淺析SDN安全需求和安全實現(xiàn)

李建新

（中國電信股份有限公司寧夏分公司網(wǎng)絡(luò)監(jiān)控維護(hù)中心，銀川 750001）

1 引言

2007年，斯坦福大學(xué)的教授提出了SANE網(wǎng)絡(luò)體系結(jié)構(gòu)和Ethane網(wǎng)絡(luò)體系結(jié)構(gòu)[1]，同時，為了使得企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理隨著科技的發(fā)展而不斷進(jìn)步，這種網(wǎng)絡(luò)體系結(jié)構(gòu)就應(yīng)運而生，這種網(wǎng)絡(luò)架構(gòu)憑借自身的技術(shù)優(yōu)勢和有效增強(qiáng)的技術(shù)，被稱為網(wǎng)絡(luò)定義軟件，即網(wǎng)絡(luò)體系結(jié)構(gòu)作為傳統(tǒng)的網(wǎng)絡(luò)體系結(jié)構(gòu)的替代品，有效地解決了當(dāng)前和未來的網(wǎng)絡(luò)爆炸對網(wǎng)絡(luò)技術(shù)變革的需求。而在目前，隨著網(wǎng)絡(luò)安全事件的不斷發(fā)生，SDN網(wǎng)絡(luò)體系結(jié)構(gòu)和技術(shù)的不斷地發(fā)展，人們意識到網(wǎng)絡(luò)安全問題應(yīng)得到足夠的重視。近年來，許多學(xué)者對SDN網(wǎng)絡(luò)的安全需求和安全需求的實現(xiàn)進(jìn)行了研究[2]。

2 SDN安全性簡介

2.1 SANE架構(gòu)

SANE是初期提出的一個比較理想化的網(wǎng)絡(luò)架構(gòu)，這個網(wǎng)絡(luò)原型只運行了一個月。SANE網(wǎng)絡(luò)架構(gòu)中有一個集中控制器，內(nèi)部的交換機(jī)和主機(jī)都要根據(jù)控制需要進(jìn)行改造，才能支持這種網(wǎng)絡(luò)架構(gòu)的正常運行，SANE網(wǎng)絡(luò)架構(gòu)如圖1所示。

圖1 SANE的架構(gòu)和流程

集中控制器可以實現(xiàn)認(rèn)證網(wǎng)元、解析域名、全網(wǎng)拓?fù)鋵W(xué)習(xí)和權(quán)能生成功能，權(quán)能是SANE中的一種數(shù)據(jù)類型，指的是經(jīng)過加密的通信路徑信息。如圖1所示，首先，客戶機(jī)A和服務(wù)器B都要先在集中控制器處進(jìn)行認(rèn)證，從而獲得密鑰；隨后，服務(wù)器B向集中控制器發(fā)布服務(wù)，客戶機(jī)A允許被訪問；接著，客戶機(jī)A向集中控制器請求訪問服務(wù)器B，集中控制器計算通信路徑，將計算結(jié)果和權(quán)能返回給客戶機(jī)A；最后，客戶機(jī)A就能訪問服務(wù)機(jī)B，每次權(quán)能有效時長為幾分鐘，如果客戶機(jī)A要再次對服務(wù)機(jī)B進(jìn)行訪問，則需要重新申請權(quán)能。綜上所述，SANE網(wǎng)絡(luò)架構(gòu)的數(shù)據(jù)傳輸效率和處理效率都比較低，不適合實際應(yīng)用，所以就有學(xué)者提出了Ethane網(wǎng)絡(luò)架構(gòu)。

2.2 Ethane架構(gòu)

相比于SANE網(wǎng)絡(luò)架構(gòu)，Ethane是一個更適合實際應(yīng)用的網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)架構(gòu)，不同于SANE網(wǎng)絡(luò)架構(gòu)中將控制報文頭加密進(jìn)行橫向傳輸，Ethane網(wǎng)絡(luò)架構(gòu)是將加密控制信息進(jìn)行縱向傳輸，也就是集中控制器和交換機(jī)之間使用安全信道來傳輸控制信息。Ethane網(wǎng)絡(luò)架構(gòu)中的集中控制器可以實現(xiàn)網(wǎng)元和用戶認(rèn)證、檢查通行許可、通信路徑計算、交換機(jī)管理功能。Ethane網(wǎng)絡(luò)架構(gòu)并不要求使用規(guī)定的認(rèn)證方法，也不需要交換機(jī)檢查權(quán)能，相比之下傳輸效率會更高，更適合實際應(yīng)用。

2.3 SDN架構(gòu)

和上述兩種網(wǎng)絡(luò)架構(gòu)相比，SDN網(wǎng)絡(luò)架構(gòu)具有更好的擴(kuò)展性，支持更加靈活的網(wǎng)絡(luò)部署方案、能實現(xiàn)更加精細(xì)高效的數(shù)據(jù)流控制。SDN網(wǎng)絡(luò)架構(gòu)支持對網(wǎng)絡(luò)設(shè)備進(jìn)行集中、自動化管理以及統(tǒng)一策略執(zhí)行，相比之下更為安全。除此之外，利用SDN集中控制器的API方式可以將傳統(tǒng)的網(wǎng)絡(luò)安全應(yīng)用集成到SDN網(wǎng)絡(luò)構(gòu)架中。

圖2 SDN架構(gòu)

綜上所述，SDN網(wǎng)絡(luò)架構(gòu)構(gòu)建了一個平臺，可以提供網(wǎng)絡(luò)安全服務(wù)來保證網(wǎng)絡(luò)安全。當(dāng)前的研究均認(rèn)為，現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)完全可以滿足SDN網(wǎng)絡(luò)架構(gòu)的安全需求，但是具體如何實施還在研究之中。

