确保SDN南行和数据平面与IBC的沟通

文摘

在软件定义网络(SDN),南行协议定义了控制平面和数据平面之间的沟通。OpenFlow同意协议,表明保护南行通信与传输层安全(TLS)。然而,目前大多数SDN项目没有实现安全部分,只有少数例外,如OpenDayLight惠普VAN SDN,小野南行通信实现TLS。从电信提供商的角度来看,一个主要的SDN消费者除了数据中心,数据平面变得更加复杂的无线数据平面,因为它涉及到众多的无线技术。因此,复杂的资源管理以及安全的数据平面SDN会阻碍迁移。在本文中,我们提出确保分布式SDN通信和多畴的基于身份的加密能力(IBC)协议,特别是南行飞机通信和无线数据。我们也分析了TLS-secured消息队列遥测传输(MQTT)消息交流找出可能的带宽与IBC保存。

1。介绍

软件定义网络(SDN)是一种新的网络技术,将智能解耦控制和数据网络的飞机。为了实现这个目标,一个新的网络元素引入网络,SDN控制器。它集中网络控制平面,管理网络数据平面,并提供发展的平台,简化了管理平面,或者换句话说,网络应用程序。承担的角色的网络交换机网络的数据平面成为SDN转发设备;他们转发数据包按照收到SDN控制器毫无疑问地流表。

SDN引入了三个新的网络协议,即北行的协议,东/西行协议,向南行进的协议。的概念视图SDN有线和无线数据平面如图1。

北行的协议管理使用飞机或网络应用程序与控制平面进行通信(SDN控制器)来执行任务,比如通过负载适应负载平衡(1和服务质量(QoS)2]。向北的安全风险和需求沟通是依赖于网络应用程序。

在SDN环境中,安全应用程序或工具也可以用来提供的网络安全管理。SDN允许应用程序监控网络流量和有广泛的观点。因此,身份撤销可以方便地进行应用程序或工具,检测恶意节点,如入侵检测系统(IDS) (3),分布式拒绝服务(DDoS)检测(4),和网络监控5,6]。

东/西行协议用于在控制飞机或沟通,具体来说,SDN控制器之间的通信和数据存储。不幸的是,当前可用的SDN控制器供应商特定的写作的时间。他们既没有同意东/西行协议也不安全,与开放的网络操作系统(ono)异常(7]。然而,这种通信安全的分布式SDN尤为重要。它确保没有恶意控制器网络信息甚至推动网络窥探。

在单一控制器SDN实现中,控制器的妥协将使攻击者能够控制整个网络。然而,在分布式SDN,网络遍布所有可用的网络控制器。为了最小化妥协后的效果单一控制器的分布式SDN东/西行通信必须受到保护。如果它是不受保护的,恶意的控制器将有能力控制整个网络中所有其他控制器。

攻击者也可以插入恶意数据存储网络来获取网络信息的复制或备份副本内的其他数据存储网络。利用这些信息,攻击者就可以学习网络拓扑,并相应地进行相关的攻击。更糟糕的是,攻击者可以通过恶意注入所需的流数据存储。

南行协议定义了控制平面和数据平面之间的沟通。有一个公认为南向的通信协议是OpenFlow协议(8),(ONF)开放网络标准化的基础。然而,其他南行协议也可以如果OpenFlow不适合一个特定的目的。例如,思科的以应用程序为中心的基础设施(ACI) [9是OpenFlow的另一种备选方案。然而,使用这种专用协议将因此限制设备的供应商的选择。

为了保护网络免受恶意驱动控制器或防止恶意开关或网络设备获取网络信息,南行通信必须运行在一个安全的通道。OpenFlow建议确保南行通信与传输层安全(TLS)。

项目没有实现TLS容易中间人攻击(10]。攻击者能够穿透OpenFlow网络,而不被对方发现。尽管安全风险,但它仍然没有实现许多SDN项目等异常OpenDayLight [11),惠普虚拟应用程序网络(VAN) SDN [12),和小野13]。

的一个主要原因为什么不使用TLS SDN网络管理员是正确配置所需的步骤很麻烦(10]。TLS的实现需要一个证书颁发机构(CA)生成CA的关键,证书的控制器,开关,然后这些证书的签署与CA的关键。证书和设备的密钥将被部署到相应的设备在实际网络部署。这个乏味的过程是一个障碍对他们当采用TLS安全的通信通道。

如图1一般,有两种类型的数据平面,有线和无线的变体。SDN最初是为有线数据平面和建造数据中心的主要消费者。随着SDN技术的发展,电信供应商感兴趣并开始尝试与AT&T的网络中支持OpenDayLight和小野Verizon,中国联通,NTT沟通,SK电讯是小野的支持。

然而,最初的设计忽视了无线数据平面是由众多的无线技术,如第四代长期演进(4 g lte) (14),通用移动通信系统(UMTS) [15),无线保真(WiFi) [16),和全球互操作性的微波存取(WiMax) [17]。因此,很难管理异构无线数据平面(18即使在SDN技术当前的发展。它是更为复杂时这些无线技术之间的安全管理。

