh) | 服务器管理装置、服务器管理方法和程序 | |
| CN105490847B (zh) | 一种私有云存储系统中节点故障实时检测及处理方法 | |
| Kotani et al. | Fast failure detection of OpenFlow channels | |
| CN104901880B (zh) | 一种业务运行的方法及装置 | |
| CN104917623B (zh) | 一种实现sdn网络通信管理的方法及装置 | |
| US10516625B2 (en) | Network entities on ring networks | |
| CN109120520A (zh) | 一种故障处理方法和设备 | |
| Muthumanikandan et al. | Switch failure detection in software-defined networks | |
| CN105391565A (zh) | 备份业务配置实现同步的方法 | |
| CN102158362B (zh) | 实现网络信息监管的方法、系统及装置 | |
| CN104506364A (zh) | 一种主从备份切换方法、主控卡及网络设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |