陶松

摘要：該文首先介紹了軟件定義網(wǎng)絡(luò)（SDN）概念，基于SDN技術(shù)構(gòu)建網(wǎng)絡(luò)，實現(xiàn)了網(wǎng)絡(luò)虛擬化發(fā)展和應(yīng)用，然后分析了網(wǎng)絡(luò)虛擬化所帶來的主要網(wǎng)絡(luò)信息安全威脅情況，沿著軟件定義思路出發(fā)，針對網(wǎng)絡(luò)虛擬化存在的安全風險，提出了軟件定義信息安全（SDIS）的概念，并結(jié)合SDN架構(gòu)體系設(shè)計了軟件定義信息安全架構(gòu)體系，最后給出軟件定義信息安全攻擊防護過程中的數(shù)據(jù)采集、異常檢測和策略執(zhí)行等3個具體實現(xiàn)環(huán)節(jié)。

關(guān)鍵字：軟件定義網(wǎng)絡(luò)；網(wǎng)絡(luò)虛擬化；軟件定義信息安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）15-0023-03

Abstract： The paper first introduces the concept of software-defined networking （SDN） and the network framework basing on SDN which realizes the development and application of network virtualization. It then analyzes new threats brought by SDN to network information security. To address the existing security risks， the paper follows the software-defined idea to propose the concept of software-defined information security （SDIS）， designs its framework and shows the concrete steps of SDIS protection—data collection， anomaly detection and strategy execution.

Key words： SDN（software-defined networking）； network virtualization； software-defined information security

隨著信息技術(shù)和網(wǎng)絡(luò)的快速發(fā)展，信息系統(tǒng)越來越龐大，傳統(tǒng)網(wǎng)絡(luò)架構(gòu)和模式越發(fā)復(fù)雜，很難管理和控制，業(yè)務(wù)遷移難，已無法滿足“簡單、高效、靈活、通用”等要求，需要進行革新，由此催生了軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）誕生。網(wǎng)絡(luò)虛擬化必然面臨新的信息安全的挑戰(zhàn)，其信息安全的防護不斷向前演進，信息安全架構(gòu)隨著網(wǎng)絡(luò)結(jié)構(gòu)虛擬化而產(chǎn)生相應(yīng)的改變，把SDN的理念延伸到信息安全領(lǐng)域，遵循“軟件定義（SDX）”研究路徑，我們將它稱為軟件定義信息安全（Software Defined Information Security，SDIS）。

1軟件定義網(wǎng)絡(luò)（SDN）

軟件定義網(wǎng)絡(luò)（SDN）的誕生是網(wǎng)絡(luò)技術(shù)發(fā)展的一場全新變革，創(chuàng)建了一種全新的網(wǎng)絡(luò)架構(gòu)，它最初是由斯坦福大學Clean Slate研究組開發(fā)出來的，其核心思想就是把網(wǎng)絡(luò)設(shè)備的控制平面與網(wǎng)絡(luò)設(shè)備本身相分離，形成一種可以通過軟件編程定義的網(wǎng)絡(luò)，使得網(wǎng)絡(luò)架構(gòu)和流量可以得到快速、高效和靈活掌控。形象的說，SDN實現(xiàn)了計算機網(wǎng)絡(luò)如同計算機（PC）般可編程操控，可以創(chuàng)建方便管理的網(wǎng)絡(luò)虛擬化層，從而為核心網(wǎng)絡(luò)搭建了良好的控制平臺。

開放網(wǎng)絡(luò)基金會（ONF）組織最初在白皮書中提到SDN體系結(jié)構(gòu)[1]，并于2013年底發(fā)布最新版本[2]，其架構(gòu)如圖1所示。SDN由下到上（或稱由南向北）分為數(shù)據(jù)平面、控制平面和應(yīng)用平面。數(shù)據(jù)平面與控制平面之間利用SDN控制數(shù)據(jù)平面接口（Control-Data-Plane Interface，簡稱CDPI）進行通信，CDPI具有統(tǒng)一的通信標準，采用OpenFlow協(xié)議作為標準化的應(yīng)用協(xié)議，用來描述控制器和交換機之間交互所用信息的標準，以及控制器和交換機的接口標準，實現(xiàn)對網(wǎng)絡(luò)的集中控制?？刂破矫媾c應(yīng)用平面之間由SDN北向接口（Northbound Interface，簡稱NBI）負責通信，SDN應(yīng)用則可以根據(jù)用戶不同的需求而進行相應(yīng)的個性化開發(fā)[3]。