与有线,无线数据平面的安全不容忽视,因为任何覆盖范围内的无线技术可以利用网络和执行任何恶意破坏网络的活动。因此,安全成为一个重要的标准无线数据平面在他们可以实际使用的部署。

与基于身份的密码学代替TLS (IBC) [19),系统设置所需的步骤将大大简化,同时提高性能可用性和带宽可用性以及减少存储和管理公钥,从而节省成本。

我们的贡献。在本文中,我们提出了保护与IBC SDN通信协议。我们所知,这是第一次工作,允许多畴的安全通信和IBC在SDN连同其数据平面。我们的贡献详细列出如下:(1)我们描述了SDN及其数据平面的安全风险的原因以及需要保护。(2)我们描述的原因另一个提议是不足以保护SDN以及为什么IBC是可取的方法。(3)我们提出了建议,以确保SDN及其数据平面,尤其是无线数据平面,多畴的能力IBC协议。(4)我们提供了一些应用程序场景的多畴的IBC协议可以利用。我们还描述了如何它允许多畴的通信和开关迁移在分布式SDN此前无法执行。(5)我们描述了应用程序的IBC在帮助数据平面内的沟通和分析可能的带宽与IBC保存。

2。背景

2.1。向南行进的安全

SDN南行的事实上的标准协议,OpenFlow [20.,21),建议往南的通信与TLS是安全的。项目没有实现TLS容易中间人攻击(10]。敌人将能够穿透OpenFlow网络,而不被对方发现。

为了防止从南行控制器通信通道的妥协和恶意开关或网络设备从网络获取或修改任何信息,南行通信必须运行在一个安全的通道。尽管这个需求,它还没有实现在许多SDN项目因为TLS OpenFlow规范只是一个可选特性和复杂的证书管理。除此之外,安全也是要付出代价的带宽由于交换证书进行身份验证的目的。

2.2。数据平面安全

数据平面可以进一步分为两类,有线和无线数据平面。飞机两个数据可以共享一些安全问题但也有安全问题的任何一个数据的飞机。详细的安全问题将讨论如下。

2.2.1。有线数据平面

如图1有线数据平面无线数据平面相比要简单得多。它只包括开关、主机或任何其他设备,通过开关连接。即使东/西行,往南的沟通渠道是安全的,它并不保证数据平面内的设备之间的通信是安全的。

可能的攻击,可以启动数据平面内的拒绝服务(DoS)攻击和中间人攻击拦截消息的不安全的通信通道等等。

2.2.2。无线数据平面

越来越多的使用手机和互联网的事情(物联网)设备,无线数据平面变成了巨大的规模和涉及复杂的拓扑。能力出现危机时移动设备增长速度超过了无线频谱的能力。因此,无线资源管理成为重要为了维持庞大的网络性能的无线数据平面。

这也推动电信供应商寻找替代方案充分利用了网络资源尤其是无线部分的无线带宽是有限的和昂贵的。这样一个解决方案,他们将管理与SDN无线数据平面。

除了无线资源管理、证书管理也将涉及如果TLS用于确保数据平面。证书管理非常复杂,由于涉及大量的设备。Besids,也是带宽消耗执行TLS握手交流涉及到证书进行身份验证。

图2显示了两个示例袭击可能发生在无线数据平面。与有线数据平面,恶意用户不需要对开关的物理访问执行任何恶意行为。只要恶意用户在无线覆盖范围内,他/她可以拦截无线通信,甚至修改信息如果不保护无线数据平面。这个妥协数据完整性和机密性,因此安全不是一个奢侈品特性但无线通信特别是物联网设备的必要性,深入参与个人隐私,甚至威胁生命的物联网设备用于医疗保健。

2.3。物联网的应用程序协议

为了使物联网设备符合一个机器对机器(oneM2M) [22)物联网标准,两个广泛使用的应用程序可以用来促进通信协议在无线数据平面:消息队列遥测传输(MQTT) [23)和约束应用协议(CoAP) [24]。

2.3.1。MQTT

MQTT是一个轻量级异步发布-订阅消息传递协议,它依靠MQTT代理来促进信息发布者和订阅者之间。MQTT使用传输控制协议(TCP)提供一个可靠的物联网设备之间的通信通道。小标题的MQTT协议(2字节)允许消息传递以最小的带宽和可靠连接。

一个简单的架构,只依靠MQTT协议由三个主要组件,经纪人,发布者和订阅者。经纪人,顾名思义,是一个消息传递代理或服务器分配的消息发布者和订阅者之间。在客户端,出版商将向代理发送消息在一个特定的主题虽然订阅者订阅了特定主题将收到来自代理的消息。MQTT协议也允许多个订阅者话题但单一主题有多个发布者不推荐,尽管它是可能的,因为用户无法区分消息的来源。

