梁鈺 解建偉

摘要：軟件定義網(wǎng)絡（SDN）技術以其集中式智能化管理、控制面與數(shù)據(jù)面解耦和以應用為主導的可編程特性等特點為下一代網(wǎng)絡的發(fā)展提供了新的思路，同時也給傳統(tǒng)網(wǎng)絡中的密碼防護體系帶來了新的挑戰(zhàn)。介紹了密碼保護技術和SDN安全保密技術的研究現(xiàn)狀，從SDN密碼防護功能體系與技術體系2個方面闡釋了SDN網(wǎng)絡密碼防護體系架構，并介紹了SDN網(wǎng)絡密碼防護原型系統(tǒng)，為基于SDN網(wǎng)絡架構的新一代網(wǎng)絡提供高可靠的密碼保障服務。

關鍵詞：軟件定義網(wǎng)絡；軟件定義安全；密碼防護體系

中圖分類號：TP309文獻標志碼：A文章編號：1008-1739（2018）08-58-4

Research on Architecture of Software Defined Network Cipher Protection System

LIANG Yu1， XIE Jianwei2

（1. The 54th Research Institute of CETC， Shijiazhuang Hebei 050081， China； 2. Hebei Branch， Zhonghua Communication System Co.， Ltd， Shijiazhuang Hebei 050081， China）

0引言

傳統(tǒng)封閉式的網(wǎng)絡架構難以支撐當前網(wǎng)絡規(guī)模的不斷擴大和網(wǎng)絡業(yè)務的復雜多變，網(wǎng)絡的功能與性能面臨著嚴重挑戰(zhàn)。SDN技術提出的數(shù)據(jù)面與控制面分離的網(wǎng)絡體系架構有效地解決了這一問題，但同時也給傳統(tǒng)網(wǎng)絡的密碼防護體系帶來了新的挑戰(zhàn)，IP網(wǎng)絡傳統(tǒng)的密碼防護機制對網(wǎng)絡層固定字段加密，使SDN中基于流表的數(shù)據(jù)轉(zhuǎn)發(fā)機制無法發(fā)揮最大效能，相對簡單的報文防護模式也無法滿足多樣化的流量防護需求。SDN標準接口協(xié)議Open Flow中安全傳輸方式為可選項，有可能受到攻擊者發(fā)起的協(xié)議攻擊，同時集中式的控制器更容易成為攻擊目標，需要加強網(wǎng)元和協(xié)議數(shù)據(jù)的防護能力，控制器還提供包含配置面在內(nèi)的大量API，供用戶按照自己的需求編寫APP，而第三方提供的APP中很可能包含漏洞、后門，或者不安全的API調(diào)用，特別是越權調(diào)用配置管理API，將會給控制器帶來災難性的后果[1]。

1研究現(xiàn)狀

1.1網(wǎng)絡密碼保護技術發(fā)展現(xiàn)狀

隨著計算機網(wǎng)絡通信技術的發(fā)展，IP協(xié)議已經(jīng)成為網(wǎng)絡層的主流協(xié)議，能運行在各種物理介質(zhì)和鏈路層協(xié)議之上，并且任何傳輸層協(xié)議和應用層協(xié)議都能將IP層協(xié)議作為承載層[2]。在網(wǎng)絡呈現(xiàn)IP泛在化的趨勢下，考慮到IP層協(xié)議較為穩(wěn)定，對網(wǎng)絡層進行密碼防護較為穩(wěn)定和可靠。

網(wǎng)絡層IP密碼機是基于統(tǒng)一的IP承載網(wǎng)的加密專用設備，既不限制上層應用，也不限定下層物理鏈路網(wǎng)，具有非常優(yōu)秀的適應能力，是目前信息網(wǎng)絡最為主要的密碼防護機制。在IP層實施密碼防護[3]是國內(nèi)外普遍采用的一種有效防護機制，能夠確保網(wǎng)絡傳輸信息的機密性、完整性、可控性、可用性和不可否認性，可以靈活實現(xiàn)子網(wǎng)對子網(wǎng)、子網(wǎng)對終端、終端對終端的安全接入和互聯(lián)，也是當前最能適應IP泛在化的安全保密手段。

