李建新

【摘 要】論文以SDN為主要研究對象，主要介紹了SANE架構(gòu)、Ethane架構(gòu)和SDN架構(gòu)，分析了SDN架構(gòu)的安全需求，針對SDN的安全需求提出相應(yīng)的安全需求實(shí)現(xiàn)措施。

【Abstract】The paper focuses on SDN， mainly introduces SANE architecture， Ethane architecture and SDN architecture， analyzes the security requirements of SDN architecture， and puts forward corresponding security requirements implementation measures for SDN security requirements.

【關(guān)鍵詞】SDN;安全需求;安全實(shí)現(xiàn)

【Keywords】SDN; security requirements; security implementation

【中圖分類號】TP393? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文獻(xiàn)標(biāo)志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文章編號】1673-1069（2019）10-0173-02

1 引言

2007年，斯坦福大學(xué)的教授提出了SANE網(wǎng)絡(luò)體系結(jié)構(gòu)和Ethane網(wǎng)絡(luò)體系結(jié)構(gòu)[1]，同時，為了使得企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理隨著科技的發(fā)展而不斷進(jìn)步，這種網(wǎng)絡(luò)體系結(jié)構(gòu)就應(yīng)運(yùn)而生，這種網(wǎng)絡(luò)架構(gòu)憑借自身的技術(shù)優(yōu)勢和有效增強(qiáng)的技術(shù)，被稱為網(wǎng)絡(luò)定義軟件，即網(wǎng)絡(luò)體系結(jié)構(gòu)作為傳統(tǒng)的網(wǎng)絡(luò)體系結(jié)構(gòu)的替代品，有效地解決了當(dāng)前和未來的網(wǎng)絡(luò)爆炸對網(wǎng)絡(luò)技術(shù)變革的需求。而在目前，隨著網(wǎng)絡(luò)安全事件的不斷發(fā)生，SDN網(wǎng)絡(luò)體系結(jié)構(gòu)和技術(shù)的不斷地發(fā)展，人們意識到網(wǎng)絡(luò)安全問題應(yīng)得到足夠的重視。近年來，許多學(xué)者對SDN網(wǎng)絡(luò)的安全需求和安全需求的實(shí)現(xiàn)進(jìn)行了研究[2]。

2 SDN安全性簡介

2.1 SANE架構(gòu)

SANE是初期提出的一個比較理想化的網(wǎng)絡(luò)架構(gòu)，這個網(wǎng)絡(luò)原型只運(yùn)行了一個月。SANE網(wǎng)絡(luò)架構(gòu)中有一個集中控制器，內(nèi)部的交換機(jī)和主機(jī)都要根據(jù)控制需要進(jìn)行改造，才能支持這種網(wǎng)絡(luò)架構(gòu)的正常運(yùn)行，SANE網(wǎng)絡(luò)架構(gòu)如圖1所示。

集中控制器可以實(shí)現(xiàn)認(rèn)證網(wǎng)元、解析域名、全網(wǎng)拓?fù)鋵W(xué)習(xí)和權(quán)能生成功能，權(quán)能是SANE中的一種數(shù)據(jù)類型，指的是經(jīng)過加密的通信路徑信息。如圖1所示，首先，客戶機(jī)A和服務(wù)器B都要先在集中控制器處進(jìn)行認(rèn)證，從而獲得密鑰;隨后，服務(wù)器B向集中控制器發(fā)布服務(wù)，客戶機(jī)A允許被訪問;接著，客戶機(jī)A向集中控制器請求訪問服務(wù)器B，集中控制器計算通信路徑，將計算結(jié)果和權(quán)能返回給客戶機(jī)A;最后，客戶機(jī)A就能訪問服務(wù)機(jī)B，每次權(quán)能有效時長為幾分鐘，如果客戶機(jī)A要再次對服務(wù)機(jī)B進(jìn)行訪問，則需要重新申請權(quán)能。綜上所述，SANE網(wǎng)絡(luò)架構(gòu)的數(shù)據(jù)傳輸效率和處理效率都比較低，不適合實(shí)際應(yīng)用，所以就有學(xué)者提出了Ethane網(wǎng)絡(luò)架構(gòu)。

