- Văn bản
- Lịch sử
In contrast to the southbound inter
In contrast to the southbound interface, applications and their variety of interfaces are
not standardised. At the present time, no group is devoted to define strict requirements
and security mechanisms for the northbound interface. The ONF security committee does
not extend their scope beyond the southbound interface. However, due to the variety and
configuration power in the network, applications are one of the most sensitive weak spots
of software-defined networks. Security mechanisms to verify and track the legitimacy of
applications in the network are a must. For this very reason, the fifth design principle
demands a trust relationship between application and controller software.
Section 4.3.3 addressed the automatic resolution of application policy conflicts an at
tacker could induce. Nevertheless, limiting the command set of insecure or new applications
by default or denying access based on lack of credentials is a preferable course of action.
Since the controller is treated as the operating system of the network, introduction of role
based permission models and access control implemented in the controller itself are common
suggestions. Ongoing and detailed projects to enforce security in controllers are Security
Enhanced-Floodlight (SE-Floodlight) [56] and the ONOS Security Mode [120].
SE-Floodlight (see Figure 4.2) is a controller extension, which provides a multitude of
application and network security mechanisms. The developers specifically focus on appli
cation access control and rule conflicts. In SE-Floodlight the northbound API is secured
using OpenSSL authentication. Any application integrated directly into the controller has
to be signed by an administrator and packaged with credentials before they can be executed.
All applications are divided into privilege levels, currently consisting of APP (default), SEC
(security applications) and ADMIN. Depending on the role of the application, it is permitted
to perform a particular set of rule modifications or requests. Operations, which are beyond
the assigned privilege are rejected. If a rule-conflict arises due to commands stemming from
different applications, SE-Floodlights selects the higher privilege operation, effectively pro
viding privileged applications with the ability to override the flow rules of a lower tier. The
registered applications are uniquely identifiable and all activity is logged for auditing and
forensic purposes.
A very similar extension to Floodlight is OperationCheckpoint [83]. As opposed to a static
and ubiquitous role-based functionality, the applications are granted individually selected
configuration permits in order to keep flexibility in access and assure dynamic permission
changes. Members of the research team that has proposed SE-Floodlight are working on
the ONOS Security Mode. In comparison to SE-Floodlight, the functionality of the secu
rity mode is narrowed and only specifies access control. Nevertheless, applications are also
grouped into admin and non-admin mode based on their authentication and have to request
permission for various tasks beforehand. If the role does not match, the request is denied.
Application IDs and activity logs are a native feature of ONOS and can most likely be
utilised for forensic analysis.
The authentication and role-based approaches significantly reduce the threat of bad ap
plications in SDN. As long as credentials are not compromised, it is impossible to force false
policies into the network, preventing another aspect of Spoofing. Furthermore, the different
access levels inhibit the risk of an Elevation of Privilege. Unique application identification
and the possibility to trace malfunctioning controller applications address concerns in regard
to Repudiation.
not standardised. At the present time, no group is devoted to define strict requirements
and security mechanisms for the northbound interface. The ONF security committee does
not extend their scope beyond the southbound interface. However, due to the variety and
configuration power in the network, applications are one of the most sensitive weak spots
of software-defined networks. Security mechanisms to verify and track the legitimacy of
applications in the network are a must. For this very reason, the fifth design principle
demands a trust relationship between application and controller software.
Section 4.3.3 addressed the automatic resolution of application policy conflicts an at
tacker could induce. Nevertheless, limiting the command set of insecure or new applications
by default or denying access based on lack of credentials is a preferable course of action.
Since the controller is treated as the operating system of the network, introduction of role
based permission models and access control implemented in the controller itself are common
suggestions. Ongoing and detailed projects to enforce security in controllers are Security
Enhanced-Floodlight (SE-Floodlight) [56] and the ONOS Security Mode [120].
SE-Floodlight (see Figure 4.2) is a controller extension, which provides a multitude of
application and network security mechanisms. The developers specifically focus on appli
cation access control and rule conflicts. In SE-Floodlight the northbound API is secured
using OpenSSL authentication. Any application integrated directly into the controller has
to be signed by an administrator and packaged with credentials before they can be executed.
