邵延峰,賈　哲

(1.中國電子科技集團公司第五十四研究所，河北 石家莊 050081；

2.通信網(wǎng)信息傳輸與分發(fā)技術(shù)重點實驗室，河北 石家莊 050081)

?

軟件定義網(wǎng)絡(luò)安全技術(shù)研究

邵延峰1,賈哲2

(1.中國電子科技集團公司第五十四研究所，河北 石家莊 050081；

2.通信網(wǎng)信息傳輸與分發(fā)技術(shù)重點實驗室，河北 石家莊 050081)

摘要隨著網(wǎng)絡(luò)規(guī)模的快速擴大及網(wǎng)絡(luò)業(yè)務(wù)的多樣化，原有的網(wǎng)絡(luò)架構(gòu)難以滿足未來發(fā)展需要。軟件定義網(wǎng)絡(luò)(Software Defined Network，SDN)作為一種新興技術(shù)，實現(xiàn)了控制面與數(shù)據(jù)面的解耦，能夠提供網(wǎng)絡(luò)的集中控制與流量的靈活調(diào)度，將引起通信領(lǐng)域的巨大變革。研究了SDN架構(gòu)的特點及其面臨的安全威脅；針對SDN安全技術(shù)研究現(xiàn)狀進行了綜述；從網(wǎng)絡(luò)動態(tài)防御、軟件定義監(jiān)控和自身安全性增強3個方面提出了SDN安全技術(shù)的發(fā)展方向。在加強SDN自身安全性的同時提高了網(wǎng)絡(luò)安全資源的動態(tài)調(diào)度能力。

關(guān)鍵詞SDN；安全威脅；動態(tài)防御；軟件定義監(jiān)控

Research on Software Defined Network Security Technology

SHAO Yan-feng1,JIA Zhe2

(1.The54thResearchInstituteofCETC,ShijiazhuangHebei050081,China;2.ScienceandTechnologyonInformationTransmissionandDisseminationinCommunicationNetworksLaboratory,ShijiazhuangHebei050081,China)

AbstractWith the rapid development of network scale and the diversification of network services，the original network structure is difficult to meet the needs of the future development.Software Defined Network (SDN) as a new technology realizes the separation of control plane and data plane,which can provide centralized network controll and the flexible traffic management.This will take place great changes in communication field.This paper firstly analyses the features of SDN architecture and the security threat;then gives a survey on the present development of SDN security;and finally propose the development orientation of SDN security technology including network dynamic defense,software defined monitoring,and security enforcement,which can reinforce the security of SDN,and enhance the dynamic arrangement of security resources.

Key wordsSDN;security threat;dynamic defense;software defined monitoring

0引言

SDN[1]將網(wǎng)絡(luò)設(shè)備控制平面與數(shù)據(jù)平面分離，數(shù)據(jù)平面專注于數(shù)據(jù)包的轉(zhuǎn)發(fā)處理，控制平面實現(xiàn)對網(wǎng)絡(luò)的集中控制。用戶通過應(yīng)用平面進行自定義的軟件編程，實現(xiàn)了基于“硬件轉(zhuǎn)發(fā)+軟件應(yīng)用”的模式，大大提高了網(wǎng)絡(luò)流量的靈活調(diào)度能力、業(yè)務(wù)的快速部署能力以及運維成本的降低[2]，受到了學術(shù)界和產(chǎn)業(yè)界的廣泛關(guān)注。Google在2013年宣布[3]其內(nèi)部骨干網(wǎng)上已實現(xiàn)SDN的全面部署，實現(xiàn)了鏈路利用率的顯著提升。

然而，SDN作為一種新興技術(shù)，其實是一個框架，一個網(wǎng)絡(luò)設(shè)計理念[4]，需要考慮利用SDN的相關(guān)優(yōu)勢和如何規(guī)避它的潛在風險[5]。SDN采用集中控制的方式，是否意味著更大的安全風險？SDN架構(gòu)中是否存在安全問題，可采用哪些安全防護手段等問題亟待解決。本文對SDN架構(gòu)的各層進行了安全威脅分析，對基于SDN的網(wǎng)絡(luò)動態(tài)防御、軟件定義監(jiān)控和SDN自身安全性增強等技術(shù)進行了研究，提出了軟件定義網(wǎng)絡(luò)安全技術(shù)的發(fā)展方向。