2.3.2。CoAP

类似于MQTT, CoAP [25)也是一个广泛使用的轻量级协议为物联网设备但是相似的结局了。不像MQTT CoAP基于Representational State Transfer (REST)体系结构(26]。因此,CoAP依赖于四个其他动词执行创建、读取、更新和删除(CRUD)操作如下:(我):创建一个新的资源标识符(ID)。(2)得到:读/检索信息资源的ID。(3)把:更新状态的资源ID。(iv)删除:删除资源ID。

CoAP使用用户数据报协议(UDP)物联网设备之间传递消息,并使用统一资源标识符(URI)来解决其余的动词一个特定的资源ID。这些其他动词可以结合网络,容易移动,甚至桌面应用程序。

2.4。撤销

在公钥密码术(PKC),在某些情况下甚至CA撤销证书的才到期。这撤销可能发生由于证书用户损失的,受损的证书,一个员工已经离开了公司,因此不再有权使用证书访问公司信息,等等。证书撤销可以做的两种常见方法(27]:(1)证书撤销列表(CRL)。(2)在线证书状态协议(OCSP)。

CRL包含一系列吊销的证书还没有过期以及撤销的原因。长证书的有效性,例如1年,这个列表将可能很长的假设CA已经发布了很多证书。用户需要从CA获得完整的列表,以验证证书的状态,他们会使用。因此,这是一种低效的撤销方法,涉及大量的网络带宽传输从CA撤销证书的长串。

在OCSP,用户将发送一个证书状态请求CA和CA将之前检查它对撤销列表通知用户证书的有效性。该方法降低了网络带宽消耗,但增加了CA计算成本和CA将需要在线执行验证的用户。

库珀(27)还攻击的撤销列表通过操纵原因代码。如果原因代码的分类没有仔细分析,用户可能会滥用它,例如,分类的严重性撤销关键是不再需要或关键是妥协。不再需要的重点可能不是尽快妥协处理的关键,因此这给攻击者的时间使用的关键,只要它不更新给用户。

类似于PKC,为了防止滥用IBC的关键关键撤销必须做一个妥协节点,节点失败,等等。在SDN IBC,密钥撤销可以使用两种方法之一:(我)一个受信任的第三方,中介。(2)一个网络应用程序管理平面。

一个受信任的第三方,中介,是用于PKC [28]和IBC [29日撤销任何系统中恶意用户。在该机制中,包裹会生成一个用户的私钥,然后将它分为两个部分,例如,a和B部分包裹将发送一部分一部分的用户和B部分中介。类似于包裹,中介是第二个信方,使B部分用户的私钥。除此之外,中介将跟踪系统中恶意用户。

当用户需要他的私钥,他将发送一个加密的消息中介部分解密。中介会检查用户是否恶意或不是。如果用户已经被突破,中介会否认从系统操作,用户将被撤销,无法解密任何消息。如果用户是真诚的,中介会向用户发送部分解密消息,用户将能够解密部分解密消息并获得明文消息。

然而,中介方法可以带宽消耗自用户和中介需要传输加密的消息和部分解密消息通过网络。除此之外,中介需要额外的计算资源以执行部分解密,必须在线。图3说明了关键撤销在中介的帮助。

管理平面上的网络应用程序(30.)的形式可以是防火墙,入侵检测系统(IDS)或入侵预防系统(IPS)应用程序中,身份管理应用程序,或仅仅撤销控制应用程序。它负责全网视图按图1(SDN应用),因此能够轻松监控每个节点的活动。

当网络应用程序检测到任何恶意行为在一个特定的节点,它将通知控制器将沙箱中的恶意节点通过阻断所有网络流量开关。控制器可以通过执行流对恶意节点删除。为节点在其域控制器(PKG)可以分析不当行为。如果它被证明是安全的继续沟通,控制器就可以生成一个新的私钥的影响开关和分发这个新的关键节点。

这个网络应用程序方法可能增加控制器的负载的网络应用程序和流动去除但分布式SDN能够分发负载的负载平衡机制。因此,这种方法比在SDN环境特别是分布式SDN而言。

2.5。基于身份的加密(IBC)

IBC沙米尔首次提出了一个基于身份的签名方案的形式31日1985年)。他的想法IBC当时实施的酒井法子et al。32),然后再和富兰克林33]配对的加密方案在2000年和2001年,分别。他们实现了许多IBC的基础研究之后,更多的是基于后者。

类似于TLS的PKC, IBC需要一个可信的权威(TA)作为私有密钥生成器(PKG)为用户生成密钥。在SDN环境中,控制器也可以作为开关位于包裹在其领域。

在PKC, CA是用于生成公钥和私钥对而IBC的包裹只生成私钥。在IBC,公钥将来自用户的身份;在这种情况下,用户的身份可以形式的媒体访问控制(MAC)地址或任何其他网络身份的控制器和开关。

