Skip to main content
QUICK REVIEW

[논문 리뷰] sOFTDP: Secure and Efficient Topology Discovery Protocol for SDN

Abdelhadi Azzouni, Raouf Boutaba|arXiv (Cornell University)|2017. 05. 12.
Software-Defined Networks and 5G인용 수 31
한 줄 요약

이 논문은 생산용 SDN 환경에서 사용되는 보안성과 효율성이 떨어지는 OpenFlow Discovery Protocol(OFDP)를 대체할 수 있는 안전하고 효율적인 토폴로지 탐지 프로토콜인 sOFTDP를 제안한다. BFD를 활용해 빠른 링크 상태 감지 기능을 구현하고 경량 인증 기능을 통합함으로써 sOFTDP는 토폴로지 탐지 시간을 3.25±0.008ms로 단축시켰으며, 네트워크 크기와 관계없이 밀리초 이내의 학습 지연을 달성한다. 또한 링크 위조 및 위조 공격 등의 주요 취약점을 제거한다.

ABSTRACT

Topology discovery is one of the most critical tasks of Software-Defined Network (SDN) controllers. Current SDN controllers use the OpenFlow Discovery Protocol (OFDP) as the de-facto protocol for discovering the underlying network topology. In a previous work, we have shown the functional, performance and security limitations of OFDP. In this paper, we introduce and detail a novel protocol called secure and efficient OpenFlow Discovery Protocol sOTDP. sOFTDP requires minimal changes to OpenFlow switch design, eliminates major vulnerabilities in the topology discovery process and improves its performance. We have implemented sOFTDP as a topology discovery module in Floodlight for evaluation. The results show that our implementation is more secure than OFDP and previous security workarounds. Also, sOFTDP reduces the topology discovery time several orders of magnitude compared to the original OFDP and existing OFDP improvements.

연구 동기 및 목표

  • 실제 SDN 구현 환경에서 널리 사용되는 OFDP의 심각한 보안성 및 성능 한계를 해결한다.
  • 스위치 위조, 링크 위조, 컨트롤러 지문 분석, LLDP 폭주 공격 등 OFDP에 알려진 공격을 완화한다.
  • OpenFlow 스위치 아키텍처에 최소한의 변경을 가하여 토폴로지 탐지 프로토콜을 설계한다.
  • 네트워크 크기와 관계없이 밀리초 이내의 토폴로지 학습 시간을 달성하여 동적 환경에서 실시간 네트워크 관리를 가능하게 한다.
  • 비인증된 LLDP에 의존하지 않고 설계된 보안성 높은 OFDP 대체 솔루션을 제공하며, 이전 솔루션 대비 CPU 오버헤드를 줄인다.

제안 방법

  • 데이터 플레인에서 양방향 전달 검사(BFD)를 통합하여 빠르고 낮은 지연 시간으로 링크 장애 및 토폴로지 변경을 감지한다.
  • BFD의 빠른 감지 메커니즘을 활용해 이벤트 기반 감지를 통해 주기적인 LLDP 기반 탐지 방식을 대체하여 토폴로지 업데이트를 유도한다.
  • LLDP 패킷에 경량의 패킷 단위 인증(HMAC 등)을 적용하여 위조 및 링크 위조 공격을 방지한다.
  • OFDP 대비 패킷-아웃 및 패킷-인 메시지 수를 줄여 컨트롤러-스위치 간 통신을 최소화하도록 프로토콜을 설계한다.
  • 실증 평가를 위해 Floodlight 컨트롤러에 모듈러 확장 기능으로 sOFTDP를 구현한다.
  • 기존 OpenFlow 스위치 기능을 최대한 활용하며 최소한의 수정으로 구현하여 후행 호환성과 낮은 구현 오버헤드를 확보한다.

실험 결과

연구 질문

  • RQ1링크 위조 및 스위치 위조와 같은 활성 공격에 대해 보안성이 높으면서도 OFDP보다 훨씬 빠른 토폴로지 탐지 프로토콜을 설계할 수 있는가?
  • RQ2BFD를 사용해 주기적인 LLDP 교환을 대체할 수 있는 정도는 어느 정도이며, 이로 인해 탐지 지연 시간과 CPU 부하가 얼마나 감소하는가?
  • RQ3LLDP 패킷에 경량 인증을 통합함으로써 중계 또는 삽입 공격에 의한 링크 위조 위험을 제거할 수 있으며, 이로 인한 성능 비용이 금지 수준을 초과하지는 않는가?
  • RQ4sOFTDP의 학습 시간은 네트워크 크기와 어떻게 관련되며, 토폴로지 복잡성과 관계없이 밀리초 이내의 감지 지연을 달성할 수 있는가?
  • RQ5sOFTDP는 OpenFlow 스위치 펌웨어에 최소한의 변경만으로도 구현 가능하여 기존 SDN 인fra에서 실용적으로 구현 가능한가?

주요 결과

  • sOFTDP는 평균 토폴로지 학습 시간을 3.25±0.008ms로 단축시켰으며, 이는 네트워크 크기와 무관하고 오직 스위치와 컨트롤러 간 RTT에만 의존한다.
  • 프로토콜은 밀리초 이내의 학습 지연을 달성하여 OFDP 및 OFDPv2 대비 수 개의 지수 단위 감소를 이룬다.
  • sOFTDP는 스위치 위조, 중계 또는 삽입 공격에 의한 링크 위조, 컨트롤러 지문 분석 공격 등 OFDP의 주요 취약점을 제거한다.
  • 프로토콜는 인증된 LLDP 패킷과 BFD를 활용해 신속하고 신뢰할 수 있는 토폴로지 변경 감지를 통해 설계부터 보안성을 확보한다.
  • 이전 솔루션 대비 CPU 오버헤드가 크게 감소했다: 이전 연구에서 관찰된 1라운드 HMAC 계산의 80.4% 오버헤드를 피한다.
  • Floodlight에서의 평가 결과, sOFTDP는 속도와 보안성 면에서 OFDP 및 OFDPv2를 모두 능가하며 확장성에 대한 성능 저하 없이 작동함을 확인했다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.