彭大芹，谷 勇，萬里燕，陳 勇

(重慶郵電大學 電子信息與網(wǎng)絡(luò)工程研究院，重慶400065)

接入網(wǎng)作為網(wǎng)絡(luò)的“最后一公里”，其性能直接影響到整個網(wǎng)絡(luò)的性能。隨著接入網(wǎng)朝著高帶寬、全業(yè)務(wù)、易運行維護的方向發(fā)展［1］，給人們帶來了便捷，也帶來了因其網(wǎng)絡(luò)自身的脆弱性而引發(fā)的安全威脅。因此，如何有效地解決接入網(wǎng)中存在的安全問題已成為近年來關(guān)注和研究的熱點。L.Wenjing［2］提出了一種改進的加密認證方法來保護用戶的隱私，但其方法復(fù)雜度較大;李頻［3］采用虛擬專用網(wǎng)與防火墻集成的方法來保證接入網(wǎng)安全，但遺憾的是該方法增加了網(wǎng)絡(luò)部署和維護成本。針對傳統(tǒng)解決方法的不足，在本方案中，采用入侵防御系統(tǒng)和防火墻相結(jié)合的二重安全機制來提高防護效果，同時利用SDN 控制器靈活調(diào)配網(wǎng)絡(luò)資源，降低防護成本，提高安全設(shè)備間的協(xié)同性和利用率，并通過實驗測試驗證了該方案的可行性和有效性。

1 接入網(wǎng)的安全解決方案現(xiàn)狀

1.1 傳統(tǒng)的安全解決方案

接入網(wǎng)傳統(tǒng)安全解決方案主要有加密認證的解決方案和虛擬專用網(wǎng)(Virtual Private Network，VPN)與網(wǎng)絡(luò)安全設(shè)備(Network Security Equipment，NSE)結(jié)合的解決方案。

加密認證的解決方案主要是對需要接入網(wǎng)絡(luò)的用戶采用“用戶名+密碼”的方式進行身份認證，只允許通過認證的用戶接入網(wǎng)絡(luò)，并對用戶與網(wǎng)絡(luò)之間所傳輸?shù)臄?shù)據(jù)進行加密［2］。從而可以防止接入網(wǎng)免遭偽裝攻擊和惡意用戶對系統(tǒng)的主動攻擊。

VPN 與NSE 結(jié)合的解決方案主要是在每個分支網(wǎng)絡(luò)的進出口部署NSE 來防護路由和監(jiān)測網(wǎng)絡(luò)中的網(wǎng)絡(luò)行為。在各分支網(wǎng)絡(luò)的邊界處部署VPN 網(wǎng)關(guān)來建立相應(yīng)的虛擬安全通道，從而實現(xiàn)數(shù)據(jù)在網(wǎng)絡(luò)中的安全傳輸。在此方案中，采用如防火墻、入侵防御系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備不但可以防護來自外網(wǎng)的入侵，還可以監(jiān)視網(wǎng)內(nèi)的惡意行為，增強內(nèi)網(wǎng)的安全性。

1.2 存在的主要問題

1) 防護效果不理想

目前，由于一些加密機制已被惡意用戶破解，這使得加密認證的防護效果大大降低。防火墻的防御手段采用靜態(tài)被動方式，從而使其無法靈活應(yīng)對各種變化的攻擊行為。而且傳統(tǒng)安全解決方案很難應(yīng)對惡意用戶發(fā)起的拒絕服務(wù)攻擊，特別是其中的分布式拒絕服務(wù)攻擊。

2) 防護成本高

傳統(tǒng)的安全解決方案中，為了保證網(wǎng)絡(luò)的安全，需要在每個分支網(wǎng)絡(luò)進出口處部署網(wǎng)絡(luò)安全設(shè)備，從而增加了部署成本。并且隨著網(wǎng)絡(luò)規(guī)模的擴大，管理和維護成本也大大增加。

3) 協(xié)同性和靈活性差

網(wǎng)絡(luò)中所部署的安全設(shè)備相互獨立，無法協(xié)同工作。若某一安全設(shè)備本身出現(xiàn)故障，其他安全設(shè)備無法及時頂替其工作。當繁忙網(wǎng)絡(luò)進出口處的安全設(shè)備負載過重時，其他空閑網(wǎng)絡(luò)的安全設(shè)備卻處于空閑狀態(tài)，這將造成設(shè)備利用率不高和資源的浪費。

2 基于SDN 的安全解決方案設(shè)計

軟件定義網(wǎng)絡(luò)(Software Defined Network，SDN)是一種新型網(wǎng)絡(luò)架構(gòu)，是網(wǎng)絡(luò)虛擬化的一種實現(xiàn)方式。其核心技術(shù)OpenFlow 將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)轉(zhuǎn)發(fā)面分離開來，并使控制面可編程化，從而實現(xiàn)控制功能的集中化、智能化［4］。針對傳統(tǒng)接入網(wǎng)中安全解決方案所存在的防護成本高、安全設(shè)備的利用率低和協(xié)同性差的問題，結(jié)合SDN 的優(yōu)點和相關(guān)技術(shù)［5］，利用現(xiàn)有的安全機制，提出一種新的接入網(wǎng)安全解決方案。