1軟件定義網(wǎng)絡(luò)架構(gòu)及安全威脅分析

軟件定義網(wǎng)絡(luò)的思想[6]起源于斯坦福大學的Clean State項目，通過把原有封閉的體系解耦為數(shù)據(jù)平面、控制平面和應(yīng)用平面，提供了一種可編程的網(wǎng)絡(luò)實現(xiàn)，從而將革命性地改變現(xiàn)有網(wǎng)絡(luò)架構(gòu)，成為未來網(wǎng)絡(luò)發(fā)展的新方向。

SDN架構(gòu)及安全威脅分析如圖1所示，包括數(shù)據(jù)平面、控制平面和應(yīng)用平面。通過控制平面和數(shù)據(jù)平面的解耦，SDN從基礎(chǔ)的網(wǎng)絡(luò)設(shè)備中剝離了控制平面，并將控制平面的工作轉(zhuǎn)移給一個集中式、可編程的軟件控制器，從而簡化了底層硬件的復雜度。SDN定義了統(tǒng)一的控制層面與數(shù)據(jù)層面接口，抽象了底層硬件，從而屏蔽了底層硬件的區(qū)別。上層應(yīng)用可以通過軟件控制器提供的API操作底層設(shè)備從而控制整個網(wǎng)絡(luò)，由于軟件控制器的數(shù)量遠遠小于傳統(tǒng)網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備的數(shù)量，配置和檢查工作均被大大簡化;另外，由于軟件控制器一般由第三方實現(xiàn)，使得控制平面脫離了硬件廠商的限制，修改和添加新特性只需在軟件控制器上修改或者添加應(yīng)用即可，相比于傳統(tǒng)網(wǎng)絡(luò)簡單很多。

圖1　SDN架構(gòu)及安全威脅分析

雖然SDN為網(wǎng)絡(luò)引進了控制面和數(shù)據(jù)層分離，具有簡化底層硬件實現(xiàn)、簡化網(wǎng)絡(luò)配置過程以及向上層應(yīng)用提供網(wǎng)絡(luò)全局視圖等優(yōu)點，但是，作為一個尚在起步階段的體系結(jié)構(gòu)，SDN是一把雙刃劍，在簡化網(wǎng)絡(luò)管理、縮短創(chuàng)新周期的同時，也引入了不可低估的安全威脅。

1.1控制層安全威脅

管理集中性使得網(wǎng)絡(luò)配置、網(wǎng)絡(luò)服務(wù)訪問控制和網(wǎng)絡(luò)安全服務(wù)部署等都集中于SDN控制器上。SDN的集中式控制方式，使得控制器存在單點失效的風險[7]。首先，控制器的集中控制方式，容易成為攻擊目標，攻擊者一旦成功實施了對控制器的攻擊，將造成網(wǎng)絡(luò)服務(wù)的大面積癱瘓，影響控制器覆蓋的整個網(wǎng)絡(luò)范圍；其次，集中控制方式使得控制器容易受到資源耗盡型攻擊，如DoS、DDoS等；同時，開放性使得SDN控制器需要謹慎評估開放的接口，以防止攻擊者利用某些接口進行網(wǎng)絡(luò)監(jiān)聽、網(wǎng)絡(luò)攻擊等。此外，控制器的自身安全性、可靠性也尤為關(guān)鍵。

由于SDN的控制器通常部署在通用計算機或服務(wù)器上，打破了傳統(tǒng)的封閉運行環(huán)境。因此，SDN控制器面臨與操作系統(tǒng)相同的風險，且也無法防護攻擊者針對計算機本身發(fā)起的攻擊，如數(shù)據(jù)溢出型攻擊。