如圖1所示，對于存在多安全保密防護等級的虛擬網(wǎng)絡和信息系統(tǒng)，基于IP加密的密碼防護機制可根據(jù)不同信息系統(tǒng)建立不同的虛擬專用網(wǎng)（Virtual Private Network，VPN）[4]，為VPN內(nèi)部的信息、主機和其他通信設備提供不同的網(wǎng)絡邊界密碼防護，實現(xiàn)同一物理網(wǎng)絡不同業(yè)務系統(tǒng)隔離。

1.2 SDN安全保密技術研究現(xiàn)狀

作為下一代網(wǎng)絡的發(fā)展方向，SDN在帶來諸多機遇的同時，也面臨著新的挑戰(zhàn)，尤其是在安全方面。隨著SDN研究的深入和廠商的大量參與，SDN的安全問題越來越受到重視。SDN安全保密技術[5]包括SDN自身的安全和基于SDN的安全保密。

（1）SDN自身安全保密

與傳統(tǒng)封閉網(wǎng)絡設備相比，SDN開放式接口的引入、集中式的控制器將給網(wǎng)絡安全帶來高的風險。安全的認證機制和框架、安全策略的制定等，將成為SDN安全發(fā)展的重要保證。

德克薩斯州Texas大學和SRI公司的研究團隊針對SDN的安全進行了研究，提出了包含SDN的安全操作系統(tǒng)FortNOX等在內(nèi)的多種安全解決方案。斯坦福大學的Martin Casado和其研究團隊提出了Ethane架構，該架構通過一個中央控制器向基于流的以太網(wǎng)交換機下發(fā)策略，從而對流的準入和路由器進行統(tǒng)一管理。

（2）基于SDN的安全保密

SDN技術在網(wǎng)絡安全防護領域的應用研究也是熱點領域之一，并提出了軟件定義安全（Software Defined Security，SDS）[6]的技術思路。SDS的特點是將安全的控制平面和數(shù)據(jù)平面進行分離和重構，實現(xiàn)模塊化、服務化及可重用。SDS將現(xiàn)有安全技術分解成基本安全服務，并進一步劃分為原子安全服務。然后，通過SDN控制層的可編程能力及安全防護控制器，利用服務重構技術和安全狀態(tài)表將各安全原子服務有機整合，形成定制的安全能力。

2 SDN密碼防護體系架構

2.1密碼防護功能體系

本文提出了分層、多級的SDN網(wǎng)絡密碼安全防護功能體系，在數(shù)據(jù)層面，提供業(yè)務數(shù)據(jù)流的鏈路、網(wǎng)絡及傳送層加解密功能；在管控層面，針對SDN網(wǎng)絡各層在控制、管理和配置平面面臨的安全威脅，提供SDN應用層安全、SDN控制層安全和SDN基礎設施層安全，如圖2所示。

SDN應用層安全主要針對工作于SDN北向接口的各類協(xié)議，SDN APP提供密碼安全防護，SDN控制層安全主要針對SDN控制器提供各類密碼安全防護，基礎設施層主要針對各類SDN轉(zhuǎn)發(fā)器及業(yè)務數(shù)據(jù)提供密碼安全防護功能。

（1）SDN應用層安全

①認證：SDN應用對SDN控制器進行認證，以確保SDN控制器的合法性，可選用的機制包括預置密鑰、基于證書的密鑰等多種認證方式；

②數(shù)據(jù)機密性保護：選用符合標準的加解密算法對從SDN應用層向SDN控制器層下發(fā)的網(wǎng)絡策略進行數(shù)據(jù)機密性保護；

③數(shù)據(jù)完整性保護：從SDN應用層向SDN控制器層下發(fā)的網(wǎng)絡策略進行數(shù)據(jù)完整性防護，可采用的防護手段有Hash、MAC、HMA及數(shù)字簽名等；

