韓堅，劉松，魏吟娬，李彬，祁兵

（1.國網(wǎng)江西省電力有限公司萍鄉(xiāng)供電分公司，江西萍鄉(xiāng)337000；2.華北電力大學電氣與電子工程學院，北京102206）

0 引言

2020年5月，國家電網(wǎng)有限公司互聯(lián)網(wǎng)部、設備部、營銷部、物資部共同牽頭，組織開展并發(fā)布了《智慧物聯(lián)體系總體設計（2020 版）》。智慧物聯(lián)體系總體架構遵循“精準感知，邊緣智能，統(tǒng)一物聯(lián)，開放共享”的技術原則，通過物聯(lián)管理和邊緣物聯(lián)代理等平臺以及設備、標準化接入各類采集終端，實現(xiàn)業(yè)務融合貫通。

物聯(lián)網(wǎng)設備的計算能力有限，包括存儲、處理和通信資源，無法有效地在本地執(zhí)行計算量大而密集的任務。邊緣計算通過使計算更接近物聯(lián)網(wǎng)邊緣來解決資源限制問題。在整個網(wǎng)絡中提供分布式邊緣節(jié)點可減少集中計算的壓力，同時克服物聯(lián)網(wǎng)中的數(shù)據(jù)傳輸延遲。軟件定義網(wǎng)絡（Software Defined Network，SDN）通過向運營商呈現(xiàn)網(wǎng)絡的全局視角來實現(xiàn)有效的網(wǎng)絡管理。它可為物聯(lián)網(wǎng)集中處理繁雜信息提供動力，有助于物聯(lián)網(wǎng)服務協(xié)調［1］。SDN 通過收集、分類和分析移動邊緣的物聯(lián)網(wǎng)數(shù)據(jù)流，基于SDN 架構建設邊緣物聯(lián)代理平臺，與云平臺形成一種協(xié)同關系，有助于提高物聯(lián)網(wǎng)系統(tǒng)的可擴展性，構建智能、開放、安全、友好的彈性網(wǎng)絡。

由于SDN 架構存在安全風險，并且邊緣物聯(lián)代理對用戶信息安全的隱私防護有很高要求，分析基于SDN 的邊緣物聯(lián)代理存在的安全風險以及可采用的防御技術具有重要意義。

SDN 架構的防御方案中，一種主動安全防御框架能夠將控制器的業(yè)務邏輯和安全功能解耦，并將安全功能部署在數(shù)據(jù)轉發(fā)層和控制層之間，實現(xiàn)為不同的控制器提供統(tǒng)一的安全防御框架的功能［2］。另外的防御思路聚焦于SDN 架構中的OpenFlow 協(xié)議，通過分析SDN 可能遭受的攻擊手段總結未來SDN 安全的研究趨勢［3］?；跀?shù)據(jù)備份和恢復（DBAR）技術，文獻［4］提出了一種新的防御機制，有望在SDN 架構中實現(xiàn)防御功能。隨著機器學習在安全監(jiān)測與防御領域不斷發(fā)展，針對SDN 架構受到分布式拒絕服務（Distributed Denial of Service，DDoS）攻擊，文獻［5］提出基于C4.5 算法產(chǎn)生的決策樹的檢測方法。

1 基于SDN的邊緣物聯(lián)代理架構

由于物聯(lián)網(wǎng)具有數(shù)據(jù)量大、交互速度快等特征，互聯(lián)網(wǎng)的可擴展性和效率不足以處理物聯(lián)網(wǎng)大數(shù)據(jù)。因此，在保證用戶隱私的前提下，設計一個數(shù)據(jù)共享框架使用戶能夠獲得物聯(lián)網(wǎng)服務迫在眉睫。文獻［6］提出一個高效靈活的邊緣物聯(lián)代理架構EdgeIoT，它利用霧計算和SDN 來收集、分類和分析移動邊緣的物聯(lián)網(wǎng)數(shù)據(jù)流。而邊緣物聯(lián)代理裝置是物聯(lián)網(wǎng)感知層數(shù)據(jù)匯總、安全控制的核心設備，是區(qū)別于傳統(tǒng)狀態(tài)監(jiān)測項目建設的關鍵所在。因此建議基于霧計算，面向泛在物聯(lián)網(wǎng)連接需求，建設邊緣物聯(lián)代理平臺，屏蔽底層網(wǎng)絡差異性，實現(xiàn)全連接。平臺具備模型適配、連接管理、數(shù)據(jù)存儲和轉發(fā)、邊緣計算、安全代理及防護等功能，打破縱向封閉模式，實現(xiàn)網(wǎng)絡邊緣智能［7］。邊緣代理平臺將強大的計算存儲能力與用戶滿意的業(yè)務服務能力向用戶側傾斜，向網(wǎng)絡邊緣遷移，與此同時大量應用、服務和相應計算分析內容可實現(xiàn)個性化、近距離和分布式的特點。邊緣物聯(lián)代理位于電力物聯(lián)網(wǎng)的感知層，利用設備本地通信接口對各類傳感器、終端等設備接入并統(tǒng)一管理，通過協(xié)議解析將業(yè)務數(shù)據(jù)提取、匯聚及存儲，并按物模型要求進行標準化建模，利用邊緣計算能力對業(yè)務數(shù)據(jù)處理后發(fā)送至平臺層。邊緣物聯(lián)代理宜具備本地通信、遠程通信、協(xié)議解析、數(shù)據(jù)存儲及處理、設備信息建模、邊緣計算、設備管理、安全防護等功能模塊。邊緣物聯(lián)代理的功能如圖1所示。

