بخشی از مقاله
چکیده
شبکه های نرم افزار محور - SDN - a، نوعی معماری شبکه ای جدید است که جهت رفع نیاز پویایی شبکه، از کنترل نرم افزار کمک می گیرد. مسائل امنیتی، خصوصا تایید هویت کنترل کنندهها یکی از مهمترین نگرانی های این شبکه ها می باشد زیرا در طراحی توابع امنیتی این تکنولوژی ضعف هایی وجود دارد. پژوهش حاضر، با تمرکز بر تایید هویت، بر اساس معماری شبکه های SDN، سعی در آنالیز و بهبود کارهای پیشین احراز هویت، در این شبکه ها با سربار کمتر ، امنیت بالاتر درضمن توجه به کاربردهای بلادرنگ و با استفاده از ابزار تحلیل خودکار پروتکلهای امنیتی را دارد. در این پژوهش از ابزار اسکایتر که یکی از مشهورترین این نوع ابزارها میباشد استفاده شده است.
-1 مقدمه
شبکههای نرم افزار محور، تکنولوژی جدیدی است که به عنوان راه حلی برای چالشهای مربوط به کنترل شبکههای پیچیده، پیشنهاد شده است. این تکنولوژی به خوبی توانسته هزینهها و پیچیدگیهای سخت افزار را کاهش ×و همچنین بستری واقعی برای اجرا و بررسی پروتکلهای جدید محققان را فراهم میسازد. این شبکهها دارای دو معماری ForCES و OpenFlow میباشند که به کمک این دو معماری هدف اصلی این نوع از شبکه یعنی جدایی بین سطح کنترل و داده دنبال می گردد. همچنین در عمل معماری OpenFlow بیشتر مورد استفاده قرار می گیرد.
یکی از موضوعات تحقیقاتی مهم در این شبکهها، که به عنوان یک چالش بزرگ مطرح شده ، بحث امنیت است.یکی از مشکلات امنیتی مطرح شده، مربوط به طراحی توابع امنیتی در پروتکل Open Flow است که در تایید هویت کنترل کنندههای مجزا مورد استفاده قرار می گیرند.زیرا تایید هویت کنترل کنندهها در معماری SDN، با استفاده از گواهیهای امنیتی ، محدودهی تعامل را در این تکنولوژی محدود میسازد. همچنین در پیادهسازی سیستمهای بلادرنگ با استفاده از تکنولوژی SDN، استفاده از رمزنگاری و احراز هویت کنترل کنندهها با روش های مرکزی، موجب سربار و تاخیر بسیاری می گردد. بنابراین نیاز به ارائهی روشی جهت حل این مشکلات موجب شد که محققان به ارائهی پروتکلهای امنیتی جدید بپردازند.
اما با توجه به اینکه پروتکلهای امنیتیb از بسیاری از جهات مانند پروتکلهای ارتباطی معمولی هستند که علاوه بر ویژگیهای رایج در آنها، پیام مبادلهشده اغلب توسط مکانیزمهای متداول، رمزنگاری و شبکه نرم افزارمحور - - SDN، یک ساختار طراحی شده برای سادهسازی و مدیریت خدمات شبکه است که خود منجر به ایجاد فرصتهای نوآوری میشود. مدیریت خدمات از طریق جداسازی سیستم هدایت ترافیک از سیستم زیرین که وظیفهی هدایت بستهها به سمت مقصد انتخابی را دارد، انجام می شود.
با توجه به شکل - 1 - ، جدا سازی بین تجهیزات این امکان را فراهم میآورد تا پروتکلهای جدید و برنامههای کاربردی، بهراحتی گسترش یابند
SDN وعده دادهاست که به طور چشمگیری مدیریت شبکه را آسان میکند و همچنین با استفاده از قابلیت برنامه نویسی شبکه، امکان پیادهسازی ایدههای جدید درشبکه را به وجود میآورد. در SDN با تمرکز بر قابل برنامه ریزی بودن شبکهها درک ساختار شبکه و مدیریت آن آسان شده، وابستگی به سختافزار کاهش و همچنین قابلیتهای نرمافزاری و هوشمندی شبکه افزایش یافته است
SDN پتانسیل بسیار زیادی برای تغییر مسیر شبکه دارد و پروتکل OpenFlow به طور ویژه بخش اصلی این ایده در شبکه می باشد.