④密鑰、證書管理：對SDN進行安全防護所需的各類密鑰和證書的統(tǒng)一管理；

⑤應用防護：在SDN應用層應部署攻擊檢測工具以應對各類對SDN應用程序的攻擊行為。攻擊檢測工具可采用基于簽名的可信檢測、異常行為檢測等多種方法；

⑥防護管理支撐：向密碼防護管理模塊提供該層安全功能所需的安全防護管理接口功能。

（2）SDN控制層安全

①認證：SDN控制器對SDN應用層的應用和基礎設施層的轉(zhuǎn)發(fā)器分別進行認證，以防止假冒攻擊，SDN控制器對管理員的身份進行認證以防止對控制器的誤用；

②授權：SDN控制器對SDN應用、管理員下發(fā)各類權限規(guī)則進行授權管理，可采取的授權策略包括黑白名單、ACL及RBAC等多種方式；

③數(shù)據(jù)機密性保護：選用符合標準的密碼算法，對SDN應用層接收的各類網(wǎng)絡策略和流表操作進行加解密操作；

④數(shù)據(jù)完整性保護：采用Hash、MAC、HMA及數(shù)字簽名等防護手段對流表、各種網(wǎng)絡策略以及各類配置數(shù)據(jù)進行完整性保護；

⑤密鑰/證書管理：對SDN進行安全防護所需的各類密鑰和證書的統(tǒng)一管理；

⑥安全流表快速處理：SDN控制器層應能夠?qū)Σ煌愋偷牧鞅磉M行區(qū)分，用于安全處理的流表需進行快速的處理和實時下發(fā)；

⑦安全流表權限控制：SDN控制器采用流表分級命名等方法，提供判斷不同的應用對流表的插入、升級、刪除等操作的權限的能力，以防止對流表的沖突行為；

⑧安全監(jiān)測支持：SDN網(wǎng)絡的管理員應支持對整個網(wǎng)絡安全狀態(tài)的監(jiān)測，特別是一些安全策略的效果；

⑨操作系統(tǒng)加固：盡可能地降低操作系統(tǒng)中的各類安全風險，對操作系統(tǒng)中無用的模塊進行裁剪、疊加可信等安全措施，盡量為SDN控制器提供安全可信的運行環(huán)境。

（3）SDN基礎設施層安全

①認證：SDN轉(zhuǎn)發(fā)器應提供對SDN控制器的認證，以防止假冒的SDN控制器對轉(zhuǎn)發(fā)器的控制，SDN轉(zhuǎn)發(fā)器應提供對管理員身份的認證，以防止惡意的操作；

②授權：SDN轉(zhuǎn)發(fā)器應對SDN控制器和管理員實時授權管理，可采取的策略有黑白名單、ACL及RBAC等；

③數(shù)據(jù)機密性保護：對從SDN控制器下發(fā)的流表進行解密，支持對向SDN控制器發(fā)送的流表查詢請求進行加密，對從SDN管理界面下發(fā)的配置管理類策略進行解密，對SDN轉(zhuǎn)發(fā)器中存儲的敏感信息進行加密，以防止數(shù)據(jù)竊取；

④數(shù)據(jù)完整性保護：采用Hash、MAC、HMA及數(shù)字簽名等手段，對從SDN控制器下發(fā)的流表數(shù)據(jù)進行完整性驗證，對向SDN控制器發(fā)送的流表查詢請求數(shù)據(jù)進行完整性防護，對SDN轉(zhuǎn)發(fā)器中存儲的敏感信息進行完整性防護，以防止數(shù)據(jù)篡改；

⑤密鑰、證書管理：對SDN基礎設施進行安全防護所需的各類密鑰和證書的統(tǒng)一管理；

⑥流表溢出防護：在使用一些常用的抵御緩沖區(qū)溢出攻擊的手段基礎之上，SDN轉(zhuǎn)發(fā)器的流表管理軟件應能夠決定哪些流表項可以刪除并從SDN控制器進行重新同步；

⑦防護管理支持：向密碼防護管理模塊提供該層安全功能所需的安全防護管理接口功能；

⑧業(yè)務數(shù)據(jù)加解密：為用戶業(yè)務數(shù)據(jù)按需提供鏈路層、網(wǎng)絡層和傳送層的加解密功能，保護數(shù)據(jù)傳送過程中的真實性、完整性和機密性。

