Access Management in Backbones of SDN
Abstract
Selv om aksesskontroll innenfor Software Defined Networking (SDN) allerede har blitt forsket på, har ingen av de tidligere undersøkelsens vurdert nettverk med flere domener og samarbeidende aksesskontroll mellom dem. Denne oppgaven ser på et slikt scenario, hvor en bruker forlater sitt hjemmenettverk - enten det er arbeids- eller skolenettverk - og kobler seg til nettverket hos en partner-institusjon. Målet med denne oppgaven er at brukeren skal kunne få tilgang til en ressurs som befinner seg i hjemmenettverket, mens brukeren selv er borte fra nettverket. En slik mulighet kan forberede samarbeidet, tilknytning og samspill mellom utdanningsinstitusjoner, forskningsinstitusjoner og forskjellige arbeidsplasser. Selv om en løsning på dette kan være Virtual Private Networks (VPN), tar denne oppgaven det et skritt videre og ser om det er mulig å være koblet til ressurser både i hjemmenettverket og besøks-nettverket samtidig. Her vil VPN være mangelfull.
For å muliggjøre at brukeren får tilgang til disse ressursene, foreslår denne oppgaven en datamodell som inneholder strukturerte verdier. Denne datamodellen bestemmer innholdet i meldinger som sendes mellom kontrollerne i nettverket, slik at en bruker kan få tilgang igjen til ressurser ved hjemmenettverket. Verdiene i datamodellen vil bli diskutert, og selve modellen er skrevet i språket YANG. Etter dette vil valideringen og testingen av modellen bekrefte at de valgte verdiene er tilstrekkelige. Denne valideringen vil bli utført i en emulering i Mininet, og meldinger laget basert på datamodellen sendes mellom kontrollerne. Resultatet av denne valideringen viser at brukeren etterhvert får tilgang til ressursen i hjemmenettverket, mens det fortsatt bevarer tilganger til ressurser på besøks-nettverket. Access control within Software Defined Networking (SDN) have already been researched, however, none of the previous research has considered several domains and cooperating access control between them. This thesis looks at such a scenario, where a user leaves it's home network - be it the user's work or university network - and connects to a partner institution's network. In this thesis the goal is for this user to be able to regain access to a resource at it's home network while the user itself is away from the network. Such a possibility could improve cooperation and collaboration between educational institutes, research facilities, or partner workplaces. While a solution to this may be Virtual Private Networks (VPN), this thesis takes it a step further and sees if it is possible to be connected to resources both at the home network and at the visiting network at the same time. In this, VPN is found lacking.
In order to enable the user getting access to these resources, this thesis proposes a data model containing structured values. This data model will decide the content of messages sent between the network's controllers, such that a user may regain access. The values for the data model will be discussed, and the model itself written in the YANG language. After this the model will be validated and tested in order to make sure that the values chosen are sufficient. This validation will be executed in an emulation in Mininet, and messages made following the data model is sent between the controllers. The result from this validation shows that the user regains access to the resource in it's home network, while still retaining it's access to resources in the visiting network.