基于SDN的物聯網安全架構研究

于笑　趙金峰　張瀾

隨著物聯網技術的廣泛應用，大量的RFID和無線傳感器需要接入網絡，海量的關鍵信息數據需要通過網絡傳遞，使得物聯網相比較傳統網絡對網絡安全提出了更高的要求，因此提出了一種基于SDN的物聯網安全架構，利用SDN技術控制與轉發相分離、網絡虛擬化等特點，整合網絡安全資源，從網絡全局角度分析安全風險、執行安全策略，將物聯網各層面的安全問題進行集中分析處理，簡化物聯網末端安全設施的部署。在給出基于SDN的物聯網安全架構基礎上，分析介紹了應用層、控制層、感知層的安全模塊和安全策略，最后給出了下一步開展研究工作的重點和方向。

SDN 物聯網 網絡安全 安全策略

1 引言

物聯網概念于1999年由美國麻省理工學院Auto-ID中心的Kevin Ashton教授[1]首次提出，它是指通過射頻識別（RFID，Radio Frequency Identification Technology）、紅外傳感器、全球定位系統、激光掃描器等信息傳輸設備，按約定的協議，把任何物品與互聯網連接起來進行信息交互，以實現智能識別、定位、跟蹤、監控、和管理的一種網絡。物聯網實際上是物物相連的互聯網，它是在互聯網基礎上的延伸和拓展。通過物聯網，任何物品可以相互連接，進行信息交換和通訊。當前，物聯網技術正在蓬勃發展，小到智能家居，大到智慧地球，各行各業都在發展和利用物聯網技術、物聯網概念[2]。隨著物聯網用戶和終端的高速增長，基礎設施和網絡結構面臨著巨大的挑戰，網絡的結構、協議、安全及管理等變得日趨復雜。由于物聯網末端傳感網絡規模龐大，部署環境復雜多樣，以及物聯網用戶缺乏專業能力，確保數十億物聯網設備的網絡安全已經變得越來越困難。傳統的安全機制如防病毒、網絡代理機制等，不足以解決物聯網網絡[3]所帶來的網絡安全挑戰。

SDN技術的運用為解決物聯網面臨的網絡安全問題提供了一種創新的解決途徑。SDN技術由斯坦福大學的研究機構[4]首先提出，實現了控制與轉發相分離、控制層邏輯集中、網絡功能可編輯等功能，隨著SDN技術的不斷發展和完善，SDN技術可以為網絡提供統一的管理接口和運行環境，具備網絡虛擬化NFV和資源調度系統功能。本文提出一種基于SDN的物聯網安全架構，在物聯網的網絡和應用層應用SDN技術，實現網絡控制與業務轉發相分離，實現網絡功能部署的軟件化，同時將網絡安全作為一種應用面向物聯網用戶提供服務，實現對網絡安全資源的集中調度、網絡安全標準的統一整合、網絡安全策略的靈活配合。

2 IoT面臨的主要安全問題

IoT逐步應用于社會的各個行業，IoT的網絡安全問題變得日趨重要。由于IoT眾多信息普遍通過無線方式實現互通，信息安全面臨嚴峻挑戰。IoT的傳感器數量龐大，功能各異，而且采集傳遞著大量的身份識別、監控數據、支付信息等高等級安全信息，因此傳感器網絡的安全問題變得極其重要，這也是IoT網絡安全與互聯網網絡安全的主要差別所在。

IoT的無線傳感器網絡由多個傳感器節點、節點網關、可以充當通信基站的設備及后臺系統組成。通信鏈路存在于傳感器與傳感器之間、傳感器與網關節點之間和網關節點與后臺系統之間。對于攻擊者來說，這些設備和通信鏈路都有可能成為攻擊對象，所以IoT網絡面臨的安全問題與傳統網絡相比有其獨有的特點，圖1為IoT網絡攻擊模型示意圖：

由于具備了無線的信道、有限的能量、分布式控制等特點，使得無線傳感器網絡更容易受到攻擊。被動竊聽、主動入侵、拒絕服務則是這些攻擊的常見方式，無線傳感器網絡可能遭到的安全挑戰[5]包括下列情況：