（4）密碼防護管理

①提供對SDN網(wǎng)絡中的各類平臺資源的訪問控制；

②監(jiān)控登錄到平臺中的用戶，對有問題的用戶進行監(jiān)管和審計；

③匯聚來自各層的統(tǒng)計信息以監(jiān)控安全攻擊事件。

2.2密碼防護技術體系

SDN網(wǎng)絡密碼防護技術體系架構如圖3所示，分為基礎設施層、控制層和應用層。

SDN網(wǎng)絡管控層面的安全保密，主要通過對南北向接口的安全加密實現(xiàn)。對于應用層與控制器層之間的北向接口，采用TLS或者HTTPS協(xié)議進行安全防護；對于控制器和轉(zhuǎn)發(fā)器間的南向接口（包括OpenFlow、OF-CONFIG、OVSDB、PCEP、BGP-LS、I2RS、OpFlex、SNMP、NetCONF及XMPP等協(xié)議），采用TLS或者IPSec進行安全防護。

SDN網(wǎng)絡數(shù)據(jù)層面的安全保密，主要采用2層VPN、IPSec VPN及SSL VPN技術，為用戶數(shù)據(jù)的傳送過程提供安全保護。

由于SDN網(wǎng)絡實現(xiàn)了基于流的調(diào)度，而不是傳統(tǒng)網(wǎng)絡中基于IP包的調(diào)度，這就要求安全服務和管控也要保持相對應的細粒度，在維持網(wǎng)絡性能的同時也提升安全服務的防護效率和性能、SDN控制層和基礎設施層的分離，以及控制層的可編程特性使得密碼資源調(diào)度任務可以更有效、更低成本、更快速地自動化，從而降低密鑰管理成本，提高密碼防護的及時性和效率。

3 SDN密碼防護原型系統(tǒng)

SDN網(wǎng)絡密碼防護原型系統(tǒng)由嵌入式密碼機、獨立式密碼機、SDN密碼機、密碼防護控制器、SDN網(wǎng)絡控制器和SDN交換機等組成。

①嵌入式密碼機部署在SDN交換機、SDN網(wǎng)絡控制器和APP應用終端中，為協(xié)議代理、隔離轉(zhuǎn)發(fā)等數(shù)據(jù)面功能提供認證授權、信息加解密等安全保密服務。

②獨立式密碼機按需分別部署在全網(wǎng)，提供高并發(fā)海量數(shù)據(jù)的簽名驗證、數(shù)據(jù)加解密等安全保密服務。

③SDN密碼機部署在網(wǎng)絡邊緣，為流量數(shù)據(jù)的安全傳輸提供細粒度的安全保密服務。

④SDN密碼防護控制器部署在控制層，北向提供密碼應用服務、資源與設備管理等APP，南向為密碼裝置提供密碼協(xié)議配置、密鑰管理和態(tài)勢監(jiān)控等控制功能。

4結束語

隨著SDN技術在通信網(wǎng)絡中的廣泛應用，由于其控制集中、應用層開放等特點，引發(fā)了傳統(tǒng)密碼防護體系的諸多問題，為保障向通信網(wǎng)絡提供高可靠的密碼服務，從功能體系和技術體系兩方面提出了SDN網(wǎng)絡的密碼防護體系架構，構建了SDN網(wǎng)絡密碼防護原型系統(tǒng)。

參考文獻

[1]刁興玲.SDN嶄新架構下網(wǎng)絡安全如何保障[J].通信世界， 2015（3）：33-34.

[2]譚興烈.TCP/IP協(xié)議安全與IP層加密技術[J].信息安全與通信保密，2001（12）：38-40.

[3]吳訓吉.專用IP網(wǎng)絡信息安全技術研究[D].西安：西安電子科技大學，2012.

[4] CarltonR Davis.IPSec VPN的安全實施[M].周永彬，馮登國，徐震，等，譯.北京：清華大學出版社，2002.

[5]劉文懋，裘曉峰，王翔.軟件定義安全：SDN/NFV新型網(wǎng)絡的安全揭秘[M].北京：機械工業(yè)出版社，2016.

[6]劉文懋，裘曉峰，陳鵬程，等.面向SDN環(huán)境的軟件定義安全架構[J].計算機科學與探索，2015，9（1）：63-70.