2.1 主要設(shè)計思想

SDN 將控制功能分離出來，這使將傳統(tǒng)網(wǎng)絡(luò)中各個網(wǎng)絡(luò)節(jié)點的自主式控制管理轉(zhuǎn)變?yōu)檎麄€網(wǎng)絡(luò)的集中式控制管理成為可能。本方案通過使用一個SDN 控制器來對整個網(wǎng)絡(luò)進行全局控制管理。控制器通過下發(fā)合適的控制指令來合理靈活調(diào)配網(wǎng)絡(luò)資源，從而可去除空閑節(jié)點處的安全設(shè)備部署。在繁忙的網(wǎng)絡(luò)節(jié)點進出口處，利用防火墻和入侵防御系統(tǒng)相結(jié)合的二重安全機制來提高防護效果，同時保留訪問時的認證機制和保證數(shù)據(jù)傳輸安全的VPN 技術(shù)。

2.2 總體架構(gòu)設(shè)計

根據(jù)設(shè)計思想，搭建了基于SDN 的接入網(wǎng)安全解決方案的總體架構(gòu)，如圖1 所示。

圖1 方案總體架構(gòu)圖

在該方案中，若用戶與服務(wù)器之間、服務(wù)器與服務(wù)器之間互聯(lián)的公共網(wǎng)絡(luò)是Internet，考慮因其特有的開放性而無法保證網(wǎng)絡(luò)環(huán)境安全的特點，采用VPN 技術(shù)建立對應(yīng)的VPN 隧道來保證通信數(shù)據(jù)在Internet 中的安全傳輸。若互聯(lián)的公共網(wǎng)絡(luò)是SDN 網(wǎng)絡(luò)，則不需要使用VPN 技術(shù)，這是因為在SDN網(wǎng)絡(luò)架構(gòu)中已經(jīng)使用了虛擬化技術(shù)來實現(xiàn)虛擬鏈路間的隔離。

SDN 控制器是本方案中的重要設(shè)備，其主要功能有網(wǎng)絡(luò)管理、資源分配、負載均衡、路由選擇、流表控制、QoS 保證、節(jié)能計算以及其他應(yīng)用。網(wǎng)絡(luò)管理是指對整個網(wǎng)絡(luò)的集中式控制和管理，資源分配主要指帶寬的動態(tài)分配，負載均衡是調(diào)整各OFS 的負載載重，路由選擇是提供路由選擇策略來選擇最佳傳輸路徑，流表控制是對流表進行控制管理，QoS 保證指實現(xiàn)網(wǎng)絡(luò)的質(zhì)量保證，節(jié)能計算是實現(xiàn)接入網(wǎng)中的能源節(jié)省。對于無線接入，方案中使用了移動VPN 網(wǎng)關(guān)(Mobile VPN Gataway，MVG)來保證移動用戶安全接入網(wǎng)絡(luò)。由于SDN 控制器的靈活調(diào)度，只需在繁忙的節(jié)點處部署NSE，這樣不僅降低了部署成本，而且便于管理維護。

2.3 整體通信流程

在本方案中，當用戶想要訪問網(wǎng)絡(luò)服務(wù)器中的資源時，首先需要選擇一種確定的接入方式并提出訪問請求，然后訪問請求經(jīng)過接入交換機轉(zhuǎn)發(fā)后利用虛擬化技術(shù)在公共網(wǎng)絡(luò)安全傳輸?shù)劫Y源所在的分支網(wǎng)絡(luò)，分支網(wǎng)絡(luò)的OpenFlow 交換機(OpenFlow Switch，OFS)查詢本地流表并進行流表匹配。若流表匹配成功，該訪問請求就直接通過對應(yīng)路由并經(jīng)過防火墻和IPS 安全設(shè)備檢測無異常后到達服務(wù)器，在服務(wù)器接受訪問請求后，用戶便可以訪問資源了;若OFS 的流表中無相應(yīng)的流表項，OFS 就會將該請求轉(zhuǎn)發(fā)給SDN 服務(wù)器。