2 網(wǎng)絡(luò)虛擬化安全風險

SDN將網(wǎng)絡(luò)虛擬化成為現(xiàn)實，能夠更好的支持云計算和虛擬化技術(shù)的廣泛運用，給網(wǎng)絡(luò)管理帶來了顛覆性變化，可以通過編程快速改變網(wǎng)絡(luò)拓撲、動態(tài)組網(wǎng)等技術(shù)來簡化網(wǎng)絡(luò)管理。同時，SDN面臨的最大挑戰(zhàn)，就是與網(wǎng)絡(luò)虛擬化所提供的網(wǎng)絡(luò)拓撲靈活性“孿生”的網(wǎng)絡(luò)邊界動態(tài)性，云內(nèi)網(wǎng)絡(luò)安全的保障將更加依賴于安全策略和安全構(gòu)件的動態(tài)部署、配置和管理，更加依賴于網(wǎng)絡(luò)安全系統(tǒng)對流量和業(yè)務(wù)的感知、決策與響應(yīng)。

網(wǎng)絡(luò)虛擬化帶來新的安全威脅主要如下。

2.1 虛擬網(wǎng)絡(luò)的數(shù)據(jù)流難以理解

虛擬主機（Virtual Machine，VM）之間的通信數(shù)據(jù)包與傳統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)交換有著不同的定義，傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備無法理解這些數(shù)據(jù)流，也就無法施以正確安全策略，此外，很多虛擬主機之間通過GRE隧道傳輸數(shù)據(jù)包，以至于傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備將不能解析這些封裝后的數(shù)據(jù)流。

2.2 存在監(jiān)測死角

虛擬主機需要和外界進行數(shù)據(jù)交換，一是不同物理主機上的VM之間數(shù)據(jù)流，二是同一物理主機內(nèi)部VM之間數(shù)據(jù)流。后者僅在物理主機中進行，不需要經(jīng)過網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)，因此根本無法被安全設(shè)備監(jiān)測到，成為安全系統(tǒng)的監(jiān)測死角。攻擊者可以在物理主機內(nèi)部虛擬網(wǎng)絡(luò)中發(fā)動攻擊而不會被安全設(shè)備發(fā)現(xiàn)。如圖2所示，攻擊者在虛擬機VM1中攻擊VM2，數(shù)據(jù)流沒有經(jīng)過物理交換機，也不會傳輸?shù)椒阑饓虸DS設(shè)備，這樣的攻擊無法被監(jiān)測到。

2.3 現(xiàn)有安全設(shè)備缺乏支持

網(wǎng)絡(luò)虛擬化能夠靈活適應(yīng)業(yè)務(wù)動態(tài)性和快速變化。例如當VM從一臺物理主機無縫快速遷移到另一臺物理主機時，或當增、刪VM時，網(wǎng)絡(luò)虛擬化管理可以快速調(diào)整網(wǎng)絡(luò)拓撲，在舊物理網(wǎng)絡(luò)中刪除原網(wǎng)絡(luò)資源，并在新的物理網(wǎng)絡(luò)中分配現(xiàn)需網(wǎng)絡(luò)資源。相應(yīng)地，安全解決方案也應(yīng)將原有網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全控制（ACL和QoS）跟隨遷移，然而現(xiàn)有安全產(chǎn)品缺乏對安全策略遷移的支持，導(dǎo)致安全邊界不能適應(yīng)虛擬網(wǎng)絡(luò)的變化。