2.2 Ethane架構(gòu)

相比于SANE網(wǎng)絡(luò)架構(gòu)，Ethane是一個更適合實(shí)際應(yīng)用的網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)架構(gòu)，不同于SANE網(wǎng)絡(luò)架構(gòu)中將控制報文頭加密進(jìn)行橫向傳輸，Ethane網(wǎng)絡(luò)架構(gòu)是將加密控制信息進(jìn)行縱向傳輸，也就是集中控制器和交換機(jī)之間使用安全信道來傳輸控制信息。Ethane網(wǎng)絡(luò)架構(gòu)中的集中控制器可以實(shí)現(xiàn)網(wǎng)元和用戶認(rèn)證、檢查通行許可、通信路徑計算、交換機(jī)管理功能。Ethane網(wǎng)絡(luò)架構(gòu)并不要求使用規(guī)定的認(rèn)證方法，也不需要交換機(jī)檢查權(quán)能，相比之下傳輸效率會更高，更適合實(shí)際應(yīng)用。

2.3 SDN架構(gòu)

和上述兩種網(wǎng)絡(luò)架構(gòu)相比，SDN網(wǎng)絡(luò)架構(gòu)具有更好的擴(kuò)展性，支持更加靈活的網(wǎng)絡(luò)部署方案、能實(shí)現(xiàn)更加精細(xì)高效的數(shù)據(jù)流控制。SDN網(wǎng)絡(luò)架構(gòu)支持對網(wǎng)絡(luò)設(shè)備進(jìn)行集中、自動化管理以及統(tǒng)一策略執(zhí)行，相比之下更為安全。除此之外，利用SDN集中控制器的API方式可以將傳統(tǒng)的網(wǎng)絡(luò)安全應(yīng)用集成到SDN網(wǎng)絡(luò)構(gòu)架中。

綜上所述，SDN網(wǎng)絡(luò)架構(gòu)構(gòu)建了一個平臺，可以提供網(wǎng)絡(luò)安全服務(wù)來保證網(wǎng)絡(luò)安全。當(dāng)前的研究均認(rèn)為，現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)完全可以滿足SDN網(wǎng)絡(luò)架構(gòu)的安全需求，但是具體如何實(shí)施還在研究之中。

3 SDN的安全需求

一些研究人員認(rèn)為，SDN網(wǎng)絡(luò)體系結(jié)構(gòu)的安全需求主要集中在應(yīng)用和控制層面，一般用于授權(quán)、認(rèn)證控制層和基礎(chǔ)設(shè)施層，由于只有一個交換機(jī)和一個集中控制器，安全管理相對容易，現(xiàn)有控制方案的接口經(jīng)過一定改造后可以滿足網(wǎng)絡(luò)架構(gòu)的安全要求。如果交換機(jī)和控制器較多，網(wǎng)絡(luò)安全管理就比較復(fù)雜，應(yīng)充分考慮控制器之間的權(quán)限和控制器對交換機(jī)的訪問控制，而現(xiàn)有控制方案的接口無法滿足這種情況下的安全需求，如何在SDN網(wǎng)絡(luò)體系結(jié)構(gòu)中實(shí)現(xiàn)傳統(tǒng)的網(wǎng)絡(luò)安全應(yīng)用，如訪問控制、防火墻、入侵檢測和防御等，是值得研究的。安全應(yīng)用應(yīng)該在SDN網(wǎng)絡(luò)的體系結(jié)構(gòu)中實(shí)現(xiàn)，與上述兩種網(wǎng)絡(luò)體系結(jié)構(gòu)相比，SDN網(wǎng)絡(luò)體系結(jié)構(gòu)可以降低成本，更靈活地實(shí)現(xiàn)一些傳統(tǒng)的應(yīng)用，甚至開發(fā)新的網(wǎng)絡(luò)安全應(yīng)用。

4 基于SDN架構(gòu)的入侵檢測方案

基于SDN架構(gòu)的新型入侵檢測方案中，包括兩層入侵檢測系統(tǒng)，如圖3所示。

Centernode入侵分析模塊由數(shù)據(jù)采集模塊、數(shù)據(jù)分析模塊等多個子模塊組成，通常采用中心監(jiān)控模式對邏輯子網(wǎng)中的數(shù)據(jù)進(jìn)行監(jiān)控和分析。