IBC,用户或,在这种情况下,控制器,开关,或数据存储,不需要存储每个用户的每一个公钥域或获得一个特定的公共密匙的助教。这反过来可以节省存储空间和网络带宽,否则会降低网络性能或转化为系统设置成本高。

聪明的(34),他的研究是基于Boneh和富兰克林的实现,关键协议发起IBC的使用协议。陈和Kudla [35)改善智能解决密钥托管问题的协议,允许多个助教和用户之间的通信提供保密。

2.6。相关研究

桑托斯et al。36)提出了应用IBC Controller-Secondary大师之间的安全通信控制器(MC-SC) SC-SC,客户端和服务器端或框架。在他们的提议,IBC协议是基于酒井等人协议(32]。然而,两个问题变得明显如果这是实现实际应用。在他们的建议,1型配对是用于建立的关键。根据陈的研究等。37Chatterjee)和et al。381型配对),适用于安全级别的80位;安全水平高于80位,性能会显著降低。4配对类型的详细信息,请参考[37,38]。

根据SDN的使用,安全级别的80位可能满足网络管理时间敏感数据或数据可能是无用的在很短的时间内(39]。SDN管理time-insensitive数据,安全水平高于应该使用80位。因此,关键协议协议应该能够支持其他配对类型。

他们的建议的另一个重要缺点还在于关键协议协议。它不允许之间的通信设备从不同的包裹已获得他们的私钥。因此,它成为不切实际的特别是当它是用于分布式SDN环境作为一个单独的包裹可能不是足够的提供私钥整个网络。这个缺点也限制了网络的可扩展性。

3所示。与IBC SDN安全

基于身份的密钥协商协议是用于建立对称会话密钥安全SDN通信。由于高的流量将被加密,不对称的对称密钥是最好的选择。非对称密钥将被用来推导会话交流的对称密钥。

我们的建议(40)采用双线性关键协议协议独立的助教由陈和引入Kudla [35SDN)原本不是。在这个实现中,它假设不同包裹共享相同的域参数合理的SDN设置。

尽管值得注意的是,控制器可以作为包裹的所有设备位于网络同时,由于包裹在IBC的重要性,建议有不同的包裹的私钥生成控制器和开关。通过这样做,它可以提供更好的保护控制飞机当控制器的pkg断开网络,从而降低包裹被暴露的风险或攻击。

然而,控制器的包裹需要重新连接到网络时,私有密钥到期(以固定间隔可以设置)或当检测到恶意控制器(可以由一个网络应用程序),需要一套新的私钥安全控制飞机。

(1)系统设置。假设有两个包裹,包裹₁和包裹₂,生成的私钥SDN的控制器。每个人都有一个公共/私有密钥对,和分别在哪里和已经在全球范围内达成一致。

控制器,,注册在包裹₁私钥,,在那里(ID)。

控制器B,,注册在包裹₂与,在那里(ID)。(注意,控制器A和B也可以作为包裹的开关位于各自的领域)。加密哈希函数;。

(2)建立的关键。如果控制器想与控制器B, IBC关键协议协议将发起建立的共享会话密钥。盒子1说明了密钥建立协议。每个控制器A和B随机挑选nonce,和,计算,和,分别在哪里和。这些计算值之间交换将两个控制器。

最终协议,控制器计算共享密钥;和控制器B计算共享密钥;:

然后,共享会话密钥可以生成的散列的关键;,在那里是一个安全的哈希函数推导为目的的关键。然而,这个会话密钥不提供助教向前保密和密钥托管问题仍然存在。

如果需要TA向前保密和密钥托管是不允许的,前面生成的临时密钥也可以用来共享会话密钥的生成一个变体;所建议的陈和Kudla [35]。这些共享的会话密钥建立了IBC关键协议协议将被用来提供消息的机密性。

3.1。向南行进的安全

控制器是注册在各自的包裹也可以作为开关位于他们的包裹为南行通信领域。向南行进的安全更简单,因为它通常不会涉及多个领域。然而,在迁移从一个控制器切换到另一个,interdomain仍然需要沟通,交出迅速切换。因此,相同的密钥协商协议也可以用来向南行进的通信。

应用IBC南行安全密钥协商协议,包裹的角色将被转移到控制器本身,也就是说,生成私钥的开关。这减少了负荷管理控制平面的包裹也隔离了两个沟通渠道。

3.2。数据平面安全

3.2.1之上。有线数据平面

多畴的关键协议也有助于有线数据平面允许主机之间的通信,获得他们的私有密钥从不同的控制器通过南行沟通。的关键协议协议允许多畴的沟通没有保持多个公共密钥对每个域。这允许使用飞机设备建立会话的数据交换的身份信息和参数。