این قراردادها همیشه دارای آسیبپذیریهای عملی و تئوری میباشند. حتی زمانی هم که فرض شود رمزنگاری به صورت کامل انجام شدهاست، پروتکلهای امنیتی همچنان در معرض حملات می باشند. نظر باینکه حملات صورت گرفته ویژگیهایی را از پروتکل استخراج می کنند که توسط طراح پیشبینی نشدهاند و ضمنا مدل اجراc و مدل مهاجمdبٌب نیز دارای پیچیدگیهای زیادی می-باشند،.
تجزیه و تحلیل پروتکلهای امنیتی حتی در مورد پروتکلهای کوچک، کار دشواری است. جهت غلبه بر این پیچیدگی، از ابزارهای تحلیل خودکار مانند ابزار اسکایتر، برای تایید پروتکل استفاده می-گردد. اسکایتر، بعنوان ابزار تحلیل بکار رفته در این تحقیق، میتواند بسیاری از پروتکلها را بهازای تعداد نامحدودی از جلساتf بررسی و ارزیابی کند.
در ادامه پس از معرفی SDN در بخش دوم، به مرور کارهای پیشین و سوابق پژوهش جهت رفع مشکل امنیتی مطرح شده در قسمت سوم می پردازیم. در بخش چهارم به تشریح پروتکل احراز هویت از مجموعه قراردادهای موجود در SDN و در بخش پنجم ، تحلیل خودکار پروتکلهای امنیتی و ابزار اسکایتر را معرفی نموده و نهایتا در بخش ششم تحلیل و بهبود در کارهای پیشین با این ابزار انجام و نتایج ارائه خواهد گردید.
2 تعریف و تشریح SDN
شکل : - 1 - معماری SDN
پروتکل OpenFow در بخش نرمافزاری معماری شبکههای نرم افزار محور پیادهسازی شده است. این پروتکل کنترلکننده و نحوه ی اتصال امن آن را به دستگاههای شبکه تعریف میکند و چگونگی دریافت، پردازش و دوباره ارسال کردن آنها را تعیین مینماید. بر اساس شبکه های نرم افزار محور و پروتکل OpenFlow، محققان توانسته اند بسیاری از عملکردهای مدیریت شبکه و امنیت را بر اساس جنبههایی همچون کنترل و توازن بار، پیاده سازی کنند.
اما مسالهای که به عنوان یک چالش نگران کننده مطرح است، مساله امنیت پروتکل OpenFlow× می باشد، به خصوص امنیت در واکنش و تعامل نودها در کنترل کننده های مختلف. مشکل احراز هویت بین کنترل کننده های مختلف به محدوده عملکرد معماری SDN که از یک دامنه و کنترل کننده استفاده می کند، محدود می شود.
از دیگر مزایای این ایده میتوان به کنترل مرکزی شبکه، الگوریتمهای ساده، صرفه جویی و بهینهشدن تجهیزات شبکه، حذف دستگاهای میانیg، امکان طراحی و توسعهی برنامههای شخص ثالثh اشاره نمود.
-3-1کارهای پیشین
در این قسمت برخی پژوهشهای انجام شده جهت رفع مشکل امنیتی ذکر شده در پروتکل OpenFlow را ذکر میکنیم
شالیمو یک تحلیل و ارزیابی، مبتنی بر معماری شبکه به روی NOX×، POX، Pyu، کنترل دیدگاه در سازگاریj ، قابلیت اطمینان، امنیت و ظرفیت پردازشk انجامدادهاست.
کروتز l و همکاران[13] نیز بخشی از مسائل امنیتی SDN را تحلیل نموده و به یک معماری شبکهای جدید با واکنش سریع و مکانیزم امنیتی ضد حمله که احتیاج به برقراری ارتباط مجدد داشت اشارهرکردند.