數(shù)據(jù)分析模塊是Centernode的核心。由于WSN節(jié)點(diǎn)以相同的頻率發(fā)送數(shù)據(jù)，因此，在同一時間段內(nèi)收集的數(shù)據(jù)量應(yīng)該相等。

①子網(wǎng)中的每個節(jié)點(diǎn)都將收集到的信息發(fā)送到Centernode，因此，從節(jié)點(diǎn)Centernode接收到的數(shù)據(jù)總量在同一時期不會有太大的變化。此時，可以計算一次中心節(jié)點(diǎn)處的最大值。如果計算出的Hurst值在0.5到1之間，可以說數(shù)據(jù)流模型符合自相似特性，然后可以判斷邏輯節(jié)點(diǎn)入侵有沒有發(fā)生在相應(yīng)的子網(wǎng)中。如果Hurst值不在0.5到1的范圍內(nèi)，則一個或多個節(jié)點(diǎn)在子網(wǎng)中可能會被入侵。

②在子網(wǎng)中，Centernode計算每個節(jié)點(diǎn)發(fā)送的數(shù)據(jù)流量的Hurst值，以確定哪個節(jié)點(diǎn)受到了入侵。

③Centernode以兩種方式響應(yīng)入侵：被動響應(yīng)和主動響應(yīng)。被動響應(yīng)通常包括報警、修改網(wǎng)絡(luò)日志和向上層發(fā)送信息。主動響應(yīng)在處理入侵時更有效，包括切斷入侵源和中斷當(dāng)前進(jìn)程。為了減少入侵造成的邏輯子網(wǎng)損失，當(dāng)入侵者數(shù)量較少時，Centernode可以隔離這些節(jié)點(diǎn)。如果有更多的入侵者，Centernode必須更改本地網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)并動態(tài)更改數(shù)據(jù)流傳輸協(xié)議。

④在基于SDN體系結(jié)構(gòu)的無線傳感器網(wǎng)絡(luò)入侵檢測系統(tǒng)中，Masternode可以提供用戶界面，具有很強(qiáng)的可編程性和可擴(kuò)展性。用戶可以根據(jù)網(wǎng)絡(luò)情況實(shí)現(xiàn)自定義的檢測規(guī)則和實(shí)時檢測算法。Masternode支持整個WSN網(wǎng)絡(luò)的通信管理、邏輯控制和數(shù)據(jù)融合三重功能，是入侵檢測系統(tǒng)的邏輯控制中心。插入網(wǎng)絡(luò)的中心節(jié)點(diǎn)，將把每個邏輯子網(wǎng)絡(luò)的信息返回給主節(jié)點(diǎn)。主節(jié)點(diǎn)中的邏輯控制模塊、響應(yīng)模塊、分析模塊和通信模塊共同完成對信息的綜合分析和評價。Masternode將遵循Centprederno算法基于定義的檢測策略，首先計算接收到的總數(shù)據(jù)流的Hurst值，以確定邏輯子網(wǎng)是否被入侵。如果邏輯子網(wǎng)已被入侵，入侵檢測將被傳遞到邏輯子網(wǎng)。邏輯子網(wǎng)根據(jù)中心的入侵檢測模式執(zhí)行檢測算法。

5 結(jié)語

綜上所述，在當(dāng)今的時代，一定要對網(wǎng)絡(luò)的安全性予以高度的重視，本文對SDN網(wǎng)絡(luò)安全架構(gòu)進(jìn)行了分析，探討了SDN的安全需求和實(shí)現(xiàn)措施，希望能給相關(guān)工作的開展提供一定的理論參考。

【參考文獻(xiàn)】

【1】施江勇，楊岳湘，李文華，等.基于SDN的云安全應(yīng)用研究綜述[J].網(wǎng)絡(luò)與信息安全學(xué)報，2017，3（05）：10-25.

【2】齊宇.SDN安全研究[J].信息網(wǎng)絡(luò)安全，2016（09）：69-72.