All applications are divided into privilege levels, currently consisting of APP (default), SEC
(security applications) and ADMIN. Depending on the role of the application, it is permitted
to perform a particular set of rule modifications or requests. Operations, which are beyond
the assigned privilege are rejected. If a rule-conflict arises due to commands stemming from
different applications, SE-Floodlights selects the higher privilege operation, effectively pro
viding privileged applications with the ability to override the flow rules of a lower tier. The
registered applications are uniquely identifiable and all activity is logged for auditing and
forensic purposes.
A very similar extension to Floodlight is OperationCheckpoint [83]. As opposed to a static
and ubiquitous role-based functionality, the applications are granted individually selected
configuration permits in order to keep flexibility in access and assure dynamic permission
changes. Members of the research team that has proposed SE-Floodlight are working on
the ONOS Security Mode. In comparison to SE-Floodlight, the functionality of the secu
rity mode is narrowed and only specifies access control. Nevertheless, applications are also
grouped into admin and non-admin mode based on their authentication and have to request
permission for various tasks beforehand. If the role does not match, the request is denied.
Application IDs and activity logs are a native feature of ONOS and can most likely be
utilised for forensic analysis.
The authentication and role-based approaches significantly reduce the threat of bad ap
plications in SDN. As long as credentials are not compromised, it is impossible to force false
policies into the network, preventing another aspect of Spoofing. Furthermore, the different
access levels inhibit the risk of an Elevation of Privilege. Unique application identification
and the possibility to trace malfunctioning controller applications address concerns in regard
to Repudiation.
0/5000
Trái ngược với giao diện southbound, ứng dụng và của loạt các giao diệnkhông tiêu chuẩn hóa. Tại thời điểm hiện tại, không có nhóm được dành để xác định yêu cầu khắt khevà cơ chế bảo mật cho giao diện Bắc. Ủy ban an ninh ONF hiệnmở rộng phạm vi của họ vượt ra ngoài giao diện southbound. Tuy nhiên, do sự đa dạng vàsức mạnh cấu hình trong mạng, ứng dụng là một trong những điểm yếu nhạy cảm nhấtphần mềm xác định mạng. Cơ chế bảo mật để kiểm tra và theo dõi tính hợp pháp củaCác ứng dụng trong mạng là phải. Vì lý do này rất, các nguyên tắc thiết kế thứ nămyêu cầu một mối quan hệ tin cậy giữa phần mềm ứng dụng và điều khiển.Phần 4.3.3 giải quyết tự động giải quyết cuộc xung đột chính sách ứng dụng một lúctacker có thể gây ra. Tuy nhiên, hạn chế tập lệnh của không an toàn hoặc mới ứng dụngbởi mặc định hoặc bỏ truy cập Dựa trên thiếu thông tin đăng nhập là một khóa học thích hợp hơn của hành động.Kể từ khi bộ điều khiển được coi là hệ điều hành của mạng, giới thiệu về vai tròMô hình dựa trên sự cho phép và điều khiển truy cập thực hiện trong điều khiển chính nó là phổ biếnđề xuất. Dự án đang diễn ra và chi tiết để thực thi bảo mật trong bộ điều khiển là an ninhNâng cao-ghi (SE-Chóa) [56] và chế độ bảo mật ONOS [120].SE-ghi (xem hình 4.2) là một phần mở rộng điều khiển, cung cấp một vô số cáccơ chế bảo mật ứng dụng và mạng. Các nhà phát triển đặc biệt tập trung vào öùngcation truy cập kiểm soát và quy tắc xung đột. Ở SE-ghi API Bắc được bảo vệsử dụng OpenSSL xác thực. Bất kỳ ứng dụng tích hợp trực tiếp vào bộ điều khiển cóĐược đăng bởi người quản trị và đóng gói với các thông tin đăng nhập trước khi họ có thể được thực