روی کانگ و همکاران بُب یک معماری جدید و پروتکل احراز-هویت مورداعتماد را پیشنهاد دادند که این معماری، به منظور افزایش امنیت قابل قبول، برای معماری شبکههای آینده ارائه شد. هنگامی که درشبکه با یک شخص ثالث غیر اعتماد ارتباط برقرار میشود، این پروتکل ارائه شده، معتبر بودن رابطه را کنترل و محافظت میکند. این پروتکل، یک پروتکل احراز هویت برای سرورهای سطح بالا ایجاد کرده است.
ژو و همکاران×بُب در پژوهشی که به تازگی انجام شده است برای افزایش امنیت در معماری OpenFlow× ابتدا معماری جدیدی بر اساس ترکیب Trust Technology و SDN - شکل - 2 معرفی کرده و سپس یک پروتکل احراز هویت برای کنترل کننده ها - شکل - 3 ارائه کردند. آنها برای آنالیز این پروتکل از ابزار تحلیل پروتکل امنیتی Avspa استفاده نموده و هیچ نقصی در این پروتکل پیدا نکردند.
در این مقاله ما ضمن بررسی پروتکل ارائه شده توسط روی کانگ، به وسیله ابزار اسکایتر متوجه وجود حملاتی بر ضد این پروتکل شدیم و ضمن تشریح این حملات، پروتکل مربوطه را بهبود داده ایم. در پایان نیز مجددا به وسیله ی منطق اسکایتر پروتکل ارائه شده را مورد تحلیل قرار می دهیم .
-2 پروتکل اعتبار سنجی SDN× در حوزه های تایید شده
مساله امنیت پروتکل OpenFlow× به واکنش ها و تعامل ایمن گره-ها و همچنین مشکل احراز هویت بین کنترلکنندههای مختلف به محدوده عملکرد معماری SDN که از یک دامنه و کنترلکننده استفاده می کند، محدود می شود.
شکل - - 2 معماری شبکه پروتکل اعتبار سنجی SDN را که ترکیبی از پروتکل OpenFlow و محاسبات قابل اعتماد میباشد، را نشان میدهد. به منظور حل مشکل گواهینامه اعتمادo ، برخی واحدها در کنترل کننده SDN طراحی شدهاند.
از جمله این واحدها میتوان به واحد اندازهگیری اعتمادr - TMM - براساس پشته نرم افزار - TSS - TCGs اشاره کرد که برای اندازهگیری اطلاعات حساس استفاده میشود. توابع TMM و TSS می توانند یک سری از مجموعه سرویس هایی را برای مطمئن شدن در رابطه با امنیت پروتکل و احراز هویت فراهم کنند مثل رمزنگاری، رمز گشایی، امضای دیجیتال و یا مدیریت کلید. قانون کنترل جریان t CER نیز سیاست قابل اعتمادی است که با استفاده از TMM اندازهگیری می شود. همچنین واحد کنترل ارتباطات - CCM - u ، فرآیند احرازهویت و کنترل بین حوزههای مورد اعتماد را تضمین می-کند
شکل - - 3 مساله اعتماد را در شبکههای SDN× حل میکند. طبق شکل، فرایند صدور گواهینامه در دو قسمت تعریف می شود: کنترل گواهینامه بسترvو کنترل گواهینامه نرم افزار.
ابتدا کنترل کنندهی گره ارسال کننده، یک پیام احراز هویت را به کنترل کنندهی گره دریافت کننده، ارسال میکند. سپس بعد از ایجاد امضای دیجیتال در سمت کنترل کنندهی ارسال کننده و سایر عملیات رمز نگاری و همچنین ارسال اطلاعات رمز شدهی پلتفرم و سخت افزار خود، اطلاعات مجاز را در غالب پیام به سمت گیرنده ارسال میکند. گیرنده بعد از دریافت اطلاعات و رمزگشایی آن، به ثبت اطلاعات مربوط به هویت پلتفرم ارسال کننده می پردازد و با پردازش و مقایسه اطلاعات ارسالی، متوجه قابل اعتماد بودن یا نبودن رابطه و ارسال کننده می شود.
شکل : - 2 - معماری شبکه SDN در دامنه تایید شده
شکل : - 3 - فرایند معماری در دامنه تایید شده
