OpenFlow下的计算机网络安全技术探究
2017-08-22周传婷
周传婷
摘 要 计算机网络安全问题是计算机网络安全领域一直探讨的话题,本文通过对于OpenFlow环境下计算机网络安全技术进行探讨,首先从OpenFlow技术进行概述,探讨了基于OpenFlow框架下计算机网络安全问题,并提出了解决问题的措施,最后指出OpenFlow技术还存在的一些不足,希望可以给计算机网络安全技术相关研究人员提供一些参考。
关键词 0penFlow;计算机网络;安全技术;研究
中图分类号 TP3 文献标识码 A 文章编号 1674-6708(2017)191-0077-02
计算机技术的发展,使得网络规模的不断壮大,原有的计算机网络结构已经不能使用当前的网络应用需求,在计算机网络安全、管理、服务等方面出现了很多问题。在这种情况下,以OpenFlow为基础的网络虚拟技术给计算机网络安全领域带来了很大的变化,这种虚拟网络完全技术是以抽象的表达方式将物理资源进行分层控制,即将传输层与控制层进行分析,从而实现了网络自主管控的灵活性和安全性,为计算机网络管理创新提供了机遇,本文就OpenFlow技术下计算机网络安全技术进行了简单的分析。
1 OpenFlow技术的概述
1.1 OpenFlow的定义
OpenFlow技术是由斯坦福大学提出的,是用于解决当前互联网面临新业务出现的不足而创立的,其原理是把原本由交换机或者路由器控制的数据包转发过程,替换成由OpenFlow交换机和控制服务器独立完成的过程。即OpenFlow网络由OpenFlow交换机和Controller两个部分组成,OpenFlow交换机是由流表、安全通道和OpenFlow协议三部分组成,通过对于路由控制和数据转发的分离,依据事先规定好的接口操作来控制OpenFlow交换机中的流表来控制数据的转发。
1.2 OpenFlow的发展
OpenFlow的起源来自于学院派,这种技术起源于实验室,发展到商业领域。最早是在2008年4月,由斯坦福大学尼克·麦克柯恩教授在ACM通信综述上发表的一篇论文中,讲述了OpenFlow的原理,并提出了在现实中的意义,随后在美国GENI项目中应用。从OpenFlow的提出到今天,不但在硬件支持方面取得了不斷的发展,在软件方面也实现了长远发展,日本作为一个科学技术研究发展的先进国家,先后研制的两款交换机是支持OpenFlow最成熟的交换机之一,它们分别是IP8800/S3640-24T2XW和IP8800/S3640-48T2XW。在2009年12月,OpenFlow正式的发布了可用于商业的1.0版本,与此同时也OpenFlow相应的支持软件也逐渐成熟。
2 基于OpenFlow下的计算机网络安全框架建立
2.1 OpenFlow技术架构
OpenFlow技术架构首先是OpenFlow control进行转发策略的下发,之后与OpenFlow交换机进行安全通信连接,在这个过程中,是由OpenFlow协议进行策略的传输,并且OpenFlow协议还兼负着网络安全状态。在这个过程中OpenFlow control和OpenFlow Switch可以同时建立一对一或者是一对多的工作模式。当前,OpenFlow储存利用率和检索速度已经得到了很大的提高,这主要得益于流水线式多表结构的提出。在运行的过程中,数据包的匹配顺序是从流表的0开始,匹配到流水线式对应的表项时候,就执行相应的指令;匹配过程之中,如果没有符合要求的流表项,则OpenFlow协议就会将数据包丢弃,或者是再次转发给OpenFlow control。
2.2 基于OpenFlow的计算机网络安全技术设计
在OpenFlow下计算机网络安全设计中,每一项数据流都会经过控制器,控制器的作用就是对于数据流进行检查,之后由控制器进行数据流的流向处理,从而实现控制全网的目的。但是由于OpenFlow技术在传递信息过程,只是简单的进行防火墙的过滤,其安全性存在一定的弊端。而隧道技术和OpenFlow技术的结合,可以很好的解决这一问题。
3 分析在OpenFlow下计算机网络安全技术分析
3.1 OpenFlow下计算机网络安全与传统网络安全对比分析
在传统的网络安全操作系统中,需要计算机程序开发人员需要使用机器语言编程,直接对最底层的物理资源进行管理,这种方法不仅使得程序的编写繁琐,还会对于网络安全问题带来极大的隐患。基于OpenFlow下的计算机网路系统是利用抽象的交换平台,为网络管理这提供一个借口,在这个接口中进行网络的管理和维护。与传统的网络安全操作系统对比,OpenFlow实现了网络控制层与转发层的分离,比如在NOX中,OpenFlow交换机负责转发层各项数据的转发,控制器控制整个网络则是依据OpenFlow协议提供的一个接口,然后NOX自身则不需要对网路进行管理。
3.2 OpenFlow下计算机网络安全技术要点分析
针对于以上的网络安全技术,下面将其中关键的安全问题进行分析讨论。首先,在信息转发的过程中,是采用了OpenFlow技术和隧道技术相结合,并设置了NetFPGA。之后是在数据流过程中增加了检查和隧道开关,在隧道开关和检查上,一般会定义3个固定程序,即利用计算机二进制,隧道开关中,00代表不需要隧道封装;11代表需要隧道封装;10代表解封装 。在检查上,00代表没有进行安全检查;11代表检查完毕,安全;10代表检查完毕,不安全。其次,是交换机在传递PC1信息时候,先利用隧道技术,将信息可以直接通过交换机传递到NetFPGA进行安全检查。
3.3 OpenFlow目前面临的技术问题分析
OpenFlow目前首先面临的技术问题就是在交换器中寻找TCAM存储器成本问题。在传统的设备中,为了节约成本,在设计字段长度时候,依据MPLS lable、MAC表,然而在OpenFlow设备中,智能通过最大长度的流表来替换,这一点与传统的设备相比,成本足足增加了3倍,在TCAM的功耗上显著提升了。尽管在新版本的OpenFlow中设计多级流表来减少开支,但是流量的生成与TCAM下维护算法复杂程度有增加了,截止到目前,还没有一个测评报告发布。另外,在OpenFlow实现网络通信的过程是依据流表,这就要求流表能够准确的将网络中各元素抽象出来,但是目前在抽象的过程还存在许多问题,比如在对于流表的转发过程,尽管可以通过修改控制器逻辑支持新的OpenFlow协议,但是还不能很好的对各种现存的接入协议和匹配规则提供支持。
4 结论
通过以上的分析和讨论,针对于OpenFlow下计算机网络安全技术分析,与传统的网络架构有很大不同,计算机网络安全技术要求网络信息传递要具备保密性、完整性和安全性,本文所提出的计算机网络安全框架还会存在一些弊端,随着科学技术的发展,OpenFlow技术将会不断完善,计算机网络安全技术将会得到进一步的提高,希望本文所探讨的内容能够给相关研究人员带来一些启示,为计算机网络安全技术研究作出贡献。
参考文献
[1]赵静.基于OpenFlow的计算机网络安全技术研究[J].机械设计与制造工程,2015,44(12):56-58.
[2]邵国林,陈兴蜀,尹学渊,等.基于OpenFlow的虚拟机流量检测系统的设计与实现[J].计算机应用,2014,34(4):1034-1037.
[3]郁峰.软件定义网络架构下的安全问题综述[J].现代计算机,2014(16):13-20.