1.2應(yīng)用層安全威脅

SDN架構(gòu)通過SDN控制器給應(yīng)用層提供大量的可編程接口，該層面上的開放性可能會帶來接口的濫用，由于現(xiàn)有的對應(yīng)用的授權(quán)機制不完善，容易安裝惡意應(yīng)用或安裝受攻擊的應(yīng)用，使得攻擊者利用開放接口實施對網(wǎng)絡(luò)控制器的攻擊；其次，缺乏對各種應(yīng)用的策略沖突檢測機制，OpenFlow應(yīng)用程序之間下發(fā)的流量策略可以互相影響，從而導致惡意應(yīng)用對已有的安全防護策略產(chǎn)生影響。

1.3基礎(chǔ)設(shè)施層安全威脅

SDN標準組織定義了控制面和數(shù)據(jù)面的標準接口協(xié)議OpenFlow，有可能受到攻擊者發(fā)起的協(xié)議攻擊；同時，由于OpenFlow協(xié)議中，安全傳輸方式為可選項，在普通的傳輸模式下，攻擊者能夠偽造控制器或者篡改策略信息，向交換機發(fā)送虛假的流命令。

2軟件定義網(wǎng)絡(luò)安全技術(shù)研究成果

2009年，SDN入圍Technology Review十大前沿技術(shù)。隨著SDN研究的深入和廠商的大量參與，SDN的安全問題越來越受到重視。

2.1國外研究成果

在2015年ITU標準大會中，SDN安全方面標準建議主要分為2類：基于SDN的安全(Security by SDN)和SDN自身安全(Security of SDN)。

2.1.1基于SDN的安全技術(shù)研究

① 德克薩斯州Texas大學和SRI公司的研究團隊針對SDN的安全進行了研究，提出了多種安全解決方案。其中，CloudWatcher[8]是一種云環(huán)境中基于SDN控制平臺執(zhí)行安全監(jiān)控的方法。該方法通過一種新的策略語言，控制器可以直接監(jiān)控指定設(shè)備之間的流量，還可以自動將云環(huán)境中的虛擬機遷移流量及其他動態(tài)事件的流量轉(zhuǎn)發(fā)到其他網(wǎng)絡(luò)位置，如入侵防御系統(tǒng)(IDS)。同時，該團隊還提出一個面向SDN安全用例的新開發(fā)框架FRESCO[9]。這個框架的腳本功能允許安全人員創(chuàng)建新的模塊化庫，整合和擴展安全功能，從而使用OpenFlow控制器和硬件進行控制和管理流量，在SDN網(wǎng)絡(luò)中快速實現(xiàn)和部署多個通用網(wǎng)絡(luò)安全功能，從而替代防火墻、IDS和流量管理工具。

② Radware公司基于SDN技術(shù)開發(fā)了一套可以防止拒絕服務(wù)攻擊的軟件DefenseFlowTM，能夠幫助網(wǎng)絡(luò)運營者通過網(wǎng)絡(luò)編程以純網(wǎng)絡(luò)服務(wù)的形式，為客戶提供自動的DoS以及DDoS檢測和防護。該技術(shù)充分利用控制器的數(shù)據(jù)搜集功能，對流量分布進行檢測，從而實現(xiàn)對攻擊行為的發(fā)現(xiàn)。

③ 微軟宣布了它在內(nèi)部使用了一種自行開發(fā)且基于OpenFlow的網(wǎng)絡(luò)分流聚合平臺(稱為分布式以太網(wǎng)監(jiān)控，DEMON)，可用于處理微軟云網(wǎng)絡(luò)的大規(guī)模流量。通過使用可編程的靈活交換機和其他網(wǎng)絡(luò)設(shè)備，讓它們作為數(shù)據(jù)包攔截和重定向平臺，安全團隊就可以檢測和防御目前的各種常見攻擊。

④ 文獻[10]描述了采用OpenFlow探測DDoS攻擊的方法，該方法通過自組織映射實現(xiàn)流量模式的分類從而實現(xiàn)惡意流量的發(fā)現(xiàn)。

⑤ 文獻[11]提出了一種采用OpenFlow實現(xiàn)網(wǎng)絡(luò)移動目標防御的系統(tǒng)，該系統(tǒng)將內(nèi)部主機的IP地址呈現(xiàn)頻繁變化，從而增加外部網(wǎng)絡(luò)探測和攻擊的難度。

