Blockchain-based authentication and authorization for software defined networks

Abstract

Software-defined networking (SDN) is a novel networking paradigm that allows a simple and flexible management of the underlying forwarding devices through a centralized controller. However, SDN suffers from different security issues that may paralyze the whole network when the controller is under attack. Blockchain (BC) is considered a new technology that provides a decentralized distributed ledger, which can be used to protect the SDN controller from other malicious components in the network. In this thesis, we investigate the integration between SDN and BC technology. We focus on BC-enabled authentication and authorization for SDNs. First, we propose, DPSec, a blockchain-based data plane authentication protocol for SDNs. Second, we improve the performance of BC-enabled SDN by proposing a component-wise waiting time approach. We also utilize lattice-based signatures and Key Encapsulation Methods (KEMs) to improve the security of BC-SDN. Third, we introduce, HostSec, a blockchain-based approach that provides mutual host-controller, Packet-In/Packet-Out and host-host authentication for SDNs. Fourth, we propose, SDN-API-Sec, a blockchain-based access control method for cross-domain SDNs by utilizing BC smart contracts. The results suggest a trade-off between security and latency.

Yazılım tanımlı ağ (Software-Defined Networking - SDN), merkezi bir denetleyici aracılığıyla yönlendirme cihazlarının basit ve esnek bir şekilde yönetilmesine izin veren yeni bir ağ paradigmasıdır. Fakat, SDN'de kullanılan denetleyiciye yönelik bir saldırı olduğunda tüm ağı durdurabilecek farklı güvenlik sorunlarına neden olabilmektedir. Blok zinciri (Blockchain - BC), merkezi olmayan dağıtılmış defter sağlayan yeni bir teknolojidir. BC teknolojisi, SDN denetleyicisini ağdaki diğer kötü amaçlı bileşenlerden korumak için kullanılabilmektedir. Bu tezde, SDN ve BC teknolojisi entegrasyonu üzerine odaklanmaktadır. SDN için BC tabanlı kimlik doğrulama ve yetkilendirme sistemleri araştırılmaktadır. İlk olarak, SDN'deki veri düzlemi için BC tabanlı yeni bir kimlik doğrulama protokolü öneriyoruz. İkinci olarak, bileşen bazında bir bekleme süresi yaklaşımı önererek BC tabanlı SDN'in performansını iyileştiriyoruz. Ayrıca BC-SDN güvenliğini artırmak için kafes tabanlı imzalar ve anahtar kapsülleme yöntemleri kullanıyoruz. Üçüncü olarak, SDN'ler için BC tabanlı karşılıklı ana bilgisayar-denetleyicisi, Packet-In/Packet-Out ve ana bilgisayar-ana bilgisayar kimlik doğrulaması sağlayan yeni bir yaklaşım sunuyoruz. Dördüncü olarak, BC'nin akıllı sözleşmelerini kullanarak SDN etki alanları arasında çalışabilen BC tabanlı yeni bir erişim kontrol yöntemi öneriyoruz. Sonuçlar güvenlik ve gecikme arasında bir ödünleşme olduğunu ileri sürüyor.