hiện.Tất cả các ứng dụng được chia thành các cấp đặc quyền, hiện nay bao gồm APP (mặc định), SEC(ứng dụng bảo mật) và quản trị. Tùy thuộc vào vai trò của các ứng dụng, nó được phépđể thực hiện một tập hợp cụ thể của thay đổi quy tắc hoặc yêu cầu. Hoạt động, mà là ngoài tầmCác đặc quyền được chỉ định bị từ chối. Nếu một cuộc xung đột quy tắc phát sinh do lệnh bắt nguồn từứng dụng khác nhau, các bóng đèn pha SE chọn đặc quyền cao hoạt động, hiệu quả chuyên nghiệpViding ứng dụng đặc quyền với khả năng để ghi đè lên các quy tắc dòng chảy của một bậc thấp hơn. Cácđăng ký ứng dụng nhận dạng duy nhất và tất cả hoạt động được ghi nhật ký cho kiểm toán vàmục đích pháp y.Một phần mở rộng rất giống nhau để ghi là OperationCheckpoint [83]. Như trái ngược với một tĩnhvà chức năng dựa trên vai trò phổ biến, các ứng dụng được cấp riêng được chọncấu hình cho phép để giữ cho tính linh hoạt trong truy cập và đảm bảo quyền năng độngthay đổi. Các thành viên của đội nghiên cứu đã đề xuất SE-Chóa đang làm việc trênchế độ bảo mật ONOS. So với SE-ghi, các chức năng của security chế độ thu hẹp và chỉ chỉ định kiểm soát truy cập. Tuy nhiên, ứng dụng cũngchia thành các admin và admin chế độ dựa trên xác thực của họ và phải yêu cầugiấy phép cho các nhiệm vụ khác nhau trước. Nếu vai trò không phù hợp với, yêu cầu bị từ chối.Ứng dụng ID và các bản ghi hoạt động là một tính năng bản địa của ONOS và có thể hầu hết có thểđược sử dụng để phân tích pháp y.Xác thực và phương pháp tiếp cận dựa trên vai trò đáng kể làm giảm nguy cơ xấu applications SDN. Miễn là thông tin đăng nhập không bị ảnh hưởng, nó là không thể ép buộc saichính sách vào mạng, ngăn chặn các khía cạnh khác của Spoofing. Hơn nữa, các khác nhaucấp độ truy cập ức chế rủi ro của một vị đặc quyền. Nhận dạng ứng dụng duy nhấtvà khả năng để theo dõi các trục trặc điều khiển ứng dụng địa chỉ quan tâm về vấn đềđến thoái thác.
đang được dịch, vui lòng đợi..
Ngược lại với giao diện hướng Nam, các ứng dụng và đa dạng của các giao diện được
không được chuẩn hóa. Tại thời điểm hiện tại, không có nhóm được dành để xác định các yêu cầu nghiêm ngặt
và cơ chế bảo mật cho các giao diện hướng Bắc. Ủy ban an ninh ONF nào
không được mở rộng phạm vi của họ vượt ra ngoài giao diện hướng Nam. Tuy nhiên, do sự đa dạng và
cấu hình nguồn điện trong mạng, các ứng dụng là một trong những điểm yếu nhạy cảm nhất
của các mạng phần mềm được xác định. Cơ chế bảo mật để xác minh và theo dõi tính hợp pháp của
các ứng dụng trong mạng là phải. Vì lý do này rất, nguyên tắc thiết kế thứ năm
đòi hỏi một mối quan hệ tin cậy giữa các ứng dụng và phần mềm điều khiển.
Mục 4.3.3 giải quyết các độ phân giải tự động của chính sách ứng dụng xung đột tại một
tacker có thể gây ra. Tuy nhiên, hạn chế các tập lệnh của các ứng dụng không an toàn hoặc mới
theo mặc định hoặc từ chối truy cập dựa trên sự thiếu thông tin là một hành động thích hợp.
Kể từ khi điều khiển được xử lý như các hệ điều hành của mạng, giới thiệu về vai trò
dựa trên mô hình cho phép và kiểm soát truy cập thực hiện trong điều khiển chính nó là phổ biến
đề xuất. Các dự án đang thực hiện và chi tiết để thực thi an ninh trong bộ điều khiển là an
Enhanced-Đèn pha (SE-pha) [56] và Security Mode ONOS [120].
SE-Đèn pha (xem hình 4.2) là một phần mở rộng điều khiển, cung cấp vô số các
ứng dụng và cơ chế an ninh mạng. Các nhà phát triển đặc biệt tập trung vào appli
kiểm soát truy cập cation và quy tắc xung đột. Trong SE-Đèn pha API chạy về phía bắc bảo đảm
sử dụng OpenSSL xác thực. Bất kỳ ứng dụng tích hợp trực tiếp vào bộ điều khiển đã
được ký kết bởi một quản trị viên và đóng gói với các thông tin trước khi chúng có thể được thực hiện.
