TNU Journal of Science and Technology
229(15): 35 - 42
http://jst.tnu.edu.vn 35 Email: jst@tnu.edu.vn
BLOCKCHAIN-BASED SOLUTION TO SECURITY
MULTI-CONTROLLERS IN SOFTWARE-DEFINED NETWORKS
AGAINST DENIAL-OF-SERVICE ATTACKS
Tran Thi Nga*
, Chu Thi Ngoc Quynh
Academy of Cryptography Techniques
ARTICLE INFO
ABSTRACT
Received:
08/8/2024
Multi-controller-based software-defined networks aid in enhancing
network scalability, network availability and management ability.
However, it still faces significant challenges, such as consistency between
controllers, which can reduce performance and network operability against
multiple attacks. Denial-of-service attacks significantly affect all the
different layers of the network; hence, to address this challenge, we
propose a solution using blockchain technology to ensure the security of
multi-controllers against denial-of-service attacks. The paper utilizes the
mininet tool and ONOS software to simulate multi-controllers for
software-defined networks. Simultaneously, the paper adopts multichain to
establish a private blockchain, which facilitates block creation, sending and
the receiving blocks among controllers. Experimental results show that the
application of a consensus mechanism on the blockchain helps detect
denial-of-service attacks on controllers. From there, it helps network
administrators to take timely actions to ensure the safety of multiple
controllers in the network.
Revised:
30/9/2024
Published:
30/9/2024
KEYWORDS
Software-defined Network
Multi-Controller
Blockchain
DoS Attack
ONOS
GIẢI PHÁP SỬ DỤNG BLOCKCHAIN ĐỂ ĐẢM BẢO AN TOÀN
CHO ĐA BỘ ĐIU KHIN TRONG MẠNG ĐỊNH NGHĨA MỀM
TRƯỚC TẤN CÔNG TỪ CHI DCH V
Trn Th Ngà*, Chu Th Ngc Qunh
Hc vin K thut mật mã
TÓM TẮT
Ngày nhận bài:
08/8/2024
Mạng định nghĩa mềm dựa trên đa bộ điu khin h tr nâng cao khả
năng mở rng mạng, tính sẵn sàng, và khả ng quản ca mng. Tuy
nhiên, vẫn gp phi nhng vn đề ntính nhất quán giữa các b
điu khiển, điều này thể làm giảm hiu suất khả ng hoạt đng
ca mạng trước mt s tấn công. Tấn công từ chi dch v tấn công
ảnh hưởng tới toàn b các lớp khác nhau của mạng; do đó, để gii
quyết vấn đề này, chúng tôi đề xut giải pháp sử dụng công nghệ
blockchain để đảm bảo an toàn cho đa bộ điu khiển trước tấn công từ
chi dch vụ. Bài báo sử dụng công cụ mininet phần mềm ONOS để
phỏng đa bộ điu khin cho mạng định nghĩa mềm. Đng thi, s
dng multichain để tạo blockchain riêng cho phép to khi, gi, nhn
các khối giữa các bộ điu khin. Kết qu thc nghim ch ra ng dng
chế đồng thuận trong blockchain giúp phát hiện được tn công DoS
vào bộ điu khin. T đó, giúp người qun tr mạng có thể đưa ra những
x lý kịp thi nhm đảm bảo an toàn cho đa bộ điu khin trong mng.
