随着网络的高速发展,传统网络架构的不足逐渐暴露出来,已无法满足持续扩大的流量需求。为了探索新的网络架构,SDN(Software Defined Network)通过将控制平面和数据平面分离,使网络的控制能力和可扩展性得到了空前的提升,为网络架构带来了新的理念和活力。另一方面,NFV(Network Function Virtualization)技术旨在采用虚拟化技术将传统网络功能设备软硬件解耦,以提升设备的部署、管理效率。SDN与NFV结合的趋势越来越明显,但新的网络架构也带来了新的安全问题,如何能有效地管理SDN以及NFV的开放接口,安全地共享SDN/NFV所提供的网络服务,目前少有相关研究。 针对多用户SDN/NFV网络的特点,基于动态分级的细粒度权限管理框架设计了新的权限管理方法,能够有效防止控制器API(Application Programming Interface)被滥用,保护网络服务的安全共享;提出了与用户权限紧密结合的网络划分方法,以满足用户动态变化的网络需求。框架的权限策略描述语言将用户权限抽象为设备权限、API权限以及域权限三个层级以便能够在合适的粒度上定义用户行为边界。框架由权限管理器和实时调解器两个组件组成,权限管理器主要管理权限策略的输入与解析,为网络管理员提供灵活、准确配置用户权限的接口,并且当用户权限变化导致拓扑变化时,检测用户网络连通性以保证资源设备可达;实时调解器根据权限要求验证所有API调用的合法性,管理维护用户的网络拓扑视图。 在RYU控制器上实现的原型系统及实验结果表明,细粒度权限管理框架能够确保所有的API调用都符合权限要求,从而有效地保护控制器安全,并且只会对控制器造成启动时间上3ms的额外开销以及核心API不到0.1ms的处理延迟,是可忽略的。
展开▼