Tất cả các ứng dụng được chia thành các cấp độ đặc quyền, hiện gồm APP (mặc định), SEC
(ứng dụng bảo mật) và ADMIN. Tùy thuộc vào vai trò của ứng dụng, nó được cho phép
để thực hiện một tập hợp các quy tắc thay đổi hoặc yêu cầu. Hoạt động, nhưng vượt quá
các đặc quyền được giao sẽ bị từ chối. Nếu một quy tắc xung đột phát sinh do lệnh bắt nguồn từ
các ứng dụng khác nhau, SE-Đèn pha chọn các hoạt động đặc quyền cao hơn, hiệu quả pro
viding các ứng dụng đặc biệt với khả năng ghi đè lên các quy tắc dòng chảy của một tầng thấp hơn. Các
ứng dụng đã đăng ký là duy nhất được nhận dạng và tất cả các hoạt động được ghi nhận cho kiểm toán và
mục đích pháp y.
Một phần mở rộng rất giống với Đèn pha là OperationCheckpoint [83]. Trái ngược với một tĩnh
chức năng dựa trên vai trò và phổ biến, các ứng dụng được cấp lựa chọn riêng rẽ
cho phép cấu hình để giữ sự linh hoạt trong việc tiếp cận và bảo đảm sự cho phép năng động
thay đổi. Các thành viên của nhóm nghiên cứu đã đề xuất SE-Đèn pha đang làm việc trên
các Security Mode ONOS. So với SE-Đèn pha, các chức năng của SECU
mode ninh được thu hẹp và chỉ định điều khiển truy cập. Tuy nhiên, các ứng dụng cũng được
chia thành các nhóm admin và chế độ admin không dựa trên xác thực của họ và phải yêu cầu
sự cho phép cho các nhiệm vụ khác nhau trước. Nếu vai diễn không phù hợp, yêu cầu bị từ chối.
ID ứng dụng và các bản ghi hoạt động là một tính năng bản địa của ONOS và nhiều khả năng có thể được
sử dụng để phân tích pháp y.
Các phương pháp xác thực và dựa trên vai trò làm giảm đáng kể nguy cơ ap xấu
plications trong SDN . Miễn là thông tin không bị ảnh hưởng, nó là không thể để buộc sai
chính sách vào mạng, ngăn chặn một khía cạnh khác của Spoofing. Hơn nữa, sự khác biệt
cấp độ truy cập hạn chế các nguy cơ của một Cao Privilege. Nhận dạng ứng dụng độc đáo
và khả năng để theo dõi các ứng dụng điều khiển bị hỏng hóc mối quan tâm về vấn đề địa chỉ
để thoái thác.
không được chuẩn hóa. Tại thời điểm hiện tại, không có nhóm được dành để xác định các yêu cầu nghiêm ngặt
và cơ chế bảo mật cho các giao diện hướng Bắc. Ủy ban an ninh ONF nào
không được mở rộng phạm vi của họ vượt ra ngoài giao diện hướng Nam. Tuy nhiên, do sự đa dạng và
cấu hình nguồn điện trong mạng, các ứng dụng là một trong những điểm yếu nhạy cảm nhất
của các mạng phần mềm được xác định. Cơ chế bảo mật để xác minh và theo dõi tính hợp pháp của
các ứng dụng trong mạng là phải. Vì lý do này rất, nguyên tắc thiết kế thứ năm
đòi hỏi một mối quan hệ tin cậy giữa các ứng dụng và phần mềm điều khiển.
Mục 4.3.3 giải quyết các độ phân giải tự động của chính sách ứng dụng xung đột tại một
tacker có thể gây ra. Tuy nhiên, hạn chế các tập lệnh của các ứng dụng không an toàn hoặc mới
theo mặc định hoặc từ chối truy cập dựa trên sự thiếu thông tin là một hành động thích hợp.
Kể từ khi điều khiển được xử lý như các hệ điều hành của mạng, giới thiệu về vai trò
dựa trên mô hình cho phép và kiểm soát truy cập thực hiện trong điều khiển chính nó là phổ biến
đề xuất. Các dự án đang thực hiện và chi tiết để thực thi an ninh trong bộ điều khiển là an
Enhanced-Đèn pha (SE-pha) [56] và Security Mode ONOS [120].