Ngày hoàn thiện:
30/9/2024
Ngày đăng:
30/9/2024
T KHÓA
Mạng định nghĩa mềm
Đa bộ điu khin
Blockchain
Tấn công DoS
ONOS
DOI: https://doi.org/10.34238/tnu-jst.10897
* Corresponding author. Email: tranthinga@actvn.edu.vn
TNU Journal of Science and Technology
229(15): 35 - 42
http://jst.tnu.edu.vn 36 Email: jst@tnu.edu.vn
1. Gii thiu
Ngày nay, nhờ s phát triển ca Internet, mi th đều thể truy cp d dàng, mọi lúc mọi
nơi. Cùng với đó, việc s dng rộng rãi các xu hướng công ngh mới như điện toán đám mây, dữ
liu lớn, kết ni vn vật (IoT) làm cho việc vận hành quản trở lên khó khăn. Do đó,
mạng được định nghĩa mềm (SDN) ra đời như một hình mạng đầy ha hẹn để gii quyết
nhng vấn đề trên. Khác với mng truyn thống, SDN tách biệt mt phẳng điều khiển mặt
phng d liệu để đạt được kiến trúc điều khin tp trung hợp lý, cung cấp kh năng lập trình để
định cấu hình mạng. Với cách người ra quyết định, b điu khiển SDN đóng vai trò quan
trng trong SDN. Mc dù, các nghiên cứu trước đây đã chỉ ra rng mt b điều khin duy nht
dẫn đến kém hiệu qu trong việc đảm bo tính sẵn sàng và mở rng mạng SDN. Để quản lý mạng
quy mô lớn, đa bộ điều khiển được đề xut nhm giảm độ tr phn hi của các yêu cầu thông qua
cân bng tải và tránh tình trạng quá tải b điu khiển, góp phần ci thiện an toàn cho mạng SDN.
Tuy nhiên, cũng đt ra những thách thức mi, mt trong những thách thức quan trng của đa
b điều khiển tính nhất quán giữa các bộ điều khin, bởi quá trình truyn d liệu các bộ điu
khin phải đưa ra quyết định dựa trên thông tin mạng nhất quán và cht ch [1].
Blockchain gần đây được nhiều nhà nghiên cứu s dụng để phát hin hoặc ngăn chặn tấn công
tiêm li, tấn công xen giữa cả tấn công DoS vào mạng SDN [2] [7]. một s cái phân
tán trong đó các giao dịch được ghi li bng một hàm băm mật mã. Một nút cha d liệu, giá trị
băm hiện tại giá trị băm của khối trước đó trong khi. Một nút trong blockchain ba nhiệm
v c th như lưu trữ lch s giao dch khối, xác thực khi mới và cp nht khối cho các nút khác
để đảm bo tt c các nút trên blockchain có thông tin mới nht. Vi vic ng dụng cơ chế đồng
thuận trong blockchain để xác thực khối được tạo trước khi khối được cp nhật vào blockchain
[8]. Lokesh cùng cng s đã đề xut s dụng blockchain đ đảm bảo an toàn cho một b điu
khiển, bài báo tập trung vào luồng điều khin ca b điều khin Opendaylight [2]. Trong [3],
blockchain cũng được sử dụng để đảm bảo giao tiếp giữa các bộ điều khiển SDN các thành
phần mạng khác, đồng thời phát hiện việc tiêm sai dữ liệu. Sanyal cùng cộng s [4], đề xut kiến
trúc blockchain phân tán với lớp sương nằm giữa lớp điều khiển lớp dữ liệu để phát hiện
tấn công từ chối dịch vụ (DoS) trong SDN giảm thiểu tác động của nó. Tuy nhiên, phương
pháp này làm thay đổi đáng kể kiến trúc của mạng SDN và làm cho việc vận hành và quản trở
nên phức tạp. Fernando và Wei [5], đã đề xuất một cơ sở hạ tầng bao gồm hai lớp: một lớp đa bộ
điều khiển SDN một lớp dựa trên blockchain. Các lệnh điều khiển/quản của các bộ điều
khiển SDN được băm ghi lại trong hợp đồng thông minh của blockchain gửi đến bộ điều
khiển SDN mục tiêu kiểm tra để xác nhận tính toàn vẹn của lệnh. Cùng ý tưởng sử dụng
blockchain nhưng các tác giả trong [6], sử dụng thêm một lớp bảo mật trung gian giữa lớp điều
khiển và lớp dữ liệu hoạt động như một proxy cho bộ điều khiển để phát hiện loại bỏ lưu
lượng bất thường của tấn công từ chối dịch vụ phân tán. Cũng chế phát hiện tấn công vào
mặt phẳng điều khiển dựa vào blockachain nhưng Alkhamisi cùng các cng s li tập chung phát
hin tấn công xen giữa tấn công tiêm sai vào mặt phẳng điều khin vi vic s dng b điều
khin Ryu [7].