（1）網絡的網關節點被敵手控制，則安全性全部丟失；

（2）網絡的普通節點被敵手控制；

（3）網絡的普通節點被敵手捕獲；

（4）網絡的節點受來自網絡的拒絕服務攻擊；

（5）接入到物聯網的超大量傳感節點的標識、識別、認證和控制問題。

此外，IoT網絡還擁有大量RFID系統，主要由電子標簽、閱讀器、后臺應用系統與無線通信信道、后端網絡通信信道等組成。RFID系統也是IoT網絡遭受攻擊的主要對象，主要包括被動攻擊、主動攻擊、物理攻擊等：

（1）被動攻擊。被動攻擊不對系統數據做任何修改，而是通過竊聽截獲電子標簽中的關鍵數據，再結合被竊聽對象的其他信息及竊聽的時間、地點等數據，就可以分析出大量有價值的信息。

（2）主動攻擊。主動攻擊涉及對系統數據的篡改或增加虛假的數據，其手段主要包括假冒、重放、篡改、拒絕服務和病毒攻擊等。

（3）物理攻擊。物理攻擊需要接觸系統的軟/硬件，并對其進行破解或破壞。對于RFID系統而言由于標簽數量巨大，難以控制，所以物理攻擊是RFID系統面臨的最大的安全威脅。

3 基于SDN的物聯網安全架構

基于SDN物聯網的系統架構是在SDN技術應用層、控制層、轉發層三層基本架構下，增加由傳感器組成的感知層。將SDN技術用于物聯網架構，運用控制層面與轉發層面相分離的特性和可編輯的網絡功能部署能力，可以最大程度地利用網絡資源能力，精確地監測網絡安全狀態，簡化安全設備的設置，并根據業務和網絡安全變化趨勢自適應地調整和部署網絡安全策略，為解決物聯網面臨的安全問題提供了新的途徑。基于SDN的物聯網安全架構是在SDN物聯網四層架構的基礎上，在控制層和應用層增加網絡安全控制器、網絡安全策略服務器、網絡安全應用服務等功能模塊，整合網絡安全服務資源能力，構建面向用戶的網絡安全服務體系，具體架構如圖2所示。

（1）應用層，網絡管理人員可以通過可編程接口實現網絡監控管理功能，包括路由管理、接入控制、帶寬分配、流量工程、QoS保障、網絡安全、計算和存儲等，應用開發人員還可以通過SDN控制器提供的網絡全局信息，根據用戶需求開發相應的應用程序。在應用層增加網絡安全應用，利用云計算的軟件即服務模式（SaaS，Software-as-a-Service），構建虛擬防火墻、虛擬入侵檢測、虛擬入侵防御等網絡安全服務，末端用戶通過訂閱的方式獲取網絡安全服務，最大限度地簡化安全設備配置、安全策略分析和安全參數設置等末端網絡安全管理業務。

（2）控制層，由多個SDN控制器組成，SDN控制器部署網絡操作系統，網絡所有的控制功能被集中設置在此層，SDN控制器通過標準化的南向接口協議OpenFlow管理底層的物理網絡和設置的虛擬網絡，通過北向API接口向上層提供服務，并向上層服務提供抽象的網絡設備，屏蔽了具體物理設備的細節。在控制層增加網絡安全系統模塊，主要包括網絡安全控制器和安全策略服務器，網絡安全控制器是一個安全服務執行單元，監控下層網絡的安全狀態，并根據網絡和用戶需要執行相應的安全策略等。安全策略服務器主要負責根據用戶申請的業務情況向上層的安全應用訂閱相關服務，并存儲上層應用提供的安全策略，提供給網絡安全控制器查詢使用。

（3）轉發層，包含所有的網絡設備，與傳統網絡交換設備不同，SDN的網絡交換設備不具備網絡控制功能，控制功能被統一提升至控制層，網絡基礎設施通過SDN控制器的南向接口與控制層連接。基于SDN的物聯網在轉發層增加了OpenFlow AP等接入設備，為感知層傳感器接入網絡提供接口。傳統網絡的防火墻、入侵檢測等設備也可以通過開放相關接口，為上層提供網絡安全狀態監控信息，同時也可以接收網絡安全控制器下發的安全策略和相關設備配置信息。

（4）感知層，在物聯網體系結構中處于底層，承擔信息感知的重任。主要由RFID系統和無線傳感器網絡組成。RFID系統需要采用訪問控制、身份認證和數據加密等安全措施；無線傳感器網絡需要有效的密鑰管理機制，并采用安全路由和入侵檢測等傳統網絡安全技術。