2.4 網(wǎng)絡(luò)流量不可見

在傳統(tǒng)網(wǎng)絡(luò)中，所有數(shù)據(jù)包經(jīng)由交換機或路由器，這些設(shè)備可以感知并學習當前環(huán)境的數(shù)據(jù)流量，以有針對性的動態(tài)調(diào)整路由策略。但是在基于OpenFlow的SDN架構(gòu)中，網(wǎng)絡(luò)控制器只會受到底層設(shè)備發(fā)來的部分數(shù)據(jù)包，并不了解控制域中大部分直接被轉(zhuǎn)發(fā)的數(shù)據(jù)流具體內(nèi)容。

2.5 主機安全隱患

傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)通過路由器和三層交換機邏輯隔離出一個個相對獨立的網(wǎng)絡(luò)安全域，主機在嚴格策略控制的安全域中可以得到較好的安全保護，SDN將控制平面與網(wǎng)絡(luò)設(shè)備相分離，組成統(tǒng)一集中的控制器，因而主機被置于一個相對開發(fā)的網(wǎng)絡(luò)環(huán)境中，將面臨更大的安全風險。目前Openflow 1.3設(shè)計了一套安全措施，針對SDN控制器和網(wǎng)絡(luò)交換機之間的控制通道，采用基于數(shù)字證書的雙向認證和通信加密技術(shù)，但這種安全機制還存在一些缺陷和隱患[4]。

2.6 SDN控制器失效

從圖1所示的SDN體系結(jié)構(gòu)中，我們不難發(fā)現(xiàn)，SDN控制器處于SDN體系核心層次[5]，負責上通下達和集中統(tǒng)一，是網(wǎng)絡(luò)虛擬化的最重要、最核心設(shè)施。雖然SDN控制器在設(shè)計之初就考慮到各種可能攻擊，然而，由于SDN控制器自身功能的復(fù)雜性和開放接口，其設(shè)計上難免存有很多漏洞，就如同操作系統(tǒng)（OS）一樣，在使用中不但被暴露漏洞。再者，從SDN控制器在虛擬網(wǎng)絡(luò)中所處的核心位置，必然十分吸引攻擊者的最大興趣，成為主要攻擊目標，一旦攻破SDN控制器，攻擊者就會完全占領(lǐng)網(wǎng)絡(luò)，可向全部網(wǎng)絡(luò)設(shè)備發(fā)送指令，為所欲為。如，將重新定向數(shù)據(jù)流，造成敏感信息泄露，甚至讓整個網(wǎng)絡(luò)癱瘓。因此，SDN控制器存在單點失效，一旦出現(xiàn)問題，其產(chǎn)生的后果不可估量。

2.7 控制信息難驗證

除了攻擊控制器外，控制器和網(wǎng)絡(luò)設(shè)備間的通信業(yè)也可能存在安全問題。雖然OpenFlow協(xié)議規(guī)定兩者通信可使用加密的通道，但是如何保證交互雙方可信是一個問題。一方面，攻擊者假冒網(wǎng)絡(luò)控制器發(fā)送惡意控制命令，即可改變網(wǎng)絡(luò)拓撲，破壞安全策略，或是修改數(shù)據(jù)流繞過防火墻。另一方面，攻擊者也可以通過控制某些網(wǎng)絡(luò)設(shè)施，向控制器發(fā)送偽造的數(shù)據(jù)包，影響控制器對網(wǎng)絡(luò)流量的判斷。

3 軟件定義信息安全

單層防御、封閉的傳統(tǒng)安全防護顯然無法滿足網(wǎng)絡(luò)虛擬化安全需求，無法應(yīng)對上述各種安全威脅的挑戰(zhàn)，軟件定義信息安全（SDIS）應(yīng)運而生。