Xuất phát từ thc tế trên, bài báo đề xut giải pháp sử dụng blockchain để đảm bảo an toàn cho
kiến trúc đa bộ điu khin SDN trước tấn công DoS. Giải pháp đề xut tn dng kiến trúc của các
tác giả trong [3], nhưng thay đổi kch bn thc hiện không phải thc hin tiêm lỗi hoc xen gia
o bộ điu khin t mt phng d liệu như các công trình trong [3], [7], thực hin tấn ng
DoS trc tiếp vào một b điu khin vi gii pháp y nhóm tác giả ng dụng chế đng thun
bng chng b phiếu [3], [8], giúp phát hiện sm tấn công DoS. Từ đó, giúp người qun tr mng
thể đưa ra những x lý kp thời đảm bảo an toàn cho mạng. Đồng thi, giải pháp khắc phục được
nhược điểm của các công trình trước đó không cần phải thay đổi cấu trúc mạng SDN làm cho
hình mạng đa bộ điu khin tr nên dễ kiểm soát, vận nh đảm bảo an toàn giữa các bộ điu
khin [4] [6], [9]. Thc nghim ca bài báo được mô phỏng trên mininet [10], với vic s dng
TNU Journal of Science and Technology
229(15): 35 - 42
http://jst.tnu.edu.vn 37 Email: jst@tnu.edu.vn
b điu khin ONOS [11]. Ngoài ra, bài báo cũng tiến hành thực hin tấn công DoS để kim chng
giải pháp đ xut.
Bài viết được b cc theo 4 mục chính: Sau phần 1 gii thiu, phần 2 trình bày phương pháp
nghiên cứu. phn 3, tác giả tiến hành thực hiện phỏng trên sở đó đưa ra kết qu và thảo
lun. Cuối cùng là kết luận và hướng phát triển.
2. Phương pháp nghiên cứu
2.1. Kiến trúc và các mối đe dọa đa bộ điu khin ca mng SDN
Kiến trúc đa b điều khin ca mng SDN bao gm: Lp ng dng, lp điu khin lp d
liu. Các phn s liên kết vi nhau thông qua giao thc hoc các API [9]. Hình 1 mô t kiến trúc
và các điểm mục tiêu đe dọa đa bộ điều khin ca mng SDN một cách đơn giản và đầy đủ [3].
Lp ng dng
các ng dng được trin khai trên mng, kết ni ti lp điều khin thông qua các API,
cung cp kh năng cho phép ng dng lp trình li mng (điều chnh các tham s tr, băng thông,
định tuyến…) thông qua lp điều khin lp trình giúp cho h thng mng hot động ti ưu theo
mt yêu cu nht định.
Lp điều khin
nơi tp trung các b điều khin (controller) thc hin vic điều khin kim soát u
ng t lp ng dng lp s h tng mng. Các b điều khin đưc trin khai theo phương
thc phân tán. Hu hết các b điu khin ca SDN hin nay da trên giao thc Openflow.
Lp d liu
Lp d liu ca h thng mng, bao gồm các thiết b mng thc tế (vật hay ảo hóa) thực
hin vic chuyn tiếp gói tin theo sự điều khin ca lớp điều khin. Mt thiết b mạng được hot
động theo nhiu miền khác nhau, mỗi min chu s kiểm soát của mt b điều khiển chính
mt s b điều khin d phòng.
2
1
Cloud
Lớp ứng dụng
Lớp điều khiển
Lớp dữ liệu
Controller 1 Controller 2 Controller n
Miền 1Miền 2Miền n
3
4
5
6
Hình 1. Kiến trúc các mối đe dọa đa bộ điều khiển của mạng SDN
Các mối đe dọa trong kiến trúc đa bộ điu khin ca mng SDN
thể nhiều mối đe dọa khác nhau trong môi trường đa bộ điều khiển SDN như: tiêm giả
d liu, tấn công xen giữa và tấn công DoS [3], [4], [6], [7]. Hình 1 cho thy v trí các mối đe dọa
thể xy ra trong kiến trúc đa bộ điu khin trong SDN. Đim 1: Tấn công khai thác giao tiếp
gia lp ng dụng và lớp điều khin. Đim 2: Tấn công trực tiếp vào bộ điều khin của mô hình
đa bộ điều khin. Điểm 3 4: Tấn công đường liên kết giữa các b điều khiển giữa các thiết
b chuyn mch. Đim 5: Tấn công trc tiếp vào bộ chuyn mch. Đim 6: Tấn công đường kết
ni giữa các bộ chuyn mch.
