基于软件定义通信网络的技术与安全体系分析
2022-03-19钱富
◆钱富
基于软件定义通信网络的技术与安全体系分析
◆钱富
(海装驻杭州地区军代室浙江 浙江 310000)
本文主要基于软件定义通信网络,深入分析网络安全体系构建,同时总结企业内网应用经验,建设系统化技术体系,为实践应用提供参考。
软件定义通信网络;技术;安全体系
早期软件定义网络,构建了数据与控制分离软件定义网络架构,利用软件方式,编程网络控制,为安全解决方案提供处理思路,有效处理网络边界模糊、云数据中心流量监控难度大、安全按需交付、管理边界定义难问题。各研究机构、生产厂家参与软件定义网络研发,相应扩展了软件定义网络体系结构,且网络开放性、控制灵活性、运维高效性优势显著。研发深度持续加大,人们开始关注到安全问题。本文基于应用层、控制层,深入分析软件定义网络安全隐患,提出安全技术框架,为技术研究提供理论依据。
1 软件定义网络体系架构
按照ONF发布的软件定义网络白皮书,将软件定义网络划分为控制层、应用层、基础设施等框架。其中,应用层组成包括业务应用。控制层组成包括软件定义网络控制软件,负责维护拓扑信息、网络状态,科学编排处理数据平面。基础设施层涉及网络设备简化,负责收集流表状态,处理和转发数据等。从本质上看,软件定义网络具备控制、转发、分离功能;设备资源虚拟化功能;软件与硬件可编程功能,确保网络控制精细度,使管理复杂度降低,以此加强网络创新能力,还可以优化用户体验。
图1 软件定义网络应用框架
2 软件定义网络安全体系
软件定义网络安全体系,涉及应用层、控制层、数据转发层,必须关注每个层次网络威胁问题,同时提出科学化应对对策,图2为软件定义网络结构图。
图2 软件定义网络结构图
2.1 应用层
对于系统应用层,涉及到大量软件定义网络控制器接口,具备较高开放性,极易出现接口风险。由于应用授权机制成熟度不足,若攻击者利用漏洞隐患,将会导致接口攻击,恶意安装应用等。同时,策略冲突检测机制不成熟,应用程序所提供的流量策略,极易产生相互影响,从而丧失安全防护效果。
对于上述安全威胁,采用以下措施予以处理:首先,NICE方案:围绕事件处理程序、执行模型,做好强制检查,准确定位区块链技术平台,获取未修改控制器状态、空间。通过相关实践可知,在软件定义网络安全程序中,可以准确识别错误,具备显著应用优势。其次,Flover方案:通过断言集,对流策略予以验证,可以有效检查模型。借助NOX、YicesSMTsolver实现,对网络运行安全性进行检查。此外,技术能够实现批量化处理,加快控制器响应速度。NetPlumber,是关键策略检测方案,可以围绕网络变量增减,对网络一致性状态进行监控。Flover方案注重分析报头空间,借助项项子图,进行增量计算,注重网络状态验证。
2.2 控制层
在软件定义网络中,注重应用集中式软件控制器,由于采用集中式过程管理模式,借助控制器,完成网络配置、访问控制、网络安全部署等,会产生单点失效风险,主要涉及以下几种:第一,控制器稳定性、可靠性风险;第二,对于AAPT,会对集中控制方式产生攻击影响。如果出现攻击影响,将会加剧网络瘫痪。第三,集中式管理,极易受到DoS、DDoS攻击影响。第四,由于网络具备开放性特点,从而会产生网络监听、网络攻击风险。由于软件定义网络布设在通用服务器、计算机服务器上,因此控制器会加剧操作系统安全风险。
2.3 数据转发层
转发层位于软件定义网络底层,涉及到大量交换机,对数据包予以转发处理。对于交换器,能够为终端用户提供网络访问窗口,同时在交换器端口附加攻击链。对交换机安全性危害较大。转发层安全威胁比较多,涉及DoS攻击、中间人攻击,本文以中间人攻击为例分析。
第一,安全威胁:控制器、交换机运行中,会出现中间人攻击,为常见网络入侵方式。向源节点、目标节点间,通过代理节点,有效拦截和篡改通信数据,不能对过程予以检查。中间人攻击,牵扯到端口镜像、DNS欺骗、会话劫持等,在通信数据中的作用显著,且攻击方式简便。控制数据包转发之后,入侵者会进一步攻击系统。