SDN 服務(wù)器接收該請求后，查詢整個網(wǎng)絡(luò)中的安全設(shè)備部署情況，判斷用戶將訪問的服務(wù)器所在的分支網(wǎng)絡(luò)有無部署安全設(shè)備。若部署了安全設(shè)備，SDN 控制器就向該分支網(wǎng)絡(luò)中的OFS 下發(fā)流表項，建立路由;若沒有部署安全設(shè)備，SDN 控制器就會立即尋找距離該分支網(wǎng)絡(luò)最近的空閑可用安全設(shè)備，并向其安全設(shè)備和服務(wù)器所在的網(wǎng)絡(luò)中的OFS 下發(fā)流表項，從而建立路由。訪問請求根據(jù)所建立的路由先后通過防火墻和IPS 檢測。若檢測后發(fā)現(xiàn)數(shù)據(jù)流中存在異常，安全設(shè)備將阻止并丟掉此異常數(shù)據(jù)包，并將此異常上報給SDN 控制器，SDN 控制器接收該異常報告后，將向?qū)?yīng)的OFS發(fā)送控制指令來刪除異常流表項;若數(shù)據(jù)流無異常，訪問請求數(shù)據(jù)就會到達服務(wù)器，在服務(wù)器接受該請求后，用戶便可以訪問相應(yīng)資源了。

整個通信的具體流程如圖2 所示。

3 方案的測試

本方案是在自主搭建的實驗環(huán)境中進行測試驗證的，實驗環(huán)境主要由OpenFlow 交換機、IPS、服務(wù)器和SDN 控制器構(gòu)建而成。其中，服務(wù)器由裝有LAMP 軟件的PC 機充當，控制器由裝有NOX 系統(tǒng)的PC 機充當。

為降低防護成本，本方案中采取的策略是不在訪問量小的網(wǎng)絡(luò)分支邊界處部署IPS，當有用戶請求訪問該分支中的服務(wù)器時，控制器將為此訪問請求選擇最近的IPS 設(shè)備。在驗證該策略時，構(gòu)建了兩個網(wǎng)絡(luò)分支:一個分支由server A 和OFS A1 構(gòu)成;另一個分支由server B、IPS1 和OFS B1 構(gòu)成。由圖3 中的流表項所示，當用戶訪問server A 時，訪問請求在控制器的控制下先由OFS A1 轉(zhuǎn)發(fā)給OFS B1，通過IPS 檢測后轉(zhuǎn)發(fā)給OFS A1。

為驗證安全設(shè)備間的協(xié)同性和利用率，在該實驗網(wǎng)絡(luò)中添加一臺與IPS1 相同的IPS2 設(shè)備，再添加一臺OpenFlow 交換機OFS C 來使IPS1、IPS2 距離server A 的距離相等，IPS1、IPS2 的負載量分別設(shè)置為30%和10%。由實驗結(jié)果圖4 可知，當用戶訪問server A 時，控制器將為該請求選擇負載量小的IPS2 作為檢查設(shè)備。通過實驗測試發(fā)現(xiàn)，測試輸出結(jié)果與方案中的預(yù)測結(jié)果基本吻合，從而驗證了本方案的可行性和有效性。

圖2 用戶訪問通信流程圖

圖3 一臺IPS 情況下OFS 的流表(截圖)

圖4 不同負載量的IPS 選擇后的OFS 的流表(截圖)

4 小結(jié)

接入網(wǎng)的安全性一直是人們關(guān)注的焦點，隨著接入網(wǎng)的發(fā)展，也帶來了相應(yīng)的安全問題。本文針對接入網(wǎng)傳統(tǒng)安全解決方案所存在的防護成本高、安全設(shè)備利用率低和協(xié)同性差的問題，提出了一種基于SDN 的接入網(wǎng)安全解決方案。在本方案中，將SDN 的相關(guān)技術(shù)與現(xiàn)有安全機制結(jié)合，從而使接入網(wǎng)的控制和管理變得更加靈活，在降低接入網(wǎng)防護成本的同時提高防護效果，并提高了各個安全設(shè)備的利用率和彼此之間的協(xié)同性，最后通過實驗驗證了方案的可行性和有效性。此方案為解決接入網(wǎng)安全問題提供了一些新思路，這對將來提出更好的安全解決方案起到一定的促進作用。

［1］張延培. 論接入網(wǎng)技術(shù)現(xiàn)狀與發(fā)展趨勢［J］.信息通信，2013(1):241－242.

［2］WEN J L，KUI R.Security，privacy and accountability in wireless access networks［J］.IEEE Wireless Communications，2009(8):80－87.

［3］李頻. 虛擬專用網(wǎng)與防火墻集成的設(shè)計［J］.計算機應(yīng)用與軟件，2006(11):114－116.

［4］郭春梅，張如輝.SDN 網(wǎng)絡(luò)技術(shù)及其安全性研究［J］.信息網(wǎng)絡(luò)安全，2012(8):112－114.

［5］SHIN S，GU Guofei.Cloudwatcher:network security monitoring using OpenFlow in dynamic cloud networks［C］//Proc.IEEE International Conference on Network Protocols(ICNP).［S.l.］:IEEE Press，2012(11):1－6.