SDN网络安全架构的研究
2020-10-09唐国纯
摘 要: 软件定义网络(SDN)是一种新型网络架构。它实现了传统网络架构中网络管理功能的集中,使得SDN中的安全问题呈现出其特有的特点。本文在研究SDN控制器的基础上,系统梳理了SDN技术在安全方面所面临的威胁,给出了一种增强SDN安全的改进型的SDN架构,期望能对SDN的安全控制提供一定的参考作用。
关键词: SDN;安全架构;安全威胁
中图分类号: TP311 文献标识码: A DOI:10.3969/j.issn.1003-6970.2020.08.003
本文著录格式:唐国纯. SDN网络安全架构的研究[J]. 软件,2020,41(08):10-13
【Abstract】: Software Defined Network (SDN) is a new network architecture. It realizes the concentration of network management functions in the traditional network architecture, and at the same time makes the security issues of SDN present its unique characteristics. Based on the study of SDN controllers, this paper systematically analyzes the security threats faced by SDN technology, and presents an improved SDN architecture that enhances SDN security. It is expected to provide a certain reference for the security control of SDN.
【Key words】: SDN; Security architecture; Security threats
0 引言
SDN(software defined Networking)体系結构实现了传统结构中对网络资源视图的全局管控。它提升了网络资源交付能力,是传统网络体系结构的革命性创新。该创新在带来管理和运营上的方便的同时也让SDN面临特殊的安全威胁。SDN控制能力的集中使得控制器的安全性和性能成为整个网络的瓶颈。相较传统网络设备的封闭特性,SDN的开放接口引起的网络攻击会招致SDN在安全方面的薄弱性。本文在研究SDN控制器的基础上,系统梳理了SDN技术面对的安全问题,给出了一种增强SDN安全的改进型的SDN架构,期望能对SDN的安全控制提供一定的参考作用。
1 SDN控制器
控制器是SDN体系结构的中枢,通过南向接口协议管理底层网络交换设备,监控状态,转发决策,处理和调度数据平面的流量,通过北向接口向上层应用开放灵活的编程能力[1-4]。其体系架构如图1所示。
图1展示了控制器设计的多层结构,应重点关注三个方面。其分别为南向技术,北向技术以及东西向的可拓展性设计。
1.1 南向技术
南向技术重点涉及由南向接口协议进行链路发现、拓扑管理、策略制定和表项下发等[5-6]。①链路发现:指控制器依据链路层发现协议LLDP(Link Layer Discovery Protocol),把网络资源设备的所有信息(能力、地址和标识等)构建成一连串的TLV(Type/Length/ Value),封装为LLDPDU报文发给其直连邻居。邻居获得信息后以MIB(Management Information Base)的方式存储,管控系统可利用其分析链路的通信状态。②拓扑管理:其重要功能是动态实时监视和收集SDN交换机的信息,反馈设备的工作和链路状态[7]。③决策:由SDN控制器根据具体的网络传输要求拟订。可依据转发策略产生与之关联的流表项,然后下发给交换机。相较传统网络,SDN设计的长处是利用整体网络资源视图组织实施更佳的策略。④表项下发:分主动和被动两种方式[8]。主动表项下发为流表项在数据传输之前分配,交换机懂得数据包抵达时怎么转发;被动表项下发指交换机取得第一个没有与之匹配流表项的数据包时,数据包被转发给控制器处置。待SDN控制器明确处理后,然后把与之关联的流程表项转发给交换机处理。
1.2 北向技术
SDN北向技术实质为控制器向上层业务应用程序开放接口。其宗旨是让应用程序可以方便地按需使用底层网络资源。网络业务开发人员通过北向接口,以软件编程的方式对整个网络的资源状态进行全局管控[9-10]。
1.3 东西向拓展
SDN控制器承担着整体网络资源的全局管控,对提高网络资源的交付效率起着极其关键作用。但控制能力集中的同时也使其安全性和性能问题变成全网的束缚[11-12]。此外,单控制器不能解决多区域的SDN网络情况。东西扩展接口可以构成基于SDN控制器的分布式集群。
2 SDN安全威胁
SDN安全的特殊性与SDN的集中开放管理密切相关。SDN管理的集中统一使得网络的配置、服务访问控制、安全服务部署等都集中在控制器上[13]。黑客如果取得控制器权限会瘫痪大量网络服务,导致控制器不能对全网覆盖。此外,SDN的开放性也泄漏了控制器的安全漏洞和策略不完全性等问题,容易受到DDoS、蠕虫病毒等方面的攻击。结合以上描述,可以得出SDN 网络安全重点涉及七个方面。分别是应用层安全,北向通道安全,控制层安全,南向通道安全,数据层安全,东西通道安全和策略安全。下面从这几个方面分别对SDN安全威胁进行了梳理[14-25]。SDN应用层和北向通道安全威胁如表1所示。
