SDN基础资源层主要提供哪些安全功能
SDN基础资源层主要提供以下安全功能:
认证:SDN交换机对SDN控制器进行身份认证,以确保SDN控制器是真实的,不是伪造的;SDN交换机对管理员进行身份认证,以确保管理员身份是真实的。常用的身份认证机制包括但不限于基于用户名/密码的身份验证、基于相移键控的身份验证、基于证书的身份验证。
授权:SDN控制器和管理员访问SDN交换机时需要遵守访问控制策略。常用的访问控制机制包括但不限于白名单/黑名单、访问控制列表、基于角色的访问控制。
数据保密性:SDN交换机应具备数据加密功能,并在必要时对利用南向接口向控制器发送的流规则请求进行加密,以防止攻击者窃听。敏感信息(如配置信息、用户信息)应加密存储在SDN交换机中,防止信息被窃取。敏感信息(如配置信息、用户信息)应加密存储在SDN交换机中,防止信息被窃取。
数据完整性:SDN控制器下发的表项在被添加至流表前,需要先由SDN交换机进行数据完整性验证;SDN交换机在利用南向接口向控制器发送流规则请求时,应对该流规则请求进行完整性保护,以防止攻击者篡改,管理控制平台下发的配置信息,应先由SDN交换机进行完整性验证,再执行相应的配置更新;应为存储在SDN交换机上的敏感信息(如配置信息、用户信息)提供完整性保护功能,防止其被攻击者篡改。常用的数据完整性保护技术包括但不限于散列值、MAC、HMAC和数字签名。
密钥/证书管理:密钥/证书管理中的密钥管理同ITU-T X.800中所定义的一致,证书管理同IETF RFC 4210中所定义的一致。
防止流表溢出:除常见的几种防止缓冲区溢出策略(如指针保护、可执行空间保护)外,SDN交换机和流表设计应进一步增强这方面的能力。例如,SDN交换机自身可以决定删除某个流条目,并与SDN控制器进行同步。
安全管理:安全管理是指对系统平台、资源进行访问控制,避免非授权使用或修改相关的安全策略。安全管理可以对用户进行审计、控制错误密码尝试次数、最小化系统平台需要的配置、强制执行操作系统的安全策略。安全管理还可以对网络中的各类信息数据进行整合分析,用来支撑相应攻击检测等功能。