3.2.2。无线数据平面

无线数据平面涉及多个无线技术和它变得复杂时,最终通过异构后端主机尝试建立通信基础设施。为了使异构通信,多畴的域密钥协商协议是用来沟通。

尽管所使用的多种无线技术,底层协议交换消息可能是相同的。例如,两个流行的物联网设备所使用的通信协议,MQTT CoAP,可以使用TCP和UDP,分别,不管底层无线技术的使用。因此,应用IBC MQTT协议或者CoAP能够提供必要的安全物联网设备之间的通信。

4所示。应用场景

4.1。向南行进的沟通

图4显示了开关的开关迁移2。开关2是允许控制器A和B之间的迁移,也作为开关2包裹。负载平衡应用程序通知各自的控制器将接管开关之间的迁移和关键机构将开关和控制器B。

在这个过渡时期,开关2仍能够与开关1或通过使用旧键开关3(主要来自控制器),切换到新的密钥(主要来自控制器将接管)一旦建立和完成交接过程的关键。当开关迁移完成后,开关就可以处理旧的键和使用新的密钥进行沟通。

这个迁移过程简化开关和一个身份信息和节省计算资源控制器的证书发行和管理。除此之外,它还可以减少所需的带宽分布TLS的新证书。

4.2。数据平面通信

4.2.1。准备有线数据平面

图5说明了interdomain通信在有线数据平面与interdomain密钥协议协议成为可能。的帮助下协议,它允许开关1-switch 2和主机之间的通信建立主机B没有第二个公钥或身份。

不同于TLS,开关1和主机不需要控制器B发出新的公钥为了推导出会话密钥。同样切换2和主机B不需要第二个从控制器a .因此,公钥的关键协议协议节省计算资源的控制器生成和管理证书。除此之外,它还可以节省带宽,将用于分发证书。

4.2.2。无线数据平面

无线数据平面包括异构无线技术的优势,因此多畴的IBC能力关键协议协议这数据飞机通信最实际的好处。证书管理简化了控制器管理只有私钥的这些设备,而不是为每个无线技术管理多个证书。

图6说明了异构无线通信,移动设备能够为物联网设备与基站通信通过两个不同的无线技术。移动设备连接到网络通过长期演进(LTE),而基站连接到网络通过无线保真(WiFi)。LTE之间的通信基站和无线接入点可能只有身份信息的移动设备。它可以节省的麻烦为单一设备多个证书。

除此之外,IBC关键协议协议减少带宽消耗比没有证书的TLS交流需要。保存就可以容纳更多的无线带宽主机使用相同的基础设施从而节省成本。

5。分析和讨论

OpenDayLight和惠普VAN SDN实现TLS安全南行安全但忽略了东/西行分布式SDN安全也是至关重要的。小野担保南行和东/西行通信系统设置仍而是不方便因为用户仍然需要手动部署的关键。

桑托斯et al。36提出保护MC-SC之间的通信,SC-SC,客户端和服务器端或与IBC的框架。然而,有一些缺陷在他们的提议和方案不适合分布式SDN当interdomain沟通是必需的。

表1是一个比较不同的SDN项目的证券。为了简化比较,SDN项目不能实现一个安全的通道被排除在这个表。做注意,协议也可以添加到任何开源SDN项目安全模块。

由于TCP是首选的传输协议提供可靠的通信通道,我们选择MQTT协议的最常用的通信协议在物联网的世界(依赖于TCP)除了CoAP(依赖于UDP)和担保TLS。然后,我们分析了MQTT代理之间的通信(服务器)和MQTT客户机(出版商)找出可能节省的带宽使用IBC代替TLS。

在沟通分析中,我们使用一个网络嗅探工具,Wireshark [41),监控网络流量和MQTT客户机之间的信息交换(出版商)和MQTT代理。图7展示了一个完整的TLS握手握手MQTT协议和细节的信息将显示在图7。

图8显示第一个消息交换由MQTT客户机(在这种情况下,出版商)MQTT代理。与TLS握手机制,客户端通信开始你好。在这个消息,发送客户的nonce,密码套件,压缩方法,扩展和其他特殊功能的服务器或客户端支持MQTT代理。

类似于客户你好消息,图9显示服务器你好消息,服务器的响应在接收客户端你好消息。在这条消息中,服务器(MQTT代理)将选择最好的或者最合适的加密设置,如最安全的密码套件支持的客户端,压缩方法,或任何其他的扩展包括在客户端你好消息。

如果IBC协议应用在这里,大小的密码套件,压缩方法或其他特性支持可能是最初的程度要低得多,因此可以使用较小的客户你好消息。然而,如果IBC协议是采用更多的组织,它可能成长为规模类似于TLS协议。因此,带宽保存在客户端你好消息可以忽略不计。另一方面,服务器你好消息的消息长度应该类似是否在TLS或IBC模式,因为它只选择一个密码的设置从每个类型。因此,带宽保存在客户端和服务器你好你好消息可以忽略不计。