SE-Đèn pha (xem hình 4.2) là một phần mở rộng điều khiển, cung cấp vô số các
ứng dụng và cơ chế an ninh mạng. Các nhà phát triển đặc biệt tập trung vào appli
kiểm soát truy cập cation và quy tắc xung đột. Trong SE-Đèn pha API chạy về phía bắc bảo đảm
sử dụng OpenSSL xác thực. Bất kỳ ứng dụng tích hợp trực tiếp vào bộ điều khiển đã
được ký kết bởi một quản trị viên và đóng gói với các thông tin trước khi chúng có thể được thực hiện.
Tất cả các ứng dụng được chia thành các cấp độ đặc quyền, hiện gồm APP (mặc định), SEC
(ứng dụng bảo mật) và ADMIN. Tùy thuộc vào vai trò của ứng dụng, nó được cho phép
để thực hiện một tập hợp các quy tắc thay đổi hoặc yêu cầu. Hoạt động, nhưng vượt quá
các đặc quyền được giao sẽ bị từ chối. Nếu một quy tắc xung đột phát sinh do lệnh bắt nguồn từ
các ứng dụng khác nhau, SE-Đèn pha chọn các hoạt động đặc quyền cao hơn, hiệu quả pro
viding các ứng dụng đặc biệt với khả năng ghi đè lên các quy tắc dòng chảy của một tầng thấp hơn. Các
ứng dụng đã đăng ký là duy nhất được nhận dạng và tất cả các hoạt động được ghi nhận cho kiểm toán và
mục đích pháp y.
Một phần mở rộng rất giống với Đèn pha là OperationCheckpoint [83]. Trái ngược với một tĩnh
chức năng dựa trên vai trò và phổ biến, các ứng dụng được cấp lựa chọn riêng rẽ
cho phép cấu hình để giữ sự linh hoạt trong việc tiếp cận và bảo đảm sự cho phép năng động
thay đổi. Các thành viên của nhóm nghiên cứu đã đề xuất SE-Đèn pha đang làm việc trên
các Security Mode ONOS. So với SE-Đèn pha, các chức năng của SECU
mode ninh được thu hẹp và chỉ định điều khiển truy cập. Tuy nhiên, các ứng dụng cũng được
chia thành các nhóm admin và chế độ admin không dựa trên xác thực của họ và phải yêu cầu
sự cho phép cho các nhiệm vụ khác nhau trước. Nếu vai diễn không phù hợp, yêu cầu bị từ chối.
ID ứng dụng và các bản ghi hoạt động là một tính năng bản địa của ONOS và nhiều khả năng có thể được
sử dụng để phân tích pháp y.
Các phương pháp xác thực và dựa trên vai trò làm giảm đáng kể nguy cơ ap xấu
plications trong SDN . Miễn là thông tin không bị ảnh hưởng, nó là không thể để buộc sai
chính sách vào mạng, ngăn chặn một khía cạnh khác của Spoofing. Hơn nữa, sự khác biệt
cấp độ truy cập hạn chế các nguy cơ của một Cao Privilege. Nhận dạng ứng dụng độc đáo
và khả năng để theo dõi các ứng dụng điều khiển bị hỏng hóc mối quan tâm về vấn đề địa chỉ
để thoái thác.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- tent
- Please
- Trước đây tôi cũng đã gửi tất cả những t
- Can't sleep without you, my home. I wish
- Nước xốt đặc biệt
- an error-free specification
- tôi đi tắm
- Một tách trà nóng nhâm nhi với các loại
- Đồ chiên:
- Top secret
- cá nhân bị ảnh hưởng
- tôi rất bận. tôi không có thời gian để c
- Đại ca
- Tôi yêu thành phố QuyNhon. QuyNhon là mộ
- it might rain this evening. why don't yo
- He will do, I think he will. God does no
- Im watching a porn movie do you want to
- You, And Forgive Widower Of The Blues 3
- cách đặt câu hỏi
- Mỳ của người Shan
- Nước xốt
- original
- xin chào cha joseph Marco!Tôi là Cha jos
- NPV is an indicator of how much value an