Các cuộc tấn công v trí nào cũng th gây ra ảnh hưởng ti s an toàn của đa bộ điều
TNU Journal of Science and Technology
229(15): 35 - 42
http://jst.tnu.edu.vn 38 Email: jst@tnu.edu.vn
khin trong mạng SDN. bộ điu khiển được coi bộ não của mạng SDN đ chuyn tiếp các
thông tin trong mạng SDN [9]. Chính vậy, trong bài báo này tập trung vào tìm hiểu tấn công
vào lớp điều khin ca SDN c th là trực tiếp vào b điều khin.
2.2. Giải pháp sử dụng blockchain đ đảm bảo an toàn cho đa bộ điu khin trong mạng định
nghĩa mềm trước tấn công DoS
Tấn công DoS là tấn công có ảnh hưởng đến toàn bộ các lớp mạng khác nhau trong SDN. Hầu
hết các tấn công này chủ yếu nhắm vào lớp điều khiển. Do đó, an toàn của b điu khiển đóng vai
trò quan trọng trong s thành công của SDN [7]. Trong cấu trúc đa bộ điu khin SDN, vic duy
trì chế độ xem mng nht quán giữa các bộ điều khiển để nâng cao độ an toàn rất quan trng
[1], [3], [6], [7]. Để gii quyết vấn đề này, kiến trúc đa bộ điều khin dựa trên blockchain cho
SDN an toàn đã được đưa ra, kết qu nghiên cu ca h đã khẳng định vic s dng blockchain
đã đạt được s thng nht giữa các bộ điều khiển thể chng li mt s tấn công xen giữa,
tấn công tiêm sai dữ liệu và cả tấn công DoS trong đa bộ điều khin SDN [2] [7].
Bài báo này nhóm tác giả trình bày ý tưởng đề xut giải pháp đảm bảo an toàn cho đa bộ điu
khiển trước tấn công DoS. Điểm khác của bài báo so với [3], việc s dụng công nghệ
blockchain không chỉ đảm bảo tính thống nht giữa các bộ điều khiển và chống li tấn công tiêm
sai d liệu vào mặt phẳng điều khin vi kiến trúc đa bộ điều khin còn phát hiện được tn
công DoS vào bất k b điu khiển nào bằng vic ng dụng chế đồng thun trong blockchain.
Đồng thời, bài báo còn giúp khẳng định vi việc tích hợp blockchain vào các bộ điu khiển, giúp
cho vic quản mở rng mng linh hoạt, an toàn không làm thay đổi cấu trúc của mng
SDN giống như các công trình [4] [6]. Đặc biệt, bài báo đi khai thác cơ chế an toàn của b điều
khiển trước tấn công DoS, chứ không phải tn công xen giữa tấn công tiêm sai vào mặt phng
điều khiển như các tác giả trong [7]. Ngoài ra, công cụ mà bài báo s dụng để dựng đa controller
là ONOS, còn Alkhamisi cùng cộng s đang sử dụng là Ryu.
Lớp ứng dụng
Lớp điều khiển
Lớp dữ liệu
Controller 1 Controller 2 Controller n
Miền 1Miền 2Miền n
Blockchain
Kết nối giữa các
bộ điều khiển
Kết nối bộ điều
khiển dự phòng
Kết nối bộ điều
khiển chính
Hình 2. Giải pháp sử dụng blockchain để đảm bo an toàn cho đa b điu khiển trước tấn công DoS
Trong hình đa bộ điu khiển SDN, các b điều khin giao tiếp với nhau thông qua
blockchain mi miền SDN đưc quản lý bởi mt b điều khiển chính được giám sát bởi mt
s b điu khin d phòng (Hình 2). B điu khin d phòng nhận các sự kiện tương tự như bộ
điều khiển chính nhưng không ảnh hưởng đến miền đó. Bộ điều khiển dự phòng thể điều
khiển miền trong trường hợp bộ điều khiển chính bị lỗi. Do đó, mỗi b điều khiển thể duy t
chế độ xem của tn mạng, các bộ điều khiển đóng vai trò là các miner trong blockchain.