MQTT后代理服务器(服务器)发送给你好消息到客户端,它将继续自己的证书发送到客户端,如图10并发送一个证书请求消息到客户端,如图11服务器和客户端可以发送任何实际数据之前互相验证。如果使用IBC协议,这两个消息将不再需要,因为客户端能够获取来自服务器的“证书”的身份和同样的服务器,它将能够获得与客户“客户证书”的身份。

图10显示证书握手消息使用1900字节的带宽而证书请求消息,如图11用42个字节的数据,导致总共1942字节保存。带宽保存这是重大的整个客户端你好和服务器你好消息的大小只有376字节。通过切换IBC协议、带宽保存这里可以容纳另一个5双于服务器-客户机你好消息交换。

图12显示MQTT客户机(在这种情况下,出版商)将自己的证书发送到MQTT从代理代理在收到证书请求消息和所需的信息来验证证书验证的客户端发送消息,如图13到代理。如果IBC协议应用在这里,这些握手消息将多余的代理能够得到来自客户机的“客户证书”的身份,交换nonce和派生”证书,“代理能够验证客户端无需证书验证消息。

图12显示客户机的证书使用1888字节,而证书验证信息图13使用269字节的数据。再一次,总共2157字节可以通过切换到保存IBC协议。

最后,图14显示了会话的建立于服务器-客户机对图15显示第一个应用程序的数据交换与会话建立的加密参数。这些消息交换所需的带宽应该类似是否在TLS或IBC协议如果使用了相同的握手机制和对称加密因为会话的机票和大小的改变密码规范消息不受密码学协议的影响。

服务器的完成或加密的握手消息如图14和第一个加密的数据图15将有一个类似的长度无论TLS或IBC因为使用TLS和IBC用于推导出对称密钥和非对称密钥通过握手机制和对称密钥加密用于加密这些消息将是相同的TLS和IBC。因此,这里没有可以节省带宽。

通过引用图7,每个握手消息的大小列出如下:客户你好消息:305字节(参考图8)。服务器你好消息:71字节(参考图9)。服务器的证书:1900字节(参考图10)。服务器密钥交换:338字节(5字节的头+长度,参考图10)。证书请求和服务器你好消息了:51个字节(参考图11)。客户的证书:1888字节(参考图12)。客户端密钥交换:75字节(见图12)。证书验证信息:269字节(见图13)。改变密码规范(客户端):6个字节(参考图13)。客户的完成:45个字节(参考图13)。新会话票:1087字节(参考图14)。改变密码规范(服务器):6个字节(参考图14)。服务器的完成:45个字节(参考图14)。完整的握手:6086字节。

基于分析可能的带宽,可以保存IBC,这表明删除证书相关信息(服务器的证书,证书的要求,客户的证书,和证书验证)的TLS握手就可以节省高达4099字节/交流。一个完整的握手需要6086字节和4099字节保存超过一半的带宽。

因此,这可能会导致较低的功耗要求更少的数据服务器和客户端之间的交换。带宽保存这里也允许相同的网络基础设施,以适应更多的交流对,从而提高性能。

除此之外,多畴的IBC协议还允许MQTT客户机生成的关键,不同的域控制器的通信通过MQTT代理的另一个领域。

6。结论

有几个显著的好处在保护与IBC SDN沟通;系统设置步骤将极大地简化,性能和网络带宽大大改善。此外,需要一个更小的存储空间来存储密钥,所有这些将转化为降低成本。

除此之外,IBC也加快了密钥交换过程由于交际双方不需要得到对方的公钥从CA获得会话密钥。这减少了时间设置的关键,因此更少的时间花在交换过程的关键。

IBC计划,甚至不同子域的节点能够获得共享会话密钥。这不仅提高了网络的可扩展性,而且简化了开关迁移往南的通信,使interdomain数据平面上的沟通。

最后,分析显示了可能的带宽,可以通过切换到IBC得救;证书交往是最耗费带宽在握手过程中一部分。通过删除证书在TLS的使用,减少带宽消耗高达4099字节/两人在握手过程中交流。换句话说,超过一半的带宽是保存为一个完整的握手需要6086字节。

这将导致更低的能耗的物联网设备和更高的网络性能,因为它现在可以容纳更多的物联网设备没有升级网络基础设施。

信息披露

的一部分,本文提出了在国际会议上无处不在的和未来的网络(ICUFN) 2015。

相互竞争的利益

作者宣称没有利益冲突。

确认

这项研究受到了基础科学研究项目通过韩国国家研究基金会资助的教育、科学和技术(批准号nrf - 2014 r1a1a2060021)。第三作者(Hoon-Jae Lee)是韩国国家研究基金会的支持下,NRF2011项目(批准号nrf - 2011 - 0023076)和NRF2016项目(批准号nrf - 2016 r1d1a1b01011908)。

