淺析SDN安全需求和安全實現

李建新

（中國電信股份有限公司寧夏分公司網絡監控維護中心，銀川 750001）

1 引言

2007年，斯坦福大學的教授提出了SANE網絡體系結構和Ethane網絡體系結構[1]，同時，為了使得企業內部網絡安全管理隨著科技的發展而不斷進步，這種網絡體系結構就應運而生，這種網絡架構憑借自身的技術優勢和有效增強的技術，被稱為網絡定義軟件，即網絡體系結構作為傳統的網絡體系結構的替代品，有效地解決了當前和未來的網絡爆炸對網絡技術變革的需求。而在目前，隨著網絡安全事件的不斷發生，SDN網絡體系結構和技術的不斷地發展，人們意識到網絡安全問題應得到足夠的重視。近年來，許多學者對SDN網絡的安全需求和安全需求的實現進行了研究[2]。

2 SDN安全性簡介

2.1 SANE架構

SANE是初期提出的一個比較理想化的網絡架構，這個網絡原型只運行了一個月。SANE網絡架構中有一個集中控制器，內部的交換機和主機都要根據控制需要進行改造，才能支持這種網絡架構的正常運行，SANE網絡架構如圖1所示。

圖1 SANE的架構和流程

集中控制器可以實現認證網元、解析域名、全網拓撲學習和權能生成功能，權能是SANE中的一種數據類型，指的是經過加密的通信路徑信息。如圖1所示，首先，客戶機A和服務器B都要先在集中控制器處進行認證，從而獲得密鑰；隨后，服務器B向集中控制器發布服務，客戶機A允許被訪問；接著，客戶機A向集中控制器請求訪問服務器B，集中控制器計算通信路徑，將計算結果和權能返回給客戶機A；最后，客戶機A就能訪問服務機B，每次權能有效時長為幾分鐘，如果客戶機A要再次對服務機B進行訪問，則需要重新申請權能。綜上所述，SANE網絡架構的數據傳輸效率和處理效率都比較低，不適合實際應用，所以就有學者提出了Ethane網絡架構。

2.2 Ethane架構

相比于SANE網絡架構，Ethane是一個更適合實際應用的網絡安全管理網絡架構，不同于SANE網絡架構中將控制報文頭加密進行橫向傳輸，Ethane網絡架構是將加密控制信息進行縱向傳輸，也就是集中控制器和交換機之間使用安全信道來傳輸控制信息。Ethane網絡架構中的集中控制器可以實現網元和用戶認證、檢查通行許可、通信路徑計算、交換機管理功能。Ethane網絡架構并不要求使用規定的認證方法，也不需要交換機檢查權能，相比之下傳輸效率會更高，更適合實際應用。

2.3 SDN架構

和上述兩種網絡架構相比，SDN網絡架構具有更好的擴展性，支持更加靈活的網絡部署方案、能實現更加精細高效的數據流控制。SDN網絡架構支持對網絡設備進行集中、自動化管理以及統一策略執行，相比之下更為安全。除此之外，利用SDN集中控制器的API方式可以將傳統的網絡安全應用集成到SDN網絡構架中。

圖2 SDN架構

綜上所述，SDN網絡架構構建了一個平臺，可以提供網絡安全服務來保證網絡安全。當前的研究均認為，現有的網絡安全技術完全可以滿足SDN網絡架構的安全需求，但是具體如何實施還在研究之中。

3 SDN的安全需求

一些研究人員認為，SDN網絡體系結構的安全需求主要集中在應用和控制層面，一般用于授權、認證控制層和基礎設施層，由于只有一個交換機和一個集中控制器，安全管理相對容易，現有控制方案的接口經過一定改造后可以滿足網絡架構的安全要求。如果交換機和控制器較多，網絡安全管理就比較復雜，應充分考慮控制器之間的權限和控制器對交換機的訪問控制，而現有控制方案的接口無法滿足這種情況下的安全需求，如何在SDN網絡體系結構中實現傳統的網絡安全應用，如訪問控制、防火墻、入侵檢測和防御等，是值得研究的。安全應用應該在SDN網絡的體系結構中實現，與上述兩種網絡體系結構相比，SDN網絡體系結構可以降低成本，更靈活地實現一些傳統的應用，甚至開發新的網絡安全應用。

4 基于SDN架構的入侵檢測方案

基于SDN架構的新型入侵檢測方案中，包括兩層入侵檢測系統，如圖3所示。

圖3 基于SDN架構的入侵檢測架構

Centernode入侵分析模塊由數據采集模塊、數據分析模塊等多個子模塊組成，通常采用中心監控模式對邏輯子網中的數據進行監控和分析。

數據分析模塊是Centernode的核心。由于WSN節點以相同的頻率發送數據，因此，在同一時間段內收集的數據量應該相等。

①子網中的每個節點都將收集到的信息發送到Centernode，因此，從節點Centernode接收到的數據總量在同一時期不會有太大的變化。此時，可以計算一次中心節點處的最大值。如果計算出的Hurst值在0.5到1之間，可以說數據流模型符合自相似特性，然后可以判斷邏輯節點入侵有沒有發生在相應的子網中。如果Hurst值不在0.5到1的范圍內，則一個或多個節點在子網中可能會被入侵。

②在子網中，Centernode計算每個節點發送的數據流量的Hurst值，以確定哪個節點受到了入侵。

③Centernode以兩種方式響應入侵：被動響應和主動響應。被動響應通常包括報警、修改網絡日志和向上層發送信息。主動響應在處理入侵時更有效，包括切斷入侵源和中斷當前進程。為了減少入侵造成的邏輯子網損失，當入侵者數量較少時，Centernode可以隔離這些節點。如果有更多的入侵者，Centernode必須更改本地網絡的拓撲結構并動態更改數據流傳輸協議。

④在基于SDN體系結構的無線傳感器網絡入侵檢測系統中，Masternode可以提供用戶界面，具有很強的可編程性和可擴展性。用戶可以根據網絡情況實現自定義的檢測規則和實時檢測算法。Masternode支持整個WSN網絡的通信管理、邏輯控制和數據融合三重功能，是入侵檢測系統的邏輯控制中心。插入網絡的中心節點，將把每個邏輯子網絡的信息返回給主節點。主節點中的邏輯控制模塊、響應模塊、分析模塊和通信模塊共同完成對信息的綜合分析和評價。Masternode將遵循Centprederno算法基于定義的檢測策略，首先計算接收到的總數據流的Hurst值，以確定邏輯子網是否被入侵。如果邏輯子網已被入侵，入侵檢測將被傳遞到邏輯子網。邏輯子網根據中心的入侵檢測模式執行檢測算法。

5 結語

綜上所述，在當今的時代，一定要對網絡的安全性予以高度的重視，本文對SDN網絡安全架構進行了分析，探討了SDN的安全需求和實現措施，希望能給相關工作的開展提供一定的理論參考。