李建新

（中国电信股份有限公司宁夏分公司网络监控维护中心，银川 750001）

1 引言

2007年，斯坦福大学的教授提出了SANE网络体系结构和Ethane网络体系结构[1]，同时，为了使得企业内部网络安全管理随着科技的发展而不断进步，这种网络体系结构就应运而生，这种网络架构凭借自身的技术优势和有效增强的技术，被称为网络定义软件，即网络体系结构作为传统的网络体系结构的替代品，有效地解决了当前和未来的网络爆炸对网络技术变革的需求。而在目前，随着网络安全事件的不断发生，SDN网络体系结构和技术的不断地发展，人们意识到网络安全问题应得到足够的重视。近年来，许多学者对SDN网络的安全需求和安全需求的实现进行了研究[2]。

2 SDN安全性简介

2.1 SANE架构

SANE是初期提出的一个比较理想化的网络架构，这个网络原型只运行了一个月。SANE网络架构中有一个集中控制器，内部的交换机和主机都要根据控制需要进行改造，才能支持这种网络架构的正常运行，SANE网络架构如图1所示。

图1 SANE的架构和流程

集中控制器可以实现认证网元、解析域名、全网拓扑学习和权能生成功能，权能是SANE中的一种数据类型，指的是经过加密的通信路径信息。如图1所示，首先，客户机A和服务器B都要先在集中控制器处进行认证，从而获得密钥；随后，服务器B向集中控制器发布服务，客户机A允许被访问；接着，客户机A向集中控制器请求访问服务器B，集中控制器计算通信路径，将计算结果和权能返回给客户机A；最后，客户机A就能访问服务机B，每次权能有效时长为几分钟，如果客户机A要再次对服务机B进行访问，则需要重新申请权能。综上所述，SANE网络架构的数据传输效率和处理效率都比较低，不适合实际应用，所以就有学者提出了Ethane网络架构。

2.2 Ethane架构

相比于SANE网络架构，Ethane是一个更适合实际应用的网络安全管理网络架构，不同于SANE网络架构中将控制报文头加密进行横向传输，Ethane网络架构是将加密控制信息进行纵向传输，也就是集中控制器和交换机之间使用安全信道来传输控制信息。Ethane网络架构中的集中控制器可以实现网元和用户认证、检查通行许可、通信路径计算、交换机管理功能。Ethane网络架构并不要求使用规定的认证方法，也不需要交换机检查权能，相比之下传输效率会更高，更适合实际应用。

2.3 SDN架构

和上述两种网络架构相比，SDN网络架构具有更好的扩展性，支持更加灵活的网络部署方案、能实现更加精细高效的数据流控制。SDN网络架构支持对网络设备进行集中、自动化管理以及统一策略执行，相比之下更为安全。除此之外，利用SDN集中控制器的API方式可以将传统的网络安全应用集成到SDN网络构架中。

图2 SDN架构

综上所述，SDN网络架构构建了一个平台，可以提供网络安全服务来保证网络安全。当前的研究均认为，现有的网络安全技术完全可以满足SDN网络架构的安全需求，但是具体如何实施还在研究之中。

3 SDN的安全需求

一些研究人员认为，SDN网络体系结构的安全需求主要集中在应用和控制层面，一般用于授权、认证控制层和基础设施层，由于只有一个交换机和一个集中控制器，安全管理相对容易，现有控制方案的接口经过一定改造后可以满足网络架构的安全要求。如果交换机和控制器较多，网络安全管理就比较复杂，应充分考虑控制器之间的权限和控制器对交换机的访问控制，而现有控制方案的接口无法满足这种情况下的安全需求，如何在SDN网络体系结构中实现传统的网络安全应用，如访问控制、防火墙、入侵检测和防御等，是值得研究的。安全应用应该在SDN网络的体系结构中实现，与上述两种网络体系结构相比，SDN网络体系结构可以降低成本，更灵活地实现一些传统的应用，甚至开发新的网络安全应用。

4 基于SDN架构的入侵检测方案

基于SDN架构的新型入侵检测方案中，包括两层入侵检测系统，如图3所示。

图3 基于SDN架构的入侵检测架构

Centernode入侵分析模块由数据采集模块、数据分析模块等多个子模块组成，通常采用中心监控模式对逻辑子网中的数据进行监控和分析。

数据分析模块是Centernode的核心。由于WSN节点以相同的频率发送数据，因此，在同一时间段内收集的数据量应该相等。

①子网中的每个节点都将收集到的信息发送到Centernode，因此，从节点Centernode接收到的数据总量在同一时期不会有太大的变化。此时，可以计算一次中心节点处的最大值。如果计算出的Hurst值在0.5到1之间，可以说数据流模型符合自相似特性，然后可以判断逻辑节点入侵有没有发生在相应的子网中。如果Hurst值不在0.5到1的范围内，则一个或多个节点在子网中可能会被入侵。

②在子网中，Centernode计算每个节点发送的数据流量的Hurst值，以确定哪个节点受到了入侵。

③Centernode以两种方式响应入侵：被动响应和主动响应。被动响应通常包括报警、修改网络日志和向上层发送信息。主动响应在处理入侵时更有效，包括切断入侵源和中断当前进程。为了减少入侵造成的逻辑子网损失，当入侵者数量较少时，Centernode可以隔离这些节点。如果有更多的入侵者，Centernode必须更改本地网络的拓扑结构并动态更改数据流传输协议。

④在基于SDN体系结构的无线传感器网络入侵检测系统中，Masternode可以提供用户界面，具有很强的可编程性和可扩展性。用户可以根据网络情况实现自定义的检测规则和实时检测算法。Masternode支持整个WSN网络的通信管理、逻辑控制和数据融合三重功能，是入侵检测系统的逻辑控制中心。插入网络的中心节点，将把每个逻辑子网络的信息返回给主节点。主节点中的逻辑控制模块、响应模块、分析模块和通信模块共同完成对信息的综合分析和评价。Masternode将遵循Centprederno算法基于定义的检测策略，首先计算接收到的总数据流的Hurst值，以确定逻辑子网是否被入侵。如果逻辑子网已被入侵，入侵检测将被传递到逻辑子网。逻辑子网根据中心的入侵检测模式执行检测算法。

5 结语

综上所述，在当今的时代，一定要对网络的安全性予以高度的重视，本文对SDN网络安全架构进行了分析，探讨了SDN的安全需求和实现措施，希望能给相关工作的开展提供一定的理论参考。