3 SDN的安全需求

一些研究人員認(rèn)為，SDN網(wǎng)絡(luò)體系結(jié)構(gòu)的安全需求主要集中在應(yīng)用和控制層面，一般用于授權(quán)、認(rèn)證控制層和基礎(chǔ)設(shè)施層，由于只有一個交換機(jī)和一個集中控制器，安全管理相對容易，現(xiàn)有控制方案的接口經(jīng)過一定改造后可以滿足網(wǎng)絡(luò)架構(gòu)的安全要求。如果交換機(jī)和控制器較多，網(wǎng)絡(luò)安全管理就比較復(fù)雜，應(yīng)充分考慮控制器之間的權(quán)限和控制器對交換機(jī)的訪問控制，而現(xiàn)有控制方案的接口無法滿足這種情況下的安全需求，如何在SDN網(wǎng)絡(luò)體系結(jié)構(gòu)中實現(xiàn)傳統(tǒng)的網(wǎng)絡(luò)安全應(yīng)用，如訪問控制、防火墻、入侵檢測和防御等，是值得研究的。安全應(yīng)用應(yīng)該在SDN網(wǎng)絡(luò)的體系結(jié)構(gòu)中實現(xiàn)，與上述兩種網(wǎng)絡(luò)體系結(jié)構(gòu)相比，SDN網(wǎng)絡(luò)體系結(jié)構(gòu)可以降低成本，更靈活地實現(xiàn)一些傳統(tǒng)的應(yīng)用，甚至開發(fā)新的網(wǎng)絡(luò)安全應(yīng)用。

4 基于SDN架構(gòu)的入侵檢測方案

基于SDN架構(gòu)的新型入侵檢測方案中，包括兩層入侵檢測系統(tǒng)，如圖3所示。

圖3 基于SDN架構(gòu)的入侵檢測架構(gòu)

Centernode入侵分析模塊由數(shù)據(jù)采集模塊、數(shù)據(jù)分析模塊等多個子模塊組成，通常采用中心監(jiān)控模式對邏輯子網(wǎng)中的數(shù)據(jù)進(jìn)行監(jiān)控和分析。

數(shù)據(jù)分析模塊是Centernode的核心。由于WSN節(jié)點以相同的頻率發(fā)送數(shù)據(jù)，因此，在同一時間段內(nèi)收集的數(shù)據(jù)量應(yīng)該相等。

①子網(wǎng)中的每個節(jié)點都將收集到的信息發(fā)送到Centernode，因此，從節(jié)點Centernode接收到的數(shù)據(jù)總量在同一時期不會有太大的變化。此時，可以計算一次中心節(jié)點處的最大值。如果計算出的Hurst值在0.5到1之間，可以說數(shù)據(jù)流模型符合自相似特性，然后可以判斷邏輯節(jié)點入侵有沒有發(fā)生在相應(yīng)的子網(wǎng)中。如果Hurst值不在0.5到1的范圍內(nèi)，則一個或多個節(jié)點在子網(wǎng)中可能會被入侵。

②在子網(wǎng)中，Centernode計算每個節(jié)點發(fā)送的數(shù)據(jù)流量的Hurst值，以確定哪個節(jié)點受到了入侵。

③Centernode以兩種方式響應(yīng)入侵：被動響應(yīng)和主動響應(yīng)。被動響應(yīng)通常包括報警、修改網(wǎng)絡(luò)日志和向上層發(fā)送信息。主動響應(yīng)在處理入侵時更有效，包括切斷入侵源和中斷當(dāng)前進(jìn)程。為了減少入侵造成的邏輯子網(wǎng)損失，當(dāng)入侵者數(shù)量較少時，Centernode可以隔離這些節(jié)點。如果有更多的入侵者，Centernode必須更改本地網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)并動態(tài)更改數(shù)據(jù)流傳輸協(xié)議。

④在基于SDN體系結(jié)構(gòu)的無線傳感器網(wǎng)絡(luò)入侵檢測系統(tǒng)中，Masternode可以提供用戶界面，具有很強(qiáng)的可編程性和可擴(kuò)展性。用戶可以根據(jù)網(wǎng)絡(luò)情況實現(xiàn)自定義的檢測規(guī)則和實時檢測算法。Masternode支持整個WSN網(wǎng)絡(luò)的通信管理、邏輯控制和數(shù)據(jù)融合三重功能，是入侵檢測系統(tǒng)的邏輯控制中心。插入網(wǎng)絡(luò)的中心節(jié)點，將把每個邏輯子網(wǎng)絡(luò)的信息返回給主節(jié)點。主節(jié)點中的邏輯控制模塊、響應(yīng)模塊、分析模塊和通信模塊共同完成對信息的綜合分析和評價。Masternode將遵循Centprederno算法基于定義的檢測策略，首先計算接收到的總數(shù)據(jù)流的Hurst值，以確定邏輯子網(wǎng)是否被入侵。如果邏輯子網(wǎng)已被入侵，入侵檢測將被傳遞到邏輯子網(wǎng)。邏輯子網(wǎng)根據(jù)中心的入侵檢測模式執(zhí)行檢測算法。

5 結(jié)語

綜上所述，在當(dāng)今的時代，一定要對網(wǎng)絡(luò)的安全性予以高度的重視，本文對SDN網(wǎng)絡(luò)安全架構(gòu)進(jìn)行了分析，探討了SDN的安全需求和實現(xiàn)措施，希望能給相關(guān)工作的開展提供一定的理論參考。