现有问题
随着IOT中智能设备多样性和数目的增加,IOT的灵活性,效率,可用性,安全性和可扩展性的问题越来越明显。
实验目标
按照高适应性,可用性,容错性,性能,可靠性,可扩展性和安全性的设计原则,构建一个安全分布的物联网网络的高性能架构
主要贡献
- 利用区块链技术为IOT提供分布式的SDN安全架构
- 提出一种更新架构中流规则表的技术
与传统模型比较
设计概述
架构图:
在这个架构中,SDN控制器已区块链的方式连接(?)。同时,每个IOT网络包含OrchAPP,控制器和Shelter模块。OrchAPP和Shelter模块分别处理不同层面的攻击:OrchAPP作用与北向及以上,Shelter作用在南向。通过两者的协作,可以基于反复出现的威胁情况,实行主动或被动的预防。OrchAPP
OrchAPP是使用基于主机的软件,布置到适当的应用层执行点,并将安全问题分为3种,每种有相应的安全策略:
- 访问控制(Access control):在管理层建立的物联网网络中实现资源与客户之间认可关联的安全保护模型。
- 数据保护(Data protection):侧重于数据的分类而不是行为和交互。 管理层完成组织中数据流的标准或策略。
威胁情报:从不同网络中获取实时威胁,并解析。
OrchAPP 通过使用与管理层一起工作的自动化威胁反作用控制,根据识别到的攻击,自动进行保护。Shelter
Shelter包含一下两个组件:
- 流量分析仪(a flow control analyzer):主要在饱和攻击发生时,用于维护网络中的基础设施。作为一个控制应用部署在控制层。
包迁移组件(pocket migration components):向OpenFlow控制器发送良性网络流,而不会造成过载。此外,迁移组件的迁移代理被应用于控制平面,数据平面和高速缓存数据平面的元素之间的控制器应用。
Parser
有些攻击使用某些OpenFlow消息(FLOW_MOD等)来改变控制器的网络视图,Parer通过监听和解析流来导入元数据来确认这些行为。
Graph Builder
通过分析Parser已解析过的数据来勾结或更改网络中的流量图。
Verifier(?)
Verifier离线生成路径数据,通过收集路径数据来推导可能的路径。同时,Verifier在线生成反应规则。在线生成反应规则监视并分配全局变量的当前值到状态路径(the status path)。最终,建立我们需要的反应流量规则。
Migration Agent
数据包迁移代理根据受到的攻击和警报类型,做成相应的动作。比如:但饱和攻击发生时,将有效数据包迁移至数据平面缓存。
Data Plan Cache
在饱和攻击期间,它暂时缓存丢失的数据包。 在洪泛攻击期间,大多数洪水包被重定向到数据计划缓存,以避免淹没(flooding)控制器。 通过使用分类器,Packetin生成器和缓冲区队列,它解析迁移的数据包的头并将它们存储在适当的队列中。
Shelter 工作流
Shleter工作有3个阶段:
- 通过监听数据包,构建或更改网络视图。
- 解析Open Flow消息中的拓扑元数据和状态,建立网络中的流量增量图形。
实时收集元数据流动。
当检测到新的流动行为时,Shelter不会发出警报信号。或者,当收信人检测到调用对现有流行为的修饰符的不可信实体时,或者流拒绝管理员指定的任何规则或安全规则时,收信人会提示一个报警信号。而且,由于来自可信控制器的FLOW_MOD消息生成,所以Shelter不会在流重新路由中引发任何警报,这大大减少了如果识别出每个新行为的信号可能发生的警报。更新网络中IOT设备的流规则