基于OwnShip-Proof模型的软件定义网络控制器集群故障安全恢复方法

doi:10.3969/j.issn.1671-1122.2016.12.003

信息网络安全 ›› 2016, Vol. 16 ›› Issue (12): 13-18.doi: 10.3969/j.issn.1671-1122.2016.12.003

基于OwnShip-Proof模型的软件定义网络控制器集群故障安全恢复方法

武泽慧^1,²(), 魏强^1,²

1.解放军信息工程大学网络空间安全学院,河南郑州 450001
2.数学工程与先进计算国家重点实验室,河南郑州 450001

收稿日期:2016-11-15 出版日期:2016-12-20 发布日期:2020-05-13
作者简介:
作者简介：武泽慧（1988—）,男,安徽,博士研究生,主要研究方向为网络安全;魏强（1979—）,男,江西,副教授,博士,主要研究方向为工业控制系统安全。
基金资助:
国家高技术研究发展计划（国家863计划）[2012AA012902];国家自然科学基金[614051512];国家杰出青年科学基金[61402526]

A Secure Fault Recovery Approach Using OwnShip-Proof Model for Controller Cluster of Software Defined Networks

Zehui WU^1,²(), Qiang WEI^1,²

1. Institute of Cyber Security, PLA Information Engineering University, Zhengzhou Henan 450001, China
2. State Key Laboratory of Mathematical Engineering and Advanced Computing, Zhengzhou Henan 450001, China

Received:2016-11-15 Online:2016-12-20 Published:2020-05-13

摘要/Abstract

摘要：

控制平面负责软件定义网络的管理和控制,是软件定义网络的核心。当前针对控制平面的研究主要集中在性能和稳定性提升,以及控制器的安全性方面,针对控制平面故障恢复过程中的安全问题未见研究成果。文章提出了一种基于OwnShip-Proof模型的故障安全恢复方法,在故障恢复过程前构建哈希树存储对应备份资源,故障恢复过程中使用哈希树完成快速身份校验,实现了控制器与备份资源所有权的安全认证。测试结果表明,该方法不仅可以降低控制平面备份文件的存储空间,也可以有效阻断攻击者利用故障恢复实施信息窃取的攻击行为。同时与传统方法相比,随着备份文件的增大,二者的性能差异逐渐减小。

关键词: 软件定义网络, 网络安全, 故障恢复, 控制器集群

Abstract:

Control plane is the core of software defined network, which is responsible for network management and control. Current research focus on the performance, the stability, and the security of controllers, while take no attention on the security of fault recovery progress, by which the attackers could pretend to be a controller and obtain the resources of the network from the backups of control plane. We propose a secure recovery approach based on OwnShip-Proof model to address this threat. Our method employs hash tree to map one backup file with different controllers before backup and recovery procedure, and during the recovery, the controller should provide the solution of the challenge generated through OwnShip-Proof model by the server that stored the backup file. Then the server verify the solution and decide to recovery or not. The testing results show that our approach is able to decrease the memory space used to store the backup file and defense the attackers from the forged recovery attack. Compared with the ordinary method, the performance difference of the two methods would narrow down with the increasing of the size of the backup file.

Key words: SDN, cyber security, fault recovery, controller cluster

中图分类号:

TP393

武泽慧, 魏强. 基于OwnShip-Proof模型的软件定义网络控制器集群故障安全恢复方法[J]. 信息网络安全, 2016, 16(12): 13-18.

Zehui WU, Qiang WEI. A Secure Fault Recovery Approach Using OwnShip-Proof Model for Controller Cluster of Software Defined Networks[J]. Netinfo Security, 2016, 16(12): 13-18.