2 基于SDN的邊緣物聯(lián)代理安全風險

2.1 SDN架構概述

圖1 邊緣物聯(lián)代理的功能Fig.1 Edge IoT agent function

利用分層的思想，SDN 架構將數(shù)據(jù)與控制分開，從上到下分為應用程序層、控制層、數(shù)據(jù)轉發(fā)層?？刂茖影ㄟ壿嬛行幕涂删幊痰目刂破鳎刂破骺烧莆杖志W(wǎng)絡信息；數(shù)據(jù)轉發(fā)層包括“啞的”交換機（與傳統(tǒng)的二層交換機不同，專指用于轉發(fā)數(shù)據(jù)的設備）。交換機由于只提供簡單的數(shù)據(jù)轉發(fā)功能，實現(xiàn)快速匹配數(shù)據(jù)包并轉發(fā)，可適應日益增長的大流量轉發(fā)需求；在應用程序層，網(wǎng)絡運營商被允許快速響應各種業(yè)務需求，構建出各種可在SDN 控制器之上運行的應用程序軟件［8］。因此，SDN 技術不僅能夠有效降低設備負載，協(xié)助網(wǎng)絡運營商更好地控制基礎設施，降低整體運營成本，還可應用于任何網(wǎng)絡，通過引入可擴展的應用滿足運營商不同需求。SDN基礎架構如圖2所示。

圖2 SDN基礎架構Fig.2 Architecture of SDN

2.2 SDN架構的安全風險

SDN 雖然發(fā)展迅速，能夠適用邊緣物聯(lián)代理，但也帶來了一系列安全問題。首先，SDN 的開放性使得攻擊者更容易獲得有關網(wǎng)絡、服務和交互的相關信息。其次，對于集中式的SDN 控制器，某些攻擊，如拒絕服務（DoS），其影響可能比僅針對單個路由器的影響更大。最后，一些新的功能實體、協(xié)議和接口也會帶來新的安全威脅，如OpenFlow 協(xié)議、應用控制接口、資源控制接口等［9］。

2.2.1 應用程序層安全風險

攻擊者通過操縱應用程序來實施網(wǎng)絡攻擊策略，對控制層造成嚴重影響。應用程序層安全風險見表1。

表1 應用程序層安全風險Tab.1 Application layer security risks

2.2.2 控制層安全風險

SDN 控制器是整個網(wǎng)絡的核心，它必須達到最高的安全級別。一旦SDN 控制器失效，將導致整個網(wǎng)絡癱瘓［11］。控制層安全風險包括如下幾項。

（1）流規(guī)則沖突：惡意流可以繞過安全檢測，這與預配置的安全策略沖突，并對SDN 控制器產(chǎn)生不利影響。

（2）虛假流規(guī)則插入：攻擊者可通過劫持SDN應用程序發(fā)送一些偽造的轉發(fā)規(guī)則。

（3）欺騙：攻擊者可偽裝成管理員或SDN 應用程序，從SDN 控制器中刪除或修改敏感數(shù)據(jù)，或取得網(wǎng)絡拓撲信息和路由信息，更有甚者能完全控制SDN控制器。