2.1.2SDN自身安全技術(shù)研究

① 德克薩斯州Texas大學和SRI公司的研究團隊在SDN安全研究方面，提出了SDN安全操作系統(tǒng)FortNOX[12]。這是一個由美軍研究中心(Army Research Center)資助的項目，能夠為Openflow控制器提供基于角色授權(quán)和安全限制這2種安全增強措施。

② 斯坦福大學博士Martin Casado和其研究團隊提出了Ethane架構(gòu)[13]，該架構(gòu)通過一個中央控制器向基于流的以太網(wǎng)交換機下發(fā)策略，從而對流的準入和路由器進行統(tǒng)一管理。在Ethane中，主機入網(wǎng)和用戶入網(wǎng)都需要通過主機認證和用戶認證過程，集中式控制器建立起服務(wù)、用戶、主機、IP地址、MAC地址以及交換機端口的綁定關(guān)系。

③ 在Openflow協(xié)議安全性研究方面，文獻[14-15]分別針對OpenFlow協(xié)議的脆弱性及安全性進行了分析。

2.2國內(nèi)研究現(xiàn)狀

國內(nèi)對SDN的研究主要集中在SDN的體系架構(gòu)方面，典型的項目包括2012年國家863項目“未來網(wǎng)絡(luò)體系結(jié)構(gòu)和創(chuàng)新環(huán)境”等。該項目主要由清華大學牽頭負責，清華大學、中科院計算所、北郵、東南大學和北京大學等分別負責各課題，項目提出了未來網(wǎng)絡(luò)體系結(jié)構(gòu)創(chuàng)新環(huán)境(Future Internet Innovation Environment，F(xiàn)INE)[16]，并提出一種協(xié)作式的新型域間SDN互聯(lián)技術(shù)WE-Bridge[17]。基于WE-Bridge建立了首個跨洲際的域間SDN實驗床，不同的試驗者通過虛擬化云平臺開發(fā)新體系和新協(xié)議，構(gòu)建試驗所需的特定虛擬網(wǎng)絡(luò)環(huán)境。通過網(wǎng)域操作系統(tǒng)，控制不同開放網(wǎng)絡(luò)設(shè)備實現(xiàn)不同數(shù)據(jù)平面的需要。

2013年4月底，中國首個大型SDN會議—中國SDN大會在北京召開，中國電信主導提出在現(xiàn)有網(wǎng)絡(luò)(NGN)中引入SDN的需求和架構(gòu)研究，已成功立項S-NICE標準。中國移動提出了“SDN在WLAN網(wǎng)絡(luò)上的應(yīng)用”等課題。三大國內(nèi)運營商的研究機構(gòu)都高度重視SDN研究，并在部分網(wǎng)絡(luò)中進行SDN組網(wǎng)測試。而華為、阿爾卡特朗訊、愛立信和中興通訊等廠商紛紛推出針對運營商數(shù)據(jù)中心和移動核心網(wǎng)的方案，SDN在電信行業(yè)的發(fā)展前景廣闊。

在SDN安全方面，目前國內(nèi)高等院校和研究機構(gòu)正在積極跟進研究，包括SDN網(wǎng)絡(luò)安全面臨的威脅及挑戰(zhàn)，以及SDN思想和架構(gòu)在網(wǎng)絡(luò)安全方面的應(yīng)用[18-20]。以華為、中國電信和綠盟等為代表的企業(yè)也在投入資源開展SDN安全及SDN安全應(yīng)用方面的研究，綠盟提出了分布式的軟件定義安全架構(gòu)(Software-defined Security Architecture，SDSA)[21]，將安全功能從SDN控制器解耦到專有的安全控制器和安全APP，從而提供全局的流調(diào)度能力，以實現(xiàn)對各類攻擊的抵御。雖然國內(nèi)一些高校和廠商進行了SDN安全機制的探索，但是總體而言還處于起步階段，仍需進行大量的研究與實踐工作。