4 各層的安全模塊及策略

4.1 控制層網絡安全模塊

由于SDN控制層具備對網絡進行集中管控的能力，通過在控制層設置網絡安全控制器和策略服務器等網絡安全模塊，可以在安全策略的細粒度、實時推送和流量監控等方面相比較傳統網絡安全體系具有較大優勢。網絡安全控制器部署在開源的SDN控制器之上，如NOX、Onix[6-7]等，由安全執行內核和資源控制器兩部分組成，網絡安全控制器通過運行不同的Module安全模塊，實現對SDN控制器流表的安全策略控制[8]，網絡安全控制器集成了大量API接口，并能夠與傳統的安全工具進行通信；資源控制器用于監控OpenFlow交換機和OpenFlow AP的狀態，并刪除交換機和AP流表中廢棄的流規則，及時清理流表空間。Module安全模塊存儲在安全策略服務器上，不同的Module模塊用于提供不同的安全功能，這些模塊可以被共享或組合，以提供更加復雜的安全防護功能[9]。此外，安全策略服務器還提供了由Python腳本語言編寫的API接口，使得研究人員可以自己編寫具有安全監控和威脅檢測功能的Module安全模塊，安全策略服務器還可以向應用層訂閱相關的網絡安全服務。控制層網絡安全控制器和安全策略服務器的設置情況如圖3所示。

4.2 應用層網絡安全服務

在基于SDN物聯網的應用層部署基于云的安全分析處理服務（CbSA，Cloud-based Security Analyzer）[10]，當控制層的安全策略服務器無法匹配接入網絡申請的網絡安全服務請求時，通過安全和管理服務（SMS，Security and Management Service）[11]的方式，向CbSA訂閱相應的網絡安全服務策略，圖4表示了CbSA的體系結構和流程示意，其中云服務管理器負責處理來自控制層的流量分析請求，當收到一個新的分析請求時，云服務管理器首先對SMS的請求進行認證，然后根據用戶參數和安全服務請求內容計算查找匹配的安全策略，最后將策略返回給控制層安全策略服務器，從而為用戶提供虛擬防火墻、虛擬入侵檢測、虛擬入侵防御等服務。此外，通過云平臺還可以為網絡提供惡意軟件、僵尸網絡、垃圾郵件等多種網絡安全檢測服務。

CbSA可以通過部署虛擬軟件中間件的方式為控制層分析特征用戶的流量并提供自動安全配置更新，云服務管理器可以要求中間件管理器提供一個中間件實例來處理特征用戶流量，通過這個中間件來作為流量隧道以便分析特征用戶的實時流量，計算分析用戶的網絡安全風險，并給出相應的安全策略[12]。CbSA可以從所有連接的控制層安全控制器和策略服務器接收網絡安全監測數據，它將這些數據與病毒特征數據庫、惡意軟件數據庫等外部資源數據進行整合，從全網的視角透視分析網絡安全風險，并計算生成相應的安全配置策略。這種方法特別有助于檢測惡意流量的微小痕跡，而這對于傳統部署在網絡邊界的安全系統來說很難實現。

4.3 感知層的安全策略

（1）RFID安全策略

現有提出關于RFID技術的安全策略主要包括訪問控制、身份認證和數據加密。其中身份認證和數據加密有可能被組合運用，其特點是需要一定的密碼學算法配合，因此這里將身份認證和數據加密機制統稱為密碼學機制。

1）訪問控制。訪問控制機制主要用于防止隱私泄露，使得RFID標簽中的信息不能被隨意讀取，包括標簽失效、法拉第籠、阻塞標簽、天線能量分析等措施。這些措施的優點是比較簡單，也容易實施；缺點是普適性比較欠缺，必須根據不同的物品進行選擇。

2）密碼相關技術。密碼相關技術除了可實現隱私保護，還可以保護RFID系統的機密性、真實性和完整性，并且密碼相關技術具有廣普性，在任何標簽上均可實施。但完善的密碼學機制一般需要較強的計算能力，標簽的功耗和成本是一個比較大的挑戰。

