李建新
(中國電信股份有限公司寧夏分公司網(wǎng)絡(luò)監(jiān)控維護(hù)中心,銀川 750001)
2007年,斯坦福大學(xué)的教授提出了SANE網(wǎng)絡(luò)體系結(jié)構(gòu)和Ethane網(wǎng)絡(luò)體系結(jié)構(gòu)[1],同時,為了使得企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理隨著科技的發(fā)展而不斷進(jìn)步,這種網(wǎng)絡(luò)體系結(jié)構(gòu)就應(yīng)運而生,這種網(wǎng)絡(luò)架構(gòu)憑借自身的技術(shù)優(yōu)勢和有效增強(qiáng)的技術(shù),被稱為網(wǎng)絡(luò)定義軟件,即網(wǎng)絡(luò)體系結(jié)構(gòu)作為傳統(tǒng)的網(wǎng)絡(luò)體系結(jié)構(gòu)的替代品,有效地解決了當(dāng)前和未來的網(wǎng)絡(luò)爆炸對網(wǎng)絡(luò)技術(shù)變革的需求。而在目前,隨著網(wǎng)絡(luò)安全事件的不斷發(fā)生,SDN網(wǎng)絡(luò)體系結(jié)構(gòu)和技術(shù)的不斷地發(fā)展,人們意識到網(wǎng)絡(luò)安全問題應(yīng)得到足夠的重視。近年來,許多學(xué)者對SDN網(wǎng)絡(luò)的安全需求和安全需求的實現(xiàn)進(jìn)行了研究[2]。
SANE是初期提出的一個比較理想化的網(wǎng)絡(luò)架構(gòu),這個網(wǎng)絡(luò)原型只運行了一個月。SANE網(wǎng)絡(luò)架構(gòu)中有一個集中控制器,內(nèi)部的交換機(jī)和主機(jī)都要根據(jù)控制需要進(jìn)行改造,才能支持這種網(wǎng)絡(luò)架構(gòu)的正常運行,SANE網(wǎng)絡(luò)架構(gòu)如圖1所示。
圖1 SANE的架構(gòu)和流程
集中控制器可以實現(xiàn)認(rèn)證網(wǎng)元、解析域名、全網(wǎng)拓?fù)鋵W(xué)習(xí)和權(quán)能生成功能,權(quán)能是SANE中的一種數(shù)據(jù)類型,指的是經(jīng)過加密的通信路徑信息。如圖1所示,首先,客戶機(jī)A和服務(wù)器B都要先在集中控制器處進(jìn)行認(rèn)證,從而獲得密鑰;隨后,服務(wù)器B向集中控制器發(fā)布服務(wù),客戶機(jī)A允許被訪問;接著,客戶機(jī)A向集中控制器請求訪問服務(wù)器B,集中控制器計算通信路徑,將計算結(jié)果和權(quán)能返回給客戶機(jī)A;最后,客戶機(jī)A就能訪問服務(wù)機(jī)B,每次權(quán)能有效時長為幾分鐘,如果客戶機(jī)A要再次對服務(wù)機(jī)B進(jìn)行訪問,則需要重新申請權(quán)能。綜上所述,SANE網(wǎng)絡(luò)架構(gòu)的數(shù)據(jù)傳輸效率和處理效率都比較低,不適合實際應(yīng)用,所以就有學(xué)者提出了Ethane網(wǎng)絡(luò)架構(gòu)。
相比于SANE網(wǎng)絡(luò)架構(gòu),Ethane是一個更適合實際應(yīng)用的網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)架構(gòu),不同于SANE網(wǎng)絡(luò)架構(gòu)中將控制報文頭加密進(jìn)行橫向傳輸,Ethane網(wǎng)絡(luò)架構(gòu)是將加密控制信息進(jìn)行縱向傳輸,也就是集中控制器和交換機(jī)之間使用安全信道來傳輸控制信息。Ethane網(wǎng)絡(luò)架構(gòu)中的集中控制器可以實現(xiàn)網(wǎng)元和用戶認(rèn)證、檢查通行許可、通信路徑計算、交換機(jī)管理功能。Ethane網(wǎng)絡(luò)架構(gòu)并不要求使用規(guī)定的認(rèn)證方法,也不需要交換機(jī)檢查權(quán)能,相比之下傳輸效率會更高,更適合實際應(yīng)用。
和上述兩種網(wǎng)絡(luò)架構(gòu)相比,SDN網(wǎng)絡(luò)架構(gòu)具有更好的擴(kuò)展性,支持更加靈活的網(wǎng)絡(luò)部署方案、能實現(xiàn)更加精細(xì)高效的數(shù)據(jù)流控制。SDN網(wǎng)絡(luò)架構(gòu)支持對網(wǎng)絡(luò)設(shè)備進(jìn)行集中、自動化管理以及統(tǒng)一策略執(zhí)行,相比之下更為安全。除此之外,利用SDN集中控制器的API方式可以將傳統(tǒng)的網(wǎng)絡(luò)安全應(yīng)用集成到SDN網(wǎng)絡(luò)構(gòu)架中。
圖2 SDN架構(gòu)
綜上所述,SDN網(wǎng)絡(luò)架構(gòu)構(gòu)建了一個平臺,可以提供網(wǎng)絡(luò)安全服務(wù)來保證網(wǎng)絡(luò)安全。當(dāng)前的研究均認(rèn)為,現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)完全可以滿足SDN網(wǎng)絡(luò)架構(gòu)的安全需求,但是具體如何實施還在研究之中。