SDN控制层安全威胁如表2所示。
SDN南向通道和数据层安全如表3所示。
用层供给了开放的可编程接口。如果在SDN架构的基础上,增加一个包含应用层安全,北向通道安全,控制层安全,南向通道安全,数据层安全,东西通道安全和策略安全SDN的安全引擎构件,自动阻止接口滥用,可高效提升SDN安全性,如图2所示。
SDN的安全引擎结构如图3所示。
此外,该SDN的安全引擎设计主要包括SDN安全模型和SDN安全智能识别两部分。SDN安全模型重点是对SDN各层和策略建立安全模型。SDN安全智能识别重点是采用大数据和人工智能技术建立智能安全识别机制,包括SDN漏洞库、SDN威胁特征数据库、SDN黑客行为数据库,SDN评估模型、SDN监测模型、SDN诊断模型和SDN主动防御反攻击模型。SDN安全智能识别可根据各网络、系统和应用的运行数据,自动进行采集分析和捕获,自动添加新的SDN漏洞、威胁特征和黑客行为等。SDN安全智能识别针对SDN各层安全模型,对运行的海量的数据经过多维度的整合分析,依据SDN的评估模型、监测模型和诊断模型进行全部网络的安全监测,提前发现SDN控制器开放接口产生各种攻击行为,主动防御各种安全威胁,同时对经常进行全网发起攻击的黑客实施智能反攻击,先提出警告,对不听的告诫者,利用SDN主动防御反攻击模型瘫痪对方的攻击系统和网络设备,使其放弃攻击行为。在具体实现上,可依据本体和Web语义技术构建SDN安全模型和SDN安全智能识别模型,同时依据本体和Web语义技术,构建SDN安全的服务质量QOS模型,利用大数据和人工智能算法开展SDN的安全评估、SDN的监测和SDN的故障诊断。
4 结束语
本文在研究SDN控制器的基础上,结合相关学者的前期研究成果,系统梳理了SDN技术面对的安全问题,给出了一种增强SDN安全的改进型的SDN架构,期望能对SDN的安全控制提供一定的参考作用。
参考文献
[1] 严敏瑞. 软件定义网络中的ARP攻击解决方法研究[D]. 西安电子科技大学, 2017.
[2] 殷波, 张云勇, 王志军, 等. 基于SDN的数据中心网络技术研究[J]. 信息通信技术, 2015, 9(01): 29-33.
[3] 孫雪松. 基于SDN负载均衡技术的研究与实现[D]. 北京邮电大学, 2017.
[4] 邹鑫清, 吕娜, 陈柯帆, 等. 一种新型机载战术网络下的内容驱动路由协议[J]. 计算机工程, 2019, 45(08): 113-119.
[5] 孔倩. 基于OpenFlow的链路容错机制的研究与设计[D]. 华东师范大学, 2015.
[6] 王黎, 潘桉卿, 田少鹏. 软件定义网络(SDN)控制器技术与应用[J]. 指挥信息系统与技术, 2015, 6(04): 81-85.
[7] 郭安东. 基于SDN架构的空间信息网络路由算法的研究[D]. 北京邮电大学, 2018.
[8] 付健. 基于SDN的应用编程接口技术研究与实现[D]. 南京邮电大学, 2015.
[9] 郁陈焙. 软件定义分组增强型光传送网的生存性技术研究[D]. 北京邮电大学, 2017.
[10] 李可. 广域网SDN控制器关键技术的研究与实现[D]. 北京邮电大学, 2016.
[11] 胡滢. 软件定义网络节能技术研究[D]. 北京邮电大学, 2017.
[12] 卞宇翔. SDN故障监测和恢复技术的研究与实现[D]. 南京邮电大学, 2017.
[13] 王淑玲, 李济汉, 张云勇, 房秉毅. SDN架构及安全性研究[J]. 电信科学, 2013, 29(03): 117-122.
[14] 戴彬, 王航远, 徐冠, 等. SDN安全探讨: 机遇与威胁并存[J]. 计算机应用研究, 2014, 31(08): 2254-2262.
[15] 王丽娜, 王斐, 刘维杰. 面向SDN的安全威胁及其对抗技术研究[J]. 武汉大学学报(理学版), 2019, 65(02): 153-164.
[16] 池亚平, 余宇舟, 杨建喜. 基于深度学习的SDN恶意应用的检测方法[J]. 计算机工程与设计, 2019, 40(08): 2134-2139.
[17] 陈天骄, 刘江, 黄韬. 人工智能在网络编排系统中的应用[J]. 电信科学, 2019, 35(05): 9-16.
[18] 杨盾, 王小鹏. 应对DDoS攻击的SDN网络安全特性研究[J]. 软件, 2018, 39(03): 175-180.
[19] 常甫, 郑世慧, 孙斌. OpenFlow交换机远程配置管理系统[J]. 软件, 2019, 40(01): 1-7.
[20] 张宁, 刘军, 张书林, 等. 基于OpenFlow的电力企业数据中心研究[J]. 软件, 2018, 39(12): 77-82.
[21] 刘强. 人工智能在计算机网络技术中的实践与探索[J]. 软件, 2018, 39(11): 242-245.
[22] 赵志伟. 智能化规则引擎技术研究[J]. 软件, 2018, 39(8): 65-69.
[23] 李平舟, 赵朗程. 基于BP神经网络的国家稳定性研究[J]. 软件, 2018, 39(6): 142-146.
[24] 黄堃. 基于计算机网络技术的计算机网络信息安全及其防护策略分析[J]. 软件, 2018, 39(6): 139-141.
[25] 李红辉, 关婷婷, 杨芳南. 云计算平台状态监控技术研究与应用[J]. 软件, 2018, 39(01): 09-13.