Cơ chế đồng thuận
Các bộ điều khiển chính được coi nút đáng tin cậy. Chúng quyền đọc ghi trên
blockchain. B điu khiển chính chịu trách nhiệm to khi mi. Vic to khi mi được kích
hot bằng cách nhận các s kin mi gi t lp d liu. Khi b điu khiển chính nhận được thông
TNU Journal of Science and Technology
229(15): 35 - 42
http://jst.tnu.edu.vn 39 Email: jst@tnu.edu.vn
tin mi t các thiết b lp d liu trong min của nó, nó sẽ to khi mi chứa đầy đủ thông tin
chia s khi mới này với các bộ điều khin d phòng để xác thực. Các bộ điều khin d phòng
khai thác chế đồng thun bng chng b phiếu PoV trong blockchain [8], để xác thực khi
được to bằng cách so sánh thông tin chứa trong khi với thông tin các bộ điều khin d
phòng nhận được t b chuyn mch trong miền đó, thông qua hoạt động b phiếu các miner
cùng quan điểm vi nhau kết qu đưa ra cảnh báo đạt được s đồng thuận, khi đó khối mới được
cp nhật vào blockchain, đồng thi blockchain chia s khối được xác thực tới các controller.
Ngược lại thông qua hoạt động b phiếu, ch cn một trong các miner có quan điểm khác với các
miner còn lại kết qu đưa ra không đạt đưc s đồng thuận khi đó khối mới không được xác thực
và phát hiện tấn công DoS xảy ra (Hình 3).
Controller 1
master Blockchain
Controller 2
dự phòng
Controller m
Dự phòng
Thu thập
dữ liệu
Tạo khối Gửi khối được tạo để xác thực
Khai thác
blockchain
Đạt đồng thuận
Phát hin tấn
công DoS
Đúng
Sai
Khối được xác thực
Chia sẻ khối được xác
thực với các controller
Thu thập
dữ liệu
Xác thực khốiXác thực khối
Thu thập
dữ liệu
Hình 3. Sơ đ lung x lý trong đa bộ điu khin mng định nghĩa mm
Xuất phát từ thc tế trên, bài báo tận dụng hình của A.Derhab cùng cộng s [3] để phát
hin tấn công DoS không chỉ vào giao tiếp giữa các bộ điều khiển còn trực tiếp vào bộ điều
khin. Vi kết qu xác thực khối đưa ra sau hoạt động b phiếu không đạt s đồng thun, tức
các nội dung thông tin nhận được t các bộ điều khiển là khác nhau. Đây cũng chính là mấu cht
để phát hiện tấn công DoS vào bất k b điều khiển nào. T đây, người qun tr mng s xem xét
để đưa ra những x kịp thời đảm bảo an toàn cho đa bộ điu khin trong SDN.
3. Kết qu và thảo lun
3.1. Mô phỏng thc nghim
3.1.1. Mô hình thực nghim
hình thực nghim Hình 4 được thc hiện trên máy tính win 11 (64 bit), core i5, RAM
16G. Để xây dựng mô hình nhóm tác giả s dụng các công cụ sau:
Mininet: Mininet một công cụ giả lập mạng, bao gồm tập hợp các hosts đầu cuối, các
switches các liên kết trên một Linux kernel [10].
ONOS: Là phần mềm mã nguồn m dành cho SDN controller sử dng giao thc m cung cp
kh năng kiểm soát tập trung, khả năng lập trình được theo dõi các thiết b mng. Ging
như nhiều SDN Controllers khác, ONOS h tr OpenFlow, cũng như cung cấp các giải pháp
mạng khác sẵn sàng để cài đặt khi có yêu cầu [11].