3.1 軟件定義信息安全概念

從SDN概念出發(fā)，我們可以引申出軟件定義信息安全（SDIS）的概念，與SDN相對應(yīng)，它強調(diào)安全硬件設(shè)備的可編程化。SDIS將安全策略執(zhí)行點（數(shù)據(jù)平面）與安全控制器（控制平面）相互分離，從而使安全設(shè)備能快速、自動地適應(yīng)業(yè)務(wù)的動態(tài)變化。軟件定義信息安全的精髓在于打破了安全設(shè)備的生態(tài)封閉性，在盡量實現(xiàn)最小開放原則的同時，使得安全設(shè)備之間或安全設(shè)備與應(yīng)用軟件有效地互動以提升整體安全性，而非簡單理解為增加了安全設(shè)備的風險敞口。

3.2 軟件定義信息安全架構(gòu)

相對于具體的技術(shù)而言，SDIS是一種應(yīng)用信息安全的設(shè)計理念，是一種架構(gòu)思想，這種思想可以落地為具體的架構(gòu)設(shè)計。對照流行的網(wǎng)絡(luò)虛擬化技術(shù)——軟件定義網(wǎng)絡(luò)（SDN），SDIS技術(shù)架構(gòu)會有如下模塊：SDIS南向接口（安全設(shè)備與大腦系統(tǒng)的API）、信息安全大腦系統(tǒng)（類似SDN的Controller）、SDIS北向接口（用戶與大腦系統(tǒng)的接口或界面）。再從軟件定義信息安全SDIS的概念命名來看，軟件二字既可以是應(yīng)用軟件，也可以是縱深防御的大腦系統(tǒng)。

SDIS將實現(xiàn)應(yīng)用軟件與安全設(shè)備的API級互動[6]，更重要的是各安全設(shè)備之間、或縱深防御大腦系統(tǒng)與安全設(shè)備之間的API級聯(lián)動，以構(gòu)建縱深防御體系，以應(yīng)對更加高級、上層的攻擊方式。例如，攻擊者攻擊某電商網(wǎng)站促銷活動，具體做法是采用惡意下單攻擊，當該電商網(wǎng)站開展促銷活動時，攻擊者注冊很多賬號來搶光商品，但卻延遲支付。SDIS應(yīng)對這種攻擊方式的一種解決思路，就是讓應(yīng)用軟件的惡意下單檢測模塊與FireWall互動。

3.3 SDIS具體實現(xiàn)

SDIS在管理上可以靈活將安全硬件設(shè)備和應(yīng)用深入結(jié)合、聯(lián)動協(xié)同防御，隨應(yīng)用變化靈活調(diào)整安全部署和策略，具體攻擊防護過程的實現(xiàn)可分解為下面三個環(huán)節(jié)：即海量數(shù)據(jù)的采集、智能和情境感知（Context-aware）的異常檢測和以流表項表達的安全策略執(zhí)行。

3.3.1 海量數(shù)據(jù)的采集

SDIS對網(wǎng)絡(luò)虛擬化的網(wǎng)絡(luò)流量、網(wǎng)絡(luò)行為、安全事件等信息進行自動化的采集、分析和挖掘，需采集海量數(shù)據(jù)。SDN提供了一種新的數(shù)據(jù)采集方式。在SDN架構(gòu)中，允許將制定的數(shù)據(jù)包發(fā)送到控制器。那些沒有匹配到任何規(guī)則的數(shù)據(jù)包都可以看作疑似異常的數(shù)據(jù)，有必要發(fā)送到控制器做進一步分析。對于那些匹配上的數(shù)據(jù)包，流表項的計數(shù)器會記錄相應(yīng)的包數(shù)和字節(jié)數(shù)。

3.3.2 智能和情境感知（Context-aware）的異常檢測

在復(fù)雜的網(wǎng)絡(luò)中發(fā)現(xiàn)入侵行為已經(jīng)證明是很困難的。隱蔽的攻擊者已經(jīng)突破了傳統(tǒng)的防御措施，如入侵防御系統(tǒng)、防火墻和殺毒軟件，“大數(shù)據(jù)分析（BDA）”的方法將提供新的希望。