一些研究人員認(rèn)為,SDN網(wǎng)絡(luò)體系結(jié)構(gòu)的安全需求主要集中在應(yīng)用和控制層面,一般用于授權(quán)、認(rèn)證控制層和基礎(chǔ)設(shè)施層,由于只有一個交換機(jī)和一個集中控制器,安全管理相對容易,現(xiàn)有控制方案的接口經(jīng)過一定改造后可以滿足網(wǎng)絡(luò)架構(gòu)的安全要求。如果交換機(jī)和控制器較多,網(wǎng)絡(luò)安全管理就比較復(fù)雜,應(yīng)充分考慮控制器之間的權(quán)限和控制器對交換機(jī)的訪問控制,而現(xiàn)有控制方案的接口無法滿足這種情況下的安全需求,如何在SDN網(wǎng)絡(luò)體系結(jié)構(gòu)中實現(xiàn)傳統(tǒng)的網(wǎng)絡(luò)安全應(yīng)用,如訪問控制、防火墻、入侵檢測和防御等,是值得研究的。安全應(yīng)用應(yīng)該在SDN網(wǎng)絡(luò)的體系結(jié)構(gòu)中實現(xiàn),與上述兩種網(wǎng)絡(luò)體系結(jié)構(gòu)相比,SDN網(wǎng)絡(luò)體系結(jié)構(gòu)可以降低成本,更靈活地實現(xiàn)一些傳統(tǒng)的應(yīng)用,甚至開發(fā)新的網(wǎng)絡(luò)安全應(yīng)用。
基于SDN架構(gòu)的新型入侵檢測方案中,包括兩層入侵檢測系統(tǒng),如圖3所示。
圖3 基于SDN架構(gòu)的入侵檢測架構(gòu)
Centernode入侵分析模塊由數(shù)據(jù)采集模塊、數(shù)據(jù)分析模塊等多個子模塊組成,通常采用中心監(jiān)控模式對邏輯子網(wǎng)中的數(shù)據(jù)進(jìn)行監(jiān)控和分析。
數(shù)據(jù)分析模塊是Centernode的核心。由于WSN節(jié)點以相同的頻率發(fā)送數(shù)據(jù),因此,在同一時間段內(nèi)收集的數(shù)據(jù)量應(yīng)該相等。
①子網(wǎng)中的每個節(jié)點都將收集到的信息發(fā)送到Centernode,因此,從節(jié)點Centernode接收到的數(shù)據(jù)總量在同一時期不會有太大的變化。此時,可以計算一次中心節(jié)點處的最大值。如果計算出的Hurst值在0.5到1之間,可以說數(shù)據(jù)流模型符合自相似特性,然后可以判斷邏輯節(jié)點入侵有沒有發(fā)生在相應(yīng)的子網(wǎng)中。如果Hurst值不在0.5到1的范圍內(nèi),則一個或多個節(jié)點在子網(wǎng)中可能會被入侵。
②在子網(wǎng)中,Centernode計算每個節(jié)點發(fā)送的數(shù)據(jù)流量的Hurst值,以確定哪個節(jié)點受到了入侵。
③Centernode以兩種方式響應(yīng)入侵:被動響應(yīng)和主動響應(yīng)。被動響應(yīng)通常包括報警、修改網(wǎng)絡(luò)日志和向上層發(fā)送信息。主動響應(yīng)在處理入侵時更有效,包括切斷入侵源和中斷當(dāng)前進(jìn)程。為了減少入侵造成的邏輯子網(wǎng)損失,當(dāng)入侵者數(shù)量較少時,Centernode可以隔離這些節(jié)點。如果有更多的入侵者,Centernode必須更改本地網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)并動態(tài)更改數(shù)據(jù)流傳輸協(xié)議。
④在基于SDN體系結(jié)構(gòu)的無線傳感器網(wǎng)絡(luò)入侵檢測系統(tǒng)中,Masternode可以提供用戶界面,具有很強(qiáng)的可編程性和可擴(kuò)展性。用戶可以根據(jù)網(wǎng)絡(luò)情況實現(xiàn)自定義的檢測規(guī)則和實時檢測算法。Masternode支持整個WSN網(wǎng)絡(luò)的通信管理、邏輯控制和數(shù)據(jù)融合三重功能,是入侵檢測系統(tǒng)的邏輯控制中心。插入網(wǎng)絡(luò)的中心節(jié)點,將把每個邏輯子網(wǎng)絡(luò)的信息返回給主節(jié)點。主節(jié)點中的邏輯控制模塊、響應(yīng)模塊、分析模塊和通信模塊共同完成對信息的綜合分析和評價。Masternode將遵循Centprederno算法基于定義的檢測策略,首先計算接收到的總數(shù)據(jù)流的Hurst值,以確定邏輯子網(wǎng)是否被入侵。如果邏輯子網(wǎng)已被入侵,入侵檢測將被傳遞到邏輯子網(wǎng)。邏輯子網(wǎng)根據(jù)中心的入侵檢測模式執(zhí)行檢測算法。
綜上所述,在當(dāng)今的時代,一定要對網(wǎng)絡(luò)的安全性予以高度的重視,本文對SDN網(wǎng)絡(luò)安全架構(gòu)進(jìn)行了分析,探討了SDN的安全需求和實現(xiàn)措施,希望能給相關(guān)工作的開展提供一定的理論參考。