3SDN安全技術(shù)發(fā)展方向

通過對SDN的安全威脅及其安全研究現(xiàn)狀進行分析，可以得出SDN安全技術(shù)主要包括3大發(fā)展方向：

3.1基于SDN的網(wǎng)絡(luò)動態(tài)防御

基于SDN的網(wǎng)絡(luò)動態(tài)防御架構(gòu)如圖2所示，就是利用SDN集中管控的特性，通過基于通用硬件和特定軟件的重新配置，根據(jù)當前網(wǎng)絡(luò)性能及安全事件制定安全策略，動態(tài)調(diào)整網(wǎng)絡(luò)防護措施，淘汰落后的安全防護產(chǎn)品，實現(xiàn)網(wǎng)絡(luò)安全防護能力的動態(tài)調(diào)整和重構(gòu)更新。

同時，通過將安全應(yīng)用從基礎(chǔ)設(shè)施中分離出來，可以使得網(wǎng)絡(luò)安全防護的方法變得更加靈活，在支持現(xiàn)有安全防護能力的同時，能夠靈活地、可擴展地部署新的安全應(yīng)用，提供新的安全防護方法，保障網(wǎng)絡(luò)安全防護能力的連貫性。

圖2　基于SDN的網(wǎng)絡(luò)動態(tài)防御架構(gòu)

3.2軟件定義監(jiān)控

軟件定義監(jiān)控就是依托SDN架構(gòu)，通過使用可編程交換機和其他網(wǎng)絡(luò)設(shè)備，使其作為數(shù)據(jù)包攔截或重定向平臺，根據(jù)網(wǎng)絡(luò)安全態(tài)勢將網(wǎng)絡(luò)流量重定向到安全設(shè)備中進行檢測和監(jiān)控，從而實現(xiàn)對全網(wǎng)流量的集中分析，以及對常見攻擊的檢測，如圖3所示。

圖3　軟件定義監(jiān)控原理

3.3SDN自身安全性增強

SDN自身安全性增強則是針對SDN本身的脆弱性進行安全防護能力的增強，從而抵御SDN架構(gòu)帶來的安全風險。SDN架構(gòu)自身安全防護體系具體研究內(nèi)容包括：

① 控制器安全增強技術(shù)，包括策略沖突檢測、控制器安全基線檢查、日志分析及事件關(guān)聯(lián)措施等；

② 北向應(yīng)用認證機制，實現(xiàn)對應(yīng)用的權(quán)限分級及應(yīng)用的可信認證等；

③ 針對南向接口，針對OpenFlow協(xié)議，提供協(xié)議安全防護功能；并通過采用SSL/TLS加密傳輸機制，保障控制器下發(fā)的策略的可靠傳輸，防止中間人攻擊；

④ 控制器采用通用的計算服務(wù)器，因此對增強計算服務(wù)器本身安全防護能力也是需要考慮的問題。

4結(jié)束語

SDN體系架構(gòu)的出現(xiàn)會對通信領(lǐng)域產(chǎn)生巨大變革，但基于其集中控制、開放的應(yīng)用層等特性，如何實現(xiàn)安全功能的集中管控與靈活調(diào)配等問題，成為各研究機構(gòu)、安全設(shè)備廠商等關(guān)注的熱點。在加強SDN自身安全性增強的同時，還應(yīng)主要在網(wǎng)絡(luò)動態(tài)防御、軟件定義監(jiān)控等方面入手，以提高SDN的安全性。

參考文獻

[1]Open Networking Foundation.Software-defined Networking:The New Norm for Networks[S]，2012.

[2]蔣林濤.軟件定義網(wǎng)絡(luò)為寬帶網(wǎng)絡(luò)創(chuàng)新提供平臺[J].世界電信,2013(5):20-21.

[3]JAIN S,KUMAR A,MANDAL S,et al.B4:Experience With a Globally-deployed Software Defined WAN[C]∥China:Proc.of ACM SIGCOMM’13,2013:3-14.

[4]張衛(wèi)峰.深度解析SDN利益、戰(zhàn)略、技術(shù)、實踐[M].北京：電子工業(yè)出版社,2014.