图/表 7

图1

图2

图3

图4

图5

图6

图7

参考文献 15

[1]	KREUTZ D,RAMOS V,ESTEVES P.Software-defined Networking: A Comprehensive Survey[J]. Journal of Proceedings of the IEEE, 2015, 103(1): 14-76.
[2]	ALSMADI I, XU D.Security of Software Defined Networks: a Survey[J]. Journal of Computer and Security, 2015, 53(3): 79-108.
[3]	SCOTT S, NATARAJAN S,SEZER S.A Survey of Security in Software Defined Networks[J]. Journal of Communications Surveys & Tutorials, 2015, 18(2): 1-21.
[4]	王蒙蒙,刘建伟,陈杰,等. 软件定义网络: 安全模型、机制及研究进展综述[J].软件学报,2016, 27(4):969-992
[5]	ZHOU Y, ZHU M, XIAO L, et al.A Load Balancing Strategy of SDN Controller Based on Distributed Decision[C]//IEEE.TRUSTCOM '14 Proceedings of the 2014 IEEE 13th International Conference on Trust, Security and Privacy in Computing and Communications, September 24-26, 2014,Beijing, China.New Jersey:IEEE,2014:851-856.
[6]	LUO M. Design and Implementation of a Scalable SDN-OF Controller Cluster[EB/OL].,2015-7-2.
[7]	PORRAS P, CHEUNG S, FONG M, et al. Securing the Software-Defined Network Control Layer[EB/OL]..
[8]	SHIN S, SONG Y, LEE T, et al.Rosemary: a Robust, Secure, and High-performance Network Operating System[C] //CCS '14.2014 ACM SIGSAC Conference on Computer and Communications Security,November 3 - 7,2014,The Scottsdale Plaza Resort,Scottsdale,Arizona,USA.New York:ACM,2014: 78-89.
[9]	HALEVI S, HARNIK D, PINKAS B, et al.Proofs of Ownership in Remote Storage Systems[C]// ACM.18th ACM conference on Computer and communications security,October 17 - 21, 2011,Chicago,Illinois,USA. New York:ACM,2011: 491-500.
[10]	COURTOIS T,GRAJEK M,NAIK R.Optimizing SHA256 in Bitcoin Mining[M]. Berlin Heidelberg:Springer,2014.
[11]	Ryubook.RYU SDN Framework[EB/OL]. .
[12]	Mininet.An Instant Virtual Network on your Laptop[EB/OL]. ,2016-5-26.
[13]	蒋宽,杨鹏.基于数据包回溯的软件定义网络中的故障排除[J]. 信息网络安全,2016(3):71-76.
[14]	OpenDaylight.OpenDaylight:开源SDN平台[EB/OL]. ,2016-5-26.
[15]	张永强,卢伟龙,唐春明. 一种高效实用的基于云服务的数字签名方案研究[J]. 信息网络安全,2016(7):1-6.

基于OwnShip-Proof模型的软件定义网络控制器集群故障安全恢复方法

A Secure Fault Recovery Approach Using OwnShip-Proof Model for Controller Cluster of Software Defined Networks

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 7

参考文献 15

相关文章 15

编辑推荐

Metrics

本文评价

[1]	刘建伟, 韩祎然, 刘斌, 余北缘. 5G网络切片安全模型研究[J]. 信息网络安全, 2020, 20(4): 1-11.
[2]	赵志岩, 纪小默. 智能化网络安全威胁感知融合模型研究[J]. 信息网络安全, 2020, 20(4): 87-93.
[3]	黎水林, 祝国邦, 范春玲, 陈广勇. 一种新的等级测评综合得分算法研究[J]. 信息网络安全, 2020, 20(2): 1-6.
[4]	荆涛, 万巍. 面向属性迁移状态的P2P网络行为分析方法研究[J]. 信息网络安全, 2020, 20(1): 16-25.
[5]	裘玥. 大型体育赛事网络安全风险分析与评估[J]. 信息网络安全, 2019, 19(9): 61-65.
[6]	高孟茹, 谢方军, 董红琴, 林祥. 面向关键信息基础设施的网络安全评价体系研究[J]. 信息网络安全, 2019, 19(9): 111-114.
[7]	周亚球, 任勇毛, 李琢, 周旭. 基于SDN的科学DMZ研究与实现[J]. 信息网络安全, 2019, 19(9): 134-138.
[8]	陈良臣, 刘宝旭, 高曙. 网络攻击检测中流量数据抽样技术研究[J]. 信息网络安全, 2019, 19(8): 22-28.
[9]	尚文利, 尹隆, 刘贤达, 赵剑明. 工业控制系统安全可信环境构建技术及应用[J]. 信息网络安全, 2019, 19(6): 1-10.
[10]	张可, 汪有杰, 程绍银, 王理冬. DDoS攻击中的IP源地址伪造协同处置方法[J]. 信息网络安全, 2019, 19(5): 22-29.
[11]	倪一涛, 陈咏佳, 林柏钢. 基于自动解混淆的恶意网页检测方法[J]. 信息网络安全, 2019, 19(4): 37-46.
[12]	陈良臣, 高曙, 刘宝旭, 卢志刚. 网络加密流量识别研究进展及发展趋势[J]. 信息网络安全, 2019, 19(3): 19-25.
[13]	傅建明, 黎琳, 郑锐, 苏日古嘎. 基于GAN的网络攻击检测研究综述[J]. 信息网络安全, 2019, 19(2): 1-9.
[14]	韦力, 段沁, 刘志伟. 互联网时代医院网络安全管理综述[J]. 信息网络安全, 2019, 19(12): 88-92.
[15]	张振峰, 张志文, 王睿超. 网络安全等级保护2.0云计算安全合规能力模型[J]. 信息网络安全, 2019, 19(11): 1-7.