引用

1. a .武断的话,f,穆克吉,t . v . Lakshman r . Kompella,“对一个弹性分布式SDN控制器,”第二届ACM SIGCOMM车间在软件定义网络热门话题(HotSDN 13)研讨会论文集光碟,,香港,2013年8月。视图:出版商的网站|谷歌学术搜索
2. m·f·巴里Chowdhury r, r·艾哈迈德和r . Boutaba”PolicyCop:自主软件定义网络的QoS策略实施框架,”程序的软件定义网络未来的网络和服务研讨会(SDN4FNS 13)特兰托,页1 - 7,意大利,2013年11月。视图:出版商的网站|谷歌学术搜索
3. r . Skowyra s Bahargam, a . Bestavros“软件定义id为确保嵌入式移动设备,”学报2013年IEEE极端高性能计算会议(HPEC 13)美国大众,页1 - 7,沃尔瑟姆,2013年9月。视图:出版商的网站|谷歌学术搜索
4. r·布拉加·e·莫塔,a . Passito“轻量级DDoS洪水攻击检测使用氮/ OpenFlow,”第35届IEEE会议程序本地计算机网络(LCN的10)科罗拉多州丹佛,页408 - 415,美国2010年10月。视图:出版商的网站|谷歌学术搜索
5. j . r .民谣。雷,a . Akella“使用openSAFE可扩展和可伸缩的网络监测,”互联网网络管理学报》会议上研究企业网络(INM /鹪鹩的10),p . 2010。视图:谷歌学术搜索
6. c, c . Lumezanu y,诉辛格g .江和h v . Madhyastha”FlowSense:测量监控网络利用率为零成本,”学报》第14届国际会议上被动和主动测量(PAM的13)卷,7799,pp。31-41,施普林格,柏林,德国,2013年。视图:出版商的网站|谷歌学术搜索
7. j . h . Lam S.-G。李,周宏儒。李,和y . e . Oktian TLS通道实现小野的东/西行通信”电子、通信和网络V卷,382课堂讲稿电气工程施普林格,页397 - 403年,新加坡,2016年。视图:出版商的网站|谷歌学术搜索
8. OpenFlow,https://www.opennetworking.org/sdn-resources/technical-library。
9. “思科以应用程序为中心的基础设施:使用ACI作为IT转换技术为基础的催化剂白皮书,”http://www.cisco.com/c/en/us/solutions/collateral/data中心- virtualization/application中心- infrastructure/white -纸- c11 - 734501. - html。视图:谷歌学术搜索
10. k·本顿,l . j .营地,和c小,“OpenFlow脆弱性评估,”第二届ACM SIGCOMM车间在软件定义网络热门话题(HotSDN 13)香港,页151 - 152年,2013年8月。视图:出版商的网站|谷歌学术搜索
11. 开放的日光,交叉项目:打开日光安全分析,“https://wiki.opendaylight.org/view/CrossProject OpenDaylight_Security_Analysis。视图:谷歌学术搜索
12. 惠普,惠普VAN SDN控制器管理员指南修改2,第1版,2014年,http://h20564.www2.hp.com/hpsc/doc/public/display?docId=c04003114。
13. 小野,“使用TLS / SSL安全OpenFlow连接,”https://jira.onosproject.org/browse/onos - 1319。视图:谷歌学术搜索
14. y海岬,“长期演进(LTE)”未来移动通信:LTE优化和移动网络虚拟化的第1卷高级研究移动研究中心不莱梅页13-33 Springer,威斯巴登,德国,2013年。视图:出版商的网站|谷歌学术搜索
15. m . Stasiak m . Głąbowski a Wiśniewski, p . Zwierzykowski“通用移动通信系统”从GSM移动网络的建模和尺寸:LTE约翰•威利& Sons奇切斯特,英国,2010年。视图:出版商的网站|谷歌学术搜索
16. m·d·埃g . Calandriello, a . Lioy“无线网络的可靠性:我们可以依靠WiFi吗?”IEEE安全与隐私,5卷,不。1,23-29,2007页。视图:出版商的网站|谷歌学术搜索
17. s·w·彼得斯和r·w·希思Jr .)“WiMAX的未来:多次反射传递与IEEE 802.16 j,”IEEE通讯杂志卷,47号1,第111 - 104页,2009。视图:出版商的网站|谷歌学术搜索
18. f·巴里和v c . m .梁”自动化网络选择在异构无线网络环境中,“IEEE网络,21卷,不。1,34-40,2007页。视图:出版商的网站|谷歌学术搜索
19. c .彭问:张先生,c .唐“改善使用identitybased密码学TLS握手协议,”学报2009年国际研讨会信息工程和电子商务(IEEC ' 09)捷尔诺波尔,页135 - 139年,乌克兰,2009年5月。视图:出版商的网站|谷歌学术搜索
20. n部,t·安德森,h·et al .,“OpenFlow:使校园网络,创新”ACM SIGCOMM计算机通信评审,38卷,不。2、69 - 74年,2008页。视图:出版商的网站|谷歌学术搜索