[5]趙慧玲.SDN—未來網(wǎng)絡(luò)演進的重要趨勢[J].電信科學,2012(11):1-5.

[6]MCKEOWN N,ANDERSON T,BALAKRISHNAN H,et al.OpenFlow:Enabling Innovation In Campus Networks[C]∥USA:Proc.of ACM SIGCOMM’08,2008:69-74.

[7]刁興玲.SDN嶄新架構(gòu)下網(wǎng)絡(luò)安全如何保障[J].通信世界,2015(1):33-34.

[8]SHIN S,GU G.Cloud Watcher:Network Security Monitoring Using Openflow in Dynamic Cloud Networks (Or:How to Provide Security Monitoring as a Service in Clouds?)[C]∥USA:Proc.of the 20th IEEE International Conference on Network Protocols (ICNP),2012:1-6.

[9]SHIN S,PORRAS P,YEGNESWARAN V,et al.FRESCO:Modular Composable Security Services for Software-defined Networks[C]∥USA:Proc.of NDSS 2012:1-5.

[10]BRAGA R,MOTA M,PASSITO P.Lightweight DDoS Flooding Attack Detection Using NOX/OpenFlow[C]∥USA：Proc.of IEEE LCN,2010:408-415.

[11]JAFARIAN J H,AL-SHAER E,DUAN Q.Open Flow Random Host Mutation:Transparent Moving Target Defense Using Software Defined Networking[C]∥Finland：Proc.of HotSDN’12,2012:127-132.

[12]PORRAS P,SHIN S,YEGNESWARAN V,et al.A Security Enforcement Kernel For OpenFlow Networks[C]∥Finland:Proc.of HotSDN’12,2012:121-126.

[13]CASADO M,FREEDMAN M J,PETTIT J,et al.Ethane:A Logically-centralized Network Architecture for Managing the Security Policies of Enterprise Networks[C]∥Japan:Proc.of ACM SIGCOMM’07,2007:1-12.

[14]BENTON K,CAMP L J,SMALL C.OpenFlow Vulnerability Assessment[C]∥USA:Second ACM SIGCOMM Workshop on Hot Topics in Software Defined Networking,2013:151-152.

[15]KLOTI R,KOTRONIS V,SMITH P.OpenFlow:A Security Analysis[C]∥Germany:Proc.of IEEE International Conference on Network Protocol,2013:1-6.

[16]畢軍.SDN體系結(jié)構(gòu)與未來網(wǎng)絡(luò)體系結(jié)構(gòu)創(chuàng)新環(huán)境[J].電信科學,2013(8):7-15.

[17]畢軍.域間SDN互聯(lián)技術(shù)WE-Bridge及其實驗床的研究進展[J].電信科學,2014(8):28-46.

[18]何恩,張德治,郝平.軟件定義網(wǎng)絡(luò)安全研究[J].通信技術(shù),2014(1):86-90.

[19]王淑玲,李濟漢,張云勇，等.SDN架構(gòu)及安全性研究[J].電信科學,2013(3):117-122.

[20]郭春梅,張如輝,畢學堯.SDN網(wǎng)絡(luò)技術(shù)及其安全性研究[J].信息網(wǎng)絡(luò)安全,2012(8):112-114.

[21]劉文懋,裘曉峰,陳鵬程，等.面向SDN環(huán)境的軟件定義安全架構(gòu)[J].計算機科學與探索,2015(1):63-70.

邵延峰男，(1973—)，碩士，高級工程師。主要研究方向：通信網(wǎng)絡(luò)安全。

賈哲女，(1984—)，博士，工程師。主要研究方向：網(wǎng)絡(luò)安全。

作者簡介

中圖分類號TN915.02

文獻標志碼A

文章編號1003-3106(2016)04-0013-05

基金項目：國家高技術(shù)研究發(fā)展計劃(“863”計劃)基金資助項目(2015AA015701)。

收稿日期：2016-01-20

doi:10.3969/j.issn.1003-3106.2016.04.04

引用格式：邵延峰,賈哲.軟件定義網(wǎng)絡(luò)安全技術(shù)研究[J].無線電工程,2016,46(4):13-17.