（4）DoS 攻擊：攻擊者可以創(chuàng)建虛假信息流，對SDN 控制器進行DoS 攻擊，使系統(tǒng)癱瘓。DoS 攻擊是對SDN 的嚴重威脅。在SDN 中，針對控制層的DoS 攻擊主要有2 種方式：一種是使用多個流條目M-DoS 進行DoS 攻擊，耗盡交換機的三態(tài)內容尋址存儲器（TCAM）資源；另一種是DoS 攻擊使用一個精心設計的入口S-DoS來覆蓋目標鏈路并進一步影響控制器［12］。

（5）操作系統(tǒng)漏洞：SDN 控制器運行在某種形式的操作系統(tǒng)（OS）上，那么操作系統(tǒng)的漏洞就變成了SDN 控制器的漏洞。攻擊者利用操作系統(tǒng)的漏洞，如默認密碼、后臺賬戶，引導OpenFlow 控制器服務或上層應用錯誤的訪問，從而導致劫持、拒絕服務或者中間人攻擊等惡意行為，嚴重影響SDN 控制器正常工作［13］。

2.2.3 數(shù)據(jù)轉發(fā)層安全風險

數(shù)據(jù)轉發(fā)層主要包括路由器和交換機等轉發(fā)設備。極易發(fā)生針對流表、流規(guī)則以及交換機的惡意攻擊［14］。數(shù)據(jù)轉發(fā)層安全風險包括如下幾項。

（1）欺騙：攻擊者可以偽裝成管理員或SDN 控制器，從SDN 交換機中刪除或修改敏感數(shù)據(jù)或獲取敏感信息，如流表中的流條目［15］。

（2）竊聽：攻擊者可以竊聽SDN 交換機之間的流，以獲取有關流、流量和設備的信息。比如鏈路層發(fā)現(xiàn)協(xié)議（LLDP）在SDN 中被廣泛應用于網(wǎng)絡層拓撲發(fā)現(xiàn)，但它不能保證消息的完整性。攻擊者可利用此漏洞制造LLDP數(shù)據(jù)包，以聲明將2個遠程交換機連接到控制器的虛假鏈接。這樣控制器就會被誤導到錯誤的鏈路上，從而導致進一步遭受DoS攻擊、竊聽甚至劫持攻擊［16］。

（3）流量表溢出：潛在流量表導致流量表溢出。在實踐中，基于流表特征引入一種雙向流量概念，同時提出通過自適應改變監(jiān)控流表粒度以定位潛在受害者的檢測方案［17］。

3 智慧物聯(lián)體系安全架構

遵循電力物聯(lián)網(wǎng)總體防護要求，按照“可信互聯(lián)、精準防護、安全互動、智能防御”的防護策略，建立覆蓋物聯(lián)管理平臺、網(wǎng)絡通信、邊緣物聯(lián)代理和采集終端等的整體防護架構，符合安全防護要求，智慧物聯(lián)體系安全架構如圖3 所示。圖中PKI（Public Key Infrastructure）即公開密鑰基礎設施，是證書制作和分發(fā)的一種機制，能給安全的網(wǎng)路通信提供保障［18］。

邊緣物聯(lián)代理模塊在架構中向下主要實現(xiàn)終端的安全認證、安全監(jiān)測、策略下發(fā)等，向上通過電力物聯(lián)網(wǎng)安全接入網(wǎng)關接入物聯(lián)管理平臺，利用安全芯片、操作系統(tǒng)加固、可信計算等措施強化本體安全防護及數(shù)據(jù)在本地存儲及傳輸?shù)陌踩?，主要包括APP 加固及安全驗證、終端遠程升級安全、數(shù)字證書和密鑰管理、安全接入等模塊。

圖3智慧物聯(lián)體系安全架構Fig.3 Security architecture of intelligent IoT system

物聯(lián)管理平臺作為安全防護的關鍵，承擔各類安全策略制定和下發(fā)、安全防護管理等核心功能，能夠對物聯(lián)網(wǎng)感知層的設備和應用等進行全面管控，主要具備以下安全能力。

（1）建立設備全周期安全管理模塊，對接入邊緣物聯(lián)代理、采集終端等的設備進行全生命周期安全管理，重點實現(xiàn)設備初始化、注冊、上線、離線和銷毀等階段的安全管理和異常狀態(tài)監(jiān)測。

（2）建立APP 應用加固和安全簽名模塊，對研發(fā)廠商發(fā)布的終端APP 應用進行安全認證，防止非法APP應用發(fā)布到物聯(lián)管理平臺。

（3）物聯(lián)管理平臺應能與邊緣物聯(lián)代理進行協(xié)同聯(lián)動，實現(xiàn)安全策略的下發(fā)與更新，通過邊緣物聯(lián)代理實現(xiàn)安全措施落地。