21. s . j . Vaughan-Nichols”OpenFlow:下一代网络的吗?”IEEE计算机,44卷,不。8、13 - 15,2011页。视图:出版商的网站|谷歌学术搜索
22. M2M和物联网标准:oneM2M释放1规格,http://www.onem2m.org/technical/published-documents。
23. d·洛克,”MQ遥测传输(MQTT) V3.1协议规范,”2010年8月,http://www.ibm.com/developerworks/webservices/library/ws-mqtt/index.html。视图:谷歌学术搜索
24. z谢尔比、k . Hartke和c·鲍曼“限制应用程序协议(CoAP),”RFC7252、2014、https://datatracker.ietf.org/doc/draft-ietf-core-coap/。视图:谷歌学术搜索
25. c·鲍曼,a·p·卡斯特拉尼和z谢尔比,“CoAP:数十亿微型网络节点的应用协议,”IEEE网络计算,16卷,不。2、62 - 67年,2012页。视图:出版商的网站|谷歌学术搜索
26. r·t·菲尔丁和r . n .泰勒“现代Web架构的原则设计,”诉讼的ACM 22日软件工程国际会议(ICSE ' 00)利默里克,页407 - 416年,爱尔兰,2000年6月。视图:出版商的网站|谷歌学术搜索
27. d·A·库珀,“仔细看看撤销和关键妥协在公钥基础设施”21世纪国家信息系统安全会议1998年10月,页555 - 565。视图:谷歌学术搜索
28. 然后,x丁、g . Tsudik和c . m .黄”的方法快速撤销公钥证书和安全功能,”第十届USENIX安全研讨会会议学报》上,10卷,第308 - 297页,2001年伯克利,加州,美国。视图:谷歌学术搜索
29. x丁和g . Tsudik”简单的基于身份的密码学介导RSA,”主题2003年Cryptology-CT-RSA:密码器的跟踪2003年旧金山,RSA会议上,美国4月13 - 17,2003程序卷,2612在计算机科学的课堂讲稿施普林格,页193 - 210年,柏林,德国,2003年。视图:出版商的网站|谷歌学术搜索
30. h . c . Yoon t .公园,美国Lee Kang s Shin >,“与SDN启用安全功能:可行性研究,“计算机网络卷。85年,19-35,2015页。视图:出版商的网站|谷歌学术搜索
31. a·沙米尔“基于身份的密码和签名方案”密码学的发展:程序加密的84,部分,页47-53施普林格,1985年。视图:出版商的网站|谷歌学术搜索
32. 酒井先生,k . Ohgishi和m .笠原“基于配对密码,”《密码学和信息安全研讨会上(者' 00)2000年1月,冲绳,日本,。视图:谷歌学术搜索
33. 然后再和m .富兰克林,“有数的基于身份的加密”21届国际密码学会议学报》上美国加州圣芭芭拉,2001年8月。视图:出版商的网站|谷歌学术搜索
34. n . p .聪明,“基于身份的认证密钥协商协议基于Weil配对,”电子信件,38卷,不。13日,630 - 632年,2002页。视图:出版商的网站|谷歌学术搜索|Zentralblatt数学
35. 陈和c . Kudla .“从配对关键agreemet基于身份的认证协议,”《车间16 IEEE计算机安全基础,卷2,页219 - 233,太平洋格罗夫,加州,美国,2003年7月。视图:出版商的网站|谷歌学术搜索
36. m·a·s·桑托斯,b . a . a . Nunes k . Obraczka t . Turletti b·t·德·奥利维拉和c b . Margi“分散式SDN飞机的控制”第39届IEEE会议程序本地计算机网络(LCN的14),页402 - 405,埃德蒙顿,加拿大,2014年9月。视图:出版商的网站|谷歌学术搜索
37. 程z l . Chen, n . p .聪明,“从配对基于身份的密钥协商协议,”国际期刊的信息安全》第六卷,没有。4、213 - 241年,2007页。视图:出版商的网站|谷歌学术搜索
38. s Chatterjee d Hankerson a ?梅,“在效率和安全的双线性协议类型1和类型4设置”有限域的算法:第三国际研讨会,2010年WAIFI,伊斯坦布尔,土耳其,研究,2010年6月。诉讼卷,6087在计算机科学的课堂讲稿施普林格,页114 - 134年,柏林,德国,2010年。视图:出版商的网站|谷歌学术搜索|MathSciNet
39. n . p .聪明,诉Rijmen, b . Warinschi et al .,”算法,关键尺寸和参数报告- 2013建议,”欧盟机构网络和信息安全(ENISA), 1.0版本,2013年10月。视图:谷歌学术搜索
40. 黄永发。Lam S.-G。李,周宏儒。李,y . e . Oktian”确保分布式SDN IBC,”学报》第七届国际会议上无处不在的和未来的网络(ICUFN 15)札幌,页921 - 925年,日本,2015年7月。视图:出版商的网站|谷歌学术搜索
41. Wireshark,https://www.wireshark.org/。

版权

版权©2016 JunHuy林等。这是一个开放的分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。