（2）無線傳感器網絡安全策略

在無線傳感器網絡內部，需要有效的密鑰管理機制用于保障網絡內部通信安全。網絡內部的安全路由、聯通性解決方案等都可以相對獨立地使用。由于網絡類型的多樣性，很難統一要求有哪些安全服務，但機密性和認證性都是必要的。機密性需要在通信時建立一個臨時會話密鑰，而認證性可以通過對稱密碼或非對稱密碼方案解決。安全路由和入侵檢測等也是無線傳感器網絡應具有的性能。

由于傳感器網絡的安全一般不涉及其他網絡安全，因此是相對較獨立的問題，有些已有的安全解決方案在物聯網環境中也同樣適用。但由于物聯網環境中傳感網遭受外部攻擊的機會增大，因此用于獨立傳感器網絡的傳統安全解決方案需要提升安全等級后才能適用。相應地，傳感器網絡的安全需求所涉及的密碼技術包括輕量級密碼算法、輕量級密碼協議、可設定安全等級的密碼技術等。

5 結論

隨著SDN技術的應用與發展，SDN技術已經被采納成為5G系統承載網絡標準，并逐漸成為構建新一代網絡系統架構的關鍵技術之一，物聯網的承載網絡也會逐步應用SDN技術。本文提出了基于SDN的物聯網安全架構，分析了各個層面的安全模塊和策略，下一步還需從以下方面開展相關研究：

（1）在應用層方面，研究開發基于SaaS的網絡安全服務應用，拓展針對物聯網安全風險的分析能力，同時進一步標準化應用層與控制層之間的接口和交互流程。

（2）在控制層方面，研究開放的安全控制器內核，使其可以與更多的SDN控制器操作系統向融合，開發功能豐富的中間件，最大限度地優化現有網絡安全資源。

（3）在接入層方面，研究拓展OpenFlow流表對網絡安全策略的匹配方法，研究端到端網絡安全策略部署的一致性等問題，進一步豐富網絡安全狀態監控和報告手段。

參考文獻：

[1] 彭瑜. 物聯網技術的發展及其工業應用方向[J]. 自動化儀表， 2011（32）： 1-7.

[2] 何立民. 什么是物聯網[J]. 單片機與嵌入式系統應用， 2011（10）： 79-81.

[3] Yu T， Sekar V， Seshan S， et al. Handling a Trillion （unfixable） Flaws on a Billion Devices： Rethinking Network Security for the Internet-of-Things[M]. ACM Workshop， 2015： 1-7.

[4] Mckeown N， Anderson T， Balakrishnan H， et al. OpenFlow： Enabling Innovation in Campus Networks [J]. Acm Sigcomm Computer Communication Review， 2008，38（2）： 69-74.

[5] 何明，陳國華，梁文輝，等. 軍用物聯網研究綜述[J]. 指揮控制與仿真， 2012，34（1）： 6-10.

[6] Gude N， Koponen T， Pettit J， et al. NOX： towards an operating system for networks[J]. Acm Sigcomm Computer Communication Review， 2008，38（3）： 105-110.

[7] Koponen T， Casado M， Gude N， et al. Onix： A Distributed Control Platform for Large-Scale Production Networks[A]. Proceedings of the 9th USENIX Conference on Operating Systems Design and Implementation[C]. 2010： 351-364.

[8] Nayak A K， Reimers A， Feamster N， et al. Resonance： Dynamic Access Control for Enterprise Networks[A]. Proceedings of the 1st ACM Workshop on Research on Enterprise Networking[C]. 2009： 11–18.

[9] Jafarian J H， Al-Shaer E， Duan Q. OpenFlow Random Host Mutation： Transparent Moving Target Defense Using Software Defined Networking[A]. Proceedings of the 1st ACM Workshop on Hot Topics in Software Defined Networks[C]. 2012： 127–132.

[10] Brewer， Eric. Kubernetes and the Path to Cloud Native[A]. In Proceedings of the Sixth ACM Symposium on Cloud Computing[C]. 2015： 167.

[11] Yu M， Zhang Y， Mirkovic J， et al. SENSS： Software Defined Security Service[Z]. 2014.

[12] Sherry J， Hasan S， Scott C， et al. Making Middleboxes Someone elses Problem： Network Processing as a Cloud Service[J]. Acm Sigcomm Computer Communication Review， 2012，42（4）： 13-24. ★