（4）物聯(lián)管理平臺應通過數(shù)據(jù)加密、權限控制等措施做好存儲數(shù)據(jù)的安全防護，并應加強數(shù)據(jù)業(yè)務應用之間的傳輸安全防護。同時采用可信計算技術，重點強化物聯(lián)管理平臺各類接口安全。

建立全面可靠的物聯(lián)安全防護體系能夠有效支撐邊緣物聯(lián)代理系統(tǒng)的高效運作，保障系統(tǒng)的安全可靠運行，對整個系統(tǒng)可能存在的潛在威脅和攻擊采取防御措施。

4 基于SDN的邊緣物聯(lián)代理防御技術

（1）建立攻擊表示模型進行攻擊檢測及有效防御。面對針對SDN 的攻擊和策略，一種威脅向量分層攻擊表示模型TV-harm 可捕獲不同的威脅及其組合，從而對基于SDN 的邊緣物聯(lián)代理網(wǎng)絡進行安全風險評估。因為SDN 控制器在SDN 應用程序和通信協(xié)議中存在漏洞，攻擊者可以執(zhí)行竊聽或權限提升攻擊［18］。這類建立模型的方式為評估基于SDN 架構的邊緣物聯(lián)代理受到的安全風險提供了一種較為直觀、系統(tǒng)的方法。

（2）基于SDN 控制器調度的防御DDoS 攻擊方法。為了幫助SDN 架構中控制器抵御DDoS 攻擊，文獻［19］提出了一種控制器調度方法，利用被攻擊交換機的標準化等待時間、等待時長和位置范圍來選擇需要控制器處理的請求。

（3）基于移動目標進行防御。在SDN 控制器的幫助下，邊緣物聯(lián)代理在可編程和可控方面有大幅提高。因此，許多安全行動已利用這種能力，以最佳方式部署在使用SDN 功能的復雜網(wǎng)絡中。文獻［20］開發(fā)出一種基于層次化的攻擊圖模型的內存技術設備（MTD）技術，該技術根據(jù)主機的主次對主機的網(wǎng)絡配置（如媒體訪問控制（MAC）∕互聯(lián)網(wǎng)協(xié)議（IP）∕端口地址）進行亂序排列［21］?；谝苿幽繕朔烙上鄳W(wǎng)絡動態(tài)防御策略計劃，可有效評估動態(tài)防御策略并選取最優(yōu)防御策略。

（4）基于聯(lián)合熵的安全防御方案。為了增強SDN 的安全性，抵御邊緣物聯(lián)代理遭受DDoS 攻擊，文獻［22］介紹了一個統(tǒng)計解決方案來檢測和緩解安全風險。該文通過生成一個基于聯(lián)合熵的統(tǒng)計模型，有效抵御已知的部分攻擊，且對新興的攻擊類型也能有效防御。

（5）基于機器學習進行防御。文獻［23］提出了一種基于SDN 的、在云環(huán)境下解決DDoS 攻擊的有效方案。通過一種基于支持向量機和自組織映射算法的混合機器學習模型，生成一種改進的IP 過濾方案，提高了攻擊檢測的速度和效率，以便迅速進行防御。為了解決SDN 中監(jiān)控模塊負擔重、檢測準確率較低的問題，文獻［24］提出一種多級分階段混合檢測方法，將機器學習算法結合其他數(shù)據(jù)預處理算法，耦合成一種有效的分類模型來檢測系統(tǒng)的入侵流量。

5 結束語

邊緣物聯(lián)代理作為智慧物聯(lián)系統(tǒng)中的重要模塊，由于需要服務于數(shù)據(jù)量大的物聯(lián)網(wǎng)終端設備，具有極其復雜的接入環(huán)境，容易受到網(wǎng)絡攻擊。因此，對安全訪問和防御保護的需求很大，這就需要有效的安全風險評估和防御技術支持，以防受到惡意攻擊，影響業(yè)務安全。

本文介紹了基于SDN 的邊緣物聯(lián)代理架構，并論述了基于SDN 的邊緣物聯(lián)代理安全風險及防御技術，為邊緣物聯(lián)代理將來的推廣和安全防護提供最新研究成果，有望最終實現(xiàn)物聯(lián)網(wǎng)云平臺、邊緣代理設備及智慧采集終端和監(jiān)測終端之間信息交互的機密性、穩(wěn)定性和可信性。