傳統(tǒng)的安全網(wǎng)關(guān)，異常檢測和數(shù)據(jù)包轉(zhuǎn)發(fā)處理往往集成在一個設(shè)備中。SDIS的架構(gòu)使得異常檢測（相當于網(wǎng)絡(luò)設(shè)備的控制平面）從安全網(wǎng)關(guān)中剝離出來，安全網(wǎng)關(guān)只負責根據(jù)流表進行數(shù)據(jù)包的轉(zhuǎn)發(fā)處理。以便于在一個計算能力更強的、開放的、綜合的平臺上完成異常檢測，例如將數(shù)據(jù)集中到云計算平臺上進行異常檢測的計算分析。

傳統(tǒng)的異常檢測往往是基于特征的靜態(tài)對比，沒有考慮到時間因素。實際環(huán)境中，同樣的訪問行為在不同的時機條件下，實際的效果不同，最終被判斷的結(jié)果應(yīng)該不同?；诖髷?shù)據(jù)分析的異常檢測可以綜合時機因素對訪問行為做出判斷。

在一個開放的平臺上利用云計算法對多種來源數(shù)據(jù)進行分析計算，并結(jié)合查詢漏洞庫、特征庫、信譽庫等各種信息庫的結(jié)果，做出綜合判斷。這種檢測過程較傳統(tǒng)的特征比對的方法更容易獲得準確的檢測結(jié)果。

3.3.3 以流表項表達安全策略

安全策略一般由“規(guī)則（Rule）”和“動作（Action）”組成的，而OpenFlow的流表項也有同樣的組成元素。因此流表項可以很適合用來表達一個安全策略，例如防火墻的ACL完全可以寫成流表項的形式。在SDN架構(gòu)下，傳統(tǒng)的安全設(shè)備將分裂為兩個部分：一部分是前面講的異常檢測，這部分具有高度的分析智能；另一部分是負責數(shù)據(jù)包處理的硬件設(shè)備。數(shù)據(jù)包處理的依據(jù)就是表達安全策略的流表項，分析平臺負責將檢測結(jié)果生成流表項，并下發(fā)到硬件設(shè)備上。

4 結(jié)語

采用軟件定義網(wǎng)絡(luò)（SDN）技術(shù)構(gòu)建的網(wǎng)絡(luò)虛擬化，帶來便捷、靈活化管理的同時，也使得網(wǎng)絡(luò)安全風險面臨全新的挑戰(zhàn)，本文詳細地分析了網(wǎng)絡(luò)虛擬化后存在的一些安全風險的新的變化和威脅情況，最后從SDN出發(fā)給出了解決這些安全風險的一種新的安全理念和架構(gòu)——軟件定義信息安全（SDIS），具有一定的創(chuàng)新性，然而還存在一些不足之處，如網(wǎng)絡(luò)虛擬化的安全風險分析不夠全面，軟件定義信息安全架構(gòu)還不盡完善，同時，既然SDIS是在SDN基礎(chǔ)之上的延伸，SDIS是否繼承SDN的優(yōu)良特性以及新的變化將也是進一步研究的重點。

參考文獻：

[1] Open Networking Foundation. Software-Defined networking： The new norm for networks. ONF White Paper， 2012.

[2] Open Networking Foundation. SDN architecture overview， version 1.0. 2013.

[3] 張朝昆，崔勇，唐翯祎，等.軟件定義網(wǎng)絡(luò)（SDN）研究進展[J].軟件學報，2015，26（1）：62-81.

[4] 何恩，張德治，郝平.軟件定義網(wǎng)絡(luò)安全研究[J].通信技術(shù)，2014，47（1）：86-90.

[5] 裘曉峰，趙糧，高騰.VSA和SDS：兩種SDN網(wǎng)絡(luò)安全架構(gòu)的研究[J].小型微型計算機系統(tǒng)，2013，34（10）：2298-2303.

[6] 劉文懋，裘曉峰，陳鵬程，等.面向SDN環(huán)境的軟件定義安全架構(gòu)[J].計算機科學與探索，2015，9（1）：63-70.

[7] 劉文懋.SDN網(wǎng)絡(luò)的新型安全架構(gòu)和實踐[EB/OL].http：//labs.chinamobile.com/news/107911， 2014-08-15.