第二,处理措施:当前,在处理中间人攻击时,需要将安全通道设置在控制器、交换机之间,通过安全传输层协议,有效保护数据通信。部分技术人员提出,通过FlowChecker,可以有效性处理上述问题,并且采集交换机模型。通过二进制决策图纸、模型检查技术,能够分析和验证配置执行情况,找寻出交换机内部配置措施。此外,FortNOX能够提供安全强化策略,基于身份验证、角色授权等,通过创新算法,可以找寻出规律冲突。由于算法具备较强鲁棒性,在遭受恶意攻击后,也可以发挥出功能作用。控制器、交换机,可以借助VeriFlow作为中间层,动态监测网络变量。当插入新规则,则开展Mininet实验。
3 软件定义网络具体应用
3.1 案例背景
某企业应用虚拟化技术、软件定义网络技术,作为专网建设技术,该企业内网规模非常大,管理难度高,且部分结构较为复杂。在网络体系中,节点数可以达到数千个。开展网络管理时,注重网络运行效率、安全防护管控。为了实现网络性能,企业注重业务发展,相应增加网络数据流体量。
3.2 优化方案设计
按照上述应用背景,将虚拟化技术、软件定义网络技术应用到专网设计中,可以建设高安全度、良好性能的网络架构。利用虚拟化技术,优化整合企业网络、终端软件、硬件资源,同时建立虚拟化网络、硬件资源库。注重网络重新规划,合理应用各类资源。融入软件定义网络技术,可以消除传统网络结构不足,确保数据转发层、控制层的独立状态,采用集中控制模式,改变网络拓扑结构。
3.3 安全体系
由于软件定义网络技术具备安全性,在优化设计企业专网时,建立软件定义网络安全体系,充分发挥出软件定义网络技术优势。第一,安全监测:安全检测模块,可以监测蠕虫、僵尸网络、DDoS攻击。该模块能够有效检测安全风险。深度挖掘安全风险,准确识别和判断风险类型。第二,DDoS检测:检测模块应用软件定义网络技术集中控制特点,通过流表统计法,高效采集攻击数据,通过静态流表方式,快速响应DDoS攻击。第三,网络监控:网络监控内容,牵扯到利用率、网络延时、安全开发、吞吐量。通过控制器,对网络行为进行分析,如果出现异常问题,及时提出报警指令,隔离异常点。在应用层,注重安全服务准则控制,则判断控制器接口、服务、应用安全性,同时确定异常应用,纳入到非法应用中。此外,利用可编程接口,能够有效控制和排除安全风险,加强控制器安全风险等级。第四,入侵检测系统/入侵防御系统:通过入侵检测系统,能够对网络范围进行划分。根据虚拟机迁移,对技术方案进行调整,安装静态流表,提升响应速度。
4 结束语
综上所述,软件定义网络属于新型网络体系,可以改善传统网络结构不足,消除安全防护单一、扁平化问题。软件定义网络可以提升网络安全等级,使运维管理难度降低,值得推广应用。
[1]向敏,饶华阳,张进进,等.基于图卷积神经网络的软件定义电力通信网络路由控制策略[J]. 电子与信息学报,2021,43(02):388-395.
[2]安进朝.基于软件定义网络的技术与安全体系探索[J].网络安全技术与应用,2021,25(01):6-7.
[3]严兰婷,曲至诚,张更新. 软件定义网络在卫星通信网络中的应用研究[C]. 中国通信学会卫星通信委员会、中国宇航学会卫星应用专业委员会. 第十六届卫星通信学术年会论文集.中国通信学会卫星通信委员会、中国宇航学会卫星应用专业委员会:中国通信学会,2020:137-143.
[4]李水宏,洪江. 软件定义网络(SDN)技术在现有通信网管中的应用与挑战[J]. 通讯世界,2019,26(07):168-169.
[5]李赛飞,闫连山,李洪赭,等.铁路通信网络安全的分析测试与可信防御研究[J]. 西南交通大学学报,2018,53(06):1130-1136+1149.
[6]季佳华.基于软件定义网络的技术与安全体系研究[J].网络安全技术与应用,2017,20(11):36-37.
[7]杨阳,汪玉成,吕玉祥,等.基于软件定义的电力通信网络业务感知流量调度机制研究[J]. 自动化与仪器仪表,2017,36(08):146-149.
[8]邝瑶. 基于流规则的软件定义网络安全技术及算法研究[D]. 重庆邮电大学,2018.
[9]董美霞. 通信体系构建过程中的软件定义网络研究[J]. 通信电源技术,2020,196(04):198-199.
[10]朱良海,张义超,袁震. 构建基于SDP技术的网络安全体系[J]. 网络安全和信息化,2019,000(012):109-112.